白皮书指出，小型制造商由于网络安全人员和资源有限，尤其容易受到网络攻击。安全分段是一种经济高效的安全设计方法，根据资产所需的网络保护要求将资产分组到安全区域，并针对这些安全区域采取适当的安全保护措施。安全分段以网络分段为基础，根据这些资产间的通信要求对资产进行分组。安全分段设计的安全架构是零信任等其他安全策略的基础准备步骤。

安全分段的六个步骤具体如下：

（1）确定资产清单。清点业务运营中涉及的硬件、软件、敏感数据及信息资产。硬件资产包括办公电脑、工作站、服务器、电话、平板电脑、协作机器人、传感器等。软件包括操作系统以及硬件设备使用的代码。

（2）评估风险并创建安全区域。具有相似运营功能、任务关键级别或数据敏感级别的资产通常对网络安全有类似要求。制造商可以利用这些相似性来对资产进行分组，创建安全区域。

（3）确定安全区域的风险级别。每个企业都必须确定自己的风险类别，并对每类风险进行定义。如，划分成低风险、中风险、高风险、工业控制（ICS）风险四类等级。

（4）映射安全区域之间的通信。确定资产间的通信要求。网络监控工具通常可更准确地描述环境中存在的资产间的实际通信模式。一旦确定了资产间的通信模式，便可在安全区域对其进行汇总，以确定区域间通信要求。

（5）确定安全区域的安全控制。首先，制定每类风险级别的网络安全模板。然后，工程师和操作员针对特定的制造环境对模板进行改进。最后，明确哪些安全区域需要实施安全控制。

（6）创建逻辑安全架构图。将安全分段的这些构建模块应用到目标环境，形成一个逻辑安全架构图。该架构图将显示安全区域、区域间通信要求、指示风险级别的颜色以及在每个区域内实施的安全解决方案的符号表示等内容。

信息来源：

https://potomacofficersclub.com/news/nccoe-publishes-cybersecurity-white-paper-for-small-manufacturers/

https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.28.pdf