山西电力交易中心有限公司 山西 太原 030021
摘要:近些年,随着人们生活水平的提高,对各个行业的要求不断提高。目前,电力交易机构作为电力体系新的运营主体,其核心风险是数据安全风险。电力交易机构数据安全风险可以细分为外部窃密、内部失泄密、信息披露、通信设备安全和安全教育五大类风险。针对上述风险,电力交易机构应建立全方位管控体系以保证数据安全。
关键词:电力市场;数据安全;风险管理
引言
随着信息技术的发展,信息化已成为企业转型升级必不可少的一项重要举措。但同时信息化也面临着潜在的信息安全问题。本文通过对电网技术发展趋势的研究,总结了人为失误、计算机系统威胁等六方面的网络安全威胁,严重影响企业信息化进程。因此,保障企业信息安全,构建信息安全体系架构成为信息化过程中的重要议题。
1电力交易机构的风险特征
电力交易机构作为各市场主体参与市场交易的重要服务平台和窗口,交易平台具备了同时开展多品种多周期交易的运营能力,有效支撑了电力市场的运营,为促进市场健康发展发挥了重要作用。从公司经营性质出发分析,电力交易机构与电力体系的其他企业存在本质区别。因此,电力交易机构的风险同时具备电网企业和商品交易机构两个维度的特点,且更为复杂。与一般电力企业相比,电力交易机构具有商品交易机构的风险特性,主要集中在数据安全和交易平台维护上。本文将对电力交易机构体现商品交易机构特性的数据安全风险进行探讨,以为更好地开展电力交易机构风控工作提供一些技术支持和参考。
2电力交易机构数据安全风险分析
2.1企业信息化安全评估
通过调查研究,本文从风险控制、安全管理和安全技术三方面评估案例企业信息化安全水平与国际标准和国家等保三级要求的差距。在风险控制方面,主要存在12个风险控制点,并按照风险发生概率和影响力,分为特大风险、重大风险和一般风险。
在安全管理方面,本文参照国际标准组织制定的ISMS相关安全控制点进行评估,发现电力企业有6个方面与国际标准存在一定差距。在信息安全策略上,管理者对信息安全方针的评审、批准、发布与传达不到位;在信息安全组织上,组织架构不完善,职责界定不清晰,与特定利益团队联系不密切;在资产管理上,信息资产编制没有进行全生命周期跟踪,资产使用规则执行不佳;在供应商管理上,未形成良好的管理机制,未定期监测、审查供应商的服务,针对供应商服务变更调整信息安全工作的周期较长;在信息安全事件管理上,管理职责和程序不清晰,难以快速响应信息安全事件,报告安全弱点,透彻分析事故原因;在业务连续性管理上,没有制定配套的管理措施,定期的信息安全连续性控制核实不到位,在不利情况下的效力水平没有达到相应标准。
在安全技术方面,本文发现案例企业安全技术使用率较高,已经达到定义级标准,但与国家等保三级安全技术框架仍存在灾备建设、身份认证、访问控制、内容安全、安全运营五方面的差距。总的来看,中国电力企业在电力交易信息化过程中,已经初步具备保障信息安全的能力。但在运维管理、安全控制和灾备建设等关系重大的风险控制方面,仍然有待提升。
2.2内部失泄密风险
内部泄密风险是指由于内部人员认识不足,不当接触和使用电力交易数据,导致交易数据泄露引发的风险。如果交易机构没有明确指定交易数据密级和接触授权管理要求,内部员工未能有效掌握国家保密法律法规、公司保密规章制度和企业密级范围目录,对日常保密工作缺乏足够的了解,可能导致对日常工作中接触的企业秘密、敏感信息重视不足,没有执行相应的保护措施,将引发内部员工泄露交易数据的风险。
3电力交易机构数据安全控制措施思考
3.1基于安全架构愿景的智能安全视图
加德纳安全自适应架构是国际主流认可的安全架构指导方案,其提出的自适应四阶段防御系统阐述了信息安全架构的四个关键能力:防御能力、检测能力、回溯能力、预测能力。
