智能制造在提升生產(chǎn)效率的同時，也暴露了嚴(yán)峻的安全短板，其中人為漏洞正成為最薄弱的環(huán)節(jié)。本文結(jié)合艾體寶 KnowBe4最新研究，揭示制造業(yè)轉(zhuǎn)型中的累積的安全債務(wù)、供應(yīng)鏈安全威脅和高價值數(shù)據(jù)泄露三大風(fēng)險挑戰(zhàn)與應(yīng)對之策。

一、嚴(yán)峻現(xiàn)實：制造業(yè)正成為網(wǎng)絡(luò)攻擊的重災(zāi)區(qū)

數(shù)字化浪潮帶動全球制造業(yè)邁入“智能工廠”時代，與技術(shù)飛速迭代同時到來的還有急劇擴張的網(wǎng)絡(luò)安全威脅。

根據(jù)多份國際安全報告，制造業(yè)已連續(xù)四年成為全球受攻擊最多的行業(yè)，占所有網(wǎng)絡(luò)攻擊事件的 26%。僅在 2024 年，制造業(yè)確認(rèn)的數(shù)據(jù)泄露數(shù)量同比暴增 89.2%，攻擊損失成本更是增長 125%。與此同時，隨著生產(chǎn)線的全面數(shù)字化、云化與互聯(lián)化，網(wǎng)絡(luò)威脅已深入制造業(yè)供應(yīng)鏈各環(huán)節(jié)，成為損害產(chǎn)品交付、客戶信任與企業(yè)市場競爭力的罪魁禍?zhǔn)住?/p>

*圖源艾體寶KnowBe4《保障制造業(yè)的數(shù)字化未來》白皮書

二、威脅形式：從勒索軟件到社會工程攻擊

1. 勒索軟件：制造業(yè)的首要威脅

Verizon《2025年數(shù)據(jù)泄露調(diào)查報告》顯示，制造業(yè)47%的數(shù)據(jù)泄露由勒索軟件導(dǎo)致，IBM X-Force也確認(rèn)制造業(yè)在2024年已成為勒索軟件攻擊案例最多的行業(yè)。

無法輕易中斷生產(chǎn)，是制造業(yè)成為勒索軟件攻擊目標(biāo)的核心原因。汽車制造業(yè)平均停產(chǎn)1小時就會損失200萬歐元，因此在面臨勒索軟件攻擊時，企業(yè)通常選擇支付贖金以快速恢復(fù)運營，無疑助長了攻擊行為。

*圖源艾體寶KnowBe4《保障制造業(yè)的數(shù)字化未來》白皮書

2. 社會工程與釣魚攻擊：大多數(shù)攻擊鏈的起點

在所有網(wǎng)絡(luò)攻擊事件中，社會工程攻擊，特別是釣魚攻擊，已成為制造業(yè)最普遍、最有效的初始入侵路徑。Verizon數(shù)據(jù)顯示，社會工程攻擊是制造業(yè)第二大攻擊類型，造成了22%的泄露事件，其中釣魚攻擊獨占19%。約60%的泄露事件最終可歸因于人為因素，許多勒索軟件入侵、憑證竊取與后續(xù)的高級持續(xù)性威脅（APT）攻擊，其起點均始于一次成功的釣魚郵件點擊。

僅在2024年下半年，就有高達(dá)69%的已知APT攻擊活動以制造業(yè)為目標(biāo)，正利用制造業(yè)“重規(guī)模運營、輕安全精度”的普遍弱點，通過海量釣魚郵件和社會工程嘗試“淹沒”防御薄弱的制造企業(yè)，以此竊取核心研發(fā)數(shù)據(jù)并為后續(xù)破壞控制系統(tǒng)鋪平道路。

三、三大核心挑戰(zhàn)，凸顯“人因漏洞”放大效應(yīng)

無論攻擊者的目標(biāo)為何，人為漏洞導(dǎo)致的釣魚攻擊往往是打開安全缺口的通用手段。

風(fēng)險一：OT與IT的深度融合——安全問題的“歷史債務(wù)”

運營技術(shù)（OT）與信息技術(shù)（IT）的深度整合，使原本相對封閉的工業(yè)系統(tǒng)暴露于開放網(wǎng)絡(luò)威脅之下，大量遺留設(shè)備缺乏安全設(shè)計且難以更新，為確保及時交付，企業(yè)不得不推遲安全升級以保障生產(chǎn)連續(xù)性，導(dǎo)致安全債務(wù)不斷堆積。

以汽車制造業(yè)為例，為聯(lián)網(wǎng)改造而接入的舊機器人、機床等設(shè)備往往無法及時打補丁，攻擊者通?；赝ㄟ^釣魚攻擊入侵辦公網(wǎng)絡(luò)，獲取憑證后橫向移動至OT網(wǎng)絡(luò)，使得單一過時設(shè)備即可成為攻擊整個生產(chǎn)系統(tǒng)的入口。

