3.工業控制系統安全架構

為保護工業控制系統安全性，達到可用性、完整性和保密性等目標，可在管理、操作和技術等三方面著手進行控制，設計具體的安全保護和應對措施。

1)管理控制

管理控制是側重于風險管理的ICS安全措施。MST SP 800-53在管理控制類下定義了4個控制族：一是風險評價，二是規劃，三是系統和服務采購，四是認證、認可和安全評價。其中，風險評價是通過判斷發生概率、結果影響和減輕這些影響所需增加的安全控制確定操作、資產或人員面臨的風險的過程。規劃是指制定維護計劃，通過評價、規定和執行安全控制、劃分安全等級和對事件作出響應來確保信息系統安全；系統和服務采購是調撥資源以便在信息系統整個生命周期保持系統安全，根據風險評價結果制定采購策略，其中包括要求、 設計準則、測試規程和相關文件等；認證、認可和安全評價是確保規定的控制被正確實施，按意圖運行，并產生預期結果。