خبرمقالات

سطوح امنیتی IEC 62443 را چگونه در سیستم‌های کنترل صنعتی پیاده‌سازی کنیم؟

کاربردهای نوین اینترنت اشیا منجر به افزایش پیچیدگی زیرساخت سیستم‌ها شده و فشار مضاعفی را بر امنیت فناوری اطلاعات و  همچنین فناوری عملیات (OT) ایجاد می‌کنند. با توجه به افزایش تعداد و پیچیدگی حملات سایبری توصیه می‌شود که سیستم‌های صنعتی از استانداردهای مشخصی پیروی کنند تا امنیت آنها همواره حفظ شود.

در این مطلب از فراست به شما خواهیم گفت که چگونه می‌توان سطوح امنیت IEC 62443 را در سیستم‌های کنترل صنعتی اعمال نمود و شما را با اولویت‌ها و گام‌های مورد نیاز جهت مقابله با تهدیدات سایبری آشنا خواهیم کرد.

مقدمه

در یک دهه اخیر، سیستم‌های کنترل صنعتی (ICS[۱]) رشد نمایی حملات سایبری را تجربه کردند. این صنعت با ایجاد استانداردهایی که به کاربران و فروشندگان تجهیزات برای امن‌سازی سیستم‌های کنترل صنعتی کمک می‌کنند، به این شرایط واکنش نشان داده است. امروزه استانداردهای کلیدی مختلفی در این حوزه وجود دارد. استاندارد IEC 62443 در راستای تلاش مشترک کمیته‌های ISA 99 و IEC و با هدف ارتقای امنیت، دسترس‌پذیری، جامعیت و محرمانگی اجزا یا سیستم‌های مورد استفاده در فرایندهای خودکارسازی و کنترل صنعتی تدوین شده است.

سری استانداردهای IEC 62443 در بخش‌های مختلف کنترل صنعتی قابل استفاده بوده و بسیاری از کشورها در سطح جهان نیز این استانداردها را تأیید کرده‌اند. IEC 62443 در حال تکامل و تبدیل شدن به یکی از استانداردهای مطرح این صنعت است و حتی شرکت تجهیزات الکترونیک فرانسوی اشنایدر الکتریک هم راهکار امنیت سایبری ویژه خودش را بر محور این استاندارد ارایه کرده است.

این مطلب از فراست با هدف معرفی مفاهیم برای اشخاصی که آشنایی کمی با امنیت سایبری در سیستم‌های کنترل صنعتی دارند، تهیه شده و شامل یکسری مثال عملی برای پیاده‌سازی این راهکارها است. توجه کنید که این مطلب یک راهنمای عمومی است که برای معرفی مفاهیم، تهیه شده است. بنابراین این مطلب به تنهایی و بدون بررسی دقیق شرایط خاص شبکه برای امن‌سازی سیستم‌های کنترل صنعتی کافی نیست.

EcoStruxure

EcoStruxure™ معماری باز و تعامل‌پذیر شرکت اشنایدر الکتریک برای یک سیستم مجهز به اینترنت اشیا است. EcoStruxure از پیشرفت‌های اینترنت اشیا، فناوری‌های سیار، حسگرها، ابر، فناوری‌های تحلیلی و امنیت سایبری برای ابتکار و نوآوری در سطح مبتدی استفاده می‌کند. این راهکار شامل بخش‌هایی همچون تجهیزات متصل به شبکه، برنامه‌های کاربردی و کنترل لبه، سرویس‌ها و تحلیل‌ها است. تاکنون EcoStruxure بیش از ۴۵۰ هزار بار نصب شده و قابلیت پشتیبانی از ۹ هزار ابزار یکپارچه‌ساز را دارد. همچنین بیش از ۱ میلیارد دستگاه را نیز به اینترنت متصل کرده است.

یکی از عناصر مهم در معماری EcoStruxure، امنیت سایبری سراسری آن است. در این مقاله بررسی می‌کنیم که اشنایدر الکتریک چگونه از فنون استاندارد برای امن‌سازی راهکارهای EcoStruxureاش استفاده کرده است.

