سیستمهای کنترل صنعتی، کنترل دنیای فیزیکی و سیستمهای فناوری اطلاعات، مدیریت دادهها را بر عهده دارند. محیطی که این سیستمها در آن کار میکنند دائما در حال تغییر هستند. سیستمهای کنترل صنعتی خودشان را با راه کارهای فناوری اطلاعات تطبیق میدهند تا توانایی دسترسی از راه دور خود را ارتقا دهند. این سیستمها با استفاده از کامپیوترهای استاندارد صنعتی، سیستم عاملها و پروتکلهای شبکه پیادهسازی شدهاند و از این نظر سعی بر آن دارند خود را شبیه سیستمهای فناوری اطلاعات کنند. این کار به طور خیلی جدی باعث شده است که این سیستمها از حالت منزوی و انفرادی خارج شوند و این امر یک نیاز بزرگ را برای امنیت این سیستمها ایجاد میکند. از جایی که بیشتر راه کارهای امنیتی برای سیستمهای IT طراحی میشوند، این راهکارها در محیط ICS نیز مورد استفاده قرار گیرند. در بعضی موارد نیز بیشتر راه کارهای جدید نیازمند این هستند که متناسب با محیط ICS باشند. جدول زیر خلاصهای از تفاوتهای بین سیستمهای IT و ICS را به تصویر کشیده است. امنیت اطلاعات با معرفی سه معیار اساسی به منظور تامین امنیت سامانههای اطلاعاتی پا به عرصه وجود گذاشت. این سه معیار که از گذشته تا کنون مبنای اصلی بسیاری از کارهای صورت گرفته بوده است عبارتند از:
محرمانگی
ابزارها و سامانههای فناوری اطلاعات در مدل ابتدایی خود باید بتوانند به نحوی عمل کنند که پوشش سه معیار معرفی شده در بالا را تضمین کنند. بدین معنی که یک سامانه اطلاعاتی باید اولاً در هر زمان مورد دسترس باشد و خدمات مورد نیاز را ارائه دهد (دسترسپذیری)، دوماً از افشای اطلاعات کاربران و مشاهده آنها توسط افراد غیرمجاز جلوگیری کند و همچنین اطلاعات رد و بدل شده در سامانه از خرابی یا دستکاری در امان باشد یا به عبارتی اطلاعاتی دریافتی در مقصد صحت و اصالت خود را حفظ کند(جامعیت). این سه معیار اساسی که در جوامع امنیت به مثلث امنیت نیز معروف است در بدو پیدایش در سامانههای ارتباطی و فناوری اطلاعاتی مورد استفاده قرار گرفت و رشد و توسعه این مدل بیشتر برای این نوع سامانهها مورد توجه قرار گرفت. امروزه با گسترش و نفوذ سامانههای فناوری اطلاعات در زیرساختهای کنترل صنعتی اولویتبندی این مفاهیم تغییر کرده است. این تغییر به این صورت است که در زیرساختهای کنترل صنعتی بالاترین اولویت در مثلث امنیت در دسترس بودن سامانههای کنترل صنعتی است و اولویت دوم و سوم به ترتیب از آن جامعیت و محرمانگی اطلاعات میباشد. دلیل این مهم این است که در صورت از دسترس خارج شدن این سامانهها، تهدیدات زیادی برای جان انسان، محیط زیست و اقتصاد به همراه دارد. این تهدیدات ناشی از استفاده این سامانهها در اکثر زیرساختهای حساس و حیاتی مانند: دیسپاچینگ ملی برق، دیسپاچینگ ملی گاز، سیستمها حمل و نقل ریلی و هوایی، کارخانههای نفت و گاز، زیرساختهای انرژی اتمی، آب و فاضلاب و سایر کارخانههای مهم میباشد.
همچنین در سامانههای کنترل صنعتی عامل بلادرنگ بودن سامانهها مورد توجه قرار داشته و از اهمیت بسیار بالایی در این زیرساختها برخوردار است. در حالی که در امنیت سامانههای فناوری اطلاعات این معیار مورد توجه نیست. به عنوان مثال با توجه به اینکه تجهیزات امنیت ممکن است در بلادرنگ بودن دادههای ارسالی وقفه بیاندازد، بهتر است در استفاده از این تجهیزات جانب احتیاط در طراحی و درک بلادرنگی رعایت شود.
مقایسه معیارهای امنیت در زیرساختهای فناوری اطلاعات و کنترل صنعتی
وضعیت امنیت در زیرساختهای کنترل صنعتی مناسب نیست. دلیل این امر نبود دانش و رویکرد امنیتی مناسب در زیرساختهای کنترل صنعتی است، چرا که اغلب مدیران اینگونه زیرساختها سعی بر استفاده از نیروهای درون سازمانی دارند و متخصصین امنیت داخلی به دلیل ترس از ایست قلبی فرآیندهای در حال اجرا پیگیری سختگیرانهای در امنیت بخشهای کنترلی و فیلد ندارند و بیشتر تمرکز خود را در زیرساخت تجاری و شبکه اتوماسیون اداری میگذارند. از این رو بخش اعظم این وظیفه سنگین به متخصصین ابزار دقیق و مهندسین فرآیند سپرده میشود. با نگاهی کنجکاوانه به نیازمندیهای شغلی، دروس گذرانده شده و مکانهای پروژهای و سایر ویژهگیها در کارشناسان ابزاردقیق متوجه میشویم، آنها دانش امنیت سایبری کای برای امنسازی این زیرساختها ندارند و حتی کارفرماها نیز مطالبهای در این زمینه ندارند. در نتیجه مقوله امنیت در زیرساختهای کنترل صنعتی از اهمیت چندانی برخوردار نیست. نتیجه این امر در جدول مقایسهای زیر آورده شده است.
