。“震网”据说就是利用U盘带入的。

(4）过于高估工业防火墙等传统防护产品的作用

从目前工控系统的实际来看，工控系统除了它支持的私有协议和公开专用协议之外，其他所有的协议都会被过滤，不会被处理。换言之，工控系统一般都具备了一般防火墙的能力。从这个意义上看，目前市场上所谓的工业防火墙，也仅仅起到应付检查的自我安慰作用。

(5) 过于依赖单向通信隔离装置

如上所述，针对工控系统的攻击途径有多种，有通过网络远程实施的，有通过无线接入的，更有通过移动介质、工程实施与维保预埋、备品备件预埋等途径，单向通信隔离装置也只能起到一部分作用。

七、工业系统网络安全保护必须覆盖工控系统本身、生产工艺与操作流程等所有方面

从具体实践来讲，对工控系统的网络安全防护和保护需要从以下几个层面综合考虑：

第一层，对工控系统的网络安全防护和保护，需要覆盖工控系统软件、硬件和网络等所有部件。

第二层，对工控系统的网络安全防护和保护，需要结合生产工艺与操作流程而开展。

第三层，针对工控系统的网络安全防护和保护，还必须覆盖工控系统的设计、生产、调试、工程实施、维修、运行维护等全生命周期的所有环节。

工控系统的网络安全防护和保护是一个极其复杂的系统工程，需要回归控制系统的初心、回归控制系统的本质，从工控系统的软件、硬件、网络以及生产工艺、生产流程、生产装置等多方面同时着手，才能真正有效的对国家重要基础设施安全进行保护。