本文档介绍了一种基于风险的方法,由NIST与私营部门合作制定的改善关键基础设施网络安全框架。该框架参考了管理网络安全风险的行业标准和最佳实践,并且对在一个SCADA环境中。该框架可用于加强现有的风险管理计划,或用作建立风险管理计划的指南,无论重点是工业运营还是工业/SCADA安全。该框架由三个部分组成:核心、配置文件和实施层。核心指定了一组映射到信息资源以实现某些预期结果的功能和类别。配置文件表示基于业务需求、风险承受能力和资源的结果。组织将根据对核心活动的遵守程度确定其当前概况(或状态),并采取措施实现目标概况(或状态)。实施层提供了一种机制,供组织查看和了解其对框架的遵守程度和成熟度。该框架的核心确定了五个职能:识别、保护、检测、回复和恢复。
