بررسی امنیت و قابلیت اطمینان در سیستم های اسکادا (SCADA)

صفحه 1:


صفحه 2:
و زا وا وم و ‎Oo‏ ] een ae 

صفحه 3:
3 ۱ 05 ‎ede‏ ل ‎ice Sg ere)‏ ا ل ضرورت ‎re‏ به امنيت 59098 های اسکادا ‎ere‏ 7-0000 ‏استاکس نت و سیستم هاي اسکادا ‎(Or‏ ‎ ‏قا لا لا نا لا لا ۳۲۲ 

صفحه 4:
مقدمه اي بر اتوماسیون ۳ ۱ منظور كاهش نياز انسان به كار در محيط توليد كالا و بالا بردن قابليت اطمينان در خدمات است. ل اتوماسيون و مكانيزاسيون : اتوماسيون مرحله اي فراتر از ‎Breen Way ror peel.‏ Fe en ene eee rep Ire ee ee eae * اتوماسیون : استفاده از سیستم هاي كنترلي و فناوري,اطلاعات به ۱ [۱ ERP Ne cea coe een er Be 

صفحه 5:
مقدمه اي بر اتوماسیون لس مزاياي اتوماسیون * جایگزین شدن با نیروی انسانی در فعالیت هایی که حاوی کارهای سخت و یا یکنواخت وحسته کننده است . ‎Fare ree ed red = eee eas Og od PR gee ee‏ ‎salen‏ ۱ ‎rem re ry PU ore ee Ree gear Cree Care at‏ 50 ‎a a OO nS ee aoe‏ | ‎op‏ ‏سا معایب اتوماسیون ا ا ا ات الم 35 ۱ 0 * سرمایه گذاري ماليبالا در شروع کار 

صفحه 6:
لاتوماسیون سیستم ها نیازمند سیستم هایی جهت مدیرریت فرآیددها است ‎ee PS RSE Pa er Ss Sete Te Creer‏ 0 ل براي ثبت . جمع آوري و يردازش داده در يك سيستم كنترلي از روش قاى مختلفى ‎Bom [ones paren‏ * آنالوگ 1 " جمع آوري داده توسط نيروي انساني * ا ا | 

صفحه 7:
مقدمه اي بر اتوماسیون لا ديجيتال ‎Senn ere Onis‏ سا جمع آوري داده بطور اتوماتيك ( با استفاده از مکانیزم هاي مختلف ارتباطي ) 1 پردازش اطلاعات ‏ الا اثركذاري نتايج حاصل از بردازش به صورت آني و بدون تاخير 1 ‏ا ا الوا‎ UST ve Supervisory Control And ‏مى شود(23]3‎ ( Acquisition ۳ ‏سيستم هاى كنترل ديجيتللي یه منرله مخ کنترل و مانیتورینگ‎ Q 0 OtD CETTE ET HA eee Yee eran OS) ‏کل‎ 

صفحه 8:


صفحه 9:
مقدمه اي بر اتوماسیون ‎tes ey peeeen ieee pee rey eagle‏ ار زيرساخت هاي حياتي و صنايع مهم يك كشور ء يرداختن به ايمن سازي ‎rae‏ ا 0 سیستم های کنترل دیجیتالی با هدف حداکش بازدهی و کا رآیی مطلوب طراحی شده اند و به ‎coe‏ ۱ ‎ee Der gic Se ernie is‏ ۳ فرض وجود يك محیط ایمن و قابل اطمینان . فعالیت ها انجام مي شود . * ارتباط تنگاتنگ سیستم هاي اسکادا با سایر سیستم هاي موجود در يك سازمان ۰ ضرورت توجه به ۱ سیستم های کنترل نظارتی از حالت 79101۱01310106 سمت محماری مبتنی بر شبکه حرکت کرده اند ‎-mon NE eee men‏ ال ا ۱ ‎Tan‏ 1 1 1 1 1 1 1 1 1 1 1 1 1 ا 0 ‎Beeld‏ 

صفحه 10:
مقدمه اي بر اتوماسیون لاكرجه ‎ee aM hea AE ea lear)‏ ل ا لت است ولى باعث شده است كه سيستم هاى كنترل صنعتى ايزوله كه داراى سخت | ‏ا ا‎ seein oe] es ‏ا ا ل ال‎ ceed آساحملات با استفاده از مزایای تقاط آسیب پذیم موجود در پلت فرع های ‎Ew BY ICS I SES) oa]‏ ۱ کنترل نظارتی) صورت مي پذیرد. 

صفحه 11:
۱ ster ‏لس سیستم های اسکادا با هدف کنترل نظارتی» مدیریت و مانیتورینگ فرآیندها‎ 2 oMa SD IIT ECP OToe eC rere و آنالین گردد. 0 U Prd con ‏ا‎ Frere Bre Recon a sir epre-ce eve wpe eane coca ep en PS aE Ct enc Reon) 51 yee ‏بسیار مهم در بسياري از صنایحع"هستند.‎ eke ‏سازی داراي‎ ۱ ا ال 5 00 

صفحه 12:
۱ پا ‎CTE E Ce Say 15 C7 oP‏ ۱ ‎als‏ 0ن 4 جمع آورى داده مرتبط با دیگ بخار ‎Dee S > eae ie‏ * کنترل دیگ بخار و توربین " سیستم حمل و نقل و بارگيري نفت ا ‎ora‏ ‏* كنترل مخازن = 

صفحه 13:
و لا ل ا * دستكاه اندازه كيربى قادر به تشخيص شرايطى نظي || »؛ درجه حرارت»؛ سطح فشارء زرخ انتقال آب و ...می باشند ‎BEAU Yeo D ere Ab Le PE ee Dee el ey wee eer me Yen ee nee‏ 5 * يردازنده هاى محلى كه مى توانند با ابزارآلات دستكاه هاي اندازه كيري ارتباط برقرار نمایند .پردازنده هاي محلی قادربه انجام تمام ویا بخشی از وظایف زیر می باشند : * جمع آوری داده دستگاه اندازه گیرری ۱ و 7 1 | 10100030059[ ‎Bere *‏ 

صفحه 14:
عناصر سیستم اسکادا سا اجزاء يك سیستم اسکادا: ا ‎een‏ 0 PLC( Programmable Logic Controller ) * RTU (_ Remote Terminal Controller ) + IED (_ Intelligent Electronic Device ) * PAC ( Process Automation Controller ) * ‎eTOCs‏ ا ل تجهيرزات عملياتى را نيز تامين نمايد. * ارتباطات بابرد كم بين يردازنده هاى محلى و دستكاه هاى اندازم كيت و تجهيزات عملياتى . به ‎NaS OC‏ ا ا ل ل 0 جرريان حمل مى شوند. ‏ا ا ا 00 

صفحه 15:
عناصر سیستم اسکادا لا اجزاء يك کامپیوترهای مییزبان از طریق کامپیوتر میزبان يك اپراتور انسانی می تواند فرآیندها را مدیریت کرده ؛ هشدارهای ل ل ا ‎ROP CUS) Reo Ss Roor‏ BeBe) el efow ne ay Bere Brel eT Ab EG soe ete Se ee eed ‏پردازنده های محلی را انجام دهد.‎ ۱ Be el=p eees . ‏است‎ ‎1 SCE re Sees کامپیوتر میزبان ممکن است‌پهتوّآزیک (لا۲ )برگرفته شده از ۵5۲6۲ الا ۲6۲۳۱۵۱ (,سرویّش دهنده 50۵12۸۵ و یا یک کامپیوتر شخصی ۳0 ) به همراه ‎sec Sey Ol ult) BT‏ اي لابلا ا م 

صفحه 16:
عناصر سیستم اسکادا 1 * ارتباطات با برد بالا بين يردازنده هاى محلى و كامبيوترهاى ميزبان . اين ارتباطات معمولا” مى ل ا ال ‎ne‏ 1 ملکرویو باشد اسکادا ءصر‌فا" یک نمونه از پیاده سازی سیستم های کنترل فررآیند یا 25 است سیستم ‎Rome tees woe OBC eR Ee eeiC rd DOOD Fer ESE Teer ew‏ سا سیستم های اسکادا معمولا" در یک محدوده جذرافیایی به شعاع چندین کیلومتر توزیع و مستقى مى شوند ودر برخى موارد داراى توابع كنترلى برنامه رمزى شده در كامييوتس ‎ei EDT S- IC TPS STN Fp‏ ا ا ا ا ‎For DOU‏ بزرگ توزیع و مستقر می گردند و پردازنده های محلی منطق کنترل را ارایه می نمایند . ‎eyes ECON veel‏ ۱ ( ۲/5 ». سیستم های میت توزیع شده (01۷15] ) و نظایس آنن » مرتبط 5 گردند. 

