چند راهکار امنیتی ساده و حیاتی در حفاظت از شبکه های صنعتی

08:00230

در سال های اخیر با توجه به گزارش های رسیده از حملات سایبری به شبکه های صنعتی در جهان و ایران از جمله واحد های صنعتی حساس مانند واحد های نیروگاه ها و صتایع نفت، گاز و پتروشیمی، باید بیش از پیش به مسئله حفاظت شبکه های صنعتی و بطور ویژه شبکه های کنترل فرآیند و اتوماسیون صنعتی توجه داشته باشیم. این مهم، علاوه بر دانش فنی بالا، نیاز به توجه به نکات اساسی و مهمی دارد تا سیستم حفاظتی شبکه صنعتی در یک واحد صنعتی بتواند اطمینان کامل را برای سطوح مختلف کابران شبکه به وجود آورد. در این مطلب تلاش شده است توجه شما را به چند نکته اساسی برای پیاده سازی سیستم حفاظت شبکه های صنعتی جلب کنیم.

حفاظت شبکه بدون شک برای شبکه های صنعتی امروزی ضروری است. عدم موفقیت در محدود کردن دسترسی می تواند فاجعه آمیز باشد. امکان دسترسی به شبکه ی شما توسط افراد آموزش ندیده ممکن است باعث ایجاد تنظیمات اشتباه و بد دستگاه های شبکه ای شود.دسترسی به پورت ها و درگاه های نا امن می تواند باعث به وجود آمدن تصادفی حلقه های شبکه شود. در زیر چند نکته ی امنیتی وجود دارند که بهتر است در هنگام ایجاد شبکه ی خود آنها را در ذهن داشته باشید :

netwrok protection

 نگذارید روند تولید یا فعالیت در حال اجرا متوقف شود.

زمان بازیابی و فعالیت از مهمترین اولویت های بخش کارخانه می باشد. حتما سیستم های امنیتی را به طوری تنظیم کنید که برای افراد در بخش برنامه ریزی که با این دستگاه ها سر و کار دارند آشنا و قابل درک باشد. برای مثال، یک سیستم امنیتی ایجاد نکنید که اگر یک اپراتور وحشت زده در یک شرایط بحرانی یک رمز عبور اشتباه وارد کرد، تجهیزات را خاموش کند.

VLAN ها را تقسیم کنید.

ابزار و عوامل بخش تولید خود را با استفاده از CLAN های مختلف، از بخش های مدیریتی(کامپیوتر های دفتر، قفل های درب پذیرش و …) مجزا کنید. گاهی تبدیل شبکه ی تولید به سه بخش بسیار مفید است ( PLC ها، کاربران HMI و سرور ها). چون این تقسیم باعث کاهش ترافیک در مواقعی که نیاز نیست می شود. دسترسی به واسط مدیریت سوییچ های شبکه نیز قابل کنترل شدن است. از یک لیست  IP قابل دسترسی برای محدود کردن دسترسی مدیریتی به دستگاه های شبکه ی خود استفاده کنید. این لیست تنها اجازه ی برقرار شدن ارتباطاتی را می دهد که از طریق آدرس های IP از پیش انتخاب شده درخواست شوند. برای پیشگیری بیشتر دسترسی به واسط مدیریتی، یک VLAN مدیریتی مجزا می تواند برای این هدف ایجاد شود. به هر حال، بسیاری از شبکه های صنعتی در یک VLAN و با یک طرح IP مستقیم عمل می کنند. ایجاد VLAN های مجزا می تواند باعث ایجاد پیچیدگی بیشتری در یک سیستم متوسط شوند، اما لیست IP قابل دسترسی گاهی می تواند حفاظت مناسب را به همراه سادگی مطلوب فراهم کند.

industrial network management switch

از سوییچ های شبکه مدیریتی استفاده کنید.

شبکه ی خود را با سوییچ های مدیریت شده طراحی کنید، این سوییچ ها جریان داده ها را کنترل کرده و بار شبکه را کاهش می دهند. این دستگاه ها شامل یک واسط مدیریتی می باشند که کنترل عالی ای برای عملکرد سیستم فراهم می آورند، همچنین دسترسی به شبکه را نیز محدود می کنند. سوییچ های مدیریت نشده هیچ نوع کنترلی فراهم نمی کنند و به هر دستگاهی اجازه می دهند به شبکه متصل شود. سوییچ های مدیریت شده همچنین به طراح شبکه اجازه می دهند که همه ی پورت های استفاده نشده را غیر فعال کند. این امر از دسترسی دستگاه های غیر مجاز به شبکه جلوگیری می کند. پورت ها می توانند یا غیر فعال شوند و یا برای استفاده از یک سرور RADIUS مرکزی، که می تواند دسترسی به آنها را از طریق ۸۰۲.۱x کنترل کند، تنظیم شوند. این امر به تنظیمات بیشتری نیاز دارد، اما اجازه می دهد همه ی دستگاه های شبکه به جای مدیریت نام ها و رمز های عبور کاربران بر روی سوییچ های مجزا، یک پایگاه داده ی کاربری مجزا که به صورت مرکزی مدیریت می شود داشته باشند. حتما رمز عبور پیش فرض admin را برای سوییچ ها تغییر دهید. این رمز معمولا به صورت پیش فرض قرار می گیرد و بسیاری از افراد آن را تغییر نمی دهند. باید گفت که این عدم تغییر رمز پیش فرض یک مشکل بزرگ است و حتما باید همیشه آن را تغییر دهید.

