ملاحظات امنیتی سیستم کنترل

ملاحظات امنیتی سیستم کنترل

 

ملاحظات امنیتی سیستم کنترل

 

در مقاله امنیت سامانه کنترل به بررسی اصول و مفاهیم امنیت سایبری و راه های بالا بردن امنیت در سامانه های کنترل صنعتی و IT پرداختیم. در این مقاله قصد داریم به ملاحظات امنیتی و مباحث فنی در سیستم های کنترل صنعتی بپردازیم.

 

 

برخی از مباحث فنی که به طور ویژه باید در سامانه های کنترل صنعتی مورد بررسی و ارزیابی قرار داده شوند عبارت اند از:

  • توپولوژی، معماری و نحوه طراحی و پیاده سازی سامانه های کنترل صنعتی
  • چگونگی و نحوه تهیه نسخه پشتیبان، نگهداری و همچنین برگرداندن آن
  • تنظیمات و پیکربندی سامانه کنترل و تجهیزات سخت افزاری و نرم افزاری (DCS,PLC و SCADA)
  • پیکربندی و تنظیمات امنیتی مربوط به تجهیزات شبکه های صنعتی (Switch,Router)
  • نوع پروتکل های صنعتی مورد استفاده و پیکربندی آنها (PROFIBUS, MODBUS, … )
  • سامانه های ESD و F&G و ارتباط آنها با سامانه کنترل اصلی(DCS)

 

در ادامه به بررسی  موارد فوق خواهیم پرداخت.

 

 

توپولوژی، معماری و نحوه طراحی و پیاده سازی سامانه های کنترل صنعتی

 

اولین و مهمترین مسئله ای که در امنیت سامانه های کنترل صنعتی باید مد نظر قرار بگیرد، طراحی معماری و ساختار سامانه کنترلی مربوطه می باشد. اگر بخواهیم سامانه های کنترل صنعتی را از نظر طراحی با دیدگاه امنیتی تقسیم بندی کنیم به دو دسته تقسیم می شوند:

          1- سامانه های کنترل صنعتی که در گذشته و بدون در نظر گرفتن سیاست های امنیتی طراحی و پیاده سازی شده اند.

          2- سامانه های کنترل صنعتی که در آینده قرار است طراحی و پیاده سازی شوند.

 

در حالت اول که طراحی سامانه در گذشته و بدون در نظر گرفتن موارد امنیتی طراحی و پیاده سازی شده است نمی توان همه سامانه را از نو طراحی و اجرا نمود زیرا از لحاظ هزینه و همچنین توقف تولید کار عاقلانه ای نبوده و در ازای آن باید هزینه های هنگفتی پرداخت شود. در اینگونه سامانه ها به جای طراحی سامانه کنترل از ابتدا، می توان طراحی انجام شده را مورد بازبینی قرار داده و نسبت به شناسایی ضعف های آن اقدام نمود. پس از شناسایی و کشف نقاط ضعف موجود در طراحی، اصلاحیه های لازم اعمال می شوند. به عنوان مثال در طراحی شبکه های صنعتی بسیاری از صنایع که در گذشته انجام شده است و هم اکنون در حال فعالیت هستند به منظور برقراری ارتباط بین ایستگاه های موجود در اتاق کنترل و همچنین تجهیزات کنترلی (PLC، DCS، ESD و F&G) از هاب (HUB) استفاده شده است.

 

 

یکی از ضعف های امنیتی که در هاب ها وجود دارد این است که داده های دریافتی از طریق هر یک از پورت ها به همه پورت های دیگر ارسال شده و همه تجهیزات و وسایل شبکه می توانند این داده ها را دریافت نمایند؛ این نوع تبادل داده به همه پخشی (Broadcast) معروف است. حال اگر به جای هاب از سوئیچ استفاده شود، داده های دریافتی از یک پورت به همان پورت و سامانه مقصد مورد نظر ارسال می شود و از ارسال به پورت ها و سامانه های دیگر جلوگیری به عمل می آید. این نوع تبادل داده به تک پخشی (Unicast) معروف است.

 

 

در شبکه های مبتنی بر هاب، مهاجم سایبری می تواند به شبکه وصل شده و اقدام به شنود و کپی برداری از اطلاعات نماید. به منظور جلوگیری از این حمله سایبری اولا باید هاب با سوئیچ جایگزین شود دوما تنظیمات امنیتی بر روی سوئیچ مانند Port Security نیز اعمال گردد. از طرفی به منظور ارتقای امنیت در این طراحی می توان از سوئیچ های صنعتی با قابلیت های رمزنگاری داده نیز استفاده نمود؛ در اینگونه سوئیچ ها می توان این قابلیت و ویژگی را فعال و بر روی تبادل داده در شبکه صنعتی اعمال نمود.

