文章总结： 本文综述2025年欧盟网络安全态势，指出数字化加深引发韧性悖论，局部风险易致系统性崩溃。文章分析AI脆弱性、供应链级联及混合威胁表现。欧盟通过网络弹性法、量子战略及危机管理蓝图修订，推动治理转向全生命周期主动防御与协同响应，强调源头管控与技术投入的关键意义。 综合评分： 85 文章分类： 威胁情报,政策法规,安全建设,供应链安全,AI安全

论坛·2025全球网安概览 | 韧性悖论：2025年欧盟网络安全态势综述

原创

孙频捷 孙频捷

中国信息安全

2026年2月22日 16:27 北京

孙频捷

上海政法学院副教授

欧盟网络安全局（ENISA）的《2025年欧盟网络安全图景报告》（ENISA Threat Landscape 2025）指出，数字化越深，局部攻击引发整体性风险的概率越高，一个环节的风险可能会对欧盟数字安全整体环境构成系统性、弥散性伤害。面对“越数字化，越脆弱”的安全悖论，欧盟加速实施《网络弹性法》（Cyber Resilience Act），加快《关于在全欧盟范围内实现高水平网络安全共同措施的指令》（NIS2）的转化进程，推动《网络团结法》（Cyber Solidarity Act）生效，将网络安全策略由传统的风险监管转变为全生命周期韧性保护，并通过加强危机协调的方式构建更具操作性和协作性的安全管理框架，应对数字化转型过程中的“韧性悖论”问题。这一转型凸显了数字时代网络安全治理逻辑的转变，对平衡效率与安全、发展与防护具有重要的借鉴意义。

一、欧盟网络安全“韧性悖论”的表现

《2025年欧盟网络安全图景报告》分析2024年7月至2025年6月期间近4900起网络安全事件后发现，欧盟面临的网络威胁环境正日趋复杂，网络威胁主体变得更加专业，威胁模式也从单一高影响事件转向持续、多样且多种模式融合的方向发展。尤为重要的是，数字化转型与网络连通性虽然提高了系统效率，却也使局部威胁能够通过供应链、互联系统扩散与放大，破坏网络空间的整体安全。这种在提升连通性和经济效率的同时，也引入了新系统性风险，并增加系统脆弱性的现象，被欧盟网络安全局称为网络安全的“韧性悖论”。2025年，欧盟网络安全“韧性悖论”主要体现在以下几个方面。

（一）人工智能系统脆弱性凸显“韧性悖论”

人工智能技术的广泛应用提升了欧盟利用数字基础设施的工作效率与决策能力。随着人工智能技术不断被用于非法目的，且其系统自身也逐渐成为网络攻击的重要目标，新的系统性安全风险也不断出现。欧盟理事会2025年发布的《欧洲科学人工智能战略——为人工智能科学资源铺平道路》（A European Strategy for Artificial Intelligence in Science: Paving the Way for the Resource for AI Science in Europe）指出，人工智能技术面临“双重风险”，一方面，攻击者通过“钓鱼即服务”（PhaaS）平台，利用大语言模型自动生成高度仿真的钓鱼网站和社会工程攻击脚本，降低了网络犯罪的技术门槛；另一方面，人工智能模型的动态学习特性使其极易受到对抗性样本攻击，一旦训练数据被污染，整个模型的决策逻辑都可能被操纵。

《2025年欧盟网络安全图景报告》提出，生成式人工智能自身的脆弱性日益暴露，针对人工智能系统的攻击成为2025年最突出的网络安全新特征。在这些攻击中，最常见的手段是针对人工智能系统的供应链攻击，占总体威胁的10.6%左右。攻击者通过向Python包索引库等开源代码库注入恶意软件包，在人工智能模型的训练和部署环节植入后门。这些被植入后门的人工智能系统一旦投入使用，攻击者就能轻易获取其相关信息。另一种较常见的攻击方式是模型投毒攻击。这一方式通过污染训练数据或直接篡改人工智能模型，使其产生预设的恶意输出。被称为“蹲坑”攻击的新型攻击模式，利用大语言模型产生的“幻觉”，抢先注册虚构的软件包名。待开发者被人工智能误导而使用这些包时，攻击者便会将恶意代码注入软件。

