Cyber–Physical Systems Security Challenges(Case study: Information Flow Security Analysis in Natural Gas and Oil Pipeline System ) PetroICT2018 سخنرانی چالش های امنیتی در سامانه های سایبر-فیزیکی (با محوریت تحلیل جریان اطلاعات در خطوط لوله نفت و گاز) در ششمین کنفرانس فناوری اطلاعات و ارتباطات در نفت، گاز ،پالایش و پتروشیمی 27 دی، تهران مرکز همایش های بین المللی شهید بهشتی

1. ‫مهدی‬ ‫محمد‬‫احمدیان‬
‫سایبر‬ ‫امنیت‬ ‫مشاور‬-‫سامانه‬ ‫فیزیکی‬‫زیرساخت‬ ‫و‬ ‫صنعتی‬ ‫کنترل‬ ‫های‬‫حیاتی‬ ‫های‬
27‫ماه‬ ‫دی‬1396
Cyber–Physical Systems Security Challenges
‫چالش‬‫های‬‫در‬ ‫امنیتی‬‫سامانه‬‫سایبر‬ ‫های‬-‫فیزیکی‬
(‫گاز‬ ‫و‬ ‫نفت‬ ‫لوله‬ ‫خطوط‬ ‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬ ‫محوریت‬ ‫با‬)
(Case study: Information Flow Security Analysis in Natural Gas and Oil Pipeline System )

2. ‫م‬.‫احمدیان‬ ‫مهدی‬|‫چالش‬‫سامانه‬ ‫در‬ ‫امنیتی‬ ‫های‬‫سایبر‬ ‫های‬-‫فیزیکی‬(‫گاز‬ ‫و‬ ‫نفت‬ ‫لوله‬ ‫خطوط‬ ‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬ ‫محوریت‬ ‫با‬)|‫در‬ ‫سخنرانی‬ ‫فایل‬PetroICT2018www.mmAhmadian.ir|
‫امنیت‬ ‫ارتقاء‬ ‫افزایش‬
‫سامانه‬‫کنترل‬ ‫های‬
‫زیرساخت‬ ‫و‬ ‫صنعتی‬‫های‬
‫توجه‬ ‫با‬ ‫کشور‬ ‫حیاتی‬‫به‬
‫حمالت‬ ‫و‬ ‫تهدیدات‬
‫فراوان‬

3. ‫م‬.‫احمدیان‬ ‫مهدی‬|‫چالش‬‫سامانه‬ ‫در‬ ‫امنیتی‬ ‫های‬‫سایبر‬ ‫های‬-‫فیزیکی‬(‫گاز‬ ‫و‬ ‫نفت‬ ‫لوله‬ ‫خطوط‬ ‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬ ‫محوریت‬ ‫با‬)|‫در‬ ‫سخنرانی‬ ‫فایل‬PetroICT2018www.mmAhmadian.ir|
•‫محمدمهدی‬‫احمدیان‬
•‫تخصصی‬ ‫دکتری‬ ‫کاندیدای‬‫اطالعات‬ ‫فناوری‬)‫اطالعات‬ ‫امنیت‬ ‫گرایش‬(‫صنعتی‬ ‫دانشگاه‬‫امیرکبیر‬
•‫سایبر‬ ‫امنیت‬ ‫مشاور‬-‫سامانه‬ ‫فیزیکی‬‫زیرساخت‬ ‫و‬ ‫صنعتی‬ ‫کنترل‬ ‫های‬‫حیاتی‬ ‫های‬
•‫بر‬ ‫بالغ‬4‫سال‬‫حوزه‬ ‫در‬ ‫تخصصی‬ ‫فعالیت‬‫امنیت‬ICS
•‫آزمایشگاه‬‫صنعتی‬ ‫دانشگاه‬ ‫الکترونیک‬ ‫تجارت‬ ‫و‬ ‫اطالعات‬ ‫امنیت‬‫امیرک‬‫بیر‬
•‫امیرکبی‬ ‫صنعتی‬ ‫دانشگاه‬ ‫امن‬ ‫های‬‫سیستم‬ ‫تحلیل‬ ‫و‬ ‫طراحی‬ ‫آزمایشگاه‬‫ر‬
•‫سامانه‬ ‫سایبری‬ ‫امنیت‬ ‫تیم‬‫صنعتی‬ ‫دانشگاه‬ ‫صنعتی‬ ‫های‬‫امیرکبیر‬
•‫پژوهشکده‬‫صنعتی‬ ‫دانشگاه‬ ‫غیرعامل‬ ‫پدافند‬‫امیرکبیر‬
•‫شرکت‬‫رای‬ ‫امین‬ ‫پارس‬ ‫فناوری‬ ‫گسترش‬
•‫مس‬ ‫صنایع‬ ‫ملی‬ ‫شرکت‬‫ایران‬
•‫دیسپچینگ‬‫برق‬ ‫ملی‬
•‫گاز‬ ‫ملی‬ ‫شرکت‬

4. ‫م‬.‫احمدیان‬ ‫مهدی‬|‫چالش‬‫سامانه‬ ‫در‬ ‫امنیتی‬ ‫های‬‫سایبر‬ ‫های‬-‫فیزیکی‬(‫گاز‬ ‫و‬ ‫نفت‬ ‫لوله‬ ‫خطوط‬ ‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬ ‫محوریت‬ ‫با‬)|‫در‬ ‫سخنرانی‬ ‫فایل‬PetroICT2018www.mmAhmadian.ir| ‫م‬.‫احمدیان‬ ‫مهدی‬|‫چالش‬‫سامانه‬ ‫در‬ ‫امنیتی‬ ‫های‬‫سایبر‬ ‫های‬-‫فیزیکی‬(‫گاز‬ ‫و‬ ‫نفت‬ ‫لوله‬ ‫خطوط‬ ‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬ ‫محوریت‬ ‫با‬)|‫در‬ ‫سخنرانی‬ ‫فایل‬PetroICT2018www.mmAhmadian.ir|
‫فهرست‬‫مطالب‬
‫مقدمه‬‫از‬ ‫ای‬CPS‫چالش‬ ‫و‬‫امنیتی‬ ‫های‬
‫آن‬ ‫اهمیت‬ ‫و‬ ‫محرمانگی‬
4
3
2
1
‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬CPS
‫گی‬ ‫نتیجه‬ ‫و‬ ‫بندی‬ ‫جمع‬‫ری‬ 5
‫آزمایی‬ ‫راستی‬‫جریان‬‫اطالعات‬

5. ‫م‬.‫احمدیان‬ ‫مهدی‬|‫چالش‬‫سامانه‬ ‫در‬ ‫امنیتی‬ ‫های‬‫سایبر‬ ‫های‬-‫فیزیکی‬(‫گاز‬ ‫و‬ ‫نفت‬ ‫لوله‬ ‫خطوط‬ ‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬ ‫محوریت‬ ‫با‬)|‫در‬ ‫سخنرانی‬ ‫فایل‬PetroICT2018www.mmAhmadian.ir|47/
1.Cyber-Physical Systems (CPSs)
2. Life-critical
3. Actuators
4. Center of Embedded Computer
Systems at the University of California,
Irvine
5. Multi-disciplinary
•‫سامانه‬‫بخش‬ ‫از‬ ‫مرکب‬ ‫هایی‬‫می‬ ‫کنترل‬ ‫را‬ ‫فیزیکی‬ ‫اجزاء‬ ،‫سایبری‬ ‫اجزاء‬ ‫واسطه‬ ‫به‬ ‫که‬ ‫کنترلی‬ ‫و‬ ‫نظارتی‬ ،‫ارتباطی‬ ،‫محاسباتی‬ ‫های‬‫کنند‬]12[.
•‫سامانه‬،‫شده‬ ‫توزیع‬ ‫جغرافیایی‬ ‫لحاظ‬ ‫از‬ ،‫بزرگ‬ ‫مقیاس‬ ‫در‬ ‫هایی‬، ،‫نهاهم‬ ،‫یکپارچهه‬‫حیهاتی‬2‫شهامل‬ ‫کهه‬
‫ها‬ ‫محرک‬ ،‫حس،رها‬3،‫شبکه‬ ‫و‬ ‫کنترلی‬ ‫اجزاء‬‫باشند‬ ‫می‬ ‫ای‬]13[.
•‫مرکز‬ ‫تعریف‬4CECS:
‫چند‬ ،‫پیچیده‬ ‫هایی‬ ‫سامانه‬‫شاخه‬‫ای‬5،‫دارای‬ ‫تجهیزات‬ ‫با‬ ‫همراه‬‫ادراک‬‫گیرنهده‬ ‫واسهطه‬ ‫به‬ ‫که‬ ،‫فیزیکی‬‫و‬ ‫هها‬
‫محرک‬‫می‬ ‫یکپارچه‬ ‫را‬ ‫فیزیکی‬ ‫بخش‬ ‫و‬ ‫سایبری‬ ‫بخش‬ ‫ها‬‫کند‬.
•‫سامانه‬‫های‬‫هوشمند‬،‫شبکه‬ ‫تحت‬‫دارای‬‫گیرنده‬‫های‬‫شده‬ ‫تعبیه‬،‫پردازنده‬‫ها‬‫و‬‫عمل،ر‬‫ها‬‫برای‬ ‫که‬‫با‬ ‫تعامل‬ ‫و‬ ‫فیزیکی‬ ‫دنیای‬ ‫درک‬‫آن‬(‫شام‬‫کاربران‬ ‫ل‬
‫انسانی‬)‫با‬ ‫باید‬ ‫و‬ ‫اند‬ ‫شده‬ ‫طراحی‬‫قبول‬ ‫قابل‬ ‫کارایی‬‫و‬‫بالدرنگ‬‫ایم‬ ‫حیاتی‬ ‫کاربردهای‬‫تضمی‬ ‫را‬‫کنند‬]14[.
5

