工控系統與 IT 系統風險評估的差別

工控系統與IT系統風險評估的差別：

評估的對象不同

IT系統風險評估的主要評估對象是IT系統的組成部分，如：IT網絡、辦公主機、路由器、交換機、數據庫等，但是在工控系統的風險評估中，上述對象也會存在，但更重要的是工控系統的組成部分：如工控網絡、工業主機、工控設備、生產工藝等。

評估的工具不同

評估對象的不同決定了評估工具也有所差異，首先傳統IT系統風險評估中所使用的評估工具大多數可以應用于工控系統風險評估中；其次部分工具需要根據工控系統的特點進行升級，如漏洞掃描工具在工控系統風險評估中就要有工控的特色，漏洞庫要包含工控相關的漏洞；最后有些工具使用是工控系統風險評估所獨有的，如工控漏洞挖掘工具就是用于對工控設備的未知漏洞挖掘，而一般不會應用于IT系統風險評估中。

評估的標準不同

工控系統往往優先級要高于IT系統，任何對生產造成影響的安全問題都會帶來直接的經濟損失甚至是人員傷亡，因此同樣的評估對象其評估標準可能會有所不同，如：工業控制系統現場中根據實際控制、生產的需要，很多PLC室/DCS室、操作臺等都需要安置在生產一線，這樣就使得防盜報警系統、火災自動消防系統、防水檢測和報警、溫濕度自動調節等被很多實際情況制約，其評估的標準與IT系統的機房就不能一概而論；同樣是主機防護措施，工業主機和辦公主機因為用途不同，U盤使用、軟件安裝的要求就不一樣，防護的要求也有所不同，防病毒軟件往往就不完全適合用于工業主機的安全防護。

回答所涉及的環境：聯想天逸510S、Windows 10。