(高清版)GBT 40218-2021 工業(yè)通信網(wǎng)絡 網(wǎng)絡和系統(tǒng)安全 工業(yè)自動化和控制系統(tǒng)信息安全技術

GB/T40218—2021/IEC/TR62443-3-1:2009工業(yè)通信網(wǎng)絡網(wǎng)絡和系統(tǒng)安全工業(yè)自動化和控制系統(tǒng)信息安全技術(IEC/TR62443-3-1:2009,Industrialcommunicationnetworks—industrialautomation國家標準化管理委員會國家市場監(jiān)督管理總局發(fā)布國家標準化管理委員會I本標準使用翻譯法等同采用IEC/TR62443-3-1:2009《工業(yè)通信網(wǎng)絡網(wǎng)絡和系統(tǒng)安全第3-1ⅡGB/T40218—2021/IEC/TR62443-3-1保護工業(yè)自動化和控制系統(tǒng)(IACS)的計算機環(huán)境免受惡意代碼入侵的需求在過去十年里越來越很多的電子安全技術和計算機入侵防范措施可能都適用于IACS環(huán)境。本標準列舉了幾類計算機本標準中給出的指南并不能確保IACS已經(jīng)達到最佳的計算機信息安全。但是，這些指南有助于1●鑒別和授權；●數(shù)據(jù)確認；●監(jiān)視和檢測工具；●操作系統(tǒng)。●已知問題和弱點；●建議和指南；2GB/T40218—2021/IEC/TR62443-3-1●信息源和參考材料。本標準旨在記錄適用于IACS環(huán)境的信息安全技術、工具和對抗措施的已知技術發(fā)展水平，明確定義目前可采用哪種技術，并定義了需要進一步研究的領域。2規(guī)范性引用文件下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。無。下列術語和定義適用于本文件。訪問授權accessauthority負責監(jiān)視和授予其他被授權實體訪問IACS及其關聯(lián)網(wǎng)絡權限的實體[3]。a)保護系統(tǒng)資源以防止未授權的訪問。b)系統(tǒng)資源使用的過程是根據(jù)安全策略規(guī)定的，并且根據(jù)該策略只允許被授權的實體(用戶、程系統(tǒng)屬性(包括其系統(tǒng)的所有資源),以確保一個系統(tǒng)實體的行動可追溯到該唯一的實體，并且該實特指實現(xiàn)諸如電子郵件和文件傳輸?shù)染W(wǎng)絡應用的第7層協(xié)議[2]。非對稱密鑰算法asymmetrickeyalgorithm公共密鑰加密算法。3旨在建立傳輸，信息或發(fā)起方有效性的安全方法，核實接收特定信息的個人授權的方法的有接收或請求來自服務器端的服務或信息的設備或應用。4GB/T40218—2021/IEC/TR62443-3-1成功利用IACS組件與/或連接到工業(yè)網(wǎng)絡的IT網(wǎng)絡組件中軟件、硬件或固件的脆弱性。數(shù)據(jù)鏈路層協(xié)議data-linklayerprotocol用于點對點數(shù)據(jù)通信、實施錯誤檢查、實現(xiàn)物理尋址以及實施媒體訪問控制的第2層協(xié)議2]解密decryption使用密碼算法和密鑰，把密文轉換成明文的過程(見3.1.2縱深防御defenseindepth提供多重安全保護，特別是在層次上，如果不能阻止攻擊就采取延緩策略。拒絕服務denialofservice;對授權訪問系統(tǒng)資源的阻止或者中斷，或者系統(tǒng)操作和功能的延緩3]。數(shù)字簽名digitalsignature數(shù)據(jù)加密變換的結果，正確完成時，提供數(shù)據(jù)源鑒別、數(shù)據(jù)完整性和簽名者防抵賴服務[1。明文轉換成密文的密碼變換，隱藏了數(shù)據(jù)的原始意義以阻止該數(shù)據(jù)被知道或者使用(見3.1.19)[3]。完整性integrity系統(tǒng)質量，反映了操作系統(tǒng)的邏輯正確性和可靠性、實現(xiàn)保護機械裝置的軟件和硬件的邏輯完備捕獲和揭露報文內容，或者基于報文目的地或來源地、傳輸?shù)念l率或時長以及其他通信屬性，使用通信量分析破壞通信系統(tǒng)的保密性。接口interface為邏輯信息流提供訪問模塊的邏輯入口點或出口點。5GB/T40218—2021/IEC/TR62443-3-1密鑰key密鑰分發(fā)keydistribution將密鑰和其他加密信息從一個擁有密鑰或生成密鑰的實體傳送給另一個將要使用此密鑰的公共密鑰和使用公共密鑰算法的私有密鑰3。在有限的地理區(qū)域(通常少于10km),用于連接計算機和其他智能設備的通信網(wǎng)絡[S]。延時latency從一個設備發(fā)送消息到另一個設備接收消息的時間間隔。在主動竊聽攻擊中，攻擊者攔截并有選擇地修改通信數(shù)據(jù)，以將自己偽裝為一個或多個實體進入通信聯(lián)盟。網(wǎng)絡層協(xié)議networklayerprotocol第3層協(xié)議，在復雜網(wǎng)絡中實現(xiàn)消息路由[2]。防抵賴nonrepudiation用于鑒別身份或驗證訪問權限的字符串(字母、數(shù)字和其他符號)1]。個人識別碼personalidentificationnumber;PIN物理層協(xié)議physicallayerprotocol在信道上傳輸原始物理(電磁)信號的第1層協(xié)議。6GB/T40218—2021/IEC/TR62443-3-1:2009在RFC1661中定義的協(xié)議，在串行點對點鏈路中傳輸網(wǎng)絡層數(shù)據(jù)包(IP包)的互聯(lián)網(wǎng)標準。這些公共密鑰(非對稱)加密算法publickey(asymmetric)cryptog7GB/T40218—2021/IEC/TR信息安全域securitydomain由單一可信權威組織授權的控制LAN或企業(yè)LAN的系統(tǒng)或子系統(tǒng)。信息安全服務securityservices服務器server給客戶端設備和應用提供信息或服務的設備或者應用3]。欺騙spoof偽裝成授權用戶執(zhí)行未授權的行為[3]。對稱密鑰symmetrickey用于私密(對稱)密鑰算法的單一密鑰。對稱密鑰算法symmetrickeyalgorithm系統(tǒng)軟件systemsoftware為特定的計算機系統(tǒng)或者計算機系統(tǒng)家族設計的特定軟件，用于輔助操作和維護計算機系統(tǒng)以及吞吐量throughput在不丟包的情況下，IT或IACS設備所能處理的脆弱性vulnerability系統(tǒng)設計、實現(xiàn)或操作和管理中存在的缺陷或弱點，可被利用來危害系統(tǒng)的完整性或信息安全廣域網(wǎng)wideareanetwork用于連接遠距離(例如國內或跨國)的計算機、網(wǎng)絡和其他設備的通信網(wǎng)絡[]89GB/T40218—2021/IEC/TR62443-3-1VDS:VirusDetectionSystem(VLAN:VirtualLocalAreaNetwork(虛擬局域網(wǎng))VPN:VirtualPrivateNetwork(虛擬專用網(wǎng))WAN:WideAreaNetwork(廣域網(wǎng))孤立網(wǎng)絡演變成基于標準的網(wǎng)絡，該網(wǎng)絡連接了企業(yè)其余部分——包括通常連接到互聯(lián)網(wǎng)的IT業(yè)務因此，現(xiàn)在知道誰被授權訪問電子IACS的信息，他們什么時候訪問信息和他們能夠訪問什么數(shù)本標準確定了若干類可用于保護IACS網(wǎng)絡的工具、對抗措施和技術。