對于控制網絡系統，由于安全漏洞可能帶來的直接安全隱患有以下幾種。

1、入侵

系統被入侵是系統常見的一種安全隱患。黑客侵入計算機和網絡可以非法使用計算機和網絡資源，甚至是完全掌控計算機和網絡。

控制網絡的計算機終端和網絡往往可以控制諸如大型化工裝置、公用工程設備，甚至核電站安全系統等大型工程化設備。黑客一旦控制該系統，對系統造成一些參數的修改，就可能導致生產運行的癱瘓，就意味著可能利用被感染的控制中心系統破壞生產過程、切斷整個城市的供電系統、惡意污染飲用水甚至是破壞核電站的正常運行。隨著近些年來越來越多的控制網絡接入到互聯網當中，這種可能就越來越大。

2、拒絕服務攻擊

受到拒絕服務攻擊是一種危害很大的安全隱患。常見的流量型攻擊如Ping Flooding、UDP Flooding等，以及常見的連接型攻擊如SYN Flooding、ACK Flooding等，通過消耗系統的資源，如網絡帶寬、連接數、CPU處理能力等使得正常的服務功能無法進行。拒絕服務攻擊難以防范的原因是它的攻擊對象非常普遍，從服務器到各種網絡設備如路由器、交換機、防火墻等都可以被拒絕服務攻擊。

控制網絡一旦遭受嚴重的拒絕服務攻擊就會導致操作站的服務癱瘓，與控制系統的通信完全中斷等。可以想像，受到拒絕服務攻擊后的控制網絡可能導致網絡中所有操作站和監控終端無法進行實時監控，其后果是非常嚴重的。而傳統的安全技術對拒絕服務攻擊幾乎不可避免，缺乏有效的手段來解決。

3、病毒與惡意代碼

病毒的泛濫是大家有目共睹的。全球范圍內，每年都會發生數次大規模的病毒爆發。目前全球已發現數萬種病毒，并且還在以每天數十余種的速度增長。除了傳統意義上的具有自我復制能力但必須寄生在其它實用程序中的病毒外，各種新型的惡意代碼也層出不窮，如陷阱門、邏輯炸彈、特洛伊木馬、蠕蟲、Zombie等。新型的惡意代碼具有更強的傳播能力和破壞性。例如蠕蟲，從廣義定義來說也是一種病毒，但和傳統病毒相比最大不同在于自我復制過程。傳統病毒的自我復制過程需要人工干預，無論運行感染病毒的實用程序，或者是打開包含宏病毒的郵件等，沒有人工干預病毒無法自我完成復制、傳播。但蠕蟲卻可以自我獨立完成以下過程：

1. 查找遠程系統：能夠通過檢索已被攻陷的系統的網絡鄰居列表或其它遠程系統地址列表找出下一個攻擊對象。

2. 建立連接：能夠通過端口掃描等操作過程自動和被攻擊對象建立連接，如Telnet連接等。

3. 實施攻擊：能夠自動將自身通過已經建立的連接復制到被攻擊的遠程系統，并運行它。

一旦計算機和網絡染上了惡意代碼，安全問題就不可避免。

常規網絡安全技術

石化企業隨著信息系統的不斷發展，大量IT技術被引入，同時也包括各種IT網絡安全技術。目前以MES為代表的信息系統在實現控制網絡接入信息網絡時，也基本都考慮了對控制網絡的安全防護。但目前對控制網絡的防護，大部分采用的是常規網絡安全技術，主要包括防火墻、IDS、VPN、防病毒等。這些技術主要面向商用網絡應用。

在企業的信息化系統中，由辦公網絡、管理網絡組成的信息網絡與商用網絡的運維特點比較相似，因此采用常規網絡安全技術是適合的。而控制網絡特點則有很大不同。

控制網絡是控制系統如DCS各部件協同工作的通信網絡。控制系統負責對生產裝置的連續不間斷地生產控制，因此控制網絡同樣具有連續不可間斷的高可靠性要求。另一方面，控制網絡也是操作人員對控制系統實時下發控制指令的重要途徑，所以控制網絡又具有不可延遲的高實時性要求。

在商用網絡里可以存在病毒，幾乎每天都有新的補丁出現，計算機可能會死機、暫停，而這些如果發生在控制網絡里幾乎是不可想象的。為了保證生產安全，在極端情況下，即便將控制網絡與信息網絡斷開，停止與信息網絡交換數據也要保證控制系統的安全。因此，過程生產的連續不可間斷的高可靠性要求控制網絡具備更高的安全性。

