由“震網(wǎng)”病毒事件淺議核電站信息安全現(xiàn)狀及監(jiān)管

胡 江，孫國(guó)臣，張加軍，侯秦脈

（環(huán)境保護(hù)部核與輻射安全中心，北京100082）

1 “震網(wǎng)”病毒暴露工業(yè)控制領(lǐng)域的安全隱患

2010年6月，德國(guó)首先監(jiān)測(cè)到“Stuxnet”病毒（中文名為“震網(wǎng)”病毒），隨后加拿大警告稱，“震網(wǎng)”病毒會(huì)針對(duì)西門子的SIMATIC“WinCC”或者“Step-7”軟件的SCADA系統(tǒng)發(fā)動(dòng)惡意攻擊［1］。2010年11月，伊朗總統(tǒng)穆罕默德首次承認(rèn)一種電腦病毒使位于納坦茲（Natanz）的工廠的離心機(jī)出現(xiàn)問題。該病毒已經(jīng)使超過1 000臺(tái)用于鈾濃縮的離心機(jī)損壞。“震網(wǎng)”病毒攻擊離心機(jī)的方式非常巧妙。在入侵離心機(jī)的控制系統(tǒng)后，它首先記錄離心機(jī)的正常轉(zhuǎn)速，接著使離心機(jī)的速度周期性異常變換，但監(jiān)控設(shè)備收到的卻是病毒發(fā)送的正常數(shù)據(jù)，因此離心機(jī)的異常運(yùn)轉(zhuǎn)無法及時(shí)被察覺，最終導(dǎo)致了物理破壞［2］。

華盛頓郵報(bào)援引賽門鐵克公司研究員的評(píng)論稱，這個(gè)名為“震網(wǎng)”的蠕蟲病毒是已知的第一個(gè)旨在破壞工業(yè)控制系統(tǒng)的惡意軟件。該病毒的復(fù)雜程度和編寫過程中所需要的大量工藝流程信息都證明這不是普通黑客所為，而應(yīng)該是某些國(guó)家或組織的制造的［3］。震網(wǎng)余波未平，2012年5月又有多家計(jì)算機(jī)安全公司宣布發(fā)現(xiàn)一種名為“火焰（Flame）”的全新計(jì)算機(jī)惡意程序，它已經(jīng)使得伊朗和中東其他國(guó)家的上萬臺(tái)計(jì)算機(jī)被感染。有證據(jù)表明“火焰”和“震網(wǎng)”均由同一國(guó)家或組織控制，而“火焰”病毒的代碼量相當(dāng)于“震網(wǎng)”病毒的20倍以上。

隨著工業(yè)系統(tǒng)數(shù)字化和網(wǎng)絡(luò)化的發(fā)展，工業(yè)系統(tǒng)受到的信息安全威脅和攻擊也越來越多，工業(yè)信息安全事件層出不窮。早在2007年3月，美國(guó)的愛達(dá)荷國(guó)家實(shí)驗(yàn)室（INL）完成了一項(xiàng)代號(hào)為“極光（Aurora）”的實(shí)驗(yàn)。實(shí)驗(yàn)結(jié)果是一臺(tái)價(jià)值100萬美元的柴油發(fā)電機(jī)在受到網(wǎng)絡(luò)攻擊之后，開始震動(dòng)搖晃，漸漸冒出白煙，最終完全停止運(yùn)轉(zhuǎn)［4］。2008年，一名少年攻擊了波蘭Lodz的城鐵系統(tǒng)，用一個(gè)電視遙控器改變軌道扳道器，導(dǎo)致4節(jié)車廂出軌［5］。2013年4月11日，在阿姆斯特丹召開的黑客大會(huì)上，德國(guó)網(wǎng)絡(luò)安全專家Hugo Teso展示了如何利用一款A(yù)ndroid手機(jī)上的APP和一臺(tái)無線電發(fā)射裝置來向商業(yè)飛機(jī)發(fā)送信號(hào)，從而影響飛機(jī)導(dǎo)航系統(tǒng)。他的模擬引起了霍尼韋爾等幾家航空儀控系統(tǒng)廠家的高度重視，目前美國(guó)聯(lián)邦航空管理局（FAA）和歐洲航空安全局（EASA）開始就此問題開始修改飛行安全程序［6］。