主要的種類見第5章～第及該應用類型如何能更好地滿足IACS的環(huán)境和需求的論述?？v深防御中的訪問控制措施，以驗證僅被授權人員和設備才能實際訪問IACS。第一步措施通常是對授權可以決定小到對應用中的特定文件的訪問，大到對整個企業(yè)或IACS網(wǎng)絡的訪問。授權通常增加了企業(yè)各層和IACS計算中在架構和管理上的挑戰(zhàn)。授權和鑒別是IACS訪問控制的基礎。它們是不同的概念卻經(jīng)常被混淆，因為兩者之間有幾種可能的因素決定個人、設備或系統(tǒng)的真實性。例如，測試可以是已知的某事(如PIN或密在IACS環(huán)境下的計算機系統(tǒng)通常依靠傳統(tǒng)的密碼鑒別?？刂葡到y(tǒng)供應商通常提供的下面列出了幾類鑒別和授權技術。第9章IACS相關的操作系統(tǒng)中，也包括對授權問題的討論。基于角色的訪問控制(RBAC)是一種得到很大關注的技術和工具，因為它用在包含大量智能設備控制訪問IACS信息和網(wǎng)絡資源的傳統(tǒng)方法是對每個用戶建立特定的許可，該許可被配置到各智GB/T40218—2021/IEC/TR62443-3-1RBAC解決這個問題的方法是基于用戶的角色或崗位職責的訪問，而不是對個人定制的訪問。比訪問IACS中計算機系統(tǒng)對象的權限是基于用戶在組織中的角色。用戶與角色相關，角色與許可系統(tǒng)的潛力。然而，集中式RBAC增加了故障點，可能會影響IACS的可用性。使用RBAC的另一個一些新協(xié)議中已經(jīng)實現(xiàn)。其中的一個例子是用于過程控制的OLE四(OPC四)標準，已經(jīng)開發(fā)了對GB/T40218—2021/IEC/TR62443-3-1:2009僅有00～99這100種可能的值，而一個8位字符密碼有幾十億種可能的值。在一個12鍵的小鍵盤上多采用密碼碼，以一種簡單自然的模式，像1254或1478,很多計算機密碼者已植入微型無線相機或硬件鍵擊探測器的區(qū)域內。網(wǎng)絡服務鑒別經(jīng)常使用明文(未加密)傳送密碼，在IACS環(huán)境特有的密碼問題是用戶回憶和登錄密碼的能力可能被瞬間的壓力所影響。在人們需工業(yè)自動化和控制系統(tǒng)裝置應足夠復雜以實現(xiàn)高等級的密碼安全。IACS裝置需式(即非明文)傳送密碼的協(xié)議。將來的密碼使用方法可能是一種稱為RBA(基于角色鑒別)的通用方●[NIST03],[NIST04],[NIST07],[NIST07GB/T40218—2021/IEC/TR62443-3-1:2009●PPP-CHAP互聯(lián)網(wǎng)工程任務組(IETF)的RFC1994:PPP-CHAP允許遠程客戶端通過串行或撥號鏈路連接服務器?？蛻舳藨肋@個密碼，但CHAP使用一種挑戰(zhàn)/應答●KerberosIETF的RFC1510:Kerberos是一種集中式服務器系統(tǒng)，為小型單一授權網(wǎng)絡而設●由于用戶不愿意挑戰(zhàn)用手工結合密碼的方式來計算合適的應答，因此挑戰(zhàn)/應答鑒別不能直接用于對用戶的鑒別。類似PPP-CHAP的協(xié)議通過直接接受用戶密碼●在理論上，挑戰(zhàn)/應答鑒別的一個弱點是能為攻擊者提供了挑戰(zhàn)和應答來進行離線檢查。如果●用于網(wǎng)絡服務鑒別的挑戰(zhàn)/應答鑒別最大的弱點存在于在某些形式的鑒別協(xié)商中允許“回退攻論哪種方式都存在暴露和危及系統(tǒng)的風險。分發(fā)方法在設計和執(zhí)行時需特別小心，避免成為●如果使用工作站讀取智能卡的PIN,倘若這臺GB/T40218—2021/IEC/TR62443-3-1:2009卡和讀卡器的成本或許會降低。隨后會把智能卡集成到標準的IT產(chǎn)品中，采用智能卡技術的信用卡宜從物理遠景和對計算機系統(tǒng)的訪問兩個方面檢查智能卡在IACS環(huán)境下控制訪問的潛在使●所有生物設備都有類型I和類型Ⅱ錯誤(分別為拒絕有效生物圖像的概率和接受無效生物圖●據(jù)報道，生物掃描儀會隨時間“偏移”,需要不定期地重新校對。人類生物特征也會隨時間變●設備學習可能需要面對面的技術支持和驗證，不像可以通過電話給出的密碼或由接待員發(fā)出膜掃描儀和拇指掃描儀認可度很高。當有多種生物鑒別技術可選擇時，生物鑒別設備的用戶生物識別越來越可靠，并且更多地集成到通用I●[Har2],第32頁～第34頁鑒別，即對設備的物理訪問表示有此權限；或者間接進行鑒別，用ID或代表其位置的地址表示有此在當前IACS環(huán)境中，只有一小部分網(wǎng)絡服務鑒別是基于位置的，用戶鑒別使用與某個位置直接GB/T40218—2021/IEC/TR62443-3-1:2009將用戶身份與可重用密碼相結合是對控制系統(tǒng)操作員和用戶進行系統(tǒng)識別和授權最常見的形式，密碼是訪問工業(yè)自動化流程或控制器系統(tǒng)時最強或最弱的環(huán)節(jié)。靜態(tài)密碼(密碼在一段周期內不GB/T40218—2021/IEC/TR62443-3-1使用新的更復雜的工具提高能力，如通過病毒在企業(yè)網(wǎng)絡中嵌入的鍵擊記錄程序，進入控制系統(tǒng)局上的按鈕。這使得鑒別服務側的令牌設備進入到下一個鑒別值。這個值和一個基本秘密進行散列運GB/T40218—2021/IEC/TR62443-3-1:2009鑒別技術廣泛使用在基于傳輸控制協(xié)議/互聯(lián)網(wǎng)協(xié)議(TCP/IP)的網(wǎng)絡中。然而，許多IACS環(huán)境GB/T40218—2021/IEC/TR62443-3-1:2009目前幾個小組正在研究控制系統(tǒng)信息安全的解決方案。IECTC57一直負責IEC60870-5和DNP3,這些協(xié)議在電力工業(yè)中應用非常多。美國燃氣協(xié)會正在完成規(guī)范AGA-12,該規(guī)范需要加密技控制系統(tǒng)LAN之間的防火墻。另外，最佳網(wǎng)絡信息安全實踐是在防火墻間a)包過濾：這類防火墻依據(jù)一組規(guī)則在轉發(fā)數(shù)據(jù)包前檢查每個數(shù)據(jù)包的地址信息。根據(jù)數(shù)據(jù)包IP源地址后，已建立的規(guī)則確定該數(shù)據(jù)包是否應被丟棄或轉發(fā)。此方法有時也稱為靜態(tài)過程控制網(wǎng)絡與外界進行通信的需求越來越迫切。典型的，如使用單向通信向外傳輸過程數(shù)據(jù)。