淺析電力交易機(jī)構(gòu)數(shù)據(jù)安全風(fēng)險(xiǎn)防控

淺析電力交易機(jī)構(gòu)數(shù)據(jù)安全風(fēng)險(xiǎn)防控摘要：作為電力系統(tǒng)的新運(yùn)營實(shí)體，電力交易機(jī)構(gòu)面臨著數(shù)據(jù)的安全風(fēng)險(xiǎn)。電力交易機(jī)構(gòu)的數(shù)據(jù)安全風(fēng)險(xiǎn)可分為五類主要風(fēng)險(xiǎn)：外部盜竊、內(nèi)部泄漏、信息泄露、通信設(shè)備安全和安全教育。為了應(yīng)對(duì)上述風(fēng)險(xiǎn)，電力交易機(jī)構(gòu)必須建立一套完善的管理控制體系，確保數(shù)據(jù)安全。關(guān)鍵詞：電力交易機(jī)構(gòu)，數(shù)據(jù)，安全風(fēng)險(xiǎn)，防控引言：電力交易機(jī)構(gòu)是根據(jù)政府批準(zhǔn)的法規(guī)和市場規(guī)律提供電力市場交易服務(wù)，其出發(fā)點(diǎn)并不是基于商業(yè)目的，而是主要負(fù)責(zé)電力市場的建設(shè)和運(yùn)營，從而逐步促進(jìn)電力市場一體化，使市場在資源配置中起決定性作用，促進(jìn)國家電力市場體系的建立和能源的大規(guī)模優(yōu)化。1.電力交易機(jī)構(gòu)的風(fēng)險(xiǎn)電力交易機(jī)構(gòu)是市場主體可以參與電力交易的重要服務(wù)平臺(tái)和窗口。該交易平臺(tái)具有同時(shí)進(jìn)行多品種、多期限交易的能力，有效地支持了電力市場的運(yùn)行，促進(jìn)市場健康發(fā)展。由于電力交易機(jī)構(gòu)與電力系統(tǒng)中的其他公司之間存在一定的差異[1]。因此，電力交易機(jī)構(gòu)的風(fēng)險(xiǎn)除了具有電網(wǎng)公司和商品交易機(jī)構(gòu)的特征外，還更加復(fù)雜。與一般電力公司相比，電力交易機(jī)構(gòu)具有商品交易機(jī)構(gòu)的風(fēng)險(xiǎn)特征，主要側(cè)重于數(shù)據(jù)安全和維護(hù)交易平臺(tái)[2]。本文重點(diǎn)探究電力交易機(jī)構(gòu)的數(shù)據(jù)安全風(fēng)險(xiǎn)，從而能夠更好地反映商品交易機(jī)構(gòu)的數(shù)據(jù)風(fēng)險(xiǎn)特征。電力交易機(jī)構(gòu)的數(shù)據(jù)安全風(fēng)險(xiǎn)是指由于某些敏感或機(jī)密數(shù)據(jù)遭受例如硬件故障、斷電、崩潰、人為、程序缺陷、病毒或黑客而導(dǎo)致的數(shù)據(jù)庫損壞或數(shù)據(jù)丟失，使得那些未經(jīng)授權(quán)的人員或操作員可以閱讀該數(shù)據(jù)信息，產(chǎn)生數(shù)據(jù)泄漏。因此，數(shù)據(jù)安全對(duì)電力交易機(jī)構(gòu)的重要性比對(duì)其他電力公司更為重要，并且數(shù)據(jù)安全問題可能會(huì)帶來非常嚴(yán)重的后果。2.數(shù)據(jù)安全風(fēng)險(xiǎn)分析2.1外部盜竊的風(fēng)險(xiǎn)外部盜竊風(fēng)險(xiǎn)是指外部人員未經(jīng)授權(quán)或不當(dāng)授權(quán)對(duì)電力交易數(shù)據(jù)進(jìn)行閱讀或獲取而采取的入侵攻擊，造成數(shù)據(jù)存儲(chǔ)介質(zhì)丟失、失竊以及交易數(shù)據(jù)泄漏的風(fēng)險(xiǎn)。電力交易平臺(tái)的運(yùn)營基于互聯(lián)網(wǎng)，市場成員通過注冊(cè)端口提交運(yùn)營交易。如果電力交易機(jī)構(gòu)的信息系統(tǒng)終端受到黑客、特洛伊木馬、病毒等的外部攻擊，則存在交易數(shù)據(jù)泄漏的風(fēng)險(xiǎn)。