文章总结： 本文深入剖析工业控制系统Level0现场设备存在的重大安全盲区，指出传感器等设备普遍缺乏内置网络安全能力，而现行法规标准却错误假设其信号可信。文档通过TaumSauk事故等案例揭示信号完整性危机，分析功耗、实时性等技术约束导致嵌入式安全不可行。提出通过外部独立监测物理信号指纹的解决方案，并呼吁监管转向绩效风险管理与跨学科教育融合。 综合评分： 90 文章分类： IoT安全,解决方案,技术标准,政策法规,供应链安全

OT网络安全的新思考专题 | 第三篇：Level 0现场级安全—工业网络安全‘最后一米’的致命盲区

原创

安帝科技 安帝科技

安帝Andisec

2026年6月2日 11:30 北京

在小说阅读器读本章

去阅读

在现代工业控制系统的普渡参考模型中，Level 0层由过程传感器、执行器等现场设备组成，是连接物理世界与数字世界的“最后一米”。这些设备将压力、温度、流量等物理量转化为电信号或数字信号，是所有控制决策、安全联锁和运营优化的基础。

然而，国际控制系统安全专家Joe Weiss在2025年11月至12月连续发表的多篇文章中指出：Level 0现场设备普遍不具备任何内置网络安全能力，而现行的几乎所有网络安全法规、标准和培训体系，都建立在一个危险的隐性假设之上——即来自这些设备的信号是真实、完整且可信的。 这个脆弱的“沙土基础”，构成了全球工业基础设施安全的“阿喀琉斯之踵”。这一问题在中国同样存在，且由于大量老旧设备在役、工控系统国产化替代过程中的安全设计不足，其风险不容忽视。

一

问题表象

Level 0安全危机的直接表象是“信号完整性”的丧失。传感器可能因恶意攻击、物理篡改、元件老化、校准错误等多种原因提供错误信号。文献明确指出，传感器并不像假设的那样准确，且并非所有故障模式都被理解。更关键的是，当前没有任何常规手段能够验证一个传感器输出的信号是否真实反映了物理实际。

更隐蔽的风险在于，为满足控制系统的稳定性，原始传感器信号中的高频噪声成分被主动滤波。这些看似无用的“噪声”，恰恰包含判断传感器健康状态的关键物理特征。文献详细记载的2005年12月Taum Sauk抽水蓄能电站大坝溃坝事件便是典型案例：水位传感器连接损坏导致信号偏移，但SCADA系统接受了“有效范围内的错误值”，最终导致超过10亿加仑的水倾泻而出。如果当时监测了信号的电特性变化，这场灾难本可避免。

现有OT网络监测产品（如Nozomi Networks）虽强大，但其工作原理是监测以太网数据包，默认Level 0信号未受损害。当攻击发生在信号转换为数据包之前，这些工具便完全失明。Joe Weiss在2025年9月评论三菱收购Nozomi时指出，这种监测系统存在根本性技术缺陷——它接收到的已是滤波后的“失真”数据。一个符合所有上层安全标准的系统，可能因一个数百美元的传感器的虚假信号而执行灾难性操作。

二

根源剖析

Level 0安全问题长期被忽视，其根源在于深刻的文化与教育隔阂。但更令人警醒的是，这一问题并非新发现。文献披露：早在2017年底，Joe Weiss就在国际自动化协会（ISA）99内发起了一个专项工作组，成员包括多家主要Level 0设备供应商、政府代表和行业专家。设备供应商当时就承认，遗留的Level 0设备无法满足ISA 62443-4-2的要求，需要补偿性控制。

该工作后来由ISA84.09（过程安全与网络安全联合委员会）接手。委员会的一项研究证实，即便是一款现代的有线安全压力变送器，也无法满足ISA 62443-4-2中的绝大多数技术要求。具体而言，这些设备缺乏确定谁更改了什么以及何时更改的取证能力；缺乏长期存储日志的能力，因为数据会被覆盖；无法执行杀毒软件，也无法进行漏洞修补；同时还使用着FTP、Modbus、蓝牙等不安全的通信协议。

行业专家的判断更为严峻。霍尼韦尔退休专家Sinclair Koelemij在2025年11月22日的博客中明确指出：“在过程自动化领域工作43年后，我亲眼看到了真正的工程约束。在安全关键应用中，有意义的嵌入式网络安全在今天不可行，在未来几十年内也不会可行——不是因为供应商不关心，而是因为物理、功耗、定时、防爆和认证现实根本不允许。”

这种工程与网络安全的“两张皮”现象，在中国同样严重：工控安全建设往往由信息化部门主导，而仪表、电气、工艺等生产/工程部门参与度极低。大学教育中，计算机科学不教控制工程，工程学科不教网络安全。职业培训也严重缺乏针对Level 0的专项内容。这种教育断层导致从采购到运维的整个链条，都无法识别和提出Level 0安全需求。