مفاهیم امنیت سایبری

در این قسمت، مفاهیمی را مرور می‌کنیم که به شما کمک می‌کنند توصیه‌های ارایه شده در این مقاله را درک کنید.

سطوح تضمین امنیت

استاندارد IEC 62443 شامل مفهوم سطوح تضمین امنیت است. این بخش یکسری الزام خاص را تعریف می‌کند که برای ارتقای سطح امنیت سیستم به یکی از چهار سطح از پیش تعریف شده طراحی شده‌اند. در جدول زیر، خلاصه‌ای از هر سطح به همراه ویژگی‌های حملاتی که برای مقابله با آن طراحی شده‌اند، مشخص شده است.

سطح امنیت

هدف مهارت‌ها انگیزه ابزارها منابع
SL1 تخلفات غیرجدی یا تصادفی عدم نیاز به مهارت‌های حمله اشتباه غیرعمدی اشخاص
SL2 جرایم سایبری، هکر عمومی کم ساده کم (تک‌نفره)
SL3 هکرهای فعال سیاسی، تروریست‌ها خاص ICS متوسط پیچیده (حمله) متوسط (گروه هکری)
SL4 دولت‌ها خاص ICS بالا پیچیده (کارزار) گسترده (تیم‌های چندتخصصی)

 

برای مثال علاقمندان به مقابله با حملات مجرمان یا هکرهایی با مهارت‌های عمومی باید سیستمی با الزامات سطح امنیتی SL2 را پیاده‌سازی کنند. دقت داشته باشید که ویژگی‌های مشخص شده در این جدول فقط یکسری طبقه‌بندی عمومی برای راهنمایی مشتریان هستند. برای مثال پیاده‌سازی سطح SL2 تضمینی برای مقابله با حملات صورت گرفته توسط همه هکرها یا مجرمان سایبری ایجاد نمی‌کند.

دفاع در عمق

راهکار دفاع در عمق جهت حفاظت از جامعیت دارایی‌های اطلاعاتی در شبکه اجرا می‌شود. پیاده‌سازی صحیح این راهکار مستلزم سپری کردن ۶ گام است که به شرح زیر هستند:

  1. تدوین یک طرح امنیتی: به طور کلی مهمترین گام برای پیاده‌سازی دفاع در عمق، تهیه یک طرح امنیتی است. کارمندان در این طرح امنیتی یک بررسی جامع از تمام تجهیزات متصل به شبکه کنترل صنعتی انجام داده و نحوه اتصال این تجهیزات را بررسی می‌کنند. آنها همچنین پیکربندی امنیتی تجهیزات را تحلیل نموده و آسیب پذیری‌های بالقوه سیستم را شناسایی می‌کنند. این طرح امنیتی مشخص کننده تأثیر محصولات، معماری‌ها، افراد و فرایندهای سازمانی است. پیش از انجام هر کاری برای ارتقای امنیت سیستم، تدوین یک طرح امنیتی جامع ضروری است؛ در غیر این صورت ممکن است کارمندان بدون اینکه از روش های حمله باخبر باشند چنین تصور کنند که سیستم امن است.
  2. تفکیک شبکه‌ها: هنگامی که در طرح امنیتی، نقشه شبکه مشخص شد شبکه‌ها را می‌توان بر اساس عملکرد کلی آنها تفکیک کرد. برای مثال می‌توان شبکه را به بخش‌های سازمانی، کارخانه، فرایندها و میدانی تقسیم نمود. تمامی راه های ارتباطی بین بخش‌های مختلف هم باید شناسایی شوند.
  3. حفاظت از محیط شبکه: در این مرحله، راه های ارتباطی بین بخش‌های مختلف به خوبی حفاظت شده‌اند. یکی از اجزای مهم در این گام، امن‌سازی دسترسی از راه دور است.
  4. تفکیک بیشتر شبکه: بخش‌های ایجاد شده در گام دوم بر اساس مکان یا نحوه عملکردشان به بخش‌های کوچکتری تقسیم می‌شوند. همچنین محیط این بخش‌ها امن‌سازی می‌شود. توجه کنید که ممکن است سطح امنیت تخصیص یافته به هر بخش متفاوت باشد. به عنوان مثال سطح امنیت تجهیزاتی که نقش نظارتی دارند را می‌توان بر روی سطح یک تنظیم نموده و برای یک سیستم ایمنی، سطح سه را در نظر گرفت. نیازی نیست که سطح هر بخش تفکیک شده در شبکه با همسایگانش یکسان باشد.
  5. امن‌سازی دستگاه‌ها: این گام شامل افزودن قابلیت‌های لازم به دستگاه‌های ICS جهت افزایش مقاومت آنها در برابر حملات سایبری است. به این ترتیب احتمال ایجاد تهدید برای عناصر موجود در شبکه در صورت نفوذ یک هکر به شبکه کاهش پیدا می‌کند.
  6. نظارت و به‌روزرسانی: بر روی فعالیت‌های انجام شده در شبکه نظارت پیوسته صورت می‌گیرد تا تهدیدات بالقوه شناسایی و وصله‌های امنیتی به محض انتشار نرم‌افزار/ میان‌افزار جدید نصب شوند.

