3.工業(yè)控制系統(tǒng)安全架構(gòu)
為保護(hù)工業(yè)控制系統(tǒng)安全性,達(dá)到可用性、完整性和保密性等目標(biāo),可在管理、操作和技術(shù)等三方面著手進(jìn)行控制,設(shè)計(jì)具體的安全保護(hù)和應(yīng)對(duì)措施。
1)管理控制
管理控制是側(cè)重于風(fēng)險(xiǎn)管理的ICS安全措施。MST SP 800-53在管理控制類下定義了4個(gè)控制族:一是風(fēng)險(xiǎn)評(píng)價(jià),二是規(guī)劃,三是系統(tǒng)和服務(wù)采購,四是認(rèn)證、認(rèn)可和安全評(píng)價(jià)。其中,風(fēng)險(xiǎn)評(píng)價(jià)是通過判斷發(fā)生概率、結(jié)果影響和減輕這些影響所需增加的安全控制確定操作、資產(chǎn)或人員面臨的風(fēng)險(xiǎn)的過程。規(guī)劃是指制定維護(hù)計(jì)劃,通過評(píng)價(jià)、規(guī)定和執(zhí)行安全控制、劃分安全等級(jí)和對(duì)事件作出響應(yīng)來確保信息系統(tǒng)安全;系統(tǒng)和服務(wù)采購是調(diào)撥資源以便在信息系統(tǒng)整個(gè)生命周期保持系統(tǒng)安全,根據(jù)風(fēng)險(xiǎn)評(píng)價(jià)結(jié)果制定采購策略,其中包括要求、 設(shè)計(jì)準(zhǔn)則、測(cè)試規(guī)程和相關(guān)文件等;認(rèn)證、認(rèn)可和安全評(píng)價(jià)是確保規(guī)定的控制被正確實(shí)施,按意圖運(yùn)行,并產(chǎn)生預(yù)期結(jié)果。