工業(yè)控制系統(tǒng)及工業(yè)通信信息的安全性已經(jīng)成為迫在眉睫的問題，通過操縱鼠標(biāo)鍵盤來使得城市交通混亂、股市崩潰、關(guān)鍵基礎(chǔ)設(shè)施停頓等科幻電影中出現(xiàn)的場(chǎng)景將不僅僅只是一種構(gòu)想，而可能成為現(xiàn)實(shí)。

2 核電站的信息安全威脅

近幾年來，隨著核電站數(shù)字化網(wǎng)絡(luò)化程度的不斷提高，在提高控制精度、方便操作和維護(hù)的同時(shí)，核電站所面臨的信息安全威脅也越來越顯著。這里的信息安全既包括電廠內(nèi)辦公通信所用的網(wǎng)絡(luò)及計(jì)算機(jī)安全，也包括工業(yè)控制系統(tǒng)的安全。目前的核電站已普遍使用基于計(jì)算機(jī)和聯(lián)網(wǎng)技術(shù)的數(shù)字化控制系統(tǒng)，常見的包括數(shù)據(jù)采集和監(jiān)控系統(tǒng)（SCADA）、分布式控制系統(tǒng)（DCS）、可編程邏輯控制器（PLC）等。控制系統(tǒng)的數(shù)字化打破了虛擬數(shù)字世界與實(shí)體物理世界的隔閡。數(shù)字化系統(tǒng)可以將數(shù)字信息通過PID、APC（Advanced Process Control）等控制算法運(yùn)算后傳送至物理世界的各類閥門、泵等執(zhí)行器執(zhí)行動(dòng)作。這種系統(tǒng)屬于信息物理系統(tǒng)（cyber-physical systems）。與單純的信息系統(tǒng)（cyber systems）不同，信息物理系統(tǒng)在受到信息攻擊后，會(huì)對(duì)物理世界造成破壞和損失［7］。核電站的工業(yè)控制系統(tǒng)若出現(xiàn)問題，可能對(duì)設(shè)備的可靠性和可用性造成影響，威脅電廠的安全運(yùn)行。

雖然核電站在設(shè)計(jì)已經(jīng)考慮了一些安全措施，但是隨著攻擊技術(shù)的發(fā)展以及控制系統(tǒng)本身的缺陷，仍使得核電站面臨著一定的風(fēng)險(xiǎn)，列舉一些簡(jiǎn)單的例子：

（1）物理隔離存在風(fēng)險(xiǎn)。理論上看物理隔離可以實(shí)現(xiàn)內(nèi)部信息系統(tǒng)與外部的隔絕，是絕對(duì)安全的。但是，實(shí)際上物理隔絕網(wǎng)絡(luò)也并不是絕對(duì)安全的。信息系統(tǒng)存在的一個(gè)重要價(jià)值就是為了存儲(chǔ)和共享信息，“信息孤島”沒有辦法滿足信息共享的需求。實(shí)際中，物理隔離網(wǎng)絡(luò)同外界，特別是互聯(lián)網(wǎng)往往存在著某種“邏輯聯(lián)系”，存在交流就產(chǎn)生了風(fēng)險(xiǎn)［8］。

（a）可能存在非法外連的情況，即沒有按照物理隔離的要求，使物理隔離內(nèi)網(wǎng)和外網(wǎng)之間存在了通信通道，這樣使得物理隔離失去原本的意義，應(yīng)該嚴(yán)格予以杜絕。

（b）可能存在一機(jī)雙網(wǎng)的問題，即一臺(tái)主機(jī)交替接入互聯(lián)網(wǎng)或其他公共信息網(wǎng)與物理隔離內(nèi)網(wǎng)，使得入侵者有機(jī)會(huì)借此機(jī)會(huì)入侵、滲透、搜集甚至攻擊內(nèi)部網(wǎng)絡(luò)。

