實際上，基礎(chǔ)設(shè)施領(lǐng)域不僅包括生產(chǎn)和控制系統(tǒng)，還包括市場分析、財務(wù)計劃等信息管理系統(tǒng)。生產(chǎn)系統(tǒng)與管理系統(tǒng)的互聯(lián)已經(jīng)成為ICS的基本架構(gòu)，與外界完全隔離幾乎不可能。另外，維護用的移動設(shè)備或移動電腦也會打破系統(tǒng)與外界的隔離，打開網(wǎng)絡(luò)安全風(fēng)險之門。

事實證明，不管多嚴格的隔離措施也會有隱患發(fā)生。2003年Davis-Besse核電站被Slammer蠕蟲病毒侵入;2006年13家Daimler-Chrysler汽車企業(yè)因感染Zotob蠕蟲病毒被迫停工;2008年有超過千萬臺的設(shè)備，包括所謂隔離了的設(shè)備，受到Conficker蠕蟲病毒的攻擊。即使在太空也不能做到完全隔離：2008年美國宇航局證實其國際太空站筆記本電腦遭到病毒入侵。2010年震驚世界的伊朗震網(wǎng)病毒。

上個世紀，雖然有些零星事件發(fā)生，公眾對ICS網(wǎng)絡(luò)安全問題并沒有足夠認識。直到2000年澳大利亞MaroochyShire排水系統(tǒng)受攻擊事件報道之后，人們才意識到ICS系統(tǒng)一旦受襲擊有可能造成嚴重后果。該次事件中，由于數(shù)據(jù)采集和監(jiān)控系統(tǒng)(SCADA)受到攻擊，導(dǎo)致800，000升污水直接排放到環(huán)境中。

另外，ICS系統(tǒng)并不是堅不可摧。2006年以來，美國計算機應(yīng)急響應(yīng)小組對外公布的ICS系統(tǒng)安全漏洞越來越多。2009底其數(shù)據(jù)庫顯示的24條SCADA相關(guān)漏洞都是已經(jīng)預(yù)警的，而且，主流黑客工具如MetasploitFramework中已經(jīng)集成有其中一些漏洞的攻擊方法。越來越多的跡象表明，ICS系統(tǒng)已經(jīng)受到黑客、政治對手、不滿的員工或犯罪組織等各類攻擊者的目標關(guān)注。

實際上，工業(yè)環(huán)境中已廣泛使用商業(yè)標準件(COTS)和IT技術(shù);除開某些特殊環(huán)境，大部分通訊采用的是以太網(wǎng)和TCP/IP協(xié)議;ICS、監(jiān)控站以及嵌入式設(shè)備的操作系統(tǒng)也多以Microsoft和Linux為主。其中，Microsoft已通過智能能源參考架構(gòu)(SERA)打進電力行業(yè)，意圖將微軟技術(shù)安插到未來智能電網(wǎng)架構(gòu)的核心中。

那些特殊環(huán)境采用的內(nèi)部協(xié)議其實也有公開的文檔可查。典型的電力系統(tǒng)通訊協(xié)議定義在IEC和IEEE標準中都可以找到。象Modbus這些工業(yè)協(xié)議，不僅可以輕易找到詳細說明，其內(nèi)容也早已被黑客圈子熟知。另外，由于ICS設(shè)備功能簡單、設(shè)計規(guī)范，只需少許計算機知識和耐心就可以完成其逆向工程，何況大部分的工業(yè)協(xié)議都不具備安全防護特征。甚至某些應(yīng)急工具都可以自動完成逆向工程。

即使經(jīng)過加密處理的協(xié)議也可以實施逆向工程。例如，GSM手機全球系統(tǒng)、繳費終端及汽車點火裝置的射頻信號、DVD反復(fù)制保護機制，他們都采用專門的加密技術(shù)，但最終都被破解。認為ICS系統(tǒng)不需要防病毒和誤區(qū)一(系統(tǒng)是隔離的)和誤區(qū)三(黑客不了解系統(tǒng))有關(guān)。實際上，除了Window平臺易受攻擊，Unix/Linux都有過病毒或跨平臺病毒攻擊的經(jīng)歷。Proof-of-concept病毒則是專門針對SCADA和AMI系統(tǒng)的。所以對ICS系統(tǒng)，防病毒軟件不可或缺，并且需要定時更新。

那么，有了防病毒軟件是否就高枕無憂了?雖然有效管理的防病毒措施可以抵御大部分已知的惡意軟件，但對更隱蔽或鮮為人知的病毒的防御還遠遠不夠。而且，防病毒軟件本身也有弱點存在。從最近一次安全會議得知，在對目前使用最多的7個防病毒軟件進行防病毒能力挑戰(zhàn)時，有6個可以在2分鐘內(nèi)被攻破。

另外，雖然防火墻也是應(yīng)用最廣泛的安全策略之一，但其發(fā)揮效用的前提是必須正確設(shè)置了防火墻的安全規(guī)則。即使智能型防火墻，也需要自定義安全規(guī)則。研究表明，由于設(shè)置規(guī)則比較復(fù)雜，目前80%的防火墻都沒有正確配置，都沒有真正起到安全防護的作用。

ICS系統(tǒng)存在很多未知或已知但不安全的接入點，如維護用的手提電腦可以直接和ICS網(wǎng)絡(luò)聯(lián)接、可不經(jīng)過防火墻的接入點、遠程支持和維護接入點、ICS設(shè)備和非ICS設(shè)備的連接點、ICS網(wǎng)絡(luò)設(shè)備中的可接入端口等。實際上，ICS系統(tǒng)的所有者并不知曉有多少個接入點存在以及有多少個接入點正在使用，也不知道個人可以通過這種方式訪問ICS系統(tǒng)。

以前，ICS系統(tǒng)功能簡單，外部環(huán)境穩(wěn)定，現(xiàn)場維護設(shè)備也非智能型，所以，針對某一問題的解決方案可以維持很長一段時間不變。然而，現(xiàn)在的ICS系統(tǒng)功能復(fù)雜，外部環(huán)境經(jīng)常變化，現(xiàn)場維護設(shè)備也需要定期更新和維護。不僅ICS系統(tǒng)和現(xiàn)場維護設(shè)備需要安全防護，其管理和維護工作也需要安全防護，而且是動態(tài)管理的安全防護，即一旦有新的威脅或漏洞產(chǎn)生，就要及時采取安全措施。

近些年，雖然ICS項目建設(shè)開始關(guān)注系統(tǒng)安全，但是由于工期較長，通常在最后階段才開始考慮安全防護問題，但此時不僅實施不易，而且成本頗高。因為需求變更越晚或漏洞發(fā)現(xiàn)越遲，更改或彌補的費用越高。