Transcript 02.Cyber Security in Industrial Control Systems_Montazeri

‫دانشگاه صنعت آب و برق (شهيد عباسپور)‬
‫دکتر محسن منتظری‬
‫‪1390/12/14‬‬
‫‪ -1‬مقدمه (ضرورت بحث)‬
‫‪ -2‬تمایز امنیت اطالعات در سيستم هاي كنترل صنعتی‬
‫با سیستم های رایج ‪IT‬‬
‫‪ -3‬راه کارهای ارتقاء امنیت در سيستم هاي كنترل صنعتی‬
‫‪ -4‬نتیجه گیری‬
‫مقدمه (ضرورت بحث)‬
‫در گذشته‪:‬‬
‫‪‬به کارگیری سیستم های کنترلی در یک محیط مجزا و ایزوله شده‬
‫‪ ‬استفاده از پروتکل ها و نرم افزارهای کامال اختصاصی‬
‫در حال حاضر‪:‬‬
‫‪ ‬استفاده زياد از تکنولوژی و پروتکل های تجاری‬
‫‪ ‬افزايش ارتباط با ديگر سيستم ها‬
‫‪ ‬درخواست برای دسترسی از راه دور به سيستم‬
‫‪ ‬نياز به داده های سيستم کنترل صنعتی برای مسائلی چون بهينه سازی‪ ،‬بهبود کارايي‪،‬‬
‫مالی و تجاری‬
‫‪ ‬ايجاد فرصت های جديدی برای تهديدات و حمالت خرابکارانه‬
‫پیامدهای حمالت اطالعاتی در سیستم های کنترل صنعتی‬
‫‪ -1‬خطرات انساني و زیست محیطی‬
‫‪ -2‬از دست رفتن اعتماد عمومی‬
‫‪ -3‬از دست رفتن اطالعات محرمانه‬
‫‪ -4‬از دست رفتن محصول و تولید‬
‫‪ -5‬تخریب تجهیزات‬
‫‪ -6‬ضربه به اعتبار و ابروی شرکت ها‬
‫‪ -7‬عدم دسترسی به شبکه و منابع موجود‬
‫‪ -8‬از دست رفتن کنترل و نظارت ‪HMI‬‬
‫‪ -9‬تخریب بایگانی‬
‫‪ -10‬ارائه یک تصویر غلط از وضعیت سیستم‬
‫ساختار سيستم کنترلی‬
‫‪Teleperm XP‬‬
‫ساختار سيستم کنترلی نيروگاه برق آبی‬
‫ساختار سيستم کنترلی‬
‫‪PCS7‬‬
US Government Efforts
 Department of Homeland Security
 6 CFR part 27: Chemical Facility Anti-
Terrorism Standards (CFATS)
 National Cyber Security Division

Control Systems Security Program (CSSP)
 Department of Energy
 Federal Energy Regulatory Commission (FERC)

