14 مرداد 1397 14:29

شناخت آسیب‌پذیری‌های امنیتی در هر حوزه، اولین گام جهت ارتقاء امنیت در آن حوزه است. در این راستا، پروژه «استخراج آسیب‎پذیری‎های امنیت سایبری سیستم‎های کنترل صنعتی، تعیین الزامات مرتبط با هر آسیب‎پذیری و اولویت‌‏بندی آسیب‎پذیری‎ها بر اساس معیارهای CVSS» با هدف بررسی انواع آسیب‌پذیری‏‌های شناخته شده در سیستم‏‌های کنترل صنعتی و در نظر گرفتن ملاحظات خاص صنعت برق در تاریخ 95/12/15 در مرکز «توسعه فناوری امنیت ICT و تجهیزات صنعت برق» پژوهشگاه نيرو به مدت 14 ماه شروع گردید. در این پروژه با توجه به دسته‏‌بندی انجام شده در استاندارد NIST 7628، آسیب‏‌پذیری‌‏های امنیتی سیستم‌‏های مبتنی بر ICT در چهار دسته ذیل تقسیم‌‏بندی شده و گزارش مربوط به آنها استخراج گردید.

پس از شناسایی و استخراج آسیب‌پذیری‌ها در دسته‌بندی‌های ذکر شده، انواع سیستم‌های اولویت‌بندی این آسیب‌پذیری‌ها مورد بررسی قرار گرفت، تا بتوان جهت مقابله با آسیب‌پذیری‌ها راهکارهای مرتبط را اولویت‌بندی نمود. این سیستم‌ها عبارتند از سیستم امتیازدهی CVSS ، CCSS و CMSS که جهت امتیازدهی انواع آسیب‌پذیری‌های نرم‌افزار، میان افزار، شبکه؛ پیکربندی و سوء استفاده از قابلیت‌های نرم‌افزاری مورد استفاده قرار می‌گیرند.
با توجه به اهمیت بررسی آسیب‌پذیری‌های شناخته شده در حوزه سیستم‌های کنترل صنعتی، بانک اطلاعاتی از آسیب‌پذیری‌های شناخته شده بر اساس بانک‌های اطلاعاتی مختلف از جمله ICS-Cert و Certهای سازندگان سیستم‌های کنترل صنعتی در این پروژه تهیه شده است. همچنین برنامه کاربردی جهت استخراج اطلاعات مورد نیاز از بانک اطلاعاتی، پیاده‌سازی شده است که می‌تواند جهت استخراج آسیب‌پذیری‌های حوزه‌های مختلف صنعت برق مورد استفاده قرار گرفته و راهکارهای جلوگیری از سوء استفاده از این آسیب‌پذیری‌ها را در آن حوزه به سادگی در اختیار متخصصان آن حوزه قرار دهد.

نمایی از رابط کاربری بانک اطلاعاتی آسیب‌پذیری‌های امنیت سایبری سیستم‌های کنترل صنعتی تهیه شده در پروژه