淺析電力交易機(jī)構(gòu)數(shù)據(jù)安全風(fēng)險防控

孫佳，王澤輝，管海江

（國網(wǎng)吉林省電力有限公司吉林供電公司，吉林 吉林 132011）

1 電力交易機(jī)構(gòu)設(shè)立的背景及定位

根據(jù)中共中央、國務(wù)院《關(guān)于進(jìn)一步深化電力體制改革的若干意見》（中發(fā)﹝2015﹞9號）和改革配套文件的要求，經(jīng)國家發(fā)改委、國家能源局批復(fù)成立的國家級電力交易機(jī)構(gòu)北京和廣州電力交易中心于2016年3月1日正式掛牌成立。之后，各個省份陸續(xù)成立電力交易中心以跟進(jìn)電力體系改革，我國電力交易機(jī)構(gòu)體系成型。

電力交易機(jī)構(gòu)的定位是按照政府批準(zhǔn)的章程和市場規(guī)則為電力市場交易提供服務(wù)，不以營利為目的，主要負(fù)責(zé)電力市場的建設(shè)和運(yùn)營，負(fù)責(zé)落實(shí)國家計劃、地方政府協(xié)議，開展市場化交易，逐步推進(jìn)全國范圍內(nèi)的市場融合，使市場在資源配置中起決定性作用，推動全國電力市場體系建設(shè)和能源資源大范圍的優(yōu)化配置；負(fù)責(zé)配合政府有關(guān)部門研究編制電力交易基本規(guī)則，提出電力市場和交易運(yùn)營有關(guān)技術(shù)、業(yè)務(wù)和管理標(biāo)準(zhǔn)；未來?xiàng)l件具備時，開展電力金融交易。

2 電力交易機(jī)構(gòu)的風(fēng)險特征

電力交易機(jī)構(gòu)作為各市場主體參與市場交易的重要服務(wù)平臺和窗口，交易平臺具備了同時開展多品種多周期交易的運(yùn)營能力，有效支撐了電力市場的運(yùn)營，為促進(jìn)市場健康發(fā)展發(fā)揮了重要作用。從公司經(jīng)營性質(zhì)出發(fā)分析，電力交易機(jī)構(gòu)與電力體系的其他企業(yè)存在本質(zhì)區(qū)別。因此，電力交易機(jī)構(gòu)的風(fēng)險同時具備電網(wǎng)企業(yè)和商品交易機(jī)構(gòu)兩個維度的特點(diǎn)，且更為復(fù)雜。與一般電力企業(yè)相比，電力交易機(jī)構(gòu)具有商品交易機(jī)構(gòu)的風(fēng)險特性，主要集中在數(shù)據(jù)安全和交易平臺維護(hù)上。本文將對電力交易機(jī)構(gòu)體現(xiàn)商品交易機(jī)構(gòu)特性的數(shù)據(jù)安全風(fēng)險進(jìn)行探討，以為更好地開展電力交易機(jī)構(gòu)風(fēng)控工作提供一些技術(shù)支持和參考。

3 電力交易機(jī)構(gòu)數(shù)據(jù)安全風(fēng)險分析

數(shù)據(jù)安全風(fēng)險是指由于硬件故障、斷電、死機(jī)、人為的誤操作、程序缺陷、病毒或黑客等造成的數(shù)據(jù)庫損壞或數(shù)據(jù)丟失現(xiàn)象，某些敏感或保密的數(shù)據(jù)可能被不具備資格的人員或操作員閱讀，而造成數(shù)據(jù)泄密等后果。因此，電力交易機(jī)構(gòu)數(shù)據(jù)安全性的重要程度應(yīng)高于其他電力單位，如果出現(xiàn)數(shù)據(jù)安全問題，則會造成極為嚴(yán)重后果。

3．1 外部竊密風(fēng)險

外部竊密風(fēng)險是指外部人員在未經(jīng)授權(quán)或不當(dāng)授權(quán)下接觸電力交易數(shù)據(jù)，導(dǎo)致交易數(shù)據(jù)泄露引發(fā)的風(fēng)險，主要存在數(shù)據(jù)外部入侵攻擊、數(shù)據(jù)存儲介質(zhì)丟失被竊及外部服務(wù)機(jī)構(gòu)不當(dāng)接觸風(fēng)險。電力交易平臺運(yùn)行是基于Internet運(yùn)行，市場成員通過注冊的端口進(jìn)行交易提交和運(yùn)行。一旦電力交易機(jī)構(gòu)的信息系統(tǒng)終端遭受黑客入侵或木馬、病毒攻擊，將引發(fā)交易數(shù)據(jù)泄露的風(fēng)險。

