Hermes OSپلتفرم هوش صنعتی
بازگشت به کتابخانه

امنیت سایبری OT

تفکیک شبکه

نواحی، مجاری و طراحی DMZ بر اساس IEC 62443.

امنیت سایبریشبکهٔ OT

نمای کلی

تفکیک شبکه دفاع ساختاری OT است: نواحی دارایی‌ها را بر اساس بحرانیّت گروه می‌کنند، مجاری فقط جریان‌های مستند را عبور می‌دهند و DMZ تمام تبادل با IT را واسطه می‌شود.

هدف مهندسی

مهار نفوذ — شبکهٔ تخت یک لپ‌تاپ آلوده را به کل کارخانه می‌رساند؛ نواحی آن را به رخدادی محصور بدل می‌کنند.

سازوکار

مدل نواحی-و-مجاری IEC 62443 دارایی‌ها را به نواحی امنیتی می‌سپارد؛ فایروال سیاست مجرا را میان‌شان اعمال می‌کند؛ DMZ صنعتی هر نشست IT-مبدأ را خاتمه می‌دهد تا هیچ‌چیز مستقیم به کنترلر نرسد.

  • دارایی‌ها را بر پایهٔ بحرانی‌بودن در نواحی گروه‌بندی کنید؛ مجاری میان نواحی فقط جریان‌های مستند و ضروری را عبور دهند.
  • یک DMZ صنعتی واسطهٔ کل تبادل IT/OT است — هیچ مسیر مستقیمی از شبکهٔ سازمانی (یا اینترنت) به کنترلرها نباشد.
  • شبکهٔ تخت، یک لپ‌تاپ آلوده را به کل کارخانه می‌رساند؛ VLAN بدون ACL برچسب است، نه تفکیک.

خطاهای رایج

VLAN بدون ACL که تفکیک پنداشته می‌شود؛ قواعد همه-به-همهٔ انباشتهٔ سال‌ها؛ پیوند راه دور سازنده که DMZ را دور می‌زند؛ جریان مستندنشده که با سفت‌شدن سیاست می‌شکند.

بررسی‌های تشخیصی

  1. 1قواعد فایروال میان نواحی را برای هر مدخل «همه-به-همه» بازبینی کنید.
  2. 2یک جریان داده را سرتاسر دنبال کنید و مستندبودن هر گام را تأیید کنید.
  3. 3یک جریان دادهٔ تولیدی را سرتاسر دنبال و حضور هر گام را در مستند مجاری تأیید کنید.

نکات ایمنی

تغییر تفکیک می‌تواند ترافیک کنترل را قطع کند — تغییرات سیاست مجرا را پیش از اعمال، در برابر فهرست جریان‌های مشروع مرحله‌بندی و تست کنید.

نکات راه‌اندازی

اول فهرست دارایی، بعد مدل نواحی از روی آن، سپس مجاری انکار-پیش‌فرض، و بازبینی دوره‌ای قواعد به‌عنوان وظیفهٔ بهره‌برداری.

مفاهیم مرتبط

نواحی/مجاری IEC 62443، DMZ صنعتی، سیاست انکار-پیش‌فرض، مستندسازی جریان، VLAN در برابر تفکیک واقعی.

segmentation · dmz · zone · conduit · vlan · 62443 · firewall · تفکیک · ناحیه · فایروال · دی‌ام‌زد

سوابق مهندسی مرتبط

مقاله‌های مرتبط

پایش امنیتی

تشخیص ناهنجاری و نفوذ در شبکه‌های OT.

کنترل دسترسی

هویت، دسترسی راه دور و حداقل امتیاز در OT.

ممیزی و لاگ

ردپای ممیزی، گردآوری لاگ و شواهد انطباق در OT.

پروتکل‌های صنعتی

انتخاب و عیب‌یابی فیلدباس و اترنت صنعتی.

مغز هرمس چه زمانی از این مقاله استفاده می‌کند

برای معماری شبکهٔ OT، سیاست فایروال میان سلول‌ها، طراحی DMZ و مهار تهدیدهای شبکه‌ای.