“有些人認為打印機是安全的，其實并不是。”Derek Manky，Fortinet首席安全戰略官在日前發布《FortiGuard Labs 2018第二季度威脅報告》時接受了記者的采訪，他強調，在目前物聯網的環境下，任何處在網絡環境下的硬件終端都存在安全風險，都很容易遭到黑客攻擊，“所以我們強調的是零信任安全。”

從此次《FortiGuard Labs 2018第二季度威脅報告》當中可以看到：在亞太地區，受到的網絡攻擊和威脅的行業分布，最高的高科技行業，其次就是制造業，名次排在金融、健康、醫療和教育之前;而同樣的行業對比在中國市場上，制造業則超過了高科技公司名列第一，數字遠高于緊隨其后的是汽車、交通等行業。

事實上，中國的制造業從軟件時代走來，對IT技術的應用目前還處在解決業務節點問題的階段，對于網絡的應用并沒有其他行業深入。但是隨著工業4.0、智能制造和物聯網在制造業的不斷推進，數字化的趨勢已經非常明顯。而對于所面臨的網絡威脅，首要的原因，是制造業本身的業務特征給了網絡侵害可乘之機。

“制造業由于涉及到相對長的業務，各個業務都以不同的方式與網絡發生聯結，因此實際上受到網絡攻擊的面是比較大的。”Derek Manky認為，在數字化環境下，制造業所強調的物聯網和工業互聯網模式，會涉及到各種不同的設備和智能終端，通過不同的操作環境或者云系統來控制企業的運營狀況，因此制造業受到的網絡威脅不僅數量大，而且種類也是多種多樣的。

《威脅報告》顯示，制造業受到的攻擊類型，以病毒軟件為最多，其次是流量攻擊、漏洞攻擊和僵尸病毒攻擊。這一點與整個亞太的比例情況基本類似，只是中國各種類型更加平均。“2018年第二季度在中國市場測出了230萬種病毒的攻擊，占到亞太地區測出病毒數量的13%，是一個很高的數字。”Derek Manky強調雖然以上數據是全行業統計數字，但是依然可以從中看出制造業受到了更多的病毒威脅，同時，還有大量通過計算機傳播的僵尸病毒、以及通過傳感器進行的漏洞攻擊。“除此之外，比如APT攻擊、釣魚軟件等同樣在威脅著制造業的網絡安全，其中，后者主要是通過郵件的方式進行攻擊，它也不是有針對性的攻擊，但攻擊的比較大，這在制造業中表現非常突出。”

與“天然”業務模式所帶來的威脅同樣應該引起重視的，是攻擊制造業企業，能夠以更低的成本獲得最大的收益——制造業企業資產數字化正在成為趨勢，如果能夠獲得企業的核心數據，其價值不可估量。與此相對，制造業企業的網絡防御能力明顯更低，與互聯網公司、金融企業等與高科技結合更加密切的企業相比，其安全意識和安全技術團隊都明顯更弱，因此不僅目前難以形成主動的防御，甚至對于很多制造業企業來講，一旦病毒爆發，由于缺乏足夠的控制能力，則很容易造成病毒的擴展。

“我曾經問過很多個首席安全官一個問題：企業當中聯網設備有多少?迄今為止沒有人給過我一個確定的數字。”Derek Manky尤其強調，對于制造業企業來講，由于傳統業務邏輯的思維方式，現在的企業經營者和管理者對于安全的重視程度還缺乏足夠的認識，而且對于數字資產的價值也認識不足，甚至并沒有真正計算過本企業的數字資產。Derek Manky提醒說：“我們現在的網絡安全環境是非常不穩定的，因此在風險防范和對病毒的應對方面，是非常重要的。”

“這既是行業屬性，也是技術問題和人為的問題。”Fortinet 中國技術總監張略談到以往的案例：“我們曾經有一個很大的客戶，這家企業有兩萬臺服務器。我們在做這個項目的時候發現，在他們的服務器當中，有一百萬個漏洞，如果僅憑IT部門來做，所有人24小時不休息，需要三年時間才能把所有漏洞補完。”

顯然，正在全力謀求“數字化轉型”的中國制造業，不可能用“三年”的時間來完善自己的系統。“當下，我們需要把重要的東西先做好：根據不同漏洞的易于被使用性以及對業務的影響性進行劃分，按照重要級別，一步一步地分步實施。”張略強調，中國的制造業企業首先要重視網絡安全的問題，其次是盡快、按部就班地解決現有問題，而最終，還是需要一套自己的網絡完全防御戰略，“通過一些技術上自動化的整合和控制的手段技術”，構建企業自身的防御中心進行主動安全防御。“對于IOT產品來講，無論是辦公設備還是機器人，這些設備本身是沒有辦法安裝殺毒軟件的，所以只能在網絡連接層面——通過無線層面或者有線層面——保證這些設備的安全。”張略強調說：“Fortinet最大的特點是全網主動防護，現在除了大家熟悉的Fortinet網絡安全解決方案，實際上Fortinet的終端安全也獲得了NSS Labs的BPS(Breach Prevention System)的相關認證，我們完全能夠提供終端級別的安全防護：如果用戶的實際環境允許我們使用終端安全，我們就可以通過終端安全解決方案幫助其解決終端安全問題，但是如果他們的管理不是非常完善的，我們就會把精力放在網絡上，從網絡層面保護企業的數據資產安全。”

“這樣通過技術手段解決問題，不僅更高效，而且企業也不需要雇傭更多技術人員。”Derek Manky說。

寫在最后

工業企業數字化進程到底什么最重要?物聯網時代一再用事實教育我們：安全，一定是安全。數字化轉型的目的，是企業資產的數字化，而如何保護數字資產的安全?一定不是亡羊補牢，而是要未雨綢繆。因此處在加速數字化轉型過程中的中國制造業，是時候投入更多的關注保障自身的轉化成果了