معیار
زیرساختهای فناوری اطلاعات
سیستمهای کنترل صنعتی
سیستمهای ضد بدافزار
به طور گسترده استفاده می گردد
اغلب دشوار و در مواقعی پیاده سازی اینگونه ابزارها غیرممکن است
زمان حیات(Lifetime)
بین 3 تا 5 سال
بین 5 تا 20 سال (در کشور ما گاها بیشتر)
الزامات اجرا
به هنگام نیست.
پاسخها باید سازگار باشند.
توان عملیاتی بالا نیاز است.
تاخیر بالا ممکن است قابل قبول باشد، تعامل اضطراری کمتر مورد انتقاد است.
کنترل دسترسی محدود میتواند درجات لازم را برای امنیت فراهم کند.
به هنگام میباشد
توان عملیاتی متوسطی مورد نیاز است،
پاسخ در زمان حساس هستند،
پاسخها به انسان و دیگر تعاملات اضطراری حساس هستند
دسترسی به سیستمهای کنترل صنعتی باید کاملا کنترل شود، اما نباید تعاملات انسان در فرآیند ماشین تداخل ایجاد کند یا مانع آن باشد.
ارتباطات
پروتکلهای استاندارد ارتباطی استفاده میشود که از شبکههای سیمی و در بعضی موارد از شبکههای محلی بیسیم نیز استفاده میکنند و نوعا ساده هستند.
از پروتکلهای استاندارد و اختصاصی استفاده میکند و از چندین نوع ارتباطات شامل شبکههای اختصاصی سیمی و بیسیم استفاده میکند(در بعضی موارد در سطح ماهوارهای)، همچنین شبکهها پیچیده هستند و در بعضی موارد نیاز به یک کارشناس خبره جهت کنترل دارند.
وصله گذاری
پیوسته و مکرر (اغلب روزانه)
تغییرات نرم افزار در یک زمان خاص در حضور یک سیاست و روال امنیتی خاص اعمال میشود. این روالها اغلب اتوماتیک هستند. معمولا سیستم عاملهای مورد استفاده به روز هستند.
کند (نیازمند تایید فروشنده/سازنده)
تغییرات نرم افزار باید به صورت کامل تست شده و به صورت تدریجی در سراسر سیستم اعمال شود تا اطمینان حاصل شود که یکپارچگی سیستم کنترل حفظ میشود. سیستمهای کنترل صنعتی ممکن است از سیستمعاملهایی استفاده کنند که دیگر پشتیبانی نمیشوند
تغییر/اصلاح
اغلب صورت می گیرد
به ندرت انجام می شود
بحرانی بودن زمان
تاخیرها قابل قبول اند
تاخیر بحرانی است، اغلب وابسته به ایمنی
دسترس پذیری
قطعی پذیرفتنی است.
24 ساعت شبانه روز/7 روز هفته/365 روز سال فرآیندها در حال انجام است و قطع شدن پذیرفتنی نیست.
مهارت و آگاهی امنیتی
نسبتا خوب
بسیار کم و اندک
آزمون امنیت
اغلب استفاده می شود
معمولا انجام نمیشود و در صورت نیاز باید با مراقب زیاد انجام شود
نیاز زیرساختهای کنترل صنعتی در دسترس بودن است، ولی باید این مهم را نیز در نظر بگیریم که با کمرنگ شدن مرز سیستمهای فناوری اطلاعات و سیستمهای کنترل صنعتی امنیت و ایمنی به هم پیوند میخورند. با توجه به جدول بالا مشخص است که امنیت در زیرساختهای کنترل صنعتی رویکردی متفاوت را دنبال میکند و هنوز به بلوغ کافی نرسیده است. و اما دلیل این امر چیست و چرا ملاحظات و سیاستهای امنیت در زیرساختهای کنترل صنعتی رعایت نمیشود؟ دلایل مهم این تفاوت در شبکههای و سیستمهای کنترل صنعتی با زیرساختهای فناوری در اهداف، روشهای پیادهسازی و مکانیزمهای کارکردی آنها است. سیستمهای کنترل صنعتی تولید و فرآیند محور هستند. این بدان معناست که بقای سیستم وابسته به تولید است و بالعکس. یعنی اگر بقای این سیستمها در خطر باشد مطمئنا تولید و اهداف آنها نیز به خطر میافتد و همچنین در صورت به خطر افتادن تولید امکان و خدمتی که ارائه میکنند، بقا و ایمنی آنها نیز به خطر میافتد.
کد: 5007881
زمان انتشار: یکشنبه 21 آذر 1395 05:16 ب.ظ
تعداد نمایش: 274
ما را در شبکه های اجتماعی دنبال کنید