新闻资讯

山西某火电厂燃料系统被植入非法程序事件

浏览量:3164 | 发布时间:2018-12-25 08:27:18

一、燃料“三大项目”异常事件的发现

2018年8月8日0时38分,山西某电厂燃料进煤发卡室值班员在监盘过程中,通过监控画面发现有两人打开远端排队系统的控制箱柜门(该控制箱位于厂门外500米处)。值班员立即向上级汇报,电厂安排两名采样值班员到事发地点检查,发现控制柜被暴力打开,网络交换机上网线被拔出,交换机端口临时接入一个无线路由器。采样值班员拍照后将无线路由器拆除,并将排队系统网线插回交换机,值班人员将情况上报电厂值班领导。

1时16分,运维技术人员到达燃料“三大项目”信息机房,对系统后台进行检查,发现系统内存在非法程序,将非法程序其停运,同时将非法程序进行备份、日志进行备份。1时30分技术人员检查系统无异常正常运行后通知值班人员。值班人员将事件处理经过报值班领导。值班领导汇报电厂总经理后启动电厂信息安全应急预案。同时电厂通知“三大项目”研发单位人员迅速到厂配合事件调查。

二、异常事件的应对和处置情况

2018年8月8日早8点,电厂总经理接照集团公司《网络安全责任制管理办法》及《网络安全事件调查规程》第一时间组织业务、技术、安全、监察、法务等部门人员成立调查组,迅速开展事件调查。同时,燃料质检业务部门和技术部门人品全面排查“三大项目”系统,采取技术防控措施,保证系统安全稳定运行。同时,向当地公安机关报案,并配合调查取证。

县公安局接到电厂报案后,组织刑警、网监等人员立刻出警,于当日9时20分赶到现场,警方要求在案件未查清之前,相关单位、人员一律严格保密,禁止案情外泄。随后刑警支队对案发地点全面排查,调阅案发时间段厂区及周边道路监控画面,详细收集现场遗留的指纹等相关线索,全面排查周边宾馆、饭店以及高速路口嫌疑人员和车辆。

网监人员对“三大项目”系统服务器进行全盘镜像处理,对系统运行环境进行全面扫描,并提取关键数据进行分析研究。接着,在征得公安部门许可后,电厂通过电话方式向山西分公司作了事件汇报。

燃料“三大项目”研发单位技术总监和专家于8月8日下午到厂,对“三大项目”核心服务器的日志报表、应用文件、硬盘外设等进行全面检查,通过SQL语句对海量数据进行对比分析, 查找系统被破坏的蛛丝马迹。

经过一个星期的分析研究,公安局网监人员和研发单位专家一致认为:在事件发生前后,“三大项目”系统煤质、 煤样、采样坐标等关键数据的分布没有规律性和指向性的变化,该非法活动还处在初步测试阶段,没有对系统产生实质性破坏。

8月23日,公安局刑警支队将嫌疑人抓获,嫌疑人陈某以及另4名无业人员。据陈某交代,其植入在“三大项目”系统中的非法程序尚处于测试阶段,企图通过测试及后续改进完善,对系统测算参数进行修改,进而非法牟利。

来源:电力安全生产