一、燃料“三大項(xiàng)目”異常事件的發(fā)現(xiàn)

2018年8月8日0時(shí)38分，山西某電廠燃料進(jìn)煤發(fā)卡室值班員在監(jiān)盤(pán)過(guò)程中，通過(guò)監(jiān)控畫(huà)面發(fā)現(xiàn)有兩人打開(kāi)遠(yuǎn)端排隊(duì)系統(tǒng)的控制箱柜門(mén)（該控制箱位于廠門(mén)外500米處）。值班員立即向上級(jí)匯報(bào)，電廠安排兩名采樣值班員到事發(fā)地點(diǎn)檢查，發(fā)現(xiàn)控制柜被暴力打開(kāi)，網(wǎng)絡(luò)交換機(jī)上網(wǎng)線被拔出，交換機(jī)端口臨時(shí)接入一個(gè)無(wú)線路由器。采樣值班員拍照后將無(wú)線路由器拆除，并將排隊(duì)系統(tǒng)網(wǎng)線插回交換機(jī)，值班人員將情況上報(bào)電廠值班領(lǐng)導(dǎo)。

1時(shí)16分，運(yùn)維技術(shù)人員到達(dá)燃料“三大項(xiàng)目”信息機(jī)房，對(duì)系統(tǒng)后臺(tái)進(jìn)行檢查，發(fā)現(xiàn)系統(tǒng)內(nèi)存在非法程序，將非法程序其停運(yùn)，同時(shí)將非法程序進(jìn)行備份、日志進(jìn)行備份。1時(shí)30分技術(shù)人員檢查系統(tǒng)無(wú)異常正常運(yùn)行后通知值班人員。值班人員將事件處理經(jīng)過(guò)報(bào)值班領(lǐng)導(dǎo)。值班領(lǐng)導(dǎo)匯報(bào)電廠總經(jīng)理后啟動(dòng)電廠信息安全應(yīng)急預(yù)案。同時(shí)電廠通知“三大項(xiàng)目”研發(fā)單位人員迅速到廠配合事件調(diào)查。

二、異常事件的應(yīng)對(duì)和處置情況

2018年8月8日早8點(diǎn),電廠總經(jīng)理接照集團(tuán)公司《網(wǎng)絡(luò)安全責(zé)任制管理辦法》及《網(wǎng)絡(luò)安全事件調(diào)查規(guī)程》第一時(shí)間組織業(yè)務(wù)、技術(shù)、安全、監(jiān)察、法務(wù)等部門(mén)人員成立調(diào)查組，迅速開(kāi)展事件調(diào)查。同時(shí)，燃料質(zhì)檢業(yè)務(wù)部門(mén)和技術(shù)部門(mén)人品全面排查“三大項(xiàng)目”系統(tǒng)，采取技術(shù)防控措施，保證系統(tǒng)安全穩(wěn)定運(yùn)行。同時(shí)，向當(dāng)?shù)毓矙C(jī)關(guān)報(bào)案，并配合調(diào)查取證。

縣公安局接到電廠報(bào)案后，組織刑警、網(wǎng)監(jiān)等人員立刻出警，于當(dāng)日9時(shí)20分趕到現(xiàn)場(chǎng)，警方要求在案件未查清之前，相關(guān)單位、人員一律嚴(yán)格保密，禁止案情外泄。隨后刑警支隊(duì)對(duì)案發(fā)地點(diǎn)全面排查，調(diào)閱案發(fā)時(shí)間段廠區(qū)及周邊道路監(jiān)控畫(huà)面，詳細(xì)收集現(xiàn)場(chǎng)遺留的指紋等相關(guān)線索，全面排查周邊賓館、飯店以及高速路口嫌疑人員和車(chē)輛。

網(wǎng)監(jiān)人員對(duì)“三大項(xiàng)目”系統(tǒng)服務(wù)器進(jìn)行全盤(pán)鏡像處理，對(duì)系統(tǒng)運(yùn)行環(huán)境進(jìn)行全面掃描，并提取關(guān)鍵數(shù)據(jù)進(jìn)行分析研究。接著，在征得公安部門(mén)許可后，電廠通過(guò)電話方式向山西分公司作了事件匯報(bào)。

燃料“三大項(xiàng)目”研發(fā)單位技術(shù)總監(jiān)和專(zhuān)家于8月8日下午到廠，對(duì)“三大項(xiàng)目”核心服務(wù)器的日志報(bào)表、應(yīng)用文件、硬盤(pán)外設(shè)等進(jìn)行全面檢查，通過(guò)SQL語(yǔ)句對(duì)海量數(shù)據(jù)進(jìn)行對(duì)比分析， 查找系統(tǒng)被破壞的蛛絲馬跡。

經(jīng)過(guò)一個(gè)星期的分析研究，公安局網(wǎng)監(jiān)人員和研發(fā)單位專(zhuān)家一致認(rèn)為：在事件發(fā)生前后，“三大項(xiàng)目”系統(tǒng)煤質(zhì)、 煤樣、采樣坐標(biāo)等關(guān)鍵數(shù)據(jù)的分布沒(méi)有規(guī)律性和指向性的變化，該非法活動(dòng)還處在初步測(cè)試階段，沒(méi)有對(duì)系統(tǒng)產(chǎn)生實(shí)質(zhì)性破壞。

8月23日，公安局刑警支隊(duì)將嫌疑人抓獲，嫌疑人陳某以及另4名無(wú)業(yè)人員。據(jù)陳某交代，其植入在“三大項(xiàng)目”系統(tǒng)中的非法程序尚處于測(cè)試階段，企圖通過(guò)測(cè)試及后續(xù)改進(jìn)完善，對(duì)系統(tǒng)測(cè)算參數(shù)進(jìn)行修改，進(jìn)而非法牟利。

來(lái)源：電力安全生產(chǎn)