山西某火電廠燃料系統被植入非法程序事件簡報

（來源：微信公眾號“電力安全生產”ID：dianlianquan）

一、燃料“三大項目”異常事件的發(fā)現

2018年8月8日0時38分，山西某電廠燃料“三大項目”系統進煤發(fā)卡室值班員在監(jiān)盤過程中，通過監(jiān)控畫面發(fā)現有兩人打開遠端排隊系統的控制箱柜門(該控制箱位于廠門外500米處)。值班員立即向上級匯報，電廠安排兩名采樣值班員到事發(fā)地點檢查，發(fā)現控制柜被暴力打開，網絡交換機上網線被拔出，交換機端口臨時接入一個無線路由器。采樣值班員拍照后將無線路由器拆除，并將排隊系統網線插回交換機，值班人員將情況上報電廠值班領導。

1時16分，運維技術人員到達燃料“三大項目”信息機房，對系統后臺進行檢查，發(fā)現系統內存在非法程序，將非法程序其停運，同時將非法程序進行備份、日志進行備份。1時30分技術人員檢查系統無異常正常運行后通知值班人員。值班人員將事件處理經過報值班領導。值班領導匯報電廠總經理后啟動電廠信息安全應急預案。同時電廠通知“三大項目”研發(fā)單位人員迅速到廠配合事件調查。

二、異常事件的應對和處置情況

2018年8月8日早8點,電廠總經理接照集團公司《網絡安全責任制管理辦法》及《網絡安全事件調查規(guī)程》第一時間組織業(yè)務、技術、安全、監(jiān)察、法務等部門人員成立調查組，迅速開展事件調查。同時，燃料質檢業(yè)務部門和技術部門人品全面排查“三大項目”系統，采取技術防控措施，保證系統安全穩(wěn)定運行。同時，向當地公安機關報案，并配合調查取證。

縣公安局接到電廠報案后，組織刑警、網監(jiān)等人員立刻出警，于當日9時20分趕到現場，警方要求在案件未查清之前，相關單位、人員一律嚴格保密，禁止案情外泄。隨后刑警支隊對案發(fā)地點全面排查，調閱案發(fā)時間段廠區(qū)及周邊道路監(jiān)控畫面，詳細收集現場遺留的指紋等相關線索，全面排查周邊賓館、飯店以及高速路口嫌疑人員和車輛。

網監(jiān)人員對“三大項目”系統服務器進行全盤鏡像處理，對系統運行環(huán)境進行全面掃描，并提取關鍵數據進行分析研究。接著，在征得公安部門許可后，電廠通過電話方式向山西分公司作了事件匯報。

燃料“三大項目”研發(fā)單位技術總監(jiān)和專家于8月8日下午到廠，對“三大項目”核心服務器的日志報表、應用文件、硬盤外設等進行全面檢查，通過SQL語句對海量數據進行對比分析， 查找系統被破壞的蛛絲馬跡。

經過一個星期的分析研究，公安局網監(jiān)人員和研發(fā)單位專家一致認為：在事件發(fā)生前后，“三大項目”系統煤質、 煤樣、采樣坐標等關鍵數據的分布沒有規(guī)律性和指向性的變化，該非法活動還處在初步測試階段，沒有對系統產生實質性破壞。

8月23日，公安局刑警支隊將嫌疑人抓獲，嫌疑人陳某以及另4名無業(yè)人員。據陳某交代，其植入在“三大項目”系統中的非法程序尚處于測試階段，企圖通過測試及后續(xù)改進完善，對系統測算參數進行修改，進而非法牟利。