盡管人們?cè)诜婪豆た叵到y(tǒng)網(wǎng)絡(luò)攻擊方面的意識(shí)在逐漸加強(qiáng)，但是現(xiàn)有的很多網(wǎng)絡(luò)安全防護(hù)框架仍然依賴于過時(shí)的安全性理念，即物理上獨(dú)立的網(wǎng)絡(luò)系統(tǒng)是足夠安全的、通過信息隱匿的方式可有效地防護(hù)網(wǎng)絡(luò)威脅等。目前，關(guān)于工控網(wǎng)絡(luò)系統(tǒng)安全主要存在四大誤區(qū)。

誤區(qū)1：工控自動(dòng)化系統(tǒng)沒有和互聯(lián)網(wǎng)連接，所以足夠安全

        一項(xiàng)在某代表性能源公司內(nèi)部進(jìn)行的調(diào)查顯示，大部分的管理部門認(rèn)為公司內(nèi)的控制系統(tǒng)并沒有連接互聯(lián)網(wǎng)，然而，調(diào)查和審計(jì)顯示89%的控制系統(tǒng)是聯(lián)網(wǎng)的。

       另外，工控網(wǎng)絡(luò)系統(tǒng)有時(shí)在企業(yè)網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間采用多種連接類型，包括內(nèi)部連接、直連、無線連接以及撥號(hào)連接。這些拼湊型的網(wǎng)絡(luò)連接方式使得工控系統(tǒng)非常開放。以Slammer蠕蟲病毒為例，該蠕蟲可在3秒內(nèi)以全掃描速度（55million/秒）攻擊多種類的基礎(chǔ)設(shè)施，例如緊急服務(wù)、空管系統(tǒng)、ATM等。這正是由于互聯(lián)網(wǎng)的開放性能而致。然而，諷刺的是唯一減緩蠕蟲病毒攻擊速率的卻是網(wǎng)絡(luò)帶寬。

誤區(qū)2：工控網(wǎng)絡(luò)安裝了防火墻，足夠抵抗外界威脅

       防火墻為工控網(wǎng)絡(luò)系統(tǒng)提供了一定程度的安全防護(hù)，然而，這不能使得工控系統(tǒng)無懈可擊。在一項(xiàng)針對(duì)金融、能源、通信、媒體行業(yè)使用的37種防火墻進(jìn)行調(diào)研中，人們發(fā)現(xiàn)：

（1）大約80%的防火墻是允許入站規(guī)則內(nèi)的“一切”服務(wù)，包括不安全的訪問侵入防火墻和非保護(hù)區(qū)域；

（2）大約70%的防火墻允許網(wǎng)絡(luò)外圍的設(shè)備訪問并控制防火墻。

誤區(qū)3：黑客無法理解SCADA/DCS/PLC

       近期，SCADA和處理控制系統(tǒng)成為了黑帽技術(shù)大會(huì)（Black Hat）的共同主題。對(duì)于黑客們來說，網(wǎng)絡(luò)犯罪是非常有利可圖的。例如，幾乎不耗周期的一次攻擊獲取的信息可以80k美元賣給犯罪組織。同時(shí)，由于以下原因，黑客逐漸具有了攻擊工控系統(tǒng)的能力。  

（1）不少蠕蟲病毒都是為特定的目標(biāo)和應(yīng)用量身定制的。

（2）現(xiàn)有的SCADA規(guī)范可以隨處購買或從網(wǎng)絡(luò)上獲取，這也為黑客在一定程度上理解SCADA規(guī)范提供了便利。

（3）Shodan搜索引擎很容易定位不安全的工控設(shè)備和系統(tǒng)，同時(shí)，很多被攻擊的系統(tǒng)仍采用低安全系數(shù)的用戶名和密碼，例如“windows”，“123456”。

誤區(qū)4：我們的設(shè)備不會(huì)成為目標(biāo)

       這是一個(gè)很危險(xiǎn)的意識(shí)。首先，我們的系統(tǒng)并不是一定會(huì)成為攻擊目標(biāo)，但是會(huì)變成受害者。80%的工控網(wǎng)絡(luò)安全事件都是無意中發(fā)生的，卻是極具危害性。仍以Slammer蠕蟲病毒為例，該病毒目的在于盡可能多地?fù)舻顾芯W(wǎng)絡(luò)系統(tǒng)中的所有設(shè)備，而并不是針對(duì)性地襲擊某個(gè)能源公司或者緊急設(shè)備。然而，該病毒的侵入對(duì)這些緊急設(shè)備造成了重要危害。另外，由于很多工控系統(tǒng)基于不安全的操作系統(tǒng)，使得這些工控系統(tǒng)很容易暴露在網(wǎng)絡(luò)攻擊中。

所以，針對(duì)工控網(wǎng)絡(luò)安全防護(hù)，我們可以做些什么？

       為了抵抗工控網(wǎng)絡(luò)攻擊，安全防護(hù)系統(tǒng)需要符合特定的要求。其中，基于網(wǎng)絡(luò)邊界的防護(hù)方法是工控網(wǎng)絡(luò)安全的第一道重要防線。另外，人們必須對(duì)網(wǎng)絡(luò)內(nèi)的脆弱系統(tǒng)和易成為攻擊目標(biāo)的設(shè)備進(jìn)行安全防護(hù)。

       由于網(wǎng)絡(luò)安全犯罪活動(dòng)的頻率和復(fù)雜度不斷增長，工控網(wǎng)絡(luò)安全防護(hù)系統(tǒng)必須進(jìn)行持續(xù)審查和重新評(píng)估，任何關(guān)于工控網(wǎng)絡(luò)安全的固定認(rèn)知也需要不斷的更新或改變。