(2）通过移动介质的带入攻击，如移动硬盘、U盘、光盘、移动终端等；

(3）预埋代码的潜伏式攻击，典型的途径有工程实施时的预埋、通过备品备件的预埋、通过维修维护带入的预埋。

四、工控系统安全的主要威胁是有组织的专业化攻击 

从技术上看，工控系统所面临的网络安全威胁来自于两个方面：一个是传统的网络安全威胁，即利用操作系统、应用软件的漏洞发起的攻击威胁。这类威胁主要是针对计算机所使用的计算机操作系统和应用软件（如办公软件、网站软件等）的漏洞，获取计算机操作权限，或窃取隐私或敏感信息。

另一个更重要的安全威胁来源于对工控系统及其所控制的生产装置、生产工艺非常熟悉的有组织的攻击。从公开的资料可以发现，“震网”虽然利用了操作系统的漏洞，但这些漏洞只是被用于“震网”代码的传播，其核心代码却是利用了西门子PCS7控制系统和核设施的特性，而发起恶意操控，同时向操作人员界面软件发送欺骗数据。

由此可见，针对工控系统核心部件攻击的“黑客”除了要具有一般的计算机操作系统和软件知识外，更利用了工控系统本身的软件硬件特性和通信协议、操作指令和基础设施生产装置的弱点，导致一般的互联网安全技术人员难以发现，即具有“高专业性、高隐蔽性、高复杂性、难以被发现、难以被跟踪”（即“三高两难”）特性。

五、工控系统安全保护挑战比一般信息系统大很多

从2010年的“震网”事件至今的近9年多时间里，我国在实施工控系统网络安全各项工作的同时，也遇到了与互联网安全、信息系统安全完全不同的困难和挑战，主要表现为以下几个方面：

(1）对工控安全的理解，更多还停留在互联网安全和协议层面

与互联网系统、信息系统相比，工控系统大多是由传感器、控制装置、执行机构等多环节构成的闭环系统，其监控软件也是供操作员进行工况监视和简单的操作，工控协议用于传输生产过程中的数据。因此，工控系统的网络安全需要从以上所有要素以及生产装置本身进行综合的考虑。

(2）对工控安全恶意代码攻击原理和机制的了解有限

如今，各种公开报道、微博等各种社交媒体文件，以及许多文章、报告对工控安全事件的报道较多、技术性分析较少；对工控安全网络部分威胁的渲染较多，对工控内部的威胁分析较少；对操作系统“漏洞”介绍较多，对工控系统自身软硬件漏洞分析较少；对操作系统、邮件等的漏洞利用介绍较多，对于工控恶意代码“长什么样，什么时候来，什么时候触发，如何触发，什么时候离开”等技术问题，研究较少，导致工控安全工作的开展难以深入。