在人工智能技术深度嵌入欧盟数字基础设施的背景下，这些针对人工智能系统的攻击正产生重大的系统性影响。根据世界卫生组织（WHO）欧洲区域办公室2024年至2025年报告《人工智能重塑卫生系统：WHO欧洲区域就绪状态》（Artificial Intelligence is Reshaping Health Systems: State of Readiness Across the WHO European Region），该区域50个成员国中的64%（即32个国家）已在医疗领域采用人工智能技术辅助诊断。金融领域的人工智能技术应用同样深入。例如，欧洲银行已开始部署人工智能技术驱动的“巴塞尔协议Ⅲ”合规平台执行反洗钱任务。

广泛的人工智能技术依赖表明，一个被污染的人工智能技术模型可能同时对多个行业的决策链条产生影响，涵盖金融风控、医疗诊断、交通调度和能源分配等领域。加之人工智能技术系统具有“黑箱”特性，这些攻击往往具有高度隐蔽性，被污染或操纵的模型可能在相当长的时间持续产生偏差输出而难以被察觉，进而引发“慢性中毒”和“累积性损害”。人工智能系统高效性与脆弱性兼具的特征使其成为2025年欧盟网络安全“韧性悖论”表现最明显的领域。

（二）网络空间级联脆弱放大“韧性悖论”

欧盟数字化转型深化了对数字系统供应链的依赖，在提升系统效率与互联性的同时，也会导致局部风险通过软件供应链与互联生态逐级放大为系统性中断，甚至导致局部影响演变为全球范围的系统崩溃。这种高度依赖全球供应链的数字产品生态系统存在明显的“级联脆弱”风险，在提升经济效率的同时存在巨大的安全隐患，在很大程度上放大了欧盟网络安全“韧性悖论”。

2024年7月19日发生的由众击（CrowdStrike）公司推送缺陷通道文件导致全球性计算机系统故障事件，被视为数字安全环境“级联脆弱”显现的标志性事件。这一事件对欧盟国家的影响尤为显著，包括导致欧盟部分国家的航空、医疗与金融等多个关键部门长时间中断运营。例如，这一事件导致阿姆斯特丹史基浦机场、柏林勃兰登堡机场、西班牙多个机场报告系统故障，造成登机手续、行李处理和航班调度中断，持续数日后才得以恢复正常运营。《2025年欧盟网络安全图景报告》强调，欧盟社会对数字技术的依赖不断深化，使原本孤立的网络安全事件可能沿着整个供应链网络延伸到所有领域，即连续、低强度但累积性的攻击通过数字依赖生态放大为系统性中断。高互联性数字生态的底层局部风险通过应用层级与应用范围的提高与扩大，持续累积与放大风险，并最终导致大规模系统性安全事件发生。这是当前欧盟社会在数字化转型中日益凸显的“级联脆弱”特征的表现。

源于上游漏洞向下游的级联传递，“级联脆弱”会导致网络攻击范围呈指数级扩张。《2025年欧盟网络安全图景报告》指出，当前开源代码在软件系统中的占比已高达70%~90%。这虽然在很大程度上提高了软件开发效率，降低了开发周期与成本，但也意味着上游组件中的任何一个漏洞都可能沿着依赖链条向下游传递，最终影响数以千计的终端应用程序。漏洞的级联传递特性常使下游系统在未察觉风险敞口时便已暴露在潜在的攻击风险之下。这种“一点突破、全面扩散”的漏洞传播机制，使单一上游组件的安全缺陷能够在整个软件生态系统引发连锁反应，从根本上改变了传统以边界防护为核心的网络安全范式。

2025年9月，柯林斯宇航公司的“多用户系统环境”（MUSE）旅客处理平台遭遇网络攻击。黑客通过渗透外部供应商网络间接突破了机场关键信息基础设施的防护层，导致欧洲多国机场系统瘫痪，累计影响航班超千架次，并造成持续扩大的经济损失。这一案例表明，网络攻击者能够充分利用应用程序对第三方产品的依赖关系进行横向扩散，将其破坏性影响散布至整个应用生态。原本低强度的攻击通过网络基础设施渐进扩散，演变为大规模、持续性的网络风险，最终酿成跨国级联中断的严重后果。更重要的是，这种风险传递的隐蔽性强，使传统检测手段难以及时察觉。当风险大规模爆发时，已经难以补救。

（三）网络威胁深度融合加剧“韧性悖论”

