文 | 中国社会科学院俄罗斯东欧中亚研究所研究员、中国社会科学院大学教授 肖斌
中国社会科学院大学 许天麟
【摘 要】2025年,欧亚地区网络安全在高度地缘政治化、攻击工具智能化及目标精准化三大因素交织影响下,面临前所未有的挑战。高级持续性威胁(APT)频频指向关键信息基础设施,而勒索软件与人工智能欺诈在各部门广泛扩散。从地理位置观察,东欧、南高加索与中亚呈现分层压力。各国虽通过立法强化治理,却在路径上表现出“地缘分化”与“制度强化”的异质性。展望2026年,欧亚地区将继续面临高风险持续与不确定性增强的严峻挑战。
【关键词】地缘政治危机;人工智能攻击;分化和强化;高风险
因直接受到地缘政治危机的影响,欧亚地区成为全球网络安全脆弱性较高的地区之一。本文所指的欧亚地区涵盖东欧地区的俄罗斯、白俄罗斯、乌克兰、摩尔多瓦,南高加索地区的阿塞拜疆、格鲁吉亚、亚美尼亚,中亚地区的哈萨克斯坦、吉尔吉斯斯坦、塔吉克斯坦、土库曼斯坦、乌兹别克斯坦,共计12国。本文基于2025年公开事件数据、政府通报、行业报告与区域网络安全机构发布的信息进行综合分析,从威胁全景、制度回应、展望三个部分,梳理总结该地区年度网络安全态势。
一、多维演进:地缘政治驱动的欧亚网络威胁全景
2025年,欧亚地区的网络安全领域呈现高度地缘政治化、攻击工具智能化和目标精准化三大特征。总体而言,该地区主要受到地缘冲突驱动的高级持续性威胁(APT)攻击,导致关键信息基础设施和政府系统的中断风险持续上升。同时,勒索软件攻击、分布式拒绝服务攻击(DDoS)和利用人工智能(AI)的欺诈活动,也在欧亚大陆扩散。按地理位置,以下对东欧、南高加索和中亚三个子区域的网络安全情况进行分析。
(一)东欧地区:地缘冲突前沿的高烈度网络对抗
东欧地区作为欧亚地区的核心,包括俄罗斯、乌克兰、白俄罗斯、摩尔多瓦等四国。自2022年乌克兰危机升级以来,东欧地区网络安全形势受到地缘冲突的强烈冲击。
1. 俄罗斯:高价值目标定向攻击与内容管理强化
俄罗斯仍然是欧亚地区遭受网络攻击的高风险区,主要体现在以下方面。一是全年网络攻击体量有所增加。2025年上半年,俄罗斯联邦通信、信息技术和大众传媒监督局记录了63000起网络攻击,比2024年同期增长27%。同时,俄罗斯的网络内容管控力度加强。根据莫斯科时报报道,截至2025年10月底,俄罗斯已屏蔽超过120万互联网资源,比2024年增长50%,重点针对钓鱼网站、恶意软件控制服务器和匿名邮件服务。二是针对高价值目标的定向攻击主要威胁工业、政府和军事部门。根据俄罗斯网络安全公司卡巴斯基工业控制系统计算机应急响应小组2025年9月在其网站发布的2025年第二季度网络安全动态数据,俄罗斯伊克斯控股(ICS)计算机被拦截恶意对象的占比为18%。尽管通用型恶意对象的拦截率有所下降,但针对性攻击仍然猖獗,例如麒麟(Qilin)勒索软件组织在2025年针对俄罗斯关键部门发动了700余次攻击。三是重点攻击载体多样化。截至2025年10月底,俄联邦通信局记录了103起数据泄露事件,涉及约5000万条俄罗斯公民记录(包括个人信息、电子邮件和电话号码)。这些泄露主要源于企业数据库被黑客入侵或不当存储。此外,移动间谍活动频繁。根据卡巴斯基实验室记录,2025年6月至7月期间,俄罗斯安卓设备用户遭遇了一波有组织的网络间谍攻击。此次活动涉及超过3000起攻击事件,主要利用名为“月神间谍”(LunaSpy)的恶意软件,通过伪装成杀毒软件或金融应用进行传播,诱导用户授予关键系统权限,窃取用户个人数据。
2. 乌克兰:复合型渗透与AI技术应用
