ICS 系統和 IT 系統的區別有哪些

ICS系統和IT系統的區別如下：

• 性能要求：ICS系統通常是實時通信。在系統實現時，延遲和抖動都限定在可接受的水平，其中有些系統還要求確定性響應，因此對ICS系統來說，為了保證其實時性，系統不能使用高流量的通信方式。與此相反，傳統IT系統通常要求高流量的通信方式，并且這些系統可以忍受很大程度上的延遲和抖動。

• 可用性要求：很多ICS生產過程自身是連續工作方式，要求一年365天不間斷工作，因此系統自動化生產過程非預期的斷電是不可接受的。一般情況下，系統如果要斷電一定要提前進行計劃并且制定嚴格時間表，同時部署前要進行詳盡的測試來確保ICS的可用性。除了非常規斷電，許多的控制系統如果進行停機開機操作，肯定會影響到生產，有些時候，正在生產的產品或正在使用的設備比信息更加重要。因此，使用傳統的IT技術，比如重新啟動所用系統，通常是不能接受的解決方案，因為這會對ICS系統的高可用性，高可靠性和可維護性產生不利的影響。通常ICS系統都會有冗余，通過多重備份來增加系統的可靠性，并且備份的系統也在并行運行，目的是防止主系統出現故障時還能夠進行持續生產。

• 風險管理要求：傳統的IT系統，最關注的是數據的保密性和完整性。而對于ICS系統，最關注的是人員安全和故障容忍以防止生命受到威脅，或者危害公眾的健康和信心，違反法律法規，知識產權損失，或生產遭到破壞、設備損壞等。這就要求ICS系統操作人員，信息安全保證人員及系統維護人員一定要明白功能安全和信息安全之間的重要關系。

• 體系結構的信息安全焦點：傳統的IT系統，無論是集中式還是分布式操作系統，主要的關注點在于信息安全目的是保護IT資產的操作以及在這些資產中存儲或傳輸的信息。在一些結構中，存儲或處理的信息因為比較關鍵因此需要更加關注和保護。對于ICS系統，直接負責終端生產過程的一些客戶端（如，PLC系統，操作員站，DCS控制器等）需要加以特別保護。另外，ICS系統中的中央服務器的保護也非常重要，因為中央服務器也會對這些客戶端產生不利的影響。

• 物理上的相互作用：傳統的IT系統對于環境沒有特別的影響。而ICS系統在物理上會產生非常復雜的相互作用。比如由于威脅利用系統的漏洞造成的信息安全事件，其后果可能會對環境產生惡劣影響。因此，集成到ICS系統的所有信息安全功能都必須通過嚴格測試（如可比對的ICS系統的離線測試）以保證這些技術不會影響正常的ICS功能。

• 時間關鍵響應：傳統的IT系統，實現訪問控制時可不必過于關注數據流。對一些ICS系統，自動響應時間或人機交互的系統響應是非常關鍵的。如，HMI設備需要密碼授權和認證，但一定不能阻礙或干擾ICS系統的緊急行動。信息流不能被中斷或影響。對這些系統的訪問應當嚴格限制為對其采用物理信息安全控制來實現。

• 系統操作。傳統的IT信息安全規程不完全適用于ICS操作系統（OS）和應用。仍在使用中的舊系統在資源不可用和定時中斷方面尤為脆弱。控制網絡通常更復雜，因而需要不同程度的專業知識（如ICS控制網絡通常由控制工程師操作和維護而不是IT工程師）。軟、硬件在操作控制系統網絡中升級也較困難。現今運行的系統許多還沒有實現加密能力，錯誤日志記錄和密碼保護能力等和實現信息安全相關的性能。

• 資源限制：ICS和實時操作系統通常是資源受限系統，因而不包括典型的IT信息安全能力。ICS組件上可能沒有可用的資源以便加裝這些當前具有信息安全能力的系統。此外，在某些情況下，根據供應商許可和服務協議，不允許使用第三方信息安全解決方案，并且在沒有供應商許可或同意的情況下，如果安裝了第三方信息安全解決方案，可能會出現服務支持方面造成的事件。

• 通信：ICS系統環境下，現場層使用的通信協議和媒介與傳統的常規IT環境下使用的協議和媒介非常不同，可以說是專用的協議。目前工控系統使用的現場總線協議包括Modbus，Profibus，CC-Link，Control-Net，FF等。

• 變更管理：對于集成IT和ICS系統的維護最重要的是變更管理。未進行補丁管理的軟件對系統來說是最大的漏洞。IT系統的軟件更新，包括信息安全的補丁都是基于正確的信息安全策略和規程及時進行。此外，更新和補丁管理這類的程序可以使用基于服務器的工具自動進行。ICS系統的軟件更新通常不能及時實現，因為這些更新需要進行完全徹底的測試，這些測試由提供工業控制應用的供應商進行，或者由這些應用未實施前的最終用戶進行測試，與此同時，ICS斷電通常必須要提前數天/數周進行計劃和確定時間表。ICS系統也要求把再確認作為更新過程的一部分內容。另外一個問題是還有許多ICS使用老版本的操作系統，但是目前的供應商已經不再支持。結果就是可用的補丁不適用老版本。變更管理同樣適用于ICS系統的硬件和固件。變更管理過程，應用于ICS系統時，需要ICS專家（如控制工程師等）聯合信息安全專家以及IT技術專家仔細進行評估。

• 技術支持：傳統的IT系統支持風格多元化，可能支持不同的但是互聯的技術體系結構。對于ICS系統，技術服務多由單獨的供應商提供，因此肯定不支持其他供應商提供的與此不同的技術解決方案。

• 部件生命周期：傳統的IT部件的生命周期大概在35年，主要是由于技術發展以及更新太快的原因。對于ICS系統，由于技術開發在很多情況下主要是用于特定的應用和實現，因此這類系統的生命周期大概在15年20年，甚至更長時間。

• 訪問部件：傳統IT部件通常能夠本地進行訪問且訪問較簡單，而ICS部件通常是分離、遠程的，因而需要使用一些特定的物理媒介，比如衛星等進行訪問。

回答所涉及的環境：聯想天逸510S、Windows 10。