بسیاری از مشتریان صنعتی تخصص لازم را در حوزه امنیت سایبری ندارند. شرکت اشنایدر الکتریک برای کمک به این گروه، یک طرح امنیت سایبری تدارک دیده و کارشناسان آن می‌توانند به مشتریان برای پیاده‌سازی راهکار دفاع در عمق کمک کنند.

کنترل‌های جبرانی

یکی دیگر از مفاهیم مهم، کنترل‌های جبرانی است. اگر محصولی قابلیت های امنیتی مورد نیاز را نداشته باشد، در صورت وجود آن قابلیت در یکی دیگر از اجزای سیستم، این کمبود قابل جبران است. برای مثال فرض کنید سیستمی که از یک PLC قدیمی استفاده می‌کند که فاقد قابلیت‌های امنیتی مورد نیاز است؛ با نصب یک فایروال قبل از این دستگاه می توان قابلیت مورد نیاز را برای حفاظت از آن ایجاد کرد.

مرور کلی بر روی قالب نمونه شبکه

برای نشان دادن تغییرات مورد نیاز جهت ارتقای سطح امنیت متناسب با سطوح مشخص شده، از یک شبکه فرضی به عنوان نمونه استفاده می‌کنیم. اجزای سیستم ICS که در شبکه مستقر شده‌اند شامل کنترل‌گرها، سیستم‌های ایمنی، درایوها و رابط‌های انسان – ماشین (HMI[۲]) هستند. شبکه مثال ما یک سیستم کنترل صنعتی عمومی است که می‌توان از آن در بخش‌های مختلف صنعتی استفاده کرد.

این مقاله فقط الزامات امنیتی را برای شبکه‌های باسیم (LAN) تشریح می‌کند و بررسی اجزایی که با استفاده از رابط‌های سریال به هم متصل شده‌اند، خارج از حوزه این مقاله است.

در سایر بخش‌های این مقاله، شبکه مرجع را تغییر می‌دهیم تا اصلاحاتی را که به برقراری شرایط مشخص شده در سطوح امنیتی مختلف استاندارد IEC 62443 کمک می‌کنند، نشان دهیم. هدف اصلی این مقاله سه سطح اول بوده (چون تعداد بسیار زیادی از کاربردهای صنعتی را پوشش می‌دهند) و تمرکز آن الزامات مشخص شده در استاندارد IEC 62443-3-3 است. همچنین به منظور ساده تر شدن توضیحات، فرض بر این است که وقتی سطح امنیت ارتقا یابد امنیت کل شبکه نیز افزایش خواهد یافت (یعنی هر بخش از شبکه در یک سطح امنیتی متفاوت قرار ندارد).

تغییرات پیشنهادی شامل حداقل تغییرات برای برآورده کردن الزامات هر سطح هستند. برای مثال جهت بخش‌بندی شبکه‌ها در سطح امنیتی اول می‌توان از یک فایروال ساده استفاده کرد. استفاده از فایروالی پیشرفته‌تر با قابلیت بررسی بسته‌ها یا یک درگاه یک‌طرفه منجر به افزایش سطح امنیت می‌شود اما این قابلیت‌های امنیتی مازاد مخصوص سطوح پیشرفته هستند. سازمان‌ها می‌توانند برای امن‌سازی هر چه بیشتر شبکه‌های خود از فنون مشخص شده در سطوح پیشرفته استفاده کنند.

