در سالهای اخیر با توجه به گزارشهای رسیده از حملات سایبری به شبکههای صنعتی در جهان و ایران از جمله واحدهای صنعتی حساس مانند واحدهای نیروگاهی و صنایع نفت، گاز و پتروشیمی، باید بیش از پیش به مسئله حفاظت شبکههای صنعتی و بطور ویژه شبکههای کنترل فرآیند و اتوماسیون صنعتی توجه داشته باشیم.
این مهم، علاوه بر دانش فنی بالا، نیاز به توجه به نکات اساسی و مهمی دارد تا سیستم حفاظتی شبکه صنعتی در یک واحد صنعتی بتواند اطمینان کامل را برای سطوح مختلف کاربران شبکه به وجود آورد. در این مقاله تلاش شده است توجه شما را به چند نکته اساسی برای پیاده سازی سیستم حفاظت شبکههای صنعتی جلب کنیم.
حفاظت شبکه بدون شک برای شبکههای صنعتی امروزی ضروری است. عدم موفقیت در محدود کردن دسترسی میتواند فاجعه آمیز باشد. امکان دسترسی به شبکه شما توسط افراد آموزش ندیده ممکن است باعث ایجاد تنظیمات اشتباه و بد دستگاههای شبکهای شود. دسترسی به پورتها و درگاههای ناامن میتواند باعث به وجود آمدن تصادفی حلقههای شبکه شود. در زیر چند نکته امنیتی وجود دارند که بهتر است در هنگام ایجاد شبکه خود آنها را در ذهن داشته باشید:
نگذارید روند تولید یا فعالیت در حال اجرا متوقف شود
زمان بازیابی و فعالیت از مهمترین اولویتهای بخش کارخانه است. حتما سیستمهای امنیتی را به شکلی تنظیم کنید که برای افراد در بخش برنامهریزی که با این دستگاهها سر و کار دارند آشنا و قابل درک باشد. برای مثال، یک سیستم امنیتی ایجاد نکنید که اگر یک اپراتور وحشت زده در یک شرایط بحرانی یک رمز عبور اشتباه وارد کرد، تجهیزات را خاموش کند.
VLANها را تقسیم کنید
ابزار و عوامل بخش تولید خود را با استفاده از CLANهای مختلف، از بخشهای مدیریتی (کامپیوترهای دفتر، قفلهای درب پذیرش و …) مجزا کنید. گاهی تبدیل شبکه تولید به سه بخش بسیار مفید است (PLCها، کاربران HMI و سرورها). چون این تقسیم باعث کاهش ترافیک میشود در مواقعی که نیاز نیست.
دسترسی به واسط مدیریت سوییچهای شبکه نیز قابل کنترل شدن است. از یک لیست IP قابل دسترسی برای محدود کردن دسترسی مدیریتی به دستگاههای شبکه خود استفاده کنید. این لیست تنها اجازه برقرار شدن ارتباطاتی را میدهد که از طریق آدرسهای IP از پیش انتخاب شده درخواست شوند.
برای پیشگیری بیشتر دسترسی به واسط مدیریتی، یک VLAN مدیریتی مجزا میتواند برای این هدف ایجاد شود. به هر حال، بسیاری از شبکههای صنعتی در یک VLAN و با یک طرح IP مستقیم عمل میکنند. ایجاد VLANهای مجزا میتواند باعث ایجاد پیچیدگی بیشتری در یک سیستم متوسط شوند، اما لیست IP قابل دسترسی گاهی میتواند حفاظت مناسب را به همراه سادگی مطلوب فراهم کند.
از سوییچ های شبکه مدیریتی استفاده کنید
شبکه خود را با سوییچهای مدیریت شده طراحی کنید، این سوییچها جریان دادهها را کنترل کرده و بار شبکه را کاهش میدهند. این دستگاهها شامل یک واسط مدیریتی است که یک کنترل عالی برای عملکرد سیستم فراهم میآورند، همچنین دسترسی به شبکه را نیز محدود میکنند.
سوییچهای مدیریت نشده هیچ نوع کنترلی فراهم نمیکنند و به هر دستگاهی اجازه میدهند به شبکه متصل شود. سوییچهای مدیریت شده همچنین به طراح شبکه اجازه میدهند که همه پورتهای استفاده نشده را غیر فعال کند. این امر از دسترسی دستگاههای غیر مجاز به شبکه جلوگیری میکند. پورتها میتوانند یا غیر فعال شوند و یا برای استفاده از یک سرور RADIUS مرکزی تنظیم شوند که میتواند دسترسی به آنها را از طریق ۸۰۲.۱x کنترل کند. این امر به تنظیمات بیشتری نیاز دارد، اما اجازه میدهد همه دستگاههای شبکه به جای مدیریت نامها و رمز های عبور کاربران بر روی سوییچهای مجزا، یک پایگاه داده کاربری مجزا که به صورت مرکزی مدیریت میشود داشته باشند.