بررسی کنید تا حلقه های شبکه بین هاب سوییچ ها ایجاد نشده باشد.

بسیاری از شبکه های صنعتی با مسیرهای افزونگی ریداندنسی Redundancy در سیستم خود طراحی شده اند و از همان ابتدا یک مکانیزم پیشگیری از افزونگی/ حلقه به کار می برند. این امر نیز یکی از ویژگی های سوییچ مدیریت شده است. بدون پروتکل های پیشگیری از حلقه، همه ی پورت ها می توانند با یک کابل اترنت پشت به پشت هم در یک سوییچ به هم متصل شوند و یک طوفان ارسال داده فراهم کنند. این طوفان می تواند سوییچ و همچنین شبکه را از کار بیندازد. پیگیری و برطرف کردن این نوع مشکل ها در یک شبکه بسیار مشکل است. پروتکل های پیشگیری از حلقه شامل متغیرهای درخت پوشا می باشند(مانند درخت پوشای سریع). برای کاربردهای صنعتی این پروتکل ها بسیار کند هستند، اما راه حل های بهینه سازی شده ای مانند TurboChain و پیشگیری از ایجاد طوفان ارسال داده(BSP) می توانند زمان پاسخگویی میلی ثانیه ای در جلوگیری از ایجاد حلقه ها در شبکه داشته باشند. این ویژگی ها می توانند برای جلوگیری از عدم پذیرش خطرناک خروجی خدمات و همچنین جلوگیری از حلقه ی بازگشتی تصادفی کابل اترنت مورد استفاده قرار گیرند.

به دنبال افزونگی REDUNDANCY و FAIL SAFE شدن باشید.

داشتن تجهیزاتی که ایجاد اختلال در آنها ساده باشد، کار یک حمله کننده سایبری را تسهیل می کند. همه ی اجزای شبکه از جمله کابل کشی، بخش ها و تجهیزات فعال، باید از نظر صنعتی تقویت و مستحکم شوند، عکس العمل سریع داشته باشند و به خاطر محیط های شلوغی که در تاسیسات صنعتی به وجود می آیند، باید دارای زمان متوسط بالایی بین شکست ها(MTBF) باشند. اجزای فعال در یک شبکه ی صنعتی، مانند سوییچ ها و مسیریاب ها، باید از تکنولوژی های افزونگی صنعتی و سطح افزونگی (ریداندنسی) مورد نیاز برای نیازهای حفاظتی شما پشتیبانی کنند. این امر باعث می شود عملیات های سیستم شما ادامه یابند،حتی اگر مشکلات و خرابی هایی در شبکه به وجود آیند.

firewalls

از یک سیستم فایروال برای هشدار به موقع فعالیت های مشکوک در شبکه استفاده کنید.

یکپارچه سازی امنیت با سیستم های کنترل صنعتی برای پشتیبانی و کنترل اتفاقات امنیتی در یک شبکه حیاتی است. استفاده از نرم افزار های فایروال و هشدار دهنده امنیت شبکه، تشخیص فعالیت های غیر معمول در شبکه را تسهیل می کند، تشخیص فعالیت های غیر معمول زمینه ای است که در دنیای مکانیزه سازی صنعتی، معمولا به صورت ضعیف انجام می شود. افراد بخش برنامه نویسی باید در صورتی که یک اپراتور از راه دور فقط خواندنی سعی کند یک PLC را برنامه نویسی کند، سریعا آگاه شوند. بررسی اتفاق توسط تیم IT در روز بعد از وقوع ممکن است خیلی دیر باشد.

industrial network communication protocols

فایروال را به گونه ای تنظیم کنید تا ارتباطات سالم شبکه صنعتی به اشتباه مختل نشوند

فایروال ها باید برای ایمن سازی پروتکل های تحت شبکه های صنعتی اترنت Ethernet مانند پروتکل های ارتباط دیتای تحت سازمان اسکادا SCADA یا شبکه های فیلدباس مانند پروفیباس ProfiBus مانند شبکه مدباس Modbus و OPC بهینه سازی شوند( نه برای ترافیک ایمیل یا وب، که جایی در سیستم برنامه نویسی ندارند). محصولاتی که ترافیک ایمیل و وب را مورد بررسی قرار می دهند، هزینه و پیچیدگی بیشتری به راه حل امنیتی اضافه می کنند. سیستم امنیتی خود را به گونه ای طراحی کنید که محدوده های نیروی بسیار وسیعی را کنترل کند، چون بخش برنامه نویسی گاهی نیروهای مخرب زیادی دارد.

لینک کوتاه
https://iranautomation.com /?p=40

بدون دیدگاه

پاسخ دهید

فیلدهای مورد نیاز با * علامت گذاری شده اند