2、SCADA係統軟件的漏洞

國家信息安全漏洞共享平台在2011年收錄了100多個對我國影響廣泛的工業控製係統軟件安全漏洞，較2010年大幅增長近10倍，這些漏洞涉及西門子等國內外知名工業控製係統製造商的產品。

3、操作係統安全漏洞

PC與Windows的技術架構現已成為控製係統上位機/操作站的主流，而在控製網絡中，操作站是實現與MES通信的主要網絡節點，因此其操作係統的漏洞就成為了整個控製網絡信息安全中的一個短板。

4、網絡通信協議安全漏洞

隨著TCP/IP協議被工業控製網絡普遍采用，網絡通信協議漏洞問題變得越來越突出。TCP/IP協議簇最初設計的應用環境是美國國防係統的內部網絡，這一網絡是互相信任的，因此它原本隻考慮互通互聯和資源共享的問題，並未考慮也無法兼容解決來自網絡中和網際間的大量安全問題。當其推廣到社會的應用環境後，安全問題就發生了。所以說，TCP/IP先天就存在著致命的設計性安全漏洞。

5、安全策略和管理流程漏洞

追求可用性而犧牲安全，是很多工業控製係統存在的普遍現象，缺乏完整有效的安全策略與管理流程，也給工業控製係統的信息安全帶來了一定威脅。

應該采取的安全防護策略

工業控製係統的安全防護需要考慮每一個細節。從現場I/O設備、控製器，到操作站的計算機操作係統，工業控製網絡中同時存在保障工業係統的工業控製網絡和保障生產經營的辦公網絡，考慮到不同業務終端的安全性與故障容忍程度的不同，防禦策略和保障措施應該按照等級進行劃分，而實施分層次的縱深防禦架構需要分別采取不同的對應手段，構築從整體到細節的立體防禦體係。

1、實施網絡物理隔離

根據公安部製定的《GA370-2001端設備隔離部件安全技術要求》的定義，物理隔離的含義是：公共網絡和專網在網絡物理連線上是完全隔離的，且沒有任何公用的存儲信息。物理隔離部件的安全功能應保證被隔離的計算機資源不能被訪問（至少應包括硬盤、軟盤和光盤），計算機數據不能被重用（至少應包括內存）。

信息安全是一個體係防護的概念，網絡物理隔離技術不可能解決所有信息安全問題，但能大大提高網絡的安全性和可控性，能徹底消除內部網絡遭受外部網絡侵入和破壞的可能性，從而大大減少網絡中的不安全因素，縮小追蹤網絡中非法用戶和黑客的範圍。目前存在的安全問題，對網絡隔離技術而言在理論上都不存在，這就是各國政府和軍方都大力推行網絡隔離技術的主要原因。

網絡隔離技術目前已經發展到了第五代。第一代隔離技術實際上是將網絡進行物理上的分開，形成信息孤島；第二代采用硬件卡隔離技術；第三代采用數據轉發隔離技術；第四代采用的是空氣開關隔離技術；而第五代隔離技術采用了安全通道隔離技術。基於安全通道的最新隔離技術通過專用通信硬件和專有安全協議等安全機製，來實現內外部網絡的隔離和數據交換，不僅解決了以前隔離技術存在的問題，還能有效地把內外部網絡隔離開來，而且高效地實現了內外網數據的安全交換，透明支持多種網絡應用，成為當前隔離技術的發展方向。

總的來說，網絡隔離技術的主要目標是解決工業控製係統中的各種漏洞：操作係統漏洞、TCP/IP漏洞、應用協議漏洞、鏈路連接漏洞、安全策略漏洞等，網絡隔離也是目前惟一能解決上述問題的安全技術。

2、構建網絡防火牆