از امنیت شبکه های اتوماسیون صنعتی چه می دانید؟ در این مقاله با نمایندگی زیمنس پارس اتوماسیون توانا همراه باشید. در سالهای اخیر با توجه به گزارش های رسیده از حملات سایبری به شبکه های صنعتی در جهان و ایران از جمله واحدهای صنعتی حساس مثل واحدهای نیروگاهی و صنایع نفت، گاز و پتروشیمی، باید بیش از پیش به مسئله حفاظت شبکه های صنعتی و بطور ویژه شبکه های کنترل فرآیند و اتوماسیون صنعتی توجه داشته باشیم.
این مهم، علاوه بر دانش فنی بالا، نیاز به توجه به نکات اساسی و مهمی دارد تا سیستم حفاظتی شبکه صنعتی در یک واحد صنعتی بتواند اطمینان کامل را برای سطوح مختلف کاربران شبکه به وجود آورد. در این مقاله تلاش شده توجه شما را به چند نکته اساسی برای پیاده سازی سیستم حفاظت شبکه های صنعتی جلب کنیم. امنیت شبکه های اتوماسیون صنعتی
نکات امنیت شبکه های اتوماسیون صنعتی
حفاظت شبکه بدون شک برای شبکه های صنعتی امروزی ضروری می باشد. عدم موفقیت در محدود کردن دسترسی می تواند فاجعه آمیز باشد. امکان دسترسی به شبکه شما توسط افراد آموزش ندیده امکان دارد باعث ایجاد تنظیمات اشتباه و بد دستگاه های شبکه ای شود. دسترسی به پورتها و درگاه های ناامن می تواند باعث به وجود آمدن تصادفی حلقه های شبکه شود.
VLAN ها را تقسیم کنید امنیت شبکه های اتوماسیون صنعتی
ابزار و عوامل بخش تولید خود را با استفاده از CLANهای مختلف، از بخشهای مدیریتی (کامپیوترهای دفتر، قفلهای درب پذیرش و …) مجزا کنید. گاهی تبدیل شبکه تولید به سه بخش بسیار مفید است (PLCها، کاربران HMI و سرورها). چون این تقسیم باعث کاهش ترافیک می شود در مواقعی که نیاز نیست.
دسترسی به واسط مدیریت سوییچ های شبکه هم قابل کنترل شدن می باشد. از یک لیست IP قابل دسترسی برای محدود کردن دسترسی مدیریتی به دستگاه های شبکه خود استفاده کنید. این لیست تنها اجازه برقرار شدن ارتباطاتی را می دهد که از طریق آدرسهای IP از پیش انتخاب شده درخواست شوند. امنیت شبکه های اتوماسیون صنعتی
برای پیشگیری بیشتر دسترسی به واسط مدیریتی، یک VLAN مدیریتی مجزا می تواند برای این هدف ایجاد شود. به هر حال، بسیاری از شبکه های صنعتی در یک VLAN و با یک طرح IP مستقیم عمل می کنند. ایجاد VLANهای مجزا می تواند باعث ایجاد پیچیدگی بیشتری در یک سیستم متوسط شوند، اما لیست IP قابل دسترسی گاهی می تواند حفاظت مناسب را به همراه سادگی مطلوب فراهم کند.