6. ‫م‬.‫احمدیان‬ ‫مهدی‬|‫چالش‬‫سامانه‬ ‫در‬ ‫امنیتی‬ ‫های‬‫سایبر‬ ‫های‬-‫فیزیکی‬(‫گاز‬ ‫و‬ ‫نفت‬ ‫لوله‬ ‫خطوط‬ ‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬ ‫محوریت‬ ‫با‬)|‫در‬ ‫سخنرانی‬ ‫فایل‬PetroICT2018www.mmAhmadian.ir|47/
‫سامانه‬‫سایبری‬ ‫های‬-‫فیزیک‬‫ی‬
‫سامانه‬‫های‬CPS
‫سامانه‬ ‫سایر‬‫ها‬
ICS‫وشبکه‬‫هوشمند‬ ‫های‬
‫وخانه‬ ‫ونقل‬ ‫حمل‬‫هوشمند‬ ‫های‬
‫مدرن‬ ‫پزشکی‬ ‫تجهیزات‬
‫بخش‬‫های‬
CPS
‫سایبری‬ ‫فیزیکی‬‫سایبر‬-‫فیزیکی‬‫ها‬ ‫کنترل‬
‫پذیری‬ ‫آسیب‬‫ها‬
‫حمالت‬
‫تهدیدات‬
‫امنیت‬
6

7. ‫م‬.‫احمدیان‬ ‫مهدی‬|‫چالش‬‫سامانه‬ ‫در‬ ‫امنیتی‬ ‫های‬‫سایبر‬ ‫های‬-‫فیزیکی‬(‫گاز‬ ‫و‬ ‫نفت‬ ‫لوله‬ ‫خطوط‬ ‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬ ‫محوریت‬ ‫با‬)|‫در‬ ‫سخنرانی‬ ‫فایل‬PetroICT2018www.mmAhmadian.ir|47/
‫سامانه‬‫سایبری‬ ‫های‬-‫فیزیک‬‫ی‬
7
1.Cognition, Situational Awareness and Security
2.High Assurance Architecture Challenges.
3.Attack Mitigation, Detection, Restoration and Recovery.
‫سازی‬ ‫مدل‬
‫اعتماد‬
‫با‬ ‫معماری‬
‫قابلیت‬
‫باال‬ ‫اطمینان‬2
‫بخشی‬ ‫آگاهی‬
‫بر‬ ‫مبتنی‬
‫و‬ ‫موقعیت‬
‫ادراک‬1
‫جریان‬ ‫کنترل‬
‫اطالعات‬
‫تحم‬ ، ‫ایمنی‬‫ل‬
‫و‬ ‫خطا‬ ‫پذیری‬
‫امنیت‬
‫سازی‬ ‫مدل‬
‫صوری‬CPS
‫و‬ ‫پیشگیری‬
‫اثرات‬ ‫کاهش‬
‫تشخیص‬ ،‫حمله‬،
‫بازیاب‬ ‫و‬ ‫ترمیم‬‫ی‬3
‫تشخیص‬
‫آسیب‬
‫پذیری‬‫ها‬
‫عین‬ ‫در‬ ‫تعامل‬
‫حریم‬ ‫حفظ‬
‫خصوصی‬
[12,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37]

8. ‫م‬.‫احمدیان‬ ‫مهدی‬|‫چالش‬‫سامانه‬ ‫در‬ ‫امنیتی‬ ‫های‬‫سایبر‬ ‫های‬-‫فیزیکی‬(‫گاز‬ ‫و‬ ‫نفت‬ ‫لوله‬ ‫خطوط‬ ‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬ ‫محوریت‬ ‫با‬)|‫در‬ ‫سخنرانی‬ ‫فایل‬PetroICT2018www.mmAhmadian.ir| ‫م‬.‫احمدیان‬ ‫مهدی‬|‫چالش‬‫سامانه‬ ‫در‬ ‫امنیتی‬ ‫های‬‫سایبر‬ ‫های‬-‫فیزیکی‬(‫گاز‬ ‫و‬ ‫نفت‬ ‫لوله‬ ‫خطوط‬ ‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬ ‫محوریت‬ ‫با‬)|‫در‬ ‫سخنرانی‬ ‫فایل‬PetroICT2018www.mmAhmadian.ir|
‫فهرست‬‫مطالب‬
‫مقدمه‬‫از‬ ‫ای‬CPS‫چالش‬ ‫و‬‫امنیتی‬ ‫های‬
‫آن‬ ‫اهمیت‬ ‫و‬ ‫محرمانگی‬
4
3
2
1
‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬CPS
‫گی‬ ‫نتیجه‬ ‫و‬ ‫بندی‬ ‫جمع‬‫ری‬ 5
‫آزمایی‬ ‫راستی‬‫جریان‬‫اطالعات‬

9. ‫م‬.‫احمدیان‬ ‫مهدی‬|‫چالش‬‫سامانه‬ ‫در‬ ‫امنیتی‬ ‫های‬‫سایبر‬ ‫های‬-‫فیزیکی‬(‫گاز‬ ‫و‬ ‫نفت‬ ‫لوله‬ ‫خطوط‬ ‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬ ‫محوریت‬ ‫با‬)|‫در‬ ‫سخنرانی‬ ‫فایل‬PetroICT2018www.mmAhmadian.ir|47/
•‫سایبری‬ ‫امنیت‬ ‫اصول‬
•‫محرمان،ی‬
•‫صحت‬
•‫پذیری‬ ‫دسترس‬
C
I
A
•‫اصول‬ICS
•‫کنترل‬‫پذیری‬
•‫پایداری‬
•‫مشاهده‬‫پذیری‬
C
S
O
9

10. ‫م‬.‫احمدیان‬ ‫مهدی‬|‫چالش‬‫سامانه‬ ‫در‬ ‫امنیتی‬ ‫های‬‫سایبر‬ ‫های‬-‫فیزیکی‬(‫گاز‬ ‫و‬ ‫نفت‬ ‫لوله‬ ‫خطوط‬ ‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬ ‫محوریت‬ ‫با‬)|‫در‬ ‫سخنرانی‬ ‫فایل‬PetroICT2018www.mmAhmadian.ir|47/
‫تفاوت‬IT‫و‬OT
10
•‫استاکسنت‬
•‫دوکو‬
•‫فلیم‬
•Industroyer

11. ‫م‬.‫احمدیان‬ ‫مهدی‬|‫چالش‬‫سامانه‬ ‫در‬ ‫امنیتی‬ ‫های‬‫سایبر‬ ‫های‬-‫فیزیکی‬(‫گاز‬ ‫و‬ ‫نفت‬ ‫لوله‬ ‫خطوط‬ ‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬ ‫محوریت‬ ‫با‬)|‫در‬ ‫سخنرانی‬ ‫فایل‬PetroICT2018www.mmAhmadian.ir|47/11
•‫اطالعات‬ ‫جریان‬
•‫مواد‬ ‫جریان‬
•‫اطالعات‬‫دارایی‬‫ها‬
•‫جریان‬‫ها‬
•‫فیزیکی‬
•‫منطقی‬
•‫ارتباطات‬
•‫فرایند‬
•‫سایر‬‫اطالعات‬
•‫پیمانکاران‬
•‫پرسنل‬
•‫تامی‬ ‫زنجیره‬
•‫اولیه‬ ‫مواد‬
•‫فرایند‬ ‫در‬ ‫درگیر‬ ‫مواد‬
•‫پلنت‬ ‫محصوالت‬
•‫جنبی‬ ‫یا‬ ‫باطله‬ ‫مواد‬
•‫پلن‬ ‫انرژی‬ ‫منابع‬ ‫مواد‬‫ت‬
•...

12. ‫م‬.‫احمدیان‬ ‫مهدی‬|‫چالش‬‫سامانه‬ ‫در‬ ‫امنیتی‬ ‫های‬‫سایبر‬ ‫های‬-‫فیزیکی‬(‫گاز‬ ‫و‬ ‫نفت‬ ‫لوله‬ ‫خطوط‬ ‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬ ‫محوریت‬ ‫با‬)|‫در‬ ‫سخنرانی‬ ‫فایل‬PetroICT2018www.mmAhmadian.ir|47/12
‫هشدار‬!!!
•‫اطالعات‬‫دارایی‬‫ها‬(،‫تجهیزات‬،‫سازندگان‬
‫پروتکل‬،‫ها‬‫نرم‬‫افزارها‬‫و‬...)
•‫اطالعات‬‫فرایند‬‫ها‬
•‫اطالعات‬‫ارتباطات‬
•‫اطالعات‬‫پیمانکاران‬
•‫تصاویر‬‫و‬‫فیلم‬‫دارایی‬‫ها‬
•
•‫وب‬‫سایت‬‫های‬‫رسمی‬‫صنایع‬‫و‬‫شرکت‬‫های‬‫تابع‬‫ه‬
•‫وب‬‫سایت‬‫های‬‫خبری‬(‫تصاویر‬‫بازدیدها‬‫و‬‫پروژه‬‫ه‬‫ا‬)
•‫مقاالت‬‫کنفرانس‬‫ها،ژورنال‬‫هاو‬‫مجالت‬
•‫گروه‬‫ها‬‫تلگرامی‬‫و‬‫دیگر‬‫شبکه‬‫های‬‫اجتماعی‬
•...

