A biztonságos ICS architektúrát leíró tanulmány 2015-ben készült és a SANS Reading Room ICS whitepaper publikációi között érhető el. Alapját az 1990-ben a Purdue egyetemen kidolgozott nagyvállalati referencia architektúra ISA-99 bizottsága által készített vezérlési hierarchia-modellje adja. A vezérlési hierarchia Purdue modellje 4 zónát és 5 szintet különböztet meg (egy gyártóvállalat példáján keresztül):
Vállalati zóna
5. szint: Vállalat
Ebben a zónában helyezkednek el a vállalati IT infrastruktúra elemei, a különböző IT rendszerek és alkalmazások. Ebben a zónában mindennaposnak számítanak a VPN-en keresztüli távoli elérések és az Internet használata (pl. egyes alkalmazásszerverek licenc-ellenőrzése folyamatos Internet-kapcsolatot igényel). Az ebben a zónában elhelyezkedő rendszerek számára nem ajánlott közvetlen kommunikációs lehetőséget biztosítani az ICS rendszerekkel, ehelyett célszerű egy belső DMZ-n keresztül lehetővé tenni a hozzáférést az ICS rendszerek hálózatához.
4. szint: Helyszíni üzleti tervezés és logisztika
A 4. szint nagyon gyakran az 5. szintből kerül kialakításra, itt üzemelnek azok az üzleti rendszerek, amelyek fontos belső folyamatokat támogatnak (ilyenek lehetnek többek között kapacitás-tervezésben, készlet-nyilvántartásban, stb. érintett rendszerek).
Gyártási zóna
3. szint: Helyszíni gyártási műveletek és vezérlés
Ezen a szinten üzemelnek azok a rendszerek, amik a gyártási folyamatok üzemirányításának támogatását biztosítják (pl. hálózati fájlszerverek, általános IT szolgáltatások, mint a DNS, DHCP, NTP, stb., a mérnöki munkahelyek, történeti adatokat tároló rendszerek, jelentések előállítását és ütemezéseket végző rendszerek, stb.). Az ezen a szinten üzemelő rendszerek egy DMZ-n keresztül kommunikálnak a Vállalati zóna szintjein működő rendszerekkel - a DMZ-t megkerülő direkt eléréseket célszerű kerülni.
Továbbá a 3. szinten található rendszerek kommunikálhatnak az 1. és 0. szinten található rendszerekkel is (pl. hálózati időszinkronizálás vagy DNS névfeloldás miatt erre szükség lehet).
Ipari zóna
2. szint: Ipari felügyelet és vezérlés
A 2. szinten működő rendszerek közé olyanok tartoznak, amelyek jellemzően az 1. szinten található rendszerekkel kell kommunikálniuk (ilyenek pl. a vezérlőtermi munkaállomások), illetve amik interfészként szolgálnak az 1. szintű eszközök és a gyártási vagy vállalati zónákban található rendszerek között (pl. monitoring és riasztó rendszerek vagy HMI-k).
1. szint: Alapvető vezérlés
Ezen a szinten olyan eszközök találhatóak, amelyek feladata a folyamatvezérlés biztosítása. Ezek az eszközök fogadják és dolgozzák fel a különböző szenzoroktól érkező adatokat. Ezek az eszközök (többnyire DCS-ek, PLC-k, RTU-k) felelősek a folyamatos, szekvenciális, kötegelt és diszkrét vezérlésekért. Ezek az eszközök jellemzően gyártó-specifikus operációs rendszereket/firmware-eket futtatnak és a mérnöki munkaállomásokról lehet őket programozni és konfigurálni.
0. szint: Folyamatok
A 0. szinten üzemelnek azok a szenzorok és műszerek, amelyek az ipari folyamatok közvetlen ellenőrzését végzik. Ezeket az eszközök az 1. szinten működő rendszerek vezérlik.
Biztonsági (safety) zóna
Ebben a zónában olyan rendszerek működnek, amelyek az ipari folyamatok biztonsági ellenőrzését végzik és az előre bekonfigurált határértékek elérése vagy átlépése esetén az operátor értesítése mellett beavatkozik a biztonságos állapot helyreállítása érdekében. Ezeket a rendszerek az esetek többségében teljesen izolálják minden más rendszertől.
A tanulmány a referencia architektúra-modellen túl részletes javaslatokat is tartalmaz, amik minden ICS rendszerek kiberbiztonságáért, üzemeltetéséért és fejlesztéséért felelős szakembernek hasznosak lehetnek. Az eredeti, angol nyelvű tanulmány a SANS Reading Roomban érhető el: https://www.sans.org/reading-room/whitepapers/ICS/secure-architecture-industrial-control-systems-36327