cyber–physical systems security challenges(case study: information flow security analysis in...
TRANSCRIPT
احمدیانمحمد مهدی
های حیاتی های کنترل صنعتی و زیرساختفیزیکی سامانه-مشاور امنیت سایبر
1396دی ماه 27
Cyber–Physical Systems Security Challenges
فیزیکی-های سایبرسامانهامنیتی در های چالش(با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)
(Case study: Information Flow Security Analysis in Natural Gas and Oil Pipeline System )
|PetroICT2018www.mmAhmadian.irفایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م
افزایش ارتقاء امنیت های کنترل سامانه
هایصنعتی و زیرساختبه حیاتی کشور با توجه
تهدیدات و حمالت فراوان
|PetroICT2018www.mmAhmadian.irفایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م
احمدیانمحمدمهدی •امیرکبیردانشگاه صنعتی )گرایش امنیت اطالعات(فناوری اطالعات کاندیدای دکتری تخصصی •های حیاتی های کنترل صنعتی و زیرساختفیزیکی سامانه-مشاور امنیت سایبر•
ICSامنیتفعالیت تخصصی در حوزه سال 4بالغ بر •
بیرامیرکامنیت اطالعات و تجارت الکترونیک دانشگاه صنعتی آزمایشگاه •رآزمایشگاه طراحی و تحلیل سیستم های امن دانشگاه صنعتی امیرکبی•امیرکبیرهای صنعتی دانشگاه صنعتی تیم امنیت سایبری سامانه•امیرکبیرپدافند غیرعامل دانشگاه صنعتی پژوهشکده •گسترش فناوری پارس امین رای شرکت •ایرانشرکت ملی صنایع مس •ملی برق دیسپچینگ •شرکت ملی گاز•
|PetroICT2018www.mmAhmadian.irفایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م |PetroICT2018www.mmAhmadian.irفایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م
مطالبفهرست
های امنیتیو چالشCPSای از مقدمهمحرمانگی و اهمیت آن
4
3
2
1
CPSتحلیل جریان اطالعات در
ریجمع بندی و نتیجه گی 5
اطالعاتجریان راستی آزمایی
/PetroICT2018www.mmAhmadian.ir|47فایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م
1.Cyber-Physical Systems (CPSs)
2. Life-critical
3. Actuators
4. Center of Embedded Computer
Systems at the University of California,
Irvine
5. Multi-disciplinary
.]12[کنندهای محاسباتی، ارتباطی، نظارتی و کنترلی که به واسطه اجزاء سایبری، اجزاء فیزیکی را کنترل میهایی مرکب از بخشسامانه•
کهه شهامل 2حیهاتییکپارچهه، نهاهم، ،هایی در مقیاس بزرگ، از لحاظ جغرافیایی توزیع شده،سامانه•.]13[ای می باشنداجزاء کنترلی و شبکه،3حس،رها، محرک ها
:4CECSتعریف مرکز •
هها و فیزیکی، که به واسهطه گیرنهدهادراک همراه با تجهیزات دارای ، 5ایشاخهسامانه هایی پیچیده، چند .کندها بخش سایبری و بخش فیزیکی را یکپارچه میمحرک
ل کاربران شام)آندرک دنیای فیزیکی و تعامل با که برای ها عمل،رو ها پردازنده، تعبیه شده های گیرندهدارای تحت شبکه ، هوشمندهای سامانه •.]14[کنندرا تضمی کاربردهای حیاتی ایم بالدرنگو کارایی قابل قبولطراحی شده اند و باید با ( انسانی
5
/PetroICT2018www.mmAhmadian.ir|47فایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م
یفیزیک-های سایبریسامانهCPSهای سامانه
هاسایر سامانه
ICS های هوشمندوشبکه
های هوشمندحمل ونقل وخانه
تجهیزات پزشکی مدرن
هایبخش
CPS
سایبری کنترل ها فیزیکی-سایبرفیزیکیهاآسیب پذیری
حمالتتهدیدات
امنیت6
/PetroICT2018www.mmAhmadian.ir|47فایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م
یفیزیک-های سایبریسامانه
7
1.Cognition, Situational Awareness and Security
2.High Assurance Architecture Challenges.
