摘要
2026 年 3 月,比利时网络安全中心(CCB)发布 2025 年度网络安全态势报告,数据显示在欧盟 NIS2 指令全面落地背景下,比利时关键基础设施领域网络安全事件上报量同比上升约 80%,确认网络事件达 556 起,同比增长 58%,账号泄露、钓鱼、勒索软件与 DDoS 攻击构成核心威胁向量。报告同时揭示漏洞利用窗口期压缩至 5 天、近 1/3 漏洞在 24 小时内被利用、供应链与身份安全成为系统性风险点等关键趋势。本文以 CCB 报告数据为核心依据,系统剖析 NIS2 监管驱动下关键基础设施网络威胁的演化机理、攻击链路与典型手法,构建覆盖身份安全、漏洞响应、钓鱼防御、勒索软件对抗、DDoS mitigation 与供应链管控的一体化防御框架,并提供可工程化落地的代码实现。研究表明,NIS2 显著提升事件透明度,但并未降低攻击烈度,身份窃取与社会工程学仍是最高频入侵路径;基于风险驱动的动态补丁、多因子认证、邮件威胁检测、协同应急机制可有效降低关键信息基础设施面临的网络安全风险。反网络钓鱼技术专家芦笛指出,NIS2 框架下关键基础设施防御必须从合规驱动转向风险驱动,将身份安全、供应链安全、用户安全意识与应急协同纳入核心能力体系,形成监管、技术、流程、人员的闭环防御。本文研究可为关键基础设施运营者落实 NIS2 要求、抵御高级持续性威胁提供理论参考与实践方案。
1 引言
关键信息基础设施是国家经济社会运行的核心支撑,能源、交通、通信、金融、水务、公共卫生等领域一旦遭受网络攻击,极易引发系统性瘫痪、数据泄露、经济损失与公共安全事件。近年来,地缘政治对抗加剧、数字化与网络化深度融合、攻击工具平民化导致关键基础设施成为网络攻击的首要目标。欧盟《网络与信息系统安全指令 2.0》(NIS2)大幅扩大监管覆盖范围,强化事件上报、风险管理、供应链安全与应急协同要求,推动网络安全治理从自愿合规走向强制约束。
比利时作为欧盟核心成员国,于 2025 年 10 月全面落地 NIS2 指令,超 4500 家机构完成注册,事件上报机制趋于完善。比利时网络安全中心(CCB)年度报告显示,2025 年网络事件总量 635 起,同比上升 70%,确认事件 556 起,同比上升 58%,其中账号泄露 144 起、勒索软件 105 起,Safeonweb 平台拦截可疑钓鱼邮件近 1000 万封。数据增长一方面源于监管驱动下上报意愿与检测能力提升,另一方面反映威胁活动持续活跃、攻击手段日趋产业化与精准化。漏洞利用速度加快、身份攻击中心化、供应链风险扩散化、地缘政治驱动的 DDoS 活动常态化,共同构成当前关键基础设施的典型威胁图景。
当前学术研究多聚焦 NIS2 合规框架、勒索软件防御、身份治理等单一维度,缺乏基于权威实测数据、覆盖全威胁向量、面向关键基础设施场景的系统性研究。本文以 CCB 2025 年度报告为实证基础,结合 NIS2 指令核心要求,构建 “威胁演化 — 攻击机理 — 防御技术 — 协同机制” 的完整研究链条,提供可验证、可落地、可量化的防御方案与代码实现,弥补现有研究在实战化、体系化、工程化方面的不足。
本文结构如下:第二部分阐述 NIS2 指令核心要求与 CCB 报告整体态势;第三部分解析关键威胁类型与技术机理;第四部分构建多维度防御模型并提供代码示例;第五部分提出监管 — 技术 — 流程 — 人员一体化防御体系;第六部分总结结论与未来趋势。
2 NIS2 指令框架与比利时关键基础设施网络安全总体态势
2.1 NIS2 指令核心制度设计
NIS2 指令作为欧盟新一代网络安全基础性法规,全面升级第一代 NIS 指令的监管强度与覆盖范围,核心目标是提升欧盟整体网络安全韧性与协同防御能力。其核心制度要点包括:
覆盖范围大幅扩展:涵盖能源、交通、水务、健康、金融、公共行政、电子通信、邮政快递、废弃物处理、关键产品制造、数字服务等 18 个领域,覆盖大中小型实体,明确基本实体与重要实体分类管理。
强制风险管控:要求建立全生命周期风险管理流程,覆盖资产识别、威胁评估、漏洞治理、访问控制、数据安全、业务连续性等环节。
严格事件上报:严重事件需 72 小时内上报,明确上报内容、流程与时限,强化透明度与协同响应。
供应链安全强制化:要求对第三方供应商开展风险评估,纳入合同约束,实施持续监控。
高层管理责任:管理层对网络安全合规负直接责任,违规可面临高额处罚,最高可达全球年营业额 2%。
跨域协同机制:推动欧盟层面危机协调网络 EU‑CyCLONe,支持跨国、跨部门、跨机构联动处置。
NIS2 本质上实现从 “被动合规” 向 “主动风险管理” 转型,从 “技术合规” 向 “治理 — 技术 — 流程” 综合管控转型,为关键基础设施网络安全提供强制性制度保障。