乌克兰遭受的网络攻击活动量大且目标高度集中。根据微软公司2025年11月23日发布的《数字防御报告2025》,2025年上半年,乌克兰发生的网络攻击事件数量全球排名第五,表明其遭受的威胁烈度持续维持高位。
在攻击目标和事件类型上,针对乌克兰的网络攻击活动的直接目标是干扰国家运行和军事指挥。根据乌克兰国家通信与信息保护局2025年10月发布的报告《网络钓鱼、零点击攻击、人工智能攻击:2025年乌克兰网络威胁趋势》,网络攻击活动集中针对地方政府机构(34%)、安全与国防部门(23%)以及中央政府组织(19%),凸显了威胁行为体对关键行政和军事信息的持续关注。攻击事件主要类型包括网络钓鱼(27%)、恶意软件感染(21%)和账户盗用(5.4%)。这表明攻击者采用融合了社会工程与技术渗透的复合型攻击策略。
针对乌克兰的威胁行为体展现了日益成熟的技术能力。一是零点击攻击与合法服务滥用(LSA)。一些与外国情报部门相关的黑客组织利用漏洞,在无用户交互的条件感染系统。攻击者利用开源网页邮件客户端和协同办公/邮件系统Roundcube和Zimbra等主流电子邮件平台,以及滴露盒(Dropbox)、谷歌云端硬盘(Google Drive)和克劳德弗莱尔(Cloudflare)等合法云服务进行恶意文件分发。二是AI驱动的攻击。乌克兰计算机应急响应小组记录到利用AI创建高度逼真的网络钓鱼信息和恶意软件的案例。
3. 白俄罗斯:金融领域威胁激增
2025年,白俄罗斯的网络安全威胁主要体现为金融领域的攻击量激增,同时,国家对数字空间的控制趋严。白俄罗斯国家银行自动事件处理系统2025年12月9日数据显示:2025年前10个月,系统记录近600起信息保护安全漏洞事件;相比之下,2024年全年的记录仅为177起。这表明威胁程度大幅提升。此外,针对端口扫描侦察及DDoS攻击相关的入侵事件数量亦显著增加。
发生在白俄罗斯的网络欺诈行为朝复杂化和多阶段化方向演进,并集中在投资欺诈、税务申报欺诈、虚假商品和服务支付欺诈等领域。技术手段的革新已成为驱动欺诈策略升级的核心变量。值得关注的是,一种结合了近场通信(NFC)技术与资产代币化工具的新兴欺诈体系正在快速成型。
4. 摩尔多瓦:混合战争压力增加
因作为欧盟候选国、处于地缘政治敏感地区和快速数字化转型中,摩尔多瓦网络安全环境持续恶化。摩尔多瓦安全和战略传播专家埃琳娜·马尔扎克2025年11月发布的报告《地缘政治压力下的摩尔多瓦:欧洲扩大进程中的民主转型与混合挑战》称,该国面临着俄罗斯支持的混合威胁加剧,包括针对选举的网络攻击和信息战。与2022年相比,针对摩尔多瓦的网络攻击数量已增加3倍以上,政府网站成为重点攻击目标。根据摩尔多瓦计算机安全服务中心和国家安全情报局2024年7月报告《摩尔多瓦共和国网络安全动态:应对复杂威胁》,摩尔多瓦面临最常见的威胁类型包括DDoS攻击、网络钓鱼、勒索软件和高级持续威胁。
(二)南高加索地区:危机外溢影响基础设施安全
南高加索地区包括亚美尼亚、阿塞拜疆和格鲁吉亚三国。受到地缘政治危机外溢的深刻影响,南高加索地区网络安全问题不断。
1.格鲁吉亚:攻击针对公用和政务部门
受地缘政治外溢影响,格鲁吉亚国内政治存在“东西方路线”之争,直接导致网络安全形势复杂,公共和政府部门网络易遭到入侵和攻击。2025年1月24日,第比利斯公共交通的售票机被黑客入侵,播放了亲欧信息和歌曲的音频录音,呼应了进行的亲欧集会和活动。尽管这次黑客攻击未造成经济损失,却暴露了工业控制系统的关键漏洞。2025年2月14日至18日,一场峰值达420 Gbps针对格鲁吉亚财政部、国税局和选举委员会门户的大规模DDoS攻击持续了67个小时。
2.亚美尼亚:地缘对抗间隙外溢风险隐忧
