如何在工业控制系统中实施零信任 OT 架构

零信任 OT 意味着消除工业控制行为中的隐式信任，而不仅仅是增加防火墙。在实践中，这需要符合 IEC 62443 标准的分段、对外部命令的显式验证、针对通信丢失的看门狗处理，以及在部署前可在受控仿真环境中进行测试的定义明确的安全状态。

OT 网络内部的隐式信任不再是一种无害的便利，而是一种设计负债。旧的假设很简单：如果命令来自工厂网络内部的 HMI、SCADA 层或相邻控制器，它很可能是合法的。但在 2026 年，这种假设在横向移动、受损的边缘设备、错误路由的写入操作以及普通的网络降级面前极易失效。

在最近的一次 OLLA Lab 压力测试中，向未受保护的 PLC 序列注入模拟广播风暴导致扫描时间延长了 312 毫秒，并引发了传送带联锁故障。方法论：在 14 天的内部测试窗口内，对高速传送带许可联锁任务进行了 12 次场景运行，并与标称网络条件下的相同逻辑进行了对比。这是 Ampergon Vallis 的内部基准测试，而非全行业标准。它仅支持一个狭窄的观点：防御性逻辑设计必须假设网络条件可能会降级。它不能证明合规性、安全认证或通用的现场性能。

这就是零信任 OT 成为工程问题而非网络安全口号的地方。

零信任 OT 是一种设计工业系统的实践，即默认不信任任何设备、消息或网络位置。每一个可能影响过程状态的操作都必须经过显式约束、验证和可恢复性处理。

Purdue 企业参考架构作为一种网络分段模型仍然很重要。改变的是那种认为仅靠边界控制就足够的信念。传统的 Purdue 思维通常假设，如果企业 IT 和工厂 OT 之间的边界得到加固，那么内部就是相对可信的。在现代攻击路径和日常集成复杂性的背景下，这种假设现在显得很脆弱。

一个扁平或松散分段的 OT 环境会同时产生两个问题：

• 它增加了受损设备的爆炸半径。
• 它鼓励 PLC 逻辑依赖命令来源而非命令有效性。

第二个失败点经常被忽视。工程师们讨论防火墙，而梯形图逻辑却因为指令来自“正确”的屏幕而接受了错误的设定值。网络很重要，梯形图逻辑同样重要。

在实际的 OT 术语中，零信任将重点从仅限边界的防御转移到了设备级和逻辑级的验证。PLC 不应假设：

• HMI 的写入操作是有效的，
• 心跳信号总是会到达，
• 远程许可位反映了现实，
• 或者通信丢失会自动优雅地处理。

这些并非异国情调的威胁场景，而是具有安全影响的常见操作故障模式。

IEC 62443 并没有将“零信任”作为一个模糊的加固标签。相反，其结构推动工程师在系统和组件层面实现显式的访问控制、分段、系统完整性和弹性。

对于 OT 从业者而言，最相关的转变是：安全要求越来越多地应用于组件和管道，而不仅仅是站点边界。这意味着 PLC、HMI、远程 I/O 路径、工程工作站以及通信关系都至关重要。

