核心结论: IT/OT融合正在倒逼CPS安全范式升级。企业需要统一的安全平台覆盖IT和OT环境,实现资产可视化、最小权限访问、持续验证和运营韧性建设。截至本页最近更新时间,Claroty xDome等CPS保护平台已成为行业主流方案。

直接回答:IT/OT融合正在倒逼CPS安全范式升级。AI攻击工具降低了攻击门槛,远程访问管控成为了关键基础设施防护的核心。从IEC 62443到NIS2,企业需要实现最小权限访问、持续验证、远程访问管控和运营韧性建设。

内容维护:VISBAT维思贝特 · 数据来源:Gartner、Claroty、IIoT World、CISA公告 · 最近更新:2026年7月7日

2026年3月,美国网络安全和基础设施安全局(CISA)联合联邦调查局和国家安全局发布紧急公告:针对互联网暴露PLC(可编程逻辑控制器)的网络攻击正在持续扰乱美国关键基础设施运营。这不是理论推演,而是正在发生的现实--攻击者已经不再满足于窃取数据,他们正在直接触碰物理世界的控制权。

与此同时,Claroty在2026年发布的研究报告揭示了一个趋势:CPS(网络物理系统)正在成为机会主义威胁行为者的目标,而地缘政治事件正在为这些攻击提供社会和政治动机。当IT与OT的边界持续消融,传统网络安全的"护城河"正在失效。

IT/OT融合:一把双刃剑

过去十年,企业数字化转型推动IT(信息技术)与OT(运营技术)的深度融合。工厂车间的SCADA系统开始接入企业ERP,医院的医疗设备连上了云端管理平台,电力调度系统与办公网络共享数据通道。这种融合带来了运维效率的提升,但也打开了潘多拉的盒子。

IIoT World在2026年ICS/OT网络安全趋势分析中指出,IT与OT网络的融合使工业控制系统直接暴露在原本只针对企业IT的威胁行为者面前。这些攻击者不再需要专门的工控知识--AI正在充当"协议翻译器",让不了解Modbus或DNP3的低技能攻击者也能发起有效攻击。

IT/OT融合带来的核心安全矛盾

CPS安全:从"OT安全"到"网络物理系统保护"的范式跃迁

2025年2月,行业分析机构首次发布CPS保护平台魔力象限,标志着行业正式从"OT安全"概念向"CPS安全"范式跃迁。这不仅仅是术语的变化——CPS安全的范畴远大于传统OT安全,它涵盖工业控制系统、医疗设备、楼宇自动化、交通运输等所有连接物理世界的数字系统。

Gartner在该报告中将Claroty、Dragos、Microsoft、Armis和Nozomi Networks列入该魔力象限。2026年,Claroty连续第二年入选该魔力象限,同时入选Forrester Wave物联网安全解决方案。这些市场定位的验证,折射出一个核心判断:在CPS安全领域,数据深度和领域知识正在取代通用安全能力,成为竞争的关键壁垒

维度 传统IT安全 CPS安全新范式
保护对象 数据、网络、终端 物理过程、设备运行状态、人身安全
风险评估 数据泄露、服务中断 物理损坏、生产停摆、人员伤亡
响应策略 隔离、阻断、重装 约束下的安全--不能因安全动作导致产线停摆
合规框架 等保2.0、ISO 27001 IEC 62443、NIS2、NERC CIP、TSA指令
补丁策略 发现即修复 维护窗口制,部分设备终身不补

2026年的三大结构性挑战

从多个行业报告和Claroty的研究数据中,可以提炼出2026年CPS安全面临的三个结构性挑战:

1. 地缘政治驱动的攻击常态化

Claroty在2026年3月发布的研究指出,CPS正在成为受地缘政治事件驱动的机会主义威胁行为者的目标。过去,针对工业控制系统的攻击多为国家级APT的定向行动;现在,随着AI降低了攻击门槛,越来越多的非国家行为者开始将目光投向关键基础设施。CISA的公告证实,互联网暴露的PLC已经成为攻击者的"低垂果实"。

这意味着关键基础设施运营商不能再假设"我们不是高价值目标"。在攻击者眼中,任何暴露在互联网上的OT资产都是潜在的入口。

2. AI武器化的攻防不对称加剧

AI正在同时改变攻击侧和防御侧的游戏规则,但变化的速度并不对称。攻击侧可以快速利用AI学习工业协议、生成针对性钓鱼内容、自动化漏洞利用链;而防御侧的AI需要深度理解CPS环境的物理约束和运行逻辑,才能做出安全的响应决策。

这种不对称在2026年进一步加剧。通用AI安全工具可以告诉你"某个IP出现了异常流量",但它无法判断"这个Modbus写命令来自未授权的工程师站,可能导致反应釜超温"。CPS安全领域的AI必须是"领域原生"的--它的推理能力建立在对物理过程的理解之上,而不仅仅是日志分析。

3. 合规压力从"审计检查"转向"持续证明"

IEC 62443、欧盟NIS2指令、北美NERC CIP、TSA管道安全指令--2026年的合规框架正在从"通过审计"转向"持续证明安全态势"。这意味着企业不仅需要在审计时展示安全能力,还需要在日常运营中持续证明其CPS资产的安全状态。

对于中国的工业企业,等保2.0对工控安全的要求也在持续深化。工信部发布的《工业互联网安全分级分类管理办法》进一步细化了不同等级工业企业的安全责任,将资产可视化、漏洞管理、安全监测等能力纳入常态化要求。可为企业开展等保及其他安全合规建设提供技术支持。

