智能工厂的生存底线 : 浅谈制造业边界安全防护(智能工厂解决了什么问题)

背景

随着“数字化转型”、“智能制造”、“工业互联网”等国家战略的推进，制造业正加速迈向智能化、网络化、平台化发展新阶段。根据2024年数据显示，中国制造业增加值占全球比重已超过30%。

在这一发展进程中，工业控制系统（ICS）、工业互联网（IIOT）等新型架构和技术广泛引入，使得原本封闭的生产系统开始与企业IT系统、云平台、第三方服务商等外部系统深度互联，制造企业的网络边界大幅扩展，网络攻击面显著增加，安全形式愈发严峻。

为此，国家密集出台多项法律法规与指导性标准，要求制造业切实加强网络边界安全防护，确保关键业务系统，核心控制网络及生产数据的安全可控。

• 国家法律法规要求

《中华人民共和国网络安全法》、《数据安全法》、《关键信息基础设施安全保护条例》明确提出关键系统与重要数据应受到重点保护，并划定了关键基础设施的安全保护红线；

《工业控制系统信息安全防护指南》（工信部）在第三部分“边界安全防护”中指出，应通过工业防火墙、网闸等防护设备实现工业控制网络之间的逻辑隔离；

《网络安全等级保护制度2.0》中：

二级要求第7.5.2.1：工业控制系统与企业其他系统之间应划分为两个区域，区域间应采用技术隔离手段；

三级要求第8.5.2.1：区域间应采用单向的技术隔离手段，进一步加强防护强度。

• 行业标准与技术体系引导

《工业互联网网络安全标准体系建设指南》指出应完善边界防护、访问控制、数据安全、网络通信等多个领域的技术标准，便捷安全是基础能力；

《工业控制系统安全标准框架》提出应构建“分层分域、边界清晰”的控制系统架构；

IEC62264-1构建的制造企业五层模型中，生产管理层（L3）与过程监控层（L2）之间为网络安全防护重点边界，需部署强隔离设备防止威胁横向渗透。

图1-工业控制系统系统层次模型

• 智能制造与工业互联网发展对边界隔离的迫切需求

《“十四五”智能制造发展规划》与《工业互联网新发展行动计划》均强调要在“安全可控”的前提下推进工业网络开放与数据价值释放；

制造企业广泛部署MES、ERP、工业数据平台、AI分析平台等系统，与OT网络实现数据流转成为刚需，边界安全隔离技术成为关键基础设施，承担着数据流转与系统防护“双重责任”。

• 当前行业痛点与需求

生产系统与外部系统间数据交互频繁，亟需安全可控的跨域传输通道；

ICS系统普遍“弱防护+高价值”，一旦遭受入侵将影响生产连续性和安全性；

各级合规审计与等级保护测评对边界隔离设备提出明确指标和验收要求；

因此，构建以网闸、光闸、工业防火墙等为核心的边界安全隔离解决方案，已成为制造企业在数字化转型过程中必须有限考虑的安全基础设施建设方向。

1、目标任务

本方案旨在通过部署边界隔离设备，帮助制造业企业实现关键生产系统与外部系统之间的安全隔离，防止未授权的数据访问与恶意入侵，构建“纵深防御，隔离为先”的工业网络安全架构。

企业的目标建设和任务主要有以下：

构建工业网络之间清晰的安全边界，实现逻辑/物理隔离；

确保生产数据单向、安全传输至MES、ERP、工业云等系统中；

提高对工控网络的整体可视性和管控能力；

降低运维人员误操作和第三方接入带来的安全风险；

建立可审计、可追溯的边界数据交换机制。

2、技术方案

为实现上述建设目标，提出以下几类主流边界隔离技术路径：

①工业单向光闸方案

结构组成：内网单元+外网单元+光收发模块

功能特性：实现数据单向上次，物理不可逆，彻底断开外部系统对生产网的回连可能。

适用场景：关键数据上报、安全等级高、数据只需上传不需下发的场景。

图2-工业单向光闸方案

②工业网闸方案

结构组成：内网单元+外网单元+隔离单元（如FPGA）

功能特性：支持工业协议深度识别，双向数据传输可控，具备完整的策略配置与审计能力。

适用场景：需频繁进行生产与管理系统双向数据交互的工厂。

图3-工业网闸方案

③工业防火墙方案

结构组成：标准防火墙形态+工业识别引擎

功能特性：基于应用白名单和行为识别机制，进行访问控制与深度检测。

适用场景：非关键数据交互、需要访问控制而非强隔离的业务区域。

图4-工业防火墙方案

④光闸+工业防火墙组合方案

部署模式：生产系统出口先接入光闸，再连接工业防火墙对传出数据进行审计与策略控制。

优势：兼顾物理隔离与策略灵活性，适合关键数据上传、需审计日志合规的场景。

图5-光闸+工业防火墙组合方案

⑤网闸+工业防火墙组合部署方案

部署模式：双向数据通道通过工业网闸进行协议识别与控制，边界再由工业防火墙做访问过滤和异常检测。

优势：适合数据交互频繁且网络访问复杂的制造企业，可精细化控制数据的类型、流量方向及终端行为。

图6-网闸+工业防火墙组合部署方案

结合安全隔离强度、协议适配能力、策略控制粒度、成本与维护等综合因素，推荐制造业采用“网闸 + 工业防火墙”组合部署方案。

1) 安全全面：网闸保障核心数据安全交换，防火墙实现协议过滤和异常阻断；

2) 策略灵活：可细化控制不同协议、方向、行为，实现动态调整策略；

3) 协议兼容强：适配MES、ERP、DCS、PLC等主流工业协议；

4) 可审计合规：满足等保2.0、工控安全指南等监管要求；

5) 分层部署灵活：可按工厂车间、业务系统分层部署隔离策略；

6) 具备高可用性：支持热备部署，降低单点故障风险；

7) 适配云化趋势：支持与工业云、数据中台、远程运维平台集成；

8) 运维友好：统一策略平台、可视化监控，降低维护成本；

9) 成熟稳定：产品经过权威检测认证，广泛应用于制造、能源等领域。