●限制接收/發(fā)送到過程控制網(wǎng)絡的數(shù)據(jù)；●記錄通過防火墻進行的成功和不成功的信息交互；●使原來設計為不能交互的網(wǎng)絡可以交互(路由/NAT)。限制接收/發(fā)送到過程控制網(wǎng)絡的數(shù)據(jù)可配置成若干方式。更復雜的防火墻能夠通過以下組合進●允許通信的端口；●允許通信的應用。防火墻可部署在公司整體網(wǎng)絡的若干等級。防火墻是公司IT信息安全戰(zhàn)略的一部分，因而由主IACS環(huán)境使用的防火墻通常保護物理區(qū)域(即工廠或樓宇),但其使用應考慮到基礎設施和數(shù)據(jù)建議使用公認廠家的硬防火墻(即使用有限數(shù)量的型號)并且由●去除缺省密碼。●審查日志；GB/T40218—2021/IEC/TR62443-3-1:2009●阻止入站數(shù)據(jù)包被設備上的應用處理；●控制來自主機的出站網(wǎng)絡流量；●記錄的信息可用于網(wǎng)絡流量監(jiān)視和入侵檢測。種DoS攻擊?！窨赡茉黾涌刂葡到y(tǒng)的通信延時；●缺乏適用于工業(yè)應用的過濾器規(guī)則集的設計經(jīng)驗；●在廣為分散的典型SCADA系統(tǒng)環(huán)境中，管理基于主機的防火墻需要大量開銷。在它可能廣泛使用在IACS環(huán)境的關鍵任務設備上之前，該技術要求改進集中管控和廣為分散的●基于主機的防火墻的集中管理和分布式管理的改進；件，而且廠商可能會禁止在其工作站使用此類軟件。商業(yè)可用的防火墻不了解工業(yè)協(xié)議，如需要開發(fā)現(xiàn)場控制設備端的專用微防火墻?，F(xiàn)已提出用來保護關鍵可編程GB/T40218—2021/IEC/TR62443-3-1a)明文(用于加密)或密文(用于解密);包括三重數(shù)字加密標準(3DES)和高級加密標準(AES)。AES通常設計為AES-128、AES-192或256來表示密鑰的位數(shù)。舊的數(shù)字加密標準正在被淘數(shù)倍塊長。改變密文分組的一位就隨機地改變了解密后的明文分組的50%。分組密碼典型地用作生b)密碼分組鏈模式(用于消息完整性),其中每個明文的級聯(lián)分組加密，與先前累積的加密組合，GB/T40218—2021/IEC/TR62443-3-1:2009統(tǒng)的地理區(qū)域大小增加而變得更困難，大范圍SCADA系統(tǒng)是最更密鑰可能會是昂貴和緩慢的，因此能夠遠程改變密鑰就很有用。密鑰管理問題在公共密鑰加密(見最有效的保護措施是使用由可信任的加密認證實驗室認可的完整加密系統(tǒng)。NIST/CSE加密模效。美國天然氣協(xié)會(AGA)報告12-1(見AGA12)包含了一個安全策略的例子。該學會是針對不同所有者的加密系統(tǒng)可能在不遠的未來進入市場。也可能出現(xiàn)聲稱其可使用普遍的公認算法b)僅使用已認證符合標準的單元。標準保證了加密系統(tǒng)經(jīng)過廣泛專家仔細研究其弱點，而非由——保護IACS消息不被重發(fā)和偽造；許多特性也適用于任何IACS?！馵NIST01],[NIST03],[NIST06],[GB/T40218—2021/IEC/TR62443-3-1:2009●[anon03],[anon07]GB/T40218—2021/IEC/TR62443-3-1當提供了認證的附加層(如通過公鑰基礎設施PKI或信任的認證權威服務器),在設置用于數(shù)據(jù)通a)安全傳輸層協(xié)議(IETFTLS或信息安全套接字層IETFSSL);d)使用證書認證機構的Kerberos(三方握手)認證。某些公鑰算法要求的處理需要非常強的中央處理單元(CPU),許多16位或更小的CPU不支持該算法。即使在非?？焖俚腃PU上，它也不能符合亞秒級時間關鍵通信的要求。其主要用于在分布式和Adleman(RSA四)公鑰約等于80位對稱密鑰。新的公鑰算法針對這些問題。相當于80位對稱密鑰的橢圓曲線(EC)公鑰僅為160位。巨大的計算需求以及對于小系統(tǒng)要求的額外內存是在IACS環(huán)境GB/T40218—2021/IEC/TR62443-3-1●授權給用戶訪問、讀取、修改、插入或刪除特定數(shù)據(jù)，或者執(zhí)行一定的程序；●給用戶、程序或過程訪問優(yōu)先權。[INFOSEC-99]技術上的其他分類，比如多協(xié)議標簽轉換，幀中繼和異步傳輸模式，可能會被誤認為VPN,因為它們能夠使專用網(wǎng)絡在公共架構上工作。但是，這些技術本質上并不包含作為VPN所描述的這些主要組件。7.4.2此技術處理的信息安全脆弱性VPN允許專用網(wǎng)絡在公用網(wǎng)絡上執(zhí)行功能。VPN在網(wǎng)絡上能夠提供相同的信息安全類型，像裝甲車一樣，在物理邊界上用于安全地傳輸公司信息或者材料。其保護信息從“外部”世界的傳輸。對于IACS環(huán)境，外部世界典型地包括企業(yè)LAN用戶，這些用戶沒有操作控制中心的授權。VPN能夠提供以下服務：●通過鑒別，控制訪問受信網(wǎng)絡；●在未受信網(wǎng)絡上，維護受信數(shù)據(jù)的完整性；●記錄對傳輸監(jiān)視、分析和入侵檢測有用的信息。通常情況下，通過安全網(wǎng)關和主機來創(chuàng)建VPN連接有三種部署方式?！癜踩W(wǎng)關是一個中間系統(tǒng)，該系統(tǒng)使用VPN技術來保證兩個安全網(wǎng)關之間通信的安全性。安全網(wǎng)關也被常用來授權設備。安全網(wǎng)關的功能已經(jīng)在防火墻、路由器和交換機這些現(xiàn)有的網(wǎng)絡設備中實現(xiàn)。新的術語，比如VPN集線器和VPN網(wǎng)關，專用于處理大規(guī)模VPN通信的計算設備?！裰鳈C使用VPN技術來保證來自主機或者主機專用的通信。主機所使用的VPN技術要么包含在主機的本地操作系統(tǒng)中，要么添加到專門用于啟動VPN訪問的主機操作系統(tǒng)中。下面詳細描述了VPN部署的這三種分類：a)安全網(wǎng)關到安全網(wǎng)關(見圖2):VPN的這兩個端點是中間設備，該設備從一個可信任網(wǎng)絡傳輸?shù)搅硪粋€可信任網(wǎng)絡，同時依靠VPN技術保證不可信任傳輸網(wǎng)絡上的通信。這種類型的VPN通常被稱為點到點或者LAN到LAN的VPN。圖2安全網(wǎng)關到安全網(wǎng)關VPNb)主機到安全網(wǎng)關(見圖3):一端是主機計算設備，另一端是一個中間設備，該中間設備從主機傳輸?shù)桨踩W(wǎng)關之后的可信任網(wǎng)絡，同時依靠VPN技術保證不可信任網(wǎng)絡上的通信。這種類型的VPN通常被稱為遠程訪問VPN。GB/T40218—2021/IEC/TR62443-3-1圖3主機到安全網(wǎng)關VPNc)主機到主機(見圖4):VPN通道上的每個端點都是主機計算設備。主機設備依靠主機上的VPN技術來保證不可信任網(wǎng)絡上的通信。圖4主機到主機網(wǎng)關VPN目前最常用的VPN技術類型是以下幾種：a)互聯(lián)網(wǎng)安全協(xié)議(IPsec):IPsec是由IETF定義的一套標準，用來控制公共網(wǎng)絡上數(shù)據(jù)的安全通信和確保所有IP單播應用的信息安全。