误区四：黑客不懂SCADA/PLC/DCS事实上SCADA系统暴露着很多问题，在这些系统或者子系统上的信息攻击可以通过远程登录或者同时多重登录实现，从而使SCADA系统也成为黑客攻击的对象。

这些事件都有着以下的共同点：

1、‘软’目标漏洞
大多数控制网络中在运行的电脑，很少或没有机会安装全天候病毒防护或更新版本。另外，控制器的设计都以优化实时的I/O功能为主，而并不提供加强的网络连接安全防护功能。RTU、PLC或DCS系统都是非常容易受到攻击的对象，一般的黑客初学者很容易就能获取入侵这些系统的工具。

2、多个网络端口切入点
在多个网络事件中，事由都源于对多个网络端口进入点疏于防护，包括USB钥匙、维修连接、笔记本电脑等。

3、疏漏的网络分割设计
实际应用中的许多控制网络都是“敞开的”，不同的子系统之间都没有有效的隔离，尤其是基于OPC、MODBUS等通讯的工业控制网络，从而造成安全故障通过网络迅速蔓延。

那么如何保护这些控制系统就成为大家要思考的问题，一个普遍的解决方案就是在企业和控制系统之间安装单一的防火墙，采用独一网络端口的方式，也就是所谓的堡垒模型。问题的关键在于传统的防火墙并非专为控制系统或工业环境而设计的，特别是采用OPC方式通讯时，很容易把一切的工厂设备和系统都暴露给黑客。每年，网络攻击事件造成的损失高达数十亿美元。在这样的背景下，人们迫切需要一款针对工业控制网络安全特定的防护产品。

受聘于加拿大政府，专门负责收集整理北美、欧洲等地区网络安全事件，并提供分析报告和解决方案的Byres Security Inc. 公司推出的Tofino（多芬诺）产品是一个不错的选择，该产品已为全球包括波音（Boeing）飞机制造公司、英国BP石油、美国ExxonMobil、中石油（Petrochina）、中石化（Sinopec）等大型企业提供了网络安全防护方案，同时Byres Security Inc. 也为全球知名的自动化供应商（如Honeywell、Invensys、MTL等）提供OEM安全防护产品。

Tofino产品严格参照国际行业标准ANSI/ISA-99中关于工业网络安全的要求，通过区域划分、管道建立、通信管控三大手段为工业网络提供的安全防护远远超越一般传统的防火墙。ANSI/ISA-99安全标准的核心理念是“区域和管道”，根据控制功能将具备相同功能和安全要求的设备划分在同一区域内，实现安全等级分区。区域之间的连接被称为管道，同样也要有安全管制，包括进入区域的管制、采用抵御拒绝服务（DOS）防范恶意软件或攻击的转移、屏蔽其他网络系统、保护网络流量的完整性和保密性等。管道的建立使得系统的安全防护更易于控制，通过控制管道中数据通信，即只允许正确设备操作所必须的通信通过来实现设备保护和网络安全。下图以一座炼油厂为例，形象地展示了Tofino的设计理念。