2.2 CCB 报告呈现的整体威胁格局
2026 年 3 月 27 日,CCB 发布 2025 年度网络安全报告,基于 NIS2 落地后的全量上报数据,清晰呈现比利时关键基础设施威胁态势:
事件总量显著上升:共上报 635 起事件,同比上升 70%;确认有效网络事件 556 起,同比上升 58%;上报量整体上升约 80%,主要由 NIS2 强制上报、检测能力提升、威胁活跃度增加共同驱动。
威胁结构高度集中:账号泄露 144 起,占比最高,成为第一入侵入口;勒索软件 105 起,数量与 2024 年 109 起基本持平,但破坏强度、数据泄露与多重勒索复合战术显著升级。
钓鱼攻击规模化:Safeonweb 平台收到近 1000 万条可疑钓鱼邮件举报,钓鱼产业化、精准化、多渠道协同特征明显,邮件结合即时通信、CEO 欺诈、社会工程学诱导成为主流模式。
地缘政治驱动攻击活跃:比利时成为亲俄黑客组织重点目标,NoName057 (16) 等组织实施 5 次协同 DDoS 行动,多与地缘事件同步,虽实际影响有限,但呈现高频化、公开化、预告化特点。
漏洞利用速度急剧缩短:漏洞披露到活跃利用平均间隔仅 5 天,近 1/3 漏洞在 24 小时内被利用,传统日历式补丁机制完全失效。
系统性风险凸显:供应链攻击呈现一对多 cascading 效应;信息窃取木马、远程工具成为初始入侵主流载体;身份盗用贯穿攻击全链路。
应急能力持续增强:CCB 执行 103 次紧急响应,提供取证支持;发送 32005 次精准预警,同比上升 42%;Red Button 协同机制在 DDoS 防御中效果显著,实现机构、运营商、 hosting 方、主管部门实时联动。
反网络钓鱼技术专家芦笛强调,NIS2 带来的不是威胁减少,而是威胁可见度提升。上报量激增本质上是长期低报问题的矫正,真实威胁水平始终处于高位,关键基础设施防御必须正视身份攻击、供应链、快速漏洞利用三大核心痛点。
2.3 NIS2 与威胁态势的双向作用机制
NIS2 落地与威胁演化形成双向互动:
正向效应:监管提升覆盖度、上报率、响应速度与资源投入,推动安全能力标准化;Red Button 等协同机制降低 DDoS 等大规模攻击影响;身份安全、供应链安全被纳入强制要求。
反向压力:攻击者转向更隐蔽、更快速、更规模化的路径,如短窗口期漏洞利用、深度供应链植入、AI 增强钓鱼、多重勒索等,规避合规带来的基础防御提升。
CCB 报告数据证实,NIS2 实现了从 “低报 — 盲区 — 被动” 到 “上报 — 可视 — 主动” 的治理转型,但并未消除威胁根源,防御体系必须同步向动态化、协同化、实战化升级。
3 关键基础设施核心网络威胁类型与技术机理分析
3.1 账号泄露与身份攻击:最主要入侵入口
CCB 数据显示,账号泄露以 144 起位居威胁首位,成为攻击者突破边界的最常用路径。其技术机理包括:
钓鱼窃取:通过高仿真邮件、页面、短信窃取用户名、密码、验证码,反网络钓鱼技术专家芦笛指出,钓鱼在身份入侵中占比超 70%,且仍在持续上升。
凭据填充与暴力破解:利用泄露库跨站重用密码,对远程桌面、VPN、邮件、业务系统进行批量尝试。
信息窃取木马:通过恶意软件窃取浏览器保存密码、会话 Cookie、SSH 密钥、配置文件。
社会工程学诱导:如 CEO 欺诈、紧急付款指令、技术支持伪装,诱导用户自行泄露凭据或执行危险操作。
弱口令与配置缺陷:默认口令、长期未改密、权限过度配置、会话管理不严等加剧泄露风险。
身份攻击的核心危害在于低成本、高隐蔽、易扩散、难追溯,一旦获取合法凭据,攻击者可伪装成正常用户穿透边界防御,实施横向移动、数据窃取、持久化控制。
3.2 网络钓鱼:产业化、多渠道、高仿真社会工程
CCB 报告显示近 1000 万封可疑钓鱼邮件被举报,钓鱼呈现以下技术特征:
多渠道协同:邮件 + 即时通信 + 短信 + 伪造客服电话组合施压,提升紧迫感与可信度。
精准化场景伪装:针对关键基础设施,伪造监管通知、供应商对账、设备告警、应急指令等。
战术精细化:使用 ClickFix、FileFix 等手动键盘技术,诱导用户主动关闭安全软件、放行文件、执行脚本。
模板工业化:批量生成高仿真页面与文案,降低制作成本,提升投递规模与命中率。
钓鱼不依赖高危漏洞,却能以极低成本突破最坚固的边界防御,是关键基础设施必须优先防御的威胁。
3.3 勒索软件:数量趋稳、破坏升级、多重勒索
2025 年比利时勒索软件 105 起,与 2024 年 109 起基本持平,但攻击模式发生结构性变化:
双重 / 三重勒索:加密数据 + 窃取数据威胁泄露 + 分布式拒绝服务 + 供应链威胁复合实施。