亚美尼亚2025年的网络攻击相对缓和。然而,作为欧盟东部伙伴国以及在与俄罗斯关系不睦的背景下,亚美尼亚易受地缘政治对抗的影响,持续面临被用于网络攻击跳板或被攻击方实施报复性行动的外溢风险。根据亚美尼亚《媒体》网2025年12月文章《2026年亚美尼亚面临的网络威胁》,2025年,针对亚美尼亚社会组织和媒体的网络攻击数量明显增加。
3.阿塞拜疆:关键信息基础设施遭APT攻击
2025年,阿塞拜疆面临网络攻击数量与复杂度的双高峰,且威胁主要集中在国家高价值目标和关键经济部门。根据阿塞拜疆网络安全组织协会网站2025年11月公布的信息,发生在该国的网络攻击事件已超过6200起(较2024年大幅增长),DDoS攻击与勒索软件攻击事件数量较2024年增长约40%。其中,针对政府机构、金融系统和能源部门等关键信息基础设施的APT攻击最明显,且恶意邮件是重要的初始攻击载体。2025年1月至9月,阿塞拜疆政府机构的电子邮件服务共处理了12267260封电子邮件,其中有2930383条邮件被识别为包含恶意内容。
(三)中亚地区:工业控制系统脆弱易受攻击
在中亚地区,工业控制系统针对可移动介质的拦截率持续处于高位。根据2025年9月19日卡巴斯基ICS CERT发布的2025年第二季度亚洲工业自动化系统的威胁格局动态报告,中亚国家工业控制系统被恶意拦截比例位居全球前列。其中,土库曼斯坦被拦截率为38.5%、塔吉克斯坦被拦截率为33.74%,其遭受的恶意攻击行为是世界平均水平的近2倍。2025年,中亚“视窗”系统蠕虫病毒感染率仅次于非洲,也是全球阻断矿工病毒最高的国家之一。
1.哈萨克斯坦:网络攻击数量激增
2025年,哈萨克斯坦遭受的网络攻击数量急剧增加,攻击总量达到2024年同期的两倍,而且,遭受的网络威胁形态发生了明显转变,僵尸网络和网络钓鱼成为主要的攻击载体。根据研究机构哈萨克斯坦经济监测分析平台(Ranking.kz)2025年11月的数据,2025年1月至5月期间,该国共发生了30000起信息安全事件,是2024年同期报告数量的两倍。在攻击类型和数量方面,僵尸网络相关活动(包括垃圾邮件、密码破解和远程系统入侵)数量增长最明显,2025年第一季度增至17600起,而2024年同期仅为1700起;网络钓鱼尝试增加了37.2%,报告的事件达到2000起。在攻击工具选择方面,涉及计算机病毒、蠕虫和木马的攻击同比下降了17.9%,总数为7900起;DDoS攻击从2024年同期的30起下降到23起。
2.吉尔吉斯斯坦:网络犯罪数量大幅增长
2025年,吉尔吉斯斯坦的网络犯罪数量大幅增长,其中,金融机构和政府系统已成为首要目标。根据数字韧性协会(DRA)与吉尔吉斯斯坦网络攻击分析与调查中心2025年7月公布的数据,国家银行监管的26家银行网站中,有14家存在关键漏洞,可能导致数据被窃取。
3.塔吉克斯坦:网络威胁复杂化
塔吉克斯坦网络安全威胁呈现复杂化特点。根据2025年12月卡巴斯基安全的公告,塔吉克斯坦本地恶意软件检出率达41.16%,在独联体国家中连续多年位居首位。塔吉克斯坦面临的主要恶意软件类型包括:银行类木马检出率达4.7%;加密矿工占比达5.7%。塔吉克斯坦遭遇的攻击链技术复杂性提高,已从早期“先辈遗产”(HTA)应用程序升级为宏启用Word模板(.DOTM)及LNK文件结合PowerShell脚本的复合感染路径。此外,受俄罗斯“黑灰产”外溢影响,大量俄语网络犯罪团伙将塔吉克斯坦作为攻击中转站,频频发起商务邮件欺诈、植入勒索软件、盗取银行卡数据等攻击。
4.乌兹别克斯坦:僵尸网络活跃