13. ‫م‬.‫احمدیان‬ ‫مهدی‬|‫چالش‬‫سامانه‬ ‫در‬ ‫امنیتی‬ ‫های‬‫سایبر‬ ‫های‬-‫فیزیکی‬(‫گاز‬ ‫و‬ ‫نفت‬ ‫لوله‬ ‫خطوط‬ ‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬ ‫محوریت‬ ‫با‬)|‫در‬ ‫سخنرانی‬ ‫فایل‬PetroICT2018www.mmAhmadian.ir|47/13
‫و‬‫قصد‬‫زیرس‬‫وال‬‫بردن‬
‫این‬‫عزیزان‬‫را‬‫نداریم‬

14. ‫م‬.‫احمدیان‬ ‫مهدی‬|‫چالش‬‫سامانه‬ ‫در‬ ‫امنیتی‬ ‫های‬‫سایبر‬ ‫های‬-‫فیزیکی‬(‫گاز‬ ‫و‬ ‫نفت‬ ‫لوله‬ ‫خطوط‬ ‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬ ‫محوریت‬ ‫با‬)|‫در‬ ‫سخنرانی‬ ‫فایل‬PetroICT2018www.mmAhmadian.ir|47/14

15. ‫م‬.‫احمدیان‬ ‫مهدی‬|‫چالش‬‫سامانه‬ ‫در‬ ‫امنیتی‬ ‫های‬‫سایبر‬ ‫های‬-‫فیزیکی‬(‫گاز‬ ‫و‬ ‫نفت‬ ‫لوله‬ ‫خطوط‬ ‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬ ‫محوریت‬ ‫با‬)|‫در‬ ‫سخنرانی‬ ‫فایل‬PetroICT2018www.mmAhmadian.ir|47/15

16. ‫م‬.‫احمدیان‬ ‫مهدی‬|‫چالش‬‫سامانه‬ ‫در‬ ‫امنیتی‬ ‫های‬‫سایبر‬ ‫های‬-‫فیزیکی‬(‫گاز‬ ‫و‬ ‫نفت‬ ‫لوله‬ ‫خطوط‬ ‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬ ‫محوریت‬ ‫با‬)|‫در‬ ‫سخنرانی‬ ‫فایل‬PetroICT2018www.mmAhmadian.ir|47/16

17. ‫م‬.‫احمدیان‬ ‫مهدی‬|‫چالش‬‫سامانه‬ ‫در‬ ‫امنیتی‬ ‫های‬‫سایبر‬ ‫های‬-‫فیزیکی‬(‫گاز‬ ‫و‬ ‫نفت‬ ‫لوله‬ ‫خطوط‬ ‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬ ‫محوریت‬ ‫با‬)|‫در‬ ‫سخنرانی‬ ‫فایل‬PetroICT2018www.mmAhmadian.ir|47/38/10

18. ‫م‬.‫احمدیان‬ ‫مهدی‬|‫چالش‬‫سامانه‬ ‫در‬ ‫امنیتی‬ ‫های‬‫سایبر‬ ‫های‬-‫فیزیکی‬(‫گاز‬ ‫و‬ ‫نفت‬ ‫لوله‬ ‫خطوط‬ ‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬ ‫محوریت‬ ‫با‬)|‫در‬ ‫سخنرانی‬ ‫فایل‬PetroICT2018www.mmAhmadian.ir|47/18


 


‫آدرس‬ ‫ای‬ ،‫امنیتی‬ ‫مالحضات‬ ‫برخی‬ ‫دلیل‬ ‫به‬‫است‬ ‫شده‬ ‫حذف‬ ‫سخنرانی‬ ‫فایل‬ ‫شده‬ ‫منتشر‬ ‫عمومی‬ ‫نسخه‬ ‫در‬.
‫آدرس‬ ‫ای‬ ،‫امنیتی‬ ‫مالحضات‬ ‫برخی‬ ‫دلیل‬ ‫به‬‫است‬ ‫شده‬ ‫حذف‬ ‫سخنرانی‬ ‫فایل‬ ‫شده‬ ‫منتشر‬ ‫عمومی‬ ‫نسخه‬ ‫در‬.
‫مالحضات‬ ‫برخی‬ ‫دلیل‬ ‫به‬
‫آدرس‬ ‫ای‬ ،‫امنیتی‬‫در‬
‫شده‬ ‫منتشر‬ ‫عمومی‬ ‫نسخه‬
‫شده‬ ‫حذف‬ ‫سخنرانی‬ ‫فایل‬
‫است‬.

19. ‫م‬.‫احمدیان‬ ‫مهدی‬|‫چالش‬‫سامانه‬ ‫در‬ ‫امنیتی‬ ‫های‬‫سایبر‬ ‫های‬-‫فیزیکی‬(‫گاز‬ ‫و‬ ‫نفت‬ ‫لوله‬ ‫خطوط‬ ‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬ ‫محوریت‬ ‫با‬)|‫در‬ ‫سخنرانی‬ ‫فایل‬PetroICT2018www.mmAhmadian.ir|47/19
‫آدرس‬ ‫ای‬ ،‫امنیتی‬ ‫مالحضات‬ ‫برخی‬ ‫دلیل‬ ‫به‬‫است‬ ‫شده‬ ‫حذف‬ ‫سخنرانی‬ ‫فایل‬ ‫شده‬ ‫منتشر‬ ‫عمومی‬ ‫نسخه‬ ‫در‬.
‫آدرس‬ ‫ای‬ ‫مالحضات‬ ‫برخی‬ ‫دلیل‬ ‫به‬‫است‬ ‫شده‬ ‫حذف‬ ‫سخنرانی‬ ‫فایل‬ ‫شده‬ ‫منتشر‬ ‫عمومی‬ ‫نسخه‬ ‫در‬
‫آدرس‬ ‫ای‬ ‫امنیتی‬ ‫مالحضات‬ ‫برخی‬ ‫دلیل‬ ‫به‬‫است‬ ‫شده‬ ‫حذف‬ ‫سخنرانی‬ ‫فایل‬ ‫شده‬ ‫منتشر‬ ‫عمومی‬ ‫نسخه‬ ‫در‬.

20. ‫م‬.‫احمدیان‬ ‫مهدی‬|‫چالش‬‫سامانه‬ ‫در‬ ‫امنیتی‬ ‫های‬‫سایبر‬ ‫های‬-‫فیزیکی‬(‫گاز‬ ‫و‬ ‫نفت‬ ‫لوله‬ ‫خطوط‬ ‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬ ‫محوریت‬ ‫با‬)|‫در‬ ‫سخنرانی‬ ‫فایل‬PetroICT2018www.mmAhmadian.ir|47/20

21. ‫م‬.‫احمدیان‬ ‫مهدی‬|‫چالش‬‫سامانه‬ ‫در‬ ‫امنیتی‬ ‫های‬‫سایبر‬ ‫های‬-‫فیزیکی‬(‫گاز‬ ‫و‬ ‫نفت‬ ‫لوله‬ ‫خطوط‬ ‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬ ‫محوریت‬ ‫با‬)|‫در‬ ‫سخنرانی‬ ‫فایل‬PetroICT2018www.mmAhmadian.ir|47/21
‫آدرس‬ ‫ای‬ ،‫امنیتی‬‫مالحضات‬‫برخی‬ ‫دلیل‬ ‫به‬‫است‬ ‫شده‬ ‫حذف‬ ‫سخنرانی‬ ‫فایل‬ ‫شده‬ ‫منتشر‬ ‫عمومی‬ ‫نسخه‬ ‫در‬.
‫آدرس‬ ‫ای‬ ،‫امنیتی‬ ‫مالحضات‬ ‫برخی‬ ‫دلیل‬ ‫به‬‫است‬ ‫شده‬ ‫حذف‬ ‫سخنرانی‬ ‫فایل‬ ‫شده‬ ‫منتشر‬ ‫عمومی‬ ‫نسخه‬ ‫در‬.

22. ‫م‬.‫احمدیان‬ ‫مهدی‬|‫چالش‬‫سامانه‬ ‫در‬ ‫امنیتی‬ ‫های‬‫سایبر‬ ‫های‬-‫فیزیکی‬(‫گاز‬ ‫و‬ ‫نفت‬ ‫لوله‬ ‫خطوط‬ ‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬ ‫محوریت‬ ‫با‬)|‫در‬ ‫سخنرانی‬ ‫فایل‬PetroICT2018www.mmAhmadian.ir|47/22
‫آدرس‬ ‫ای‬ ،‫امنیتی‬ ‫مالحضات‬ ‫برخی‬ ‫دلیل‬ ‫به‬‫است‬ ‫شده‬ ‫حذف‬ ‫سخنرانی‬ ‫فایل‬ ‫شده‬ ‫منتشر‬ ‫عمومی‬ ‫نسخه‬ ‫در‬.
‫آدرس‬ ‫ای‬ ،‫امنیتی‬ ‫مالحضات‬ ‫برخی‬ ‫دلیل‬ ‫به‬‫منتشر‬ ‫عمومی‬ ‫نسخه‬ ‫در‬
‫است‬ ‫شده‬ ‫حذف‬ ‫سخنرانی‬ ‫فایل‬ ‫شده‬.

