浅析电力交易机构数据安全风险防控

浅析电力交易机构数据安全风险防控

王阳

江苏电力交易中心 江苏 南京 210008

摘要：作为电力系统的新运营实体，电力交易机构面临着数据的安全风险。电力交易机构的数据安全风险可分为五类主要风险：外部盗窃、内部泄漏、信息泄露、通信设备安全和安全教育。为了应对上述风险，电力交易机构必须建立一套完善的管理控制体系，确保数据安全。

关键词：电力交易机构，数据，安全风险，防控

引言：电力交易机构是根据政府批准的法规和市场规律提供电力市场交易服务，其出发点并不是基于商业目的，而是主要负责电力市场的建设和运营，从而逐步促进电力市场一体化，使市场在资源配置中起决定性作用，促进国家电力市场体系的建立和能源的大规模优化。

1.电力交易机构的风险

电力交易机构是市场主体可以参与电力交易的重要服务平台和窗口。该交易平台具有同时进行多品种、多期限交易的能力，有效地支持了电力市场的运行，促进市场健康发展。由于电力交易机构与电力系统中的其他公司之间存在一定的差异^[1]。因此，电力交易机构的风险除了具有电网公司和商品交易机构的特征外，还更加复杂。与一般电力公司相比，电力交易机构具有商品交易机构的风险特征，主要侧重于数据安全和维护交易平台^[2]。本文重点探究电力交易机构的数据安全风险，从而能够更好地反映商品交易机构的数据风险特征。电力交易机构的数据安全风险是指由于某些敏感或机密数据遭受例如硬件故障、断电、崩溃、人为、程序缺陷、病毒或黑客而导致的数据库损坏或数据丢失，使得那些未经授权的人员或操作员可以阅读该数据信息，产生数据泄漏。因此，数据安全对电力交易机构的重要性比对其他电力公司更为重要，并且数据安全问题可能会带来非常严重的后果。

2.数据安全风险分析

2.1外部盗窃的风险

外部盗窃风险是指外部人员未经授权或不当授权对电力交易数据进行阅读或获取而采取的入侵攻击，造成数据存储介质丢失、失窃以及交易数据泄漏的风险。电力交易平台的运营基于互联网，市场成员通过注册端口提交运营交易。如果电力交易机构的信息系统终端受到黑客、特洛伊木马、病毒等的外部攻击，则存在交易数据泄漏的风险。

2.2内部泄露的风险

内部泄露的风险是指由于缺乏内部人员缺乏相关数据保护意识，不当的使用电力交易信息而导致交易信息泄露的风险。如果电力交易机构没有明确规定交易数据的保密级别和相关人员能使用权利管理要求，内部员工将无法有效遵照国家保密法律法规、公司保密制度等对电力交易数据实施日常的保密工作，更无法对其建立有效的科学认知。因此，如果员工不恰当地关注所接触的商业秘密和敏感信息，并且未采取适当的保护措施，则存在内部员工泄漏交易数据的风险。

2.3信息不当披露的风险

与其他公共事业机构相比，电力交易机构对于信息的披露要求更为复杂。一方面，电力交易机构必须及时、准确地向市场成员发送交易信息，另一方面还需要定期向政府监管机构报告周期内总体交易信息。外部信息披露不当将导致数据安全风险。如果交易实体没有及时、准确地向市场实体披露信息，则某些市场实体可能无法及时接收交易信息或接收到不正确信息，从而导致权力交易的不公平风险以及面临声誉和公众舆论的风险。

2.4信息系统设备管理的风险

电力交易机构的数据不仅可以从操作平台系统获取，而且还可以从信息系统的主机设备读取。当出现工作人员拥有信息系统设备的最高权限时，由于人为从信息系统设备中复制和删除交易数据，产生电力交易数据丢失和信息数据泄漏的风险。数据安全不仅应考虑泄漏的风险，还应考虑信息系统灾难恢复管理不当的风险。如果信息系统灾难恢复中心的构建和管理不当，则交易数据受损时将无法恢复该系统，从而导致电力交易组织的运营基础崩溃，并对社会造成不利影响。

3.数据安全控制措施探究

3.1外部盗窃风险控制

为了应对外部入侵造成的数据安全风险，电力交易机构需要建立严格的外部网络入侵管理系统，以改善能够针对交易机构进行攻击的黑客和特洛伊木马的安全系统。同时，还应当促使数据和信息在网络隔离中进行处理，并建立基于保密数据的严格审批制度。此外严格审批按照相关制度分类的办公设备的维修申请书，以确保维修设备的维修地点和资格与办公设备的维修要求一致。严格处理和批准处理与机密有关的办公设备的申请，进行统一的备案，以确保保持统一的处置凭证。

3.2内部泄露风险控制

电力交易机构必须与内部员工签订严格的保密协议，逐一检查所有与保密有关的义务和后果，形成完整的数据安全和保密管理手册，以便员工可以有效地学习我国相关的保密法规。在公司保密制度方面，专职负责人需要认真对相关人员设定登记、编号和签名程序等在内的各项措施，使得相关数据载体能够按照规定的安全保密等级和渠道分可靠的传递。最后，电力交易机构应当组建专职的保密宣传部门，进行数据安全持续的宣传和执法，对保密政策和新政策进行定期的培训，并进行相关测试。

3.3信息披露风险控制

电力交易机构对市场主体建立严格的信息公开制度，明确了公开目标、内容、频率和方式，并控制市场主体交易的个人信息。同时应加强保密措施，以使交易不受影响，确保能够公开、公平和公正。电力交易机构的交易公告和交易结果必须及时提交给政府监管机构。及时、准确地收集电力交易业务信息数据，并按照规定的期限进行分析和汇总，全面审查电力交易运营信息，以确保该信息满足电力交易运营评估要求。

3.4信息系统设备管理风险控制

电力交易机构应当明确信息系统设备的访问权限表，严格控制信息系统设备管理监督机构的建立和批准，并定期检查和监督信息系统设备的访问。同时必须建立严格的交易数据灾难恢复管理系统，明确数据备份和恢复机制，并指定数据备份的频率、方法、介质和范围。系统管理员应遵循“数据备份和恢复”操作过程来定期对冗余的数据进行备份并适当的删除相关的无用数据。

4.总结

作为电力系统的新组织，电力交易机构承担着重要的任务。通过分析，一方面电网公司的风险管理和内部控制系统可为其数据安全风险管理借鉴较多管理经验，但另一方面电力交易机构本质上是交易电力资源的商品交易机构，与其他电力系统公司在管理和控制方面存在重大差异。因此，电力交易机构的数据安全风险控制既需要学习其他商品交易机构的风险管理和内部控制的理论，有需要对现存风险进行有效的识别与控制，进而提升分析与保护电力交易数据安全性的能力水平。

参考文献：
[1]张显,史连军.中国电力市场未来研究方向及关键技术[J].电力系统自动化,2020,44(16):1-11.
[2]迈克尔·G.波利特,杨宗翰,陈浩.电力改革:国际经验与中国选择[J].财经智库,2017,2(04):5-83+140.