همچنین در این مقاله به بررسی محصولات و معماری‌ها خواهیم پرداخت. سایر جنبه‌های قابل تعریف در طرح امنیتی (آموزش کارمندان، سیاست‌های امنیتی شرکت و غیره) در این مطلب بررسی نمی‌شوند.

سطح امنیتی اول

سطح امنیتی یک (SL1) برای محافظت از سیستم در برابر تخلفات تصادفی یا غیرجدی طراحی شده است. استاندارد IEC 62443-3-3 مجموعه‌ای وسیع از الزامات مورد نیاز برای رسیدن به این سطح را مشخص کرده است. جدول زیر خلاصه‌ای از این الزامات را نشان می‌دهد. لازم به ذکر است که در استاندارد IEC 62443-3-3 37 مورد مشخص شده اما در این جدول فقط ۱۴ مورد مهم مشخص شده‌اند.

 

شماره الزامات روش برآورده کردن الزامات
۱ سیستم کنترل، قابلیت احراز هویت و صدور مجوز را دارد. حساب‌های کاربری را می‌توان ایجاد و مدیریت کرد. قدرت کلمه عبور قابل تنظیم است. تلاش‌های ناموفق انجام شده برای ورود پیگیری می‌شوند. حساب‌های کاربران نهایی بر روی دستگاه‌ها یا سرورهای احراز هویت مرکزی ایجاد می‌شوند.
۲ سیستم کنترل، قابلیت احراز هویت و صدور مجوز برای کاربران شبکه بی‌سیم را دارد. زیرساخت شبکه و دستگاه‌های همراه، کاربران را احراز هویت می‌کنند.
۳ سیستم کنترل، قابلیت نظارت و کنترل دسترسی‌های صورت گرفته از شبکه‌های غیرقابل اعتماد را دارد. فایروال‌ها بر ترافیک ورودی از شبکه‌های غیرقابل اعتماد نظارت دارند.
۴ سیستم کنترل می‌تواند کد تعبیه شده در ایمیل یا رسانه‌های ذخیره اطلاعات را مسدود کند. سرور EPO قابلیت محدود کردن تعامل با دستگاه‌های همراه را دارد.
۵ سیستم کنترل، قابلیت تولید رکوردهای بازرسی عمومی را دارد. گزارش‌ها و رکوردها توسط تجهیزات تولید می‌شوند.
۶ سیستم کنترل از جامعیت داده های تبادلی حفاظت می‌کند. تجهیزات شبکه از پروتکل‌های رمزنگاری شده، بررسی‌های قوی و کدهای هش پشتیبانی می‌کنند.
۷ سیستم کنترل، کدهای مخرب را شناسایی و با آنها مقابله کرده و پیامدهای آنها را گزارش می‌دهد. قابلیت تعریف لیست سفید برنامه‌های کاربردی بر روی دستگاه‌های انتهایی شبکه فعال است.
۸ سیستم کنترل از محرمانگی داده‌های در حال سکون یا در حال تبادل محافظت می‌کند. تجهیزات از قابلیت تعریف نام کاربری و کلمه عبور پشتیبانی می‌کنند.
۹ سیستم کنترل، شبکه‌ها را مرزبندی و از مرزها حفاظت می‌کند. فایروال‌ها شبکه‌ها را بخش‌بندی کرده و از مرزها حفاظت می‌کنند.
۱۰ سیستم کنترل می‌تواند از دریافت پیام‌های ارسال شده از سوی کاربران یا سیستم‌های بیرونی جلوگیری کند. فایروال می‌تواند پیام‌های ارسالی از سمت شبکه‌های بیرونی را فیلتر کند.
۱۱ برای پیاده‌سازی مدل مرزبندی شبکه، سیستم کنترل قابلیت پشتیبانی از تفکیک داده‌ها، برنامه‌های کاربردی و سرویس‌ها را بر اساس میزان اهمیت آنها دارد. شبکه باید با مدل‌سازی محدوده‌ها و مجراها مرزبندی شود.
۱۲ در زمان اجرای حمله محروم‌سازی از سرویس، سیستم کنترل در حالت «تنزل یافته» کار می‌کند. عناصر شبکه (سوئیچ‌ها، مودم‌ها و غیره) از قابلیت محدود کردن میزان جریان داده‌ها پشتیبانی می‌کنند.
۱۳ ممنوع کردن عملکردها، پورت‌ها، پروتکل‌ها و سرویس‌های غیرضروری دستگاه‌های ICS توانایی غیرفعال کردن قابلیت‌های غیرضروری را دارند.
۱۴ سیستم کنترل از اطلاعات در سطح سیستم و کاربر پشتیبان‌گیری می‌کند. در هر دستگاه، نسخه پشتیبان وجود دارد.

