02.Cyber Security in Industrial Control Systems_Montazeri
Download
Report
Transcript 02.Cyber Security in Industrial Control Systems_Montazeri
دانشگاه صنعت آب و برق (شهيد عباسپور)
دکتر محسن منتظری
1390/12/14
-1مقدمه (ضرورت بحث)
-2تمایز امنیت اطالعات در سيستم هاي كنترل صنعتی
با سیستم های رایج IT
-3راه کارهای ارتقاء امنیت در سيستم هاي كنترل صنعتی
-4نتیجه گیری
مقدمه (ضرورت بحث)
در گذشته:
به کارگیری سیستم های کنترلی در یک محیط مجزا و ایزوله شده
استفاده از پروتکل ها و نرم افزارهای کامال اختصاصی
در حال حاضر:
استفاده زياد از تکنولوژی و پروتکل های تجاری
افزايش ارتباط با ديگر سيستم ها
درخواست برای دسترسی از راه دور به سيستم
نياز به داده های سيستم کنترل صنعتی برای مسائلی چون بهينه سازی ،بهبود کارايي،
مالی و تجاری
ايجاد فرصت های جديدی برای تهديدات و حمالت خرابکارانه
پیامدهای حمالت اطالعاتی در سیستم های کنترل صنعتی
-1خطرات انساني و زیست محیطی
-2از دست رفتن اعتماد عمومی
-3از دست رفتن اطالعات محرمانه
-4از دست رفتن محصول و تولید
-5تخریب تجهیزات
-6ضربه به اعتبار و ابروی شرکت ها
-7عدم دسترسی به شبکه و منابع موجود
-8از دست رفتن کنترل و نظارت HMI
-9تخریب بایگانی
-10ارائه یک تصویر غلط از وضعیت سیستم
ساختار سيستم کنترلی
Teleperm XP
ساختار سيستم کنترلی نيروگاه برق آبی
ساختار سيستم کنترلی
PCS7
US Government Efforts
Department of Homeland Security
6 CFR part 27: Chemical Facility Anti-
Terrorism Standards (CFATS)
National Cyber Security Division
Control Systems Security Program (CSSP)
Department of Energy
Federal Energy Regulatory Commission (FERC)
18 CFR Part 40, Order 706 (mandates NERC CIPs 002-009)
Nuclear Regulatory Commission
10 CFR 73.54 Cyber Security Rule (2009)
RG 5.71
Standards Efforts
International Society for Automation (ISA)
ISA99, Industrial Automation and Control System
(IACS) Security
International Electrotechnical Commission (IEC)
IEC 62443 series of standards (equivalent to ISA
99)
National Institute for Standards and Technology
(NIST)
SP800-82 Guide to Industrial Control Systems
(ICS) Security
برخی از استانداردهای امنيت اطالعات سيستم های كنترل صنعتی
استانداردها
BS 7799/ISO 17799
ISO 27001
ISA SP99
IEC 61784-4
(IEC SC65c WG13)
NIST Process Control Security
Requirements Forum (PCSRF)
NISSC Practice Guide on
Firewall Deployment For
SCADA and Process Control
Networks
NIST Special Publication
800-40
عنوان
نام اصلی
Information Security
Management
British Standards Institute /
International Organization for
Standardization
Information Security
International Organization for
Management
Standardization
Manufacturing and Control
Instrumentation Systems and
Systems Security
Automation
Digital Data Communications International Electrotechnical
for Measurement and Control Commission
Network and System Security
System Protection Profiles
(SPP) and Protection Profiles
(PP) for Common Criteria
(ISO 15408)
Firewall Deployment for
SCADA and Process Control
