信息时代的发展使得传统的工业网络结构发生了巨大变化,信息化的发展在带来开放与便利的同时,也导致工业控制系统（ICS）面临更大的安全风险。IT网络与OT网络的融合模糊了“网络边界”的概念,传统“边界防御”网络安全模型不适合工业控制网络,零信任架构模型已成为广泛关注的保护企业网络安全的新模型。为了保护工业控制系统,进行网络安全研究和测试以识别和发现可能存在的漏洞十分重要,但是,由于正常运行时间的要求和对运营系统造成损坏的风险,研究人员很难对实际的工业控制系统进行测试和评估。由于该局限性,基于仿真实验平台开发和测试用于工业控制系统网络的安全解决方案是该领域的通用方法,研究者对基于工业控制网络参考模型PERA模型的仿真评价方案做了初步的研究。然而,现有的仿真平台上通常只能基于“边界防御”安全模型思想分析网络存在的安全风险,难以分析恶意员工、固件漏洞等造成的从内部网络发起的安全威胁。零信任架构模型不信任任何用户和设备,甚至不信任防火墙后面的用户,目的是保护每个网络连接。软件定义边界SDP被认为是实现零信任架构的最优秀的机制,如何构建零信任架构下的工业控制系统安全框架及仿真评价机制是亟待解决的问题。针对上述问题,依据零信任架构原则,基于实现零信任架构的软件定义边界SDP技术,本论文首先设计了一种新的适用于工业控制系统的安全框架SDPICS,然后扩展网络仿真平台Mininet,设计并实现了支持核心工业控制设备和安全框架SDPICS的工业控制系统网络仿真平台Mini ICS,主要的研究工作如下:1)研究了工业控制网络参考模型PERA模型以及针对工业控制系统的网络安全问题,分析了基于PERA模型的传统“边界防御”网络安全策略,以及这种安全策略存在的安全问题;2)研究了零信任架构的原理、组件及规则,提出了基于PERA模型的“零信任架构”下工业控制系统网络安全框架,在PERA模型的工业DMZ区实现零信任架构核心逻辑组件PDP/PEP功能,代替传统“边界防御”网络安全模型中防火墙等安全机制角色,实现保护单个或一组网络资产的目的;3)研究了实现零信任架构的软件定义边界SDP机制,提出了基于SDP的工业控制网络安全框架SDPICS,SDPICS核心思想是在控制平面由SDPICS控制器实现零信任架构中的逻辑组件PDP/PEP的功能,在数据平面采用“单包授权”方式实现SDPICS客户端和网络资产之间的连接,达到保护每个网络连接的目的;4)扩展网络仿真平台Mininet实现了支持SDPICS的工业控制网络仿真平台Mini ICS,Mini ICS包含SDPICS组件、工业控制网络核心组件PLC、HMI等,并且Mini ICS支持图形用户接口和命令行两种方式。最后,仿真测试了安全框架及仿真平台的可靠性、可行性和有效性。