پیاده‌سازی الزامات سطح یک بر کل معماری شبکه تأثیرگذار است. برای رسیدن به سطح یک باید مراحل لازم (به ویژه بخش‌بندی شبکه و حفاظت از مرز بخش‌های مختلف) جهت پیاده‌سازی رویکرد دفاع در عمق انجام شود. فرض کنید منطقه کنترل شبکه به هفت بخش کوچکتر تقسیم شده است که شامل موارد زیر هستند:

  • منطقه غیرنظامی (DMZ[۳]): یک زیرشبکه که سرویس‌های در ارتباط با خارج مستقر در منطقه کنترلی را به شبکه سازمانی متصل می‌کند. سرورهای منطقه سازمانی نباید با سرورهای منطقه کنترل در ارتباط باشند اما سیستم‌های تجاری به دسترسی به داده‌های منطقه کنترل شده نیاز داشته و اجزای این بخش از شبکه هم نیازمند دسترسی به فایل‌های دریافت شده از سایر شبکه‌ها هستند (مثل به‌روزرسانی‌های میان‌افزار). DMZ شامل سیستم‌هایی است که نیاز به دسترسی به هر دو گروه تجهیزات سازمانی و کنترلی را دارند.
  • منطقه تولید/ پردازش: این منطقه حاوی برنامه‌های کاربردی و محصولاتی است که امکان مدیریت فرایندها و تولید را فراهم می‌کنند.
  • منطقه وسایل امنیتی: یک بخش مرکزی حاوی انواع ابزارهای امنیتی است.
  • منطقه بی‌سیم: زیرساخت بی‌سیم که در قالب یک منطقه مجزا قرار می‌گیرد.
  • مناطق کنترل: در این مثال بخش دستگاه‌های میدانی به سه منطقه تقسیم می‌شود. دو مورد از این مناطق مربوط به کنترل استاندارد و یک مورد کنترل‌کننده ایمنی است. تقسیم منطقه بر اساس طرح امنیتی انجام شده و با توجه به کاربرد آن متفاوت خواهد بود.

برای بخش‌بندی شبکه از فایروال‌های رده صنعتی استفاده شده است. همچنین یک سرور EPO و سرور مدیریت دستگاه‌های همراه هم اضافه شده است. برای سرورهای میزبان نرم‌افزارهای ICS نیز یک لیست سفید از نرم‌افزارهای مجاز تهیه شده است.

سطح امنیتی دوم

الزامات امنیتی سطح دو شامل موارد مشخص شده برای سطح اول و موارد مشخص شده در جدول زیر می‌باشد. لازم به ذکر است که در استاندارد IEC 62443-3-3 23 مورد مشخص شده اما در جدول زیر فقط ۱۱ مورد مهم مشخص شده‌ است.

 