نگذارید روند تولید یا فعالیت در حال اجرا متوقف شود امنیت شبکه های اتوماسیون صنعتی
زمان بازیابی و فعالیت از مهمترین اولویت های بخش کارخانه می باشد. حتما سیستم های امنیتی را به شکلی تنظیم کنید که برای افراد در بخش برنامه ریزی که با این دستگاهها سر و کار دارند آشنا و قابل درک باشد. مثلا، یک سیستم امنیتی ایجاد نکنید که اگر یک اپراتور وحشت زده در یک شرایط بحرانی یک رمز عبور اشتباه وارد کرد، تجهیزات را خاموش کند. امنیت شبکه های اتوماسیون صنعتی
از سوییچ های شبکه مدیریتی استفاده کنید
شبکه خود را با سوییچهای مدیریت شده طراحی کنید، این سوییچها جریان داده ها را کنترل کرده و بار شبکه را کاهش می دهند. این دستگاهها شامل یک واسط مدیریتی بوده که یک کنترل عالی برای عملکرد سیستم فراهم می آورند، همینطور دسترسی به شبکه را هم محدود می کنند. امنیت شب که های اتوماسیون صنعتی
سوییچهای مدیریت نشده هیچ نوع کنترلی فراهم نمی کنند و به هر دستگاهی اجازه می دهند به شبکه متصل شود. سوییچهای مدیریت شده همینطور به طراح شبکه اجازه می دهند که همه پورتهای استفاده نشده را غیر فعال کند. این امر از دسترسی دستگاه های غیر مجاز به شبکه جلوگیری می کند. امنیت شبکه های اتوماسیون صنعتی
پورتها قادر هستند یا غیر فعال شوند و یا برای استفاده از یک سرور RADIUS مرکزی تنظیم شوند که می تواند دسترسی به آن ها را از طریق 802. 1x کنترل کند. این امر به تنظیمات بیشتری نیاز دارد، اما اجازه می دهد همه دستگاههای شبکه به جای مدیریت نامها و رمز های عبور کاربران روی سوییچهای مجزا، یک پایگاه داده کاربری مجزا که به صورت مرکزی مدیریت می شود داشته باشند.
حتما رمز عبور پیش فرض admin را برای سوییچها تغییر دهید. این رمز معمولا به صورت پیش فرض قرار می گیرد و متاسفانه بسیاری از افراد آن را تغییر نمی دهند! باید گفت که این عدم تغییر رمز پیش فرض یک مشکل بزرگ بوده و حتما باید همیشه آن را تغییر دهید. امنیت شبکه های اتوماسیون صنعتی
به دنبال افزونگی REDUNDANCY و FAILE SAFE شدن باشید
داشتن تجهیزاتی که ایجاد اختلال در آن ها ساده باشد، کار یک حمله کننده سایبری را تسهیل می کند. همه اجزای شبکه از جمله کابل کشی، بخشها و تجهیزات فعال، باید از نظر صنعتی تقویت و مستحکم شوند، عکس العمل سریع داشته باشند و به خاطر محیطهای شلوغی که در تاسیسات صنعتی به وجود می آیند، باید دارای زمان متوسط بالایی بین شکستها (MTBF) باشند.
اجزای فعال در یک شبکه صنعتی، همانند سوییچها و مسیریاب ها، باید از تکنولوژی های افزونگی صنعتی و سطح افزونگی (ریداندنسی) مورد نیاز برای نیازهای حفاظتی شما پشتیبانی کنند. این امر باعث می شود عملیات سیستم شما ادامه یابد، حتی اگر مشکلات و خرابی هایی در شبکه به وجود آیند. امنیت شبکه های اتوماسیون صنعتی
بررسی کنید تا حلقه های شبکه بین هاب سوییچ ها ایجاد نشده باشد
بسیاری از شبکه های صنعتی با مسیرهای افزونگی ریداندنسی Redundancy در سیستم خود طراحی شده اند و از همان ابتدا یک مکانیزم پیشگیری از افزونگی. حلقه به کار می برند. این امر هم یکی از ویژگیهای سوییچ مدیریت شده. بدون پروتکلهای پیشگیری از حلقه، همه پورتها قادر هستند با یک کابل اترنت پشت به پشت هم در یک سوییچ به هم متصل شوند و یک طوفان ارسال داده فراهم کنند. این طوفان می تواند سوییچ و همینطور شبکه را از کار بیندازد. امنیت شبکه های اتوماسیون صنعتی
پیگیری و برطرف کردن این نوع مشکلها در یک شبکه بسیار مشکل می باشد. پروتکلهای پیشگیری از حلقه شامل متغیرهای درخت پوشا هستند (همانند درخت پوشای سریع). برای کاربردهای صنعتی این پروتکلها بسیار کند می باشند، اما راه حل های بهینه سازی شده ای همانند TurboChain و پیشگیری از ایجاد طوفان ارسال داده (BSP) قادر هستند زمان پاسخگویی میلی ثانیه ای در جلوگیری از ایجاد حلقه ها در شبکه داشته باشند. این ویژگیها قادر هستند برای جلوگیری از عدم پذیرش خطرناک خروجی خدمات و همینطور جلوگیری از حلقه بازگشتی تصادفی کابل اترنت مورد استفاده قرار گیرند.