三

技术现实

为Level 0设备增加嵌入式安全功能，面临一系列不可妥协的工程约束，这些约束并非供应商缺乏意愿，而是由物理定律和工业现实所决定。

首先，功耗与体积是根本性限制。大量两线制回路供电的传感器，其功耗预算以微瓦计，在这样的功率水平下，任何有意义的加密运算都难以支持。

其次，实时性要求严苛。控制回路通常要求毫秒甚至微秒级的确定性响应，额外的安全握手或加密处理会直接破坏这种确定性，导致系统停机。

第三，功能安全认证构成另一道高墙。用于SIL（安全完整性等级）场景的传感器，其硬件和软件的任何更改都需要经历漫长且昂贵的重新认证过程，增加网络安全功能可能反过来影响其安全功能，这在逻辑上形成了悖论。

第四，超长生命周期使得“推倒重来”在经济上完全不现实。大量已部署的传感器寿命长达20至40年，且仍在安全服役。

最后，维护后门无法禁用也是一个现实难题。Level 0/1现场设备使用远程校准和维护工具，这些工具往往具有直接的互联网连接和最低限度的网络安全功能。这些维护后门是设计使然，资产所有者无法将其禁用，只能通过防火墙规则等补偿控制进行有限的管理。

正是这些环环相扣的工程约束，使得欧盟《网络弹性法案》（CRA）等技术法规的要求——包括安全开发流程、身份验证、日志记录、漏洞管理和取证能力——对于Level 0设备而言成为了“不可能完成的任务”。Analog Devices的Tom Meany曾尖锐提问：当标准和法规要求的技术能力在工程上根本不存在时，监管体系该如何应对？

四

监管困境

Joe Weiss在其2025年12月2日的文章中，系统梳理了全球主要网络安全框架的集体盲区。他逐一检视了从能源、石油化工、水务、核能到交通运输等关键基础设施领域的监管体系，发现它们几乎无一例外地忽略了Level 0设备的独特安全问题。

在电力行业，北美NERC CIP标准因“非可路由通信”和“电子安全边界”的定义问题，明确将Level 0设备排除在网络安全要求之外。在2025年3月20日的FERC/NERC供应链风险管理研讨会上，监管代表也承认这一问题需要改变，因为过程传感器的妥协确实会影响大电力系统的可靠运行。在制造业领域，ISA/IEC 62443和NIST SP 800-82虽然承认Level 0的存在，但并未提供充分的补偿性控制措施。NIST于2022年3月16日发布的SP 1800-10更直接声明：“在本项目中，重点放在工程工作站上，而非制造组件。我们承认，许多设备的网络安全能力可能无法在现代传感器和执行器中获得。”

在行业标准层面，美国石油协会（API）的风险标准、美国水行业协会（AWWA）的风险与网络安全标准、美国海岸警卫队的33 CFR Part 101网络安全子部分，均未涉及过程传感器的网络安全问题。在国际层面，欧盟的NIS2指令和德国的KRITIS框架也未在设备或信号完整性层面明确覆盖Level 0。核工业标准NEI-08-09和IAEA核安全系列No.33T同样存在这一空白。美国CISA、TSA和EPA的OT网络安全指南虽然涉及控制系统，但并未深入到传感器和执行器层的脆弱性。

一个极具代表性的例子是SANS于2025年发布的《OT安全状况报告》。该报告数据显示：Level 3（运营系统）有19.7%的受访者报告了完全可见性，Level 2（SCADA/HMI）仅有10%，Level 1（PLC/RTU）的覆盖率更薄，而Level 0则完全没有被提及。这不仅是数据采集的遗漏，更是整个行业认知盲区的直接反映。

这些框架共同反映了一个错误的隐性信念：Level 0信号天生可信。然而，真实事件已反复证明这一假设是危险的。最讽刺的是，这些不安全的Level 0设备本身，恰恰是用同样不安全的Level 0设备制造出来的——“信任根”从何而来？这个问题至今没有答案。

CRA带来的冲突尤为严峻。该法案将于2027年全面实施，违规将面临巨额罚款。其附件1所要求的能力——安全开发、身份验证、日志记录、漏洞管理、取证——对于Level 0设备而言是根本无法实现的。这将引发全球供应链的合规危机：关键设备可能无法获得CE认证，或者迫使整个行业陷入集体“技术性违规”的困境。Joe Weiss为此向监管机构提出了四个选项：第一，强制执行无法满足的要求，这将导致混乱和供应链中断；第二，豁免Level 0设备，但这会留下显见的攻击面；第三，制定基于工程现实的过渡标准，包括外部监控、异常检测和专项培训；第四，协调长期研发，推动下一代安全传感器技术。他明确指出，答案显然是选项3和4的组合。

五

解决思路

面对“无法内嵌安全”的物理现实，文献共同指向了一个根本性的范式革命：摒弃“信号天然可信”的假设，将安全焦点从验证网络数据包，转向独立验证原始物理信号本身。 这并非一个理论上的构想，而是一条已经得到实践验证的可行路径。