另外，從數據安全角度來看，商用網絡往往對數據的私密性要求很高，要防止信息的泄露，而控制網絡強調的是數據的可靠性。另外，商用網絡的應用數據類型極其復雜，傳輸的通信標準多樣化，如HTTP、SMTP、FTP、SOAP等；而控制網絡的應用數據類型相對單一，以過程數據為主，傳輸的通信標準以工業通信標準為主，如OPC、Modbus等。

通過比較商用網絡與控制網絡的差異可以發現，常規的IT網絡安全技術都不是專門針對控制網絡需求設計的，用在控制網絡上就會存在很多局限性。

比如防火墻產品，目前基本是以包過濾技術為基礎的，它最大的局限性在于不能保證準許放行的數據的安全性。防火墻通過拒絕放行并丟棄數據包來實現自己的安全機制。但防火墻無法保證準許放行數據的安全性。從實際應用來看，防火墻較為明顯的局限性包括以下幾方面：

1）、防火墻不能阻止感染病毒的程序和文件的傳輸。就是防火墻只能做網絡四層以下的控制，對于應用層內的病毒、蠕蟲都沒有辦法。

2）、防火墻不能防范全新的威脅，更不能防止可接觸的人為或自然的破壞。

3）、防火墻不能防止由自身安全漏洞引起的威脅。

4）、防火墻對用戶不完全透明，非專業用戶難于管理和配置，易造成安全漏洞。

5）、防火墻很難為用戶在防火墻內外提供一致的安全策略，不能防止利用標準網絡協議中的缺陷進行的攻擊，也不能防止利用服務器系統漏洞所進行的攻擊。

6）、由于防火墻設置在內網與外網通信的信道上，并執行規定的安全策略，所以防火墻在提供安全防護的同時，也變成了網絡通信的瓶頸，增加了網絡傳輸延時，如果防火墻出現問題，那么內部網絡就會受到嚴重威脅。

7）、防火墻僅提供粗粒度的訪問控制能力。它不能防止數據驅動式的攻擊。

另一方面，防火墻由于其自身機理的原因，還存在很多先天不足，主要包括：

1）、由于防火墻本身是基于TCP/IP協議體系實現的，所以它無法解決TCP/IP協議體系中存在的漏洞。

2）、防火墻只是一個策略執行機構，它并不區分所執行政策的對錯，更無法判別出一條合法政策是否真是管理員的本意。從這點上看，防火墻一旦被攻擊者控制，由它保護的整個網絡就無安全可言了。

3）、防火墻無法從流量上判別哪些是正常的，哪些是異常的，因此容易受到流量攻擊。

4）、防火墻的安全性與其速度和多功能成反比。防火墻的安全性要求越高，需要對數據包檢查的項目（即防火墻的功能）就越多越細，對CPU和內存的消耗也就越大，從而導致防火墻的性能下降，處理速度減慢。

5）、防火墻準許某項服務，卻不能保證該服務的安全性，它需要由應用安全來解決。

防火墻正是由于這些缺陷與不足，導致目前被攻破的幾率已經接近50%。雖然目前最流行的安全架構是以防火墻為核心的安全體系架構。通過防火墻來實現網絡的安全保障體系。然而，以防火墻為核心的安全防御體系未能有效地防止目前頻頻發生網絡攻擊。僅有防火墻的安全架構是遠遠不夠的。

其它安全技術如IDS、VPN、防病毒產品等與產品與防火墻一樣，也都有很強的針對性，只能管轄屬于自己管轄的事情，出了這個邊界就不再能發揮作用。IDS作為可審查性產品最大的局限性是漏報和誤報嚴重，幾乎不是一個可以依賴的安全工具，而是一個參考工具。漏報等于沒有報，誤報則是報錯了，這兩個特點幾乎破壞了入侵檢測的可用性。VPN作為一種加密類技術，不管哪種VPN技術，在設計之初都是為了保證傳輸安全問題而設計的，而沒有動態、實時的檢測接入的VPN主機的安全性，同時對其作“準入控制”。這樣有可能因為一個VPN主機的不安全，導致其整個網絡不安全。防病毒產品也有局限性，主要是對新病毒的處理總是滯后的，這導致每年都會大規模地爆發病毒，特別是新病毒。

網絡隔離技術及防護產品

1、網絡隔離技術

在防火墻的發展過程中，人們最終意識到防火墻在安全方面的局限性。高性能、高安全性、易用性方面的矛盾沒有很好地解決。防火墻體系架構在高安全性方面的缺陷，驅使人們追求更高安全性的解決方案，人們期望更安全的技術手段，網絡隔離技術應運而生。

網絡隔離技術是安全市場上的一個分支。在經過漫長的市場概念澄清和技術演變進步之后，市場最終接受了網絡隔離具有最高的安全性。目前存在的安全問題，對網絡隔離技術而言在理論上都不存在。這就是各國政府和軍方都大力推行網絡隔離技術的主要原因。