風(fēng)險二：供應(yīng)鏈成為新的突破口——安全防線的“連鎖反應(yīng)”

攻擊者日益將目標(biāo)轉(zhuǎn)向防護(hù)較弱的上游供應(yīng)商或服務(wù)商，實施“迂回滲透”。這使得企業(yè)即便自身防護(hù)完備，仍可能因供應(yīng)鏈環(huán)節(jié)被攻破而導(dǎo)致生產(chǎn)中斷或數(shù)據(jù)泄露。

以制藥業(yè)為例，高度依賴供應(yīng)鏈上下游協(xié)同，攻擊者向供應(yīng)商員工發(fā)送偽裝成合作方或內(nèi)部通知的釣魚郵件，一旦任一合作方的員工中招，都可能迅速波及全線，造成嚴(yán)重的運營與安全危機。

風(fēng)險三：高價值數(shù)據(jù)的吸引力——安全威脅的“終極目標(biāo)”

制造業(yè)的核心知識產(chǎn)權(quán)與運營數(shù)據(jù)具有極高的經(jīng)濟(jì)與戰(zhàn)略價值，因而成為網(wǎng)絡(luò)攻擊的重點目標(biāo)。當(dāng)前網(wǎng)絡(luò)安全保護(hù)的范圍已從產(chǎn)品本身延伸至設(shè)計后端與研發(fā)體系，而內(nèi)部研發(fā)、財務(wù)、高管等能夠接觸到敏感信息的人員，正是釣魚攻擊的精準(zhǔn)目標(biāo)，同時內(nèi)部人員疏忽或惡意行為進(jìn)一步加劇了防護(hù)復(fù)雜性。

例如智能網(wǎng)聯(lián)汽車的AI算法、通信協(xié)議，以及制藥業(yè)中的藥物配方、生產(chǎn)工藝與臨床試驗等核心數(shù)據(jù)，一旦泄露將導(dǎo)致重大經(jīng)濟(jì)損失并徹底喪失競爭優(yōu)勢。

上述三大風(fēng)險共同揭示了一個制造業(yè)數(shù)字化轉(zhuǎn)型中的根本矛盾：對運營效率、盈利能力和創(chuàng)新速度的追求，常迫使企業(yè)以犧牲基礎(chǔ)網(wǎng)絡(luò)安全為代價。攻擊者正是利用這一矛盾，將“人”最為成本最低、成功率最高的攻擊目標(biāo)。

然而在制造業(yè)數(shù)智化轉(zhuǎn)型的過程中，網(wǎng)絡(luò)安全已超越技術(shù)范疇，成為關(guān)乎企業(yè)生存、產(chǎn)品可靠性與產(chǎn)業(yè)安全的戰(zhàn)略核心。構(gòu)建覆蓋OT環(huán)境、供應(yīng)鏈及數(shù)據(jù)生命周期的主動防御體系，筑牢“人”的防線，是從根源上平衡轉(zhuǎn)型風(fēng)險與數(shù)字化收益的必然路徑。

四、制約制造業(yè)網(wǎng)絡(luò)安全投入的現(xiàn)實困境

1

認(rèn)知與人才的雙重缺口

制造業(yè)的核心是車間而非辦公室，這直接導(dǎo)致員工普遍網(wǎng)絡(luò)安全意識薄弱，且缺乏系統(tǒng)培訓(xùn)。根據(jù) ENISA 報道，59%的中小制造企業(yè)反映難以招聘到合格的網(wǎng)絡(luò)安全人員，從操作員到工程師的能力缺口使防御體系難以構(gòu)建。

2

老舊系統(tǒng)的更新悖論

制造環(huán)境中多數(shù)OT系統(tǒng)為持續(xù)運行設(shè)計，對這些系統(tǒng)進(jìn)行安全更新或替換不僅成本高且易引發(fā)停產(chǎn)風(fēng)險，因此企業(yè)往往無限期推遲升級，埋下長期隱患。

3

資源競爭與“生產(chǎn)優(yōu)先”的思維慣性

網(wǎng)絡(luò)安全投入常需與更緊迫的運營需求直接競爭。在確保生產(chǎn)連續(xù)性、交貨期等壓力下，安全易被視作“次要任務(wù)”或“成本中心”，升級計劃與培訓(xùn)常因此被擱置或推遲。安全意識培訓(xùn)尤其容易被忽視，直到下一次安全事件發(fā)生。