3.Attack Mitigation, Detection, Restoration and Recovery.
مدل سازی اعتماد
معماری با قابلیت
2اطمینان باال
آگاهی بخشی مبتنی بر
موقعیت و 1ادراک
کنترل جریان اطالعات
ل ایمنی ، تحمپذیری خطا و
امنیت
مدل سازی CPSصوری
پیشگیری و کاهش اثرات ، حمله، تشخیص
3یترمیم و بازیاب
تشخیص آسیب
هاپذیری
تعامل در عینحفظ حریم
خصوصی
[12,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37]
|PetroICT2018www.mmAhmadian.irفایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م |PetroICT2018www.mmAhmadian.irفایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م
مطالبفهرست
های امنیتیو چالشCPSای از مقدمهمحرمانگی و اهمیت آن
4
3
2
1
CPSتحلیل جریان اطالعات در
ریجمع بندی و نتیجه گی 5
اطالعاتجریان راستی آزمایی
/PetroICT2018www.mmAhmadian.ir|47فایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م
اصول امنیت سایبری•محرمان،ی•صحت•دسترس پذیری•
C
I
A
ICSاصول •پذیریکنترل •پایداری•پذیریمشاهده•
C
S
O
9
/PetroICT2018www.mmAhmadian.ir|47فایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م
OTو ITتفاوت
10
استاکسنت•دوکو•فلیم••Industroyer
PetroICT2018www.mmAhmadian.ir|47/11فایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م
جریان اطالعات•
جریان مواد•
هاداراییاطالعات •
هاجریان•
فیزیکی•
منطقی•
ارتباطات•
فرایند•
اطالعاتسایر •
پیمانکاران•
پرسنل•
زنجیره تامی •
مواد اولیه•
مواد درگیر در فرایند•
محصوالت پلنت•
مواد باطله یا جنبی•
تمواد منابع انرژی پلن•
•...
PetroICT2018www.mmAhmadian.ir|47/12فایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م
!!!هشدار
سازندگان،تجهیزات،)هاداراییاطالعات•(...وافزارهانرمها،پروتکل
هافراینداطالعات•ارتباطاتاطالعات•پیمانکاراناطالعات•هاداراییفیلموتصاویر••
هتابعهایشرکتوصنایعرسمیهایسایتوب•(اهپروژهوبازدیدهاتصاویر)خبریهایسایتوب•مجالتهاوها،ژورنالکنفرانسمقاالت•اجتماعیهایشبکهدیگروتلگرامیهاگروه••...
PetroICT2018www.mmAhmadian.ir|47/13فایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م
بردنوالزیرسقصدونداریمراعزیزاناین
PetroICT2018www.mmAhmadian.ir|47/14فایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م
PetroICT2018www.mmAhmadian.ir|47/15فایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م
PetroICT2018www.mmAhmadian.ir|47/16فایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م
PetroICT2018www.mmAhmadian.ir|47/38 /10فایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م
PetroICT2018www.mmAhmadian.ir|47/18فایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م
. در نسخه عمومی منتشر شده فایل سخنرانی حذف شده استبه دلیل برخی مالحضات امنیتی، ای آدرس
. در نسخه عمومی منتشر شده فایل سخنرانی حذف شده استبه دلیل برخی مالحضات امنیتی، ای آدرس
به دلیل برخی مالحضات در امنیتی، ای آدرس
نسخه عمومی منتشر شده فایل سخنرانی حذف شده
. است
PetroICT2018www.mmAhmadian.ir|47/19فایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م
. در نسخه عمومی منتشر شده فایل سخنرانی حذف شده استبه دلیل برخی مالحضات امنیتی، ای آدرس
در نسخه عمومی منتشر شده فایل سخنرانی حذف شده است به دلیل برخی مالحضات ای آدرس
. در نسخه عمومی منتشر شده فایل سخنرانی حذف شده استبه دلیل برخی مالحضات امنیتی ای آدرس
PetroICT2018www.mmAhmadian.ir|47/20فایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م