（c）可能受到擺渡攻擊。擺渡攻擊是指移動(dòng)存儲(chǔ)介質(zhì)像渡船一樣在不同網(wǎng)絡(luò)之間傳輸文檔和惡意程序，從而打破網(wǎng)絡(luò)隔離，實(shí)現(xiàn)竊取機(jī)密或?qū)嵤┕舻哪康摹Ｓ捎诂F(xiàn)在U盤、移動(dòng)硬盤等移動(dòng)存儲(chǔ)介質(zhì)的普遍使用，這種數(shù)據(jù)交換的隨機(jī)性、不可控性越來越強(qiáng)。

（d）WIFI的廣泛使用使得受到無線網(wǎng)絡(luò)攻擊可能性增加。核電廠開始使用WIFI作為無線通訊的手段之一，而WIFI的加密技術(shù)并不完全可靠，即使是使用了較先進(jìn)的WPA2加密技術(shù)，也存在被破解的可能性。另外，由于很多DCS設(shè)備均為國(guó)外廠商生產(chǎn)，如果在設(shè)備內(nèi)預(yù)置WIFI模塊，需要時(shí)再激活進(jìn)行通訊，將會(huì)使得電廠的實(shí)體保護(hù)及網(wǎng)絡(luò)安全防線形同虛設(shè)。

（2）工業(yè)控制系統(tǒng)固有缺陷。目前防火墻技術(shù)是IT行業(yè)內(nèi)廣泛應(yīng)用的防護(hù)手段，但防火墻存在限制數(shù)據(jù)流通與允許流通之間的矛盾，而工業(yè)信息系統(tǒng)要求小的信息時(shí)延；系統(tǒng)軟件要減少更改以減少外部信息進(jìn)入的機(jī)會(huì)，但這與要及時(shí)更新升級(jí)相矛盾；一些工業(yè)控制軟件基于Unix／Linux系統(tǒng)，Unix／Linux系統(tǒng)一方面大大減少了誤中Windows病毒的概率，但是由于其獨(dú)特性，容易被單獨(dú)研究而爆出漏洞，而安全相關(guān)廠家對(duì)這種系統(tǒng)的關(guān)注度不夠，使用者誤以為安全無誤而產(chǎn)生麻痹大意的思想，長(zhǎng)期沒有更新系統(tǒng)，反而使最安全的地方變成了最危險(xiǎn)的地方。

（3）專業(yè)性攻擊的日益簡(jiǎn)單化。黑客技術(shù)已經(jīng)不再是過去人們所認(rèn)為的那種需要很高深的計(jì)算機(jī)安全知識(shí)才能掌握的尖端技術(shù)。目前網(wǎng)上有大量的黑客工具軟件供普通民眾下載，一個(gè)網(wǎng)民不需要多少時(shí)間就能學(xué)會(huì)發(fā)動(dòng)一次分布式拒絕服務(wù)DDoS攻擊。而且隨著越來越多采用TCP／IP協(xié)議的工業(yè)控制系統(tǒng)接入互聯(lián)網(wǎng)，這些系統(tǒng)可能會(huì)通過Shodan搜索引擎直接搜索到，這將導(dǎo)致其面臨更多的攻擊。

（4）核電站工業(yè)控制系統(tǒng)的標(biāo)準(zhǔn)化。標(biāo)準(zhǔn)化的工業(yè)控制系統(tǒng)往往具有更高的穩(wěn)定性，但是也更容易受到攻擊，因?yàn)楣粽呖梢院苋菀渍业较嚓P(guān)的技術(shù)資料并尋找類似系統(tǒng)進(jìn)行試驗(yàn)。另外，如果所有核電站都使用一款基于WinCC服務(wù)器的軟件，而攻擊者利用了一個(gè)Windows 0day漏洞，那么可能會(huì)導(dǎo)致多個(gè)核電廠同時(shí)受到攻擊。