2025年,乌兹别克斯坦网络安全形势严峻,其中,网络犯罪激增和基础设施脆弱性仍是主要压力。2025年上半年,乌兹别克斯坦国家计算机安全事件响应中心检测到超过144万起网络威胁,并记录了216起网络安全事件和700多项网站漏洞;攻击频率持续上升,相比2024年全年1200万次攻击的总量,2025年的攻击形势更为严峻;网络犯罪占所有犯罪的44.4%,且在5年内增长了6700%。乌兹别克斯坦遭受的主要攻击针对“.uz”域名的公共和金融网站,常见形式包括未授权内容下载(341起)、首页篡改(89起)等。
5.土库曼斯坦:数字化转型面临安全压力
土库曼斯坦的网络空间管制强度高,且威胁数据公开度低。尽管互联网渗透率仅约25.3%,但基础设施数字化转型仍是土库曼斯坦面临的主要结构性风险。土库曼斯坦2025年遭遇的网络安全威胁主要源于外部攻击,其中,正在建设中的电子政务和能源系统等关键信息基础设施的数字化转型是主要的潜在风险。
二、制度回应:地缘危机压力下的治理强化与路径分化
2025年,受地缘政治危机持续深化与全球数字主权博弈加剧的影响,东欧、南高加索及中亚地区的网络安全法规建设呈现“地缘分化”与“机制强化”特征。在东欧地区,治理范式走向两极,南高加索地区的立法路径因各国地缘取向而分殊,中亚五国在“数字主权”共识驱动下将立法重点聚焦数据本地化、关键信息基础设施保护及反网络犯罪,体现出鲜明的区域防御特征。系统梳理上述三大区域主要国家在2025年颁布实施的核心法律法规,可以理解其网络安全治理逻辑。
(一)东欧四国:危机驱动的两种网络空间治理策略
2025年,东欧地区的网络安全立法活动是地缘危机在数字主权领域的反映。东欧地区网络空间治理呈现差异化治理策略,即网络主权集中和风险驱动型。前者的核心是构建“数字堡垒”实现网络全面管控与技术脱钩,而后者则以欧盟一体化为驱动,旨在通过国际对标提升系统韧性。尽管治理策略截然对立,所有东欧国家在关键基础设施保护和金融数据安全方面面临共同挑战,即地区性跨境应急协作机制在短期内仍难以建立。
采用网络主权集中策略的代表国家是俄罗斯和白俄罗斯,其立法策略具有高度的内部化和强制化特征,强调将网络安全与国家安全深度融合。2025年,俄罗斯网络安全治理机制进一步凸显加强技术主权的意图,强制要求国有关键基础设施必须100%使用国产软硬件。同时,俄罗斯通过修订《个人信息法》和网络犯罪相关法律,实现了数据监控和法律威慑惩罚并举。其中的主要措施包括强制所有商业组织接入国家统一网络安全系统、实现数据存储本地化,并大幅增加网络犯罪的刑期。白俄罗斯则侧重于通过法律法规落实安全运营中心建设和本土技术开发,并拟议新罚则监管虚拟专用网络(VPN)和加密工具。
以乌克兰和摩尔多瓦为代表的风险驱动型网络空间治理策略的核心驱动力,是加速实现与欧盟的法律与标准一体化。乌克兰和摩尔多瓦均将与欧盟《关于在全欧盟范围内实现高水平网络安全共同措施的指令》(NIS2)对接作为立法重点。乌克兰通过法律修正案建立国家网络事件响应系统,并引入基于NIST框架的关键基础设施强制风险评估,体现了风险导向的管理思路。摩尔多瓦通过修订《国家网络安全法》加速向欧盟网络治理标准靠拢,并成立了专门的网络安全局。更重要的是,摩尔多瓦获得授权接入欧盟网络安全设备,具有标志性意义。
(二)南高加索地区三国:应对网络威胁的地缘政治取向
2025年,南高加索地区国家网络安全治理领域立法活跃,体现了应对地缘政治形势变化和网络威胁激增(特别是源自俄罗斯黑客的相关攻击)的必然反应。然而,南高加索地区三国在网络安全治理制度构建上的具体路径,呈现明显的分化特点,折射出各自的地缘政治取向、国家能力与制度惯性的深刻差异。
