第二十九章 安全与合规：工业级 IT/OT 网络边界防护与数据防泄漏策略

第二十九章 安全与合规：工业级 IT/OT 网络边界防护与数据防泄漏策略

一、 楚河汉界：当“万物互联”撞上“绝对隔离”

在工业互联网的宏大叙事里，IT（信息技术）工程师往往带着“万物互联，云端控制”的互联网思维。然而，一旦我们真正走到大型化工厂或炼钢厂的 DCS（集散控制系统）机房门前时，却结结实实地撞上了一堵无形的墙——OT（操作技术）层面的“绝对隔离”底线。

在工业企业尤其是国企的语境下，生产安全（Safety）和网络合规（Security）永远是悬在所有人头顶的达摩克利斯之剑。车间主任和自控班长对 IT 系统的态度非常明确：“你们可以看数据，但绝不能直接碰我的生产网。万一你们外网中了病毒，或者下发了一个极其荒谬的阀门开度指令，导致反应釜超压爆炸，谁来负这个责任？”

这种天然的安全鸿沟与不信任感，要求我们在架构设计时，必须在 IT 网络和 OT 网络之间划出一道不可逾越的“楚河汉界”。传统的双向防火墙在这里是不及格的：因为只要存在双向通信策略，就有被黑客利用零日漏洞直接网络穿透的风险。我们需要的是一种更彻底的物理级防御。

二、 跨越物理鸿沟：解析隔离网闸的底层逻辑与“只读”妥协

为了彻底打消生产安全部门的顾虑，同时满足国家等保 2.0（网络安全等级保护）的要求，我们在 IT 与 OT 的核心边界处，放弃了传统防火墙，引入了正反向隔离网闸（Data Diode / 单向光闸）。

1. 物理切断：斩断 TCP 握手

传统交换机和路由器严重依赖 TCP 协议的“三次握手、四次挥手”以及双向的 ACK 确认。而工业隔离网闸在底层硬件上打破了这套规矩：它内部采用了纯单向的光摆渡器件。数据由发送端转为光信号发射，接收端只有光电接收器，且在物理上不具备向回发送光信号的能力。
网闸会在 OT 内网一侧伪装成接收端，骗过系统的 TCP 发送请求；拿到数据后，将 TCP