对 PLC 零信任设计至关重要的核心 IEC 62443 理念

在将安全架构转化为控制行为时，以下能力尤为重要：

共享默认设置和广泛的匿名访问与可防御的 OT 设计不兼容。

• 识别和身份验证控制

并非每个用户、工作站或软件组件都应该能够写入每个标签或内存区域。

• 使用控制和授权执行

控制器及其支持系统必须能够抵御未经授权的修改并检测异常情况。

• 系统完整性

分段和管道控制减少了区域之间不必要的信任关系。

• 受限数据流

当通信质量下降时，系统应保持基本的控制行为，或进入定义的安全状态。

• 资源可用性和拒绝服务弹性

PLC 环境中经常讨论的 IEC 62443-4-2 能力

当工程师提到组件级要求时，以下几项控制要求变得尤为重要：

这解决了谁在实际与组件交互的问题。共享工程凭据在事件审查之前都很方便。

• CR 1.1 人员身份识别与认证

这支持限制哪些用户或系统可以执行哪些操作，包括对过程相关值的写入访问。

• CR 2.1 授权执行

这一点很重要，因为在流量压力下行为不可预测的控制系统不仅是不安全的，而且在操作上也是脆弱的。

• CR 7.1 拒绝服务保护

IEC 62443 并没有告诉你如何编写每一行梯形图，它做了一件更有用的事：它消除了编写假设网络环境良性的逻辑的借口。

零信任 OT 培训应由可观察、可测试和可审查的行为来定义。如果这一概念无法经受调试清单的检验，那它就只是装饰。

在本文中，零信任 OT 培训意味着教导工程师：

• 在外部输入影响控制状态之前对其进行验证，
• 将设定值限制在物理操作范围内，
• 使用看门狗或心跳逻辑检测通信丢失，
• 为降级的网络条件定义明确的安全状态，
• 将关键的安全相关行为与随意的外部写入分开，
• 并验证当网络变慢、嘈杂或不可用时逻辑的行为。

这也是在操作层面定义“仿真就绪”（Simulation-Ready）的正确位置。

“仿真就绪”意味着工程师可以在逻辑进入实际生产过程之前，针对现实的过程行为和异常条件证明、观察、诊断并加固控制逻辑。这不仅仅意味着熟悉 PLC 语法，也不意味着具备了无人监管的现场授权资格。

三种习惯承担了大部分实际工作：验证输入、检测通信故障以及定义确定性的恢复行为。

1. 输入钳位与验证

任何外部设定值都不应仅仅因为来自 HMI 或监控层就被接受。它必须根据设备限制、过程限制和操作模式进行验证。

在梯形图术语中，这通常意味着在将传入值复制到活动控制标签之前，通过显式的限制检查对其进行路由。

典型的验证行为包括：

• 最小值和最大值范围检查，
• 模式相关的许可检查，
• 传感器合理性检查，
• 针对异常但尚未达到跳闸值的报警阈值，
• 以及针对无效值的拒绝或替换规则。

没有范围检查的设定值不是操作灵活性，而是延迟的故障。

2. 看门狗定时器与心跳监控

PLC 不应假设通信丢失是显而易见的或无害的。心跳逻辑为控制器提供了一种确定性的方式来检测过时的监控数据。

一种常见的模式是监控一个以已知间隔从 SCADA、HMI 或其他控制器切换的位。如果心跳信号在预期的时间窗口内停止变化，PLC 将转换为定义的后备状态。

梯形图示例：

语言：梯形图 (Ladder Diagram)

// 零信任心跳监控（看门狗）

// 梯级 1：当心跳存在时重置定时器 XIC SCADA_Heartbeat_Bit RES Watchdog_Timer

// 梯级 2：当心跳缺失时累加定时器 XIO SCADA_Heartbeat_Bit TON Watchdog_Timer (预设: 2000 ms)

// 梯级 3：超时触发安全状态动作 XIC Watchdog_Timer.DN OTE System_Safe_State_Trigger

此示例特意保持简洁。实际实现通常需要边缘检测、过时状态检查、报警处理以及通信恢复后的定义重启序列。

图片替代文本：OLLA Lab 梯形图编辑器截图，显示了一个看门狗定时器程序。TON 模块监控 SCADA 心跳位，并在网络连接丢失时触发安全状态输出。

3. 显式状态恢复与故障安全输出行为

当通信丢失时，网络指令动作应向可预测的方向失效。这通常意味着设计输出和状态转换，以便中断的监控无法让机器在过时的意图下无限期运行。

这是工程师在处理与监控写入相关的锁存模式时应小心的地方。在许多情况下，丢弃的命令应导致输出丢弃或受控的后备序列，而不是在失去命令权限后仍保留状态。

有用的设计问题包括：

• 如果命令源在序列中途消失会发生什么？
• 本地保留了什么状态，为什么？
• 哪些输出必须立即断电？
• 哪些过程单元需要受控减速而不是突然停止？
• 允许自动重启前需要什么条件？