صفحه 17:


صفحه 18:


صفحه 19:
011000 pele flegeu dS) ‏نسل اول : یکیارچه‎ * * نسل دوم . توزیع شده * نسل سوم شبکه اي 1 ‎rar Ln‏ 1 ارائه كرديدند» عمليات <<« بر شبکه اي وجود نداشت و هر سیستم متم‌کن به صورت انفرادی کاز می کرد . Re ee roms ‏ال‎ s Orne |) Meena ‏برقرارى ارتباط؛ااثرمينال هاى راه دور ( ل 181 ) بود . علاوه ب اين يروتكل‎ 1 

صفحه 20:
Vall pss (glo fons لساويزكي هاي نسل اول پروتکل های ارتباطی استفاده شده در شبکه های اسکادا توسط تولید کنند گان ل ‎SPS‏ ا يروتكل ها عموما" خيلى ضعيف و با قابليت هاى محدود بودند. BR ‏ا‎ coment ‏اتصال به ايستكاه اصلى معمولا” در سطع 5لا واز طریق یک آداپتور‎ . ‏اختصاصی صورت می گرفت‎ ‎Covey mE CHEE SPS LE‏ ۱ سطح 5لا0] به یکدیگر متصل مي,شونك . 

صفحه 21:
معماری نسل اول سیستم های اسکادا سیستم اصلیی اسکادا 

صفحه 22:
نسل هاي سيستم اسكادا لويژگي هاي نسل دوم ‎eel eal ered See es ie‏ ۱ محلی ( 1/۷ ) یرای توزیع پرردازش بین چندین سیستم استفاده گردید. * حندين ايستكاه كه هى يك داراي يك وظيفه خاص بودند به شبكه محلى متصل شده و اطلاعات را به صورت بلادرنك به اشتراك مي كذاشتند ‎٠‏ اين ايستكاه ها معمولا" كامبيوةرهاى كوجكى ا پر‌دازنده های نسل اول می باشند . 0 ‏ا ل‎ Con bo) ‏ارتباط برقرار مى نمايدد . برخى رابط 11/1] را براى اييراتور‎ +1١ ‏دستگاه هابي نظي‎ 1 ee rele ce sh aan بانک اطلاعاتی عمل می نمایند . ‎Q‏ شبکه ای که ایستگاه ,ها به یکدیگر متصل می نماید بم اساس پرروتکل های || بود و نمي توانست به محدوده و ‎See CT Der Sore Ct wl te DEOL‏ 

صفحه 23:
۱ bey ‏لاويژكي هاي نسل دوم‎ ۱ 0 TEL a We ‏ا‎ enero CEES ete Fae CMe) Brae ASCE LRU Weim OUP Baa Wn See Preece Ff ee CS oe Mo Le] eee Pee ‏ا‎ ie tcc lt SE بتواند پروتکل /(/]مبوط به خود جهت ترافيك بلادرنگ بهینه سازی نماید ولی دارای این ‎BRO ee SB PSC eon Coed Cee PRE COO [oe EE‏ - بهبود وضعیت افزونگی و قابلیت اطمینان به سیستم PODS ACME TD eRTC Ey nin Y eer MORE Ory ‏و‎ Pep wep eer e AUREL S ey 

صفحه 24:
4 4 > . | Sg, | 0 4 ‘| 8 J i 3 2 0 ١ 2 ۹ 

صفحه 25:
Vall pss (glo fons Pree ere Tes To ‏نسل فعلی سیستم های اسکادا شباهت زیادی با نسل دوم دارد با این تفاوت عمده که از یک معماری باز‎ * ‏در مقابل یک محیط اختصاصی و کنترل شده توسط تولید کننده . استفاده مي گردد.‎ 1۳ 7 . ‏*؟ همچنان از ل۲1] استفاده می گردد که از پرروتکل های اختصاصی تولید کننده استفاده می نمایند‎ ‏و‎ ‎) ‏بكا ركيرى محصولات توليد شده توسط ساي توليد كنندكان ضراهم كرديد‎ | Bas . ‏ایستگاه اصلی و تجهیزات ارتباطی بود‎ encom Perce ‏ل ال ا ا ل ا‎ Sree Dee eR Testo Ermey 

صفحه 26:


صفحه 27:
سنا 07 ‏ا ل ل‎ PAI omen DI Fen eee 0 i Sener Ss Ison CORE Ter tae ‏ا‎ ‎. ‏اختصاصى <ود توليد نمايند‎ لا پس از مدتی تعداد پروتکل تقریبا" به ۲۰۱۵۱۵۶ رسید. آساتمداد زیادپرروتکل ها به همراه ماهیت اختصاصی ‎wre eR ese ener)‏ 0 و الحابه موازات اين كه صنعت اسكادا رشد كرد و توليد كنندكان نود را با استانداردهاى باز تطبيق دادند» مجموع پرروتکل های متداول اسکادا به تعداد کمترری کاهش یافت که بر‌خی از آنها عبارتند از MODBUS ‏حكن‎ = ات PROFIBUS Drea tcc Og) forte Cd Tee ewts ‏لاك ا‎ al Inter-Control Center Communications Protocol (ICCP) (1858) غمةدمعاع عءأئمه5 مماغهءناممم ‎HART Breas‏ 

صفحه 28:
| ۷ Es FO fs OD ey CHES Pee EMT CPSP LTE — concn nee ‏أست‎ Reyes ese ec ene TSI POP INO sere were لسا در آغاز اسكادا در يك شبكه بسته فعاليت مى كرد و -نطاهاى طبيعى مرتبط با يروتكل هاى شبكه اى موجود نبود. ‎ven PIC SPITE POTS‏ ۱ ا ا ‎DISCO‏ ‏غیم‌ایمن می سازد BUCO Coe TI OC fe Bel SE fest Ee ae ete Wee Bele ALCS cece . ‏شود چراکه نحوء بر‌خورد پا خطاء به خوبی پیاده سازی نشده است‎ 0 0 ‏م‎ sere ‏سازماني ایجاد 7 0 086 ارسال گردند . در این ارتباطات‎ . ‏بين شبكه اى . يك لینک ارتباطی ضعیف در امنیت یی اسکادا ظهور می کند‎ 

صفحه 29:
ضرورت توجه به امنيت سيستم هاي اسكادا 0 ‏ا ل‎ heyy e P| . ‏كه سيستم هاى اسكادا به منظور كار در يك محيط بسته طرراحى شده اند‎ السابا اين كه اغلب سازمان ها ادعا مى نمايند كه سيستم اسكادا آنها به شبكه آنها متصمل نمي باشد . تخمين زده می شود که بین ۸۰ تا ‎٩۰‏ درصد سيستم هاى اسكادا به شبكه هاى بز رك سازمان مربوط به نود متصل ‎eepa Pes Hirose eegrors Ruel) avr sty‏ ۱ 556 0 ‏ا‎ [ers Sonia ا السانياز به هيجكونه مجوزى براى انجام 0 ‎me een‏ 0 Rape eee ic ee ee ee 

صفحه 30:
1 yer) ا 0 الا بازرسى و كنكاش در داده ل 00 الا از كار انداختن سسرويس ها ‎eee]‏ آدرسها الس ياسخ هاى ناخواسته لا سرقت 565510۳ 4 تفییس لاگ ها ی داده لا كنترل غيرمجاز 

صفحه 31:
ضرورت توجه به امنيت سيستم هاي اسكادا ‎eC eo nea Ire‏ 0 تفییر اطلاعات موجود بر روي صفحه نمایش |/۲۱/۷ که مي تواند اپراتور سیستم اسکادا را به ‎cea ke lee)‏ ل 0 ‎en PON eK Pp Tepe 1‏ و ‎Om INC men een TCMNU Se BER Fen ‎ ‏السأجعل آدرس ها سا پاسخ های ناخواست ترا سار ادها ‎(le‏ ‏ا اس الل ‎ualiaete se aati fated‏ ی 0 ساتذییررات غیررمجاز و آنجام عملیات داخواه بر سا تذييى لاك هاى داده 0 ‏کنترل غیرمجاز آسادستیابی 0 تخييرات در لاگ های ممیزی 

صفحه 32:
a م لم ) نا () لا ات ۳ ۳ ۱۳ ضرورت توجه به امنيت سيستم هاي اسكادا ابرخي اهداف مهاجمین : دستابى به سيستم اسكادا دستیابی به ایستگاه اصلی سیستم اسکادا به خطر افتادن به خط ‎TOA se Econ see‏ به دست آوردن رمز عبور سیستم اسکادا از طبریق ایستگاه کنترل اصلی لل ۱۳ ۱ pee stre ‏ا‎ جعل ایستگاه اصلی و ارسال داده غلط بای (1 ‎٩‏ از كار انداختن ايستكاه اصلى كنتمرل ee a On obs تفییر برنامه کنترلی 7710 

