韓國核電站信息泄露事件，為應對信息時代的核安全風險再次敲響警鐘。計算機網絡技術在核電領域的廣泛應用實現了信息收集的自動化和系統控制的智能化，提高了核電廠運行的效率，增強了安全性和可靠性。

然而，新的安全問題也隨之而來：系統和網絡可能遭受的黑客、病毒、蠕蟲、木馬等偶然或者惡意、有預謀的網絡攻擊，使得核電廠的系統、網絡和設備的可靠性、可控性和可用性以及信息和數據的保密性、完整性受到損害，甚至可能導致核設施和核電廠被強制關閉，威脅生命和環境安全甚至國家安全。

信息安全對于關乎國計民生的核電行業來說至關重要。為應對核電系統信息安全威脅，2011年，國際原子能機構核安全系列第十三號導則（IAEA nuclear security series no.13，INFCIRC/225/Revision 5）——《關于核材料和核設施實物保護的建議》的第五次修訂版中專門增加了一項關于信息安全的規定：用于實物保護、核安全以及核材料衡算和控制的計算機系統和網絡必須采取措施加以防護，以應對網絡攻擊、數據操縱或篡改等威脅。2011年4月《核安全公約》第五次審議大會上，IAEA提請各締約方需共同關注的問題有10項，其中一項即為：各成員國需加強對核電行業信息安全和網絡安全的關注，應頒布并執行相關政策、法規，對本國所受的網絡安全威脅進行評估并確定對策，同時增加信息安全專業的工作人員數量。

放眼世界，美國政府一直把核電廠列為信息安全保障的重點關鍵基礎設施，多次發布行政令強調核電廠是信息安全重點保護對象。例如2001年英國核電廠被黑客攻擊后，美國核管會（NRC）發布了《核電廠臨時保障措施和安全補償措施》（NRC Order EA-02-026），其后的2003年、2007年、2010年也分別發布了《核電信息安全設計基準威脅》（NRC Order EA-03-086），《核電廠網絡信息安全過渡性審查導則》（DI&C-ISG0l），《數字計算機、通信系統和網絡的安全保護管理導則》（RG5.71）等法規。

我國核電發展在不斷的探索過程中形成了與國際接軌的核安全法律法規體系，這些都為核電安全發展奠定了良好的基礎。然而，綜觀我國的核安全法規體系、國家核安全局部門規章、核安全導則和技術文件，僅有的關于計算機的導則是國家核安全局于2004年發布的HAD102/16《核動力廠基于計算機的安全重要系統軟件》，涉及到了軟硬件、儀控系統的安全性問題，但這只是信息安全問題的一部分，涉及到計算機硬件、軟件、網絡、系統等信息安全方面的要求還比較少，而針對核電廠網絡信息安全方面審查和監管的要求和規范尚屬空白。

以鄰為鑒，可以少走彎路。新形勢下如何加強核電廠信息安全監測、預防、應對、緩解和恢復以及應急響應等工作的方法手段和標準要求，進一步健全和完善我國的核安全審查、監管法規和標準體系，對保證我國核能與核技術利用的持續安全發展具有重要意義。要想避免類似事件發生，核電廠網絡安全應做好以下幾方面的工作。

一是在縱深防御和分等級保護中加強核電信息安全工作

縱深防御是核安全技術的基礎，貫穿核安全的全部活動，同樣也應嚴格執行于核電系統的信息安全防御中。美國《數字計算機、通信系統和網絡的安全保護管理導則》的細則中明確要求，必須為系統設置多層次安全邊界，也就是將系統進行邏輯分層并將之置于多重保護之中，提供深度防護，即使一種手段失效，還有其他安全手段進行保護。

但導則并沒有給出具體如何進行邏輯分層的實施建議，而國際工業系統標準中有較詳細的分層次建議，這一標準將系統分為5個層次，每層采取一定的信息安全防護措施，搭建逐級深入的安全策略。

美國聯邦法規《數字計算機、通信系統和網絡的安全保護法規》（以下簡稱《安全保護法規》）要求數字計算機、通信系統和網絡中的信息資產按照重要性等級及實際安全需求進行分類管理，分級實施保護策略。同時只允許數據單向流動，數據流必須從高安全級別系統流向低級別系統。《數字計算機、通信系統和網絡的安全保護管理導則》則詳細地將信息系統和設備等數字資產按重要性劃分為4級，其中，與核安全、核安保、應急（包括應急功能的場外通信）相關的支持系統和設備被稱為關鍵數字資產和關鍵系統，應給予最高級別的防護。

對系統進行評估和定級是個復雜而關鍵的過程，需要對所擁有的數字化信息資產進行系統分析和梳理，根據系統基礎資源和信息資源的價值大小、用戶訪問權限的大小、各系統重要程度的區別、系統承載業務情況等進行劃分和定級，設計合理的、滿足等級保護要求的總體安全方案，并制定出安全實施規劃。我國監管部門應加強審查能力建設。

二是綜合運用管理、技術和操作3方面資源建立信息安全保障體系

在《安全保護法規》的大綱中規定，一個完整而有效的信息安全保障方案應該包含3方面要素：技術、操作、管理。

其中，技術資源涉及到硬件、軟件、協議；涉及到終端網絡與應用系統以及信息安全產品的開發集成、配置與運行維護等；操作包括媒介保護，實體隔離，人員安全措施，系統運行控制日志和記錄，系統和信息完整性防護，應急計劃，事件響應，安全意識培養，技術培訓等；管理包括各種法律、行政手段，例如安全體系、政策、規章制度的建立，安全評估和風險管理，數字資產的增加和修改等。只有綜合運用這3個要素，通過合理配置各項資源，才能建立一個管理與技術相互協調的信息安全保障體系。

