智能制造在提升生產(chǎn)效率的同時，也暴露了嚴峻的安全短板，其中人為漏洞正成為最薄弱的環(huán)節(jié)。本文結合艾體寶 KnowBe4最新研究，揭示制造業(yè)轉型中的累積的安全債務、供應鏈安全威脅和高價值數(shù)據(jù)泄露三大風險挑戰(zhàn)與應對之策。

一、嚴峻現(xiàn)實：制造業(yè)正成為網(wǎng)絡攻擊的重災區(qū)

數(shù)字化浪潮帶動全球制造業(yè)邁入“智能工廠”時代，與技術飛速迭代同時到來的還有急劇擴張的網(wǎng)絡安全威脅。

根據(jù)多份國際安全報告，制造業(yè)已連續(xù)四年成為全球受攻擊最多的行業(yè)，占所有網(wǎng)絡攻擊事件的 26%。僅在 2024 年，制造業(yè)確認的數(shù)據(jù)泄露數(shù)量同比暴增 89.2%，攻擊損失成本更是增長 125%。與此同時，隨著生產(chǎn)線的全面數(shù)字化、云化與互聯(lián)化，網(wǎng)絡威脅已深入制造業(yè)供應鏈各環(huán)節(jié)，成為損害產(chǎn)品交付、客戶信任與企業(yè)市場競爭力的罪魁禍首。

*圖源艾體寶KnowBe4《保障制造業(yè)的數(shù)字化未來》白皮書

二、威脅形式：從勒索軟件到社會工程攻擊

1. 勒索軟件：制造業(yè)的首要威脅

Verizon《2025年數(shù)據(jù)泄露調查報告》顯示，制造業(yè)47%的數(shù)據(jù)泄露由勒索軟件導致，IBM X-Force也確認制造業(yè)在2024年已成為勒索軟件攻擊案例最多的行業(yè)。

無法輕易中斷生產(chǎn)，是制造業(yè)成為勒索軟件攻擊目標的核心原因。汽車制造業(yè)平均停產(chǎn)1小時就會損失200萬歐元，因此在面臨勒索軟件攻擊時，企業(yè)通常選擇支付贖金以快速恢復運營，無疑助長了攻擊行為。

*圖源艾體寶KnowBe4《保障制造業(yè)的數(shù)字化未來》白皮書

2. 社會工程與釣魚攻擊：大多數(shù)攻擊鏈的起點

在所有網(wǎng)絡攻擊事件中，社會工程攻擊，特別是釣魚攻擊，已成為制造業(yè)最普遍、最有效的初始入侵路徑。Verizon數(shù)據(jù)顯示，社會工程攻擊是制造業(yè)第二大攻擊類型，造成了22%的泄露事件，其中釣魚攻擊獨占19%。約60%的泄露事件最終可歸因于人為因素，許多勒索軟件入侵、憑證竊取與后續(xù)的高級持續(xù)性威脅（APT）攻擊，其起點均始于一次成功的釣魚郵件點擊。

僅在2024年下半年，就有高達69%的已知APT攻擊活動以制造業(yè)為目標，正利用制造業(yè)“重規(guī)模運營、輕安全精度”的普遍弱點，通過海量釣魚郵件和社會工程嘗試“淹沒”防御薄弱的制造企業(yè)，以此竊取核心研發(fā)數(shù)據(jù)并為后續(xù)破壞控制系統(tǒng)鋪平道路。

三、三大核心挑戰(zhàn)，凸顯“人因漏洞”放大效應

無論攻擊者的目標為何，人為漏洞導致的釣魚攻擊往往是打開安全缺口的通用手段。

風險一：OT與IT的深度融合——安全問題的“歷史債務”

運營技術（OT）與信息技術（IT）的深度整合，使原本相對封閉的工業(yè)系統(tǒng)暴露于開放網(wǎng)絡威脅之下，大量遺留設備缺乏安全設計且難以更新，為確保及時交付，企業(yè)不得不推遲安全升級以保障生產(chǎn)連續(xù)性，導致安全債務不斷堆積。