 

 

یکی دیگر از ضعف هایی که در شبکه های طراحی شده در گذشته وجود دارد این است که نقاط اتصال به شبکه محدود نبوده و یک مهاجم سایبری به راحتی و با استفاده از وسایلی همچون لپ تاپ، فلش، هارد اکسترنال و … می تواند به شبکه و سامانه متصل شود.

 

در حالت دوم که سامانه کنترل و شبکه صنعتی در فاز طراحی بوده به راحتی می توان سیاست ها و موارد امنیتی را در طراحی اعمال نمود. به عنوان مثال پروتکل ها و شبکه های ارتباطی باید به گونه ای انتخاب شوند که کمترین آسیب پذیری و ضعف ها را داشته باشد زیرا برخی پروتکل ها مبتنی بر TCP بوده و برخی دیگر TCP نمی باشند. در پروتکل هایی که مبتنی بر TCP هستند احتمال حمله سایبری بسیار بالا بوده و در صورت عدم داشتن پیکربندی مناسب، این احتمال افزایش می یابد. اما پروتکل های دیگری نیز هستند که ذاتا دارای امنیت مناسب تری بوده و احتمال نفوذ و حمله به آنها بسیار کمتر می باشد مگر در موارد خاص.

امروزه شبکه های صنعتی به سمت TCP شدن پیش می روند.(مانند PROFINET ,Vnet/IP)

 

 

نکته ای که در اینجا بسیار حائز اهمیت می باشد این است که اعمال راهکارهای امنیتی در طراحی سامانه کنترل و شبکه های صنعتی متناسب با ساختار و نوع پروژه بوده و نمی توان برای همه ساختارها  یک راهکار امنیتی به کار گرفت. گاها دیده می شود برخی از شرکت های پیمانکاری یک راهکار را برای چندین سامانه کنترل در ساختار مختلف به کار می برند. این روش در برخی از سامانه ها مناسب بوده و در برخی دیگر سامانه را دچار اختلال می کند.

 

 

چگونگی و نحوه تهیه نسخه پشتیبان، نگهداری و همچنین برگرداندن آن

 

فرایند پشتیبان گیری و تهیه نسخه پشتیبان عبارت است از تهیه یک نسخه از داده که ممکن است به منظور بازیابی داده اصلی پس از وقوع حادثه و از بین رفتن داده، مورد استفاده قرار گیرد؛ به عبارت دیگر در دنیای تکنولوژی اطلاعات، پشتیبان گیری از اطلاعات، به فرآیند تهیه ی نسخه های کپی از داده های اصلی گفته می شود که در زمان رخ دادن وقایعی از قبیل از دست دادن اطلاعات، بتوان داده های اصلی را بازیابی کرد. تهیه ی نسخه پشتیبان با دو هدف صورت می گیرد؛ اولین هدف آن بازیابی داده اصلی بعد از بین رفتن داده مانند حذف یا خرابی داده و دومین هدف، بازیابی داده از زمان های قبلی با توجه به خط مشی نگهداری داده کاربر است. همانطور که این مقوله در سامانه های مبتنی بر IT از اهمیت بالایی برخوردار است در زیرساخت های صنعتی به ویژه سامانه های کنترل و شبکه های صنعتی نیز بسیار حائز اهمیت بوده و باید به آن توجه ویژه ای شود.

 

 

بازگرداندن نسخه پشتیبان قابل اعتماد، آخرین راهکار پاسخگویی به حوادث و رخدادهای رایانه ای اعم از خرابی یا عملکرد نادرست سخت افزار یا نرم افزار، اشتباه کاربر یا حمله های عمدی یا غیر عمدی رایانه ای یا هر حادثه دیگر منجر به تخریب داده ها است. بنابراین تهیه نسخه پشتیبان قابل بازگرداندن یکی از الزامات تامین امنیت در سامانه های IT و کنترل صنعتی می باشد. از مهمترین نکات و الزاماتی که در این زمینه باید در نظر گرفت این است که مسئولیت تهیه نسخه پشتیبان از داده ها و اطلاعات دارایی های اطلاعاتی الکترونیکی موجود در فهرست دارایی های اطلاعاتی الکترونیکی و اطمینان از صحت روش تهیه و جامعیت نسخه پشتیبان، بر عهده تحویل گیرنده، متصدی و یا مالک همان دارایی اطلاعاتی الکترونیکی قرار گیرد. این مسئولیت قابل انتقال به غیر نمی باشد و به صورت سلسه مراتبی مدیران فرد مربوطه نیز ضامن تهیه نسخه پشتیبان می باشند. وجود سامانه خودکار و یا متمرکز تهیه نسخه پشتیبان رافع مسئولیت هیچ یک از افراد مسئول تهیه نسخه پشتیبان نمی باشد.