地缘政治行为与网络犯罪活动深度融合，导致网络犯罪、自由黑客与国家资助行动之间的界限变得模糊，传统归因与网络安全响应机制因而面临根本性挑战。2025年，一些具有政治目的的网络行动开始系统性地采用被称为“假行动主义”（faketivism）的新型作战模式，将国家主导的具有政治目的的网络操弄行动伪装成普通的黑客活动，掩盖其真实的行动意图。更重要的是，欧盟网络安全局发现，这种伪装也改变了传统国家行为体的网络作战模式。欧盟的对手正将制造单一高影响力事件的网络战略活动或作战行动转化为持续、多样化且难以侦测的“慢性安全压力”，逐步削弱了欧盟数字基础设施的整体安全韧性。在这一背景下，欧盟数字转型得越彻底，这种“慢性压力”将会越持久，造成的威胁也将越广泛，“韧性悖论”困境也将越明显。

《2025年网络安全威胁态势报告》观察到，各种不同类型的网络威胁行为体之间协作水平明显提高，不同类型组织的行为动机与活动方法日益融合，导致欧盟网络安全格局转变为一种“持续性、多样化安全压力环境”。例如，一个名为“野马熊猫”（Mustang Panda）的组织在针对欧盟政府和国防目标发起攻击时，使用了传统黑客的战术、技术和程序，同时也针对其他民用目标发动了同样的攻击。这显示出网络战略行动与普通的黑客攻击混合行动的特点。基于这种融合模式，网络攻击已不再局限于单一的目标，而是演变为网络犯罪、情报操控与信息渗透复合一体的长期威胁。

针对这一问题，欧洲刑警组织发布的《欧盟严重犯罪和有组织犯罪威胁评估》（EU-SOCTA 2025）报告提出，网络攻击中的混合行为者越来越多地与传统犯罪网络行为者展开合作，将网络攻击、虚假信息传播和洗钱等特定犯罪行为外包给后者，规避直接卷入的风险。在这种“合作”过程中，犯罪网络组织通过充当代理获得经济利益和先进技术资源，而国家行为者则借此隐蔽其真实身份，规避政治责任。这种混合趋势使欧盟网络安全态势变得更加复杂，既使国家支持的网络行为更加难以侦测和识别，也鼓励并滋养了网络犯罪，推动网络犯罪活动专业化。最终，网络安全风险转向复合化、长期化的“慢性侵蚀”，成为欧盟数字社会转型过程中难以摆脱的困扰。

二、欧盟应对网络安全“韧性悖论”的策略

面对人工智能系统的“双重风险”、网络安全“级联脆弱”与网络攻击者高度融合问题的冲击，欧盟认识到在网络安全领域“合规不等于韧性”，因此将政策重心转向强调具有更高操作性、更强调实践效果的网络安全“韧性治理”框架上。2025年，欧盟通过全面生效《网络弹性法》、加速落地NIS2、修订《欧盟网络安全危机管理蓝图》（EU Blueprint on Cybersecurity Crisis Management）、启动“网络安全储备”机制等一系列高执行力举措，试图破解欧盟社会“越数字化越脆弱”的“韧性悖论”困境。

（一）提升技术防御能力应对新威胁挑战

面对人工智能系统不断遭受攻击、量子计算对现有公钥加密体系的颠覆性威胁不断迫近，2025年，欧盟确立了以增强技术自主为核心、整合防御能力为驱动的网络防御思路，试图通过构建自主可控的网络防御生态，在人工智能时代大幅提升自身网络安全韧性。为落实这一战略思路，欧盟2025年在技术研发与能力整合两个方面开展了积极的行动。

在量子安全领域，欧盟委员会于2025年7月2日正式发布《欧洲量子战略》，明确提出到2030年使欧洲成为全球量子科技领导者的战略目标。该战略依托自2018年启动的“量子旗舰”（Quantum Flagship）计划，截至2024年年底，已累计投入超过20亿欧元，涵盖量子计算、通信、传感和模拟等前沿领域。结合成员国超过90亿欧元的配套资金，欧盟正加速推进量子技术从实验室原型向产业应用的转化。同时，面对量子计算对现有加密体系构成的潜在威胁，后量子密码学（PQC）也成为欧盟关注并重点投资的网络安全技术重点领域。

在网络防御能力整合方面，欧盟持续强化欧洲防务技术与工业基地（EDTIB）建设。EDTIB作为欧盟战略自主的核心框架，通过整合军民两用技术、优化供应链安全性和提升创新协作，增强网络安全韧性。欧盟委员会于2025年通过欧洲防务基金（EDF）年度工作计划，拨付10.65亿欧元用于合作研究与开发，重点支持关键防御技术和能力的发展。该计划涵盖33个提案，其中包括网络空间作战工具开发、人工智能增强的威胁检测系统以及关键基础设施防护技术等，并通过资助中小企业和初创企业参与，降低创新门槛，强化欧盟对供应链攻击和运营技术威胁的防御韧性。