以汽車制造業(yè)為例，為聯(lián)網(wǎng)改造而接入的舊機器人、機床等設備往往無法及時打補丁，攻擊者通常回通過釣魚攻擊入侵辦公網(wǎng)絡，獲取憑證后橫向移動至OT網(wǎng)絡，使得單一過時設備即可成為攻擊整個生產(chǎn)系統(tǒng)的入口。

風險二：供應鏈成為新的突破口——安全防線的“連鎖反應”

攻擊者日益將目標轉向防護較弱的上游供應商或服務商，實施“迂回滲透”。這使得企業(yè)即便自身防護完備，仍可能因供應鏈環(huán)節(jié)被攻破而導致生產(chǎn)中斷或數(shù)據(jù)泄露。

以制藥業(yè)為例，高度依賴供應鏈上下游協(xié)同，攻擊者向供應商員工發(fā)送偽裝成合作方或內部通知的釣魚郵件，一旦任一合作方的員工中招，都可能迅速波及全線，造成嚴重的運營與安全危機。

風險三：高價值數(shù)據(jù)的吸引力——安全威脅的“終極目標”

制造業(yè)的核心知識產(chǎn)權與運營數(shù)據(jù)具有極高的經(jīng)濟與戰(zhàn)略價值，因而成為網(wǎng)絡攻擊的重點目標。當前網(wǎng)絡安全保護的范圍已從產(chǎn)品本身延伸至設計后端與研發(fā)體系，而內部研發(fā)、財務、高管等能夠接觸到敏感信息的人員，正是釣魚攻擊的精準目標，同時內部人員疏忽或惡意行為進一步加劇了防護復雜性。

例如智能網(wǎng)聯(lián)汽車的AI算法、通信協(xié)議，以及制藥業(yè)中的藥物配方、生產(chǎn)工藝與臨床試驗等核心數(shù)據(jù)，一旦泄露將導致重大經(jīng)濟損失并徹底喪失競爭優(yōu)勢。

上述三大風險共同揭示了一個制造業(yè)數(shù)字化轉型中的根本矛盾：對運營效率、盈利能力和創(chuàng)新速度的追求，常迫使企業(yè)以犧牲基礎網(wǎng)絡安全為代價。攻擊者正是利用這一矛盾，將“人”最為成本最低、成功率最高的攻擊目標。

然而在制造業(yè)數(shù)智化轉型的過程中，網(wǎng)絡安全已超越技術范疇，成為關乎企業(yè)生存、產(chǎn)品可靠性與產(chǎn)業(yè)安全的戰(zhàn)略核心。構建覆蓋OT環(huán)境、供應鏈及數(shù)據(jù)生命周期的主動防御體系，筑牢“人”的防線，是從根源上平衡轉型風險與數(shù)字化收益的必然路徑。

四、制約制造業(yè)網(wǎng)絡安全投入的現(xiàn)實困境

1

認知與人才的雙重缺口

制造業(yè)的核心是車間而非辦公室，這直接導致員工普遍網(wǎng)絡安全意識薄弱，且缺乏系統(tǒng)培訓。根據(jù) ENISA 報道，59%的中小制造企業(yè)反映難以招聘到合格的網(wǎng)絡安全人員，從操作員到工程師的能力缺口使防御體系難以構建。

2

老舊系統(tǒng)的更新悖論

制造環(huán)境中多數(shù)OT系統(tǒng)為持續(xù)運行設計，對這些系統(tǒng)進行安全更新或替換不僅成本高且易引發(fā)停產(chǎn)風險，因此企業(yè)往往無限期推遲升級，埋下長期隱患。

3

資源競爭與“生產(chǎn)優(yōu)先”的思維慣性

網(wǎng)絡安全投入常需與更緊迫的運營需求直接競爭。在確保生產(chǎn)連續(xù)性、交貨期等壓力下，安全易被視作“次要任務”或“成本中心”，升級計劃與培訓常因此被擱置或推遲。安全意識培訓尤其容易被忽視，直到下一次安全事件發(fā)生。

