淺析電力交易機構(gòu)數(shù)據(jù)安全風險防控

孫佳，王澤輝，管海江

（國網(wǎng)吉林省電力有限公司吉林供電公司，吉林 吉林 132011）

1 電力交易機構(gòu)設立的背景及定位

根據(jù)中共中央、國務院《關于進一步深化電力體制改革的若干意見》（中發(fā)﹝2015﹞9號）和改革配套文件的要求，經(jīng)國家發(fā)改委、國家能源局批復成立的國家級電力交易機構(gòu)北京和廣州電力交易中心于2016年3月1日正式掛牌成立。之后，各個省份陸續(xù)成立電力交易中心以跟進電力體系改革，我國電力交易機構(gòu)體系成型。

電力交易機構(gòu)的定位是按照政府批準的章程和市場規(guī)則為電力市場交易提供服務，不以營利為目的，主要負責電力市場的建設和運營，負責落實國家計劃、地方政府協(xié)議，開展市場化交易，逐步推進全國范圍內(nèi)的市場融合，使市場在資源配置中起決定性作用，推動全國電力市場體系建設和能源資源大范圍的優(yōu)化配置；負責配合政府有關部門研究編制電力交易基本規(guī)則，提出電力市場和交易運營有關技術(shù)、業(yè)務和管理標準；未來條件具備時，開展電力金融交易。

2 電力交易機構(gòu)的風險特征

電力交易機構(gòu)作為各市場主體參與市場交易的重要服務平臺和窗口，交易平臺具備了同時開展多品種多周期交易的運營能力，有效支撐了電力市場的運營，為促進市場健康發(fā)展發(fā)揮了重要作用。從公司經(jīng)營性質(zhì)出發(fā)分析，電力交易機構(gòu)與電力體系的其他企業(yè)存在本質(zhì)區(qū)別。因此，電力交易機構(gòu)的風險同時具備電網(wǎng)企業(yè)和商品交易機構(gòu)兩個維度的特點，且更為復雜。與一般電力企業(yè)相比，電力交易機構(gòu)具有商品交易機構(gòu)的風險特性，主要集中在數(shù)據(jù)安全和交易平臺維護上。本文將對電力交易機構(gòu)體現(xiàn)商品交易機構(gòu)特性的數(shù)據(jù)安全風險進行探討，以為更好地開展電力交易機構(gòu)風控工作提供一些技術(shù)支持和參考。

3 電力交易機構(gòu)數(shù)據(jù)安全風險分析

數(shù)據(jù)安全風險是指由于硬件故障、斷電、死機、人為的誤操作、程序缺陷、病毒或黑客等造成的數(shù)據(jù)庫損壞或數(shù)據(jù)丟失現(xiàn)象，某些敏感或保密的數(shù)據(jù)可能被不具備資格的人員或操作員閱讀，而造成數(shù)據(jù)泄密等后果。因此，電力交易機構(gòu)數(shù)據(jù)安全性的重要程度應高于其他電力單位，如果出現(xiàn)數(shù)據(jù)安全問題，則會造成極為嚴重后果。

3．1 外部竊密風險

外部竊密風險是指外部人員在未經(jīng)授權(quán)或不當授權(quán)下接觸電力交易數(shù)據(jù)，導致交易數(shù)據(jù)泄露引發(fā)的風險，主要存在數(shù)據(jù)外部入侵攻擊、數(shù)據(jù)存儲介質(zhì)丟失被竊及外部服務機構(gòu)不當接觸風險。電力交易平臺運行是基于Internet運行，市場成員通過注冊的端口進行交易提交和運行。一旦電力交易機構(gòu)的信息系統(tǒng)終端遭受黑客入侵或木馬、病毒攻擊，將引發(fā)交易數(shù)據(jù)泄露的風險。

3．2 內(nèi)部失泄密風險

內(nèi)部泄密風險是指由于內(nèi)部人員認識不足，不當接觸和使用電力交易數(shù)據(jù)，導致交易數(shù)據(jù)泄露引發(fā)的風險。如果交易機構(gòu)沒有明確指定交易數(shù)據(jù)密級和接觸授權(quán)管理要求，內(nèi)部員工未能有效掌握國家保密法律法規(guī)、公司保密規(guī)章制度和企業(yè)密級范圍目錄，對日常保密工作缺乏足夠的了解，可能導致對日常工作中接觸的企業(yè)秘密、敏感信息重視不足，沒有執(zhí)行相應的保護措施，將引發(fā)內(nèi)部員工泄露交易數(shù)據(jù)的風險。

3．3 信息披露不當風險

電力交易機構(gòu)比其他電力企業(yè)在信息披露上的要求更復雜一些。一方面，電力交易機構(gòu)必須及時準確向市場成員發(fā)送個體交易信息；另一方面，電力交易機構(gòu)還要對匯總整理的整體交易信息定期向政府監(jiān)管部門進行報送，對外信息披露不當將引發(fā)數(shù)據(jù)安全及輿情風險。若交易機構(gòu)無法未能及時、準確向市場主體進行信息披露，導致部分市場主體未及時獲知交易信息或者獲知不當信息，造成電力交易不公平風險和聲譽、輿情風險。

3．4 信息系統(tǒng)設備管理不善風險

電力交易機構(gòu)的業(yè)務數(shù)據(jù)不僅在運行平臺系統(tǒng)可以閱讀獲取，在信息系統(tǒng)主機設備也可以獲得。一旦出現(xiàn)信息系統(tǒng)設備超級權(quán)限，管理人員對信息系統(tǒng)設備上的交易數(shù)據(jù)進行復制外帶，將引發(fā)電力交易數(shù)據(jù)流失、信息數(shù)據(jù)泄露風險。數(shù)據(jù)安全不僅僅應考慮泄露風險，還應關注信息系統(tǒng)災備管理不當風險。一旦信息系統(tǒng)災備中心建設管理不到位，出現(xiàn)交易數(shù)據(jù)毀損問題時無法及時進行系統(tǒng)恢復，導致電力交易機構(gòu)運行的基礎發(fā)生破壞造成不良社會影響。