綜上，企業(yè)陷入“知險難為”的被動局面：明知存在漏洞，卻因人才短缺、成本壓力與停產(chǎn)風(fēng)險，只能在風(fēng)險中維持脆弱平衡。

五、破局之道：構(gòu)建以“人”為本的融合型主動防御體系

面對嚴(yán)峻威脅與現(xiàn)實困境，制造業(yè)不能再依賴被動的、零敲碎打的防御措施。構(gòu)建長期韌性需要采用綜合策略，在解決技術(shù)漏洞的同時，必須將“消除人為風(fēng)險”置于核心地位，通過持續(xù)的安全意識教育，將安全能力融入企業(yè)的數(shù)字基因。

構(gòu)建“韌性優(yōu)先”的安全體系

在不中斷生產(chǎn)的前提下，主動降低老舊系統(tǒng)的風(fēng)險暴露：

網(wǎng)絡(luò)分段隔離：對 OT 與 IT 網(wǎng)絡(luò)進(jìn)行邏輯或物理隔離，遏制攻擊橫向擴散。

部署虛擬補丁與持續(xù)監(jiān)控：通過入侵檢測系統(tǒng)（IDS）、終端防護(hù)與嚴(yán)格訪問控制，為無法打補丁的系統(tǒng)提供保護(hù)層。

健全變更管理：建立完善的變更管理流程，確保對傳統(tǒng)系統(tǒng)的任何修改均經(jīng)充分測試與審批，避免引入新風(fēng)險。

貫徹“安全始于設(shè)計”理念

將安全內(nèi)嵌于新技術(shù)、新設(shè)備與流程的設(shè)計階段，將安全思維滲透進(jìn)開發(fā)、采購和項目管理人員意識，從源頭保障設(shè)計安全：

嵌入安全機制：在新系統(tǒng)架構(gòu)設(shè)計之初即嵌入安全機制。

開展常態(tài)化風(fēng)險評估：定期對 IT/OT 環(huán)境進(jìn)行系統(tǒng)性評估，動態(tài)修復(fù)漏洞。

對標(biāo)國際安全框架：遵循 NIS2、ISO 27001、IEC 62443 等標(biāo)準(zhǔn)，建立可驗證的防護(hù)體系。

加強供應(yīng)鏈協(xié)同防御

將安全責(zé)任延伸至整個產(chǎn)業(yè)鏈，提升所有合作伙伴員工的普遍安全意識：

實施供應(yīng)商安全評估：將網(wǎng)絡(luò)安全納入合作準(zhǔn)入門檻。

建立威脅情報共享機制：提升供應(yīng)鏈整體預(yù)警與響應(yīng)能力。

完善供應(yīng)鏈?zhǔn)录憫?yīng)計劃：明確合作伙伴在安全事件中的職責(zé)與協(xié)作流程。

強化安全文化建設(shè)，筑牢“人”防火墻

這是整合并賦能上述所有防御措施的基礎(chǔ)性、關(guān)鍵性工程，通過技術(shù)攔截與持續(xù)培訓(xùn)降低人為風(fēng)險：

技術(shù)過濾先行：利用智能工具攔截郵件、通訊中的可疑內(nèi)容。

開展定制化持續(xù)培訓(xùn)：實施針對制造業(yè)場景的模擬釣魚演練與意識培訓(xùn)。艾體寶KnowBe4 研究數(shù)據(jù)顯示，經(jīng)一年系統(tǒng)培訓(xùn)后，制造業(yè)員工釣魚點擊率可從31.8%顯著降至3.6%。

培養(yǎng)專業(yè)人才：為 OT/IT 安全崗位建立清晰的職業(yè)路徑，緩解人才短缺。

作為全球領(lǐng)先的安全意識培訓(xùn)與釣魚模擬平臺，艾體寶 KnowBe4幫助制造企業(yè)通過持續(xù)培訓(xùn)與實戰(zhàn)演練，識別并降低人因安全風(fēng)險。數(shù)據(jù)顯示，經(jīng)過系統(tǒng)、有組織的安全意識培訓(xùn)后，不同規(guī)模的制造業(yè)企業(yè)其員工易受釣魚攻擊的傾向均顯著下降，整體組織的網(wǎng)絡(luò)韌性得到顯著提升。

*圖源艾體寶KnowBe4《保障制造業(yè)的數(shù)字化未來》白皮書

制造業(yè)的數(shù)字化關(guān)乎生存，網(wǎng)絡(luò)安全則是其生命線。面對系統(tǒng)性風(fēng)險，企業(yè)必須意識到，投資于人的安全意識，是投資于所有網(wǎng)絡(luò)安全措施“提質(zhì)增效”的關(guān)鍵。唯有將安全文化融入企業(yè)組織DNA，通過明智地投資于系統(tǒng)性、持續(xù)性的員工安全意識培訓(xùn)，企業(yè)才能夠最直接地轉(zhuǎn)化人為風(fēng)險，從根本上筑牢安全防御的基石，保障安全未來。