حتما رمز عبور پیش فرض admin را برای سوییچها تغییر دهید. این رمز معمولا به صورت پیش فرض قرار می گیرد و متاسفانه بسیاری از افراد آن را تغییر نمیدهند! باید گفت که این عدم تغییر رمز پیش فرض یک مشکل بزرگ است و حتما باید همیشه آن را تغییر دهید.
بررسی کنید تا حلقه های شبکه بین هاب سوییچ ها ایجاد نشده باشد
بسیاری از شبکههای صنعتی با مسیرهای افزونگی ریداندنسی Redundancy در سیستم خود طراحی شدهاند و از همان ابتدا یک مکانیزم پیشگیری از افزونگی/حلقه به کار میبرند. این امر نیز یکی از ویژگیهای سوییچ مدیریت شده است. بدون پروتکلهای پیشگیری از حلقه، همه پورتها میتوانند با یک کابل اترنت پشت به پشت هم در یک سوییچ به هم متصل شوند و یک طوفان ارسال داده فراهم کنند. این طوفان میتواند سوییچ و همچنین شبکه را از کار بیندازد.
پیگیری و برطرف کردن این نوع مشکلها در یک شبکه بسیار مشکل است. پروتکلهای پیشگیری از حلقه شامل متغیرهای درخت پوشا می باشند (مانند درخت پوشای سریع). برای کاربردهای صنعتی این پروتکلها بسیار کند هستند، اما راه حلهای بهینه سازی شدهای مانند TurboChain و پیشگیری از ایجاد طوفان ارسال داده (BSP) میتوانند زمان پاسخگویی میلی ثانیهای در جلوگیری از ایجاد حلقهها در شبکه داشته باشند. این ویژگیها میتوانند برای جلوگیری از عدم پذیرش خطرناک خروجی خدمات و همچنین جلوگیری از حلقه بازگشتی تصادفی کابل اترنت مورد استفاده قرار گیرند.
به دنبال افزونگی REDUNDANCY و FAILE SAFE شدن باشید
داشتن تجهیزاتی که ایجاد اختلال در آنها ساده باشد، کار یک حمله کننده سایبری را تسهیل میکند. همه اجزای شبکه از جمله کابل کشی، بخشها و تجهیزات فعال، باید از نظر صنعتی تقویت و مستحکم شوند، عکس العمل سریع داشته باشند و به خاطر محیطهای شلوغی که در تاسیسات صنعتی به وجود میآیند، باید دارای زمان متوسط بالایی بین شکستها (MTBF) باشند.
اجزای فعال در یک شبکه صنعتی، مانند سوییچها و مسیریابها، باید از تکنولوژیهای افزونگی صنعتی و سطح افزونگی (ریداندنسی) مورد نیاز برای نیازهای حفاظتی شما پشتیبانی کنند. این امر باعث میشود عملیات سیستم شما ادامه یابد، حتی اگر مشکلات و خرابیهایی در شبکه به وجود آیند.
از یک سیستم فایروال برای هشدار به موقع فعالیت های مشکوک در شبکه استفاده کنید
یکپارچه سازی امنیت با سیستمهای کنترل صنعتی برای پشتیبانی و کنترل اتفاقات امنیتی در یک شبکه حیاتی است. استفاده از نرم افزارهای فایروال و هشدار دهنده امنیت شبکه، تشخیص فعالیتهای غیرمعمول در شبکه را تسهیل میکند.
تشخیص فعالیتهای غیرمعمول زمینهای است که در دنیای مکانیزه سازی صنعتی، معمولا به صورت ضعیف انجام میشود. افراد بخش برنامه نویسی باید در صورتی که یک اپراتور از راه دور فقط خواندنی سعی کند یک PLC را برنامهنویسی کند، سریعا آگاه شوند. بررسی اتفاق توسط تیم IT در روز بعد از وقوع ممکن است خیلی دیر باشد.
فایروال را به گونه ای تنظیم کنید تا ارتباطات سالم شبکه صنعتی به اشتباه مختل نشوند
فایروالها باید برای ایمن سازی پروتکلهای تحت شبکههای صنعتی اترنت (Ethernet) مانند پروتکلهای ارتباط دیتای تحت سازمان اسکادا (SCADA) یا شبکههای فیلدباس مانند پروفی باس (ProfiBus) مانند شبکه مدباس (Modbus) و OPC بهینهسازی شوند (نه برای ترافیک ایمیل یا وب، که جایی در سیستم برنامه نویسی ندارند).
حتما بخوانید: Modbus چیست ؟ (راهنمای جامع)
محصولاتی که ترافیک ایمیل و وب را مورد بررسی قرار میدهند، هزینه و پیچیدگی بیشتری به راه حل امنیتی اضافه میکنند. سیستم امنیتی خود را به گونهای طراحی کنید که محدودههای نیروی بسیار وسیعی را کنترل کند، چون بخش برنامهنویسی گاهی نیروهای مخرب زیادی دارد.