202X年X月，一则消息在制造业圈刷屏：

某知名车企因勒索病毒攻击，多个生产基地全线停产，每天损失高达数千万元。

官方通报中，原因只有一句话：

“病毒通过办公网横向渗透至生产网，导致SCADA与MES系统瘫痪。”

这并不是孤例。

近年来，水利、电力、医院、轨道交通、芯片制造等领域，都出现过类似事故——起因几乎都是同一个：为了“方便业务”，办公网与生产网、内网与外网之间被直接连通，却忽略了“网络通了，风险也跟进了”。

 近年来，水利、电力、医院、轨道交通、芯片制造等领域，都出现过类似事故——起因几乎都是同一个：为了“方便业务”，办公网与生产网、内网与外网之间被直接连通，却忽略了“网络通了，风险也跟进了”。

一、事故背后的共同盲区：信任边界被击穿

在这些事件中，IT部门通常都有防火墙、IPS、杀毒软件，甚至在等保测评中拿到了不错的分数。

但攻击者绕过了所有逻辑防线，原因只有一个：

他们在办公网和生产网之间，开了“直连通道”。

在绝大多数事故中，攻击链条是这样的：

1、入口突破：员工点击钓鱼邮件、访问恶意网站，办公网一台终端中招。

2、横向移动：病毒利用Windows漏洞（如永恒之蓝）、弱口令、共享目录，在办公网扩散。

3、跨网渗透：由于办公网与生产网之间存在路由或防火墙策略放行，病毒顺着网络一路进入生产网。

4、致命一击：加密PLC、上位机、数据库，生产线停机，恢复成本巨大。

逻辑防线可以升级补丁，但“连通性”本身就是风险源。

只要有一条路能走通，攻击者就一定会走。

二、为什么防火墙挡不住“内鬼”？

很多企业在复盘时都会说：

“我们明明有下一代防火墙，为什么还是被攻破了？”

答案很残酷：防火墙是为“防外”设计的，而不是为“防内”设计的。

防火墙依赖规则库和特征库，对0day漏洞、APT攻击、定制木马识别能力有限；

防火墙允许合法会话通过，一旦攻击者拿到办公网内一台主机的权限，就可以借用这条“合法通道”直连生产网；

防火墙无法阻止人为误操作、内鬼、供应链攻击带来的风险。

换句话说：

防火墙解决的是“谁能敲门”的问题，而解决不了“门开着，人已经进来了”的问题。

三、物理隔离：不是“落后”，而是“兜底”

在上述事故中，凡是最终损失可控的案例，都有一个共同点：

生产网与办公网之间，采用了物理隔离（网闸/光闸）。

物理隔离的核心逻辑很简单：

不让你进来，不是因为门禁严，而是因为根本没有门。

以网闸（GAP）为例，它采用“2+1架构”：

·内网主机只连生产网

·外网主机只连办公网

·两者之间通过硬件开关/隔离交换单元物理断开，没有任何TCP/IP直连会话

数据交换的过程，不是“转发”，而是“协议剥离 → 内容审查 → 数据摆渡 → 重新封装”。

攻击者找不到任何一条可以持续利用的通道，自然也就无法横向移动。

而在涉密网、高敏感数据区，还会进一步使用光闸（FGAP），通过单向光纤实现“只进不出”或“只出不进”，从物理层面杜绝数据回传的可能。

四、事件之后：合规不再是“走过场”

过去，很多单位把等保合规当成“拿证就行”的行政任务。

但近几年，监管态度明显收紧：

·等保2.0明确要求：三级及以上系统，关键安全域必须物理隔离；

·关基保护条例强调：生产控制大区与管理信息大区必须安全隔离；

·行业监管（电力36号文、银保监指引、卫健行业规范）普遍要求隔离与信息交换设备。

事故发生后，监管部门关注的不再是“有没有防火墙”，而是：

“有没有物理隔离？数据交换是不是可控？审计日志是否完整？”

五、给企业的一句警示

很多企业常说：

“我们业务太复杂，不能断网，不能隔离。”

但现实是：

你可以选择不方便的隔离，也可以选择毁灭性的停产。

在安全事件频发的今天，物理隔离不是“阻碍业务发展”的绊脚石，而是“业务连续性”的最后一道防线。

·生产网与办公网之间，能用网闸就不用防火墙直连；

·涉密网与非涉密网之间，能用光闸就不用普通网闸；

·视频网、物联网、第三方接入区，一律视为“不可信区域”，严格隔离。

六、结语

那家车企最终恢复了生产，但损失已经无法挽回。

真正值得思考的不是“他们为什么会被攻击”，而是：

“下一次，会不会是你？”

网络安全从来不是靠“运气”和“自信”维持的。

当你决定让两个不同安全等级的网络相连时，请记住：

连接的每一根网线，都是攻击者可能走的路。

江苏深网科技是一家专门从事跨域安全产品开发、销售，提供网络攻防技术服务的网络安全公司，并成立自主品牌“深铠威”。公司主营业务面向工业互联网、物联网等新基建大背景，重点研发、销售跨域安全产品和网络安全工具软件。公司核心团队来自于军队科研院所和国内知名高科技企业，依托核心团队多年的网络安全攻防技术研究，目前已推出网闸、光闸、数据交换平台等跨域交换安全产品以及IPSec VPN和SSL VPN安全网关产品，并拥有了细分领域领先的网络攻防技术研发能力，目前已广泛应用于政府、金融、能源、医疗、教育、交通、传媒等行业。