23. ‫م‬.‫احمدیان‬ ‫مهدی‬|‫چالش‬‫سامانه‬ ‫در‬ ‫امنیتی‬ ‫های‬‫سایبر‬ ‫های‬-‫فیزیکی‬(‫گاز‬ ‫و‬ ‫نفت‬ ‫لوله‬ ‫خطوط‬ ‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬ ‫محوریت‬ ‫با‬)|‫در‬ ‫سخنرانی‬ ‫فایل‬PetroICT2018www.mmAhmadian.ir|47/23
‫آدرس‬ ‫ای‬ ،‫امنیتی‬ ‫مالحضات‬ ‫برخی‬ ‫دلیل‬ ‫به‬‫است‬ ‫شده‬ ‫حذف‬ ‫سخنرانی‬ ‫فایل‬ ‫شده‬ ‫منتشر‬ ‫عمومی‬ ‫نسخه‬ ‫در‬.

24. ‫م‬.‫احمدیان‬ ‫مهدی‬|‫چالش‬‫سامانه‬ ‫در‬ ‫امنیتی‬ ‫های‬‫سایبر‬ ‫های‬-‫فیزیکی‬(‫گاز‬ ‫و‬ ‫نفت‬ ‫لوله‬ ‫خطوط‬ ‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬ ‫محوریت‬ ‫با‬)|‫در‬ ‫سخنرانی‬ ‫فایل‬PetroICT2018www.mmAhmadian.ir|47/24
‫آدرس‬ ‫ای‬ ،‫امنیتی‬ ‫مالحضات‬ ‫برخی‬ ‫دلیل‬ ‫به‬‫است‬ ‫شده‬ ‫حذف‬ ‫سخنرانی‬ ‫فایل‬ ‫شده‬ ‫منتشر‬ ‫عمومی‬ ‫نسخه‬ ‫در‬.

25. ‫م‬.‫احمدیان‬ ‫مهدی‬|‫چالش‬‫سامانه‬ ‫در‬ ‫امنیتی‬ ‫های‬‫سایبر‬ ‫های‬-‫فیزیکی‬(‫گاز‬ ‫و‬ ‫نفت‬ ‫لوله‬ ‫خطوط‬ ‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬ ‫محوریت‬ ‫با‬)|‫در‬ ‫سخنرانی‬ ‫فایل‬PetroICT2018www.mmAhmadian.ir|47/25

26. ‫م‬.‫احمدیان‬ ‫مهدی‬|‫چالش‬‫سامانه‬ ‫در‬ ‫امنیتی‬ ‫های‬‫سایبر‬ ‫های‬-‫فیزیکی‬(‫گاز‬ ‫و‬ ‫نفت‬ ‫لوله‬ ‫خطوط‬ ‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬ ‫محوریت‬ ‫با‬)|‫در‬ ‫سخنرانی‬ ‫فایل‬PetroICT2018www.mmAhmadian.ir| ‫م‬.‫احمدیان‬ ‫مهدی‬|‫چالش‬‫سامانه‬ ‫در‬ ‫امنیتی‬ ‫های‬‫سایبر‬ ‫های‬-‫فیزیکی‬(‫گاز‬ ‫و‬ ‫نفت‬ ‫لوله‬ ‫خطوط‬ ‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬ ‫محوریت‬ ‫با‬)|‫در‬ ‫سخنرانی‬ ‫فایل‬PetroICT2018www.mmAhmadian.ir|
‫فهرست‬‫مطالب‬
‫مقدمه‬‫از‬ ‫ای‬CPS‫چالش‬ ‫و‬‫امنیتی‬ ‫های‬
‫آن‬ ‫اهمیت‬ ‫و‬ ‫محرمانگی‬
4
3
2
1
‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬CPS
‫گی‬ ‫نتیجه‬ ‫و‬ ‫بندی‬ ‫جمع‬‫ری‬ 5
‫آزمایی‬ ‫راستی‬‫جریان‬‫اطالعات‬

27. ‫م‬.‫احمدیان‬ ‫مهدی‬|‫چالش‬‫سامانه‬ ‫در‬ ‫امنیتی‬ ‫های‬‫سایبر‬ ‫های‬-‫فیزیکی‬(‫گاز‬ ‫و‬ ‫نفت‬ ‫لوله‬ ‫خطوط‬ ‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬ ‫محوریت‬ ‫با‬)|‫در‬ ‫سخنرانی‬ ‫فایل‬PetroICT2018www.mmAhmadian.ir|47/
Cyber-Physical Systems Formal Methods
Information Security
27
Craft
Science

28. ‫م‬.‫احمدیان‬ ‫مهدی‬|‫چالش‬‫سامانه‬ ‫در‬ ‫امنیتی‬ ‫های‬‫سایبر‬ ‫های‬-‫فیزیکی‬(‫گاز‬ ‫و‬ ‫نفت‬ ‫لوله‬ ‫خطوط‬ ‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬ ‫محوریت‬ ‫با‬)|‫در‬ ‫سخنرانی‬ ‫فایل‬PetroICT2018www.mmAhmadian.ir|47/
•‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تشخیص‬CPS‫دشوار‬‫است‬.
•‫سایبری‬ ‫بخش‬ ‫وجود‬.
•‫بخش‬ ‫دو‬ ‫ای‬ ‫بی‬ ‫پیچیده‬ ‫تعامالت‬.
1.Specification
2.Semantic
3.Trace-based
‫بخش‬ ‫مهمتری‬
•‫فیزیکی‬ ‫بخش‬ ‫وجود‬)‫سایبری‬ ‫بخش‬ ‫بر‬ ‫عالوه‬(.
‫گسسته‬ ‫رخدادی‬ ‫فرایندهای‬
‫پیوسته‬ ‫زمانی‬ ‫فرایندهای‬
28
•‫اطالعات‬ ‫جریان‬:
‫سطح‬High
‫سطح‬Low

29. ‫م‬.‫احمدیان‬ ‫مهدی‬|‫چالش‬‫سامانه‬ ‫در‬ ‫امنیتی‬ ‫های‬‫سایبر‬ ‫های‬-‫فیزیکی‬(‫گاز‬ ‫و‬ ‫نفت‬ ‫لوله‬ ‫خطوط‬ ‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬ ‫محوریت‬ ‫با‬)|‫در‬ ‫سخنرانی‬ ‫فایل‬PetroICT2018www.mmAhmadian.ir|47/
•‫درهم‬ ‫ساختار‬ ‫دلیل‬ ‫به‬‫تنیده‬CPS‫به‬ ‫منجر‬ ‫بخش‬ ‫یک‬ ‫عمل‬ ،‫تاثیر‬‫بخش‬ ‫سایر‬ ‫روی‬‫ها‬
‫اطالعات‬ ‫نشت‬ ‫امکان‬
(‫روسیه‬ ‫و‬ ‫اکرای‬ ‫گازی‬ ‫مجادله‬-2005)]12[
29
•‫سایبری‬ ‫بخش‬ ‫در‬ ‫امنیت‬ ‫تضمین‬ ‫صورت‬ ‫در‬
•‫بخش‬ ‫در‬ ‫امنیت‬ ‫تضمین‬ ‫صورت‬ ‫در‬‫فیزیکی‬
‫امنی‬ ‫ترکیب‬ ‫لزوما‬‫نخواهیم‬‫داشت‬.

30. ‫م‬.‫احمدیان‬ ‫مهدی‬|‫چالش‬‫سامانه‬ ‫در‬ ‫امنیتی‬ ‫های‬‫سایبر‬ ‫های‬-‫فیزیکی‬(‫گاز‬ ‫و‬ ‫نفت‬ ‫لوله‬ ‫خطوط‬ ‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬ ‫محوریت‬ ‫با‬)|‫در‬ ‫سخنرانی‬ ‫فایل‬PetroICT2018www.mmAhmadian.ir|47/30
‫است‬ ‫شده‬ ‫حذف‬ ‫سخنرانی‬ ‫فایل‬ ‫عمومی‬ ‫نسخه‬ ‫در‬ ‫صفحه‬ ‫ای‬ ‫محتوای‬.
‫ارائه‬ ‫آماده‬‫ارزیابی‬ ‫و‬ ‫سازی‬ ‫امن‬ ‫خدمات‬(‫اجرا‬ ‫و‬ ‫مشاوره‬ ،‫طراحی‬)‫و‬‫ارائه‬
‫دوره‬‫های‬‫و‬ ‫مقدماتی‬‫پیشرفته‬‫به‬ ‫اساس‬ ‫بر‬ ‫آموزشی‬‫روش‬ ‫روزترین‬‫ها‬‫و‬
‫عملی‬ ‫و‬ ‫علمی‬ ‫دستاوردهای‬‫دنیا‬‫برای‬‫سازمان‬‫ها‬‫و‬ ‫صنایع‬ ،‫زیرساخت‬‫های‬
‫و‬ ‫حساس‬ ،‫حیاتی‬‫مهم‬.

