2023年台积电 infections 事件（因外部供应商远程维护入口被攻破，导致部分产线停摆数小时）之后，国内半导体工厂对"工控系统上网"这件事，敏感度陡然提升了好几个档次。但现实情况是：大量PLC设备仍然通过4G/DTU方式连到外网，原因很简单——远程维护方便。

妙曲智慧在帮苏州多家半导体工厂做工控系统安全评估时，发现一个让人睡不着觉的普遍现象：一台连到外网的PLC，等同于整个内网的一个"活门"。供应商为了调试方便留下的远程入口、设备厂家预装的"电话回家"服务、甚至PLC固件本身的漏洞，都是潜在的风险点。

一、半导体工厂对PLC内网化的刚性需求

很多人会问："PLC控制个冰箱、空调、照明，至于搞得这么如临大敌吗？"在普通办公楼，确实没那么严重。但半导体工厂的PLC通常控制的是生产辅助系统（洁净室压差、温湿度、工艺冷却水、气体管道压力等），这些参数一旦被恶意篡改，后果不是"设备坏了"这么简单。

等保三级的合规压力

除了安全本身的考虑，还有合规要求。半导体制造属于"关键信息基础设施运营者"（依据《网络安全法》和等保2.0标准），等保三级认证要求"工控网络与办公网络物理隔离或逻辑隔离"。PLC设备如果直接连外网，在等保测评时是一票否决项。

我们帮客户做等保整改时，PLC内网化通常是必改项之一。整改成本不高（主要是把4G/DTU换成本地网关），但整改后的安全收益是非常直观的——至少不用再担心"门外有人随便敲门"了。

二、"纯内网"方案的技术实现：不是断网就行

把PLC从外网拔掉，接一根网线到内网交换机——这件事本身不难。难的是：拔掉外网之后，原来依赖远程维护、云端监控的功能，怎么办？

妙曲的方案是构建一个本地物联网平台，所有PLC数据先汇聚到本地服务器，由本地平台负责"该上传的上传，不该上传的坚决不上传"。

边缘计算层：让决策发生在本地

传统架构里，PLC采集的数据→上传云端→云端做决策→指令下发到PLC，这套流程的延迟通常在500ms~2s。对于"温湿度调节"这种慢过程，问题不大；但对于"设备急停"、"过载保护"这类需要快速响应的场景，云端决策的延迟是不可接受的。

我们的做法是：把决策逻辑下沉到边缘网关。网关和PLC在同一个局域网内，通信延迟<10ms，完全可以满足实时控制的需求。只有在需要"大数据汇总分析"的场景（比如能耗趋势预测），才把聚合后的数据上传到云端。

数据脱敏：只上传"说结论"不"交底细"

内网化不等于"与世隔绝"。能耗数据、设备运行状态这些汇总信息，企业还是需要上级单位（或集团总部）能看到。关键在于"脱敏"——上传的数据，不能包含可以被反向推导出工艺细节的信息。

具体做法举例：

• 能耗数据：上传"今日用电量：12800 kWh"，不上传"每台设备每小时的用电曲线"（后者可能暴露生产排程和工艺节拍）
• 设备状态：上传"运行中/停机/故障"，不上传"具体故障代码"（故障代码可能包含设备型号和工艺参数信息）
• 环境参数：上传"洁净室温度正常"，不上传"温度：22.3°C，湿度：43.7%RH"（精确数值可能是竞争对手想知道的工艺窗口）

三、远程维护的替代方案：VPN + 堡垒机

PLC内网化之后，设备厂家的远程维护怎么办？这是客户问得最多的问题。答案是：不是不能远程维护，而是要通过受控的通道来做。

我们的标准方案是：企业部署一台工业级VPN网关，设备厂家的维护人员，先通过VPN接入企业内网，再经过堡垒机（操作审计系统）跳转到目标PLC。整个过程有完整的日志审计，谁、在什么时间、对哪台PLC做了什么操作，全程可追溯。

这套方案的成本，大约是每台PLC每年200-500元的维护通道费用（主要是VPN账号和堡垒机License），比"每台PLC配一张4G卡（约600元/年）"还要便宜，而且安全性高得多。

四、落地效果：安全与便利的平衡