針對(duì)工業(yè)系統(tǒng)的惡意攻擊還具有針對(duì)性和隱藏性，這是不同于商業(yè)網(wǎng)絡(luò)威脅的兩大特點(diǎn)。不像其他的病毒或木馬以獲取商業(yè)利益為目的或出于黑客自身惡作劇的心理，工業(yè)病毒有著極精準(zhǔn)的目的性，例如“震網(wǎng)”病毒的目的其實(shí)就是伊朗的核電站和離心機(jī)。而與之相伴的就是其隱蔽性，即在沒有找到目標(biāo)之前不會(huì)表現(xiàn)出危害特性。這一特點(diǎn)使得此類威脅一般難以發(fā)現(xiàn)。綠盟安全技術(shù)研究院的技術(shù)報(bào)告指出，近年來針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施（CII），尤其是針對(duì)工業(yè)控制系統(tǒng)（SCADA）的攻擊越來越引人關(guān)注［9］。核電站屬于典型的關(guān)鍵信息基礎(chǔ)設(shè)施，其安全性不僅關(guān)系到電力供應(yīng)，還會(huì)對(duì)社會(huì)輿論公眾信心產(chǎn)生極大影響。而此類CII由于已經(jīng)采取一些安全措施，因此攻擊者往往采用APT攻擊的方式。APT是指一個(gè)特定組織，具備相應(yīng)的能力和意圖，并持續(xù)和有效的針對(duì)特定實(shí)體的威脅。這類攻擊需要大量的人力和財(cái)力支持，雖然可能性很小，但其攻擊能力也并非常規(guī)防護(hù)措施所能阻擋，一旦發(fā)生，危害巨大。

綜上所述，要對(duì)核電站的信息安全包括工業(yè)控制系統(tǒng)的安全給予更充分的重視。

3 美國(guó)對(duì)核電站數(shù)字化系統(tǒng)安全和網(wǎng)絡(luò)安全監(jiān)管的發(fā)展歷史

2001年的“9·11”恐怖襲擊給美國(guó)全國(guó)帶來了巨大的震動(dòng)，核電站作為核心要害設(shè)施，其安全性得到了公眾和核能業(yè)界的極大關(guān)注。雖然沒有受到網(wǎng)絡(luò)襲擊，但核能業(yè)界已經(jīng)意識(shí)到需要一個(gè)可靠的程序來確保核電站的信息安全。為了響應(yīng)“9·11”襲擊，根據(jù)情報(bào)執(zhí)法機(jī)構(gòu)提供的信息，美國(guó)核管會(huì)NRC于2002年2月發(fā)布了NRC Order EA-02-026“核電站臨時(shí)安全及安保補(bǔ)充措施（Interim Safeguards and Security Compensatory Measures for Nuclear Power Plants）”。這個(gè)文件包括指導(dǎo)核電站業(yè)主來處理某些網(wǎng)絡(luò)安全漏洞的特別要求［10］。

NRC隨后在2003年4月發(fā)布了后續(xù)的Order EA-03-086，此文件將網(wǎng)絡(luò)攻擊納入核電站設(shè)計(jì)基準(zhǔn)威脅（DBT），并對(duì)有關(guān)網(wǎng)絡(luò)攻擊的設(shè)計(jì)基準(zhǔn)威脅做出進(jìn)一步的定義［11］。按照10CFR73.1的要求，業(yè)主必須能夠應(yīng)對(duì)額外的網(wǎng)絡(luò)攻擊。

2004年10月，NRC發(fā)布NUREG／CR-6847，“美國(guó)核電站網(wǎng)絡(luò)安全自我評(píng)估方法（Cyber Security Self-Assessment Method for US Nuclear Power Plants）”。這一文件由于涉及國(guó)家安全，沒有向公眾開放。美國(guó)核能研究所（NEI）與NRC和西北太平洋國(guó)家研究所集中力量對(duì)四座核電站開展了安全措施檢查和潛在缺陷測(cè)試。2005年開發(fā)了NEI04-04，“反應(yīng)堆網(wǎng)絡(luò)安全（Cyber Security for Power Reactors）”，該程序?yàn)楹穗姌I(yè)主單位提供了開發(fā)并維護(hù)核電廠網(wǎng)絡(luò)安全的辦法［12］。