شماره الزامات روش برآورده کردن الزامات
۱ سیستم کنترل، فرایندهای نرم‌افزاری را احراز هویت کرده و برای آنها مجوز دسترسی صادر می‌کند. دستگاه‌ها و نرم‌افزارها با استفاده از یکسری گواهینامه امنیتی احراز هویت می‌شوند.
۲ سیستم کنترل، افراد و نرم‌افزارهای مورد استفاده در ارتباطات بی‌سیم را احراز هویت می‌کند. دستگاه‌های شبکه و زیرساخت شبکه، احراز هویت کاربران را بر اساس یک سرور مرکزی احراز هویت انجام می‌دهند.
۳ سیستم کنترل قادر است در صورت لزوم از شاخص کلیدی عملکرد استاندارد و احراز هویت بر اساس گواهینامه‌های امنیتی پشتیبانی کند. در صورت نیاز، مرجع صادرکننده گواهینامه‌های امنیتی به شبکه کنترل اضافه می‌شود.
۴ سیستم کنترل می‌تواند درخواست‌های دسترسی صادر شده از شبکه‌های غیرقابل اطمینان را رد کند مگر آنکه توسط یک شخص منتسب تأیید شده باشند. این قابلیت در دستگاه‌های انتهایی فعال می‌شود.
۵ سیستم کنترل به کاربران مجاز امکان می‌دهد که نگاشت مجوزها به نقش‌ها را تعریف کرده و تغییر دهند. نقش‌ها و مجوزها در دستگاه‌ها یا در سیستم یکپارچه مدیریت حساب‌های کاربری تعریف می‌شوند.
۶ سیستم کنترل می‌تواند قابلیت حفاظت در برابر کدهای مخرب را در همه نقاط ورودی و خروجی پیاده‌سازی کند. سیستم تشخیص نفوذ به شبکه امکان تشخیص کدهای مخرب و حفاظت از شبکه در برابر آنها را دارد. سرور مرکزی پیاده‌سازی شده در گره‌های راه دور از شبکه حفاظت می‌کند.
۷ سیستم کنترل از جامعیت نشست‌ها حفاظت می‌کند. تجهیزات از پروتکل‌های رمزنگاری پشتیبانی می‌کنند.
۸ سیستم کنترل از اطلاعات ممیزی و بررسی شبکه محافظت می‌کند. سرور «رویدادها» به صورت یک مخزن مرکزی پیاده‌سازی می‌شود تا رویدادها را ثبت کند. دستگاه‌های شبکه، رکوردها را به این سرور ارسال می‌کنند.
۹ سیستم کنترل از محرمانگی داده‌های مربوط به دسترسی از راه دور که در یک شبکه غیرقابل اعتماد در جریان هستند، مراقبت می‌کند. VPN فعال شده توسط فایروال، اتصالات مربوط به دسترسی از راه دور را امن‌سازی می‌کند.
۱۰ سیستم کنترل، قابلیت تفکیک شبکه‌های سیستم کنترل از سایر شبکه‌ها به صورت فیزیکی را دارد. ارتباطات مربوط به سیستم‌های حیاتی و مهم با شبکه‌ای غیر از شبکه مورد استفاده برای سیستم‌های غیرحیاتی انجام می‌شوند.
۱۱ سیستم کنترل، فهرست همه اجزای نصب شده با ویژگی‌های آنها را گزارش می‌دهد. سیستم تشخیص نفوذ می‌تواند قابلیت ثبت داده‌ها در یک مخزن را فراهم کند.

 

لازم به ذکر است که بعضی از الزامات امنیتی، نسخه ارتقایافته الزامات امنیتی سطح یک و بعضی از آنها کاملاً جدید هستند. برای مثال در سطح امنیتی اول، سیستم باید قابلیت احراز هویت و صدور مجوز دسترسی را برای کاربران داشته باشد و در سطح دوم سیستم بایستی توانایی انجام این کار را برای دستگاه‌ها و فرایندهای نرم‌افزاری داشته باشد. در سطح اول، سیستم باید بتواند نرم‌افزارهای مخرب را شناسایی و مسدود کرده و آنها را گزارش دهد. در سطح دوم، سیستم باید این قابلیت را برای نقاط ورودی و خروجی تمام مناطق داشته باشد. گاهی وقت ها قابلیت‌های جدیدی همچون توانایی پشتیبانی از گواهینامه‌های امنیتی برای احراز هویت هم اضافه می‌شوند.

به منظور برآورده کردن بعضی از الزامات امنیتی، اتصال تجهیزات به شبکه لازم است. بخش یکپارچه مدیریت حساب کاربری، مرجع صدور گواهینامه امنیتی، سرور پشتیبان‌گیری، سرور رویدادها و سیستم تشخیص نفوذ هم به شبکه اضافه شده‌اند. شبکه کنترل نیز به دو بخش تفکیک شده است. توجه کنید که دستگاه ICS تغییر کرده تا مجهز به امکانات جدید مشخص شده در SL2 شود (مانند قابلیت پشتیبانی از پروتکل‌های امنیتی جدید).