3．2 內(nèi)部失泄密風(fēng)險

內(nèi)部泄密風(fēng)險是指由于內(nèi)部人員認(rèn)識不足，不當(dāng)接觸和使用電力交易數(shù)據(jù)，導(dǎo)致交易數(shù)據(jù)泄露引發(fā)的風(fēng)險。如果交易機(jī)構(gòu)沒有明確指定交易數(shù)據(jù)密級和接觸授權(quán)管理要求，內(nèi)部員工未能有效掌握國家保密法律法規(guī)、公司保密規(guī)章制度和企業(yè)密級范圍目錄，對日常保密工作缺乏足夠的了解，可能導(dǎo)致對日常工作中接觸的企業(yè)秘密、敏感信息重視不足，沒有執(zhí)行相應(yīng)的保護(hù)措施，將引發(fā)內(nèi)部員工泄露交易數(shù)據(jù)的風(fēng)險。

3．3 信息披露不當(dāng)風(fēng)險

電力交易機(jī)構(gòu)比其他電力企業(yè)在信息披露上的要求更復(fù)雜一些。一方面，電力交易機(jī)構(gòu)必須及時準(zhǔn)確向市場成員發(fā)送個體交易信息；另一方面，電力交易機(jī)構(gòu)還要對匯總整理的整體交易信息定期向政府監(jiān)管部門進(jìn)行報送，對外信息披露不當(dāng)將引發(fā)數(shù)據(jù)安全及輿情風(fēng)險。若交易機(jī)構(gòu)無法未能及時、準(zhǔn)確向市場主體進(jìn)行信息披露，導(dǎo)致部分市場主體未及時獲知交易信息或者獲知不當(dāng)信息，造成電力交易不公平風(fēng)險和聲譽(yù)、輿情風(fēng)險。

3．4 信息系統(tǒng)設(shè)備管理不善風(fēng)險

電力交易機(jī)構(gòu)的業(yè)務(wù)數(shù)據(jù)不僅在運(yùn)行平臺系統(tǒng)可以閱讀獲取，在信息系統(tǒng)主機(jī)設(shè)備也可以獲得。一旦出現(xiàn)信息系統(tǒng)設(shè)備超級權(quán)限，管理人員對信息系統(tǒng)設(shè)備上的交易數(shù)據(jù)進(jìn)行復(fù)制外帶，將引發(fā)電力交易數(shù)據(jù)流失、信息數(shù)據(jù)泄露風(fēng)險。數(shù)據(jù)安全不僅僅應(yīng)考慮泄露風(fēng)險，還應(yīng)關(guān)注信息系統(tǒng)災(zāi)備管理不當(dāng)風(fēng)險。一旦信息系統(tǒng)災(zāi)備中心建設(shè)管理不到位，出現(xiàn)交易數(shù)據(jù)毀損問題時無法及時進(jìn)行系統(tǒng)恢復(fù)，導(dǎo)致電力交易機(jī)構(gòu)運(yùn)行的基礎(chǔ)發(fā)生破壞造成不良社會影響。

3．5 數(shù)據(jù)安全教育不足風(fēng)險

電力交易機(jī)構(gòu)數(shù)據(jù)安全管理最終都要落實(shí)到人的執(zhí)行上，因此，數(shù)據(jù)安全教育不足將是數(shù)據(jù)安全最基礎(chǔ)的風(fēng)險。首先，如果電力交易機(jī)構(gòu)的保密政策宣貫工作不到位，導(dǎo)致員工對公司保密工作的管理初衷、政策背景了解不足，對保密工作目標(biāo)和管理意圖的理解產(chǎn)生偏差，甚至出現(xiàn)抵觸心理，將會引發(fā)數(shù)據(jù)安全風(fēng)險蔓延。其次，交易機(jī)構(gòu)設(shè)定的數(shù)據(jù)安全政策及制度如果缺少保密活動監(jiān)督機(jī)制，對泄密隱患和行為沒有及時制止和考核，將增加員工在工作中無意泄密的風(fēng)險。

4 電力交易機(jī)構(gòu)數(shù)據(jù)安全控制措施思考

4．1 外部竊密風(fēng)險控制

針對外部入侵導(dǎo)致的數(shù)據(jù)安全風(fēng)險，電力交易機(jī)構(gòu)要建立嚴(yán)格的外網(wǎng)入侵管理制度，提升交易機(jī)構(gòu)防黑客反木馬安全系統(tǒng)，同時對于涉密數(shù)據(jù)及資料進(jìn)行網(wǎng)絡(luò)隔離處理。設(shè)定嚴(yán)格的涉密設(shè)備外出審批制度。按相關(guān)制度嚴(yán)格審批涉密辦公設(shè)備維修申請，確保維修地點(diǎn)、維修單位資質(zhì)與涉密辦公設(shè)備維修要求一致。嚴(yán)格審批涉密辦公設(shè)備報廢申請，確保交由國家保密行政管理部門制定的涉密載體銷毀中心統(tǒng)一銷毀，并保留銷毀憑據(jù)。

