文章总结： 本文探讨工业控制系统(OT)网络安全新思路，提出核心资产定义应从物理设备转向关键功能与数据流。文章强调需采用动态功能映射、补偿性控制(如网络分段和虚拟补丁)及IT/OT协同治理，以应对日益增长的针对性攻击(如2023年针对水务设施的恶意软件攻击)。建议通过数字孪生技术验证防御策略，并建立跨职能团队统一风险语言。 综合评分： 87 文章分类： 解决方案,OT安全,网络安全,安全建设,技术标准

OT网络安全的新思考专题 | 第二篇：重新定义工业“皇冠上的宝石”——OT核心资产的识别、保护与治理新思路

原创

安帝科技 安帝科技

安帝Andisec

2026年5月14日 12:01 北京

在小说阅读器读本章

去阅读

在高度互联的工业环境中，传统意义上以发电机、泵站等物理设备为代表的“皇冠上的宝石”概念，正经历一场深刻的变革。随着工业控制系统（ICS）与信息技术（IT）的深度融合，以及工业物联网（IIoT）、云平台和数字孪生技术的普及，攻击者的目标已不再局限于破坏硬件。通过篡改遥测数据、污染算法逻辑或劫持远程访问通道，攻击者能够对生产运营实施更具毁灭性的打击。这一根本性转变意味着，单纯依赖静态资产清单与被动补丁管理的传统安全策略已然失效，取而代之的，必须是一套以保障关键业务功能连续性为核心、动态、系统性的新型防护框架。

这场围绕“皇冠宝石”保卫战的攻防态势已经升级。据统计，从2023年1月到2024年1月，全球关键基础设施遭受了惊人的4.2亿次网络攻击，同比增长30%，相当于每秒发生约13次攻击[2]。其中，近60%针对能源和公用事业部门的攻击与国家背景的黑客有关[2]。2023年，伊朗黑客组织“CyberAv3ngers”利用定制恶意软件，将目标对准全球水务、废水和油气控制系统[2]。安帝科技跟踪的四大ICS攻击组织在2025年披露了366起安全事件，受害目标高度集中于能源水务、医疗设备、食品冷链和楼宇自动化等民生关键基础设施[4]。面对这样的威胁，我们该如何重新定义并有效保护工业核心资产？答案在于一套贯穿理念、方法、技术与治理的全方位“新思路”。

01

核心资产内涵之新：从“保护物理设备”转向“守护功能与数据”

在传统工业安全框架中，“皇冠上的宝石”被直观地等同于那些最核心、最不可替代的物理资产，例如大型发电机、关键泵站或能源管道。这些实体一旦被毁，后果不堪设想。然而，这种以设备为中心的视角在数字化浪潮中显得日益片面。

工业环境中的“皇冠上的宝石”必须被重新审视。施耐德电气的网络安全风险与合规总监Cristina Palomo指出，除了应用程序，数据和关键路径同样成为核心，因为它们直接影响安全、正常运行时间和业务价值[2]。Worley公司OT网络安全高级首席顾问Osmar Couto也强调，现代定义必须同时涵盖物理和数字资产，包括数据、算法、系统配置，甚至品牌声誉[2]。一个鲜活的例证是：2023年伊朗黑客组织CyberAv3ngers入侵西方多国水处理设施时，并非直接破坏水泵，而是通过操控人机界面（HMI）和逻辑控制器，试图改变水中的化学配比——攻击的是控制逻辑与数据，而非硬件本身。

因此，新思路下的“皇冠宝石”不再仅仅是“有什么机器”，而是“数据流经何处、决策如何产生、远程如何接入”。它涵盖了从现场可编程逻辑控制器（PLC）、安全仪表系统（SIS）到云端分析平台、第三方API接口乃至数字孪生模型的全链路关键要素[2][3]。Armexa公司的网络安全总监Dave Gunter提醒道，一个组织若将“皇冠宝石”定义得过宽，会稀释保护资源；定义得过窄，则会使真正的核心暴露在巨大风险之下[1]。

02

识别与优先级之新：从“静态资产清单”转向“动态功能映射”

许多组织只有在安全事件发生后，才真正意识到哪些资产是不可或缺的[2]。这种“事后诸葛亮”式的被动发现，代价极其昂贵。究其原因，是组织长期依赖过时的资产清单和“部落知识”——关键信息仅存在于少数资深员工的脑海中，一旦人员流动，知识的断层便成为巨大的安全盲区[2][3]。

