文章总结： 本文探讨零信任在工业领域的三大困境：安全与生产连续性冲突、微隔离阻碍协同及遗留系统难改造。建议务实构建韧性：强化IT/OT边界、分域分级实施、采用无代理监控及建立联合决策机制，在永不停机铁律下平衡安全与效率。 综合评分： 92 文章分类： IoT安全,安全建设,解决方案,网络安全,安全运营

观点丨零信任的工业迷思：当安全革命撞上“不停机”铁律

原创

李可歆 李可歆

工业安全产业联盟平台

2026年2月4日 19:04 北京

在IT世界风靡的“零信任”，带着“永不信任，持续验证”的革命性口号，正试图叩开工厂车间的大门。然而，这道门后的世界，运行的是一套截然不同的法则。这里奉行的第一铁律是 “不停机” ，任何可能干扰生产连续性的因素，都会被本能地抗拒。当理想化的安全架构遭遇坚如磐石的工业现实，一场深刻的冲突与困境由此展开。

困境一：安全响应与生产连续性的根本冲突

工业领域的第一铁律是“不停机”。这种对可用性的极致要求，与零信任可能引入的复杂验证和潜在中断风险，形成了根本矛盾。

2021年殖民管道勒索软件事件，暴露了这一冲突的极端形态。攻击者仅通过一个失效的VPN账户便侵入系统。然而，事件中最具启示的并非入侵本身，而是公司随后的决策——由于无法确认勒索软件是否已从IT网络扩散至控制超过8000公里管道的OT网络，管理层选择了主动关闭整个输油系统。

这一预防性措施直接引发了美国东海岸的燃油危机。它残酷地揭示：在工业环境中，对攻击扩散的“不确定性”所带来的恐惧，可能迫使运营者采取比攻击本身破坏性更大的行动。当安全响应的代价是中断国家关键基础设施时，最“安全”的决策反而造成了最广泛的影响。

困境二：微隔离与生产协同的技术矛盾

零信任的核心实践是“微隔离”，即将网络划分为最小权限区域。但在高度自动化、各环节精密协同的生产线上，网络隔离可能直接转化为生产中断。

一家德国汽车制造商的喷涂车间试点，生动展示了这一困境。当安全团队尝试将机器人控制单元与物料调度系统进行逻辑隔离时，隔离策略引入的毫秒级延迟和验证开销，导致了机器臂动作与油漆供给的细微不同步。结果是高端车型的漆面出现瑕疵，整条生产线被迫暂停数小时。

生产线经理的反馈代表了典型的OT思维：“我的首要职责是保障产量与质量，而非安全评分。任何将99.99%可用性降至99.9%的方案，本质上都是不可接受的。” 在OT环境中，流程的物理耦合度远超IT系统，零信任所需的网络隔离可能“切得断数据流，却切不断物理世界的连锁反应”。

困境三：遗留系统与安全改造的现实鸿沟

工业现场充斥着设计寿命数十年的“活化石”设备——老旧的PLC、专用控制器和SCADA系统。这些系统设计时网络安全尚未成为考量，其固件不支持现代认证，硬件无法运行安全代理，甚至一次计划外的重启都可能需要漫长的产线校准。

亚洲一家大型炼油厂的案例极具代表性。该厂试图对核心催化裂化装置的控制系统进行升级，以支持基于证书的访问控制。这套控制价值数亿压缩机机组的系统，已持续运行超过15年。评估发现，升级所需的关键机组停机时间至少72小时，远超计划检修窗口，潜在损失高达数千万美元。更关键的是，新固件与现有定制化控制逻辑存在兼容性风险。

该项目最终被无限期搁置。安全负责人直言：“我们面对的是仍在维持心跳的‘衰老器官’，无法承受任何有风险的手术。” 这些深植于核心生产流程的遗留系统，成为了零信任无法落地的“安全飞地”，同时也是攻击者最易利用的脆弱点。

面对三重困境，工业领域需要放弃IT领域的“颠覆式”思维，转向务实、渐进的韧性构建：

1

强化IT/OT边界防护：在全面OT内部零信任尚不现实时，优先加固IT与OT之间的单向隔离网闸和访问控制。这是性价比最高的防护层，能抵御大部分源自IT网络的初始入侵。

2

分域分级渐进实施：基于细致的业务依赖分析，从非核心区域（如历史数据服务器）开始试点，逐步向核心区推进，并为每次变更设置完备的回滚方案。

3

采用无代理监控技术：对于无法改造的遗留设备，采用被动流量分析技术，通过建立正常通信行为基线来检测异常活动，实现“虽不能防，但可知、可溯”。

4

建立联合决策机制：任何安全策略变更，必须由安全团队与生产、工艺团队共同评审，将安全语言转化为对产量、质量、效率的实际影响评估。

结 语

零信任在工业世界的旅程，不是一场速战速决的闪电战，而是一场考验智慧与耐心的持久战。其最终目标，并非构建一个密不透风的绝对安全堡垒，而是在不可避免的风险中，构建一种能够快速感知、迅速响应、并保障核心功能持续运行的“韧性”。

真正的工业零信任，始于对一台无法升级的老旧PLC的妥协，成于安全工程师与产线老师傅的一次坦诚对话。当“永不信任”的哲学，学会了尊重“永不停机”的铁律，它才能真正在这片由钢铁、机油与数据构成的土壤中，扎下根来。这条路上没有神话，只有一次又一次在安全与生产之间的谨慎权衡与务实推进。

· end ·

责任编辑 | 赫敏

如需合作或咨询，请联系工业安全产业联盟平台小秘书微信号：ICSISIA20140417

往期荐读

重磅 |《自动化博览》2025年第一期暨《工业控制系统信息安全专刊（第十一辑）》上线

征求意见稿丨网络安全技术 工业控制系统网络安全防护能力成熟度模型（附下载）

工信部丨关于防范针对DeepSeek本地化部署实施网络攻击的风险提示

干货丨长输油气管网工控安全防护：策略、实践与展望

DeepSeek分析丨零信任安全架构在工业领域的发展现状与未来展望

数字化安全丨工信部印发《高标准数字园区建设指南》（附全文+图解）

AI安全丨人工智能安全治理框架2.0版（附下载）

干货丨工业可编程控制系统加密技术研究

荐读 |安全人视角的DeepSeek洞察与思考

可信数据丨中国城市可信数据空间行业研究报告（附全文）

关注丨网络关键设备安全检测结果（第19批）

数据安全｜国家标准支撑《网络数据安全管理条例》生效施行（v1.0）

工信部、国家标准委联合印发丨云计算综合标准化体系建设指南（2025版）

国家标准丨数据安全国家标准体系（2025版），附下载

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：工业安全产业联盟平台 李可歆 李可歆《观点丨零信任的工业迷思：当安全革命撞上“不停机”铁律》