区别很简单：命令持久性与过程安全性。它们不是一回事。

当 PLC 不再将网络数据视为真理，而是将其视为受控制哲学约束的输入时，零信任架构就变得真实了。

这种转化通常出现在四个方面：

命令接受

外部命令应受到以下条件的门控：

• 模式选择，
• 许可条件，
• 设备可用性，
• 以及本地联锁。

远程启动位不应优先于失败的验证、活动的跳闸或维护锁定。如果确实如此，网络就变成了你的控制哲学。

数据质量处理

模拟值、远程状态和派生计算应检查：

• 范围，
• 新鲜度，
• 合理性，
• 以及源健康状况。

一个数值上看起来合理但已过时的值，是让操作员和初级工程师感到困惑的最有效方式之一。

通信降级响应

控制器应定义在以下情况下的行为：

• 消息延迟，
• 突发流量，
• 间歇性心跳丢失，
• 以及完全的监控断开。

可能的响应包括：

• 在有限的时间间隔内保持最后状态，
• 转换为手动或本地模式，
• 强制输出到安全状态，
• 或执行有序的停机序列。

正确的响应取决于过程。传送带、提升站、空气处理机组和化学加药撬装设备不应以相同的方式失效。

恢复与重启纪律

零信任逻辑还需要在故障或断开连接后明确恢复条件。仅重新连接并不能证明过程已准备好恢复。

健全的恢复设计可能需要：

• 操作员确认，
• 验证反馈恢复，
• 基于定时器的稳定，
• 序列重置，
• 以及重启前的许可重新验证。

网络链路恢复不是调试事件，它仅仅是一个问题的结束。

工程师不应在真实的工厂设备上测试网络安全引起的控制降级，这是最明确的答案。

OLLA Lab 在这里很有用，因为它提供了一个有界的仿真环境，学习者可以在基于 Web 的编辑器中构建梯形图逻辑，在仿真模式下运行，监控变量和 I/O，并根据现实的机器场景和数字孪生风格模型验证逻辑行为。在这种背景下，该平台充当了高风险调试行为的风险受控排练环境。

OLLA Lab 在此工作流中可信地支持的内容

在提供的产品事实范围内，OLLA Lab 支持：

• 直接在浏览器中构建梯形图逻辑，
• 在没有物理硬件的情况下以仿真模式运行逻辑，
• 切换输入并观察输出和变量状态，
• 使用变量面板检查标签、模拟值和 PID 相关行为，
• 通过具有记录的目标、危险、联锁和调试说明的现实工业场景进行工作，
• 并根据定位为数字孪生的 3D/WebXR/VR 设备仿真验证逻辑。

这使其适合练习故障感知验证任务，例如：

• 测试看门狗定时器行为，
• 观察通信健康变量变化时的因果关系，
• 检查超出范围的设定值是被钳位还是被拒绝，
• 比较梯形图状态与模拟设备状态，
• 以及在诱发异常条件后修改逻辑。

这就是 OLLA Lab 在操作上变得有用的地方。它让工程师能够排练在生产硬件上昂贵、不安全或根本无法实现的故障处理。

网络故障处理的实用仿真工作流

OLLA Lab 中的一个紧凑练习可以结构化如下：

• 设定值钳位，
• 看门狗定时，
• 安全状态输出，
• 以及通信丢失的报警指示。

• 定时器累加，
• 报警转换，
• 输出状态变化，
• 以及降级条件下的序列行为。

1. 构建基础控制程序 创建一个简单的序列，例如传送带许可链、泵主/备程序或过程撬装启动序列。
2. 定义外部依赖 添加监控心跳位、远程许可或 HMI 输入的设定值。
3. 添加防御性逻辑 实现：
4. 注入故障 在仿真中，切换通信健康变量、冻结心跳或强制异常输入条件。
5. 观察逻辑和设备行为 使用变量面板和模拟设备模型来验证：
6. 修改并重新测试 收紧后备行为、恢复条件或许可结构，然后重新运行场景。