新思路要求组织运用系统思维，并辅以数字孪生和依赖关系映射，从“资产优先”彻底转向“功能优先”。

用系统思维代替资产枚举：爱达荷国家实验室（INL）Cybercore集成中心的项目组合经理Micah Steffensen指出，比描述“皇冠宝石”更重要的是理解组织如何交付其最关键的功能[2]。这需要我们关注系统内部各元素之间的“关系”和“交互”，而不是简单地将其拆解为孤立的部件。他推荐的“后果驱动的网络信息工程”（CCE）方法，正是引导组织从攻击者的视角，模拟分析哪些功能环节的失效会造成最严重的后果，从而逆向锁定需要重点防御的“关键地形”[2]。MITRE的Mark Bristow也强调，必须采用威胁知情、以对手为视角的分析方法（如MITRE的Infrastructure Susceptibility Analysis），将缓解资源投入到最可能挫败对手行动的地方[2]。

利用数字孪生进行安全验证：对于无法轻易停机的关键系统，数字孪生技术提供了一个安全的“沙盒”。组织可以在虚拟环境中模拟针对“皇冠宝石”的攻击场景（如篡改某段关键遥测数据），验证防御策略的有效性，测试补丁或配置变更的影响，而无需在真实生产环境中“摸着石头过河”[2]。这种方法将传统的“验证后部署”转变为“部署前验证”，极大降低了风险。

持续动态映射，拒绝一劳永逸：业务在变，网络在变，威胁也在变。因此，“皇冠宝石清单”不能是一年一度的例行公事，而必须是一个“活的运营工件”[2][3]。Nozomi Networks的产品经理Eric Knapp建议，每当有新的连接、资产更换或远程访问需求时，都必须重新评估依赖关系[2]。利用自动化工具，结合MITRE ATT&CK for ICS框架，持续进行基于风险的威胁建模，才能确保资产地图的实时准确性。

03

技术防护之新：从“补丁优先”转向“补偿控制与韧性架构”

在OT环境中，追求“绝对安全”往往会与“业务连续性”产生剧烈冲突。许多PLC、RTU等老旧系统运行了数十年，其操作系统和专用协议无法兼容现代安全补丁，供应商也严格规定了补丁参数，不容终端用户擅自操作[1]。强行下线打补丁可能导致数小时甚至数天的生产中断，这是无法接受的。因此，传统IT世界“发现漏洞、立即打补丁”的思维在OT世界常常碰壁。

新思路的核心是建立深度防御（Defense-in-Depth）架构，并广泛采用补偿性控制措施，在不中断运营的前提下构建多重防线。

网络隔离与微分段，且必须可视化验证：Cisco OT安全解决方案经理Andrew McPhee和Nozomi Networks的全球现场CTO Sandeep Lota均强调，网络分段是将OT“皇冠宝石”与不安全的IT网络隔开的最有效策略[1]。然而，许多组织存在“假性隔离”——想当然地认为OT和IT是分离的，实际上却存在未受监管的通信链路。因此，必须通过网络可视化工具持续验证分段的有效性[1]。Colonial Pipeline事件就是惨痛教训：一次IT网络攻击并未真正突破OT网络，但仍导致运营方出于“过度谨慎”而主动关停管道五天，引发区域性能源紧急状态[1]。

补偿性控制的“工具箱”：当系统无法打补丁时，可采用一系列替代措施[1][2]：

虚拟补丁：通过部署入侵防御系统（IPS）和深度包检测（DPI），在网络层面“屏蔽”已知漏洞的利用流量。例如，为老旧Modbus TCP协议栈的漏洞配置虚拟补丁，而无需更新设备固件。

严格的访问管理：实施特权访问管理（PAM），要求多因素认证（MFA），并对所有供应商和承包商的远程会话进行时间限定、全程审计。这直接回应了参考材料中反复强调的“身份与访问管理是弱点”的问题[2]。

单向网关：在需要从外部获取数据但严禁外部访问内部网络的场景（如从互联网获取气象数据用于电网负荷预测），部署单向网关，确保数据只能“进”，不能“出”，从物理层面杜绝攻击路径。

基于行为的持续监控：放弃仅依赖“签名”的检测机制，因为新的攻击没有签名。转向基于机器学习的行为分析，为每个“皇冠宝石”资产建立正常行为基线。当检测到PLC发送异常指令、工程师站出现非授权配置更改或数据流向发生意外改变时，系统能够实时告警[1][3]。MITRE的Mark Bristow指出，当防守者理解了攻击者的思维方式后，就能构建出能够发现真实威胁的策略，即使不知道具体的漏洞利用代码[2]。

04

治理与协同之新：从“IT/OT两张皮”转向“跨职能协同与文化重塑”

IT团队追求机密性、完整性；OT团队则将可用性和功能安全性（safety）置于首位[1]。这种根深蒂固的文化和价值差异，导致两个团队在协作时充满摩擦。IT认为OT是“安全盲”，OT则认为IT的举措会“搞乱生产”。Waterfall Security Solutions的工业安全副总裁Andrew Ginter直言，现代网络攻击会“枢轴”（pivot）——攻击者通过被攻陷的IT计算机作为跳板攻击OT系统，而IT团队通常不具备为安全关键系统推荐安全变更的专业知识[1]。在这样的分裂架构下，保护跨IT/OT的“皇冠宝石”难上加难。新思路下的协同与文化要求组织打破壁垒，建立统一战线的“联合部队”。