PetroICT2018www.mmAhmadian.ir|47/21فایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م
. در نسخه عمومی منتشر شده فایل سخنرانی حذف شده استبه دلیل برخی مالحضات امنیتی، ای آدرس
. در نسخه عمومی منتشر شده فایل سخنرانی حذف شده استبه دلیل برخی مالحضات امنیتی، ای آدرس
PetroICT2018www.mmAhmadian.ir|47/22فایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م
. در نسخه عمومی منتشر شده فایل سخنرانی حذف شده استبه دلیل برخی مالحضات امنیتی، ای آدرس
در نسخه عمومی منتشر به دلیل برخی مالحضات امنیتی، ای آدرس. شده فایل سخنرانی حذف شده است
PetroICT2018www.mmAhmadian.ir|47/23فایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م
. در نسخه عمومی منتشر شده فایل سخنرانی حذف شده استبه دلیل برخی مالحضات امنیتی، ای آدرس
PetroICT2018www.mmAhmadian.ir|47/24فایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م
. در نسخه عمومی منتشر شده فایل سخنرانی حذف شده استبه دلیل برخی مالحضات امنیتی، ای آدرس
PetroICT2018www.mmAhmadian.ir|47/25فایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م
|PetroICT2018www.mmAhmadian.irفایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م |PetroICT2018www.mmAhmadian.irفایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م
مطالبفهرست
های امنیتیو چالشCPSای از مقدمهمحرمانگی و اهمیت آن
4
3
2
1
CPSتحلیل جریان اطالعات در
ریجمع بندی و نتیجه گی 5
اطالعاتجریان راستی آزمایی
/PetroICT2018www.mmAhmadian.ir|47فایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م
Cyber-Physical Systems Formal Methods
Information Security
27
Craft
Science
/PetroICT2018www.mmAhmadian.ir|47فایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م
.استدشوارCPSتشخیص جریان اطالعات در •.وجود بخش سایبری•
.تعامالت پیچیده بی ای دو بخش•
1.Specification
2.Semantic
3.Trace-based
مهمتری بخش
.)عالوه بر بخش سایبری(وجود بخش فیزیکی •
فرایندهای رخدادی گسسته
فرایندهای زمانی پیوسته
28
:جریان اطالعات•
Highسطح
Lowسطح
/PetroICT2018www.mmAhmadian.ir|47فایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م
هاروی سایر بخشتاثیر، عمل یک بخش منجر به CPSتنیده به دلیل ساختار درهم•
امکان نشت اطالعات
]12[(2005-مجادله گازی اکرای و روسیه )
29
در صورت تضمین امنیت در بخش سایبری•
فیزیکیدر صورت تضمین امنیت در بخش •.داشتنخواهیملزوما ترکیب امنی
PetroICT2018www.mmAhmadian.ir|47/30فایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م
.محتوای ای صفحه در نسخه عمومی فایل سخنرانی حذف شده است
ارائه و ( طراحی، مشاوره و اجرا) خدمات امن سازی و ارزیابی آماده ارائه و ها روزترین روشآموزشی بر اساس به پیشرفته مقدماتی و های دوره
های زیرساخت، صنایع و هاسازمانبرای دنیا دستاوردهای علمی و عملی .مهمحیاتی، حساس و
/PetroICT2018www.mmAhmadian.ir|47فایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م
1. smart grid
گاز و نفت( خطوط لوله)سامانه انتقال 1شبکه هوشمند توزیع برق
Observer
Observer
32
/PetroICT2018www.mmAhmadian.ir|47فایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م
:پیشفرض ها
.هستندFCS1تجهیزات نظارتی و کنترلی ها دارای هایی از لولهبخش•
•FCS اندهم در ارتباط ها جهت کنترل هدفمند، متعادل نمودن مجدد و خودکار سازی با.