2.2內(nèi)部泄露的風(fēng)險(xiǎn)內(nèi)部泄露的風(fēng)險(xiǎn)是指由于缺乏內(nèi)部人員缺乏相關(guān)數(shù)據(jù)保護(hù)意識(shí)，不當(dāng)?shù)氖褂秒娏灰仔畔⒍鴮?dǎo)致交易信息泄露的風(fēng)險(xiǎn)。如果電力交易機(jī)構(gòu)沒有明確規(guī)定交易數(shù)據(jù)的保密級(jí)別和相關(guān)人員能使用權(quán)利管理要求，內(nèi)部員工將無法有效遵照國家保密法律法規(guī)、公司保密制度等對(duì)電力交易數(shù)據(jù)實(shí)施日常的保密工作，更無法對(duì)其建立有效的科學(xué)認(rèn)知。因此，如果員工不恰當(dāng)?shù)仃P(guān)注所接觸的商業(yè)秘密和敏感信息，并且未采取適當(dāng)?shù)谋Ｗo(hù)措施，則存在內(nèi)部員工泄漏交易數(shù)據(jù)的風(fēng)險(xiǎn)。2.3信息不當(dāng)披露的風(fēng)險(xiǎn)與其他公共事業(yè)機(jī)構(gòu)相比，電力交易機(jī)構(gòu)對(duì)于信息的披露要求更為復(fù)雜。一方面，電力交易機(jī)構(gòu)必須及時(shí)、準(zhǔn)確地向市場成員發(fā)送交易信息，另一方面還需要定期向政府監(jiān)管機(jī)構(gòu)報(bào)告周期內(nèi)總體交易信息。外部信息披露不當(dāng)將導(dǎo)致數(shù)據(jù)安全風(fēng)險(xiǎn)。如果交易實(shí)體沒有及時(shí)、準(zhǔn)確地向市場實(shí)體披露信息，則某些市場實(shí)體可能無法及時(shí)接收交易信息或接收到不正確信息，從而導(dǎo)致權(quán)力交易的不公平風(fēng)險(xiǎn)以及面臨聲譽(yù)和公眾輿論的風(fēng)險(xiǎn)。2.4信息系統(tǒng)設(shè)備管理的風(fēng)險(xiǎn)電力交易機(jī)構(gòu)的數(shù)據(jù)不僅可以從操作平臺(tái)系統(tǒng)獲取，而且還可以從信息系統(tǒng)的主機(jī)設(shè)備讀取。當(dāng)出現(xiàn)工作人員擁有信息系統(tǒng)設(shè)備的最高權(quán)限時(shí)，由于人為從信息系統(tǒng)設(shè)備中復(fù)制和刪除交易數(shù)據(jù)，產(chǎn)生電力交易數(shù)據(jù)丟失和信息數(shù)據(jù)泄漏的風(fēng)險(xiǎn)。數(shù)據(jù)安全不僅應(yīng)考慮泄漏的風(fēng)險(xiǎn)，還應(yīng)考慮信息系統(tǒng)災(zāi)難恢復(fù)管理不當(dāng)?shù)娘L(fēng)險(xiǎn)。如果信息系統(tǒng)災(zāi)難恢復(fù)中心的構(gòu)建和管理不當(dāng)，則交易數(shù)據(jù)受損時(shí)將無法恢復(fù)該系統(tǒng)，從而導(dǎo)致電力交易組織的運(yùn)營基礎(chǔ)崩潰，并對(duì)社會(huì)造成不利影響。3.數(shù)據(jù)安全控制措施探究3.1外部盜竊風(fēng)險(xiǎn)控制為了應(yīng)對(duì)外部入侵造成的數(shù)據(jù)安全風(fēng)險(xiǎn)，電力交易機(jī)構(gòu)需要建立嚴(yán)格的外部網(wǎng)絡(luò)入侵管理系統(tǒng)，以改善能夠針對(duì)交易機(jī)構(gòu)進(jìn)行攻擊的黑客和特洛伊木馬的安全系統(tǒng)。同時(shí)，還應(yīng)當(dāng)促使數(shù)據(jù)和信息在網(wǎng)絡(luò)隔離中進(jìn)行處理，并建立基于保密數(shù)據(jù)的嚴(yán)格審批制度。此外嚴(yán)格審批按照相關(guān)制度分類的辦公設(shè)備的維修申請(qǐng)書，以確保維修設(shè)備的維修地點(diǎn)和資格與辦公設(shè)備的維修要求一致。