按照這套標準，多播應用不能使用IPsec。然而，有一個IETF工作組專門關注使用IPsec的多播的信息安全。另外，多播和非基于IP的協(xié)議能通過IPsecVPN進行傳輸，它們將這些協(xié)議封裝在單播應用協(xié)議IP中，并且將這些傳輸復制到每一個需要的VPN接收設備中。例如，多播通信在加密和通過IPsec傳輸之前，可以通過將其封裝在一個適當?shù)念^中從而從路由器傳輸?shù)铰酚善?。IPsec工具包含在現(xiàn)有的許多操作系統(tǒng)中。這個標準的目的是為了保證跨廠商平臺的互操作性。雖然，有供應商互操作性的標準，然而，事實上卻是多廠商執(zhí)行互操作性的決定取決于最終用戶組織實施的具體測試。這個協(xié)議一直在不斷地增強以滿足市場的具體要求，例如，擴展該協(xié)議以解決個別用戶鑒別和網(wǎng)絡地址轉換(NAT)設備的橫向性。這些擴展通常取決于供應商，可能會導致主要存在于主機和安全網(wǎng)關環(huán)境內的互操作性問題。b)安全套接層(SSL):SSL為兩個通信主體提供安全通道，而這個通道對于通過他傳輸?shù)臄?shù)據(jù)是不可見的。IETF對SSL版本3協(xié)議做出輕微修改，創(chuàng)建出一個稱為傳輸層安全性(TLS)的新協(xié)議。SSL和TLS通?？梢曰Q使用。本標準一般使用SSL術語。SSL最常被用來保證HTTP通信的安全性。這個協(xié)議的實現(xiàn)被稱為HTTP安全協(xié)議(HTTPS)。然而，SSL并不只限于保證HTTP通信的安全性；它還可以被用于確保許多不同的應用層應用的安全為適合于絕大多數(shù)網(wǎng)絡操作系統(tǒng)，因為，它們在嵌入Web瀏覽器的操作系統(tǒng)中包含了SSL的實現(xiàn)?！袢狈ACS協(xié)議在傳輸層加密機制的支持，這些協(xié)議諸如PROFInet,Ethernet/IP,FoundationFieldbusHSE,或者Modbus/TCP。GB/T40218—2021/IEC/TR62443-3-1●缺乏針對工業(yè)應用設計大規(guī)模VPN的經(jīng)驗。大部分操作系統(tǒng)會有大量日志設置和日志文件維護工具。例如，MicrosoftWindows⑩2000有兩個包含在AdvancedServer2000ResourceKit中的工具：●Dumpel:Dumpel是一個命令行工具，被用來獲取系統(tǒng)進程、安全、本地或遠程系統(tǒng)的應用幸運的是有很多工具和程序能起到幫助作用。在Windows⑩2000高級服務器的資源工具包(Re-GB/T40218—2021/IEC/TR62443-3-1:2009VDS作為一個主動的代理，對上述分類的提示的非正常的活動進行探測。VDS能夠探測并運行VDS有三種模式來實施。●文件共享病毒傳播；●因特網(wǎng)和郵件附件病毒。在IACS環(huán)境中，工作站和服務器通常是專用于與設備運行有關的某些任務中的。包括了運行程入侵檢測市場創(chuàng)造了一個新興的產(chǎn)品分類，稱為入侵防御。這些產(chǎn)品類似于傳統(tǒng)的NIDS和●基于行為的系統(tǒng)：這些產(chǎn)品認為可以通過觀察系統(tǒng)或者用戶的正?；蛘哳A期行為的偏差來進IDS作為主動監(jiān)視，類似于警衛(wèi)和視頻監(jiān)視網(wǎng)站辦公場所的方式。它可以避免計算機或計算機網(wǎng)●監(jiān)視進出網(wǎng)絡的情況；●記錄對于通信監(jiān)視以及威脅分析有用的信息；有三種方式可以部署在所有的IDS分類中：a)NIDS:被動嗅探，是指通過子網(wǎng)中混雜端口的被動嗅探。此端口可以觀察到IDS連接的特定攻擊。這種技術是部署NIDS的主要方法。b)NIDS:內聯(lián)部署，是指對于作用在計算機通信轉發(fā)路徑NIDS進行內聯(lián)部署。這個過程是指c)HIDS:入侵檢測系統(tǒng)安裝在每臺機器上，用于監(jiān)視和審計計算機上的行為，并將這些行為與NIDS擔負起了防御設備的作用，它可以監(jiān)視利用已知的網(wǎng)絡中計算機的脆弱性進行威脅行為的網(wǎng)絡流量。NIDS可以通過提供針對這些脆弱性的攻擊報警和捕獲觸發(fā)報警的攻擊通信從而實現(xiàn)重要塊策略，以及對承載攻擊的傳輸控制協(xié)議(TCP)會話進行重置。內線部署的NIDS還獲得降低符合攻●監(jiān)視進出計算機的通信；●執(zhí)行文件的完整性檢查；●監(jiān)視可疑的用戶或者應用程序行為。最佳做法建議在有效的入侵檢測系統(tǒng)中部署主機以及網(wǎng)絡IDS。IDS只能保護網(wǎng)絡以及在其上安裝的工作站。在許多情況下，IDS不是在網(wǎng)絡內的每一個子網(wǎng)或計算機上都安裝?？偝杀就ǔ３蔀樵诖笠?guī)模下部署IDS的限制因素●通過端口掃描或者由IDS阻止攻擊確定一個IDS;GB/T40218—2021/IEC/TR62443-3-1:2009●創(chuàng)建一個拒絕服務攻擊IDS;使用IDS的其他問題包括：●誤傷：一個IDS的應答行為要求高精確度，以確保只有惡意活動被封鎖，并且合法通信獲得●在高帶寬網(wǎng)絡下一個NIDS的檢測能力可能會超過范圍?！袢狈藴驶瘻y試程序會導致依賴于測試中使用的通信配置文件的IDS的性能差異較大。IDS技術可能會給人以錯誤的安全感。IDS應被看作是更大的網(wǎng)絡安全方法的一個組成部分。部署IDS并不意味著執(zhí)行其他網(wǎng)絡安全的最佳做法就不需要了，例如實行準入策略(防火墻),內部網(wǎng)絡在IACS環(huán)境中，NIDS最經(jīng)常部署于PCN和帶有防火墻的企業(yè)局域網(wǎng)之間。HIDS最常用于使用通用的操作系統(tǒng)或者應用程序的計算機上。正確配置IDS可以大大提高安全管理隊伍檢測攻擊進●缺乏建立于PLCs,RTUs以及DCSs之上的基于控制器操作系統(tǒng)的典型HIDS產(chǎn)品?！馠IDS產(chǎn)品與Windows或者UNIX的控制系統(tǒng)軟件不兼容。●在廣泛分散的系統(tǒng)中，例如典型的SCADA環(huán)境中管理IDS的潛在重大開銷?！裎磥淼难芯亢桶l(fā)展需要把重點放在主機入侵檢測/預防(HIDS)技術，這種技術無需耗費服務細探討的案例就是在專用設備上運行的代理沒有引進顯著延時。大多數(shù)控制網(wǎng)絡流量之所以錄都是可以檢測到使用了HIDS的事件的例GB/T40218—2021/IEC/TR62443-3-1用于保護控制系統(tǒng)的IDS宜首先進行初始化配置，使它們沒有傳入或傳出通信的應答行為。只有個企業(yè)。脆弱性掃描可以識別出企業(yè)的不足，生成針對每個系統(tǒng)的安全報告或針對企業(yè)的安全統(tǒng)計，并對該易受攻擊的系統(tǒng)安裝補丁或改變安全配置。企業(yè)進行這類掃描是為了降低企●驗證在特定高危系統(tǒng)下的安全性：針對性掃描是指針對特定的高危主機或設備。