3．5 數(shù)據(jù)安全教育不足風險

電力交易機構(gòu)數(shù)據(jù)安全管理最終都要落實到人的執(zhí)行上，因此，數(shù)據(jù)安全教育不足將是數(shù)據(jù)安全最基礎的風險。首先，如果電力交易機構(gòu)的保密政策宣貫工作不到位，導致員工對公司保密工作的管理初衷、政策背景了解不足，對保密工作目標和管理意圖的理解產(chǎn)生偏差，甚至出現(xiàn)抵觸心理，將會引發(fā)數(shù)據(jù)安全風險蔓延。其次，交易機構(gòu)設定的數(shù)據(jù)安全政策及制度如果缺少保密活動監(jiān)督機制，對泄密隱患和行為沒有及時制止和考核，將增加員工在工作中無意泄密的風險。

4 電力交易機構(gòu)數(shù)據(jù)安全控制措施思考

4．1 外部竊密風險控制

針對外部入侵導致的數(shù)據(jù)安全風險，電力交易機構(gòu)要建立嚴格的外網(wǎng)入侵管理制度，提升交易機構(gòu)防黑客反木馬安全系統(tǒng)，同時對于涉密數(shù)據(jù)及資料進行網(wǎng)絡隔離處理。設定嚴格的涉密設備外出審批制度。按相關制度嚴格審批涉密辦公設備維修申請，確保維修地點、維修單位資質(zhì)與涉密辦公設備維修要求一致。嚴格審批涉密辦公設備報廢申請，確保交由國家保密行政管理部門制定的涉密載體銷毀中心統(tǒng)一銷毀，并保留銷毀憑據(jù)。

4．2 內(nèi)部失泄密風險控制

電力交易機構(gòu)應與涉密員工簽訂嚴格的保密協(xié)議，并對所有涉密義務和后果進行逐條確認，并制定數(shù)據(jù)安全及涉密管理手冊，以協(xié)助員工有效掌握國家保密法律法規(guī)和公司保密規(guī)章制度，由專人對涉密載體認真履行清點、登記、編號、簽收等手續(xù)，確保涉密載體通過安全可靠途徑，按密級、分渠道進行傳遞。最后，電力交易機構(gòu)應專門制作單位保密宣傳材料，進行持續(xù)性宣貫，定期進行保密政策和新政策的解讀培訓并開展相關測試。

4．3 電力市場交易信息披露不當風險控制

電力交易機構(gòu)應制定嚴格市場主體信息披露制度，對信息披露的對象、內(nèi)容、頻率和方式進行明確，應對市場主體交易的私有信息加強保密措施，防止泄密影響交易的公開、公平、公正。應及時就交易公告和交易結(jié)果向政府監(jiān)管機構(gòu)備案。及時準確收集電力交易工作信息數(shù)據(jù)，進行分析匯總，按規(guī)定時限進行報送。全面審核電力交易工作信息，確保信息符合電力交易工作評價要求。

4．4 信息系統(tǒng)設備管理不善風險控制

電力交易機構(gòu)應明確信息系統(tǒng)設備接觸權(quán)限表，嚴控信息系統(tǒng)設備管理的超級權(quán)限設置及審批，并定期對信息系統(tǒng)設備接觸進行定期檢查監(jiān)督。應建立嚴格的交易數(shù)據(jù)災備管理制度，明確數(shù)據(jù)備份與恢復機制，規(guī)定數(shù)據(jù)備份的頻率、方法、介質(zhì)、范圍等方面。要求系統(tǒng)管理員按照“數(shù)據(jù)備份與恢復”的操作流程，定期將數(shù)據(jù)備份制成一式兩份，一份由負責交易平臺管理的部門保存，另一份由業(yè)務部門保存。要求負責交易平臺管理的部門負責人定期對備份的操作執(zhí)行情況、備份的保管情況進行檢查。

4．5 數(shù)據(jù)安全教育不足風險控制

電力交易機構(gòu)應將數(shù)據(jù)安全教育作為一項長期工作進行推進，明確數(shù)據(jù)安全定期培訓的標準。應將數(shù)據(jù)安全納入員工業(yè)績考核內(nèi)容，實施一票否決機制；制定數(shù)據(jù)安全政策及制度的監(jiān)督機制，對泄密隱患和行為及時制止和考核，降低員工在工作中泄密的風險。

5 結(jié)語

電力交易機構(gòu)作為電力體系一個新的組織機構(gòu)，被賦予了重要的使命。其一方面能夠從電網(wǎng)公司的風險管理和內(nèi)部控制體系汲取大量的管理經(jīng)驗；另一方面，我們也意識到電力交易機構(gòu)本質(zhì)上一個以電力資源為交易對象的商品交易機構(gòu)，其在風險及其管控上與其他電力體系企業(yè)存在較大差異。因此，我們從其他商品交易機構(gòu)的風險管理和內(nèi)部控制理論中學習經(jīng)驗，將交易數(shù)據(jù)安全認定為電力交易機構(gòu)的核心風險，從外部竊密、內(nèi)部失泄密、對外信息披露、信息系統(tǒng)設備和數(shù)據(jù)安全教育五個維度去細化分析，保護電力交易的數(shù)據(jù)安全。