AI 时代工控安全：奇安信齐向东观点深度解读与实际防护策略

齐向东：AI攻防进入工业化时代

2026年6月2日北京网络安全大会上，奇安信董事长齐向东指出，AI大模型和智能体（尤其是Mythos）的出现让网络攻击进入工业化时代，攻防进一步失衡。他将AI攻击特征归纳为三点：规模化自动化，AI扫描工具可在任何网络中快速定位入侵点；效率数量级提升，攻击全流程从周级压缩到分钟级；声东击西，多攻击面同时发起消耗防御资源。齐向东建议防御方引入AI增强检测能力，将防守从被动变为主动。

AI攻击对工控系统的特殊威胁

齐向东的判断在工控领域尤为严峻。主流工控协议如Modbus TCP和S7comm在设计之初无加密和认证机制，AI自动化工具可轻易进行fuzzing测试、重放攻击和指令注入。勒索软件正广撒网寻找易得目标，工控安全人才短缺比IT更突出，“小目标不值得攻击”的传统假设已被打破。

同时，工控系统对时延的严格要求（电力继电保护低于5ms）限制了安全检测手段的部署。老旧设备占比高、资产台账不完整，使AI自动化扫描的”看不见的设备”成为最先被突破的缺口。

奇固科威AI增强检测实践

面对AI攻击工业化，奇固科威工控IDS将AI能力落地为产品：

机器学习行为基线：对OT网络通信流量持续学习，建立通信关系、协议操作、时序特征和流量统计四维基线模型。新流量显著偏离基线时自动触发告警，发现传统特征库无法覆盖的未知攻击。

协议上下文感知：深度解析Modbus TCP、S7comm、OPC UA等协议，将异常检测与协议语义结合——检测到异常功能码组合、非典型S7调用序列、非授权调度端遥控命令时，误报率大幅降低。

秒级联动响应：IDS与工业防火墙联动，高置信度攻击下自动下发阻断策略，切断攻击会话，构成检测-决策-遏制闭环。

零信任OT架构：身份确权与持续验证

齐向东强调的”身份确权”和”假冒人员识别”，正是零信任工控的核心——永不信任，持续验证。奇固科威零信任架构从三个层面构建纵深防御：身份与访问管理，对PLC、HMI、工程师站建立设备身份，按角色分配最小权限；网络微隔离，基于工业防火墙划分安全域，区域间实施白名单访问控制；持续安全监测，对远程访问会话进行持续监测，异常时自动终止。

企业落地路径

短期：部署工控IDS建立通信基线；在PLC区域边界部署工业防火墙配置白名单；完成资产梳理建立清单。

中期：实现IDS与防火墙联动响应；在工程师站部署终端白名单系统；建立告警响应SOP和应急响应预案。

长期：引入AI异常检测持续优化基线模型；推进零信任架构从远程访问和跨域通信开始渐进式部署；建立威胁情报共享机制。

齐向东的判断在工控领域体现得尤为明显。破局之道在于引入AI增强检测与响应能力，将防守从被动变为主动。奇固科威以IDS的AI异常检测、防火墙的协议深度解析和零信任OT架构，为企业构建AI时代的工控安全防御体系。

标签：AI攻防齐向东工控安全机器学习威胁检测零信任工业IDS
发布：2026-06-06 | 作者：奇固科威