在主機上檢測到的脆弱性是對各個危險等級的評估以及各系統(tǒng)功能要求的權衡。為了實現(xiàn)功能最大化和安全嚴格性兩者之間的平衡，針對性掃描要求執(zhí)行掃描的安全管理員和維護系統(tǒng)的信息管理員都要具備高水平的技能和知識。設計針對性掃描就是為了加強高危系統(tǒng)的安全性，盡可能●脆弱性數(shù)據(jù)庫：包含脆弱性信息，該信息代表性地提到計算機應急應答小組(CGB/T40218—2021/IEC/TR62443-3-1:2009●安全策略的不足：可以在單獨的系統(tǒng)上被改變，但是與服務或應用程序的配置和軟件缺陷無關。這些問題可以通過改變每個主機上的安全策略得到解決。這些不足包括主機審計的缺錯誤可以通過改正相應軟件在每個主機上運行的方式得到糾正。這類錯誤配置脆弱性的例子途徑就是安裝補丁文件或者安裝由供應商發(fā)布的相關更新文件或者使用一種外部保護，如分組洗滌器，以阻止訪問脆弱性。常見的例子包括內存攻擊如操作系統(tǒng)上的緩沖區(qū)溢出或攻擊●熟悉操作系統(tǒng)以及它的網(wǎng)絡組件；●很好地理解應用程序以及環(huán)境的前提條件；●知道如何修補應用程序和操作系統(tǒng)以及升級可能帶來的后果。GB/T40218—2021/IEC/TR62443-3-1:2009脆弱性數(shù)據(jù)庫和已經(jīng)發(fā)布的工業(yè)設備上的脆弱性是目前關于特定的IACS脆弱性的有限信息。信息的缺乏將進一步限制在IT操作系統(tǒng)和應用程序上掃描識別脆弱性的效力。然而，鑒于這種產(chǎn)業(yè)向標準IT操作系統(tǒng)和應用程序轉移，并遠離那些獨立的專用系統(tǒng)，掃描系統(tǒng)能夠幫助提高這些IT組件脆弱性掃描應在已經(jīng)部署了標準的IT操作系統(tǒng)或應用程序的系統(tǒng)控制環(huán)境中使用。此使用應仔取證及分析工具通過分析原始網(wǎng)絡數(shù)據(jù)包被動收集關于網(wǎng)絡及相關的架構、通信和用戶的信息。GB/T40218—2021/IEC/TR62443-3-1:2009信息為分析員做審查時，捕獲原始網(wǎng)絡數(shù)據(jù)包。這些工具將包域和包頭信息轉換為易讀格式和用來顯示網(wǎng)絡實時活動。定制過濾器可以經(jīng)過設置允許管理員基于協(xié)議類型、IP地址捕獲包和允許管理員去除和任務無關的信息。抓包工具可以用于排除網(wǎng)絡故障、檢測事件應了抓包工具的功能因而被用于企業(yè)級網(wǎng)絡。網(wǎng)絡監(jiān)控程序以類似抓包軟件的原理工作。然●取證和分析工具(FAT):FAT功能類似于網(wǎng)絡監(jiān)控工具，因為兩者都提供企業(yè)級網(wǎng)絡的監(jiān)控、集中式網(wǎng)絡安全管理能力和擴展報告能力。不同于前兩者的是，它可以用于防御而不只是網(wǎng)絡管理工具。網(wǎng)絡取證和分析程序監(jiān)測流量時，可以同時從網(wǎng)絡安全方面考慮正常的網(wǎng)絡基GB/T40218—2021/IEC/TR62443-3-1消息源中使用某種形式的試探或壓縮，要么在釋放攻擊的持久性之前需要大量共享內存來緩沖數(shù)據(jù)。傳統(tǒng)IT協(xié)議的工作站的限制。它們必須很小心地使用可操作的IACS網(wǎng)絡。FAT需要適應普通的IACS協(xié)議，例如OPC和現(xiàn)場總線協(xié)議。過濾和數(shù)據(jù)精簡工具也需要適應FAT宜始終和激活的IDS串聯(lián)部署。針對IDS的配置邏輯也能被應用到FAT。IDS所面臨的威脅環(huán)境將始終為有效部署FAT提供所需的數(shù)據(jù)子集。因此，系統(tǒng)管理員應為FAT部署準備使用FAT時，最難決策的是如何權衡數(shù)據(jù)量的大小及其來源。存留空間需要收集足夠的信息來當收集并存儲關于IACS或其使用者的重要取證數(shù)據(jù)時，要確認并復審這些收集的數(shù)據(jù)在隱私法或其他法律中是否有效。收集數(shù)據(jù)的多少是否被視為非法取決于行業(yè)、系統(tǒng)的使用以及當時生效的GB/T40218—2021/IEC/TR62443-3-1:2009系統(tǒng)管理員通過HCM工具在中心管理資源，控制系統(tǒng)的存取并為網(wǎng)絡中的每臺主機設定通用的工業(yè)自動化和控制系統(tǒng)不會專門使用HCM工具，因為這些工具會受到策略的影響。大多數(shù)配置是通過IACS應用程序根據(jù)功能需求而不是管理和安全策略來建立的。網(wǎng)絡中的HCM典型地受限于考慮在IT網(wǎng)絡管理中的關鍵性和安全策略，HCM工具和程序通常只應用于普通的IT領域。由配置。用戶的訪問和約束通過IACS應用程序能被設定到每一個操作員或工程師工作站，對每一個用ITHCM工具變化依賴于被管理的操作系統(tǒng)。主要為MicrosoftWindows產(chǎn)品使用動態(tài)目錄和第化的配置。大多數(shù)HCM任務在Linux和UNIX中通過使用指定的腳本和遠程管理工具進行管理?，F(xiàn)在最大的問題是在大多數(shù)網(wǎng)絡中，在IACS環(huán)境中使用HCM工具缺乏標準的軟件和硬件。假問。大多數(shù)IACS系統(tǒng)并不支持對操作系統(tǒng)和應用程序進行重大的和頻繁的改變，比如網(wǎng)絡服務器和GB/T40218—2021/IEC/TR62443-3-1:2009為了控制。因為應用程序是依賴于操作系統(tǒng)和部件的，所以控制應用程序的需求驅動了主機的配置。盡管任務或規(guī)劃需要標準化，但是IACS經(jīng)營者和供應商將首先評估當前的管理任務和應用軟件改變控制和增加安全策略。IACS經(jīng)營者和供應商首先將在可能頒布的加強網(wǎng)絡完整性的策略上評估估管理主機配置和決定其用戶指定的HCM需求用的，在實際使用上有什么需求以及合法使用上的花費。但是一旦IACS環(huán)境變得更加標準且需要更●在網(wǎng)絡上管理多個版本的企業(yè)應用程序和軟件是非常復雜的。第一種ASM應用程序是企業(yè)應用程序套件，用來在網(wǎng)絡中部署大型軟件包。它可以用來管理操GB/T40218—2021/IEC/TR62443-3-1:2009第二種ASM應用程序是第三方應用程序，用來更新范圍非常有限的產(chǎn)品。補丁管理軟件是這種程序。這種ASM工具的實例包括Patchlink、MicrosoftWUS、以第三種非正規(guī)的ASM工具是大多數(shù)COTS軟件零售商的產(chǎn)品中都包含的更新程序組件。它們屬ASM工具目前在IACS網(wǎng)絡中的部署方式并不多。IACS應用程序供應商可能會使用ASM軟件隨著COTS操作系統(tǒng)和應用程序正在集成到越來越多的IACS環(huán)境中，ASM工具也將被全面評考慮應用程序的架構和通信機制。這些工具可能會給IACS網(wǎng)絡帶來新的信息路徑或脆弱性，需對于正在獲取的更新程序數(shù)據(jù)，在IACS上采用之前也應評估其是否完好。