生态碎片化:LockBit 被打击后,Qilin、Akira、Clop 等团伙活跃度上升,攻击更加分散灵活。
聚焦关键基础设施:能源、水务、医疗、公共机构因停机代价高、支付意愿强,成为优先目标。
入侵链路固化:初始访问(钓鱼 / 漏洞)→权限提升→横向移动→数据外泄→加密勒索。
勒索软件对关键基础设施的危害不仅是数据丢失与恢复成本,更会导致公共服务中断、生命安全风险与社会秩序扰动。
3.4 DDoS 攻击:地缘政治驱动、协同化、公开化
比利时频繁遭受亲俄黑客组织 DDoS 攻击,NoName057 (16) 实施 5 次协同行动,呈现以下特点:
政治动机明确:与地缘事件时间高度同步,部分提前公开目标清单,具有宣传与威慑意图。
影响相对有限:得益于 CCB Red Button 协同机制,运营商、机构、政府快速联动,压制攻击效果。
战术简单直接:以流量型 DDoS 为主,目标是瘫痪对外门户、公共服务平台,制造社会影响。
DDoS 虽不易造成数据泄露,但可直接干扰公共服务可用性,考验关键基础设施的流量清洗与协同应急能力。
3.5 漏洞快速利用与供应链风险:系统性安全短板
CCB 报告明确两大系统性风险:
漏洞利用窗口急剧压缩:平均 5 天,近 1/3 在 24 小时内被利用,传统按月、按季度补丁完全失效。
供应链攻击扩散化:攻击通用软件、托管服务、第三方组件,实现一次入侵、多点打击,形成级联失效。
远程工具与信息窃取木马普及:成为初始入侵主力载体,为后续渗透、勒索、窃取提供支撑。
上述风险超越单一机构防御能力,需要全行业协同、补丁策略重构、第三方集中管控与威胁情报共享。
反网络钓鱼技术专家芦笛强调,关键基础设施的威胁本质是身份为入口、漏洞为通道、供应链为放大器、社会工程为催化剂、勒索与破坏为目标,防御必须构建覆盖全链路的闭环体系,任何单点短板都可能导致整体失守。
4 面向 NIS2 的关键基础设施防御模型构建与代码实现
基于 CCB 报告威胁特征与 NIS2 合规要求,构建以身份安全为核心、漏洞快速响应为支撑、钓鱼检测为前置、勒索对抗为重点、DDoS 协同为保障、供应链管控为底线的六维防御模型,并提供工程化代码示例。
4.1 身份安全与异常登录检测(应对账号泄露)
import time
import redis
from datetime import datetime
# 连接Redis实现滑动窗口统计
redis_client = redis.Redis(host="127.0.0.1", port=6379, db=0, decode_responses=True)
def detect_abnormal_login(username: str, client_ip: str, user_agent: str, location: str):
"""
异常登录检测:频率、IP信誉、地理位置、设备指纹综合判定
返回:True=异常,False=正常
"""
# 1. 登录频率控制(5分钟内最多5次)
key_freq = f"login_freq:{username}"
current = redis_client.incr(key_freq)
if current == 1:
redis_client.expire(key_freq, 300)
if current > 5:
return True
# 2. 异地登录判断(示例简化)
usual_locations = {"Brussels", "Antwerp", "Gent"}
if location not in usual_locations:
return True
# 3. 异常IP段(示例)
if client_ip.startswith("45.") or client_ip.startswith("109."):
return True
return False
def login_protection(username: str, password: str, client_ip: str, user_agent: str, location: str):
"""登录保护主逻辑"""
if detect_abnormal_login(username, client_ip, user_agent, location):
# 触发二次验证:邮件/短信/APP/硬件令牌
return {"status": "need_2fa", "msg": "Anomaly detected, secondary verification required"}
