通过对相关的案例进行分析以后，我们发现工业控制系统在几大方面都存在着弱性。一般信息系统的安全架构强调信息的保密性、完整性和可用性，普遍采用：防火墙在网络边界提供访问控制，IDS提供入侵检测，VPN提供专用通道，对于病毒、木马等恶意软件，则采用查杀软件进行检测，给操作系统打补丁，增加密码强度，加强日志管理等手段。但对于工控系统而言，由于对实时性的要求，以及运行环境的不同，造成这些防护手段在实际的使用中，都存在明显的缺陷。传统信息安全防护手段，在工控系统中使用，必须要进行适应性的改造，而且，考虑到实时性和资源受限的情况，只能使用轻量级、可裁剪的。传统信息安全手段主要关注网络安全，工业控制系统缺乏本质安全！ 

   根据对可信计算和安全计算概念的界定，衡量一个系统的可信程度包括以下相关特征：可用性、可靠性、防危性、安全性、可维护性。防危性是指系统可持续提供正常功能或不破坏其他系统和相关人员生命安全的方式中断服务的概率。从系统论的角度来看，这些特性并不是完全孤立的，对于工业控制系统，安全性和防危性问题更突出，这两者之间也是紧密联系的。对于整个工控系统的安全，应该结合信息安全的防护手段和工控系统防危的防护手段来共同研究，这是我们主要的研究内容和方向。防危的基本原理是隔离应用请求与关键设备，根据实际系统的工作特点定制的一套防危策略，验证所有对关键设备的操作请求，只有通过验证的操作请求才可达硬件进行操作，拒绝所有未经过验证的操作。

   虽然防危技术手段是以隔离为主，但仅仅做隔离达不到对整体系统的防危要求。此外，我们认为非常有必要提高系统安全防御的主动性。基于此，我们提出的防危机制主要包括四个部分：主动防危、实时防危、全局防危及自主防危。

   主动防危，即提高系统的预测能力，提高系统主动防御能力，通过历史数据来建立数据的预测模型，实现对工业控制系统采集数据的预测，从而能够对工控系统的安全风险给出精确的预测，做到防危的预警、预报，防患于未然。

   实时防危，即利用预设的规则，通过高效的计算，进行实时现场异常检测，及时发现出现的异常操作和异常节点，做到对系统的实时现场异常检测。

   全局防危，即对于较复杂的工控系统，例如电力监控系统，各个设备之间互相依赖，如果其中一个节点出现问题，将会影响到与之相连的其他节点，进而会使整个系统陷入瘫痪，引发大规模的监控系统安全问题。要根据现场环境、历史数据和经验，建立起系统网络模型。通过风险传递算法的运算，预测出某一个（或多个）设备出现风险后系统中所有相关设备受影响的情况。做到对系统的整体风险预测和整体防危。

   自主防危，即对系统各模块进行状态监控，在系统处于超负荷情况下，采取合理的措施，在确保系统稳定的前提下，通过优化配置，实现系统级优化运行，确保系统自身的稳定安全。