在信息安全领域，威胁被广泛理解为利用脆弱性的威胁实体所带来的危险，其中，威胁实体也被称为威胁主体，即可以对资产施加不利行为的实体，也就是实施威胁的威胁源。

在工业控制领域，威胁可以是情况、能力、行为或事件，而由威胁导致的后果，不仅仅是信息安全资产的破坏，更有可能是生产事故等伤害。所以，根据《信息安全风险评估》中对于风险的分类，结合工业控制系统的自身特点，工业控制系统安全威胁可能有以下表现形式：

(1) 心怀不满的在职员工的恶意行为

这些人了解工艺，能够接触到各种设备，但是计算机能力一般。恶意操作也许就是激情而为，事后希望能够掩饰破坏行为。

(2) 无特殊需求的黑客

这些人计算机能力较强，但是难以直接接触到各种设备，对工厂情况了解不多，很多可能只是因为好奇、偶然性的行为对工控系统进行破坏，对破坏行为和过程不一定要掩饰。

(3) 心怀不满的离职员工恶意行为

这些人了解工艺，不一定能够接触到各种设备，但可能利用制度漏洞在离职后仍然保有网络接入或直接接触设备的可能，计算机能力一般，对破坏行为希望能够掩饰。2000年，澳大利亚水处理厂事故。

(4) 经济罪犯的恶意行为

目标明确，希望劫持控制系统后换取经济利益。2008年，黑客入侵南美洲电力勒索政府事故。