格鲁吉亚2025年的网络空间治理路径延续了其长期以来与欧盟网络安全战略高度趋同的既有方向,其立法活动以“修补式”与“融入式”为主导。2025年2月7日,格鲁吉亚政府发布了新的《国家网络安全战略》,将工作重点聚焦推动数据保护法规的现代化,确保国内法律框架能够与欧盟不断更新的标准保持同步,加速其欧洲一体化进程。格鲁吉亚的网络安全治理目标是提升整体网络防御的互操作性与透明度。
亚美尼亚2025年采取了“制度升级”的激进策略,完成了从近乎空白到相对完整的国家网络安全体系快速构建。2025年8月,亚美尼亚启动实施《网络安全法》,并设立了具有高度独立性的“信息系统监管机构”。为保障新体系的运行,该国还规划了30余项二级法规。这种集中资源、快速立法、设立独立监管机构的策略,体现了国家层面急于弥补历史性制度赤字、构建抵御外部网络威胁核心能力的决心。
阿塞拜疆则呈现出典型的“执行优先、立法滞后”特点。在制度设计上,该国延续了高度集权的传统,将网络安全监管权力进一步集中于电子安全局与国家特别通信与信息安全局。尽管立法进程相对缓慢,阿塞拜疆凭借充裕的财政资源与实战导向的政策执行力,在反DDoS、金融系统韧性及关键基础设施实战防护能力方面的提升速度位居三国前列。其治理重点在于监管更新和部门韧性,优先确保国家关键资产和高价值经济部门(如能源、金融)的安全,体现出其鲜明的垂直管理风格。
(三)中亚地区五国:网络空间治理的制度化迈进
2025年,中亚五国的网络安全立法活动表现出明显的区域共性和发展差异性,体现了中亚网络空间治理从碎片化向制度化迈进。其政策核心是“维护国家数字主权优先”,普遍强调数据本地化、关键基础设施保护和反网络犯罪。
中亚五国的立法活动多数表现为现有法律的修订或实施细则的出台,聚焦个人信息保护与网络韧性提升,具体体现在以下四个方面。一是数据本地化与关键基础设施保护的优先性。哈萨克斯坦、吉尔吉斯斯坦和乌兹别克斯坦在数据本地化方面的立法最严格。哈萨克斯坦2025年5月6日发布《数字商业法律与法规》,而乌兹别克斯坦的法律修订均着重加强保护国家关键信息基础设施,将其置于国家数字安全的优先地位。二是反犯罪与执法权的系统性强化。乌兹别克斯坦和哈萨克斯坦通过立法加重了对网络犯罪的处罚力度,并成立或授权了专责机构。吉尔吉斯斯坦虽然有新法颁布,但主要工作集中于定义新术语和完善执法细则,增强法律操作性。这些措施旨在从法律层面提高国家的网络执法能力和威慑力。三是国际对接的有限性与区域影响力。虽然中亚部分国家在个人信息保护领域借鉴了欧盟《通用数据保护条例》的框架和原则,但由于俄罗斯在地缘政治和数字技术方面的深远影响,这种国际对接的进展仍然有限。四是区域内的立法差异显著。相较于哈萨克斯坦和乌兹别克斯坦的立法活跃,塔吉克斯坦和土库曼斯坦的立法相对滞后和有限,更多地依赖现有法律框架。
中亚五国网络安全市场虽然潜力巨大,但由于长期存在的人力短缺、基础设施薄弱等问题,法律法规的实际效力和监管能力在短期内难以得到明显改善。随着数据本地化和执法权限的强化,公众和国际社会持续担忧个人隐私保护,给中亚五国的国际合作带来了法律合规压力。
纵观,欧亚地区三大子区域网络安全机制建设呈现“大方向趋同、小路径分流”的特征。在共性上,三大子区域普遍通过强化数据本地化、提升关键基础设施保护能级及扩充执法职权,提升网络防御能力,应对人工智能等新技术引发的机制性不足。在差异性上,受地缘取向与国家能力的双重约束,区域内形成了三类演进范式:东欧地区表现为“南北极化”,南高加索地区表现为“策略性演进”,中亚地区表现为“主权驱动下的非均衡治理”。这种差异性显著的网络安全治理格局,反映出欧亚地区正从零散的政策应对转向深层次的结构性对抗。
