在一系列政策文件的引導下，行業安全廠商也在不斷強化自身安全產品對工業控制系統的安全防護能力。近年來，包括匡恩網絡、威努特、谷神星、力控華安等國內工控安全廠商都針對工業控制系統面臨的安全問題推出了成體系的解決方案，取得了不錯的效果。

    筆者認為，隨著封閉式的工業控制網絡開始走向開放，在工業控制系統中已經出現了越來越多的標準化硬件和軟件，這是未來工業轉型的趨勢。SCADA系統作為辦公網絡和工控網絡的紐帶，構建完善的SCADA系統安全防護體系將是降低工控系統安全風險的重要一環。對此，我們建議可從以下幾個方面入手強化對SCADA系統的安全防護：

    1、評估需求，進行SCADA網絡的連接。對SCADA網絡所剩下的連接進行深入的測試和脆弱性分析，來評估這些路徑所處的安全狀態。使用這些信息和SCADA和風險管理程序來為SCADA網絡的所有鏈路生成一個強健的保護策略。由于SCADA網絡的安全取決于它的最薄弱的連接點，所以在每個進入點使用工業級邊界隔離系統、工業級入侵檢測系統和一些其它的安全策略十分重要。

    2、通過取消或是減少一些沒有必要的服務來鞏固SCADA網絡。建立在商業或是開放源碼的基礎上的操作系統可以通過很多默認的網絡服務遭到攻擊。要在最大程度上減少、忽略、取消不用的網絡服務或是后臺，以減少直接的網絡攻擊。除非經過風險評估顯示，這項服務的好處遠遠大于其潛在的風險所帶來的危害，否則絕對不能允許SCADA網絡使用某項服務或是性能。

    3、不要依靠專有的協議來保護系統。一些SCADA系統為了支持在現場設備和服務器之間的通訊而使用獨立、專有的協議。通常這些SCADA系統的安全性只是基于對這些協議的保密性上。然而不幸的是，保密的協議所提供的真正的安全少的可憐。所以不要因為是私有協議，就認為它是安全的。另外，要要求供應商關閉SCADA系統上所有的后門或是供應商接口，并要求他們提供可以得到保護的系統。

    4、嚴格控制作為SCADA網絡后門的所有途徑。如果SCADA網絡上真的存在后門或是供應商連接時，要嚴格執行驗證以保證安全通訊。調制解調器、通訊和維護用的無線及有線的網絡是SCADA網絡和遠程站點的最脆弱部分。

    5、執行內部監測審計，外部入侵檢測，保證每天24小時監控。為了對網絡襲擊具有有效的響應，要使用一種監測策略，包括由來自互聯網或是外部的資源的惡意行為時，對網絡管理員提出警示。檢測系統是24小時連續工作的，這項功能可以很容易的被設置。另外，事故響應程序必須要恰當，在攻擊發生時可以有效的做出動作。為了執行網絡的監控功能，要在所有系統上增強日志功能，并且每天審核日志，即時的監測到可疑行為。

    6、進行物理上的安全調查并對連接到SCADA網絡上的遠程站點進行評估，對他們的安全性作出評價。任何連接到SCADA網絡上的部分都是被檢查和評估的目標，尤其是無人場站。在每個設備上，都要進行物理上的安全檢查。確認并評估所有的信息資源，包括可能被竊聽的電話和計算機網絡、光纜；可能被利用的無線電和微波線路；可能被訪問的計算機終端；無線網絡的訪問點。消除單純的點失敗。這些點的安全性可以足夠阻止未授權訪問，不允許只為了方便，在遠程或是沒有任何保護的站點設置活動訪問點。