•LTC کنترل توزیع مواد و ارتباط با مسئولFCS(دستورا ت تغییر جریان.)های همسایه
.انددرستو قانونیLTCهای ارسالی از پیام•
در مبحثی دی،ر قابل بررسیLTCامنیت خود •
.استام ها LTCشبکه ارتباطی انتقال پیام بی •
.قابل اندازه گیریجریان مواد در خطوط تحت کنترل •
.برای همه سطوحتوپولوژی محلی قابل مشاهده •
ی هاکند اما رفتارش می تواند روی زیرشبکهرا کنترل میزیر شبکه خودش LTCهر •.ب،ذاردتاثیردی،ر
رابطه فیزیکی حاکم بر مواد•
33
/PetroICT2018www.mmAhmadian.ir|47فایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م
3. Security Process Algebra
•SPA3:• یک توسعه ازCCS4است.
ر آنهاهای توزیع شده و واررسی خواص امنیتی دیک زبان مناسب تعییی مشخصات سامانه•
4 . Calculus of Communicating Systems
CPSرویکردهای مختلفی برای مدلسازی •
1اتوماتای ترکیبی•
1. Hybrid automata
فرایندهای رخدادی گسسته در قالب حالت ها و جابجایی بی آنها•
کیهای فیزیکی و قوانی فیزیفرایندهای زمانی پیوسته در قالب جریان•
]15،16[2قابل وارسی توسط ابزارهای بررسی مدل•
2. Model Checking
.محل چالش است و هنوز دشوار ها CPSمدل سازی ارتباطات ، همرندی و عدم قطعیت در -•
.همرندی، ارتباطات و عد قطعیتمدل کردن مطلوب + •
•π-calculus : نسخه تقویت شدهCCS
.کنداستفاده می5باالاز عمل،رهای جبری با رویکرد پایی به •
5 .Bottom-up
.اندمتفاوت از محرمان،یمتعلق به دو سطح هایی که شامل عمل CCSبرخالف + •
34
/PetroICT2018www.mmAhmadian.ir|47فایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م
SPA:در تعریف سامانه •
notation Description
Z performs the actions that E performs if Z ≡ E
Tr legal trace set of the system
L the set of low-level events
H the set of high-level events
τ \x is a trace purged of all events in the domain of x
τ |x is a trace restricted to events in the domain of x
I the set of inputs
O the set of outputs
notation Description
0 is the empty process that cannot perform any ction(specifically defines termination of a process)
µ.E performs action µ and then behaves like E
E1 + E2 can alternatively choose to behave like E1 or E2
E1|E2 is the parallel composition of events E1 and E2, where the executions of the two systems are interleaved
E\L executes all the actions that can be performed by E, provided that they do not belong to L ∪ L ¯ (where L ¯ refers
to the output)
E\IL requires that the actions of E do not belong to L ∩ I
E/L transforms all the actions in L into internal actions
E[f] if E can execute action µ, then E[f] performs f(µ)
Operational semantics :
35
/PetroICT2018www.mmAhmadian.ir|47فایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م
• A system ES is said to be non-deducibility secure secure if:
• A system ES is said to be non-inference secure if: This imposes two conditions on the system.• First, for any system trace, the restriction of the
trace to low-level events alone is also a validsystem trace. That is, just by observing low-levelevents, one cannot infer with certainty if a highlevel event occurred.
• Second, purging high-level events from any systemtrace should yield a valid trace comprising thelow-level events.
• A system is considered non-deducible secure ifnothing can be deduced about the sequenceof input events, I, in the H domain based onlyon observation of events in the L domain.
• In other words, a system is non-deduciblesecure if a L observation is compatible withany H input event
36
/PetroICT2018www.mmAhmadian.ir|47فایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م
• A system is satisfied BNDC if it can preserve its security after composition with other processes
1. Bisimulation-based Non-Deducibility on Composition
• BNDC property uses weak bisimulation equivalence
• A system ES is BNDC if, for every Hprocess, Π, a L observation cannotdistinguish ES from the process EScomposed with any other process.