صفحه 33:
السااكش عناصر سيستم هاى اسكادا خصوصا" 810 محلى ويا كنترل كننده ها مجبور هستتد در يك محيط كاملا" بلادرئق ويا نرديك به بلادرنك فعاليت نمايند . بنابراين » نمى توانند تاخي را تحمل نمايند كه توسط برحنى نرم اضنزارهاى امنيتى حادس كرد 000 ‏ااام اا‎ pe ‏اام‎ 1111 racer ‏بز رك (نظيس برنامه هاى مانيتو ينك امنيتى ) را اجررا كلرد.‎ سا علاوه بر این» سیستم هاي اسکادا با سیستم هاي مرتبط با فناوری اطلاعات سازمان گره ‏ خورده اند که‌دارای و( Bg res rin on en I eer 01101 eee on CPA Pere oan TEL seer 0 استقاده از يلت قرم هاى اسخائدارد لخت افنرارى با نقاط آسيب يذيى شناطته شده ‎re)‏ Pea Ee MP ey 0117 ۱ BE IC IOS eS POTN = TEE [oe ay ee 8) 

صفحه 34:
هیارا 0 سيستم رابا راءاندازى مجدد ريا برككردائدن ايل هاى بن حالت ايه ب كرفاقد. 0 amet) | Dvr men Bros Sere sean ‏مى توان مشكل ناخواسته را به نوعى حل كريد1.‎ از نر افزارهای آنتی ویروس استفده زياد مى شود ۱ LES mee een signe Bad به صورت ادواری انجام می شود 5-6 7 erate ear تاي زياد قابل تحمل نيست. و ی ی 1 باشد. ارايه دورء هاى آموزشى به منظور افنزايش سطيح آكاهى كاربران در خصبوص مسائل امنيتى كم ست 20 eat Se el eee Seite ‏و‎ ‎٩ ‎1 چاه سازی 031 نی رها په صورت اواری اب .یال 011 نر ری ی باس با دقت صورت نید سول" مس هی ۳۳ << اا | 7 00 ST rere re شرکت فروشندء تجهیزات اسکادا ی باشد میزی انیت اطلاعات بطور ادوارى اج نمی شود 0 Terre 

صفحه 35:
| توصیه اول : شناسایی تمامی اتصالات به شبکه اسکادا ارزیاپی ضرورت وجود هر اتصال به شبکه اسکادا ۰ ‎om‏ تهدیدات مرتبط با آنان و نحوه ‎re npegors res‏ ۱[ : ‏السانواع اتصالات شبکه اي‎ ‏شبكه هاى محلى و 10 /الا. شامل شبكه سازمانى‎ ‏لا اينترنت‎ ۱ RY En many Cor cone PERU) nee eects ee Eo ee Peed Teenie re=s maa 

صفحه 36:
0000 توصیه دوم : قطع اتصالات غیر‌ضروری به شبکه اسکادا ۱ سا هر اتصال به شبكه ديك مى تواند تهديدات امنيتى مختص به خود را به دنبال داشته باشد خصوصا" ‎beeen eed)‏ 000000000 Reape ee eee ren Ee ene ee ra ie توصیه سوم : ارزیابی و تقویت امنیت هر اتصال باقیمانده به شبکه اسکادا ل 2 لسا تحليل نتايج حاصل از تست نفوذ به هماه فآ يند هاى مديرريت تهديدات به منظور بتاذة سنازى يك استراتشى حفاظتى مستحكم سا پیاده سازی فایربوال» سیستم های تسخیص ماحین و سای ابزارهای موجود در هس نقطبه تماس ‎We aSet ols bat‏ Bees tree Orpen V Non Cor Penn Ee PUPA en Tt ee epee on 

صفحه 37:
ایمن سازي سیستم هاي اسکادا توصيه بجبدارم : حذق ويا غيرظعال سسرويس هاى خي مر قمرورى بر روى شيكه لسكلها. ۳ سیستم عامل موجود بر روی سرویس‌دهندگانکنترلی اساد (تجاری ویک با )ی تواد جذایی های خاصی را رای مهاجمان از طریق سرویس هایشبکه ای پیش فرش ایجاد مید. ل 1 ا ۱ ا 30 

صفحه 38:
0000 ۱ ‏ا ا‎ ae بررخی سیستم های اسکادا از پروتکل های 010011 pala MEG esp denn Be eee eae Tere seen ae eer een . ‏اين يمروتكل ها صرفا” مى تواند امنيت اندكي را به ارمغان أورد‎ سا هر گنر به پروتکل های اختصاصی و یا پیکربندی پیش فررض استناد تكنيد . RO Pare Seem ‏م ا ا‎ Oe Pele oR On EEE OOr SCOPE LE) ۱ ee corny on oA PON aR RIE rs irene alrosy meoveyeerV ENN me peMty 9) 

صفحه 39:
ایمن سازی سیستم هاي اسکادا ۱ ا ل ل ‎Pee ene ie)‏ شود )ءدارای هیچگونه وینرگی امنیتی نمی باشند . السأمالكين سيستم هاى اسكادا مى بايست به فروشتدكان اصرار ورزند كه ويشكى هاى امنيتى رابه شكل (183]1 ويابسته هاي ارتقاء ارايه نمايند . ‎IES ee‏ م ل ل ‎POD PERO PCE Sv eed‏ ص گردند ولی اغلب این ویترگی ها به منظور نصب آسان» غیرفعال می گرردند . ‎۱ ‏را‎ Pear nie Ue CME DIE Oo cone ae ‏امتیتی می باشد . ‎een ee‏ ۱ ل 0 در هر دستگاه مي تست ‎0 pene Species ‎ 

صفحه 40:
0 ۱ Sc omen =O PLES ETC SIN COMA Yeoman CEcrOP eB [=p TE o-Lel <o(0l0] PCa Eg ‏هویت مستحکم بررای حصول اطمینان از یک ارتباط ایمن استفاده گرردد‎ السأمعمولا" از مودم ؛ ارتباطات بى سيم ويا خطوط اختصاصى براى مرقرارى ارتباط و انجام خدمات يشتيبانى استفاده ‎Ten ESE)‏ 20 امد سار رال رام ون یک شبکه سکیا یماد ساید . Pon Beet RTS ODP Ee eed Bey SI eee rT ee ier ere . ‏جایگرین نمایید‎ [ela 

صفحه 41:
ایمن سازي سیستم هاي اسکادا ی مناحمین که شامل هشدار به مدیرران شبکه در 7 ‏اا‎ eT So er reel ‏خصوص فعالیت های مخرب از منابع داخلی و یا خارجی استء پیاده سازی گرردد‎ لسأسيستم تشخييص مزاحمين لازم است به صورت شبانه روزى باشد وبه سيستم هاى اطلاع رسانى نظيس بيام كوتاه ويا 030 نين مرتبط كردد السآرويه هاى ياسخ به وقايع مى بايست بيش بينى كرد تادر صورت بروز حملات بتوان باسخ لازم را در كوتاهترين زمان داد. 0 ‏ا‎ ESTED ee) 

صفحه 42:
Stone events eee] ‏توصیه نهم : ممینری فتی دستگاه ها و شبکه اسکادا وه شبکه متصل شده به منظور شناسایی ارات امنیتی‎ ۱ به منظور ممییزی فنی می توان از مجموعه ای از ابزارهای کدباز و یا تجاری به منظور شناسایی نقاط ‎oe ONESIES Caen Sr Weed oer 1-181 ¢ fa reread)‏ ل |۱9 rc pn Rg Pepa bree On Pon eV Pee ‏باحداقل مقاومت " كردد كه يك مهاجم مى تواند از آنها در جهت منافع خود بهره بردارى تمايد.‎ ۱ ea ee Sy eer) ee Sere ome ye ساتست مجدد سیستم ها پس از انجام اصلاحات جهت حصول اطمینان از رفع مشکل تقاط آسیب پذیر 

صفحه 43:
010 ۱ آنها DEO ‏ل ا ل‎ = CDT CeA Pte ae IRC oo DCO OU WEIR NYP EOE ا ‎eee MOTEL Ye Ien Stern‏ ل هاى راديوبى : ترمينال هاى كامييوةرى : دستكاه هاى تقطه تماس شبكه هاى بى سيم 

صفحه 44:
ایمن سازي سیستم هاي اسکادا توصیه یازدهم : ایجاد "گرروه موسوم به قرمن" جهت شناسایی و ببررسی سناریوهای حمللات احتمالی الا ايجاد يك كروه به منظور شناسايى سناريوهاى مختلن حملات احتمالى و بررسى نقاط آسيب يذيى سيستم ‎POETS Eee‏ 7 00 0 nee ‏آساپرررسی ریسک تنود و اثربخشي کدهای مخرب‎ ش لازم مى باشند By ears آسادر اختیار قرار دادن نتیج مطالعات انجام یافته توسط گرروه فوق به گرروه مدیریت تهدیدات به 0000 

صفحه 45:
ايمن سازي سيستم هاي اسكادا | 9 enn toyed Tomb meer Pir ee rechlr eh ie ele i Fer eee Pee erence yy eal tea Sy Bente Ty Ee CBE BO Same Scan Eon OO r= ne POY aes OOS Ps nee ee eaee Co on OES ‏وقوع یک حادثه امنیتی تشخیص داده می شود و وظایف هر فرد چیست ؟‎ ۳ 

صفحه 46:
0 Ppt oe Yee re SAB CMe OY ene Ce ECCS CO tt ere Seer veel ‏يا شامل اطلاعات حساسى مى باشند كه نيازمند يك سطع اضبافه از حفاظت مى باشند‎ توصیه ال ا سخت ) 222000 3 توصیه شانزدهم : تدوین يك برنامه جامع امنيتي در سازمانامّل رویه ها . سیاست هاي امنيتي ۰ مسئولیت ها و .. 