此外，《欧洲国防工业计划》（EDIP）也计划在2025年至2027年间从欧盟预算中提供15亿欧元财政支持，增强EDTIB的竞争力和响应能力，推动军民两用技术的协同发展。通过推动创新技术与网络防御能力的整合，欧盟不仅加快了对地缘政治驱动的混合性威胁的响应速度，还强化了供应链本土化，降低了战略依赖风险，改善了网络安全领域的防御碎片化状况，提升了网络安全韧性。

（二）以全生命周期管理构建全体系防控

为应对“级联脆弱”问题，欧盟网络安全治理正经历从被动监管向主动源头管控的战略性转变。传统监管模式往往在安全事件发生后才介入响应，侧重于事后追责与补救；而源头管控则将安全要求前置到产品设计、开发和供应链的最初环节，从根本上降低风险敞口。

这一战略转型体现在欧盟的一系列立法实践中。2024年12月10日正式生效的《网络弹性法案》堪称源头管控理念的典型实践。其核心是要求企业必须确保数字产品从设计、开发到退役的全生命周期安全，将漏洞管理流程与安全更新机制确立为产品准入的前置条件，从根本上扭转传统“事后补丁”的被动安全模式。2025年1月17日生效的《数字运营弹性法》（DORA）则将源头管控思路延伸至金融领域。该法案为欧盟金融体系构建了统一的监管框架，涵盖通信信息技术的风险管理与治理、事件响应与报告、数字运营复原力测试、第三方风险管理以及信息情报共享等五大核心领域，旨在确保金融机构在风险暴露前就能建立系统性防御能力。这些法规相互衔接、功能互补，试图共同构成多层次、全覆盖的欧盟网络安全治理体系。同时，这也标志着欧盟网络安全治理思路已超越简单的合规要求叠加，形成了层层递进、相互支撑的主动防护网络。

（三）深化内部协调构建统一危机响应机制

面对“假行动主义”导致的混合威胁，欧盟确立了“统一指挥、一体响应”的机制改革思路，通过修订制度框架、强化政治共识与常态化演练，将原本分散在成员国、欧盟机构、民企与军方的危机应对力量整合成可快速激活的整体。

在制度框架层面，欧盟委员会于2025年2月24日提出《欧盟网络安全危机管理蓝图》修订提案，以非约束性工具形式更新了2017年文件，明确网络安全各部门的角色分工与行动触发阈值，并与《综合政治危机应对框架》（IPCR）及欧盟网络外交工具箱等现有机制有效对接，实现从技术处置到政治外交响应的统一协调。

在能力提升层面，2025年11月4日举行的“欧盟网络蓝图演习—2025”（BlueOLEx-2025），是修订蓝图提出后的首次实战检验。该演练由欧盟网络安全局与塞浦路斯当局联合主办，重点评估欧盟网络危机联络组织网络（EU-CyCLONe）在大型跨国网络危机中的执行效能。参演单位覆盖27个成员国计算机安全事件响应团队（CSIRT）、国家政府、欧盟机构及关键私营运营商，验证了从数小时内完成态势共享到联合决策的完整链路。

在话语协同层面，修订蓝图强调建立成员国与欧盟机构间的“共同政治话语体系”，通过信息共享原则和公共沟通协调机制，使成员国能够在危机初期对事件严重性、影响范围与归因判断形成共识，实现公共沟通的标准化与一致性，有效遏制虚假信息放大社会恐慌。

欧盟正逐步转变“部门权责不清、多头监管”的碎片化状态，建立“统一蓝图、统一话语、统一行动”的危机响应体系，为有效应对混合威胁的归因与协调难题奠定制度基础。欧盟强化技术自主研发，推进后量子密码迁移进程，加强全生命周期的风险管理，提高跨成员国的危机协调效能，并构建快速响应的互助资源池，进而搭建更具操作性与系统性的网络安全韧性治理架构。

欧盟的努力有望达成多重积极效果。一方面，欧盟数字基础设施抵御新兴威胁的能力将得以增强，事件响应速度以及跨域协作效率也会随之提高。另一方面，对外部战略技术的依赖程度有望逐步减轻，建设源头防控、全周期管理与集体行动机制，有助于阻止局部风险扩散为系统性危机，在一定程度上平衡数字化转型产生的效率收益与脆弱性增加的矛盾。