该范式的核心是发展并部署“外部独立监测” 技术。具体而言，这种方案通过三个步骤实现：第一步是旁路采集，即在信号进入PLC或DCS之前，通过高阻抗或非侵入式方式，旁路采集来自传感器的原始、未滤波的电气信号。这一步的关键在于不干扰原有的控制回路，同时获取被控制系统滤波处理丢弃的高频信息。第二步是物理特征分析，利用现代机器学习算法，分析这些高频信号中包含的物理特征，例如传感器的固有频率、阻抗变化、噪声底限等，从而为每个传感器建立独特的“信号指纹”基线。这正是现代机器学习带来的以前不可能实现的模式检测能力。第三步是异常检测，实时比对当前信号指纹与基线，任何偏离——无论是来自恶意欺骗还是物理故障——都将触发告警，且这一判断完全独立于上层控制系统。

这种方案的优势是多重且显著的。首先是不可达性：外部监控系统在物理或网络逻辑上独立于被监控的控制系统，勒索软件等IT/OT攻击无法触及，即便生产网络完全瘫痪，监控系统仍可离线运行。其次是提供物理真实：它直接验证物理事实，打破了“信号被上层滤波过滤”的死结。即使SCADA系统不可用，传感器监测也可以独立执行。第三是多重投资回报：除了网络安全收益，该系统能直接用于预测性维护（提前发现传感器老化）、过程优化（利用未被滤波的原始数据）和故障诊断。文献中提到的某大型工业设施项目，仅因解决传感器不准等问题就收回了3%的生产力损失，而网络安全成为“搭便车”的副产品。正如Joe Weiss所言：“监控Level 0物理层能带来可靠性、可用性、安全性和维护的直接收益，而网络安全随之而来。”

结论

Level 0现场级安全绝不是一个边缘性的技术细节，而是工业网络安全的基石问题。当前，我们正面临一个危险的局面：我们在精心加固的IT/OT网络高墙上投入了巨额资金和大量精力，却忽略了连接物理世界的那扇没有任何门锁的“最后一米”大门。

基于前述讨论，可以得出以下几个核心判断。

第一，Level 0安全危机的本质是“物理信号信任”危机，是一个跨“工程-物理-网络”的系统性信任问题，无法用传统的、基于边界和通信协议的网络防御手段检测或缓解。

第二，现行安全范式建立在“假设安全”的沙土之上，合规与实效严重脱节。一个获得了IEC 62443认证的工厂，其底层传感器可能仍然毫无防护。

第三，新兴监管浪潮（如CRA）与技术现实剧烈冲突，正在引发全球供应链的合规危机。

第四，能力建设存在根本断层——跨学科教育与培训的全面缺失，使得即便有技术方案也难以落地。

解决这一问题必须采取组合策略。在认知层面，全行业必须认识到“信号完整性”是独立于“网络安全性”的核心安全目标。工程师和网络安全人员必须建立共同的语言和责任边界，打破各自为政的藩篱。在监管层面，监管机构应承认当前的技术局限，从强制要求“嵌入式功能清单”转向推动“基于绩效的风险管理”，明确认可和鼓励外部物理层监控作为有效的补偿性控制措施。在技术层面，应大力发展和标准化面向Level 0的外部独立监测解决方案，将其从可选的“增值功能”提升为关键基础设施的推荐实践。在教育层面，应在大学和职业培训中融入融合控制工程、功能安全和网络安全的跨学科内容，培养能够理解和应对“网络-物理”复合威胁的新一代人才。

Level 0安全是工业4.0和关键基础设施韧性无法绕过的“最后一米”防线。正如Joe Weiss所言：“如果你不能信任你的测量值，你就没有网络安全，也没有功能安全，更没有弹性。”唯有正视这个被忽视的角落，我们才能真正从“沙土基础”走向“磐石之基”。

参考文献：

[1] Joe Weiss. Level 0网络安全洞察[R]. 2025.

[2] Joe Weiss. What does the lack of cybersecurity in Level 0 devices mean to cybersecurity regulations?[R]. 2025-11-25.

[3] Joe Weiss. Cybersecurity regulations assume a security posture for Level 0 devices that do not exist[R]. 2025-12-02.

[4] Joe Weiss. OT设施控制系统网络安全问题讨论[R]. 2023.

[5] Joseph Weiss. Challenges in federal facility control system cyber security, including Level 0 and 1 devices[R]. Washington DC: The National Academies Press, 2023.

往期精选

安帝科技丨ANDISEC

北京安帝科技有限公司是新兴的工业网络安全能力供应商，专注于网络化、数字化、智能化背景下的工业网络安全技术、产品、服务的创新研究和实践探索，基于网络空间行为学理论及工业网络系统安全工程方法，围绕工业网络控制系统构建预防、识别、检测、保护、响应、恢复等核心能力优势，为电力、水利、石油石化、轨道交通、烟草、钢铁冶金、智能制造、矿业等关键信息基础设施行业提供安全产品、服务和综合解决方案。坚持IT安全与OT安全融合发展，坚持产品体系的自主可控，全面赋能客户构建“业务应用紧耦合、用户行为强相关、安全风险自适应、网络弹性稳增强”的主动防御和纵深防御相结合的安全保障体系。

点击“在看”鼓励一下吧

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安帝Andisec 安帝科技 安帝科技《OT网络安全的新思考专题 | 第三篇：Level 0现场级安全—工业网络安全‘最后一米’的致命盲区》