Tofino模塊采用Tofino Central Management Platform (CMP，中央管理平臺)進行集中配置、組態和管理(可遠程甚至跨國使用)，控制系統網或企業網均可以在適當位置安裝CMP。使用CMP，并裝載各種必要的Loadable Security Modules (LSMs，可裝載安全軟件插件)，就可以實時在線調整Tofino模塊，使之滿足所保護區域及設備的安全要求。

 

Tofino安全解決方案系統配置示意

        Tofino軟插件LSM能夠為工廠用戶量身定制加密，入侵檢測及控制協議識別等安全解決方案。例如，可以將其中一個Tofino硬件作為專有PLC控制系統網絡的防火墻，將另外一個Tofino硬件作為網絡RTU通訊的加密系統。當然，單個Tofino硬件可以同時裝載多個軟插件LSM，同時提供多重安全防護。

         Tofino Security System一方面是一個完整的分布式的安全解決方案，另一方面又可以簡單、安全地進行集中管理，這些特性使得它成為一款獨一無二的產品。對大型工業企業來說，Tofino Security System更意味著最佳的安全效益和技術支持，并不只是簡單滿足了獨立的關鍵控制系統設備的安全需求。

        不同于傳統的IT防火墻，Tofino專為工業環境控制網絡通信安全要求而設計。現場技術人員只需簡單為Tofino接入電源，并連接兩個網絡的電纜即可，無需其他任何操作。一旦安裝成功，安全/技術人員即可毫不費力地管理任何系統，以總攬公司大局的方式對網絡威脅作出反應。最重要的是，Tofino既可以靈活運用在單純由PLC構成的小型工廠中，又能夠滿足那些擁有成千上萬個設備并且分布全球各地的大型跨國公司的使用要求。

         方案構成

         一個完整的Tofino工業控制系統信息安全解決方案包含以下四部分：

         Tofino安全模塊(TSA)——增強型工業環境要求設計，即插即用，應用于受保護的區域或控制器等關鍵設備之前。下圖為Tofino安全模塊硬件(TSA-220)：

         Tofino可裝載安全軟插件(LSM)——專為工業通訊協議設計的安全軟插件，提供安全服務，如工業通信防火墻、事件與報警管理，OPC/Modbus TCP通信深度檢查、安全設備資產管理、VPN加密等。LSM可以直接裝載到Tofino安全模塊中，并根據系統需求提供各種定制安全服務。

          Tofino中央管理平臺(CMP)——窗口化的中央管理平臺系統及數據庫，用于Tofino安全模塊的配置、組態和管理。

          Tofino安全管理平臺(SMP)——窗口化的安全管理平臺系統及數據庫，統一管理所有與SMP相連的CMP和TSA的實時數據及報警信息，可用于辦公網監視、查閱和存儲實時數據及報警信息。

Tofino中央管理平臺界面截圖

           方案達到的目標

         區域隔離：Tofino工業防火墻插件能夠過濾兩個區域網絡間的通信，這樣意味著網絡故障會被控制在最初發生的區域內，而不會影響到其它部分。

         通信管控：通信規則是可以在線通過CMP進行預先組態和測試的。

          實時報警：任何非法的(沒有被組態允許的)訪問，都會在CMP管理平臺產生實時報警信息，并可通過Syslog Server(可選)等軟硬件以郵件或短信的方式通知管理者，從而故障問題會在原始發生區域被迅速的發現和解決

          一勞永逸：工業級硬件設計，保證模塊的穩定性;特有的專有控制通訊協議檢查設計理念(白名單理念)，告別了傳統防火墻的病毒庫升級等繁瑣工作，在防護的同時也不改變控制系統網絡原有應用軟件的操作模式，大大降低控制系統網絡維護量。(青島多芬諾信息安全技術有限公司)