3.工業(yè)控制系統(tǒng)安全架構(gòu)

為保護工業(yè)控制系統(tǒng)安全性，達到可用性、完整性和保密性等目標(biāo)，可在管理、操作和技術(shù)等三方面著手進行控制，設(shè)計具體的安全保護和應(yīng)對措施。

1)管理控制

管理控制是側(cè)重于風(fēng)險管理的ICS安全措施。MST SP 800-53在管理控制類下定義了4個控制族：一是風(fēng)險評價，二是規(guī)劃，三是系統(tǒng)和服務(wù)采購，四是認(rèn)證、認(rèn)可和安全評價。其中，風(fēng)險評價是通過判斷發(fā)生概率、結(jié)果影響和減輕這些影響所需增加的安全控制確定操作、資產(chǎn)或人員面臨的風(fēng)險的過程。規(guī)劃是指制定維護計劃，通過評價、規(guī)定和執(zhí)行安全控制、劃分安全等級和對事件作出響應(yīng)來確保信息系統(tǒng)安全；系統(tǒng)和服務(wù)采購是調(diào)撥資源以便在信息系統(tǒng)整個生命周期保持系統(tǒng)安全，根據(jù)風(fēng)險評價結(jié)果制定采購策略，其中包括要求、 設(shè)計準(zhǔn)則、測試規(guī)程和相關(guān)文件等；認(rèn)證、認(rèn)可和安全評價是確保規(guī)定的控制被正確實施，按意圖運行，并產(chǎn)生預(yù)期結(jié)果。