三是重視信息安全教育與人才培養，促進建立信息安全文化

美國《安全保護法規》要求，確保所有工作人員具有信息安全意識，將信息安全作為他們的職責和責任，并接受定期網絡安全培訓。必須建立專門的信息安全部門，明確人員角色和職責。

事實上，工作人員具備高度信息安全意識和采取有效的安全措施是系統和網絡安全的第一道防線；同時，培養信息安全專業人才也至關重要。一支雄厚的安全技術隊伍是核行業信息化建設的必備條件，從業人員不僅要自身掌握扎實的信息安全技術，而且應通過教育培訓、應急演習等，增強應對信息安全突發事件的能力。

四是加強應急能力建設，有效應對信息安全突發事件

美國《安全保護法規》規定各核電廠必須加強信息安全應急能力建設：一是制定詳細的信息安全應急方案，方案中的內容需包括事件響應和恢復措施，如何識別、偵查和應對網絡攻擊，如果緩解和減輕危害，如何修復漏洞以及如何恢復受到攻擊的系統和網絡等；二是建立網絡安全事件響應組織（CSIRT），專門應對突發事件，并從發生的事件中吸取經驗教訓，從而制定和修改信息安全方案。

應急能力建設需要從多個層面來加強：例如不斷完善應急預案，加強培訓和演練；建立定時備份與定期數據恢復機制；建立必要的重發機制來保證信息傳遞中的完整性；通過建立災難備份系統來保證信息系統在受到災難性攻擊時的可用性；通過設置黑名單的方式將信息系統中多次出現的非法用戶排除在合法使用集合之外。

五是加強信息安全合作交流，實現信息共享

10多年來，在美國核電信息安全法規標準的演變過程中，NRC一直保持著與美國國土安全部（ICS）、美國核能研究院（NEI）和美國聯邦能源管理委員會等聯邦機構的密切配合，多方機構協調開展工作，以應對網絡安全這一持續存在且不斷演變和發展的威脅。

同時，NRC與美國計算機應急響應組織、工業控制系統網絡應急響應組織共享網絡木馬、漏洞、病毒等威脅信息，能夠對潛在的威脅因素做出快速反應，并用以評估預警等工作。

近年來，我國信息安全的管理在不斷地發展和健全中，先后成立了全國信息安全標委會和若干信息安全評估機構。國家計算機網絡應急技術處理協調中心聯合國內重要信息系統單位建立了信息安全漏洞信息共享知識庫，定期更新和發布網絡病毒、木馬等信息。

核能行業應加強與這些機構的密切合作，共享網絡攻擊信息，加強預警，共同分析攻擊信息，控制問題的影響范圍，以更好地應對網絡威脅的攻擊。

同時，核安全無國界，加強國際合作與交流也是必要的。

新聞回顧

韓國核電站信息遭泄露

官方稱已提升安保水平

本報綜合報道 自去年12月15日起，一個自稱“反核電集團”的網絡用戶多次在“推特”上公開韓國水力原子能公司（KHNP）的內部資料，包括古里和月城核電廠的設計圖、說明書等重要資料，核電廠10000多名員工的名字、工號、職位、入社時間、退休時間、手機號碼等信息也遭到泄露。

12月19日，韓國產業部發布網絡危機“關注”預警，并要求各級機關和保安監控中心進入緊急工作狀態。12月22日，韓國核電廠運營商準備進行模擬演習，以測試應對網絡攻擊的能力。

12月24日，KHNP在首爾總部以及古里、月城、韓光、韓蔚等4個核電本部成立了緊急狀況小組，進行24小時監督；兩天后，KHNP表示，未出現異常，但網絡攻擊隨時都可能發生，將繼續保留緊急狀況小組，直至風險消除。

12月28日，KHNP社長趙石表示，自12月9日公司被惡意代碼電子郵件攻擊以后，網絡攻擊比以前增多了。但“反核電集團”并不會影響核電站運轉，只是在攻擊日常業務網。

12月30日，韓國能源部長發表聲明，攻擊核電廠控制系統的這種惡意軟件最有可能是工作人員未經授權使用U盤而引入系統當中。韓國官方表示已從一些核電廠控制系統清除一種“電腦蠕蟲”，并提升安保水平。

相關鏈接

信息泄露不只在韓國

據公開報道，世界核電領域近年來發生了多起重大信息安全事件。

2001年1月9日 英國核電廠被黑客攻擊，改變了控制系統的訪問控制。

2003年1月 美國Davis Besse核電廠被蠕蟲控制網絡長達4小時50分鐘，無法正常訪問安全參數顯示系統。

2006年8月 美國Browns Ferry 核電廠3號機組被黑客攻擊，造成反應堆循環泵和冷凝水除鹽裝置控制器失靈。

2007年5月19日 黑客攻擊俄羅斯核電廠網站，這次有計劃的行動封鎖了幾乎所有能夠進入自動輻射環境控制系統（ASKRO）的路徑。

2008年3月7日 美國喬治亞州Hatch核電廠2號機組設備監控系統被攻擊，控制系統數據被重置，放射性核燃料棒的冷卻裝置失靈，自動安全系統關閉。

2010年9月 “震網”蠕蟲病毒攻擊伊朗的鈾濃縮設備，這種病毒專門為襲擊離心機而設計，它突然更改了離心機中發動機的轉速，進而摧毀離心機的運轉能力并使其無法修復。

2012年2月21日 英國核電廠被攻擊，機密數據泄露。