山西某火电厂燃料系统被植入非法程序事件简报

山西某火电厂燃料系统被植入非法程序事件简报

（来源：微信公众号“电力安全生产”ID：dianlianquan）

一、燃料“三大项目”异常事件的发现

2018年8月8日0时38分，山西某电厂燃料“三大项目”系统进煤发卡室值班员在监盘过程中，通过监控画面发现有两人打开远端排队系统的控制箱柜门(该控制箱位于厂门外500米处)。值班员立即向上级汇报，电厂安排两名采样值班员到事发地点检查，发现控制柜被暴力打开，网络交换机上网线被拔出，交换机端口临时接入一个无线路由器。采样值班员拍照后将无线路由器拆除，并将排队系统网线插回交换机，值班人员将情况上报电厂值班领导。

1时16分，运维技术人员到达燃料“三大项目”信息机房，对系统后台进行检查，发现系统内存在非法程序，将非法程序其停运，同时将非法程序进行备份、日志进行备份。1时30分技术人员检查系统无异常正常运行后通知值班人员。值班人员将事件处理经过报值班领导。值班领导汇报电厂总经理后启动电厂信息安全应急预案。同时电厂通知“三大项目”研发单位人员迅速到厂配合事件调查。

二、异常事件的应对和处置情况

2018年8月8日早8点,电厂总经理接照集团公司《网络安全责任制管理办法》及《网络安全事件调查规程》第一时间组织业务、技术、安全、监察、法务等部门人员成立调查组，迅速开展事件调查。同时，燃料质检业务部门和技术部门人品全面排查“三大项目”系统，采取技术防控措施，保证系统安全稳定运行。同时，向当地公安机关报案，并配合调查取证。

县公安局接到电厂报案后，组织刑警、网监等人员立刻出警，于当日9时20分赶到现场，警方要求在案件未查清之前，相关单位、人员一律严格保密，禁止案情外泄。随后刑警支队对案发地点全面排查，调阅案发时间段厂区及周边道路监控画面，详细收集现场遗留的指纹等相关线索，全面排查周边宾馆、饭店以及高速路口嫌疑人员和车辆。

网监人员对“三大项目”系统服务器进行全盘镜像处理，对系统运行环境进行全面扫描，并提取关键数据进行分析研究。接着，在征得公安部门许可后，电厂通过电话方式向山西分公司作了事件汇报。

燃料“三大项目”研发单位技术总监和专家于8月8日下午到厂，对“三大项目”核心服务器的日志报表、应用文件、硬盘外设等进行全面检查，通过SQL语句对海量数据进行对比分析， 查找系统被破坏的蛛丝马迹。

经过一个星期的分析研究，公安局网监人员和研发单位专家一致认为：在事件发生前后，“三大项目”系统煤质、 煤样、采样坐标等关键数据的分布没有规律性和指向性的变化，该非法活动还处在初步测试阶段，没有对系统产生实质性破坏。

8月23日，公安局刑警支队将嫌疑人抓获，嫌疑人陈某以及另4名无业人员。据陈某交代，其植入在“三大项目”系统中的非法程序尚处于测试阶段，企图通过测试及后续改进完善，对系统测算参数进行修改，进而非法牟利。