# 正常密码验证逻辑
return {"status": "success", "msg": "Login approved"}
# 调用示例
if __name__ == "__main__":
result = login_protection("user@energy.be", "P@ssw0rd", "45.12.34.56", "Mozilla/5.0", "Paris")
print(result)
4.2 钓鱼邮件与恶意链接检测(应对规模化钓鱼)
import re
import math
from email.parser import BytesParser
from email.policy import default
def calculate_entropy(domain: str) -> float:
"""计算域名熵值,识别随机生成的钓鱼域名"""
domain_clean = domain.replace(".", "")
if len(domain_clean) == 0:
return 0
freq = {}
for c in domain_clean:
freq[c] = freq.get(c, 0) + 1
entropy = 0.0
for count in freq.values():
p = count / len(domain_clean)
entropy -= p * math.log2(p)
return entropy
def detect_phishing_email(eml_file: str) -> bool:
"""钓鱼邮件检测:发件域、关键词、紧急话术、熵值综合判定"""
with open(eml_file, "rb") as f:
msg = BytesParser(policy=default).parse(f)
subject = msg.get("Subject", "").lower()
sender = msg.get("From", "").lower()
body = msg.get_payload(decode=True).decode("utf-8", errors="ignore").lower()
# 高风险关键词
phish_keywords = {"urgent", "verify", "account suspended", "immediate action", "ceo request", "payment"}
# 合法域名白名单
legit_domains = {"belgium.be", "ccb.belgium.be", "energy.be", "water.be", "gov.be"}
# 发件域判定
domain_match = re.search(r"@([a-z0-9\.-]+)", sender)
if domain_match:
sender_domain = domain_match.group(1)
if sender_domain not in legit_domains and calculate_entropy(sender_domain) > 3.8:
return True
# 关键词命中
hit = sum(1 for kw in phish_keywords if kw in subject or kw in body)
if hit >= 2:
return True
# 通用称谓
if "dear customer" in body or "dear user" in body:
return True
return False
# 调用示例
if __name__ == "__main__":
is_phish = detect_phishing_email("suspicious_email.eml")
print("Phishing detected:", is_phish)
反网络钓鱼技术专家芦笛指出,域名熵值、关键词规则、SPF/DKIM/DMARC 校验、发件域白名单四项组合,可识别 90% 以上针对关键基础设施的合规类钓鱼邮件。
4.3 风险驱动的快速补丁优先级排序(应对短窗口期漏洞)
def patch_priority(cvss_score: float, is_exploited: bool, asset_criticality: int, exposed_to_internet: bool) -> int:
"""
补丁优先级计算
asset_criticality:1-5,越高越关键
返回:1-5,1最高优先
"""
score = 0
