ارزیابی امنیتی یکی مهم‎ترین اقداماتی است که لازم است در زیرساخت‎های صنعتی انجام پذیرد. انجام این فعالیت به منظور شناسایی ضعف‎ها و آسیب‎ پذیری‎های سایبری بوده که لازمه ارائه راهکارهای برطرف‎ سازی آسیب ‎پذیری‎های شناسایی شده و ارتقا سطح امنیت زیرساخت صنعتی هدف می ‎باشد. به عبارت دیگر تا آسیب‎ پذیری‎های موجود در شبکه صنعتی شناسایی نشود امکان ارائه راهکار مناسب امنیتی وجود ندارد. در این بخش شرکت پیمانکار بر اساس استانداردها و الزامات امنیتی اقدام به شناسایی و کشف آسیب ‎پذیری‎ها نموده و در نتیجه گزارش نهایی را به کارفرما ارائه می‎ نماید.

نکته بسیار مهمی که در این بخش بسیار حائز اهمیت بوده این است که کارفرما با در اختیار داشتن گزارش نهایی ارزیابی امنیتی از شرایط و وضعیت موجود شبکه صنعتی خود مطلع خواهد شد.

ارزیابی امنیتی در یک زیرساخت صنعتی محدوده‎ های زیر را پوشش می ‎دهد :

** محدوده برق : در بخش برق هر زیرساخت صنعتی المان‎ها و تجهیزات متعددی نصب و اجرا شده است که متناسب با شرایط آن زیرساخت می ‎تواند در بستر سایبری باشد. محدوده ای که در بخش برق مورد بررسی و ارزیابی قرار می‎ گیرد عبارتست از:

**محدوده Substation : در محدوده Substation تجهیزات و المان های متعدد برقی وجود دارد که لازم است مورد ارزیابی امنیتی قرار گیرند. این تجهیزات و المان‎ها عبارتند از :

1. کلیدهای قدرت (دژنکتورها)

2. رله‎ های حفاظتی

3. CPUهای سیستم PMS

4. CPها و ماژول های شبکه سیستم PMS

5. UPSها

6. ایستگاه های کاری مهندسی (EWS )

7. ایستگاه های کاری اپراتوری (OWS )

8. درایوهای قدرت

9. سافت استارترها

10. تجهیزات و نرم افزارهای مانیتورینگ کیفیت توان

11. لپ تاپ های صنعتی

**محدوده کنترل و ابزاردقیق : در بخش کنترل و ابزاردقیق هر زیرساخت صنعتی المان‎ها و تجهیزات متعددی نصب و اجرا شده است که متناسب با شرایط آن زیرساخت می‎تواند در بستر سایبری باشد. محدوده‎ هایی که در این بخش مورد بررسی و ارزیابی قرار می ‎گیرد عبارتند از :

**  محدوده پنل‎های کنترلی : در محدوده پنل‎های کنترلی تجهیزات و المان‎های مختلفی وجود دارد که لازم است مورد ارزیابی امنیتی قرار گیرند. این تجهیزات و المان‎ها عبارتند از :

1. CPUهای سیستم کنترل DCS یا PLC

2. CPهای سیستم کنترل DCS یا PLC

3. سوئیچ‎های شبکه

4. مبدل‎های شبکه

5. فایروال‎های صنعتی

6. RTU ها

7. مدم‎ها و تجهیزات SCADA (جهت ارسال اطلاعات به دیسپاچینگ) در صورت وجود

8. PLCهای راه دور موجود در فیلد

**محدوده ایستگاه‎های کاری و اتاق کنترل : در محدوده ایستگاه‎های کاری المان‎های مختلفی از جمله EWS، OWS و غیره وجود دارد که لازم است مورد بررسی قرار گرفته و امن‎ سازی گردند. این المان‎ها عبارتند از :

1. ایستگاه‎های کاری مهندسی (EWS)

2 . ایستگاه‎های کاری اپراتوری (OWS)

3. ایستگاه‎های کاربردی (APS )

4. سیستم‎ عامل‎ها

5. نرم ‎افزارهای صنعتی

6. نرم ‎افزارهای غیرصنعتی

7. آنتی ویروس

8. نرم ‎افزار لیست سفید

9. نرم‎ افزار کنترل دسترسی

10. پایگاه‎های داده

** محدوده فیزیکی: کلیه محدوده‎ های فیزیکی که بر اساس استانداردهای مطرح بین‎ المللی باید مورد بررسی قرار گیرد عبارتند از :

محدوده فیزیکی اتاق‎های کابینت و کنترل

محدوده فیزیکی اتاق EWS

محدوده فیزیکی بایگانی اسناد، مدارک و تجهیزات صنعتی