智能安全视图基于加德纳自适应安全架构要求,能够有效帮助企业建立可持续的信息化安全架构。安全战略将基于业务要求、安全标准和合规要求进行整体规划,使安全战略可以直接有效地对各层级提供向导。安全协同可以联系身份认证、访问控制、内容安全、响应恢复和审计跟踪等流程,有效协调安全信息框架的一致性运行。安全威胁管理,包括对外部病毒和恶意攻击以及内部操作失误等威胁的管理,能够建立合适的进入认证机制和漏洞识别和修复制度,定期检查系统运行状况,培养用户安全意识。综合上述模块,将各类安全情报集中分析,实时高效的寻找信息系统运行中的各类安全状况,反馈回安全信息管理。最后,构建主动防御能力,保护核心资产、扩展资产。
3.2内部失泄密风险控制
电力交易机构应与涉密员工签订严格的保密协议,并对所有涉密义务和后果进行逐条确认,并制定数据安全及涉密管理手册,以协助员工有效掌握国家保密法律法规和公司保密规章制度,由专人对涉密载体认真履行清点、登记、编号、签收等手续,确保涉密载体通过安全可靠途径,按密级、分渠道进行传递。最后,电力交易机构应专门制作单位保密宣传材料,进行持续性宣贯,定期进行保密政策和新政策的解读培训并开展相关测试。
3.3软件和应用安全
软件和应用安全可以确定安全开发和保护自定义应用和商业应用。对于电力交易信息系统来说,该功能可以为基于Web的应用程序提供充足的措施来保护不受攻击和外部威胁,通过各种不同的技术和业务实践来减少对移动应用的攻击风险,保护其不受未经授权的浏览、篡改或修改的影响,并从整个安全开发生命周期出发,通过可重复和可测量的过程确保应用程序或软件具有弹性和可靠性,有助于避免在应用程序开发完成后造成缺陷。
3.4数据安全事件通知制度
草案规定了开展数据活动,发生数据安全事件时,应当按照规定及时告知用户并向有关主管部门报告。该制度并非数据安全法首创,《网络安全法》第42条也有类似的规定⑦。但自2017年实施以来,《网络安全法》规定的有关主管部门的具体指向、需报告的具体内容以及报告的时限要求等均未明确,这直接导致《网络安全法》规定的通知制度在实践中未能有效执行。与《网络安全法》第42条相比,草案扩大了义务主体范围及触发通知程序的范围,前者由网络运营者变为所有数据处理者,后者由个人信息泄露、毁损、丢失的情况变为数据安全事件。若不对目前的条文进行细化规定,恐将也难以落地执行。
结语
电力交易机构作为电力体系一个新的组织机构,被赋予了重要的使命。其一方面能够从电网公司的风险管理和内部控制体系汲取大量的管理经验;另一方面,我们也意识到电力交易机构本质上一个以电力资源为交易对象的商品交易机构,其在风险及其管控上与其他电力体系企业存在较大差异。因此,我们从其他商品交易机构的风险管理和内部控制理论中学习经验,将交易数据安全认定为电力交易机构的核心风险,从外部窃密、内部失泄密、对外信息披露、信息系统设备和数据安全教育五个维度去细化分析,保护电力交易的数据安全。
参考文献
[1]杨民.电力系统信息通信的网络安全及防护[J].科技创新与应用,2019(36):137-138.
[2]邓健,衣涛,王承民.我国跨区跨省电力交易引起的安全风险分析[J].华北电力大学学报(社会科学版),2015(04):31-36.
[3]黄彦浩,于之虹,谢昶,等.电力大数据技术与电力系统仿真计算结合问题研究[J].中国电机工程学报,2015,35(1):13-22.
[4]彭小圣,邓迪元,程时杰,等.面向智能电网应用的电力大数据关键技术[J].中国电机工程学报,2015,35(3):503-511.