Networks
National Institute for
Standards and Technology
Procedures for Handling
Security Patches
National Institute for
Standards and Technology
UK National Infrastructure
Security Coordination Center
تمايز امنيت در سيستم هاي کنترل صنعتی
با سيستم های رايج IT
راه کارهای افزايش امنيت
در سيستم های کنترل صنعتی
ارزيابی
سياست و دستورالعمل
آموزش و آگاهی
بخش بندی شبکه
کنترل دسترسی
مقاوم سازی سيستم
نظارت و نگهداری
ارزيابی سيستم کنترلی
اجرای ارزیابی امنیتی بر روی سیستم های کنترلی موجود
مقایسه طراحی ،ساختار و سیاست های امنیتی موجود در
سیستم ها با استانداردهای امنیتی
شناسایی آسیب پذیری ها و اصالح آن
• مزایا:
– فرآهم آوردن یک درک قوی از وضعیت ،آسیب پذیری ها و مسیر پیش رو
– کمک به شناسایی و طبقه بندی اولویت های سرمایه گذاری
– اولین گام در پیاده سازی و توسعه برنامه مدیریت امنیت
سياست ها و دستوالعمل ها
ایجاد سیاست ها و دستوالعمل ها امنیت در سیستم های
کنترلی
حوزه و اهداف
مدیریت پشتیبانی
مسئولیت ها و وظایف
سیاست های معین
کنترل دسترسی
محیط انتقال
مدیریت نصب بسته های امنیتی
مدیریت آنتی ویروس
مدیریت تغییرات
پشتیبانی و بازیابی
مراجع و مالحظات
آموزش و آگاهی
• اطمینان از آگاهی کارمندان از اهمیت امنیت و سیاست
های امنیتی کل سیستم
• فرآهم نمودن آموزش براساس وظایف
– میهمان
– پیمان کار
– کارمند جدید
– اپراتور
– پشتیبانی و نگهداری
– مهندسین
– مدیریت
بخش بندی شبکه
استراتژی دفاع در عمق
تقسيم بندی سيستم کنترلی به ناحيه های امنيتی مجزا
گروه بندی منطقی از دارایی هایی با نیازهای امنیتی مشابه
امکان به کارگیری زیر ناحیه های امنیتی و ایجاد الیه های
امنیتی
امکان تعریف نواحی به صورت فیزیکی و منطقی
• تعريف اهداف و استراتژی امنيتی برای هر ناحيه
– سخت افزاری
– نرم افزاری
• ايجاد کانال های ارتباطی امن ميان نواحی امنيتی
– نصب تجهیزات کنترل امنیتی مرزی در نقاط ورود و خروج داده به ناحیه امنیتی
– پایش و کنترل جریان داده عبوری میان نواحی
کنترل دسترسی
کنترل و نظارت دسترسی به منابع سیستم کنترلی
دسترسی نرم افزاری و سخت افزاری
استفاده از مکانسیم کنترل دسترسی
گزارش عملکرد و تجهیزات مورد استفاده
تصدیق هویت
مجوز دسترسی
• ناحیه به ناحیه
• دارایی به دارایی
• وظیفه به وظیفه
• فرد به فرد
• بازبینی
– چه کسی دسترسی دارد؟
– به کدام منابع؟
– با چه اختیاراتی؟
مقاوم سازی سيستم
حذف یا غیر فعال کردن پورت ها و مسیرهای
ارتباطی غیر ضروری
حذف برنامه ها و سرویس های غیر ضروری
به کارگیری و نصب بسته های امنیتی در صورت
نیاز و در هر زمان و هر مکان
استفاده از ابزار امنیتی مناسب
نظارت و نگهداری
نصب ویروس یاب توصیه شده توسط فروشنده و به روز سازی آن
بازبینی گزارشات وقایع امنیتی
به کارگیری ابزار آشکارسازی و حذف نفوذ
استفاده از ابزار تست (در یک محیط کنترل شده)
ارزیابی مداوم سیستم
نتيجه گيری
ضرورت توجه به امنیت اطالعات در سیستم های کنترل صنعتی
تدوین سیاست ها و استانداردهای الزم با در نظر گرفتن ویژگی های خاص سیستم های
کنترل
ضرورت يك ارتباط و هماهنگي موثر ميان متخصصين حوزه ،ITمهندسين كنترل ،شركت
هاي سازنده تجهيزات و بهره برداران
رعایت نکات امنیتی در تهیه ،نصب ،راه اندازی و بهره برداری سیستم های کنترل صنعتی