本发明提供了基于虚拟运行和状态转换的工控系统网络攻击应对方法，该方法在工控系统异常状态下，提出了一种基于状态转换的恢复机制，用于工控系统遭受攻击后及时恢复现场设备的正常运转；同时提出了一种基于虚拟运行的隔离机制，用于工控系统遭受攻击后隔离现场设备，避免遭受进一步恶意控制，这两种机制通过工控系统的内部数据交换中心和外部数据交换中心完成配合与触发。所述恢复机制保证了工控系统不会在发生异常后失去运行能力或是造成严重后果；所述隔离机制保证了工控系统的外部控制中心遭到网络入侵并被控制后，现场设备不会受到持续下达的错误指令的进一步影响，提高了工控系统的网络攻击应对能力。