在2006年1月，NRC發(fā)布管理導(dǎo)則1.152（Regulatory Guide 1.152）第2版，“核電站安全系統(tǒng)計(jì)算機(jī)使用準(zhǔn)則（Criteria for Use of Computers in Safety Systems of Nuclear Power Plants）”。RG1.152第2版為核電站業(yè)主在數(shù)字化儀控系統(tǒng)的設(shè)計(jì)、開發(fā)和應(yīng)用實(shí)施等方面提供指導(dǎo)。導(dǎo)則特別強(qiáng)調(diào)了安全系統(tǒng)內(nèi)的那些不能充分滿足IEEE Std 7-4.3.2-2003的內(nèi)容（目前國(guó)內(nèi)所使用的GB／T 13629—2008“核電廠安全系統(tǒng)的數(shù)字計(jì)算機(jī)的使用準(zhǔn)則”就來自IEEE的此項(xiàng)標(biāo)準(zhǔn)）。RG1.152第2版包含了對(duì)于評(píng)估安全系統(tǒng)的管理準(zhǔn)則，確保開發(fā)環(huán)境是被保護(hù)的，以應(yīng)對(duì)無文件證明的、不需要的代碼或其他會(huì)危及安全系統(tǒng)運(yùn)行的代碼［13］。

2007年3月，NRC發(fā)布Branch Technical Position（BTP）7-14第5版，“數(shù)字化儀控系統(tǒng)的軟件審評(píng)指導(dǎo)（Guidance on Software Reviews for Digital Computer Based Instrumentation and Control Systems）”。BTP7-14提供了針對(duì)評(píng)估核電站安全相關(guān)數(shù)字化儀控系統(tǒng)的軟件生命周期過程的指導(dǎo)［14］。

2009年3月，NRC發(fā)布10CFR73.54，“數(shù)字化計(jì)算機(jī)、通訊系統(tǒng)和網(wǎng)絡(luò)的保護(hù)（Protection of Digital Computer and Communication Systems and Networks）”。2009年9月，NEI08-09第三版“核反應(yīng)堆網(wǎng)絡(luò)安全計(jì)劃（Cyber Security Plan for Nuclear Power Reactors）”發(fā)布，該文件幫助核電站業(yè)主構(gòu)建和實(shí)施滿足10CFR73.54要求的網(wǎng)絡(luò)安全計(jì)劃。

2010年1月，NRC發(fā)布RG5.71，“核設(shè)施的網(wǎng)絡(luò)安全程序（Cyber Security Programs for Nuclear Facilities）”。RG5.71描述了由防御架構(gòu)和一系列基于標(biāo)準(zhǔn)的安全控制組成的監(jiān)管立場(chǎng)防御策略，其中采用了2008年版的NIST SP800-53和NIST SP800-82所提供的標(biāo)準(zhǔn)。它強(qiáng)調(diào)建立并貫徹一個(gè)網(wǎng)絡(luò)安全程序。通過對(duì)關(guān)鍵數(shù)字化資產(chǎn)（Critical Digital Assets，CDAs）的識(shí)別確定，建立一整套縱深防御策略和安全防御架構(gòu)，借助技術(shù)和管理手段，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的有效控制［15］。

2011年6月，NRC將RG1.152升級(jí)為第三版。RG1.152第三版強(qiáng)調(diào)建立一個(gè)保護(hù)數(shù)字化安全系統(tǒng)的開發(fā)和運(yùn)行環(huán)境（SDOE），針對(duì)數(shù)字化安全系統(tǒng)的生命周期各階段存在的可能導(dǎo)致系統(tǒng)可靠性降級(jí)的弱點(diǎn)和漏洞提出要求。整個(gè)生命周期包括概念階段（Concept Phase）、需求階段（Requirement Phase）、設(shè)計(jì)階段（Design Phase）、實(shí)施階段（Implementation）、測(cè)試階段（Test Phase）、安裝檢驗(yàn)和驗(yàn)收階段（Installation，checkout，and acceptance testing Phase）、運(yùn)行階段（Operation Phase）、維護(hù)階段（Maintenance Phase）、退役階段（Retirement Phase）［16］。