31. ‫م‬.‫احمدیان‬ ‫مهدی‬|‫چالش‬‫سامانه‬ ‫در‬ ‫امنیتی‬ ‫های‬‫سایبر‬ ‫های‬-‫فیزیکی‬(‫گاز‬ ‫و‬ ‫نفت‬ ‫لوله‬ ‫خطوط‬ ‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬ ‫محوریت‬ ‫با‬)|‫در‬ ‫سخنرانی‬ ‫فایل‬PetroICT2018www.mmAhmadian.ir|47/
1. smart grid
‫انتقال‬ ‫سامانه‬(‫لوله‬ ‫خطوط‬)‫نفت‬ ‫و‬ ‫گاز‬ ‫برق‬ ‫توزیع‬ ‫هوشمند‬ ‫شبکه‬1
Observer
Observer
32

32. ‫م‬.‫احمدیان‬ ‫مهدی‬|‫چالش‬‫سامانه‬ ‫در‬ ‫امنیتی‬ ‫های‬‫سایبر‬ ‫های‬-‫فیزیکی‬(‫گاز‬ ‫و‬ ‫نفت‬ ‫لوله‬ ‫خطوط‬ ‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬ ‫محوریت‬ ‫با‬)|‫در‬ ‫سخنرانی‬ ‫فایل‬PetroICT2018www.mmAhmadian.ir|47/
‫ها‬ ‫پیشفرض‬:
•‫بخش‬‫لوله‬ ‫از‬ ‫هایی‬‫دارای‬ ‫ها‬‫کنترلی‬ ‫و‬ ‫نظارتی‬ ‫تجهیزات‬FCS1‫هستند‬.
•FCS‫با‬ ‫سازی‬ ‫خودکار‬ ‫و‬ ‫مجدد‬ ‫نمودن‬ ‫متعادل‬ ،‫هدفمند‬ ‫کنترل‬ ‫جهت‬ ‫ها‬‫ارتباط‬ ‫در‬ ‫هم‬‫اند‬.
•LTC‫مسئول‬‫با‬ ‫ارتباط‬ ‫و‬ ‫مواد‬ ‫توزیع‬ ‫کنترل‬FCS‫همسایه‬ ‫های‬(.‫جریان‬ ‫تغییر‬ ‫ت‬ ‫دستورا‬)
•‫پیام‬‫از‬ ‫ارسالی‬ ‫های‬LTC‫قانونی‬‫و‬‫درست‬‫اند‬.
•‫خود‬ ‫امنیت‬LTC‫بررسی‬ ‫قابل‬ ‫دی،ر‬ ‫مبحثی‬ ‫در‬
•‫بی‬ ‫پیام‬ ‫انتقال‬ ‫ارتباطی‬ ‫شبکه‬LTC‫ها‬‫ام‬‫است‬.
•‫کنترل‬ ‫تحت‬ ‫خطوط‬ ‫در‬ ‫مواد‬ ‫جریان‬‫گیری‬ ‫اندازه‬ ‫قابل‬.
•‫مشاهده‬ ‫قابل‬ ‫محلی‬ ‫توپولوژی‬‫سطوح‬ ‫همه‬ ‫برای‬.
•‫هر‬LTC‫خودش‬ ‫شبکه‬ ‫زیر‬‫می‬ ‫کنترل‬ ‫را‬‫زیرشبکه‬ ‫روی‬ ‫تواند‬ ‫می‬ ‫رفتارش‬ ‫اما‬ ‫کند‬‫ها‬‫ی‬
‫دی،ر‬‫تاثیر‬‫ب،ذارد‬.
•‫مواد‬ ‫بر‬ ‫حاکم‬ ‫فیزیکی‬ ‫رابطه‬
33

33. ‫م‬.‫احمدیان‬ ‫مهدی‬|‫چالش‬‫سامانه‬ ‫در‬ ‫امنیتی‬ ‫های‬‫سایبر‬ ‫های‬-‫فیزیکی‬(‫گاز‬ ‫و‬ ‫نفت‬ ‫لوله‬ ‫خطوط‬ ‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬ ‫محوریت‬ ‫با‬)|‫در‬ ‫سخنرانی‬ ‫فایل‬PetroICT2018www.mmAhmadian.ir|47/
3. Security Process Algebra
•SPA3:•‫از‬ ‫توسعه‬ ‫یک‬CCS4‫است‬.
•‫سامانه‬ ‫مشخصات‬ ‫تعییی‬ ‫مناسب‬ ‫زبان‬ ‫یک‬‫د‬ ‫امنیتی‬ ‫خواص‬ ‫واررسی‬ ‫و‬ ‫شده‬ ‫توزیع‬ ‫های‬‫آنها‬ ‫ر‬
4 . Calculus of Communicating Systems
•‫مدلسازی‬ ‫برای‬ ‫مختلفی‬ ‫رویکردهای‬CPS
•‫ترکیبی‬ ‫اتوماتای‬1
1. Hybrid automata
•‫آنها‬ ‫بی‬ ‫جابجایی‬ ‫و‬ ‫ها‬ ‫حالت‬ ‫قالب‬ ‫در‬ ‫گسسته‬ ‫رخدادی‬ ‫فرایندهای‬
•‫جریان‬ ‫قالب‬ ‫در‬ ‫پیوسته‬ ‫زمانی‬ ‫فرایندهای‬‫فیزی‬ ‫قوانی‬ ‫و‬ ‫فیزیکی‬ ‫های‬‫کی‬
•‫مدل‬ ‫بررسی‬ ‫ابزارهای‬ ‫توسط‬ ‫وارسی‬ ‫قابل‬2]15،16[
2. Model Checking
•-‫در‬ ‫قطعیت‬ ‫عدم‬ ‫و‬ ‫همرندی‬ ، ‫ارتباطات‬ ‫سازی‬ ‫مدل‬CPS‫ها‬‫دشوار‬‫هنوز‬ ‫و‬ ‫است‬‫چالش‬ ‫محل‬.
•+‫مطلوب‬ ‫کردن‬ ‫مدل‬‫قطعیت‬ ‫عد‬ ‫و‬ ‫ارتباطات‬ ،‫همرندی‬.
•π-calculus:‫شده‬ ‫تقویت‬ ‫نسخه‬CCS
•‫به‬ ‫پایی‬ ‫رویکرد‬ ‫با‬ ‫جبری‬ ‫عمل،رهای‬ ‫از‬‫باال‬5‫می‬ ‫استفاده‬‫کند‬.
5 .Bottom-up
•+‫برخالف‬CCS‫عمل‬ ‫شامل‬‫که‬ ‫هایی‬‫سطح‬ ‫دو‬ ‫به‬ ‫متعلق‬‫محرمان،ی‬ ‫از‬ ‫متفاوت‬‫اند‬.
34

34. ‫م‬.‫احمدیان‬ ‫مهدی‬|‫چالش‬‫سامانه‬ ‫در‬ ‫امنیتی‬ ‫های‬‫سایبر‬ ‫های‬-‫فیزیکی‬(‫گاز‬ ‫و‬ ‫نفت‬ ‫لوله‬ ‫خطوط‬ ‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬ ‫محوریت‬ ‫با‬)|‫در‬ ‫سخنرانی‬ ‫فایل‬PetroICT2018www.mmAhmadian.ir|47/
•‫سامانه‬ ‫تعریف‬‫در‬:SPA
notation Description
Z performs the actions that E performs if Z ≡ E
Tr legal trace set of the system
L the set of low-level events
H the set of high-level events
τ x is a trace purged of all events in the domain of x
τ |x is a trace restricted to events in the domain of x
I the set of inputs
O the set of outputs
notation Description
0 is the empty process that cannot perform any ction
(specifically defines termination of a process)
µ.E performs action µ and then behaves like E
E1 + E2 can alternatively choose to behave like E1 or E2
E1|E2 is the parallel composition of events E1 and E2, where the
executions of the two systems are interleaved
EL executes all the actions that can be performed by E,
provided that they do not belong to L ∪ L ¯ (where L ¯ refers
to the output)
EIL requires that the actions of E do not belong to L ∩ I
E/L transforms all the actions in L into internal actions
E[f] if E can execute action µ, then E[f] performs f(µ)
Operational semantics :
35

35. ‫م‬.‫احمدیان‬ ‫مهدی‬|‫چالش‬‫سامانه‬ ‫در‬ ‫امنیتی‬ ‫های‬‫سایبر‬ ‫های‬-‫فیزیکی‬(‫گاز‬ ‫و‬ ‫نفت‬ ‫لوله‬ ‫خطوط‬ ‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬ ‫محوریت‬ ‫با‬)|‫در‬ ‫سخنرانی‬ ‫فایل‬PetroICT2018www.mmAhmadian.ir|47/
• A system ES is said to be non-deducibility secure secure if:
• A system ES is said to be non-inference secure if: This imposes two conditions on the system.
• First, for any system trace, the restriction of the
trace to low-level events alone is also a valid
system trace. That is, just by observing low-level
events, one cannot infer with certainty if a high
level event occurred.
• Second, purging high-level events from any system
trace should yield a valid trace comprising the
low-level events.
• A system is considered non-deducible secure if
nothing can be deduced about the sequence
of input events, I, in the H domain based only
on observation of events in the L domain.
• In other words, a system is non-deducible
secure if a L observation is compatible with
any H input event
36

36. ‫م‬.‫احمدیان‬ ‫مهدی‬|‫چالش‬‫سامانه‬ ‫در‬ ‫امنیتی‬ ‫های‬‫سایبر‬ ‫های‬-‫فیزیکی‬(‫گاز‬ ‫و‬ ‫نفت‬ ‫لوله‬ ‫خطوط‬ ‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬ ‫محوریت‬ ‫با‬)|‫در‬ ‫سخنرانی‬ ‫فایل‬PetroICT2018www.mmAhmadian.ir|47/
• A system is satisfied BNDC if it can preserve its security after composition with other processes
1. Bisimulation-based Non-Deducibility on Composition
• BNDC property uses weak bisimulation equivalence
• A system ES is BNDC if, for every H
process, Π, a L observation cannot
distinguish ES from the process ES
composed with any other process.
• In other words, a system ES is BNDC if a L
observation is not modified by composing
any H process, Π with ES.
• A system is BNDC-preserving if the above property holds for all possible system behaviors.
37

