1 / 23

ارائه الگوی بومی امن سازی سیستم های اتوماسیون و کنترل صنعتی مبتنی بر استراتژی دفاع در عمق

ارائه الگوی بومی امن سازی سیستم های اتوماسیون و کنترل صنعتی مبتنی بر استراتژی دفاع در عمق شرکت ایزایران ـ ict@isiran.ir کنفرانس ملی امنیت اطلاعات و اسرائیل شناسی حوزه فناوری اطلاعات و ارتباطات. فهرست مطالب. سیستم های اتوماسیون و کنترل صنعتی چیست؟.

zahi
Télécharger la présentation

ارائه الگوی بومی امن سازی سیستم های اتوماسیون و کنترل صنعتی مبتنی بر استراتژی دفاع در عمق

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. ارائه الگوی بومی امن سازی سیستم های اتوماسیون و کنترل صنعتی مبتنی بر استراتژی دفاع در عمق شرکت ایزایران ـ ict@isiran.ir کنفرانس ملی امنیت اطلاعات و اسرائیل شناسی حوزه فناوری اطلاعات و ارتباطات

  2. فهرست مطالب کنفرانس ملی امنیت اطلاعات و اسرائیل شناسی حوزه فناوری اطلاعات و ارتباطات

  3. سیستم های اتوماسیون و کنترل صنعتی چیست؟ • منظور از اتوماسیون صنعتی و سیستم های کنترلی، بهره گیری از رایانه ها به جای متصدیان انسانی برای کنترل دستگاه ها و فرایندهای صنعتی است. • سیستم های اتوماسیون نقش مغز و اعصاب را برای یک کارخانه بازی می کنند. • پیاده سازی سیستم های اتوماسیون صنعتی سبب افزایش کیفیت تولید، کاهش هزینه ها، افزایش ظرفیت یا حجم تولید، افزایش دقت در عملیات تولیدی، کاهش پسماندهای تولید و افزایش مقدار فروش می شود. کنفرانس ملی امنیت اطلاعات و اسرائیل شناسی حوزه فناوری اطلاعات و ارتباطات

  4. نمونه واقعی حملات صورت گرفته به سیستم های کنترل صنعتی کنفرانس ملی امنیت اطلاعات و اسرائیل شناسی حوزه فناوری اطلاعات و ارتباطات

  5. نمونه واقعی حملات صورت گرفته به سیستم های کنترل صنعتی کنفرانس ملی امنیت اطلاعات و اسرائیل شناسی حوزه فناوری اطلاعات و ارتباطات

  6. فهرست مطالب کنفرانس ملی امنیت اطلاعات و اسرائیل شناسی حوزه فناوری اطلاعات و ارتباطات

  7. دارایی های اتوماسیون صنعتی • دارایی چیزی است که برنامه امنیتی روی آن تمرکز می کند. • دارایی باید مورد محافظت قرار گیرد. • انواع دارایی های اتوماسیون صنعتی و سیستم های کنترلی کنفرانس ملی امنیت اطلاعات و اسرائیل شناسی حوزه فناوری اطلاعات و ارتباطات

  8. بررسی تلفات وارده به دارایی های سیستم های کنترل صنعتی کنفرانس ملی امنیت اطلاعات و اسرائیل شناسی حوزه فناوری اطلاعات و ارتباطات

  9. فهرست مطالب کنفرانس ملی امنیت اطلاعات و اسرائیل شناسی حوزه فناوری اطلاعات و ارتباطات

  10. استراتژی دفاع در عمق • دفاع در عمق مدیریت سیستماتیک امنیت افراد، فرایندها و فناوری ها با رویکرد کل نگر مدیریت ریسک می باشد. • پیاده سازی مؤثر استراتژی دفاع در عمق، نیازمند رویکردی جامع و به کارگیری تمام منابع سازمان به منظور ایجاد لایه‌های محافظتی موثر، می‌‌باشد. کنفرانس ملی امنیت اطلاعات و اسرائیل شناسی حوزه فناوری اطلاعات و ارتباطات

  11. لایه های محافظتی • مفهوم لایه های محافظتی این است که آیا سیستم در هریک از این سطوح، وظیفه خود را به درستی انجام می دهد یا خیر. این لایه ها به دو بخش اصلی تقسیم می شوند: کنفرانس ملی امنیت اطلاعات و اسرائیل شناسی حوزه فناوری اطلاعات و ارتباطات

