北美电力可靠性协会所做的调查显示，控制系统的这10个软肋，也正是解决控制系统安全弊病的最佳着手点。

    北美电力可靠性协会（NERC）致力于提高北美大型电力系统的可靠性和安全性，作为更大型的基础设施提供保护。为了确保电力供应不间断，NERC对基于计算机网络控制的电网进行监控。它监视着一系列的网络安全漏洞，作为保护整个工业网络的模型，它在电力工业之外也是可以接受的。

    负责现场和基础设施安全的国际注册信息系统安全师ScottR.Mix说：“《10大控制系统漏洞和相关的解决方案（2006版）》是网络安全弊病列表的第三次修改。这些文件由隶属于NERC关键基础设施保护委员会（CIPC）的控制系统安全工作组（CSSWG）负责维护，并且这些文件每年都要更新，还要记录上改进的解决办法。”他说，由最初的2004版的简单列表发展到今天，对于每一个记录的漏洞都有三个层次的解决方案。

    以下就是这10个弊病，以及工业产品供应商和顾问就每一项对整个系统的影响而提出的建议。

    没有足够的政策、制度和文化来监管控制系统的安全性。

    安全性开始于一种文化或者说是一种警戒的传统。艾默生过程管理的产品经理BobHubaDeltaV说：“当提及安全性的技术解决方案时，你可能会想到防火墙、密码等等，但是这些只占了所有解决方案的20%，而员工的安全常识却要占到80%。引用一位从业者的话，“停止你的愚蠢行为”，然后问一句，“你的工厂有没有安全规范？”这个问题就和问陌生人为什么会在控制室里，或者确保用户了解不要携带便携式播放器以及不许安装未经授权的程序一样简单。”

    ABB公司的电站工程解决方案经理KimFenrich说：“如果没有一个有效的安全法规、解决策略和定期培训，其他的安全措施也不会很成功。为此，保障安全性必须被看成一个长期的过程，而不是对防火墙、屏蔽、扫描火加密技术的一次性投资。”

    赛门铁克咨询服务公司的主管BryanGeraldo说：“操作员们相信，对于随机的攻击和非针对性的破坏来说，控制系统是相对安全的，因为它们并非直接与Internet互联，或者有不同的软硬件组成，其中一些甚至还嵌入了供应商的‘独家嵌入式安全特性’”。Geraldo说：“然而，虽然大多数IT产品带有嵌入式安全手段例如密码和加密选项，或者基本的防火墙/准入限制机制，很多这些特性都是未激活的，或者被置于默认设置以及错误的设置，这就会产生对安全性的错误监管。”

    霍尼韦尔过程控制部公司负责生命周期服务的高级市场经理MarilynGuhr建议道：“通用的解决方案与系统结构不同，它需要变化。由于控制系统的环境正在向开放式转变，需要新的政策和法规，然而通常情况下，系统使用者们并不清楚是否需要这些法规，或者他们认为这些事应该由其他人负责。公司内的IT部门对此倒是非常清楚，但是他们却没有责任在过程控制中帮助解决这些问题。”

    无知将导致错误。Byres安全公司的首席执行官EricByres说：“我看到了越来越多由于工厂安全方面的工作做的不够而导致的事故。例如，