• In other words, a system ES is BNDC if a Lobservation is not modified by composingany H process, Π with ES.
• A system is BNDC-preserving if the above property holds for all possible system behaviors.
37
/PetroICT2018www.mmAhmadian.ir|47فایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م
• Theorem 1. The gas flow in the pipeline system is not non-inference secure.
• Proof. The valid traces of the system are
Purging a legal trace of events that are not in the low-level securitydomain yields the traces
This system does not satisfy the definition of non-inference because a flowchange in the controlled line (e4) with no accompanying high-level event isnot a valid trace of the system. Hence, an observer at the controlled linecould infer high-level events associated with other FCSs.
• The system is also not secure according to the BLP model becausehigh-level information is written to the low-level domain.
38
Inputs Outputs
/PetroICT2018www.mmAhmadian.ir|47فایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م
• Theorem 2. The gas flow in the pipeline system is non-deducibility secure.
• Proof. Considering the same set of event traces listed :
every high-level event (e2 or e3) is compatible with a low-level output (e4).In other words, changes experienced at a controlled line could be the resultof the stochastic demand or LTC setting at a neighboring FCS. Thus, a low-level observer could not determine which neighboring FCS performed whatchange. Hence, the gas flow in the pipeline system is non-deducibilitysecure.
39
/PetroICT2018www.mmAhmadian.ir|47فایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م
و مستقلمنفردFCSتحلیل با درنظر گرفتن یک •سناریوهای تحلیل
(FCSچند )ها FCSبی بدون وجود هماهن،ی تحلیل •
(FCSچند )هاFCSبی با وجود هماهن،ی تحلیل •
40
/PetroICT2018www.mmAhmadian.ir|47فایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م
• The implicit flow of information can be minimized by controlling the physical flow via cyberactions (through coordinated message passing) by FCS devices.
• x|l :expresses the fact that object x is able tocommunicate with object
41
• invariant(): captures the atomic actions ofrecomputing the physical flows as governed byinvariant laws of physics.
• y: is the value (or state) of the object.
• M_Change(l, x) : events that a subject of securitylevel l changes to an object of security level x.
PetroICT2018www.mmAhmadian.ir|47/42فایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م
1. Checker of Persistent Security
• CoPS1
• Concurrency Workbench
• CWB-NC
• CADP
|PetroICT2018www.mmAhmadian.irفایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م |PetroICT2018www.mmAhmadian.irفایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م
مطالبفهرست
های امنیتیو چالشCPSای از مقدمهمحرمانگی و اهمیت آن
4
3
2
1
CPSتحلیل جریان اطالعات در
ریجمع بندی و نتیجه گی 5
اطالعاتجریان راستی آزمایی
PetroICT2018www.mmAhmadian.ir|47/44فایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م
.شودمدل میفرایندهاها یا عاملسیستم در قالب CoPSخودکار از ابزار نمونه مدلسازی استفاده
/PetroICT2018www.mmAhmadian.ir|47فایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م
نحوه بررسی مدل
:و ماشی حالتCoPSنحوه مدل سازی در •• Protecting flow against Low partition {B} from a physical
change at High partition {A,C}• This code satisfies SBNDC Property in both the cases and
also with compositionality
45
/PetroICT2018www.mmAhmadian.ir|47فایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م
نحوه بررسی مدل
Protecting flow against Low partition {B} from a physical
change at High partition {A,C}
46
/PetroICT2018www.mmAhmadian.ir|47فایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م
نحوه بررسی مدل
47
|PetroICT2018www.mmAhmadian.irفایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م |PetroICT2018www.mmAhmadian.irفایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م
