物理入侵，惡意IT和缺乏良好的防御技術等因素，使得難以對關鍵基礎設施的網絡進行有效的保護。

據一些安全專家介紹，幫助供水設施、發電廠和制造業運行和管理關鍵基礎設施網絡，比大多數信息技術系統更容易受到一系列不同的威脅，其很難抵御某些類型的攻擊。

“對信息安全管理人員而言，他們只需要擔心惡意軟件、漏洞及來自外部的攻擊者，而運營技術(OT)安全管理人員必須更擔心物理入侵、惡意雇員和未經許可的信息技術所搭建的內部安全邊界”。CenterPoint Energy公司的企業信息安全主管Michael Phillips日前在舊金山舉行的RSA安全大會期間如是說道。

大部分關鍵基礎設施網絡都在試圖將IT與OT隔離開來獨立操作。“在一個典型的OT環境里，物理訪問仍然是對我們來說更大的風險。” Phillips說。

關鍵基礎設施的安全性已成為當前各國所面臨的一個重大問題。之前網絡罪犯和黑客使用Stuxnet蠕蟲對伊朗核設施發動的攻擊，已經向世界展示了其對工業控制系統(ICS)的攻擊力。

從那時起，安全研究人員開始越來越多集中地在采用了流行的監測和控制協議中尋找技術漏洞，這被稱為監督控制和數據采集，或SCADA。在2013年，有超過二十幾個的SCADA漏洞被發現病報告給惠普的Zero Day 鼓勵獎金計劃，這一數字是上一年的兩倍。

通過釣魚郵件，攻擊者有18%的成功率進入公司的關鍵基礎設施內，他而們獲得IT網絡上的關鍵域控制器平均只需要用2〜4小時。

在RSA大會上，不少安全廠商都在展示宣傳其最新的防御技術。“而這些產品大多不適合用在工業控制操作環境中。因為大多數安全產品是專為信息網絡而不是運營網絡而設計的。”Sacramento市公用事業部信息安全官Scott Saunders告訴與會者。“他們看上去功能很強大，但我們面臨的環境并沒有與那些有傳統惡意軟件的IT環境相連。我們可以做到對傳統的惡意軟件檢測，但在我們的系統環境中卻永遠也檢測不到任何東西。”