37. ‫م‬.‫احمدیان‬ ‫مهدی‬|‫چالش‬‫سامانه‬ ‫در‬ ‫امنیتی‬ ‫های‬‫سایبر‬ ‫های‬-‫فیزیکی‬(‫گاز‬ ‫و‬ ‫نفت‬ ‫لوله‬ ‫خطوط‬ ‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬ ‫محوریت‬ ‫با‬)|‫در‬ ‫سخنرانی‬ ‫فایل‬PetroICT2018www.mmAhmadian.ir|47/
• Theorem 1. The gas flow in the pipeline system is not non-inference secure.
• Proof. The valid traces of the system are
Purging a legal trace of events that are not in the low-level security
domain yields the traces
This system does not satisfy the definition of non-inference because a flow
change in the controlled line (e4) with no accompanying high-level event is
not a valid trace of the system. Hence, an observer at the controlled line
could infer high-level events associated with other FCSs.
• The system is also not secure according to the BLP model because
high-level information is written to the low-level domain. 
38
Inputs Outputs
      
   

38. ‫م‬.‫احمدیان‬ ‫مهدی‬|‫چالش‬‫سامانه‬ ‫در‬ ‫امنیتی‬ ‫های‬‫سایبر‬ ‫های‬-‫فیزیکی‬(‫گاز‬ ‫و‬ ‫نفت‬ ‫لوله‬ ‫خطوط‬ ‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬ ‫محوریت‬ ‫با‬)|‫در‬ ‫سخنرانی‬ ‫فایل‬PetroICT2018www.mmAhmadian.ir|47/
• Theorem 2. The gas flow in the pipeline system is non-deducibility secure.
• Proof. Considering the same set of event traces listed :
every high-level event (e2 or e3) is compatible with a low-level output (e4).
In other words, changes experienced at a controlled line could be the result
of the stochastic demand or LTC setting at a neighboring FCS. Thus, a low-
level observer could not determine which neighboring FCS performed what
change. Hence, the gas flow in the pipeline system is non-deducibility
secure. 
39

39. ‫م‬.‫احمدیان‬ ‫مهدی‬|‫چالش‬‫سامانه‬ ‫در‬ ‫امنیتی‬ ‫های‬‫سایبر‬ ‫های‬-‫فیزیکی‬(‫گاز‬ ‫و‬ ‫نفت‬ ‫لوله‬ ‫خطوط‬ ‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬ ‫محوریت‬ ‫با‬)|‫در‬ ‫سخنرانی‬ ‫فایل‬PetroICT2018www.mmAhmadian.ir|47/
‫تحلیل‬ ‫سناریوهای‬•‫یک‬ ‫گرفتن‬ ‫درنظر‬ ‫با‬ ‫تحلیل‬FCS‫منفرد‬‫مستقل‬ ‫و‬
•‫تحلیل‬‫هماهن،ی‬ ‫وجود‬ ‫بدون‬‫بی‬FCS‫ها‬(‫چند‬FCS)
•‫تحلیل‬‫هماهن،ی‬ ‫وجود‬ ‫با‬‫بی‬FCS‫ها‬(‫چند‬FCS)
40

40. ‫م‬.‫احمدیان‬ ‫مهدی‬|‫چالش‬‫سامانه‬ ‫در‬ ‫امنیتی‬ ‫های‬‫سایبر‬ ‫های‬-‫فیزیکی‬(‫گاز‬ ‫و‬ ‫نفت‬ ‫لوله‬ ‫خطوط‬ ‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬ ‫محوریت‬ ‫با‬)|‫در‬ ‫سخنرانی‬ ‫فایل‬PetroICT2018www.mmAhmadian.ir|47/
• The implicit flow of information can be minimized by controlling the physical flow via cyber
actions (through coordinated message passing) by FCS devices.
• x|l :expresses the fact that object x is able to
communicate with object
41
• invariant(): captures the atomic actions of
recomputing the physical flows as governed by
invariant laws of physics.
• y: is the value (or state) of the object.
• M_Change(l, x) : events that a subject of security
level l changes to an object of security level x.

41. ‫م‬.‫احمدیان‬ ‫مهدی‬|‫چالش‬‫سامانه‬ ‫در‬ ‫امنیتی‬ ‫های‬‫سایبر‬ ‫های‬-‫فیزیکی‬(‫گاز‬ ‫و‬ ‫نفت‬ ‫لوله‬ ‫خطوط‬ ‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬ ‫محوریت‬ ‫با‬)|‫در‬ ‫سخنرانی‬ ‫فایل‬PetroICT2018www.mmAhmadian.ir|47/42
1. Checker of Persistent Security
• CoPS1
• Concurrency Workbench
• CWB-NC
• CADP

42. ‫م‬.‫احمدیان‬ ‫مهدی‬|‫چالش‬‫سامانه‬ ‫در‬ ‫امنیتی‬ ‫های‬‫سایبر‬ ‫های‬-‫فیزیکی‬(‫گاز‬ ‫و‬ ‫نفت‬ ‫لوله‬ ‫خطوط‬ ‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬ ‫محوریت‬ ‫با‬)|‫در‬ ‫سخنرانی‬ ‫فایل‬PetroICT2018www.mmAhmadian.ir| ‫م‬.‫احمدیان‬ ‫مهدی‬|‫چالش‬‫سامانه‬ ‫در‬ ‫امنیتی‬ ‫های‬‫سایبر‬ ‫های‬-‫فیزیکی‬(‫گاز‬ ‫و‬ ‫نفت‬ ‫لوله‬ ‫خطوط‬ ‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬ ‫محوریت‬ ‫با‬)|‫در‬ ‫سخنرانی‬ ‫فایل‬PetroICT2018www.mmAhmadian.ir|
‫فهرست‬‫مطالب‬
‫مقدمه‬‫از‬ ‫ای‬CPS‫چالش‬ ‫و‬‫امنیتی‬ ‫های‬
‫آن‬ ‫اهمیت‬ ‫و‬ ‫محرمانگی‬
4
3
2
1
‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬CPS
‫گی‬ ‫نتیجه‬ ‫و‬ ‫بندی‬ ‫جمع‬‫ری‬ 5
‫آزمایی‬ ‫راستی‬‫جریان‬‫اطالعات‬

43. ‫م‬.‫احمدیان‬ ‫مهدی‬|‫چالش‬‫سامانه‬ ‫در‬ ‫امنیتی‬ ‫های‬‫سایبر‬ ‫های‬-‫فیزیکی‬(‫گاز‬ ‫و‬ ‫نفت‬ ‫لوله‬ ‫خطوط‬ ‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬ ‫محوریت‬ ‫با‬)|‫در‬ ‫سخنرانی‬ ‫فایل‬PetroICT2018www.mmAhmadian.ir|47/44
‫استفاده‬ ‫مدلسازی‬ ‫نمونه‬‫ابزار‬ ‫از‬‫خودکار‬CoPS‫قالب‬ ‫در‬ ‫سیستم‬‫عامل‬‫یا‬ ‫ها‬‫فرایندها‬‫می‬ ‫مدل‬‫شود‬.

44. ‫م‬.‫احمدیان‬ ‫مهدی‬|‫چالش‬‫سامانه‬ ‫در‬ ‫امنیتی‬ ‫های‬‫سایبر‬ ‫های‬-‫فیزیکی‬(‫گاز‬ ‫و‬ ‫نفت‬ ‫لوله‬ ‫خطوط‬ ‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬ ‫محوریت‬ ‫با‬)|‫در‬ ‫سخنرانی‬ ‫فایل‬PetroICT2018www.mmAhmadian.ir|47/
‫مدل‬ ‫بررسی‬ ‫نحوه‬
•‫در‬ ‫سازی‬ ‫مدل‬ ‫نحوه‬CoPS‫حالت‬ ‫ماشی‬ ‫و‬:
• Protecting flow against Low partition {B} from a physical
change at High partition {A,C}
• This code satisfies SBNDC Property in both the cases and
also with compositionality
45

45. ‫م‬.‫احمدیان‬ ‫مهدی‬|‫چالش‬‫سامانه‬ ‫در‬ ‫امنیتی‬ ‫های‬‫سایبر‬ ‫های‬-‫فیزیکی‬(‫گاز‬ ‫و‬ ‫نفت‬ ‫لوله‬ ‫خطوط‬ ‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬ ‫محوریت‬ ‫با‬)|‫در‬ ‫سخنرانی‬ ‫فایل‬PetroICT2018www.mmAhmadian.ir|47/
‫مدل‬ ‫بررسی‬ ‫نحوه‬
Protecting flow against Low partition {B} from a physical
change at High partition {A,C}
46

46. ‫م‬.‫احمدیان‬ ‫مهدی‬|‫چالش‬‫سامانه‬ ‫در‬ ‫امنیتی‬ ‫های‬‫سایبر‬ ‫های‬-‫فیزیکی‬(‫گاز‬ ‫و‬ ‫نفت‬ ‫لوله‬ ‫خطوط‬ ‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬ ‫محوریت‬ ‫با‬)|‫در‬ ‫سخنرانی‬ ‫فایل‬PetroICT2018www.mmAhmadian.ir|47/
‫مدل‬ ‫بررسی‬ ‫نحوه‬
47