مطالبفهرست
های امنیتیو چالشCPSای از مقدمهمحرمانگی و اهمیت آن
4
3
2
1
CPSتحلیل جریان اطالعات در
ریجمع بندی و نتیجه گی 5
اطالعاتجریان راستی آزمایی
/PetroICT2018www.mmAhmadian.ir|47فایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م
جمع بندی و نتیجه گیری
.تاسممک های امنیتی در سامانه انتقال مواد بر مبنای مدلحفظ محرمان،ی •ت سازی حاالگسستهبا •
یکی موادقانون فیزمنطبق بر تحلیل معنایی برگرفته از •
.بوده استکمترین توجه های کنترل صنعتی مورد این اصل در سامانهعلیرغم اهمیت محرمانگی، •
های مجازیفضای اینترنت و شبکههای تابعه در صنایع کشور و شرکتهای مهم حجم عظیمی از اطالعات و داده•
49
|PetroICT2018www.mmAhmadian.irفایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م 47/50روش های تشخیص بدافزار
.محتوای ای صفحه در نسخه عمومی فایل سخنرانی حذف شده است
ارائه و ( طراحی، مشاوره و اجرا) خدمات امن سازی و ارزیابی آماده ارائه و ها روزترین روشآموزشی بر اساس به پیشرفته مقدماتی و های دوره
های زیرساخت، صنایع و هاسازمانبرای دنیا دستاوردهای علمی و عملی .مهمحیاتی، حساس و
...باتشکر از حسن توجه شما
The only truly secure system is one that is powered off, cast in a block of concrete and sealed in a lead-lined room with armed guards.
Gene Spafford
احمدیانمحمد مهدی
:کانال تلگرامt.me/MohammadMehdiAhmadian
صفحات تکمیلی بحث
|PetroICT2018www.mmAhmadian.irفایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م
:SPAبرای نشان دادن نحوه استفاده از •
از شهی سهطح ( BLP)نشت اطالعاتدارای ESسامانه •!باال به پایی
• N : event set that ES does not allow
• y : current status of the object
• l: security level {H or L}
• read and write : allowed actions
• R: final output of reading a result• W: the input of writing a result
:دنباله منجر به نشت•
:را بخواند5تواند مقدار حال هر شی سطح پایی می•
L H
53
|PetroICT2018www.mmAhmadian.irفایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م
نحوه بررسی مدل
:و ماشی حالتCoPSنحوه مدل سازی در •system to check if events changing flow at B would allow a
causal flow change at other
1. bisimulation equivalence
54
|PetroICT2018www.mmAhmadian.irفایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م
نحوه بررسی مدل
55
:و ماشی حالتCoPSنحوه مدل سازی در •
Protecting flow within Low partition {B} against High partition {A,C}
|PetroICT2018www.mmAhmadian.irفایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م
نحوه بررسی مدل
:و ماشی حالتCoPSنحوه مدل سازی در •• This code satisfies SBNDC Property in synchronous
partition
• This code satisfies SBNDC Property in both the
cases and also with compositionality
56
|PetroICT2018www.mmAhmadian.irفایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م
و مستقلمنفردFCSتحلیل با درنظر گرفتن یک •سناریوهای تحلیل
(FCSچند )ها FCSبی بدون وجود هماهن،ی تحلیل •
(FCSچند )هاFCSبی با وجود هماهن،ی تحلیل •
• M_Change(l, x) : events that a subject of securitylevel l changes to an object of security level x.
• y: is the value (or state) of the object.
• e1 : change-in-flow event at a pipe segment with asingle FCS. (at the physical level)
• r1 : be the change in the reading of the pipeline dueto the triggered event e1 (e1⇔ r1) (at the cyber level)
• The following model encodes this system in SPA:
• Such a system can be represented simply as:
38 /23
|PetroICT2018www.mmAhmadian.irفایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م
• invariant(): captures the atomic actions ofrecomputing the physical flows as governed byinvariant laws of physics.
• c :stands for ‘controlled;’ 1 if object l controls or iscontrolled.
38 /24
• y: is the value (or state) of the object.
• M_Change(l, x) : events that a subject of securitylevel l changes to an object of security level x.
|PetroICT2018www.mmAhmadian.irفایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م
• invariant(): captures the atomic actions ofrecomputing the physical flows as governed byinvariant laws of physics.