صفحه 47:
0 OE Sens ke eke US ORS TUE Lede ‎SS eg‏ لت ات ‏توسی توزدهم :ایجاد.يك برنامه جامع جهت برخورد مناسب‌با شرلیط بحرلني (برگرداندن سربع سیستم هابه سرویس ها عدم حذف ویا از دست دادن ‎eres‏ ‎eee eS Nee Fee er Te Sek ken ‏ل‎ meric 

صفحه 48:
استاکس نت و سیستم اسکادا 0 تا استاکس نت به دنیال يك :06 خاص می کردد 57 - 0 57 - 0 1۱ Foon oc roeer a Ou . ‏دیزی گردد.‎ لس بيكربندي در محل با نام 51/56©177) 5108 ‎ge e,53 Data Blocks )‏ 33,5 - الا استاكس نت 5108 را بت کرده و به دنبال اا ا ل ل ”> السا ادامه ... ! 4 

صفحه 49:


صفحه 50:
The End 

َ ن ش عل دا گاه آزاد واحد وم و تحق یقات اصفهان بررسی امنیت و قابلیت اطمینان در سیستم های اسکادا()SCADA استادراهنما :دکتر ناصر نعمت بخش ارائه دهنده :مهدی دهقانی شماره دانشجویی 910909652 ‏Mhd.ir_esf@yahoo.com سرفصل مقدمه اي بر اتوماسيون اس"كادا چيست ؟ عناصر يك سيستم اسكادا نسل هاي مختلف سيستم هاي اسكادا ضرورت توجه به امنيت س"يستم هاي اسكادا ايمن سازي سيستم هاي اسكادا استاكس نت و سيستم هاي اسكادا ‏Demo  مقدمه اي بر اتوماسيون اتوماس يون :اس تفاده از س يستم هاي كنترل ي و فناوري هاي اطالعات ب ه منظور كاه ش نياز انس ان ب ه كار در محي ط تولي د كاال و باال بردن قابلیت اطمینان در خدمات است. اتوماس يون و مكانيزاس يون :اتوماس يون مرحل ه اي فراتر از مكانيزاسيون است . • مكانيزاسيون :استفاده از ماشين آالت در مقابل نيروي عضالني • اتوماسيون :استفاده از سيستم هاي كنترلي و فناوري اطالعات به منظور انجام فعاليت ها با درگيري فكري و ذهني كمتر . تاثير اتوماسيون در صنايع مختلف و زندگي انسان امروزي مقدمه اي بر اتوماسيون مزاياي اتوماسيون • جايگزي ن شدن ب ا نيروي انس اني در فعالي ت هاي ي ك ه حاوي كارهاي س خت و ي ا يكنواخ ت وخسته كننده است . • جايگزين شدن با نيروي انساني در محيط هاي خطرناك ( نظير آتش ،آتشفشان ، تاسيسات انرژي هسته اي و ) ... • انجام كارهايي كه خارج از قدرت انسان است ( اندازه ،وزن ،استقامت ،سرعت ) • صرفه جويي اقتصادي ‌،كاهش هزينه هاي سربار توليد و خدمات ،افزايش بهره وري و ... معايب اتوماسيون • محدوديت فناوري :فناوري هاي موجود امكان اتوماسيون تمامي فعاليت ها را نمي دهد • هزينه هاي پياده سازي غيرقابل پيش بيني .هزينه تحقيق و توسعه جهت اتوماسيون يك فرآيند مي تواند از خود اتوماسيون بيشتر باشد . • سرمايه گذاري مالي باال در شروع كار مقدمه اي بر اتوماسيون ‏اتوماسيون سيستم ها نيازمند سيستم هايي جهت مديريت فرآيندها است مديري ت ي ك فرآين د ،مس تلزم تامي ن داده مورد نياز آ ن و اثرگذاري نتاي ج حاصل از فرآيند بر روي سيستم است . براي ثبت ،جمع آوري و پردازش داده در يك سيستم كنترلي از روش هاي مختلفي تاكنون استفاده شده است . • آنالوگ ثبت داده توسط دستگاه هاي آنالوگ جمع آوري داده توسط نيروي انساني پردازش آفالين توسط نيروي انساني و يا ماشين هايي با توان اندك اثرگذاري نتايج حاصل از پردازش توسط نيروي انساني مقدمه اي بر اتوماسيون ديجيتال ثبت داده توسط دستگاه هاي الكترونيكي جمع آوري داده بطور اتوماتيك ( با استفاده از مكانيزم هاي مختلف ارتباطي ) پردازش آنالين محلي و يا متمركز توسط دستگاه هاي پردازش اطالعات اثرگذاري نتايج حاصل از پردازش به صورت آني و بدون تاخير امروزه به سيستم هاي كنترل ديجيتالي ،معموال” SCADAگفته مي شودSupervisory Control And Data(. ) Acquisition سيستم هاي كنترل ديجيتالي به منزله مغز كنترل و مانيتورينگ سيستم هاي زيرساخت حياتي نظير شبكه هاي انتقال و توزيع برق ،پااليشگاه ها ،شبكه هاي آب ،كنترل ترافيك و ...مي باشند . مقدمه ‏يك سيستم كنترلي ساده مقدمه اي بر اتوماسيون ‏با توجه به نقش برجسته سيستم هاي اسكادا در كنترل و مانيتورينگ زيرساخت هاي حياتي و صنايع مهم يك كشور ،پرداختن به ايمن سازي آنها به يك بايد و اولويت ملي مهم تبديل شده است چراكه : • سيستم هاي كنترل ديجيتالي با هدف حداكثر بازدهي و كارآيي مطلوب طراحي شده اند و به امنيت آنها توجه جدي نشده است ( .نياز امروز با توجه به واقعيت هاي موجود ) • در اغل ب س يستم هاي كنترل ديجيتال ي ،ب ه محي ط عمليات ي بطور كام ل اعتماد م ي شود و با فرض وجود يك محيط ايمن و قابل اطمینان ،فعاليت ها انجام مي شود . • ارتباط تنگاتنگ سيستم هاي اسكادا با ساير سيستم هاي موجود در يك سازمان ،ضرورت توجه به امنيت آنها را مضاعف كرده است ( مهم ترين مزيت ← بيشترين خطر) • سيس تم هاي كنترل نظارت ي از حال ت standaloneب ه س مت معماري مبتن ي بر شبك ه حركت كرده اند • س خت افزار و نرم افزار اس تفاده شده در س يستم ه ا از طراح ي و پياده س ازي كامال" س فارشي ب ه س مت اس تانداردهاي س خت افزاري و پل ت فرم هاي نرم افزاري س وق پيدا كرده ا ند. مقدمه اي بر اتوماسيون ‏ ‏گرچه اين مزايا ‌،دستاوردهاي مثبتي خصوصا" از بعد هزينه را به دنبال داشته است ولي باعث شده است كه سيستم هاي كنترل صنعتي ايزوله كه داراي سخت افزار و نرم افزار كامال" اختصاصي خود بودند درمقابل تهديدات خارجي ( شبكه اينترنت ) و يا داخلي ( پرسنل سازمان ) ،آسيب پذير گردند. ‏حمالت ب ا اس تفاده از مزاياي نقاط آس يب پذي ر موجود در پل ت فرم هاي استاندارد نظير ويندوز و كامپيوترهاي شخصي ( تطبيق يافته با سيستم هاي كنترل نظارتي ) ‌،صورت مي پذيرد. اسكادا چيست ؟ سيستم هاي اسكادا با هدف كنترل نظارتي ،مديريت و مانيتورينگ فرآيندها طراحي شده اند .جهت نيل به اهداف فوق الزم است داده بالدرنگ ،جمع آوري و آناليز گردد. ‏گسترش استفاده از سيستم هاي اسكادا به اندازه اي است كه هم اينك اغلب زيرساخت هاي حياتي و مهم يك كشور به آنها وابسته شده اند . امروزه سيستم هاي اسكادا ب ه دلیل قابلیتهای اطمینان باال در پیاده سازی داراي جايگاهي بسيار مهم در بسياري از صنايع هستند. صنايع آلومينيوم سازي ،خودروسازي ،پتروشيمي ،فوالد ،غذايي تاسيسات هسته اي ،شبكه هاي توزيع نفت و گاز ‌،شبكه هاي توزيع آب مخابراتي و ... اسكادا چيست ؟ ‏دامنه استفاده از قابليت هاي سيستم هاي اسكادا بسيار گسترده مي باشد از تعويض يك المپ گرفته تا كنترل پردازش هاي بسيار پيچيده : ‏ ‏ ‏ ‏ ‏ ‏ ‏ ‏ ‏ كنترل ديگ بخار جمع آوري داده مرتبط با ديگ بخار كنترل درجه حرارت ديگ بخار كنترل ديگ بخار و توربين سيستم حمل و نقل و بارگيري نفت مانيتوريتگ درجه حرارت ياتاقان ها كنترل كوره كنترل مخازن و ... عناصر سيستم اسكادا اجزاء يك سيستم اسكادا : • دس تگاه اندازه گيري :قادر ب ه تشخي ص شرايط ي نظي ر ، PHدرج ه حرارت ،س طح فشار ، نرخ انتقال آب و ...