三、未来展望:智能攻防升级与结构性挑战的延续
基于2025年欧亚地区网络威胁的演变、网络安全治理相关法律法规的更新进展,以及各国网络安全能力的结构性差异,可以预计,2026年欧亚地区的网络安全态势将主要呈现三大特征:持续高风险、分化加速以及不确定性进一步增强。欧亚地区网络安全高风险态势的持续,主要源于以下几个方面:地缘政治紧张局势加剧、人工智能驱动的攻击频次与强度显著提升、关键信息基础设施成为攻击重点的趋势日益明显,以及网络犯罪活动的产业化发展趋势。
(一)AI深度参与网络攻防
欧亚地区网络威胁态势预计将演进至高度自动化攻击阶段,其攻击速率与资源消耗将对现有的防御体系施加巨大压力。在此背景下,依赖人工分析或静态规则的传统防御策略将愈发难以应对。预计,将出现AI从“辅助攻击手段”向“自主生成攻击链”的转变,其核心影响主要体现在三个方面。一是AI驱动的社会工程学攻击将显著提升欺骗成功率。针对俄语及中亚的多语言环境,深度伪造(Deepfake)视听技术将在金融电信诈骗、冒充政府公职人员等攻击场景实现规模化扩散。二是AI驱动漏洞扫描与利用将缩短攻击者寻找零日漏洞和规避传统防御措施的时间,特别是欧亚地区旧版工业控制系统可能成为重点目标。三是“AI+恶意软件”自动组合将促进可定制化攻击包扩散,使低技术门槛攻击者具备更高威胁能力。
(二)网络攻击继续受地缘危机外溢影响
欧亚地区因地缘危机外溢效应持续,冲突方的能源、电网和政府系统等关键信息基础设施,仍将成为高强度定向攻击的核心目标。例如,中亚国家可能成为“代理冲突的网络接点”,且其具有高脆弱性的工业控制系统将继续被用于跳板或渗透路径。而且,网络攻击将更多与现实政治冲突、选举周期和外交事件同步。
(三)区域网络治理结构进一步分化
欧亚地区网络安全协作机制面临持续协同困难,或将呈现三类路径。一是乌克兰、摩尔多瓦、格鲁吉亚将进一步强化NIS2相关的事件通报机制、供应链监管与跨境数据管理制度,而网络安全机构专业化和独立性增强。二是数据主权与技术主权继续强化。俄罗斯、白俄罗斯、塔吉克斯坦、土库曼斯坦将在2026年继续扩大本地化、国产化、内容监管与审查范围。三是混合治理范式持续,即在开放与安全之间摇摆。例如,哈萨克斯坦、乌兹别克斯坦、吉尔吉斯斯坦将在加强安全法规的同时,保持有限的国际合作。但是,大部分欧亚国家仍将继续面临监管碎片化、能力不足问题。
(四)网络犯罪呈现“产业链化+跨境化”特征
欧亚地区网络犯罪或将呈现“产业链化+跨境化”双重特征,增大区域执法压力。例如,俄语“黑灰产区域”外溢延续,勒索软件即服务、钓鱼套件和数据黑市继续扩张,中亚国家将持续呈现“攻击源头”与“受害目标”并存的特征。随着电子支付、跨境转账及虚拟资产应用场景的不断拓展,金融与支付系统的安全风险日益凸显,相关犯罪手段正趋于复杂化。其中,深度伪造欺诈预计将成为2026年金融领域增长最快且最具挑战性的安全威胁。加密货币相关犯罪专业化,而各国监管滞后,跨境追踪难度增大,将使加密资产成为网络犯罪资金流通的核心链路。
(五)区域协作需求增强但结构性约束难以解决
欧亚地区或将出现若干双边或小多边合作,但欧亚范围的统一网络安全协作框架仍难形成,跨境应急指挥体系短期内无法建立。受制裁的俄罗斯无法与欧盟建立信息共享网络安全机制,并在一定程度上影响南高加索和中亚地区的国家。同时,技术标准和法律框架差异导致执法互助效率低下,多数国家人才与预算不足难以支撑深入协作。
展望2026年,以地缘政治紧张为核心驱动力,叠加人工智能从辅助工具转向自主生成攻击链的威胁升级,欧亚网络空间将面临持续高风险、分化加速和不确定性增强的严峻挑战。