 

به منظور تهیه ی نسخه پشتیبان روش های مختلفی وجود دارد که عبارت اند از:

  • استفاده از دیسک های نوری
  • استفاده از Tap Drive
  • استفاده از Disk Staging Backup
  • استفاده از روش های ترکیبی

 

در سامانه های کنترل صنعتی و اسکادا نسخه پشتیبان باید با دقت فراوان و طبق برنامه خاص انجام شود زیرا وجود هر گونه خطا ممکن است سامانه را دچار اختلال نماید. به عنوان مثال اگر اطلاعات ذخیره شده در حافظه یک کنترل کننده پاک شود و هیچگونه نسخه پشتیبان نیز برای آن وجود نداشته باشد عملا راه اندازی مجدد سامانه با مشکل مواجه خواهد شد.

 

به طور کلی برای یک سازمان یا زیر ساخت صنعتی بهترین سامانه به منظور تهیه نسخه پشتیبان باید ویژگی های زیر را داشته باشد:

  • بازیابی اطلاعات در کوتاه ترین زمان
  • ایجاد زمانبندی برای تهیه نسخ پشتیبان طبق سیاست های امنیتی
  • آرشیو کردن اطلاعات و نگهداری آنها در فضای کاری، بیرون از سایت و فضای کاری(Off-Site)
  • تهیه نسخه های پشتیبان از سیستم عامل های مختلف و برنامه های کاربردی
  • امکان پشتیبان گیری متمرکز و خودکار وجود داشته باشد

 

 

به منظور تهیه نسخه پشتیبان سخت افزارها و نرم افزارهای مختلفی ارائه شده است که نمونه هایی از آنها عبارتند از:

  • نرم افزار Symantec Backup Exec
  • نرم افزار Veeam Backup
  • نرم افزار Nova Backup
  • نرم افزار Argentum Backup
  • NAS سرورها و ذخیره ساز تحت شبکه QNAP

 

گاها در برخی از صنایع دیده می شود که برای سامانه کنترل یا هیچگونه نسخه پشتیبانی وجود ندارد یا نسخه پشتیبان اصولی نبوده و امکان آسیب دیدن آن وجود دارد. در سامانه های کنترل و شبکه های صنعتی مدرن می توان از سامانه های پشتیبان گیری تحت شبکه استفاده نمود باید توجه داشت که استفاده از این سامانه ها می تواند باعث کاهش کارایی سامانه کنترل شده و حتی احتمال وجود Shut down نیز وجود خواهد داشت.

 

 

تنظیمات و پیکربندی سامانه کنترل و تجهیزات سخت افزاری و نرم افزاری

 

یکی از بخش های مهمی که در امنیت سامانه های کنترل صنعتی باید مد نظر قرار گیرد انجام تنظیمات و پیکربندی سخت افزارها و نرم افزارهای سامانه کنترل می باشد. معمولا علاوه بر انجام تنظیمات و پیکربندی امنیتی در تجهیزات و نرم افزارهای امنیتی، برخی از محصولات مربوط به سازندگان قابل پیکربندی بوده که در صورت استفاده از آنها این تنظیمات و پیکربندی باید اعمال شود. در ادامه مثال های مختلفی از این تنظیمات امنیتی مورد بررسی قرار خواهند گرفت.

 

  • پیکربندی و تنظیم ویژگی IP Access Protection در ماژول اترنت صنعتی

همانطور که قبلا نیز بیان شد در سامانه کنترل زیمنس یک کارت شبکه تحت عنوان ماژول اترنت وجود داشته و در این سامانه کنترلی مورد استفاده قرار می گیرد. در برخی از این ماژول ها قابلیت IP Access Protection وجود دارد که می توان به منظور ارتقا امنیت در شبکه صنعتی آن را فعال نمود.

با استفاده از این قابلیت که در برخی از CP های اترنت زیمنس نیز وجود دارد می توان از دسترسی غیرمجاز به کنترل کننده جلوگیری به عمل آورد.

 

  • فعال نمودن ویژگی Security در برخی از ماژول های اترنت زیمنس

در برخی از CP های اترنت زیمنس ویژگی تحت عنوان Security وجود دارد که در هنگام پیکربندی و انجام تنظیمات می توان آن را فعال نمود. فعال نمودن این بخش نیازمند نرم افزار خاصی با عنوان SCT (Security Configuration Tool) می باشد.