مي باشند . • تجهيزات عمليات ي نظي ر پم پ ‌،شي ر ،تس مه نقال ه ك ه م ي توان آنه ا را توس ط محرك ه ا كنترل كرد . • پردازنده هاي محلي كه مي توانند با ابزارآالت دستگاه هاي اندازه گيري ارتباط برقرار نمايند .پردازنده هاي محلي قادربه انجام تمام ويا بخشي از وظايف زير مي باشند : جمع آوري داده دستگاه اندازه گيري فعال و يا غيرفعال كردن تجهيزات عملياتي بر اساس منطق برنامه نويسي شده داخلي و يا به كمك دستورات از راه دور كه توسط انسان و يا كامپيوتر صادر شده است ترجمه پروتكل ها بگونه اي كه كنترل كننده هاي مختلف ،وسايل اندازه گيري و تجهيزات بتوانند با يكديگر ارتباط برقرار نمايند شناسايي شرايط هشدار عناصر سيستم اسكادا اجزاء يك سيستم اسكادا : • به پردازشگرهاي محلي اسامي مختلفي اطالق مي شود نظير : • • • • ) ) ) ) ‏PLC ( Programmable Logic Controller ‏RTU ( Remote Terminal Controller ‏IED ( Intelligent Electronic Device ‏PAC ( Process Automation Controller • ي ك پردازنده محل ي ممك ن اس ت مس ئوليت ده ه ا داده ورودي از دس تگاه هاي اندازه گيري را داشت ه باش د و خروج ي تجهيزات عملياتي را نيز تامين نمايد. • ارتباطات ب ا برد ك م :بي ن پردازنده هاي محل ي و دس تگاه هاي اندازه گيري و تجهيزات عمليات ي .ب ه كم ك ارتباطات فوق ،س يگنال هاي آنالوگ و ي ا گس سته ب ا اس تفاده از خص ايص الكتريك ي نظي ر ولتاژ .و جريان حمل مي شوند. • كامپيوترهاي ميزبان كه به عنوان نقطه مركزي مانيتورينگ و كنترل رفتار سيستم عمل مي نمايند عناصر سيستم اسكادا اجزاء يك سيستم اسكادا : • كامپيوترهاي ميزبان ... • از طريق كامپيوتر ميزبان يك اپراتور انساني مي تواند فرآيندها را مديريت كرده ،هشدارهاي ارسالي را دريافت ،داده ارسالي را بازبيني و در صورت لزوم كنترل هاي الزم را فعال نمايد . • در برخ ي حاالت كامپيوت ر ميزبان داراي منط ق برنام ه ريزي شده درون خود اس ت ت ا بتوان د كنترل پردازنده هاي محلي را انجام دهد. • در برخي حاالت ديگر كامپيوتر ميزبان صرفا" يك واسط بين اپراتور انساني و پردازنده هاي محلي است . • ذخيره داده در بانك اطالعات و توليد گزارشات از جمله وظايف ديگر كامپيوتر ميزبان است • كامپيوت ر ميزبان ممك ن اس ت ب ه عنوان ي ك ( ) MTUبرگرفته شده از Master ، ( Terminal Unitسرويس دهنده SCADAو يا يك كامپيوتر شخصي ( ) PCبه همراه نرم افزار ( ) HMIبرگرفته شده از Human Machine Interfaceباشد . عناصر سيستم اسكادا اجزاء يك سيستم اسكادا : • ارتباطات ب ا برد باال بي ن پردازنده هاي محل ي و كامپيوترهاي ميزبان .اي ن ارتباطات معموال" م ي تواند شامل كيلومترها مسافت با استفاده از روش هايي نظير خطوط اختصاصي تلفن ،ماهواره و يا ماكرويو باشد . ‏اسكادا ‌،صرفا" يك نمونه از پياده سازي سيستم هاي كنترل فرآيند يا PCSاست سيستم هاي كنترل شده توزيع شده ( ، ) DCSيك نمونه ديگر در اين زمينه است. سيستم هاي اسكادا معموال" در يك محدوده جغرافيايي به شعاع چندين كيلومتر توزيع و مس تقر م ي شون د و در برخ ي موارد داراي تواب ع كنترل ي برنام ه ريزي شده در كامپيوت ر ميزبان مركزي م ي باشن د .در حال ي ك ه س يستم هاي DCSمعموال" در ي ك تاس يسات بزرگ توزيع و مستقر مي گردند و پردازنده هاي محلي منطق كنترل را ارايه مي نمايند . س يستم هاي اس كادا اغل ب ب ا س يستم هاي بزرگ ديگ ر نظي ر س يستم هاي مديري ت انرژ ي مي ( ، ) EMSس يستم هاي مديري ت توزي ع شده ( ) DMSو نظاي ر آ ن ،مرتب ط گردند. عناصر سيستم اسكادا يك شبكه نمونه اسكادا : عناصر سيستم اسكادا برخي تجهيزات نمونه نسل هاي سيستم اسكادا ‏سه نسل مختلف : • نسل اول :يكپارچه. • نسل دوم :توزيع شده • نسل سوم :شبكه اي ‏ويژگي هاي نسل اول : اولين مرتبه اي كه سيستم هاي اسكادا ارائه گرديدند ،عمليات و پردازش به ص ورت متمرك ز بر روي س يستم هاي mainframeانجام م ي ش د . شبكه اي وجود نداشت و هر سيستم متمركز به صورت انفرادي كار مي كرد . شبك ه هاي WANپياده س ازي شده مفهوم امروزي را نداش ت و هدف آن برقراري ارتباط با ترمينال هاي راه دور ( ) RTUبود .عالوه بر اين پروتكل هاي WANامروزي در آن زمان شناخته شده نبودند . نسل هاي سيستم اسكادا ‏ويژگي هاي نسل اول : پروتك ل هاي ارتباط ي اس تفاده شده در شبك ه هاي اس كادا توس ط تولي د كنندگان تجهيزات RTUپياده سازي مي گرديد و اغلب اختصاصي بودند .عالوه بر اين ، پروتكل ها عموما" خيلي ضعيف و با قابليت هاي محدود بودند. اتصال به ايس تگاه اصلي اسكادا از طرف توليدكنندگان محدود م ي گرديد . اتص ال ب ه ايس تگاه اص لي معموال" در س طح busو از طري ق ي ك آداپتور اختصاصي صورت مي گرفت . افزونگي شامل يك سيستم اوليه و يك سيستم ثانويه بود كه در سطح busبه يكديگر متصل مي شوند . نسل هاي سيستم اسكادا نسل اول نسل هاي سيستم اسكادا ‏ويژگي هاي نسل دوم : • كوچك سازي در نسل دوم سيستم هاي اسكادا در دستور كار قرار گرفت و از فناوري شبكه هاي محلي ( ) LANبراي توزيع پردازش بين چندين سيستم استفاده گرديد. • چندين ايستگاه كه هر يك داراي يك وظيفه خاص بودند به شبكه محلي متصل شده و اطالعات را به صورت بالدرنگ به اشتراك مي گذاشتند .اين ايستگاه ها معموال" كامپيوترهاي كوچكي بودند كه بمراتب كوچك تر و ارزان قيمت تر نسبت به پردازنده هاي نسل اول مي باشند . • برخي از ايستگاه هاي توزيع شده به عن وان پردازنده هاي ارتباطي عمل مي نمايند در وهله اول با دس تگاه هاي ي نظي ر RTUارتباط برقرار م ي نماين د .برخ ي راب ط HMIرا براي اپراتور س يستم اراي ه م ي نماين د و برخ ي ديگ ر ب ه عنوان پردازنده هاي محاس باتي و ي ا س رويس دهندگان بانك اطالعاتي عمل مي نمايند . • شبكه اي كه ايستگاه ها را به يكديگر متصل مي نمايد بر اساس پروتكل هاي LANبود و نمي توانست به محدوده و يا قدرتي خارج از محدوديت هاي محيط هاي محلي برسد نسل هاي سيستم اسكادا ‏ويژگي هاي نسل دوم : توزيع وظايف سيستم اسكادا بين چندين سيستم ،توان پردازشي بيشتري را براي سيستم نسبت بهمي نمايد . زماني كه تمامي توان پردازش در يك سيستم پردازنده متمركز بود ‌،فراهم - برخي از پروتكل هاي LANداراي يك ماهيت اختصاصي بودند كه توليد كنندگان آنها را به عنوان پروتكل هاي اختصاصي جهت شبكه خود طراحي كرده بودند .