一、燃料“三大項目”異常事件的發(fā)現

2018年8月8日0時(shí)38分，山西某電廠(chǎng)燃料進(jìn)煤發(fā)卡室值班員在監盤(pán)過(guò)程中，通過(guò)監控畫(huà)面發(fā)現有兩人打開(kāi)遠端排隊系統的控制箱柜門(mén)（該控制箱位于廠(chǎng)門(mén)外500米處）。值班員立即向上級匯報，電廠(chǎng)安排兩名采樣值班員到事發(fā)地點(diǎn)檢查，發(fā)現控制柜被暴力打開(kāi)，網(wǎng)絡(luò )交換機上網(wǎng)線(xiàn)被拔出，交換機端口臨時(shí)接入一個(gè)無(wú)線(xiàn)路由器。采樣值班員拍照后將無(wú)線(xiàn)路由器拆除，并將排隊系統網(wǎng)線(xiàn)插回交換機，值班人員將情況上報電廠(chǎng)值班領(lǐng)導。

1時(shí)16分，運維技術(shù)人員到達燃料“三大項目”信息機房，對系統后臺進(jìn)行檢查，發(fā)現系統內存在非法程序，將非法程序其停運，同時(shí)將非法程序進(jìn)行備份、日志進(jìn)行備份。1時(shí)30分技術(shù)人員檢查系統無(wú)異常正常運行后通知值班人員。值班人員將事件處理經(jīng)過(guò)報值班領(lǐng)導。值班領(lǐng)導匯報電廠(chǎng)總經(jīng)理后啟動(dòng)電廠(chǎng)信息安全應急預案。同時(shí)電廠(chǎng)通知“三大項目”研發(fā)單位人員迅速到廠(chǎng)配合事件調查。

二、異常事件的應對和處置情況

2018年8月8日早8點(diǎn),電廠(chǎng)總經(jīng)理接照集團公司《網(wǎng)絡(luò )安全責任制管理辦法》及《網(wǎng)絡(luò )安全事件調查規程》第一時(shí)間組織業(yè)務(wù)、技術(shù)、安全、監察、法務(wù)等部門(mén)人員成立調查組，迅速開(kāi)展事件調查。同時(shí)，燃料質(zhì)檢業(yè)務(wù)部門(mén)和技術(shù)部門(mén)人品全面排查“三大項目”系統，采取技術(shù)防控措施，保證系統安全穩定運行。同時(shí)，向當地公安機關(guān)報案，并配合調查取證。

縣公安局接到電廠(chǎng)報案后，組織刑警、網(wǎng)監等人員立刻出警，于當日9時(shí)20分趕到現場(chǎng)，警方要求在案件未查清之前，相關(guān)單位、人員一律嚴格保密，禁止案情外泄。隨后刑警支隊對案發(fā)地點(diǎn)全面排查，調閱案發(fā)時(shí)間段廠(chǎng)區及周邊道路監控畫(huà)面，詳細收集現場(chǎng)遺留的指紋等相關(guān)線(xiàn)索，全面排查周邊賓館、飯店以及高速路口嫌疑人員和車(chē)輛。

網(wǎng)監人員對“三大項目”系統服務(wù)器進(jìn)行全盤(pán)鏡像處理，對系統運行環(huán)境進(jìn)行全面掃描，并提取關(guān)鍵數據進(jìn)行分析研究。接著(zhù)，在征得公安部門(mén)許可后，電廠(chǎng)通過(guò)電話(huà)方式向山西分公司作了事件匯報。

燃料“三大項目”研發(fā)單位技術(shù)總監和專(zhuān)家于8月8日下午到廠(chǎng)，對“三大項目”核心服務(wù)器的日志報表、應用文件、硬盤(pán)外設等進(jìn)行全面檢查，通過(guò)SQL語(yǔ)句對海量數據進(jìn)行對比分析， 查找系統被破壞的蛛絲馬跡。

經(jīng)過(guò)一個(gè)星期的分析研究，公安局網(wǎng)監人員和研發(fā)單位專(zhuān)家一致認為：在事件發(fā)生前后，“三大項目”系統煤質(zhì)、 煤樣、采樣坐標等關(guān)鍵數據的分布沒(méi)有規律性和指向性的變化，該非法活動(dòng)還處在初步測試階段，沒(méi)有對系統產(chǎn)生實(shí)質(zhì)性破壞。

8月23日，公安局刑警支隊將嫌疑人抓獲，嫌疑人陳某以及另4名無(wú)業(yè)人員。據陳某交代，其植入在“三大項目”系統中的非法程序尚處于測試階段，企圖通過(guò)測試及后續改進(jìn)完善，對系統測算參數進(jìn)行修改，進(jìn)而非法牟利。

來(lái)源：電力安全生產(chǎn)