能源、交通、金融、制造等国民经济中的关键基础设施行业广泛使用信息系统及物联网作为其运营基础，这使得这些行业成为黑客眼里最具吸引力的目标群体。

2014年，德国一家钢铁厂的工业控制系统遭黑客袭击，造成“严重的物理损失”。2016年初，俄罗斯黑客对乌克兰电网的网络攻击导致当地大面积停电。而在今年早些时候，美国国土安全部还曾发布安全通报，指出黑客控制了美国给排水系统工控设备的远程管理模块，造成相关厂商损失巨额长途话费。上述针对关键基础设施行业的网络攻击活动，不单造成运营者的大量直接损失，还对社会正常秩序和民众日常生活造成了严重干扰。

能源行业又是关键基础设施行业中遭遇网络攻击最频繁的行业。今年年初，沙特阿拉伯计算机应急响应小组发布安全警报称，2012年曾攻击全球最大石油公司——沙特阿美石油公司（Saudi Aramco）、造成数千台计算机数据完全损毁的Shamoon病毒，近期又在该国卷土重来。作为清洁能源的代表，核能行业最近数十年来得到了较大发展，但福岛核电站事故也暴露出民用核电站一旦发生事故将会带来灾难性的后果。就像物理层面的安全性那样，核能行业的信息安全也不容乐观，“震网（Stuxnet）”病毒破坏伊朗纳坦兹核设施的案例——数千台离心机被毁，伊朗发展核武器计划被严重拖慢——也令世界看到精心策划的网络攻击会对核设施造成怎样的严重后果。

尽管“震网”病毒至今仍是技术最复杂的恶意软件之一，但其他国家或非国家背景的攻击者也可能有能力实施类似的攻击活动，如2003年，美国俄亥俄州戴维斯.贝瑟（Davis-Besse）核电站就曾遭Slammer蠕虫攻击，而2014年韩国水力核电公司的核电站设计图纸被黑客窃走。由于网络攻击技术和恶意软件的商品化，实施一次网络攻击的技术门槛显著降低，这也将令核能行业面临更多来自网络空间的威胁。

按照国际核能法律的规定，严格控制放射性物质的排放是核能行业的首要责任，同时相关法规也约定了核能行业在做到尽职前提下一旦发生事故时的赔偿上限。然而，针对民用核电站的大规模网络攻击不见得会导致放射性物质泄漏，但却有可能造成灾难性的第三方损失，这种情况下，核电站运营方将无法得到法律豁免，并有可能因为没有尽到信息系统保护责任而遭受过失指控。由网络攻击导致的事故也将对核电站的声誉造成巨大的负面影响，并打击核能行业一直宣扬的“核能是负责任的清洁能源”观点。

核能行业应采取实际行动来赢得社会大众的信任。这些行动不单包括增加运维服务的投入，或是购买新的网络安全设备，而更应该是在推动良好信息安全治理的同时，增加对社会公众的信息透明。良好的信息安全治理也意味着核能行业不仅只做到了国际国内相关法律的基础要求，更要证明其所保障工作的成效已超过合规要求，并通过恰当的形式向社会公众展示自己已建立和推广应用信息安全文化。

目前一些国际机构已制定适用于核能行业的信息安全框架，例如国际原子能机构发布的核设施网络安全指导文件、美国国家标准和技术学会（NIST）的信息安全标准和欧盟网络与信息系统安全法规等。2016年在华盛顿举办的核能工业峰会提出了制订良好治理框架的设想，与会者们也都表达了初步框架的支持意见，但整个治理框架的完善仍需要时间。

尽管社会公众不需要理解核能行业是如何为核反应堆制定信息安全保障策略，但公众仍会注意核能行业的决策过程是如何确保核设施安全和提供不间断的电力供应。要消除社会公众对民用核电站的不信任感和抵触情绪，核能行业在信息安全治理体系、技术、文化建设和宣传上还有很长的路要走。

简评：

    信息安全永远没有“完美”状态，任何组织都无法豁免对其网络和信息系统的网络攻击，核能行业也是如此。而相对于其他行业，核能行业在遭受网络攻击后不单会面临其信息基础设施和运行信息的损失，社会公众对其安全运营的信心也将遭受严重打击。因此，在参考国际通用的核能行业信息安全准则的前提下，我国核能行业有必要由管理层牵头制订自上而下的治理方法和安全文化，以减少员工因忽视网络威胁而导致的人为错误和违反操作规范行为，同时也有助于防范恶意内部人的破坏；同时，也应加强民用核电站物理和网络安全保障措施的宣传，消除我国民众对核能利用的误解和恐惧。