سطح امنیتی سوم

سطح امنیتی سوم شامل الزامات امنیتی سطح دوم به همراه الزامات مشخص شده در جدول زیر است. لازم به ذکر است که در استاندارد IEC 62443-3-3  ۳۰ مورد مشخص شده اما در این جدول فقط ۱۲ مورد مهم مشخص شده‌اند.

شماره الزامات روش برآورده کردن الزامات
۱ سیستم کنترل برای رابط‌های کاربری غیرقابل اعتماد از احراز هویت چندمرحله‌ای پشتیبانی می‌کند. این قابلیت از طریق مدیریت متمرکز حساب‌های کاربری و دستگاه‌های انتهایی پیاده‌سازی می‌شود.
۲ سیستم کنترل، هر فرایند امنیتی را به صورت منحصربه‌فرد شناسایی و احراز هویت می‌کند. این قابلیت توسط مرجع صدور گواهینامه پیاده‌سازی می‌شود. از پروتکل‌های امنیتی هم می‌توان استفاده کرد.
۳ سیستم کنترل از قابلیت مدیریت یکپارچه حساب‌های کاربری پشتیبانی می‌کند. مدیریت یکپارچه حساب‌های کاربری با استفاده از سیستم مدیریت حساب مرکزی پیاده‌سازی می‌شود.
۴ سیستم کنترل با استفاده از سازوکارهای سخت‌افزاری از کلیدهای خصوصی حفاظت می‌کند. عنصر امن در تجهیزات ICS
۵ سیستم کنترل، هر دستگاه بی‌سیم غیرمجاز را شناسایی کرده و گزارش می‌دهد. شناسایی دستگاه‌های بی‌سیم غیرمجاز با اضافه کردن دستگاه تشخیص تهدیدات بی‌سیم میسر می‌شود.
۶ سیستم کنترل پیش از اجرای کدهای سیار، جامعیت آنها را بررسی می‌کند. بررسی جامعیت کدهای سیار توسط سرور EPO و مرجع صدور گواهینامه انجام می‌شود.
۷ سیستم کنترل، یک گزارش امنیتی جامع تهیه می‌کند که به صورت مرکزی مدیریت می‌شود. دستگاه‌های انتهایی شبکه، فایل‌های گزارش را به سرور SIEM هدایت می‌کنند.
۸ سیستم کنترل، ساعت داخلی سیستم را در بازه‌های زمانی قابل تنظیم همگام‌سازی می‌کند. منبع زمانی GPS به شبکه اضافه می‌شود.
۹ سیستم کنترل از سازوکارهای رمزنگاری پشتیبانی می‌کند تا تغییر اطلاعات در حین ارتباط را شناسایی کند. این قابلیت با استفاده از پروتکل‌های امن پیاده‌سازی می‌شود.
۱۰ سیستم کنترل، سازوکارهای محافظت در برابر کدهای مخرب را به صورت مرکزی مدیریت می‌کند. حفاظت در برابر کدهای مخرب از طریق سرور EPO و SIEM انجام می‌شود. همه مشکلات شناسایی شده به سرور SIEM ارسال می‌شوند.
۱۱ سیستم کنترل از قابلیت پشتیبان‌گیری خودکار بر اساس بازه‌های زمانی قابل تنظیم پشتیبانی می‌کند. قابلیت پشتیبان‌گیری خودکار در سرور پشتیبان‌گیری وجود دارد.
۱۲ سیستم کنترل، تنظیمات امنیتی فعلی دستگاه‌های انتهایی را گزارش می‌دهد. سرور EPO به همراه سیستم‌های مدیریت شبکه، تنظیمات امنیتی را گزارش می‌دهند.