47. ‫م‬.‫احمدیان‬ ‫مهدی‬|‫چالش‬‫سامانه‬ ‫در‬ ‫امنیتی‬ ‫های‬‫سایبر‬ ‫های‬-‫فیزیکی‬(‫گاز‬ ‫و‬ ‫نفت‬ ‫لوله‬ ‫خطوط‬ ‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬ ‫محوریت‬ ‫با‬)|‫در‬ ‫سخنرانی‬ ‫فایل‬PetroICT2018www.mmAhmadian.ir| ‫م‬.‫احمدیان‬ ‫مهدی‬|‫چالش‬‫سامانه‬ ‫در‬ ‫امنیتی‬ ‫های‬‫سایبر‬ ‫های‬-‫فیزیکی‬(‫گاز‬ ‫و‬ ‫نفت‬ ‫لوله‬ ‫خطوط‬ ‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬ ‫محوریت‬ ‫با‬)|‫در‬ ‫سخنرانی‬ ‫فایل‬PetroICT2018www.mmAhmadian.ir|
‫فهرست‬‫مطالب‬
‫مقدمه‬‫از‬ ‫ای‬CPS‫چالش‬ ‫و‬‫امنیتی‬ ‫های‬
‫آن‬ ‫اهمیت‬ ‫و‬ ‫محرمانگی‬
4
3
2
1
‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬CPS
‫گی‬ ‫نتیجه‬ ‫و‬ ‫بندی‬ ‫جمع‬‫ری‬ 5
‫آزمایی‬ ‫راستی‬‫جریان‬‫اطالعات‬

48. ‫م‬.‫احمدیان‬ ‫مهدی‬|‫چالش‬‫سامانه‬ ‫در‬ ‫امنیتی‬ ‫های‬‫سایبر‬ ‫های‬-‫فیزیکی‬(‫گاز‬ ‫و‬ ‫نفت‬ ‫لوله‬ ‫خطوط‬ ‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬ ‫محوریت‬ ‫با‬)|‫در‬ ‫سخنرانی‬ ‫فایل‬PetroICT2018www.mmAhmadian.ir|47/
‫گیری‬ ‫نتیجه‬ ‫و‬ ‫بندی‬ ‫جمع‬
•‫محرمان،ی‬ ‫حفظ‬‫مدل‬ ‫مبنای‬ ‫بر‬‫مواد‬ ‫انتقال‬ ‫سامانه‬ ‫در‬ ‫امنیتی‬ ‫های‬‫ممک‬‫اس‬‫ت‬.
•‫با‬‫گسسته‬‫حاال‬ ‫سازی‬‫ت‬
•‫از‬ ‫برگرفته‬ ‫معنایی‬ ‫تحلیل‬ ‫بر‬ ‫منطبق‬‫فیز‬ ‫قانون‬‫مواد‬ ‫یکی‬
•،‫محرمانگی‬ ‫اهمیت‬ ‫علیرغم‬‫سامانه‬ ‫در‬ ‫اصل‬ ‫این‬‫مورد‬ ‫صنعتی‬ ‫کنترل‬ ‫های‬‫توجه‬ ‫کمترین‬‫است‬ ‫بوده‬.
•‫داده‬ ‫و‬ ‫اطالعات‬ ‫از‬ ‫عظیمی‬ ‫حجم‬‫مهم‬ ‫های‬‫شرکت‬ ‫و‬ ‫کشور‬ ‫صنایع‬‫در‬ ‫تابعه‬ ‫های‬‫شبکه‬ ‫و‬ ‫اینترنت‬ ‫فضای‬‫مجازی‬ ‫های‬
49

49. ‫م‬.‫احمدیان‬ ‫مهدی‬|‫چالش‬‫سامانه‬ ‫در‬ ‫امنیتی‬ ‫های‬‫سایبر‬ ‫های‬-‫فیزیکی‬(‫گاز‬ ‫و‬ ‫نفت‬ ‫لوله‬ ‫خطوط‬ ‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬ ‫محوریت‬ ‫با‬)|‫در‬ ‫سخنرانی‬ ‫فایل‬PetroICT2018www.mmAhmadian.ir| ‫بدافزار‬ ‫تشخیص‬ ‫های‬‫روش‬47/50
‫است‬ ‫شده‬ ‫حذف‬ ‫سخنرانی‬ ‫فایل‬ ‫عمومی‬ ‫نسخه‬ ‫در‬ ‫صفحه‬ ‫ای‬ ‫محتوای‬.
‫ارائه‬ ‫آماده‬‫ارزیابی‬ ‫و‬ ‫سازی‬ ‫امن‬ ‫خدمات‬(‫اجرا‬ ‫و‬ ‫مشاوره‬ ،‫طراحی‬)‫و‬‫ارائه‬
‫دوره‬‫های‬‫و‬ ‫مقدماتی‬‫پیشرفته‬‫به‬ ‫اساس‬ ‫بر‬ ‫آموزشی‬‫روش‬ ‫روزترین‬‫ها‬‫و‬
‫عملی‬ ‫و‬ ‫علمی‬ ‫دستاوردهای‬‫دنیا‬‫برای‬‫سازمان‬‫ها‬‫و‬ ‫صنایع‬ ،‫زیرساخت‬‫های‬
‫و‬ ‫حساس‬ ،‫حیاتی‬‫مهم‬.

50. ‫شما‬ ‫توجه‬ ‫حسن‬ ‫از‬ ‫باتشکر‬...
The only truly secure system is one that is powered off, cast in a block of concrete
and sealed in a lead-lined room with armed guards.
Gene Spafford
‫مهدی‬ ‫محمد‬‫احمدیان‬
‫تلگرام‬ ‫کانال‬:
t.me/MohammadMehdiAhmadian

51. ‫بحث‬ ‫تکمیلی‬ ‫صفحات‬

52. ‫م‬.‫احمدیان‬ ‫مهدی‬|‫چالش‬‫سامانه‬ ‫در‬ ‫امنیتی‬ ‫های‬‫سایبر‬ ‫های‬-‫فیزیکی‬(‫گاز‬ ‫و‬ ‫نفت‬ ‫لوله‬ ‫خطوط‬ ‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬ ‫محوریت‬ ‫با‬)|‫در‬ ‫سخنرانی‬ ‫فایل‬PetroICT2018www.mmAhmadian.ir|
•‫از‬ ‫استفاده‬ ‫نحوه‬ ‫دادن‬ ‫نشان‬ ‫برای‬SPA:
•‫سامانه‬ES‫دارای‬‫اطالعات‬ ‫نشت‬(BLP)‫سهطح‬ ‫شهی‬ ‫از‬
‫پایی‬ ‫به‬ ‫باال‬!
• N : event set that ES does not allow
• y : current status of the object
• l: security level {H or L}
• read and write : allowed actions
• R: final output of reading a result
• W: the input of writing a result
•‫نشت‬ ‫به‬ ‫منجر‬ ‫دنباله‬:
•‫می‬ ‫پایی‬ ‫سطح‬ ‫شی‬ ‫هر‬ ‫حال‬‫مقدار‬ ‫تواند‬5‫بخواند‬ ‫را‬:
L H
53

53. ‫م‬.‫احمدیان‬ ‫مهدی‬|‫چالش‬‫سامانه‬ ‫در‬ ‫امنیتی‬ ‫های‬‫سایبر‬ ‫های‬-‫فیزیکی‬(‫گاز‬ ‫و‬ ‫نفت‬ ‫لوله‬ ‫خطوط‬ ‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬ ‫محوریت‬ ‫با‬)|‫در‬ ‫سخنرانی‬ ‫فایل‬PetroICT2018www.mmAhmadian.ir|
‫مدل‬ ‫بررسی‬ ‫نحوه‬
•‫در‬ ‫سازی‬ ‫مدل‬ ‫نحوه‬CoPS‫حالت‬ ‫ماشی‬ ‫و‬:
system to check if events changing flow at B would allow a
causal flow change at other
1. bisimulation equivalence
54

54. ‫م‬.‫احمدیان‬ ‫مهدی‬|‫چالش‬‫سامانه‬ ‫در‬ ‫امنیتی‬ ‫های‬‫سایبر‬ ‫های‬-‫فیزیکی‬(‫گاز‬ ‫و‬ ‫نفت‬ ‫لوله‬ ‫خطوط‬ ‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬ ‫محوریت‬ ‫با‬)|‫در‬ ‫سخنرانی‬ ‫فایل‬PetroICT2018www.mmAhmadian.ir|
‫مدل‬ ‫بررسی‬ ‫نحوه‬
55
•‫در‬ ‫سازی‬ ‫مدل‬ ‫نحوه‬CoPS‫حالت‬ ‫ماشی‬ ‫و‬:
Protecting flow within Low partition {B} against High partition {A,C}

55. ‫م‬.‫احمدیان‬ ‫مهدی‬|‫چالش‬‫سامانه‬ ‫در‬ ‫امنیتی‬ ‫های‬‫سایبر‬ ‫های‬-‫فیزیکی‬(‫گاز‬ ‫و‬ ‫نفت‬ ‫لوله‬ ‫خطوط‬ ‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬ ‫محوریت‬ ‫با‬)|‫در‬ ‫سخنرانی‬ ‫فایل‬PetroICT2018www.mmAhmadian.ir|
‫مدل‬ ‫بررسی‬ ‫نحوه‬
•‫در‬ ‫سازی‬ ‫مدل‬ ‫نحوه‬CoPS‫حالت‬ ‫ماشی‬ ‫و‬:
• This code satisfies SBNDC Property in synchronous
partition
• This code satisfies SBNDC Property in both the
cases and also with compositionality
56

