工控系统与IT系统风险评估的差别

工控系统与IT系统风险评估的差别：

评估的对象不同

IT系统风险评估的主要评估对象是IT系统的组成部分，如：IT网络、办公主机、路由器、交换机、数据库等，但是在工控系统的风险评估中，上述对象也会存在，但更重要的是工控系统的组成部分：如工控网络、工业主机、工控设备、生产工艺等。

评估的工具不同

评估对象的不同决定了评估工具也有所差异，首先传统IT系统风险评估中所使用的评估工具大多数可以应用于工控系统风险评估中；其次部分工具需要根据工控系统的特点进行升级，如漏洞扫描工具在工控系统风险评估中就要有工控的特色，漏洞库要包含工控相关的漏洞；最后有些工具使用是工控系统风险评估所独有的，如工控漏洞挖掘工具就是用于对工控设备的未知漏洞挖掘，而一般不会应用于IT系统风险评估中。

评估的标准不同

工控系统往往优先级要高于IT系统，任何对生产造成影响的安全问题都会带来直接的经济损失甚至是人员伤亡，因此同样的评估对象其评估标准可能会有所不同，如：工业控制系统现场中根据实际控制、生产的需要，很多PLC室/DCS室、操作台等都需要安置在生产一线，这样就使得防盗报警系统、火灾自动消防系统、防水检测和报警、温湿度自动调节等被很多实际情况制约，其评估的标准与IT系统的机房就不能一概而论；同样是主机防护措施，工业主机和办公主机因为用途不同，U盘使用、软件安装的要求就不一样，防护的要求也有所不同，防病毒软件往往就不完全适合用于工业主机的安全防护。