اين باعث مي شد كه يك توليد كننده بتواند پروتكل ‌LANمربوط به خود جهت ترافيك بالدرنگ بهينه سازي نمايد ولي داراي اين محدوديت است كه نمي تواند با شبكه محلي اسكادا ساير توليد كنندگان ارتباط برقرار نمايد . بهبود وضعيت افزونگي و قابليت اطمينان به سيستم همانند نسل اول ،سيستم هاي نسل دوم محدود به سخت افزار ،نرم افزار و دستگاه هاي جانبي ارايهشده و يا حداقل انتخاب شده توسط توليد كننده بودند. نسل هاي سيستم اسكادا نسل دوم نسل هاي سيستم اسكادا ‏ويژگي هاي نسل سوم : • نسل فعلي سيستم هاي اسكادا شباهت زيادي با نسل دوم دارد با اين تفاوت عمده كه از يك معماري باز در مقابل يك محيط اختصاصي و كنترل شده توسط توليد كننده ،استفاده مي گردد. • همچنان چندين سيستم هاي شبكه اي وجود دارد و وظايف ايستگاه اصلي به اشتراك گذاشته مي شود • همچنان از RTUاستفاده مي گردد كه از پروتكل هاي اختصاصي توليد كننده استفاده مي نمايند . • اصالح عمده در نسل سوم :استفاده از معماري سيستم باز و استانداردهاي باز ( امكان ارتباط و بكارگيري محصوالت توليد شده توسط ساير توليد كنندگان فراهم گرديد ) • يكي از مهمترين تغييرات در نسل سوم ،استفاده از پروتكل هاي WANنظير IPجهت ارتباط بين ايستگاه اصلي و تجهيزات ارتباطي بود . • هم اينك توليد كنندگان ،محصوالت RTUخود را بگونه اي مي سازند كه مي تواند با ايستگاه اصلي و با استفاده از اتصاالت اترنت ارتباط برقرار نمايند . نسل هاي سيستم اسكادا نسل سوم پروتكل هاي اسكادا ‏در ابتداي اراي ه س يستم هاي اس كادا ،اس تانداردهاي ارتباط ي اندك ي وجود داش ت و همي ن موضوع باع ث شده بود ك ه ه ر ي ك از تولي د كنن د گان تجهيزات خود را ب ا پروتك ل اختصاصي خود توليد نمايند . پس از مدتي تعداد پروتكل تقريبا” به 150تا 200رسيد. ‏تعداد زياد پروتكل ها به همراه ماهيت اختصاصي آنها ،باعث ايجاد يك سطح خاصي از امنيت شده بود ( امنيت با ايجاد ابهام ) به موازات اين كه صنعت اسكادا رشد كرد و توليد كنندگان خود را با استانداردهاي باز تطبيق دادند ، مجموع پروتكل هاي متداول اسكادا به تعداد كمتري كاهش يافت كه برخي از آنها عبارتند از : ‏UCA ‏Fieldbus )Distributed Network Protocol (DNP )Utility Communications Architecture (UCA )Inter-Control Center Communications Protocol (ICCP )Telecontrol Application Service Element (TASE ‏MODBUS ‏Ethernet/IP ‏PROFIBUS ‏ControlNet ‏InfiNET ‏HART ضرورت توجه به امنيت سيستم هاي اسكادا ‏از سال 2000ميالدي به بعد حجم حمالتي كه متوجه سيستم هاي اسكادا شده است روند رو به فزاينده اي را گرفته است .بين 2000تا 3000 سيستم هاي ديجيتال اسكادا اوليه با هدف حداكثر كارآيي طراحي شده بودند در آغاز اسكادا در يك شبكه بسته فعاليت مي كرد و خطاهاي طبيعي مرتبط با پروتكل هاي شبكه اي موجود نبود. اكثر نمونه هاي نصب شده از سيستم هاي اسكادا هم اينك از پروتكل هايي استفاده مي نمايند كه ذاتا" غيرايمن هستتند و يا توسط توليد كنندگان محصوالت اسكادا به خوبي پياده سازي نشده اند .اين وضعيت سيستم هاي اسكادا را غيرايمن مي سازد نبايد تعجب كنيم كه اگر با بكارگيري يك برنامه ساده پويش پورت در يك شبكه اسكادا ،تمامي شبكه دچارمشكل شود چراكه نحوه برخورد با خطاء به خوبي پياده سازي نشده است . ‏به منظور نيل به تمامي مزاياي بكارگيري يك سيستم اسكادا ‌،الزم است ارتباطات بين شبكه اي به شبكه بزرگ سازماني ايجاد گردد تا داده پردازش شده بالدرنگ به سيستم هاي back endارسال گردند .در اين ارتباطات بين شبكه اي ،يك لينك ارتباطي ضعيف در امنيت سيستم هاي اسكادا ظهور مي كند . ضرورت توجه به امنيت سيستم هاي اسكادا ‏اولين مرحله ،در شناخت خطرات مرتبط با اسكادا در دنياي ديجيتال امروز ،پذيرش اين واقعيت است كه سيستم هاي اسكادا به منظور كار در يك محيط بسته طراحي شده اند . ‏با اين كه اغلب سازمان ها ادعا مي نمايند كه سيستم اسكادا آنها به شبكه آنها متصل نمي باشد .تخمين زده مي شود كه بين 80تا 90درصد سيستم هاي اسكادا به شبكه هاي بزرگ سازمان مربوط به خود متصل هستند .همين وضعيت باعث شده است كه مهاجمان بتوانند حمالت خود را متوجه سيستم هاي اسكادا نمايند . ضعف هاي سطح باال كه امروزه در سيستم هاي اسكادا يافت مي شود شامل موارد ذيل است : نياز به هيچگونه تاييديه ندارند نياز به هيچگونه مجوزي براي انجام كار ندارند . از رمزنگاري استفاده نمي نمايند بطرز مناسبي با خطا و اتفاقات غيرقابل پيش بيني برخورد نمي نمايند ضرورت توجه به امنيت سيستم هاي اسكادا ضعف هاي سطح باال باعث ايجاد پتناسيل هاي مختلفي جهت حمالت مي شود : بازرسي و كنكاش در داده انجام عمليات دلخواه بر روي داده از كار انداختن سرويس ها ‏جعل آدرس ها پاسخ هاي ناخواسته سرقت session تغيير الگ ها ي داده كنترل غيرمجاز ضرورت توجه به امنيت سيستم هاي اسكادا ‏در صورت بروز حمالت شاهد نتايج فاجعه آميزي خواهيم بود : تغيير اطالعات موجود بر روي صفحه نمايش HMIكه مي تواند اپراتور سيستم اسكادا را به اشتباه انداخته و عمليات اصالحي نادرستي را انجام دهد كسب مجوز به يك فرد تا كنترل سيستم اسكادا را به دست گيرد . ايجاد اختالل در فرآيندي كه تحت كنترل سيستم اسكادا است . جعل آدرس ها افشاء غيرمجاز داده هاي حساس و مهم پاسخ هاي ناخواسته سرقت session تغييرات غيرمجاز و انجام عمليات داخواه بر روي داده هاي حساس و مهم تغيير الگ ها ي داده دستيابي غيرمجاز به الگ هاي مميزي و انجام كنترل غيرمجاز تغييرات در الگ هاي مميزي ضرورت توجه به امنيت سيستم هاي اسكادا ‏برخي اهداف مهاجمين : ‏ ‏ ‏ ‏ ‏ ‏ ‏ ‏ ‏ ‏ ‏ دستابي به سيستم اسكادا دستيابي به ايستگاه اصلي سيستم اسكادا به خطر افتادن RTUو يا PLCsمحلي به خطر افتادن ايستگاه اصلي كنترل اسكادا به دست آوردن رمز عبور سيستم اسكادا از طريق ايستگاه كنترل اصلي دستيابي به RTUو يا PLCsمحلي جعل RTUو ارسال داده غلط به ايستگاه اصلي كنترل جعل ايستگاه اصلي و ارسال داده غلط براي RTU از كار انداختن ايستگاه اصلي كنترل ازكارانداختن RTUكنترلي محلي تغيير برنامه كنترلي RTU ضرورت" توجه به امنيت سيستم هاي اسكادا ‏اكثر عناصر سيستم هاي اسكادا خصوصا" PLCمحلي و يا كنترل كننده ها مجبور هستند در يك محيط كامال" بالدرنگ و يا نزديك به بالدرنگ فعاليت نمايند .