建立共享的风险框架：Armexa的Dave Gunter提供了一个绝佳的实践：通过一个覆盖业务、环境健康与安全（EH&S）和信息保护的企业级风险矩阵，使用统一的语言（如“严重”、“重大”、“可能”等）来评估影响和可能性[1]。当所有人都在同一套风险语言下沟通时，关于是否接受某个风险的决策就不再是基于部门偏见，而是基于共识。

组建跨职能的融合团队：Sandeep Lota建议CISO将OT安全解决方案的采购、部署和维护责任，下放给一个包含工厂经理、工程师、操作员以及网络管理员和安全分析师的跨职能团队[1]。Andrew Ginter更进一步指出，做OT安全需要“一个村子的人”——安全工程师、自动化工程师、过程工程师、网络工程师等，任何单一专家都无法独自胜任，“OT安全专家”这个头衔本身就是不存在的[1]。

文化重塑：培训、吸引与持续投入：人为错误仍然是最大的安全威胁[1]。培训必须针对角色定制：为OT人员提供网络安全基础知识和钓鱼邮件识别训练；为IT人员培训理解物理后果的重要性。Cisco的McPhee建议，为OT人员提供类似PLC编程课程一样的网络安全认证路径，让安全能力成为员工职业发展的有机组成部分[1]。同时，组织应积极吸引早期职业人才进入OT安全领域，并利用AI和机器学习缓解技能短缺——这些技术可以消除对一级SOC分析师等初级岗位的需求[1]。最终，目标是让“看到什么，就说什么”（See Something, Say Something）的安全意识，像呼吸一样自然地融入员工日常行为[1]。

总结

在高度互联、威胁剧增的工业4.0时代，“皇冠上的宝石”的内涵已从孤立的物理机器，扩展为以关键业务功能为核心的复杂生态系统。保护这一生态的“新思路”，是理念、方法、技术与机制的集大成者。

我们不再仅仅守护孤立的物理设备，而是转向守护贯穿业务全流程的数据流、控制流与价值流[2]；我们不再依赖每年更新一次的静态清单，而是通过系统思维和数字孪生，对关键功能依赖路径进行持续的动态映射与验证[1][2]；我们不再将打补丁视为唯一的救命稻草，而是以网络隔离、补偿性控制和基于行为的监控为支柱，构建起韧性与连续性并重的深度防御体系[1][3]；我们更不再容忍IT与OT的割裂治理，而是通过跨职能的联合团队、统一的风险语言和深入骨髓的安全文化，让组织中的每一个角色都成为守护“皇冠宝石”的坚实一环[1][2]。

这场转变没有终点，也非一日之功。它要求组织进行长期、持续的战略投入，将风险管理和安全评估内化为日常运营的一部分。正如多位专家所共识：员工队伍本身就是关键基础设施[1]，而保护皇冠宝石必须是一个持续的、活的过程。唯有如此，在面对日益复杂的网络与物理交织的威胁时，组织才能既守住工业价值核心，又能确保运营的稳定与永续韧性。这，才是数字化时代下，真正现代化的、有生命力的安全之道。

参考文献：

[1] Bridging IT/OT divide by developing risk management approach to safeguard organizational crown jewels. Industrial Cyber, October 20, 2024.

[2] Redefining industrial crown jewels in hyper-connected world as cyber-physical sabotage increases. Industrial Cyber, August 31, 2025.

[3] A Guide to Identifying, Prioritizing, and Protecting ICS Crown Jewel Assets. Asimily (citing SANS Institute 2025 survey).

[4]安帝科技|2025年工业控制系统网络安全事件洞察，https://mp.weixin.qq.com/s/xR_qBoLDGx8fYVcGf_Uc_w

往期精选

安帝科技丨ANDISEC

北京安帝科技有限公司是新兴的工业网络安全能力供应商，专注于网络化、数字化、智能化背景下的工业网络安全技术、产品、服务的创新研究和实践探索，基于网络空间行为学理论及工业网络系统安全工程方法，围绕工业网络控制系统构建预防、识别、检测、保护、响应、恢复等核心能力优势，为电力、水利、石油石化、轨道交通、烟草、钢铁冶金、智能制造、矿业等关键信息基础设施行业提供安全产品、服务和综合解决方案。坚持IT安全与OT安全融合发展，坚持产品体系的自主可控，全面赋能客户构建“业务应用紧耦合、用户行为强相关、安全风险自适应、网络弹性稳增强”的主动防御和纵深防御相结合的安全保障体系。

点击“在看”鼓励一下吧

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安帝Andisec 安帝科技 安帝科技《OT网络安全的新思考专题 | 第二篇：重新定义工业“皇冠上的宝石”——OT核心资产的识别、保护与治理新思路》