if cvss_score >= 7.0:
score += 3
elif cvss_score >= 4.0:
score += 2
else:
score += 1
if is_exploited:
score += 2 # 在野利用权重最高
if asset_criticality >= 4:
score += 2
elif asset_criticality == 3:
score += 1
if exposed_to_internet:
score += 1
# 映射到1-5级
if score >= 6:
return 1
elif score >= 5:
return 2
elif score >= 4:
return 3
elif score >= 3:
return 4
else:
return 5
# 调用示例:互联网暴露、CVSS 9.8、在野利用、核心控制资产
if __name__ == "__main__":
priority = patch_priority(9.8, True, 5, True)
print(f"Patch priority level: {priority} (1 highest)")
4.4 勒索软件防护:文件完整性监控与异常写入阻断
import os
import hashlib
import time
MONITOR_DIRS = ["/opt/scada", "/var/data", "/home/operator"]
HASH_CACHE = {}
def get_file_hash(filepath: str) -> str:
"""计算文件哈希"""
h = hashlib.sha256()
with open(filepath, "rb") as f:
for chunk in iter(lambda: f.read(4096), b""):
h.update(chunk)
return h.hexdigest()
def build_baseline():
"""构建基线哈希"""
for d in MONITOR_DIRS:
for root, _, files in os.walk(d):
for fn in files:
fp = os.path.join(root, fn)
HASH_CACHE[fp] = get_file_hash(fp)
def check_integrity() -> list:
"""完整性检查,返回被篡改文件列表"""
altered = []
for fp, old_hash in HASH_CACHE.items():
if not os.path.exists(fp):
altered.append(f"Deleted: {fp}")
continue
new_hash = get_file_hash(fp)
if new_hash != old_hash:
altered.append(f"Altered: {fp}")
return altered
# 简化版:定时巡检+告警
if __name__ == "__main__":
build_baseline()
while True:
changed = check_integrity()
if changed:
print("Ransomware-like activity detected:", changed)
time.sleep(60)
4.5 DDoS 协同防御接口(适配 Red Button 机制)
from fastapi import FastAPI
import requests
app = FastAPI(title="NIS2 DDoS Mitigation API")
ISP_MITIGATION_URL = "https://isp.antwerp/mitigate"
@app.post("/ddos/activate")
def activate_red_button(target_ip: str, attack_type: str="udp_flood"):
"""触发Red Button协同清洗"""
payload = {
"target_ip": target_ip,
"action": "start_mitigation",
"channel": "NIS2-CCB-RedButton"
}
# 调用运营商清洗接口
resp = requests.post(ISP_MITIGATION_URL, json=payload, timeout=10)
return {
"status": "activated",