امنیت شبکه های اتوماسیون صنعتی
از یک سیستم فایروال برای هشدار به موقع فعالیت های مشکوک در شبکه استفاده کنید
یکپارچه سازی امنیت با سیستم های کنترل صنعتی برای پشتیبانی و کنترل اتفاقات امنیتی در یک شبکه حیاتی می باشد. استفاده از نرم افزارهای فایروال و هشدار دهنده امنیت شبکه، تشخیص فعالیت های غیرمعمول در شبکه را تسهیل می کند. امنیت شبکه های اتوماسیون صنعتی
تشخیص فعالیت های غیرمعمول زمینه ای بوده که در دنیای مکانیزه سازی صنعتی، معمولا به صورت ضعیف انجام می شود. افراد بخش برنامه نویسی باید در صورتی که یک اپراتور از راه دور فقط خواندنی سعی کند یک PLC را برنامه نویسی کند، سریعا آگاه شوند. بررسی اتفاق توسط تیم IT در روز بعد از وقوع امکان دارد خیلی دیر باشد.
راه حل های شبکه صنعتی امنیت شبکه های اتوماسیون صنعتی
با راه حلهای شبکه های صنعتی، ما به مشتریان خود کمک می کنیم تا از طریق تعامل قابل اعتماد و کارآمد بین OT و IT، پایه ای بهینه را برای دیجیتالی سازی ایجاد کنند و آن ها را در مسیر تحول دیجیتال همراهی کنیم. چگونه می توان به همکاری مطمئن بین OT و IT دست یافت؟ درک الزامات هر دو شبکه مهم می باشد. شبکه های OT بخشی از اتوماسیون می باشند.
از آنجایی که خرابی ها قادر هستند به سرعت بسیار پرهزینه شوند، این شبکه ها باید دائماً در دسترس و قابل اعتماد باشند. انتقال داده ها باید همیشه به طور قابل اعتماد انجام شود، حتی در شرایط سخت. در فناوری اطلاعات، که برای کاربران نهایی طراحی شده، تمرکز اصلی روی سرعت انتقال داده ها و استفاده از آن می باشد. در حالی که داده ها در میدان معمولاً به صورت افقی جریان می یابند، شبکه های فناوری اطلاعات به صورت عمودی می باشند. ارتباط بین مشتریان به صورت عمودی از طریق یک سرور اجرا می شود.
امنیت شبکه های اتوماسیون صنعتی
فایروال را به گونه ای تنظیم کنید تا ارتباطات سالم شبکه صنعتی به اشتباه مختل نشوند
فایروال ها باید برای ایمن سازی پروتکلهای تحت شبکه های صنعتی اترنت (Ethernet) همانند پروتکلهای ارتباط دیتای تحت سازمان اسکادا (SCADA) یا شبکه های فیلدباس همانند پروفی باس (ProfiBus) همانند شبکه مدباس (Modbus) و OPC بهینه سازی شوند (نه برای ترافیک ایمیل یا وب، که جایی در سیستم برنامه نویسی ندارند).
محصولاتی که ترافیک ایمیل و وب را مورد بررسی قرار می دهند، هزینه و پیچیدگی بیشتری به راه حل امنیتی اضافه می کنند. سیستم امنیتی خود را به گونه ای طراحی کنید که محدوده های نیروی بسیار وسیعی را کنترل کند، چون بخش برنامه نویسی گاهی نیروهای مخرب زیادی دارد.
امنیت شبکه های اتوماسیون صنعتی
محافظت و پیشگیری کنید
راه اصلی مبارزه با حملات، طراحی صحیح کل شبکه ICT می باشد. بخش بندی مناسب و جداسازی شبکه از همه مهم تر می باشد.