嚴(yán)格處理和批準(zhǔn)處理與機(jī)密有關(guān)的辦公設(shè)備的申請(qǐng)，進(jìn)行統(tǒng)一的備案，以確保保持統(tǒng)一的處置憑證。3.2內(nèi)部泄露風(fēng)險(xiǎn)控制電力交易機(jī)構(gòu)必須與內(nèi)部員工簽訂嚴(yán)格的保密協(xié)議，逐一檢查所有與保密有關(guān)的義務(wù)和后果，形成完整的數(shù)據(jù)安全和保密管理手冊(cè)，以便員工可以有效地學(xué)習(xí)我國相關(guān)的保密法規(guī)。在公司保密制度方面，專職負(fù)責(zé)人需要認(rèn)真對(duì)相關(guān)人員設(shè)定登記、編號(hào)和簽名程序等在內(nèi)的各項(xiàng)措施，使得相關(guān)數(shù)據(jù)載體能夠按照規(guī)定的安全保密等級(jí)和渠道分可靠的傳遞。最后，電力交易機(jī)構(gòu)應(yīng)當(dāng)組建專職的保密宣傳部門，進(jìn)行數(shù)據(jù)安全持續(xù)的宣傳和執(zhí)法，對(duì)保密政策和新政策進(jìn)行定期的培訓(xùn)，并進(jìn)行相關(guān)測試。3.3信息披露風(fēng)險(xiǎn)控制電力交易機(jī)構(gòu)對(duì)市場主體建立嚴(yán)格的信息公開制度，明確了公開目標(biāo)、內(nèi)容、頻率和方式，并控制市場主體交易的個(gè)人信息。同時(shí)應(yīng)加強(qiáng)保密措施，以使交易不受影響，確保能夠公開、公平和公正。電力交易機(jī)構(gòu)的交易公告和交易結(jié)果必須及時(shí)提交給政府監(jiān)管機(jī)構(gòu)。及時(shí)、準(zhǔn)確地收集電力交易業(yè)務(wù)信息數(shù)據(jù)，并按照規(guī)定的期限進(jìn)行分析和匯總，全面審查電力交易運(yùn)營信息，以確保該信息滿足電力交易運(yùn)營評(píng)估要求。3.4信息系統(tǒng)設(shè)備管理風(fēng)險(xiǎn)控制電力交易機(jī)構(gòu)應(yīng)當(dāng)明確信息系統(tǒng)設(shè)備的訪問權(quán)限表，嚴(yán)格控制信息系統(tǒng)設(shè)備管理監(jiān)督機(jī)構(gòu)的建立和批準(zhǔn)，并定期檢查和監(jiān)督信息系統(tǒng)設(shè)備的訪問。同時(shí)必須建立嚴(yán)格的交易數(shù)據(jù)災(zāi)難恢復(fù)管理系統(tǒng)，明確數(shù)據(jù)備份和恢復(fù)機(jī)制，并指定數(shù)據(jù)備份的頻率、方法、介質(zhì)和范圍。系統(tǒng)管理員應(yīng)遵循“數(shù)據(jù)備份和恢復(fù)”操作過程來定期對(duì)冗余的數(shù)據(jù)進(jìn)行備份并適當(dāng)?shù)膭h除相關(guān)的無用數(shù)據(jù)。4.總結(jié)作為電力系統(tǒng)的新組織，電力交易機(jī)構(gòu)承擔(dān)著重要的任務(wù)。通過分析，一方面電網(wǎng)公司的風(fēng)險(xiǎn)管理和內(nèi)部控制系統(tǒng)可為其數(shù)據(jù)安全風(fēng)險(xiǎn)管理借鑒較多管理經(jīng)驗(yàn)，但另一方面電力交易機(jī)構(gòu)本質(zhì)上是交易電力資源的商品交易機(jī)構(gòu)，與其他電力系統(tǒng)公司在管理和控制方面存在重大差異。因此，電力交易機(jī)構(gòu)的數(shù)據(jù)安全風(fēng)險(xiǎn)控制既需要學(xué)習(xí)其他商品交易機(jī)構(gòu)的風(fēng)險(xiǎn)管理和內(nèi)部控制的理論，有需要對(duì)現(xiàn)存風(fēng)險(xiǎn)進(jìn)行有效的識(shí)別與控制，進(jìn)而提升分析與保護(hù)電力交易數(shù)據(jù)安全