• c :stands for ‘controlled;’ 1 if object l controls or iscontrolled.
• FCSs can be represented as an event-based system in which each event represents a flowchange as follows: e1: change of flow (A), e2: change of flow (B), e3: change of flow (C).
• The behavior of the system is captured in SPA as:
• ⊓ : indicates a non-deterministic choice betweenprocesses.
• The readings at the cyber level change non-deterministically as:
38 /24
|PetroICT2018www.mmAhmadian.irفایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م
و مستقلمنفردFCSتحلیل با درنظر گرفتن یک •سناریوهای تحلیل
(FCSچند )ها FCSبی بدون وجود هماهن،ی تحلیل •
(FCSچند )هاFCSبی با وجود هماهن،ی تحلیل •
• M_Change(l, x) : events that a subject of securitylevel l changes to an object of security level x.
• y: is the value (or state) of the object.
• e1 : change-in-flow event at a pipe segment with asingle FCS. (at the physical level)
• r1 : be the change in the reading of the pipeline dueto the triggered event e1 (e1⇔ r1) (at the cyber level)
• The following model encodes this system in SPA:
• Such a system can be represented simply as:
38 /23
|PetroICT2018www.mmAhmadian.irفایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م
• invariant(): captures the atomic actions ofrecomputing the physical flows as governed byinvariant laws of physics.
• c :stands for ‘controlled;’ 1 if object l controls or iscontrolled.
38 /24
• y: is the value (or state) of the object.
• M_Change(l, x) : events that a subject of securitylevel l changes to an object of security level x.
|PetroICT2018www.mmAhmadian.irفایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م
• invariant(): captures the atomic actions ofrecomputing the physical flows as governed byinvariant laws of physics.
• c :stands for ‘controlled;’ 1 if object l controls or iscontrolled.
• FCSs can be represented as an event-based system in which each event represents a flowchange as follows: e1: change of flow (A), e2: change of flow (B), e3: change of flow (C).
• The behavior of the system is captured in SPA as:
• ⊓ : indicates a non-deterministic choice betweenprocesses.
• The readings at the cyber level change non-deterministically as:
38 /24
|PetroICT2018www.mmAhmadian.irفایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م
Focardi, Riccardo, and Roberto Gorrieri. "A Classification of Security
Properties for Process Algebras." Journal of Computer security
notation Stands for
NNI Non-deterministic Non-Interference
BNNI Bisimulation NNI
SNNI Strong NNI
BSNNI Bisimulation SNNI
BNDC Bisimulation-based Non-Deducibility on Composition
SBNDC Strong BNDC
38 /19
|PetroICT2018www.mmAhmadian.irفایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م
• The implicit flow of information can be minimized by controlling the physical flow via cyberactions (through coordinated message passing) by FCS devices.
• The SPA model to prevent pipe C from interfering with the actions of pipes A and B is:
• x|l :expresses the fact that object x is able tocommunicate with object
38 /26
|PetroICT2018www.mmAhmadian.irفایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م
.طبقه بندی شوددر سطح پایی Bو در سطح باال Aو Cکنیم فرض می•
• In this case,
Notation Description
The events(inputs)
their respective outputs
High-level observation.
High-level action set.
System definition.
System prevented from actions in ActH.
Interference of Π with low-level execution of system E.
• This scenario fails to satisfy the BNDC property, indicating that the system reveals changes made by one groupof users to other users. This information flow is due to the flow dependence in the composite system expressedby Eq. (1).
38 /28
|PetroICT2018www.mmAhmadian.irفایل سخنرانی در |( با محوریت تحلیل جریان اطالعات در خطوط لوله نفت و گاز)فیزیکی-های سایبرهای امنیتی در سامانهچالش|مهدی احمدیان . م
نحوه بررسی مدل
Protecting flow within Low partition {B} against High partition {A,C}
Protecting flow against Low partition {B} from a physical
change at High partition {A,C}
38 /34