 

  • فعال نمودن ویژگی Protection در CPU زیمنس

در برخی از CPU های تولید شده توسط کمپانی زیمنس یک ویژگی تحت عنوان Protection وجود دارد که با استفاده از آن می توان سطوح مختلف دسترسی از قابلیت های Write/Read به همراه تعریف کلمه عبور تعریف نمود.

 

  • فعال نکردن برخی از ویژگی های موجود در محصولات زیمنس از جمله Web و FTP

امروزه در محصولات ارائه شده از طرف کمپانی ها و ویژگی های زیادی وجود دارد که برخی از کاربردها قابل استفاده می باشند. به عنوان نمونه وجود یک وب سرور ساده در کنترل کننده این قابلیت را برای کاربر ایجاد می کند که بتواند از طریق بستر اینترنت به کنترل کننده دسترسی داشته و آن را مانیتور نماید.

از آنجا که این ویژگی ها می توانند دارای آسیب پذیری های امنیتی باشند فعال بودن آن در سیستم ها و تجهیزات باید مورد بررسی قرار گیرد و پیشنهاد می شود از فعال نمودن آنها به جز در موارد و کاربردهای خاص خودداری شود.

 

  • ایجاد سطوح دسترسی برای کاربران در نرم افزار WinCC

در نرم افزار WinCC شرکت زیمنس که دارای کاربرد فراوانی در صنایع مختلف داخلی و خارجی است بخشی با عنوان User Administrator وجود دارد که با استفاده از آن می توان برای کاربران از اپراتورها، تکنسین ها و مهندسین با توجه به شرایط و نیاز سطوح دسترسی تعریف کرده و امنیت را در سامانه ارتقا بخشد.

 

 

  • پیکربندی و تنظیمات امنیتی مربوط به تجهیزات مورد استفاده در شبکه های صنعتی (Switch , Router)

 همانطور که قبلا نیز بیان شد معمولا در زیرساخت های صنعتی از شبکه های مختلفی استفاده می شود که از جمله آنها می توان به شبکه های اترنت صنعتی، پروفی باس، مدباس و … اشاره نمود. از طرفی به منظور راه اندازی این شبکه ها توپولوژی های مختلفی وجود دارد که هر یک از این توپولوژی ها در یک یا چند شبکه صنعتی مذکور قابل استفاده هستند. به عنوان مثال شبکه صنعتی پروفی باس در حالت عادی به صورت توپولوژی باس(Bus) قابل پیاده سازی می باشد.

لازم به ذکر است که شبکه پروفی باس را می توان به صورت ستاره نیز پیاده سازی کرد اما دارای پیچیدگی ها و سختی های مخصوص به خود می باشد. به همین منظور متخصصین و مهندسین حوزه اتوماسیون صنعتی ترجیح می دهند که این شبکه صنعتی را حتما به صورت توپولوژی باس پیاده سازی نمایند.

در برخی از شبکه های صنعتی می توان از تجهیزات شبکه مانند سوئیچ و روتر استفاده نمود. از مهمترین شبکه های صنعتی که این تجهیزات می توانند در آنها کاربرد داشته باشند اترنت صنعتی می باشد.

اترنت صنعتی بر اساس TCP کار می کند و دارای سرعت بسیار بالاتری نسبت به شبکه های صنعتی دیگر می باشد. هر چند این پروتکل بلادرنگ نبوده ولی امروزه این پروتکل ارتقاء پیدا کرده و از نوع بلادرنگ آن یعنی Profinet ارائه شده است. در واقع PROFINET دارای ویژگی های موجود در پروتکل های پروفی باس و اترنت صنعتی است. به عبارت دیگر هم بلادرنگ بوده و هم دارای ظرفیت بالای ارسال داده ها و اطلاعات صنعتی می باشد.

 

 

در شبکه هایی که مبتنی بر TCP بوده می توان از سوئیچ ها و روترهای صنعتی نیز استفاده نمود. در این صورت می توان بسیاری از ویژگی های امنیتی موجود در این تجهیزات را فعال نموده و سطح امنیت شبکه را ارتقا داد. به عنوان نمونه یکی از تجهیزات بسیار مهمی که در شبکه های صنعتی مبتنی بر TCP می توان از آن استفاده نمود سوئیچ SCALANCE زیمنس می باشد. نمونه هایی از این سوئیچ را در تصویر زیر مشاهده میکنید.