  12. فهرست مطالب کنفرانس ملی امنیت اطلاعات و اسرائیل شناسی حوزه فناوری اطلاعات و ارتباطات

  13. الگوی بومی امن سازی سیستم های کنترل صنعتی • از 8 بخش تشکیل شده است: • 3 بخش: دارایی های سیستم های کنترل صنعتی هستند (انسان، داده و محیط). • 4 بخش: از اشتراک بین این دارایی ها تشکیل شده اند (بخش A، B، C و D). • بخش راهبری: تدوین سیاست ها و قوانین جامع امنیتی در بخش های انسان، محیط و داده کنفرانس ملی امنیت اطلاعات و اسرائیل شناسی حوزه فناوری اطلاعات و ارتباطات

  14. تعاریف موضوعات امنیتی (1) کنفرانس ملی امنیت اطلاعات و اسرائیل شناسی حوزه فناوری اطلاعات و ارتباطات

  15. تعاریف موضوعات امنیتی (2) کنفرانس ملی امنیت اطلاعات و اسرائیل شناسی حوزه فناوری اطلاعات و ارتباطات

  16. مباحث امنیتی دارایی های سیستم های کنترل صنعتی(1) کنفرانس ملی امنیت اطلاعات و اسرائیل شناسی حوزه فناوری اطلاعات و ارتباطات

  17. مباحث امنیتی دارایی های سیستم های کنترل صنعتی (2) کنفرانس ملی امنیت اطلاعات و اسرائیل شناسی حوزه فناوری اطلاعات و ارتباطات

  18. بررسی موضوعات امنیتی بخش های A، B، C و D • بخش A: پاسخدهی فوری به رخدادها • بخش B: امنیت عملیات ـ ممیزی ـ اندازه گیری ـ پایش ـ تشخیص نفوذ • بخش C: امنیت معماری و طراحی ـ پیکربندی فیزیکی معماری ـ امنیت ارتباطات تله متری و شبکه • بخش D: کنترل دسترسی ـ تصدیق هویت ـ تعیین سطح دسترسی ـ تأیید اعتبار ـ فیلترسازی ـ مسدود کردن ـ تشخیص نفوذ ـ جلوگیری از نفوذ امنیت ارتباطات تله متری و شبکه ـ بررسی اتصالات و حذف اتصالات غیرضروری کنفرانس ملی امنیت اطلاعات و اسرائیل شناسی حوزه فناوری اطلاعات و ارتباطات

  19. فهرست مطالب کنفرانس ملی امنیت اطلاعات و اسرائیل شناسی حوزه فناوری اطلاعات و ارتباطات

  20. نتیجه گیری • لزوم پیاده سازی استراتژی دفاع در عمق • لزوم برقراری امنیت و ایجاد لایه های محافظتی مؤثر در دارایی های سیستم های اتوماسیون و کنترل صنعتی (انسان ـ محیط ـ داده) • اهمیت بخش راهبری در الگوی امن سازی سیستم های کنترل صنعتی (تدوین سیاست ها و قوانین جامع امنیتی در بخش های انسان، محیط و داده) کنفرانس ملی امنیت اطلاعات و اسرائیل شناسی حوزه فناوری اطلاعات و ارتباطات

  21. منابع • ABB Company. (2010). Security for Industrial Automation and Control Systems.ABB. • American National Standard. (2007). ANSI/ISA-99.00.01, Security for Industrail Automation and Control Systems, Part1: Terminology, Concepts, and Models.American National Standard. • Homeland Security. (2009). Recommended Practice: Improving Industrail Control Systems Cybersecuriy with Defence-In-Depth Strategies.Homeland Security. • Honeywell. (2010). An Integrated Approach to Safety: Defence in Depth.Honeywell Process Solutions. • IDC Technologies Wordwide offices. (2008). Idustrail Automation- IDC Engineering Pocket Guide.IDC Technologies. • James Micheal Stewart, Ed Tittel, Mike Chapple. (2008). CISSP - Certified Information Systems Security Professional .Wiley. • L.Krutz, R. (2006). Securing Scada Systems. R. L.Krutz , Securing Scada Systems.Wiley. • Trusted Information Sharing Network. (2008). Defence in Depth.Trusted Information Sharing Network for Critical Infrastructure Protection. کنفرانس ملی امنیت اطلاعات و اسرائیل شناسی حوزه فناوری اطلاعات و ارتباطات

  22. با تشکر

More Related