相關(guān)監(jiān)管導(dǎo)則發(fā)布的時(shí)間軸如圖1、圖2所示。

圖1 相關(guān)管理導(dǎo)則發(fā)布時(shí)間軸1Fig.1 Related regulatory guides timeline 1

圖2 相關(guān)管理導(dǎo)則發(fā)布時(shí)間軸2Fig.2 Related regulatory guides timeline 2

4 對(duì)我國(guó)核電廠信息安全監(jiān)管的一些思考

我國(guó)早期建設(shè)的秦山核電站和大亞灣核電站采用的主要是使用模擬信號(hào)的儀控系統(tǒng)，而田灣核電站是第一個(gè)采用全數(shù)字化DCS系統(tǒng)的核電站。DCS系統(tǒng)其實(shí)早已在其他工業(yè)領(lǐng)域廣泛使用，核電行業(yè)出于安全性和可靠性的保守考慮，在DCS系統(tǒng)得到充分驗(yàn)證后才應(yīng)用在核電領(lǐng)域。近年來，數(shù)字化控制的巨大優(yōu)點(diǎn)和可靠性得到了業(yè)內(nèi)的普遍認(rèn)同，除了新建電廠均采用全數(shù)字化儀控系統(tǒng)外，老的核電站也開始逐步改造，將數(shù)字化系統(tǒng)部分地應(yīng)用在電廠中。但是數(shù)字化儀控系統(tǒng)和網(wǎng)絡(luò)技術(shù)的快速發(fā)展，結(jié)合我國(guó)的現(xiàn)實(shí)國(guó)情，使得我國(guó)核電站的信息安全面臨著以下幾個(gè)嚴(yán)峻的問題：

（1）我國(guó)一些核電站的儀控系統(tǒng)在初始設(shè)計(jì)時(shí)準(zhǔn)備應(yīng)用在封閉環(huán)境或?qū)＞W(wǎng)環(huán)境中，所以安全防范措施程度較低。但是隨著時(shí)代的發(fā)展和需求的演變，應(yīng)用環(huán)境發(fā)生了變化，與其他網(wǎng)絡(luò)建立了連接，卻沒有對(duì)安全機(jī)制進(jìn)行足夠的強(qiáng)化，這就形成了安全上的弱點(diǎn)；

（2）國(guó)內(nèi)使用的工控系統(tǒng)普遍采用西方電子設(shè)備廠商的系統(tǒng)和設(shè)備，國(guó)內(nèi)廠商缺乏核心知識(shí)產(chǎn)權(quán)和關(guān)鍵技術(shù)，使得我們?cè)诩夹g(shù)和設(shè)備上都受制于人。如果進(jìn)口設(shè)備內(nèi)置了無線通信模塊，我們很難察覺；

（3）國(guó)內(nèi)對(duì)于網(wǎng)絡(luò)安全以及工業(yè)控制系統(tǒng)安全的研究起步晚、層次低，在產(chǎn)品、技術(shù)、操作系統(tǒng)、網(wǎng)絡(luò)架構(gòu)、企業(yè)自身管理水平以及一線操作人員的技術(shù)素養(yǎng)等方面都還存在諸多不足。

