2.4.1　IT与OT的安全需求差异

在历史上，IT和OT系统处于平行发展的状态，不同的使命以及硬件、软件、操作环境的巨大差异导致两者发展和对安全的需求完全不同。

与IT系统相比，OT系统拥有专有协议、使用专门的硬件和软件，面对的安全风险、安全架构、环境、优先级别、管理要求等也大不相同，如表2-1所示。

表2-1　IT与OT的安全需求差异

1.优先级顺序有差异

在机密性、完整性、可用性方面，IT系统和OT系统从优先级顺序到具体要求都不同。在IT环境中，优先级为数据机密性、完整性和系统可用性。而OT与工业流程和工厂自动化密切相关，因此工业知识是OT的核心，主要涉及产品制造工艺、产品设计、工艺流程、质量管控等专有技术或者专门知识。在保护ICS和SCADA网络时，OT要优先保护工厂、人员和生产过程。在IT网络中，检查网络层流量往往就能提供很好的保护效果；而在OT环境下，工业防火墙应该执行深度包检查，以监视和分析应用层中的实际命令，面向“语义级攻击”进行检测与过滤。

2.环境要求不同

IT系统和OT系统在可靠性、实时性等方面的要求不同。IT环境是动态的，IT系统需要经常修复、升级、替换。IT人员必须了解最新IT趋势和威胁，但往往不熟悉OT网络或工业控制系统，他们中几乎没人涉足工厂环境。与之相反，OT则要求无论是系统或者员工都要在以稳定性、可靠性、安全性（物理安全和功能安全）为重的环境中工作。工作涉及维护复杂敏感环境的稳定，比如炼油厂、化工厂和水厂还存在几十年前的遗留系统，且系统在几十年间未做更新。他们的箴言是：“只要能用，就别动它。”

3.风险管理的区别

由于IT和OT面临的风险、拥有的资源、发生变更后的影响都不尽相同，因此在体系架构安全焦点、变更管理等方面也有所不同。与IT系统只关注数字世界的威胁不同，人身安全和容错（以防止损害生命或危害公众健康或信心）、合规性、设备的损失、知识产权损失，以及产品的丢失或损坏等才是OT主要的关注点。例如，控制工业生产过程的系统意外停电是不能接受的，停电必须有计划且预定时间（天/周）。

将现有的IT安全测试方法进行简单调整后用于OT系统是远远不够的，需要全面改进用于评估OT系统安全状态的方法、工具和技术。首先，为确保ICS的高可用性，进行全面的部署前测试是必不可少的。此外，许多控制系统无法做到在不影响生产的情况下轻易地停止和启动。由于ICS的高可用性、可靠性和可维护性要求，重新启动一个组件通常是不能被接受的解决方案。为解决这个问题，一些ICS会采用冗余组件，且常常让这些组件并行运行，当主要组件不可用时，冗余组件可继续工作，以保证连续性。

IT系统和OT系统在补丁升级与漏洞修复方面也存在明显差异。在IT系统中，打补丁是安全审查后常见的修复手段之一，但打补丁的工作并不简单，因为补丁可能会引起不同软件彼此交互时产生问题。工控系统中设备繁多，设计相对封闭与独立的特点导致系统难以统一进行升级，因此在选取相关的安全厂商时，需要寻找能力较强的安全厂商。

此外，ICS可用的计算资源（包括CPU时间和内存）往往是非常有限的，因为这些系统旨在最大限度地控制系统资源，很少甚至没有额外容量用于第三方的网络安全解决方案。此外，在某些情况下，是完全不能使用第三方安全解决方案的。