ارزیابی امنیتی یکی مهمترین اقداماتی است که لازم است در زیرساختهای صنعتی انجام پذیرد. انجام این فعالیت به منظور شناسایی ضعفها و آسیب پذیریهای سایبری بوده که لازمه ارائه راهکارهای برطرف سازی آسیب پذیریهای شناسایی شده و ارتقا سطح امنیت زیرساخت صنعتی هدف می باشد. به عبارت دیگر تا آسیب پذیریهای موجود در شبکه صنعتی شناسایی نشود امکان ارائه راهکار مناسب امنیتی وجود ندارد. در این بخش شرکت پیمانکار بر اساس استانداردها و الزامات امنیتی اقدام به شناسایی و کشف آسیب پذیریها نموده و در نتیجه گزارش نهایی را به کارفرما ارائه می نماید.
نکته بسیار مهمی که در این بخش بسیار حائز اهمیت بوده این است که کارفرما با در اختیار داشتن گزارش نهایی ارزیابی امنیتی از شرایط و وضعیت موجود شبکه صنعتی خود مطلع خواهد شد.
ارزیابی امنیتی در یک زیرساخت صنعتی محدوده های زیر را پوشش می دهد :
** محدوده برق : در بخش برق هر زیرساخت صنعتی المانها و تجهیزات متعددی نصب و اجرا شده است که متناسب با شرایط آن زیرساخت می تواند در بستر سایبری باشد. محدوده ای که در بخش برق مورد بررسی و ارزیابی قرار می گیرد عبارتست از:
**محدوده Substation : در محدوده Substation تجهیزات و المان های متعدد برقی وجود دارد که لازم است مورد ارزیابی امنیتی قرار گیرند. این تجهیزات و المانها عبارتند از :
1. کلیدهای قدرت (دژنکتورها)
2. رله های حفاظتی
3. CPUهای سیستم PMS
4. CPها و ماژول های شبکه سیستم PMS
5. UPSها
6. ایستگاه های کاری مهندسی (EWS )
7. ایستگاه های کاری اپراتوری (OWS )
8. درایوهای قدرت
9. سافت استارترها
10. تجهیزات و نرم افزارهای مانیتورینگ کیفیت توان
11. لپ تاپ های صنعتی
**محدوده کنترل و ابزاردقیق : در بخش کنترل و ابزاردقیق هر زیرساخت صنعتی المانها و تجهیزات متعددی نصب و اجرا شده است که متناسب با شرایط آن زیرساخت میتواند در بستر سایبری باشد. محدوده هایی که در این بخش مورد بررسی و ارزیابی قرار می گیرد عبارتند از :
** محدوده پنلهای کنترلی : در محدوده پنلهای کنترلی تجهیزات و المانهای مختلفی وجود دارد که لازم است مورد ارزیابی امنیتی قرار گیرند. این تجهیزات و المانها عبارتند از :
1. CPUهای سیستم کنترل DCS یا PLC
2. CPهای سیستم کنترل DCS یا PLC
3. سوئیچهای شبکه
4. مبدلهای شبکه
5. فایروالهای صنعتی
6. RTU ها
7. مدمها و تجهیزات SCADA (جهت ارسال اطلاعات به دیسپاچینگ) در صورت وجود
8. PLCهای راه دور موجود در فیلد
**محدوده ایستگاههای کاری و اتاق کنترل : در محدوده ایستگاههای کاری المانهای مختلفی از جمله EWS، OWS و غیره وجود دارد که لازم است مورد بررسی قرار گرفته و امن سازی گردند. این المانها عبارتند از :
1. ایستگاههای کاری مهندسی (EWS)
2 . ایستگاههای کاری اپراتوری (OWS)
3. ایستگاههای کاربردی (APS )
4. سیستم عاملها
5. نرم افزارهای صنعتی
6. نرم افزارهای غیرصنعتی
7. آنتی ویروس
8. نرم افزار لیست سفید
9. نرم افزار کنترل دسترسی
10. پایگاههای داده
** محدوده فیزیکی: کلیه محدوده های فیزیکی که بر اساس استانداردهای مطرح بین المللی باید مورد بررسی قرار گیرد عبارتند از :
محدوده فیزیکی اتاقهای کابینت و کنترل
محدوده فیزیکی اتاق EWS
محدوده فیزیکی بایگانی اسناد، مدارک و تجهیزات صنعتی