因此，我們需要對(duì)核電站的信息安全保持高度關(guān)注。近日，國(guó)家成立了中央網(wǎng)絡(luò)安全和信息化小組來統(tǒng)籌協(xié)調(diào)國(guó)內(nèi)的網(wǎng)絡(luò)安全和信息化的重大問題，這反映了國(guó)家對(duì)網(wǎng)絡(luò)安全問題的高度重視。作為核安全監(jiān)管當(dāng)局也應(yīng)該更加重視核電廠的信息安全問題，從思想上認(rèn)識(shí)到信息安全對(duì)核安全的重要意義，認(rèn)識(shí)到核電廠信息安全對(duì)國(guó)家安全的重要意義。由于信息技術(shù)發(fā)展迅猛的特點(diǎn)，要求監(jiān)管也要緊跟時(shí)代，以最新的標(biāo)準(zhǔn)進(jìn)行要求，調(diào)動(dòng)整個(gè)業(yè)界對(duì)此問題給予重視。同時(shí)積極開展研究，加強(qiáng)與有關(guān)部門的合作，尋求技術(shù)支持，同時(shí)借鑒參考國(guó)際先進(jìn)監(jiān)管水平及國(guó)內(nèi)其他行業(yè)的經(jīng)驗(yàn)，有針對(duì)性地建立我國(guó)核電廠信息安全風(fēng)險(xiǎn)評(píng)估模型，對(duì)各電廠開展評(píng)估和檢查，落實(shí)整改，這樣才能保證對(duì)核安全的有效監(jiān)管和強(qiáng)力保障，確保核電站的安全運(yùn)行。

［1］ Government of Canada PSC.AVl0-023：Siemens SIMATIC WinCC or Siemens Step 7software vulnerabilities［EB／OL］.（2011-10-22）.http：／／www.publicsafety.gc.ca／prg／em／ccirc／2010／av10-023-eng.aspx.

［2］ ALBRIGHT D，BRANNAN P，WALROND C.Did Stuxnet take out 1，000centrifuges at the Natanz enrichment plant？［R］.USA：Institute for Science and International Security，2010.

［3］ ERDBRlNK T，NAKASHIMA E.Iran struggling to contain”foreign-made””Stuxnet”computer virus［N］.The Washington Post，2010-09-27.

［4］ CNN.Mouse click could plunge city into darkness，experts say［EB／OL］.（2007-09-27）.http：／／edition.cnn.com／2007／us／09／27'power.at.risk／index.html.

［5］ 唐文.工業(yè)基礎(chǔ)設(shè)施信息安全［J］.2011.

［6］ “PlaneSploit，Hugo Teso's App，Lets Android Users Hack Airplanes”Huffington Post.［EB／OL］.［2013-04-11］.http：／／www.huffingtonpost.ca／2013／04／11／planesploitapp-plane-hack＿n＿3063587.html.

［7］ 李江海，黃曉津.核電數(shù)字化控制系統(tǒng)安全綜述［J］.原子能科學(xué)技術(shù)，2012，46（B09）：411-416.

［8］ 宋純梁，黃威，吳灝.物理隔離網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)研究［J］.計(jì)算機(jī)工程與設(shè)計(jì)，2008，29（23）：5943-5946.

［9］ 張瑋.網(wǎng)絡(luò)攻擊防范技術(shù)研究與實(shí)現(xiàn)［J］.學(xué)位論文.重慶大學(xué)，2007.

［10］ U.S.Nuclear Regulatory Commission（NRC），Order EA-02-026，F(xiàn)eb.2002.

［11］ U.S.Nuclear Regulatory Commission（NRC），Order EA-03-086，Apr.2003.

［12］ Nuclear Energy Institute（NEI），“Cyber security program for power reactors.”Std.NEI04-04，F(xiàn)eb.2005.

［13］ Guide R.1.152revision 2［J］.Criteria for Use of Computers in Safety Systems of Nuclear Power Plants，US Nuclear Regulatory Commission，2006，12（10）.

［14］ U.S.Nuclear Regulatory Commission（NRC），Branch Technical Position 7-14，Mar.2007.

［15］ Guide R.5.71［J］.Cyber Security Programs for Nuclear Facilities，US Nuclear Regulatory Commission（January 2010），2010.

［16］ Guide R.1.152revision 3［J］.Criteria for Use of Computers in Safety Systems of Nuclear Power Plants，US Nuclear Regulatory Commission，（June 2011），2011.