 

 

در برخی از این سوئیچ ها امکان استفاده از ویژگی های امنیتی از جمله ACL(Access Control List) نیز وجود دارد. البته نوع دیگری از سوئیچ های SCALANCE نیز ارائه شده است که با SCALANCE S مشخص می شوند. این نوع از سوئیچ ها دارای قابلیت های امنیتی بیشتری نسبت به سایر سوئیچ ها می باشند.

در اینگونه پروتکل ها (پروتکل های مبتنی بر TCP/IP) علاوه بر استفاده از سوئیچ ها و روترها، می توان از تجهیزات امنیتی جداگانه مانند دیواره آتش صنعتی (Industrial Firewall) نیز استفاده نمود. این تجهیزات امنیتی سطح امنیت شبکه را به صورت قابل توجهی افزایش می دهند.

 

لازم به ذکر است که انتخاب تجهیزات امنیتی به منظور استفاده در شبکه های صنعتی دارای شرایط و نکات خاصی است که در هنگام خرید باید به آنها دقت نمود زیرا در صورت عدم توجه به این نکات و عدم رعایت این شرایط استفاده از آنها نه تنها مفید نبوده بلکه امکان ایجاد اختلال در شبکه نیز بسیار زیاد خواهد بود.

بنابراین در یک شبکه صنعتی به منظور ارتقا سطح امنیت شبکه، انتخاب پروتکل باید طوری باشد که بتوان از تجهیزات امنیتی مختلفی استفاده نمود.

 

 

 نوع پروتکل های صنعتی و پیکربندی آنها

 

یکی از دیگر مواردی که در سامانه های کنترل صنعتی و اسکادا از دیدگاه امنیتی قابل بررسی است نوع پروتکل های صنعتی مورد استفاده همچون مدباس، پروفی باس، پروفی نت و … می باشد. امروزه بسیاری از سامانه های کنترل صنعتی و اسکادا از پروتکل های قدیمی استفاده نموده که دارای ضعف ها و آسیب پذیری های مختلفی هستند و بسیاری از آنها مربوط به ذات آن پروتکل می باشد.

اگر یک پروتکل صنعتی ذاتا دارای آسیب پذیری و ضعف امنیتی باشد برطرف نمودن آسیب پذیری و ارتقاء امنیت در آن به سادگی میسر نیست. بنابراین لازم است که در طراحی و راه اندازی سامانه های کنترل مبتنی بر شبکه های صنعتی از پروتکل هایی استتفاده شود که علاوه بر کارایی و عملکرد مناسب، دارای سطح امنیت بالایی نیز باشند؛ از طرفی این پروتکل های صنعتی باید طوری طراحی شوند که امکان تنظیم و انجام پیکربندی های امنیتی در آنها وجود داشته باشد.

به عنوان مثال در یک پروتکل صنعتی باید ویژگی VPN(Virtual Private Network) وجود داشته باشد زیرا در بسیاری از کاربرد ها لازم است که بستر ارتباطی دارای امنیت بالایی بوده و اطلاعات و داده های تبادلی در آن بستر غیر قابل سرقت توسط مهاجمین سایبری باشد.

 

 

در مقالات بعدی به بررسی سامانه های ESD و F&G که از مباحث مهم در سامانه کنترل می باشند خواهیم پرداخت.

 در پایان امیدواریم که از این مقاله بهره کافی را برده باشید.

واحد آموزش – گروه صنعتی نوین کنترل

ارسال نظر

آدرس ایمیل شما منتشر نخواهد شد.

پروژه ها


دستگاه های مولتی دریل
دستگاه های وایندر
خطوط ذوب ریسی
خطوط تولید استرچ متال
دستگاه های پاساژ
سیستم های بوستر پمپ

اطلاعات تماس


ساعات کاری


شنبه
8:00 تا 16:00
یک شنبه
8:00 تا 16:00
دو شنبه
8:00 تا 16:00
سه شنبه
8:00 تا 16:00
چهار شنبه
8:00 تا 16:00
پنج شنبه
8:00 تا 14:00
جمعه
تعطیل

درباره ما


گروه صنعتی نوین کنترل با بهرمندی از هسته مهندسی در زمینه مشاوره، طراحی، ساخت و اجرای سیستم های برق قدرت،اتوماسیون صنعتی و ابزاردقیق فعالیت می کند.

ایمیل:NovinControl.Co@yahoo.com

تلفن: 55239280-9831+

پروژه ها


دستگاه های مولتی دریل
دستگاه های وایندر
خطوط ذوب ریسی
خطوط تولید استرچ متال
دستگاه های پاساژ
سیستم های بوستر پمپ

تمامی حقوق مادی و معنوی این سایت برای گروه صنعتی نوین کنترل محفوظ می باشد.

error: Content is protected !!