如果使用了已經(jīng)被損目前已經(jīng)在IACS環(huán)境中部署管理應用更新程序的客戶端代理或模塊，因為他們不會影響IACSGB/T40218—2021/IEC/TR62443-3-1隨著IACS供應商越來越重視補丁管理，可能會對用來部署安全更新程序的第三方應用程序進行隨著COTS軟件被部署到IACS網(wǎng)絡中，客戶端更新代理或模塊將更加普及。在補丁操作日益重在IACS設備中使用的軟件是決定控制系統(tǒng)整體安全性的重要因素。它作為訪問設備的中介來實第9章分析了IACS中所用的三種關鍵軟件組件的安全性：●服務器和工作站操作系統(tǒng)；●實時和嵌入操作系統(tǒng)；●網(wǎng)絡服務器和互聯(lián)網(wǎng)技術。操作系統(tǒng)(OS)是計算機上運行的最重要的程序。每臺通用計算機都有一個操作系統(tǒng)執(zhí)行基本任網(wǎng)絡和因特網(wǎng)技術在IACS中正變得越來越重要，因為它們可以為控制室以外的用戶更及時方便GB/T40218—2021/IEC/TR62443-3-1:2009●在沒有運行應用程序的情況下提供一個默認的用戶界面；●為軟件開發(fā)提供一個應用程序編程界面；●為計算機的硬件和外圍設備提供一個界面。在IACS環(huán)境中，SCADA主機、工廠計算機以9.2.4已知問題和弱點●一位對所有系統(tǒng)資源擁有全面訪問權限的管理員；●對自己工作所需的應用程序和文件擁有全面訪問權限的普通用戶。用DAC的操作系統(tǒng)比較容易受到病毒和木馬攻擊?！襁h程訪問網(wǎng)絡中的服務器。子郵件或運行電子數(shù)據(jù)表不是很嚴重的問題。而在IACS環(huán)境中，操作人員經(jīng)常需要快速訪問系統(tǒng)和GB/T40218—2021/IEC/TR62443-3-1:2009第10章),因為針對控制中心的訪問權限通常僅限于被授權人員。●加強進程隔離：保護主內存頁，以確保每個應用程序都不會被其他應用程序(甚至包括操作系●禁用所有不需要的服務；●更改供應商所提供的默認密碼。實時操作系統(tǒng)(RTOS)可以保證在規(guī)定的最大時間內處理中斷，因而適合用于控制和其他時間關●內存容量有限；●從一個只讀存儲器或閃存的設備載入程序；●沒有存儲數(shù)據(jù)和程序的磁盤；●處理器能力有限(在很多嵌入應用中，8位和16位處理器仍然常見)?！裾埱笤O備傳輸數(shù)據(jù)(輪詢);GB/T40218—2021/IEC/TR62443-3-1:2009仔細分隔IACS應用中的通信網(wǎng)絡非常重要，尤其是在采用TCP/IP傳輸機制的情況下。建議將在9.4中所探討的軟件本身不是為了解決安全脆弱性而設計的。介紹它的原因是它在IACS產(chǎn)品網(wǎng)絡服務器和瀏覽器客戶端都支持安全套接層(SSL),它為兩個組件之間的數(shù)據(jù)傳輸提供加密SCADA和歷史數(shù)據(jù)庫軟件供應商一般將網(wǎng)絡服務器作為產(chǎn)品選件提供，以便位于控制室之外的GB/T40218—2021/IEC/TR62443-3-1:2009過去，因為IACS不連接到其他電子系統(tǒng)或網(wǎng)絡，因而在某種程度上是安全的。在加入了連接以保護IACS不受網(wǎng)絡攻擊的最佳安全措施是不采用任何網(wǎng)絡連接。如果采用很多IACS,尤其是小規(guī)模的IACS,并且不連接到其他系統(tǒng)(包括網(wǎng)絡),可能效果比較好。除非將IACS連接到網(wǎng)絡有很大應嚴格限制從IACS進行的網(wǎng)絡訪問操作，只允許執(zhí)行特定管理服務所必要的連接進行操作。在創(chuàng)建這些連接的時候，需要安裝最新的安全功能。這些功能包括防御性很強的DMZ,經(jīng)過全面開發(fā)并上市物理安全控制是為了限制接觸IACS環(huán)境內的任何信息資產(chǎn)而采取的任何主動或被動物理措施?！裨谖唇?jīng)授權的情況下實際進入敏感區(qū)域；GB/T40218—2021/IEC/TR62443-3-1:2009記錄在案的針對IACS的攻擊行為中，有很大比例的攻擊涉及通過物理接觸設備來進行破壞。在開發(fā)測量鑒別或記錄設備以及各種其他設備。它們本身不會專門控制或限制人員進入一個實際場實例包括停車場監(jiān)控、便利店監(jiān)控或航空安檢用的攝像機。這些識別系統(tǒng)并不專門用來阻止●進入限制系統(tǒng)：進入限制系統(tǒng)可以采用組合設備來實際控制或防止無關人員接觸受保護的資●在未經(jīng)授權的情況下使用設備或信息資產(chǎn)；●觀察專有業(yè)務過程或活動；●泄漏危險物。下明確識別和確定這些要求。部署物理安全控制功能涉及的范圍很廣，需要根據(jù)所需的保護類型來GB/T40218—2021/IEC/TR62443-3-1:2009●人員的保護：人員保護適用于避免IACS環(huán)境內外的任何人或動物受到傷害或死亡的措施。實例包括防止接觸移動部件的柵欄門或門、將人體與移動部件分開的障礙物或者用來檢測是否備或其他信息資產(chǎn)周圍搭建若干主動和被動式實體障礙，可以組成這種物理安全系統(tǒng)的外圍●嘗試性或成功的擅自改動或闖入行為的證據(jù)不是未被發(fā)覺就是被忽視。宜每天對高度敏感的設備進行檢查和審查，以確保物理安全控制功能滿足要求。很多實體攻擊在進行之前都有幾物理安全計劃對于保護IACS環(huán)境非常重要。任何安全計劃都有一個潛在的關鍵弱點，亦即物理GB/T40218—2021/IEC/TR62443-3-1●在實現(xiàn)物理保護功能時，可以在信息資產(chǎn)周圍設置多個物理保護屏障。這些屏障應根據(jù)具體●宜對相關設施采取保護措施，以保證外面的人難以看到內部的商業(yè)活動，盡量不暴露建筑的●宜定期調查物理安全措施的結構是否周全?！駥⒔回泤^(qū)和裝載區(qū)與所有關鍵系統(tǒng)隔離開。這些區(qū)域經(jīng)常會成為潛在危險材料攻擊或破壞的工業(yè)領域有多種具體的物理安全監(jiān)管要求。宜全面研究這些問題，以GB/T40218—2021/IEC/TR62443-3-1:2009●書面工作介紹和員工責任：詳細說明企業(yè)內雇員、承包商或其他工作人員與其信息資產(chǎn)的關公司職位期間相關的其他策略。這些策略對于達到如下效果也是必不可少的：降低困難情況公司策略的不當交流或誤解。對于所有公司策略，都要首先形成書面文字并提供給所有工作●可接受的面試方法；●公司的雇用標準；●職位描述和工作職務；●可接受的信息資產(chǎn)使用方式；●差旅策略和報銷；GB/T40218—2021/IEC/TR62443-3-1:2009●媒體和文件管理；●安全規(guī)程和違規(guī)通知；●危害物的處置；●維護程序?！袢魏喂陀貌呗?、程序或背景檢查都不能幫助組織確定員工將來是否會對企業(yè)環(huán)境造成有害●相關法律通常會限制公司在招聘指定職位工作人員時可獲取的個人或背景信息。不過，如果有一些對應條款和例外規(guī)定。在確定雇用過程中可獲取和使用的個人信息的范圍時，強烈建GB/T40218—2021/IEC/TR62443-3-1:2009CERT①是CERT協(xié)調中心(CERT/CC)的注冊商標。