دی, 1396

مجموعه ها استانداردهای ISA 62443 به عنوان مبنایی برای امنیت سامانه های کنترل صنعتی در جامعه امنیت شناخته می شود. جامعه اتوماسیون صنعتی ISAمدت ها که بر روی این مجموعه استاندارد کار می کنند و برنامه توسعه بدین منظور طراحی نموده است. یکی از اقدامات این جامعه تلاش برای تصویب الزامات این اسناد در کمیسسیون بین المللی الکترونیک(IEC) بوده است.
سند ISA 62443-4-1 که اخیراٌ به عنوان سند استاندارد به تایید رسیده است، به صورت رسمی تحلیل کد ایستا، تحلیل ترکیب نرم افزار و آزمون ورودی تغییر شکل یافته به عنوان بخشی از الزامات ارزیابی در نظر گرفته است.
سند ISA-62443-4-1 که به طور رسمی با عنوان «امنیت برای سامانه های کنترل و اتوماسیون صنعتی بخش 4-1: الزام چرخه-حیات توسعه محصول» شناخته می شود، بخشی از یک طرح امنیتی بزرگ تر است که برای ارزیابی فرآیندهای توسعه محصول تامین کنندگان محصولات سامانه های کنترل اتوماسیون صنعتی در نظر گرفته شده است. در اروپا استانداردهای IEC و ISA توسط صنایع مختلف مورد استفاده قرار می گیرد و در اغلب موارد توسط نهادهای قانونی به عنوان یک الزام رسمی برای پیاده سازی اجبار می گردد.
یکی از موارد جالب در این سند برای آزمونگرهای نرم افزار، بند 8.2.1 (c) موجود در سند است. این بند به تحلیل کد ایستا(SCA) اشاره دارد که بیان می کند در صورت وجود آزمون برای زبان پیاده سازی شده در محصول و نیز در زمان تغییر محصول، باید آزمون تحلیل کد ایستا انجام شود. در بخشی دیگر بر انجام آزمون برای نرم افزارهای شخص ثالث مورد توجه قرار گرفته است.
بخش 9.4 در بند SV-3 آزمون آسیب پذیری شامل آزمون فازینگ و آزمون بار ترافیک شبکه، آزمون ظرفیت ، تحلیل سطح حمله ، پویش جعبه سیاه آسیب پذیری های شناخته شده پوشش داده شده است. تجزیه تحلیل ترکیب نرم افزار بر روی همه فایل های اجرایی محصول  با هدف شناسایی مشکلات زیر باید انجام گردد:
• آسیب پذیری های شناسایی شده در مؤلفه های نرم افزاری محصول
• پیوند داشتن با کتاب خانه های آسیب پذیر
• نقض قوانین امنیتی
• تنظیمات مربوط به کامپایلر که منجر به آسیب پذیری می شوند

برچسب ها
درباره نویسنده