 

بعضی از الزامات سطح سوم در تجهیزات ICS از جمله پروتکل‌های امنیتی، اجباری و استفاده از عناصر امن[۴] برای محافظت از کلیدها پیاده‌سازی شده‌اند. در سطح امنیتی دوم می‌توان الزامات مشخص شده را با استفاده از نرم‌افزارهای جدید پیاده‌سازی کرد ولی در سطح سوم ممکن است نیاز به جابه‌جایی یا تغییر در طراحی وجود داشته باشد.

برای برآورده کردن بعضی از الزامات باید دستگاه‌های جدیدی به شبکه اضافه شود. برای مثال سرور ثبت رویداد سطح دوم باید به سرور SIEM ارتقا یابد. همچنین یک منبع زمانی جی‌پی‌اس و یک دستگاه تشخیص تهدیدات بی‌سیم هم باید اضافه شود.

گواهینامه‌های سیستم و محصول

استاندارد IEC 62443 الزامات مربوط به سطوح امنیتی مختلف را مشخص می‌کند. این الزامات که در بخش‌های قبلی مورد بررسی قرار گرفتند هم برای کاربران نهایی و هم فروشندگان تجهیزات، مفید و ارزشمند هستند:

  • کاربران نهایی: کاربران معمولاً فروشندگان را بر اساس ضوابط مختلف از جمله امکانات محصول، قیمت و زمان تحویل ارزیابی می‌کنند. ممکن است مشخص کردن امکانات یک فرایند پیچیده باشد. IEC 62443 با فراهم کردن امکان انتخاب سطح امنیتی مدنظر به جای تهیه فهرستی از امکانات مختلف، فرایند تعیین الزامات امنیتی را آسان‌تر می‌کند. به این ترتیب کاربران نهایی از امکانات مورد نیاز برای رسیدن به سطوح مختلف استاندارد IEC 62443 مطلع می‌شوند.
  • فروشندگان تجهیزات: فروشندگان هم می‌توانند با استفاده از استاندارد IEC 62443 محصولات خودشان را از رقبا متمایز کنند. معمولاً همیشه نشان دادن اینکه یک راهکار نسبت به سایر راهکارها امن‌تر است، کار سختی بوده چون هر راهکار مجموعه امکانات متفاوتی دارد. شرکت‌هایی که راهکارها را بر اساس سطوح مشخص شده در استاندارد IEC 62443 طراحی و رتبه‌بندی می‌کنند می‌توانند با نمایش رتبه محصولات خودشان از رقبا پیشی بگیرند.

این سازمان‌ها می‌توانند الزامات مشخص شده برای دستگاه‌های انتهایی شبکه (مثل آنچه در استاندارد IEC 62443-4-2 مشخص شده) یا سیستم‌ها (استاندارد IEC 62443-3-3) را دنبال کنند. در هر دو حالت، استانداردها باید توسط یک شخص ثالث مستقل ارزیابی و اعتبارسنجی شوند. کاربران نهایی باید هنگام خرید محصولات، گواهینامه‌های امنیتی را در نظر داشته باشند.

نتیجه‌گیری

استاندارد IEC 62443 یک راهنمای جامع و مفید را در اختیار کاربرانی قرار می‌دهد که به دنبال امن‌سازی راهکارهای امنیتی هستند. این چارچوب تعیین سطوح امنیتی به گروه‌بندی الزامات امنیتی مورد نیاز برای رسیدن به هر سطح کمک می‌کند. ممکن است ارتقای امنیت سیستم مستلزم تغییر تجهیزات قدیمی ICS و خرید ابزارهای امنیتی جدید باشد. با افزایش سطوح، سطح پیچیدگی پیاده‌سازی و هزینه‌های آن نیز افزایش پیدا می‌کند.

پیش از انجام هر کاری برای امن‌سازی یک راهکار امنیتی، وجود یک طرح امنیتی جامع ضروری است. محصولات و معماری‌های امن تنها بخشی از راهکار بوده و آموزش کارمندان و وجود سیاست‌های امنیتی کارآمد برای امن‌‍سازی سیستم‌های کنترل صنعتی ضروری است.

[۱] Industrial Control Systems

[۲] Human Machine Interface

[۳] Demilitarized Zone

[۴]  فناوری عنصر امن (Secure Element) چیست؟

 

نمایش بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

یک + چهارده =

0
سبد خرید
  • هیچ محصولی در سبدخرید نیست.