此信息為標準的使用者提供方便，不會由IEC為商標持有人或者任何其商品承擔責任。遵守此標準不ControlNetTM和EtherNet/IPTM是ControlNet國際公司的商標。此信息為標準的使用者提供方便，不會由IEC為商標持有人或者任何其商品承擔責任。遵守此標準不要求使用該商標。使用該商CIPTM是ODVA(開放DeviceNet供應商協(xié)會)的商標。此信息為標準的使用者提供方便，不會由IEC為商標持有人或者任何其商品承擔責任。遵守此標準不DebianLunux@apt-get是大眾利益軟件公司的注冊商標。此信息為標準的使用者提供方便，不會EtherPeek①是WildPackets公司的注冊商標。此信Ethereal?是Wireshark基金會的注冊商標。此信息為標準的使用者提供[1]FederalInformationProcessingStandards(FIPS)PUB140-2forCryptographicModules,Section2,GlossaryofTermsandAcronyms,U.S.NationalInstituteofStandardsandTechnology</publications/fips/fips140-2/fips1[2]UsedwithpermissionoftheBritishColumbiaInstituteof[3]InternetSecurityGlossary([4]CNSSInstructionNo.4009,U.S.NationalInformationAssuranceGlossary,May2003,</Assets/pdf/cnssi_[5]SANSGlossaryofTermsusedinSecurityandIn/resources/glossary[6]SANSGlossaryofTermsusedinSecurityandIn/resources/glossary[60870-5]IEC60870-5(allparts)Telecontrol[17799]ISO/IEC1securitymanagement</>(/whs/directives/corres/te[802.1Q]IEEE802.1Q-VirtualLANs,IEEE,InstituteofElectricalandEl</1/pages/802[AGA]AmericanGasA[AGA-12]CryptographicProtectionofandTestPlan,September2005.<http://www[All]J.Allen,TheCERTGuidetoSystemand<http://www.awprofessio[And]NetworkScannersPINpointProblems(February</reviews/2002/0204bg[anon01]Advantech</vendors/pro[anon02]BattlingtheCyberMenace,Powe[anon03]CKMTechnolo[anon04]InterlinkNetRevolutionNewsletter,April28,</enews/042(.au/articles/ff/0c02e9ff.asp>,May17,2005.[anon06]SecurityUnconscious?<http://www.controlglobalGB/T40218—2021/IEC/TR62443-3-1[anon07]SSLVPNvs.IPsecVPN,ArrayNetworks,Inc.2004.[anon08]Thalese-Security,〈/vendors/products/html>,2005.[anon09]CommonVulnerabilities[anon10]DesigningSecureActiveXControlsMSfault.asp?url=/workshop/components/activex[anonl1](http://lina[anon12]<[anon13](http://windowsupdat[anon14]</products/swdel[anon15](/products/products_[anon16]</roi.ht[anon17]</qunetix/sdwhitepaper.pd[anon18]〈/Pr[anon19]〈http://www.managesoft.co.uk/solution[anon20]</smserver[anon21]</windows2000/techinfo/reski[anon22]</news/2005/0[anon23](/techinsider/2005/011[anon24]</white[anon25]</conf[anon26]</features/inde[anon27]</Files/41097/41097.pdf>[anon28]</Windows/Article/Ar[anon29]InformIT,Security,AccessControlSystems,Part2,VerifyingtheAutIdentity,2006.11.07,<rmit.co</network/connectivity/resources/doc_library/documents/pdf/</cgi-local/protocoldb/b[anon32]Kerberos,TheNetworkAuthenticationProtocol,MassachusettsInstituteofTechngy,</kerb[anon33]MicrosoftNext-</presspass/features/2002/jul02/0724palladiumwp.asp>[anon34]Nessus,<htt[anon35]NetworkMonitoringSystemDesignedtoDetectUnwanted</industrynews/2005/168.html>,September14,2005.[anon36]〈Nmap,/nmap/)[anon37]SchweitzerEngineeringLaboratories,Inc.,CorporateOverview[anon38]Secure-Sockets-Layer/Transport-Layer-SecurityResources,Open[anon39]SmartCardAlliance(/industry[anon40]VirtualPrivateNetworkConsortium/IPsecResources</news/view.asp?news_ID=264>,May[AW]Ashier,J.andWeiss,J.,SecuringyourControlS/articles/2004/238.html,2004.[Bhold]bholdCompanyWhitement,bholdcompany,Naarden,TheNethe[CG]Cranor,L.F.andGarfinkel,S.SecurityandPeopleCanUse.OReillyMedia,Inc.Sebastopol,CA</en/US/netsol/ns340/ns394/ns171/ns128/networking_solutions[Coh]Cohen,B.,VPNGatewayAppliances</testdrive/article.php/3501156>,April28,2005.