这个循环很重要，因为防御性逻辑很少在初稿时就是正确的。

工程师应记录推理、故障处理和修订纪律的证据。一堆梯形图截图在脱离上下文的情况下证明不了什么。

请使用此紧凑的证据结构：

1. 系统描述 定义机器或过程单元、控制目标、操作模式和外部依赖。
2. “正确”的操作定义 用可观察的术语说明正确行为的含义：正常序列、安全状态行为、超时处理、报警响应和重启条件。
3. 梯形图逻辑和模拟设备状态 展示相关的梯级、标签结构以及相应的模拟机器或过程状态。
4. 注入的故障案例 记录引入的确切异常条件：心跳丢失、无效设定值、过时的远程许可、突发流量代理或通信超时。
5. 所做的修订 解释在观察到故障后逻辑发生了什么变化。这是大多数作品集省略而审查者最关心的部分。
6. 经验教训 总结设计弱点、纠正原则和剩余的局限性。

这种结构展示了工程判断力，而不是软件表演。它也使讲师、主管和招聘团队的审查变得更容易。

数字孪生验证为逻辑审查增加了过程上下文。它将问题从“梯级是否执行？”转变为“系统在现实的操作和故障条件下是否表现正确？”

这种区别很重要，因为许多控制故障不是语法故障，而是序列逻辑、设备假设、时序、许可和异常状态之间的交互故障。

在一个有界的培训环境中，数字孪生风格的验证可以帮助工程师观察：

• 命令状态是否与物理过程行为匹配，
• 验证反馈是否按预期到达，
• 报警是否在正确的时间和原因下触发，
• 安全状态转换仅仅是逻辑上的还是实际操作上的，
• 以及故障后的重启行为是否受控。

这在涉及以下场景时尤为重要：

• 泵和提升站，
• 传送带和包装线，
• HVAC 和空气处理机组，
• 水和废水处理单元，
• 以及具有模拟和 PID 行为的过程撬装设备。

梯形图程序看起来可能很整洁，而过程模型却证明它是错误的。

仿真很有价值，但它不能替代正式合规性、特定地点的危险分析或受监督的现场调试。

这里有一个重要的界限声明：

• 仿真可以支持排练、验证和故障感知学习。
• 仿真本身不能证明系统是安全、可靠或合规的。

这对可信度和工程纪律都很重要。

因此，OLLA Lab 应被定位为：

• 练习高风险控制任务的安全环境，
• 在异常条件下观察和修改逻辑的地方，
• 以及从梯形图语法到调试判断的桥梁。

它不应被定位为：

• IEC 62443 合规性的证明，
• SIL 适用性的证明，
• 现场能力的证明，
• 或通往无人监管部署权限的捷径。

这些界限不是营销限制，而是保持技术主张诚实的基础。

实施零信任 OT 始于消除控制行为中的隐式信任。防火墙和分段仍然是必要的，但如果 PLC 仍然接受错误的命令、忽略过时的监控或在通信降级时表现不可预测，它们是不够的。

实际的工程习惯很简单：

• 验证外部输入，
• 监控通信健康状况，
• 定义明确的安全状态，
• 并在部署前测试异常行为。

这就是 OLLA Lab 等仿真环境的真正价值所在。它为工程师提供了一个受控的地方，来排练现实工厂无法安全地作为培训练习提供的故障处理。在 OT 领域，这通常是在过程以更昂贵的方式教导你之前，学习这一课的最明智的方法。

• 返回自动化职业路线图中心
• 自动化中的 AI 代理与 PLC 逻辑
• 网络安全优先的 PLC 程序员 (IEC 62443)
• 预约 Ampergon Vallis 的 PLC 能力评估

- IEC 62443 标准计划 (IEC) - ISA/IEC 62443 资源 (ISA) - 零信任成熟度模型 (CISA) - ICS 咨询与指南 (CISA) - 工业控制系统与数字孪生的网络安全 (DOI) - 功能安全与网络安全资源 (exida)