بنابراين ،نمي توانند تاخير را تحمل نمايند كه توسط برخي نرم افزارهاي امنيتي ايجاد مي گردد همچني ن عناص ر س يستم هاي اس كادا معموال" داراي حافظ ه اضاف ه اي نم ي باشن د ك ه بتوان ب ا اس تناد ب ه آنه ا برنام ه هاي بزرگ (نظير برنامه هاي مانيتورينگ امنيتي ) را اجرا كرد. خورده ان د ك ه داراي عالوه بر اي ن ،س يستم هاي اس كادا ب ا س يستم هاي مرتب ط ب ا فناوري اطالعات س ازمان گره خصايص امنيتي و اعتماد پذيري مختص به خود مي باشند مجموعه اي از كنترل هاي امنيتي مرتبط با فناوري اطالعات را مي توان در رابطه با سيستم هاي اسكادا نيز اعمال كرد مهمترين عناصر خطرناك براي سيستم هاي اسكادا اتصاالت به شبكه هاي اضافه و احتماال" آسيب پذير استفاده از پلت فرم هاي استاندارد سخت افزاري با نقاط آسيب پذير شناخته شده استفاده از نرم افزارهاي استاندارد با نقاط آسيب پذير شناخته شده ساير نقاط آسيب پذير انصاالت راه دور نياز به دريافت داده به صورت بالدرنگ در مقابل كنترل هاي امنيت اطالعات كه با ماهيت ايجاد تاخير سيستم هاي اسكادا شبكه ها و كامپيوترهاي فناوري اطالعات درصورت از دست دادن داده و يا بروز وقفه هاي ناخواسته ،مي توان س يستم را ب ا راه اندازي مجدد و ي ا برگرداندن فاي ل هاي پشتيبان ب ه حالت اوليه برگرداند. از دست دادن داده و يا بروز وقفه قابل تحمل نيست و ممكن است نتايج مهلكي را به دنبال داشته باشد با تاخير ناخواسته مي توان كنار آمد تاخير زياد قابل تحمل نيست درص ورت بروز مشكالت حاد براي س يستم ب ا راه اندازي مجدد آ ن مي توان مشكل ناخواسته را به نوعي حل كرد! كاركرد سيستم مي بايست همواره عاري از خطاء باشد .از UPSپشتيبان استفاده گردد. از كار افتادن سيستم حتي براي لحظاتي اندك مي تواند فاجعه آميز باشد از نرم افزارهاي آنتي ويروس استفاده زياد مي شود بكارگيري نرم افزارهاي آنتي ويروس در اكثر موارد مشكل است ،چراكه تاخير قابل تحمل نمي باشد . اراي ه دوره هاي آموزش ي ب ه منظور افزاي ش س طح آگاه ي كاربران در خصوص مسائل امنيتي بسيار متداول است ! ارايه دوره هاي آموزشي به منظور افزايش سطح آگاهي كاربران در خصوص مسائل امنيتي كم است از رمزنگاري استفاده مي شود تعداد بسيار زيادي از سيستم هاي اسكادا داده و پيام هاي كنترلي را به صورت غير رمز شده ارسال مي نمايند. تست نفوذ به صورت ادواري انجام مي شود تست نفوذ به صورت ادواري در شبكه كنترلي انجام نمي شود و زماني هم كه اين كار انجام مي شود مي بايست اين كار با دقت صورت پذيرد تا باعث بروز اختالل نگردد . پياده سازي patchنرم افزارها به صورت ادواري انجام مي شود پياده سازي patchنرم افزاري مي بايست با دقت صورت پذيرد و معموال" مستلزم هماهنگي با شركت فروشنده تجهيزات اسكادا مي باشد مميزي امنيت اطالعات الزم است و معموال" به صورت ادواري انجام مي شود مميزي امنيت اطالعات بطور ادواري انجام نمي شود تجهيزات معموال" هر سه تا پنج سال جايگرين و يا ارتقاء مي يابند تجهيزات استفاده شده براي مدتي طوالني و بدون جايگزيني استفاده مي گردند . ايمن سازي سيستم هاي اسكادا توصيه اول :شناسايي تمامي اتصاالت به شبكه اسكادا ارزيابي ضرورت وجود هر اتصال به شبكه اسكادا ،آناليز تهديدات مرتبط با آنان و نحوه حفاظت هر يك از شبكه ها ‏انواع اتصاالت شبكه اي : شبكه هاي محلي و WANشامل شبكه سازماني اينترنت ‏دستگاه هاي شبكه بي سيم شامل لينك هاي ماهواره اي اتصاالت مودم و يا Dial up اتصاالت به شركاء تجاري ،فروشندگان و يا نهادهاي نظارتي ايمن سازي سيستم هاي اسكادا توصيه دوم :قطع اتصاالت غيرضروري به شبكه اسكادا حتي المقدور سعي نماييد شبكه اسكادا از ساير شبكه ها مجزاء گردد . هر اتصال به شبكه ديگر مي تواند تهديدات امنيتي مختص به خود را به دنبال داشته باشد خصوصا" اگر اتصال ايجاد شده دريچه اي رو به اينترنت نيز گشوده باشد . ايزوله كردن شبكه اسكادا يكي از اهداف اوليه در جهت تامين يك سطح حفاظتي قابل قبول است . توصيه سوم :ارزيابي و تقويت امنيت هر اتصال باقيمانده به شبكه اسكادا اجراي تست نفوذ و آناليز نقاط آسيب پذير هر يك از اتصالات باقيمانده به شبكه اسكادا . تحلي ل نتاي ج حاص ل از تس ت نفوذ ب ه همراه فرآين د هاي مديري ت تهديدات ب ه منظور پياده س ازي ي ك استراتژي حفاظتي مستحكم پياده س ازي فايروال ،س يستم هاي تس خيص مزاحمي ن و س اير ابزارهاي موجود در ه ر نقط ه تماس شبكه اسكادا با ساير شبكه ها ‏پيكربندي قوانين فايروال بگونه اي كه امكان دستيابي به شبكه اسكادا مديريت يافته باشد . ايمن سازي سيستم هاي اسكادا توصيه چهارم :حذف و يا غيرفعال سرويس هاي غيرضروري بر روي شبكه اسكادا سيستم عامل موجود بر روي سرويس دهندگان كنترلي اسكادا ( تجاري و يا كد باز) مي تواند جذابيت هاي خاصي را براي مهاجمان از طريق سرويس هاي شبكه اي پيش فرض ايجاد نمايد حتي المقدور سعي گردد سرويس هاي استفاده نشده حذف و يا غيرفعال گردند ( خصوصا" در مواردي كه شبكه اسكادا با ساير شبكه ها مرتبط مي گردد ) . مطالعه و بكارگيري توصيه هاي امنيتي در خصوص ايمن سازي سيستم عامل ‏مشاوره با ارايه دهندگان اسكادا در زمان حذف و يا غيرفعال كردن يك سرويس و شناسايي ايمن ترين پيكربندي ايمن سازي سيستم هاي اسكادا توصيه پنجم :عدم استناد به پروتكل هاي اختصاصي جهت حفاظت سيستم برخي سيستم هاي اسكادا از پروتكل هاي اختصاصي و منحصربفرد براي ارتباط با دستگاه هاي اندازه گيري ،پردازنده هاي محلي مي نمايند . و سرويس دهندگان استفاده ‏اغلب استناد به ايمن سازي سيستم هاي اسكادا ،محدود به ايمن سازي اين پروتكل ها مي گردد .واقعيت اين است كه مبهم بودن اين پروتكل ها صرفا” مي تواند امنيت اندكي را به ارمغان آورد . هرگز به پروتكل هاي اختصاصي و يا پيكربندي پيش فرض استناد نكنيد . از ارايه دهندگان سيستم هاي اسكادا تقاضاء نماييد سيستم را فاقد هرگونه back doorو يا اينترفيس هاي مازاد ( نظير اينترفيس ارايه هنده به سيستم شما ) تحويل دهد .