[Cor]E.Correia,SoftwareDevelopmentTimes,December15Security</News/I[CR]M.Curtin,M.RanumInternetFirewalls</pubs[CY]Chen,Y.,andYang.Y.,PolicyManagementforNetwork-basedIntrusionPrevention,IEEENOMS,2004.[DM]DorothyE.DenningandPeterF.MacDoran,Locati(/～denning/infosec[DHvHC]Dzung,D.,Naedele,M.,VonHoff,T.,andCrevatin,M.,CommunicationSystems,ProceedingsoftheIEEE.InstituteofElectricalandElectronicsEngineersInc.2005.[Far]R.Farrow,Por</Resources/p[FKC]D.Ferraiolo,D.Kuhn,R.Chandramouli(2003),Role-BasedAccess[FS]J.Forristal,G.Shipley,NetworkComputing,NetworkComputingReview</1201/1201[Gar]SimsonGarfinkel,NetworkForen[GGM]Green,M.,Gallo,S.,andMiller,R[GJ]Gou,X.,Jin,W.,Multi-aNAT/FirewallinNextGenerationNetworks,ProceedingsoftmunicationNetworksandServicesDepartmentofComputerEngineeringandComputer[Harl]Harris,Shon,All-iMcGraw-Hill/Osborne,NewYork,NY,2005.[Har2]Harris,S.MikeMeyer'sCISSPCertificationPassport,ISBNHill/Osborne,Berkeley,CAMethodologyManual(OSSTM)</Sun,J.,Real-TimeEmulationofIntru-sionVictiminHoneyFarm,AWCC.2004.[IAONA]TheIAONAHandbookforNetworkSecurity-Draft/RFtionOpenNetworkingAssociation(IAONA),Magdeburg,Germany,2003.Forum</fra[Intel]IntelNetworkingTechnicalBriefs:VirtualLANs:FlexibleNetwo</network/connectivity/resources/doc_library/tech_brief/virtua<.au/～rjunee/sc_side_ch[KCS]Kim,H.,Choi,Y.,andSeo,D.,ImplementationofReal-timeManagementogy,2004.[KDO]C.King,C.Dalton,T.Osmanoglu,RSAPress,2001Deployment&.Operations,<〉SaveOrganizationsTitp:///articles/april01/cover.shtmlJHJcase_stu2006).[KP]Katzenbeisser,S.,PetProceedingsofSPIE,4675,2002,pp.50-5.[KW]N.King,E.Weiss,InformationSecurityMagazine,tp:///2002/feb/cov[LB]Ly,S.andBigdeli,A.,ExtendableandDynamicallywall,InternationalJournalofSoftwareEngineeringandKnowledge(2005)pp.363-371.[Loc]Lockhart,A.NetworkSecurityHacks,OReilly55,261.[M-E]DarrenMar-Elia,MonitoringandTroubleshootingtheRegistry—,October20</Content/3[Man]C.Mann,AWeb-onlyPrimeronPublic-KeyEncryption,TheAtlanticMtember2002</issues/2002/09/mann_g.htm>[Mix]Mix,S.,SupervisoryConEPRI,2003.[Mon]R.Monkman,EDNMagazine,October17,2002,Enhatp:///press/articles/17oct2002-Enhancing%20Embedded%20Security.pdf>[MvOV]Menezes,AlfredJ.,vanOorschot,PaulC.,anHandbookofAppliedCryptography,ISBN0849385237,CRCPress,<>Areadablediscussiononthedetailsandattacks,butthisbookNetworks,NationalInfrastructureSecurityCoordinationCentre,London,2005,<.uk/docs/re-20050223-00157.pdf>[NIST01]AESHomepage,</CryptoToolkit/aes/>[NIST02]AnIntroductiontoRoleBasedAccessControlcember1995),</rbac/NIST-ITL-RBAC-bulletin.html>[NIST03]NISTSP:800</publications/nistpubs/800-12/handbook.pdf></publications/nistpubs/800-76/sp800-76.pdf>[NIST05]Bace,Rebecca;Mell,Peter,NISTSP:(/publications/nistpubs/800-31/sp800-31.pdf)[NIST06]Baker,Elaine,etal,NISTSP:800-56,RecolishmentSchemesUsing</publications/nistpubs/800-56A/sp800-56A_May[NIST07]Baker,Elaine,etal,NISTSP:800-57RecommendationforKeyMan(/publications/nistpubs/800-57/SP800-57-Part1.pdf)(/publications/nistpubs/800-57/SP800-57-Part2.pdf)[NIST08