4．2 內(nèi)部失泄密風(fēng)險控制

電力交易機(jī)構(gòu)應(yīng)與涉密員工簽訂嚴(yán)格的保密協(xié)議，并對所有涉密義務(wù)和后果進(jìn)行逐條確認(rèn)，并制定數(shù)據(jù)安全及涉密管理手冊，以協(xié)助員工有效掌握國家保密法律法規(guī)和公司保密規(guī)章制度，由專人對涉密載體認(rèn)真履行清點(diǎn)、登記、編號、簽收等手續(xù)，確保涉密載體通過安全可靠途徑，按密級、分渠道進(jìn)行傳遞。最后，電力交易機(jī)構(gòu)應(yīng)專門制作單位保密宣傳材料，進(jìn)行持續(xù)性宣貫，定期進(jìn)行保密政策和新政策的解讀培訓(xùn)并開展相關(guān)測試。

4．3 電力市場交易信息披露不當(dāng)風(fēng)險控制

電力交易機(jī)構(gòu)應(yīng)制定嚴(yán)格市場主體信息披露制度，對信息披露的對象、內(nèi)容、頻率和方式進(jìn)行明確，應(yīng)對市場主體交易的私有信息加強(qiáng)保密措施，防止泄密影響交易的公開、公平、公正。應(yīng)及時就交易公告和交易結(jié)果向政府監(jiān)管機(jī)構(gòu)備案。及時準(zhǔn)確收集電力交易工作信息數(shù)據(jù)，進(jìn)行分析匯總，按規(guī)定時限進(jìn)行報送。全面審核電力交易工作信息，確保信息符合電力交易工作評價要求。

4．4 信息系統(tǒng)設(shè)備管理不善風(fēng)險控制

電力交易機(jī)構(gòu)應(yīng)明確信息系統(tǒng)設(shè)備接觸權(quán)限表，嚴(yán)控信息系統(tǒng)設(shè)備管理的超級權(quán)限設(shè)置及審批，并定期對信息系統(tǒng)設(shè)備接觸進(jìn)行定期檢查監(jiān)督。應(yīng)建立嚴(yán)格的交易數(shù)據(jù)災(zāi)備管理制度，明確數(shù)據(jù)備份與恢復(fù)機(jī)制，規(guī)定數(shù)據(jù)備份的頻率、方法、介質(zhì)、范圍等方面。要求系統(tǒng)管理員按照“數(shù)據(jù)備份與恢復(fù)”的操作流程，定期將數(shù)據(jù)備份制成一式兩份，一份由負(fù)責(zé)交易平臺管理的部門保存，另一份由業(yè)務(wù)部門保存。要求負(fù)責(zé)交易平臺管理的部門負(fù)責(zé)人定期對備份的操作執(zhí)行情況、備份的保管情況進(jìn)行檢查。

4．5 數(shù)據(jù)安全教育不足風(fēng)險控制

電力交易機(jī)構(gòu)應(yīng)將數(shù)據(jù)安全教育作為一項(xiàng)長期工作進(jìn)行推進(jìn)，明確數(shù)據(jù)安全定期培訓(xùn)的標(biāo)準(zhǔn)。應(yīng)將數(shù)據(jù)安全納入員工業(yè)績考核內(nèi)容，實(shí)施一票否決機(jī)制；制定數(shù)據(jù)安全政策及制度的監(jiān)督機(jī)制，對泄密隱患和行為及時制止和考核，降低員工在工作中泄密的風(fēng)險。

5 結(jié)語

電力交易機(jī)構(gòu)作為電力體系一個新的組織機(jī)構(gòu)，被賦予了重要的使命。其一方面能夠從電網(wǎng)公司的風(fēng)險管理和內(nèi)部控制體系汲取大量的管理經(jīng)驗(yàn)；另一方面，我們也意識到電力交易機(jī)構(gòu)本質(zhì)上一個以電力資源為交易對象的商品交易機(jī)構(gòu)，其在風(fēng)險及其管控上與其他電力體系企業(yè)存在較大差異。因此，我們從其他商品交易機(jī)構(gòu)的風(fēng)險管理和內(nèi)部控制理論中學(xué)習(xí)經(jīng)驗(yàn)，將交易數(shù)據(jù)安全認(rèn)定為電力交易機(jī)構(gòu)的核心風(fēng)險，從外部竊密、內(nèi)部失泄密、對外信息披露、信息系統(tǒng)設(shè)備和數(shù)據(jù)安全教育五個維度去細(xì)化分析，保護(hù)電力交易的數(shù)據(jù)安全。