56. ‫م‬.‫احمدیان‬ ‫مهدی‬|‫چالش‬‫سامانه‬ ‫در‬ ‫امنیتی‬ ‫های‬‫سایبر‬ ‫های‬-‫فیزیکی‬(‫گاز‬ ‫و‬ ‫نفت‬ ‫لوله‬ ‫خطوط‬ ‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬ ‫محوریت‬ ‫با‬)|‫در‬ ‫سخنرانی‬ ‫فایل‬PetroICT2018www.mmAhmadian.ir|
‫تحلیل‬ ‫سناریوهای‬•‫یک‬ ‫گرفتن‬ ‫درنظر‬ ‫با‬ ‫تحلیل‬FCS‫منفرد‬‫مستقل‬ ‫و‬
•‫تحلیل‬‫هماهن،ی‬ ‫وجود‬ ‫بدون‬‫بی‬FCS‫ها‬(‫چند‬FCS)
•‫تحلیل‬‫هماهن،ی‬ ‫وجود‬ ‫با‬‫بی‬FCS‫ها‬(‫چند‬FCS)
• M_Change(l, x) : events that a subject of security
level l changes to an object of security level x.
• y: is the value (or state) of the object.
• e1 : change-in-flow event at a pipe segment with a
single FCS. (at the physical level)
• r1 : be the change in the reading of the pipeline due
to the triggered event e1 (e1 ⇔ r1) (at the cyber level)
• The following model encodes this system in SPA:
• Such a system can be represented simply as:
38/23

57. ‫م‬.‫احمدیان‬ ‫مهدی‬|‫چالش‬‫سامانه‬ ‫در‬ ‫امنیتی‬ ‫های‬‫سایبر‬ ‫های‬-‫فیزیکی‬(‫گاز‬ ‫و‬ ‫نفت‬ ‫لوله‬ ‫خطوط‬ ‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬ ‫محوریت‬ ‫با‬)|‫در‬ ‫سخنرانی‬ ‫فایل‬PetroICT2018www.mmAhmadian.ir|
• invariant(): captures the atomic actions of
recomputing the physical flows as governed by
invariant laws of physics.
• c :stands for ‘controlled;’ 1 if object l controls or is
controlled.
38/24
• y: is the value (or state) of the object.
• M_Change(l, x) : events that a subject of security
level l changes to an object of security level x.

58. ‫م‬.‫احمدیان‬ ‫مهدی‬|‫چالش‬‫سامانه‬ ‫در‬ ‫امنیتی‬ ‫های‬‫سایبر‬ ‫های‬-‫فیزیکی‬(‫گاز‬ ‫و‬ ‫نفت‬ ‫لوله‬ ‫خطوط‬ ‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬ ‫محوریت‬ ‫با‬)|‫در‬ ‫سخنرانی‬ ‫فایل‬PetroICT2018www.mmAhmadian.ir|
• invariant(): captures the atomic actions of
recomputing the physical flows as governed by
invariant laws of physics.
• c :stands for ‘controlled;’ 1 if object l controls or is
controlled.
• FCSs can be represented as an event-based system in which each event represents a flow
change as follows: e1: change of flow (A), e2: change of flow (B), e3: change of flow (C).
• The behavior of the system is captured in SPA as:
• ⊓ : indicates a non-deterministic choice between
processes.
• The readings at the cyber level change non-deterministically as:
38/24

59. ‫م‬.‫احمدیان‬ ‫مهدی‬|‫چالش‬‫سامانه‬ ‫در‬ ‫امنیتی‬ ‫های‬‫سایبر‬ ‫های‬-‫فیزیکی‬(‫گاز‬ ‫و‬ ‫نفت‬ ‫لوله‬ ‫خطوط‬ ‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬ ‫محوریت‬ ‫با‬)|‫در‬ ‫سخنرانی‬ ‫فایل‬PetroICT2018www.mmAhmadian.ir|
‫تحلیل‬ ‫سناریوهای‬•‫یک‬ ‫گرفتن‬ ‫درنظر‬ ‫با‬ ‫تحلیل‬FCS‫منفرد‬‫مستقل‬ ‫و‬
•‫تحلیل‬‫هماهن،ی‬ ‫وجود‬ ‫بدون‬‫بی‬FCS‫ها‬(‫چند‬FCS)
•‫تحلیل‬‫هماهن،ی‬ ‫وجود‬ ‫با‬‫بی‬FCS‫ها‬(‫چند‬FCS)
• M_Change(l, x) : events that a subject of security
level l changes to an object of security level x.
• y: is the value (or state) of the object.
• e1 : change-in-flow event at a pipe segment with a
single FCS. (at the physical level)
• r1 : be the change in the reading of the pipeline due
to the triggered event e1 (e1 ⇔ r1) (at the cyber level)
• The following model encodes this system in SPA:
• Such a system can be represented simply as:
38/23

60. ‫م‬.‫احمدیان‬ ‫مهدی‬|‫چالش‬‫سامانه‬ ‫در‬ ‫امنیتی‬ ‫های‬‫سایبر‬ ‫های‬-‫فیزیکی‬(‫گاز‬ ‫و‬ ‫نفت‬ ‫لوله‬ ‫خطوط‬ ‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬ ‫محوریت‬ ‫با‬)|‫در‬ ‫سخنرانی‬ ‫فایل‬PetroICT2018www.mmAhmadian.ir|
• invariant(): captures the atomic actions of
recomputing the physical flows as governed by
invariant laws of physics.
• c :stands for ‘controlled;’ 1 if object l controls or is
controlled.
38/24
• y: is the value (or state) of the object.
• M_Change(l, x) : events that a subject of security
level l changes to an object of security level x.

61. ‫م‬.‫احمدیان‬ ‫مهدی‬|‫چالش‬‫سامانه‬ ‫در‬ ‫امنیتی‬ ‫های‬‫سایبر‬ ‫های‬-‫فیزیکی‬(‫گاز‬ ‫و‬ ‫نفت‬ ‫لوله‬ ‫خطوط‬ ‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬ ‫محوریت‬ ‫با‬)|‫در‬ ‫سخنرانی‬ ‫فایل‬PetroICT2018www.mmAhmadian.ir|
• invariant(): captures the atomic actions of
recomputing the physical flows as governed by
invariant laws of physics.
• c :stands for ‘controlled;’ 1 if object l controls or is
controlled.
• FCSs can be represented as an event-based system in which each event represents a flow
change as follows: e1: change of flow (A), e2: change of flow (B), e3: change of flow (C).
• The behavior of the system is captured in SPA as:
• ⊓ : indicates a non-deterministic choice between
processes.
• The readings at the cyber level change non-deterministically as:
38/24

62. ‫م‬.‫احمدیان‬ ‫مهدی‬|‫چالش‬‫سامانه‬ ‫در‬ ‫امنیتی‬ ‫های‬‫سایبر‬ ‫های‬-‫فیزیکی‬(‫گاز‬ ‫و‬ ‫نفت‬ ‫لوله‬ ‫خطوط‬ ‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬ ‫محوریت‬ ‫با‬)|‫در‬ ‫سخنرانی‬ ‫فایل‬PetroICT2018www.mmAhmadian.ir|
Focardi, Riccardo, and Roberto Gorrieri. "A Classification of Security
Properties for Process Algebras." Journal of Computer security
notation Stands for
NNI Non-deterministic Non-Interference
BNNI Bisimulation NNI
SNNI Strong NNI
BSNNI Bisimulation SNNI
BNDC Bisimulation-based Non-Deducibility on
Composition
SBNDC Strong BNDC
38/19

63. ‫م‬.‫احمدیان‬ ‫مهدی‬|‫چالش‬‫سامانه‬ ‫در‬ ‫امنیتی‬ ‫های‬‫سایبر‬ ‫های‬-‫فیزیکی‬(‫گاز‬ ‫و‬ ‫نفت‬ ‫لوله‬ ‫خطوط‬ ‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬ ‫محوریت‬ ‫با‬)|‫در‬ ‫سخنرانی‬ ‫فایل‬PetroICT2018www.mmAhmadian.ir|
• The implicit flow of information can be minimized by controlling the physical flow via cyber
actions (through coordinated message passing) by FCS devices.
• The SPA model to prevent pipe C from interfering with the actions of pipes A and B is:
• x|l :expresses the fact that object x is able to
communicate with object
38/26

64. ‫م‬.‫احمدیان‬ ‫مهدی‬|‫چالش‬‫سامانه‬ ‫در‬ ‫امنیتی‬ ‫های‬‫سایبر‬ ‫های‬-‫فیزیکی‬(‫گاز‬ ‫و‬ ‫نفت‬ ‫لوله‬ ‫خطوط‬ ‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬ ‫محوریت‬ ‫با‬)|‫در‬ ‫سخنرانی‬ ‫فایل‬PetroICT2018www.mmAhmadian.ir|
•‫می‬ ‫فرض‬‫کنیم‬C‫و‬A‫باال‬ ‫سطح‬ ‫در‬‫و‬B‫پایی‬ ‫سطح‬ ‫در‬‫شود‬ ‫بندی‬ ‫طبقه‬.
• In this case,
Notation Description
The events(inputs)
their respective outputs
High-level observation.
High-level action set.
System definition.
System prevented from actions in ActH.
Interference of Π with low-level
execution of system E.
• This scenario fails to satisfy the BNDC property, indicating that the system reveals changes made by one group
of users to other users. This information flow is due to the flow dependence in the composite system expressed
by Eq. (1).
38/28

65. ‫م‬.‫احمدیان‬ ‫مهدی‬|‫چالش‬‫سامانه‬ ‫در‬ ‫امنیتی‬ ‫های‬‫سایبر‬ ‫های‬-‫فیزیکی‬(‫گاز‬ ‫و‬ ‫نفت‬ ‫لوله‬ ‫خطوط‬ ‫در‬ ‫اطالعات‬ ‫جریان‬ ‫تحلیل‬ ‫محوریت‬ ‫با‬)|‫در‬ ‫سخنرانی‬ ‫فایل‬PetroICT2018www.mmAhmadian.ir|
‫مدل‬ ‫بررسی‬ ‫نحوه‬
Protecting flow within Low partition {B} against High partition {A,C}
Protecting flow against Low partition {B} from a physical
change at High partition {A,C}
38/34