然而，上述举措在实施进程中亦会面临诸多潜在风险。一方面，成员国之间实施进度的差异可能会加剧治理碎片化，降低整体框架的协调效能；另一方面，监管负担的加重或许会抑制中小企业的创新活力，从而对欧盟数字经济的整体竞争力造成影响。同时，资源配置与大规模突发事件实际需求之间的匹配存在较大难度，可能致使应急响应能力在关键时期显得不足。更需警惕的是，若网络威胁的演化速度超出预期，现行防御措施将陷入被动滞后的局面，难以有效抑制风险的放大效应。总之，未来欧盟能否切实化解数字化进程中的“韧性悖论”，还需要在制度改革与技术演进两个维度展开持续的探索与验证。

三、欧盟网络安全“韧性悖论”的启示

2025年，欧盟网络安全领域最深刻的警示是，欧盟所面对的最大危机并非不断增加的网络攻击，而是网络安全领域的“韧性悖论”已从理论概念演变为现实危机。这种“韧性悖论”表现为数字化转型越深入、系统越互联、效率与恢复能力越强等，而局部故障或攻击引发的系统性崩溃风险反而更大、更快、更难逆转。欧盟过去五年凭借《网络与信息系统安全指令》《数字运营弹性法案》《网络弹性法案》等一系列法规条例搭建的合规堡垒，在供应链攻击引发的全球故障面前显得力不从心。这种情况具有重要的借鉴意义。

第一，“韧性悖论”根植于对软件产品的“单点依赖”（Single Point Dependency）与数字社会“深度互联”的叠加效应。这种叠加效应导致数字基础设施遭遇的局部性风险，会迅速波及其他关键服务。为此，欧盟将安全责任前置到制造商，强制要求产品在设计、开发和生产阶段满足基本网络安全要求，确保全生命周期安全，抛弃打补丁式的防御思维。可见，网络安全规范不能只满足于不断增加与堆砌各种合规要求，而是将安全要求嵌入芯片制造、工业控制系统设计、卫星通信终端等产品的设计与生产过程中，从源头切断风险。

第二，不同类型网络威胁的融合是网络安全对抗必须面临的新挑战，而网络安全策略需要从被动技术防御转向主动情报驱动与跨域协作模式。2025年，欧盟发现，国家行为体与犯罪集团的工具、战术、资金呈现高度重合趋势。这种混合威胁使归因变得更困难，传统执法与外交工具面临严峻挑战。欧盟的破局之举是提出《欧盟网络安全危机管理蓝图》修订提案，举行大规模跨成员国演练，致力于建立从政治层到技术层的共同话语体系和情报共享机制。

第三，人工智能技术的“双重风险”是技术发展过程中无法避免的安全问题。2025年，欧盟网络安全态势揭示了人工智能既是最佳防御工具，也是最容易遭到攻击的对象。模型中毒、对抗样本攻击等新型威胁不断涌现，使人工智能系统的脆弱性显露无遗。量子计算一旦取得突破性进展，现行公钥密码体系也将面临全面失效风险。欧盟通过《数字欧洲计划》为关键技术部署提供资金支持，并在共同安全与防务政策框架下推进网络防御领域的军民融合，应对新技术带来的新风险。欧盟投入巨大资金应对技术风险挑战的政策实践揭示，技术风险只能通过持续的技术发展与资源投入应对，而不能仅仅依赖缺乏执行力的规则体系加以限制。

四、结语：从欧盟实践看数字韧性的本质

欧盟2025年的网络安全策略升级，是关于“数字韧性”的深刻反思与系统重构。欧盟通过一系列实践行动表明，单纯增加法规数量、片面追求数字化进程速度，只会引发“韧性悖论”。碎片化的合规要求非但未能提升整体安全水平，反而增加了系统复杂度和脆弱点。唯有体系化加强安全管控，才能在深度数字化时代实现真正的韧性。源头管控确保安全内生于产品全生命周期，以情报驱动实现威胁的前瞻感知与精准应对，从根本上摆脱关键技术受制于人的被动局面，才能实现真正意义上的“安全韧性”。

（本文刊登于《中国信息安全》杂志2026年第1期）

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：中国信息安全 孙频捷 孙频捷《论坛·2025全球网安概览 | 韧性悖论：2025年欧盟网络安全态势综述》