在很多制造、能源、交通企业里，IT部门往往面临一个两难局面：

**一边是生产网（OT）绝对不能断、不能中毒；

另一边是办公网（IT）要取生产数据、做统计分析、对接上层系统。**

传统做法，是直接拉一根网线，或在防火墙上开策略打通两端。

但近几年，勒索病毒、挖矿木马、APT攻击频繁通过办公网横向渗透生产网，导致整条产线停机、SCADA系统瘫痪，损失动辄百万起步。

于是，越来越多企业开始换一种思路：

用网闸（GAP）/光闸（FGAP）做“可控数据摆渡”，而不是简单“打通网络”。

一、典型业务场景拆解

1️⃣ 制造企业：ERP/MES 需要从车间采集数据

需求：

MES 需要从 PLC/DCS 采集生产数据

ERP 需要按批次获取产量、良率、能耗数据

风险：

办公网一旦感染病毒，极易通过开放端口传播到生产网

合规要求：

工信部、等保2.0均要求生产控制大区与管理信息大区安全隔离

2️⃣ 能源/电力：调度网与信息管理网互联

需求：

调度中心向管理网推送运行数据、报表

风险：

管理网直接访问调度网，存在越权操作、数据篡改隐患

合规要求：

电力36号文明确要求使用专用隔离装置

3️⃣ 轨道交通/智慧城市：监控专网与业务网互联

需求：

视频、门禁、报警数据上传至业务平台

风险：

视频终端数量庞大、安全基线弱，易成为跳板

合规要求：

关基保护条例要求关键系统与其他网络物理隔离

二、解决方案：网闸/光闸“断网不断业务”

针对上述场景，推荐采用“生产网—网闸/光闸—办公网”的部署模式：

[PLC/DCS/SCADA] ── 生产网

                         │

                     [网闸/GAP]

                         │

[MES/ERP/BI/办公终端] ── 办公网

✅ 核心机制

物理断开：任何时刻，生产网与办公网不存在TCP/IP直连

协议剥离：数据在摆渡过程中被还原为纯数据，彻底清洗报文

单向/双向可控摆渡：可按业务需要配置仅采集、仅下发或双向同步

白名单+内容检测：只允许指定文件类型、端口、IP、指令通过

✅ 场景化产品卖点提炼

三、真实收益（客户视角）

�� 安全侧：

阻断勒索病毒、木马、扫描探测从办公网进入生产网

�� 业务侧：

生产数据正常上送，MES/ERP功能不受影响

�� 合规侧：

满足等保2.0、关基保护、行业监管要求

�� 运维侧：

减少临时开墙、应急断网、事后补救的成本

四、落地建议（给客户的Checklist）

在规划生产网与办公网互联时，建议重点确认：

✅ 是否明确划分生产控制大区与管理信息大区

✅ 是否存在跨网实时数据采集、文件同步需求

✅ 是否已有等保测评/行业检查整改压力

✅ 是否考虑未来接入工业互联网平台的安全边界

如能满足上述条件，网闸/光闸通常是比“防火墙+ACL”更安全、更合规、也更省心的选择。

�� 结语

在数字化转型加速的今天，企业真正需要的不是“打通一切的网络”，而是“业务能跑、风险可控”的安全通道。

网闸与光闸，正是为这一需求而生。

江苏深网科技是一家专门从事跨域安全产品开发、销售，提供网络攻防技术服务的网络安全公司，并成立自主品牌“深铠威”。公司主营业务面向工业互联网、物联网等新基建大背景，重点研发、销售跨域安全产品和网络安全工具软件。公司核心团队来自于军队科研院所和国内知名高科技企业，依托核心团队多年的网络安全攻防技术研究，目前已推出网闸、光闸、数据交换平台等跨域交换安全产品以及IPSec VPN和SSL VPN安全网关产品，并拥有了细分领域领先的网络攻防技术研发能力，目前已广泛应用于政府、金融、能源、医疗、教育、交通、传媒等行业。