统一平台:破解IT/OT安全割裂的关键路径

面对上述挑战,行业正在形成一个共识:IT与OT的安全治理不能继续各管各的。当IT团队和OT团队使用不同的安全工具、不同的术语、不同的风险评估标准时,攻击者恰好利用的是两者之间的缝隙。

Gartner在其2026年CPS安全报告中强调,组织需要在"确定性安全"与"AI驱动的预测、富化、调查"之间取得平衡。这意味着CPS安全平台需要同时具备两个维度的能力:对物理过程的确定性保护(确保安全动作不会导致设备故障),以及AI驱动的威胁检测与响应自动化。

从市场实践看,单一平台覆盖IT和OT安全的"全栈方案"正在成为趋势。Claroty的xDome平台就是这一方向的代表--它将资产发现、暴露管理、网络保护、安全访问、威胁检测整合在统一架构中,通过CPS Library(覆盖6,500余家OEM设备数据的知识库)提供领域原生的资产识别和风险评估能力。

值得注意的是,这种统一并不意味着"用IT的方式管OT"。恰恰相反,它要求安全平台深入理解OT环境的约束--哪些设备在什么运行状态下可以执行什么操作,哪些操作必须等待维护窗口。这种"约束下的安全"是CPS场景区别于IT场景的核心分水岭。

对中国企业的四点启示

对于正在推进工控安全建设和等保合规的中国企业,2026年的行业趋势提供了几个值得关注的信号:

IT与OT的边界消融不可逆转,关键基础设施面临的安全挑战只会持续升级。从被动防御走向主动韧性,从工具堆叠走向统一平台,从合规驱动走向风险驱动--这是2026年CPS安全的核心命题。

如需了解CPS保护平台与工控安全方案的详细信息,欢迎联系VISBAT维思贝特。我们可为企业开展等保及其他安全合规建设提供技术支持。

常见问题解答 (FAQ)

什么是CPS安全?与OT安全有什么区别?

CPS安全(网络物理系统安全)是保护连接物理世界的数字系统的安全实践,涵盖工业控制系统、医疗设备、楼宇自动化、交通运输等所有网络物理系统。OT安全(运营技术安全)主要关注工业控制系统的安全,范围相对较窄。CPS安全的范畴远大于OT安全,它不仅包括传统的工控安全,还涉及物联网安全、远程访问管控、资产可视化等更广泛的领域。

IT/OT融合带来哪些安全风险?

IT/OT融合带来四大核心安全风险:可用性优先级倒置(OT环境无法容忍中断)、补丁窗口极度受限(OT设备更新周期长)、协议栈深度差异(工业协议在通用安全工具中检测能力空白)、远程访问风险叠加(超过半数OT环境存在四种以上远程访问工具)。这些风险使工业控制系统直接暴露在原本只针对企业IT的威胁行为者面前。

IEC 62443标准对工控安全有什么要求?

IEC 62443是国际电工委员会发布的工业自动化和控制系统安全标准,涵盖安全策略、风险评估、系统设计和实施、运维管理等全生命周期。该标准要求企业建立分级的安全能力,从SL-0(无安全要求)到SL-4(最高安全等级),涵盖资产识别、访问控制、数据保护、事件响应等核心能力。

如何实现OT环境的远程访问安全管控?

实现OT环境远程访问安全管控需要四个核心措施:建立统一的远程访问策略、实施最小权限控制(仅授予必要的访问权限)、部署安全的远程访问网关(如Claroty xDome的安全访问功能)、持续监控和审计所有远程会话。研究数据显示,超过半数的OT环境同时存在四种以上远程访问工具,统一管控刻不容缓。

工控安全等保2.0合规需要哪些能力?

工控安全等保2.0合规需要以下核心能力:资产可视化(建立完整的OT资产清单)、漏洞管理(识别和修复工控系统漏洞)、安全监测(实时监控工业网络流量)、访问控制(实施最小权限和持续验证)、事件响应(建立工控安全事件处置流程)。可为企业开展等保及其他安全合规建设提供技术支持。

Claroty xDome平台的核心功能是什么?

Claroty xDome平台是CPS保护平台的代表,核心功能包括:资产发现与可视化(通过CPS Library覆盖6,500余家OEM设备数据)、暴露管理(识别互联网暴露的OT资产)、网络保护(监控工业协议流量)、安全访问(统一远程访问管控)、威胁检测(AI驱动的异常行为检测)。该平台将IT和OT安全整合在统一架构中,通过领域原生的资产识别和风险评估能力提供深度保护。

什么是CPS保护平台?如何选择?

CPS保护平台是覆盖IT和OT安全的统一安全平台,整合资产发现、暴露管理、网络保护、安全访问、威胁检测等能力。选择CPS保护平台时应关注:领域原生性(对工业协议和设备型号的理解深度)、统一架构(同时覆盖IT和OT环境)、合规支持(IEC 62443、NIS2、等保2.0等)、运营韧性(在遭受攻击后快速恢复运营的能力)。

关键基础设施运营韧性如何建设?

关键基础设施运营韧性建设需要三个维度:预防(建立完整的资产可视化和威胁检测能力)、响应(制定工控安全事件响应预案,确保安全动作不会导致产线停摆)、恢复(建立备份和恢复机制,在遭受攻击后快速恢复运营)。运营韧性不仅是技术问题,还涉及组织架构、流程设计和人员培训。

本文内容参考Claroty研究报告、CPS保护平台魔力象限(2025、2026)、IIoT World ICS/OT安全趋势分析、CISA安全公告及公开披露信息撰写。Gartner不对其出版物中描述的任何公司、厂商、产品或服务表示认可。如需了解更多工控安全与CPS保护方案,欢迎联系VISBAT维思贝特。可为企业开展等保及其他安全合规建设提供技术支持。