綜上，企業(yè)陷入“知險難為”的被動局面：明知存在漏洞，卻因人才短缺、成本壓力與停產(chǎn)風險，只能在風險中維持脆弱平衡。

五、破局之道：構建以“人”為本的融合型主動防御體系

面對嚴峻威脅與現(xiàn)實困境，制造業(yè)不能再依賴被動的、零敲碎打的防御措施。構建長期韌性需要采用綜合策略，在解決技術漏洞的同時，必須將“消除人為風險”置于核心地位，通過持續(xù)的安全意識教育，將安全能力融入企業(yè)的數(shù)字基因。

構建“韌性優(yōu)先”的安全體系

在不中斷生產(chǎn)的前提下，主動降低老舊系統(tǒng)的風險暴露：

網(wǎng)絡分段隔離：對 OT 與 IT 網(wǎng)絡進行邏輯或物理隔離，遏制攻擊橫向擴散。

部署虛擬補丁與持續(xù)監(jiān)控：通過入侵檢測系統(tǒng)（IDS）、終端防護與嚴格訪問控制，為無法打補丁的系統(tǒng)提供保護層。

健全變更管理：建立完善的變更管理流程，確保對傳統(tǒng)系統(tǒng)的任何修改均經(jīng)充分測試與審批，避免引入新風險。

貫徹“安全始于設計”理念

將安全內嵌于新技術、新設備與流程的設計階段，將安全思維滲透進開發(fā)、采購和項目管理人員意識，從源頭保障設計安全：

嵌入安全機制：在新系統(tǒng)架構設計之初即嵌入安全機制。

開展常態(tài)化風險評估：定期對 IT/OT 環(huán)境進行系統(tǒng)性評估，動態(tài)修復漏洞。

對標國際安全框架：遵循 NIS2、ISO 27001、IEC 62443 等標準，建立可驗證的防護體系。

加強供應鏈協(xié)同防御

將安全責任延伸至整個產(chǎn)業(yè)鏈，提升所有合作伙伴員工的普遍安全意識：

實施供應商安全評估：將網(wǎng)絡安全納入合作準入門檻。

建立威脅情報共享機制：提升供應鏈整體預警與響應能力。

完善供應鏈事件響應計劃：明確合作伙伴在安全事件中的職責與協(xié)作流程。

強化安全文化建設，筑牢“人”防火墻

這是整合并賦能上述所有防御措施的基礎性、關鍵性工程，通過技術攔截與持續(xù)培訓降低人為風險：

技術過濾先行：利用智能工具攔截郵件、通訊中的可疑內容。

開展定制化持續(xù)培訓：實施針對制造業(yè)場景的模擬釣魚演練與意識培訓。艾體寶KnowBe4 研究數(shù)據(jù)顯示，經(jīng)一年系統(tǒng)培訓后，制造業(yè)員工釣魚點擊率可從31.8%顯著降至3.6%。

培養(yǎng)專業(yè)人才：為 OT/IT 安全崗位建立清晰的職業(yè)路徑，緩解人才短缺。

作為全球領先的安全意識培訓與釣魚模擬平臺，艾體寶 KnowBe4幫助制造企業(yè)通過持續(xù)培訓與實戰(zhàn)演練，識別并降低人因安全風險。數(shù)據(jù)顯示，經(jīng)過系統(tǒng)、有組織的安全意識培訓后，不同規(guī)模的制造業(yè)企業(yè)其員工易受釣魚攻擊的傾向均顯著下降，整體組織的網(wǎng)絡韌性得到顯著提升。

*圖源艾體寶KnowBe4《保障制造業(yè)的數(shù)字化未來》白皮書

制造業(yè)的數(shù)字化關乎生存，網(wǎng)絡安全則是其生命線。面對系統(tǒng)性風險，企業(yè)必須意識到，投資于人的安全意識，是投資于所有網(wǎng)絡安全措施“提質增效”的關鍵。唯有將安全文化融入企業(yè)組織DNA，通過明智地投資于系統(tǒng)性、持續(xù)性的員工安全意識培訓，企業(yè)才能夠最直接地轉化人為風險，從根本上筑牢安全防御的基石，保障安全未來。