18 CFR Part 40, Order 706 (mandates NERC CIPs 002-009)
 Nuclear Regulatory Commission
 10 CFR 73.54 Cyber Security Rule (2009)
 RG 5.71
Standards Efforts
 International Society for Automation (ISA)
 ISA99, Industrial Automation and Control System
(IACS) Security
 International Electrotechnical Commission (IEC)
 IEC 62443 series of standards (equivalent to ISA
99)
 National Institute for Standards and Technology
(NIST)
 SP800-82 Guide to Industrial Control Systems
(ICS) Security
‫برخی از استانداردهای امنيت اطالعات سيستم های كنترل صنعتی‬
‫استانداردها‬
BS 7799/ISO 17799
ISO 27001
ISA SP99
IEC 61784-4
(IEC SC65c WG13)
NIST Process Control Security
Requirements Forum (PCSRF)
NISSC Practice Guide on
Firewall Deployment For
SCADA and Process Control
Networks
NIST Special Publication
800-40
‫عنوان‬
‫نام اصلی‬
Information Security
Management
British Standards Institute /
International Organization for
Standardization
Information Security
International Organization for
Management
Standardization
Manufacturing and Control
Instrumentation Systems and
Systems Security
Automation
Digital Data Communications International Electrotechnical
for Measurement and Control Commission
Network and System Security
System Protection Profiles
(SPP) and Protection Profiles
(PP) for Common Criteria
(ISO 15408)
Firewall Deployment for
SCADA and Process Control
Networks
National Institute for
Standards and Technology
Procedures for Handling
Security Patches
National Institute for
Standards and Technology
UK National Infrastructure
Security Coordination Center
‫تمايز امنيت در سيستم هاي کنترل صنعتی‬
‫با سيستم های رايج ‪IT‬‬
‫راه کارهای افزايش امنيت‬
‫در سيستم های کنترل صنعتی‬
‫‪ ‬ارزيابی‬
‫‪ ‬سياست و دستورالعمل‬
‫‪ ‬آموزش و آگاهی‬
‫‪ ‬بخش بندی شبکه‬
‫‪ ‬کنترل دسترسی‬
‫‪ ‬مقاوم سازی سيستم‬
‫‪ ‬نظارت و نگهداری‬
‫ارزيابی سيستم کنترلی‬
‫‪ ‬اجرای ارزیابی امنیتی بر روی سیستم های کنترلی موجود‬
‫‪ ‬مقایسه طراحی‪ ،‬ساختار و سیاست های امنیتی موجود در‬
‫سیستم ها با استانداردهای امنیتی‬
‫‪ ‬شناسایی آسیب پذیری ها و اصالح آن‬
‫• مزایا‪:‬‬
‫– فرآهم آوردن یک درک قوی از وضعیت‪ ،‬آسیب پذیری ها و مسیر پیش رو‬
‫– کمک به شناسایی و طبقه بندی اولویت های سرمایه گذاری‬
‫– اولین گام در پیاده سازی و توسعه برنامه مدیریت امنیت‬
‫سياست ها و دستوالعمل ها‬
‫‪ ‬ایجاد سیاست ها و دستوالعمل ها امنیت در سیستم های‬
‫کنترلی‬
‫‪ ‬حوزه و اهداف‬
‫‪ ‬مدیریت پشتیبانی‬
‫‪ ‬مسئولیت ها و وظایف‬
‫‪ ‬سیاست های معین‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫‪‬‬
‫کنترل دسترسی‬
‫محیط انتقال‬
‫مدیریت نصب بسته های امنیتی‬
‫مدیریت آنتی ویروس‬
‫مدیریت تغییرات‬
‫پشتیبانی و بازیابی‬
‫‪ ‬مراجع و مالحظات‬
‫آموزش و آگاهی‬
‫• اطمینان از آگاهی کارمندان از اهمیت امنیت و سیاست‬
‫های امنیتی کل سیستم‬
‫• فرآهم نمودن آموزش براساس وظایف‬
‫– میهمان‬
‫– پیمان کار‬
‫– کارمند جدید‬
‫– اپراتور‬
‫– پشتیبانی و نگهداری‬
‫– مهندسین‬
‫– مدیریت‬
‫بخش بندی شبکه‬
‫‪ ‬استراتژی دفاع در عمق‬
‫‪ ‬تقسيم بندی سيستم کنترلی به ناحيه های امنيتی مجزا‬
‫‪ ‬گروه بندی منطقی از دارایی هایی با نیازهای امنیتی مشابه‬
‫‪ ‬امکان به کارگیری زیر ناحیه های امنیتی و ایجاد الیه های‬
‫امنیتی‬
‫‪ ‬امکان تعریف نواحی به صورت فیزیکی و منطقی‬
‫• تعريف اهداف و استراتژی امنيتی برای هر ناحيه‬
‫– سخت افزاری‬
‫– نرم افزاری‬
‫• ايجاد کانال های ارتباطی امن ميان نواحی امنيتی‬
‫– نصب تجهیزات کنترل امنیتی مرزی در نقاط ورود و خروج داده به ناحیه امنیتی‬
‫– پایش و کنترل جریان داده عبوری میان نواحی‬
‫کنترل دسترسی‬
‫‪ ‬کنترل و نظارت دسترسی به منابع سیستم کنترلی‬
‫‪ ‬دسترسی نرم افزاری و سخت افزاری‬
‫‪ ‬استفاده از مکانسیم کنترل دسترسی‬
‫‪ ‬گزارش عملکرد و تجهیزات مورد استفاده‬
‫‪ ‬تصدیق هویت‬
‫‪ ‬مجوز دسترسی‬
‫• ناحیه به ناحیه‬
‫• دارایی به دارایی‬
‫• وظیفه به وظیفه‬
‫• فرد به فرد‬
‫• بازبینی‬
‫– چه کسی دسترسی دارد؟‬
‫– به کدام منابع؟‬
‫– با چه اختیاراتی؟‬
‫مقاوم سازی سيستم‬
‫‪ ‬حذف یا غیر فعال کردن پورت ها و مسیرهای‬
‫ارتباطی غیر ضروری‬
‫‪ ‬حذف برنامه ها و سرویس های غیر ضروری‬
‫‪ ‬به کارگیری و نصب بسته های امنیتی در صورت‬
‫نیاز و در هر زمان و هر مکان‬
‫‪ ‬استفاده از ابزار امنیتی مناسب‬
‫نظارت و نگهداری‬
‫‪ ‬نصب ویروس یاب توصیه شده توسط فروشنده و به روز سازی آن‬
‫‪ ‬بازبینی گزارشات وقایع امنیتی‬
‫‪ ‬به کارگیری ابزار آشکارسازی و حذف نفوذ‬
‫‪ ‬استفاده از ابزار تست (در یک محیط کنترل شده)‬
‫‪ ‬ارزیابی مداوم سیستم‬
‫نتيجه گيری‬
‫‪‬ضرورت توجه به امنیت اطالعات در سیستم های کنترل صنعتی‬
‫‪‬تدوین سیاست ها و استانداردهای الزم با در نظر گرفتن ویژگی های خاص سیستم های‬
‫کنترل‬
‫‪‬ضرورت يك ارتباط و هماهنگي موثر ميان متخصصين حوزه ‪ ،IT‬مهندسين كنترل‪ ،‬شركت‬
‫هاي سازنده تجهيزات و بهره برداران‬
‫‪‬رعایت نکات امنیتی در تهیه‪ ،‬نصب‪ ،‬راه اندازی و بهره برداری سیستم های کنترل صنعتی‬