ارايه دهند ،مسئوليت ايمن بودن سيستم را مي بايست بپذيرد . ايمن سازي سيستم هاي اسكادا توصيه ششم : پياده سازي ويژگي هاي امنيتي ارايه شده توسط توليد كنندگان دستگاه ها و يا سيستم ها اكث ر س يستم هاي قديم ي اس كادا ( اكث ر س يستم هاي ي ك ه ه م اين ك از آنه ا اس تفاده م ي شود ) ‌،داراي هيچگونه ويژگي امنيتي نمي باشند . ‏مالكين سيستم هاي اسكادا مي بايست به فروشندگان اصرار ورزند كه ويژگي هاي امنيتي را به شكل Patchو يا بسته هاي ارتقاء ارايه نمايند . مي ‏تعدادي از سيستم هاي جديد اسكادا با برخي ويژگي هاي پايه امنيتي ارايه گردند ولي اغلب اين ويژگي ها به منظور نصب آسان ،غيرفعال مي گردند . هر دستگاه اسكادا را بررسي نماييد تا مشخص گردد كه آيا دستگاه داراي ويژگي هاي امنيتي مي باشد . ‏تنظيمات پيش فرض هر دستگاه بگونه اي انجام شده است كه بيشترين قابليت استفاده و كم ترين امنيت را داشته باشند .تمامي ويژگي هاي امنيتي موجود در هر دستگاه مي بايست با حداكثر سطح امنيتي تنظيم گردد . ايمن سازي سيستم هاي اسكادا توصيه هفتم :ايجاد يك كنترل قدرتمند بر روي هر رسانه اي كه به عنوان يك Backdoorدرون شبكه اسكادا رفتار مي نمايد جايي كه backdoorو يا اتصاالت ارايه دهندگان سيستم هاي اسكادا وجود دارد ،مي بايست از يك سيستم تاييد هويت مستحكم براي حصول اطمينان از يك ارتباط ايمن استفاده گردد . ‏معموال" از مودم ،ارتباطات بي سيم و يا خطوط اختص اصي براي برقراري ارتباط و انجام خدمات پشتيباني استفاده مي گردد‌ .اين وضعيت مي تواند يك نقطه آسيب پذير با پتانسيل بسيار باال را درون يك شبكه اسكادا ايجاد نمايد . به منظور كاهش اين گونه تهديدات ،دستيابي ورودي را غيرفعال نماييد و آن را با يك نوع خاص از سيستم callbackجايگزين نماييد . ايمن سازي سيستم هاي اسكادا توصيه هشتم :پياده سازي سيستم هاي تشخيص مزاحمين داخلي و خارجي و مانيتورينگ شبانه روزي وقايع به منظور پاسخ گويي موثر به حمالت ،الزم است يك استراتژي تشخيص مزاحمين كه شامل هشدار به مديران شبكه در خصوص فعاليت هاي مخرب از منابع داخلي و يا خارجي است ،پياده سازي گردد ‏س يستم تشخي ص مزاحمي ن الزم اس ت ب ه ص ورت شبان ه روزي باش د و ب ه س يستم هاي اطالع رس اني نظي ر پيام كوتاه و ي ا pagerنيز مرتبط گردد رويه هاي پاسخ به وقايع مي بايست پيش بيني گردد تا در صورت بروز حمالت بتوان پاسخ الزم را در كوتاهترين زمان داد. فعال كردن الگ بر روي تمامي سيستم ها و مميزي الگ ها بطور روزانه ايمن سازي سيستم هاي اسكادا توصيه نهم :مميزي فني دستگاه ها و شبكه اسكادا و هر شبكه متصل شده به منظور شناسايي اثرات امنيتي مميزي فني از دستگاه ها و شبكه اسكادا ‏ب ه منظور مميزي فن ي م ي توان از مجموع ه اي از ابزارهاي كدباز و ي ا تجاري ب ه منظور شناس ايي نقاط آسيب پذير ،سطح ، patchingسرويس هاي فعال دستگاه ها و شبكه اسكادا استفاده كرد . ‏استفاده از اين ابزارها مشكل مسائل سيستماتيك را حل نخواهد كرد ولي مي تواند باعث حذف " مسيرهايي با حداقل مقاومت " گردد كه يك مهاجم مي تواند از آنها در جهت منافع خود بهره برداري نمايد. آناليز نقاط آسيب پذير شناسايي شده و انجام اقدامات ضروري در جهت برطرف كردن آنها تست مجدد سيستم ها پس از انجام اصالحات جهت حصول اطمينان از رفع مشكل نقاط آسيب پذير ايمن سازي سيستم هاي اسكادا توص"يه ده"م :مميزي امنيت فيزيكي و ارزيابي تمامي سايت هاي راه دور متصل شده به شبكه اسكادا به منظور بررسي وضعيت امنيتي آنها هر نقطه اي كه داراي يك اتصال به شبكه اسكادا مي باشد ،مي تواند يك هدف باشد خصوصا" سايت هاي راه دور ‏مميزي امنيت فيزيكي در هر نقطه تماس با شبكه اسكادا ‏شناسايي و ارزيابي هر گونه منبع اطالعاتي شامل تلفن ،شبكه كامپيوتري راه دور ،كابل هاي فيبرنوري ،لينك هاي راديويي ،ترمينال هاي كامپيوتري ،دستگاه هاي نقطه تماس شبكه هاي بي سيم ايمن سازي سيستم هاي اسكادا توصيه يازدهم :ايجاد "گروه موسوم به قرمز" جهت شناسايي و بررسي سناريوهاي حمالت احتمالي ايجاد يك گروه به منظور شناسايي سناريوهاي مختلف حمالت احتمالي و بررسي نقاط آسيب پذير سيستم ‏اس تفاده از مجموع ه اي از نيروهاي كارشناس ك ه در خص وص امني ت اطالعات ،س يستم هاي اسكادا ،س يستم هاي فيزيك ي و مي باشند كنترل هاي امنيتي داراي بينش الزم ‏بررسي ريسك نفوذ و اثربخشي كدهاي مخرب در اختيار قرار دادن نتايج مطالعات انجام يافته توسط گروه فوق به گروه مديريت تهديدات به منظور اتخاذ استراتژي الزم جهت مقابله با تهديدات ايمن سازي سيستم هاي اسكادا توصيه دوازدهم :ت عريف شفاف وظايف ،مسئوليت ها ،مميزي ها ،مديريت ها و كاربران كاركنان سازمان الزم است شناخت مناسبي نسبت به نقش خود در خصوص ايمن سازي اطالعات داشته باشند . اين كار از طريق تعريف دقيق و شفاف وظايف و مسئوليت ها صورت مي پذيرد ‏به كاركنان كليدي سازمان مي بايست مجوز الزم جهت انجام وظايف خود خصوصا" در موارد مميزي داده شود . ‏يك س اختار سازماني در خصوص ايم ن سازي زيرس اخت فناوري اطالعات در س ازمان ايجاد گردد .چگونه وقوع يك حادثه امنيتي تشخيص داده مي شود و وظايف هر فرد چيست ؟ ‏ ايمن سازي سيستم هاي اسكادا توص"يه س"يزدهم :مستندسازي معماري شبكه و شناسايي سيستم هائي كه داراي وظايف حياتي هستند و يا شامل اطالعات حساسي مي باشند كه نيازمند يك سطح اضافه از حفاظت مي باشند توصيه چهاردهم :ايجاد فرآيند مديريت خطرات ( مستمر و سخت ) توص"يه پانزدهم :ايجاد ي"ك اس"تراتژي حفاظت شبكه بر اس"اس اصول دفاع در عمق توصيه شانزدهم :تدوين يك برنامه جامع امنيتي در سازمان شامل رويه ها ،سياست هاي امنيتي ،مسئوليت ها و ... ايمن سازي سيستم هاي اسكادا توصيه هفدهم :مديريت پيكربندي تجهيزات سخت افزاري و نرم افزاري توصيه هجدهم :انجام ارزيابي امنيتي بطور ادواري توص"يه نوزده"م :ايجاد ي"ك برنام"ه جام"ع جه"ت برخورد مناس"بب"ا شراي"ط بحران"ي ( برگرداندن س"ريع س"يستم ه"اب"ه س"رويس ه"ا ،عدم حذف و ي"ا از دست دادن داده و ) ... توصيه بيستم :ايجاد سياست ها ،آموزش ،افزايش دانش و آگاهي كاركنان در خصوص امنيت استاكس" نت و سيستم اسكادا ‏ا ستاكس نت ،سيستم هاي كنترل صنعتي را هدف قرار داده است . استاكس نت به دنبال يك PLCخاص مي گردد . ‏S7 – 300 ‏S7 – 400 ‏هر PLCمي بايس ت قب ل از اس تفاده ،برنامه ريزي گردد . پيكربندي در محلي با نام SDB (System ) Data Blocksذخيره مي گردند . استاكس نت SDBرا بررسي كرده و به دنبال يك بايت خاص و در يك مكان بخصوص است ادامه ! ... ايمن سازي سيستم هاي اسكادا يك اولويت و ضرورت ملي است The End