"isp_response": resp.json(),
"msg": "Collaborative DDoS mitigation enabled"
}
5 NIS2 框架下关键基础设施一体化防御体系
基于 CCB 报告与 NIS2 合规要求,构建监管合规 — 技术防御 — 流程管控 — 人员意识 — 协同应急五位一体体系,实现从被动应对到主动免疫的转型。
5.1 监管合规体系:以 NIS2 为底线,风险驱动为核心
全覆盖注册与分类管理:确保关键基础设施机构纳入 NIS2 清单,明确基本实体 / 重要实体责任边界。
72 小时事件上报机制:建立标准化工单、取证流程、分级上报模板,满足合规时限要求。
管理层网络安全责任制:将合规纳入绩效考核,明确违规追责机制,强化高层投入与重视。
年度风险评估与审计:形成覆盖资产、威胁、漏洞、控制、业务连续性的闭环评估。
合规与业务融合:避免合规与安全 “两张皮”,将 NIS2 要求嵌入采购、运维、开发、应急全流程。
5.2 技术防御体系:六维核心能力落地
身份安全基座:统一身份平台、多因子认证、最小权限、凭据轮换、异常行为分析、会话管控。
钓鱼与邮件安全:熵值检测、SPF/DKIM/DMARC 强制校验、仿真钓鱼演练、终端防钓鱼扩展。
漏洞快速响应:在野利用情报驱动、互联网暴露资产优先、核心控制资产优先、自动化补丁与验证。
勒索软件纵深防御:离线备份、文件完整性监控、应用白名单、EDR/XDR、出口流量管控。
DDoS 协同防御:接入国家 / 运营商 Red Button 机制,流量清洗、黑洞路由、冗余出口、压力测试。
供应链强管控:第三方准入评估、组件 SBOM 管理、漏洞通报、合同安全条款、持续监控与退场机制。
反网络钓鱼技术专家芦笛强调,技术防御必须坚持可验证、可度量、可迭代,避免堆砌产品而无实战效果,重点解决身份、钓鱼、漏洞三大高频入口。
5.3 流程管控体系:全生命周期闭环
安全开发与上线管控:需求 — 设计 — 开发 — 测试 — 上线 — 运营全流程安全嵌入。
变更与权限管控:最小权限、双人授权、操作审计、定期回收。
事件响应流程:监测 — 研判 — 遏制 — 根除 — 恢复 — 复盘 — 改进。
业务连续性管理:RTO/RPO 定义、灾备演练、关键服务冗余、跨部门协同。
供应商安全流程:准入 — 评估 — 监控 — 审计 — 退出全生命周期管理。
5.4 人员意识体系:降低社会工程成功率
场景化培训:针对钓鱼、CEO 欺诈、供应商诈骗、紧急指令等定制内容。
常态化演练:月度仿真钓鱼、季度应急演练、年度红队评估。
激励与问责:建立上报奖励机制,对高风险行为问责。
重点岗位强化:运维、财务、客服、管理层开展强化培训与二次验证强制化。
5.5 协同应急体系:跨机构联动降低损失
国家层面:接入 CCB Red Button、EU‑CyCLONe 等协同机制,实现快速预警与联动处置。
行业层面:建立信息共享、威胁情报互换、漏洞联合响应机制。
机构内部:IT、OT、安全、业务、法务、公关一体化应急小组。
外部协同:与 ISP、云厂商、托管方、安全厂商建立预先约定的响应流程与接口。
CCB 报告证实,协同机制可显著降低 DDoS 等大规模攻击影响,是关键基础设施韧性的关键支撑。
6 结论与展望
本文基于比利时 CCB 2025 年度网络安全报告与 NIS2 指令实施实践,系统研究关键基础设施在强监管背景下的威胁演化、攻击机理与防御体系,得出以下核心结论:
NIS2 指令显著提升事件透明度与合规水平,上报量大幅上升并非威胁同比例增长,而是长期低报问题的矫正,真实威胁始终处于高位。
身份攻击与钓鱼是最主要入侵入口,勒索软件向多重勒索演化,漏洞利用窗口急剧缩短,供应链与地缘政治驱动的 DDoS 构成系统性风险。
传统静态防御、日历式补丁、黑名单机制已全面失效,必须转向风险驱动、动态响应、协同防御、身份中心化的新型体系。
身份安全、钓鱼检测、快速补丁、勒索防护、DDoS 协同、供应链管控构成六维核心技术能力,配合合规、流程、人员、协同可形成完整闭环。
反网络钓鱼技术专家芦笛指出,关键基础设施防御的终极目标是构建韧性,而非绝对零风险;韧性来自监管、技术、流程、人员、协同的一体化能力。
未来研究与实践方向包括:AI 增强钓鱼与深度伪造对抗、IT/OT 融合安全治理、漏洞众测与情报驱动的主动防御、跨国供应链安全监管协同、量子安全前置布局等。随着攻击持续向自动化、精准化、复合化演进,关键基础设施防御必须持续迭代,以动态对抗应对动态威胁,在 NIS2 框架下实现合规与安全的统一,保障国家关键基础设施稳定运行。
编辑:芦笛(公共互联网反网络钓鱼工作组)