ابتدا شبکه باید بسته به مقصد به زیرشبکه ها تقسیم شود. یک شبکه اداری باید در یک گروه جداگانه، یک شبکه صنعتی و یک شبکه عمومی در گروه دیگر قرار گیرد. هر یک از گروه های برتر باید به بخش های مناسب کارخانه ما تقسیم شوند که بسته به نوع دستگاه به زیرشبکه ها تبدیل می شوند. مثال: کنترل کننده های PLC باید در شبکه ای متفاوت از حتی VoIP باشند.
علاوه بر این، استفاده از دستگاه هایی با فایروال داخلی ضروری می باشد. یکی از عناصر مهم جداسازی شبکه، تقسیم آن به VLAN می باشد. این اجازه می دهد تا بخش های مختلف به طور منطقی در ردیف سوم TCP مدل OSI از هم جدا شوند. ترافیک ورودی و خروجی باید از طریق ACLهای تعریف شده در سطح دستگاه کنترل شود.
بهترین راه حل برای اطمینان از فایروال قوی، علاوه بر تنظیم آن روی دستگاه های جداگانه، اتصال به شبکه یک دستگاه جداگانه بوده که بر ترافیک و امنیت نظارت می کند، که سرورهای فایروال یا UTM می باشند.
دومی فایروال های بسیار مفیدی می باشند که در یک دستگاه سوئیچ همانند قرار گرفته اند. همینطور امکان نصب فایروال روی لایه کاربردی مدل OSI وجود دارد که امکان دارد بعضی آن را در شبکه های صنعتی اغراق آمیز بدانند اما باید به آن هم اشاره کرد.
یک روش امنیتی خوب و شاید منطقی ترین، قطع اتصال دستگاه هایی بوده و سادگی به آن ها نیازی ندارند از اینترنت. مثلا، اپراتورها فقط باید به بخش شبکه صنعتی که در آن PLC در ارتباط با HMI عمل می کند، دسترسی داشته باشند تا کارمندان به پارامترهای کنترل و فرآیند دسترسی داشته باشند و نه به آخرین فصل بازی تاج و تخت: D.
کل شبکه باید به دقت نظارت شود. به دست آوردن داده ها با مجوز بیش از حد بسیار آسان است، پس افراد آموزش دیده و شایسته با حقوق انحصاری که در مقابل اشخاص ثالث هم محافظت می شوند، باید برای مدیریت منابع و مراقبت از شبکه ICT منصوب شوند. من اغلب با شرایطی مواجه شده ام که پس از اتصال به شبکه مشتری از طریق VPN، رایانه من توسط آنتی ویروس اسکن شده و باید نوعی استانداردهای امنیتی (از جمله سیستم عامل فعلی، فایروال فعال، نرم افزار قانونی و …) را رعایت کند. شخصاً بسیار تحریک کننده بود، اما در واقع آن را بسیار ایمن تر کرد.
زمانی که صحبت از اتصالات از راه دور و VPN به میان می آید، حتی لازم است از پروتکل های رمزگذاری انتقال، سیستم شناخته شده اعتبار PKI و دیگر گواهی های امنیتی استفاده کنید. علاوه بر این، همه گواهینامه ها باید به روز و به صورت دوره ای تمدید شوند. بسیار مهم بوده که کلیدهای خصوصی هر کاربر روی رسانه های غیرقابل دسترسی برای اشخاص ثالث ذخیره شده و با امنیت اضافی محافظت شود.
امنیت شبکه های اتوماسیون صنعتی
به پایان مقاله امنیت شبکه های اتوماسیون صنعتی رسیدیم…
مقاله نکات امنیت شبکه های اتوماسیون صنعتی به پایان رسید و خوشحالیم که توانستیم بار دیگر رضایت شما را به دست آوریم. پارس اتوماسیون توانا، فروشگاه بزرگ تجهیزات صنعتی و اتوماسیون صنعتی است و از شما دعوت می کند برای خرید محصولات و اطلاعات بیشتر از طریق راه های ارتباطی ذکر شده در وب سایت با ما تماس حاصل فرمایید.
