（成都工業(yè)學(xué)院，成都市，610041）

耦合是源于物理學(xué)的一個(gè)概念，是指多個(gè)具有內(nèi)在聯(lián)系的子系統(tǒng)或運(yùn)動(dòng)方式之間通過各種相互作用彼此影響以至于聯(lián)合起來，在一定的條件下能夠形成更高級(jí)別更復(fù)雜的機(jī)構(gòu)功能體[1]。良好的系統(tǒng)耦合狀態(tài)可以使系統(tǒng)內(nèi)部各個(gè)要素配置更加合理，系統(tǒng)功能更加趨于完善，推動(dòng)新的耦合系統(tǒng)的產(chǎn)生。

演化機(jī)制是指造成系統(tǒng)的結(jié)構(gòu)、狀態(tài)、特性、行為、功能等隨著時(shí)間的推移而發(fā)生的變化的子系統(tǒng)或因素的構(gòu)造、功能及其相互關(guān)系。

1 石油企業(yè)IT風(fēng)險(xiǎn)事件及其演化的誘因耦合模型

石油企業(yè)內(nèi)部有很多種風(fēng)險(xiǎn)，不同風(fēng)險(xiǎn)的不同耦合結(jié)果會(huì)使企業(yè)處于不同的風(fēng)險(xiǎn)狀態(tài)，風(fēng)險(xiǎn)流的由弱到強(qiáng)直至突破企業(yè)的安全風(fēng)險(xiǎn)閾值也需要一定的過程和時(shí)間，風(fēng)險(xiǎn)與各業(yè)務(wù)流程和功能節(jié)點(diǎn)的相互作用，導(dǎo)致風(fēng)險(xiǎn)流量與風(fēng)險(xiǎn)性質(zhì)由量變到質(zhì)變也需要時(shí)間。這提供了控制風(fēng)險(xiǎn)的可能，企業(yè)可采取阻斷強(qiáng)偶合風(fēng)險(xiǎn)流的擴(kuò)散與傳導(dǎo)，切斷風(fēng)險(xiǎn)流相互作用、相互耦合的途徑等適當(dāng)措施來控制風(fēng)險(xiǎn)[2]。

在對(duì)石油企業(yè)IT風(fēng)險(xiǎn)事件的誘因耦合與演化機(jī)制沒有完整清晰的認(rèn)識(shí)之前，就無法對(duì)事件的傳導(dǎo)和變異過程進(jìn)行識(shí)別，不能有針對(duì)性的、有效的實(shí)施IT風(fēng)險(xiǎn)管理，因此有必要首先研究石油企業(yè)IT風(fēng)險(xiǎn)事件誘因耦合與演化機(jī)制模型。

1.1 石油企業(yè)的IT風(fēng)險(xiǎn)與IT風(fēng)險(xiǎn)事件

石油企業(yè)工業(yè)化和信息化深度融合以后，IT風(fēng)險(xiǎn)事件逐年增加，成為了影響石油企業(yè)生產(chǎn)運(yùn)營的重要因素之一。IT風(fēng)險(xiǎn)（IT Risk），國際信息系統(tǒng)審計(jì)協(xié)會(huì)（ISACA）的定義是“在企業(yè)內(nèi)使用、擁有、操作、參與、應(yīng)用信息科技所造成的業(yè)務(wù)風(fēng)險(xiǎn)”，IT風(fēng)險(xiǎn)事件,ISACA的定義是“與IT相關(guān)的事件，導(dǎo)致運(yùn)營、發(fā)展和/或戰(zhàn)略業(yè)務(wù)的影響”[3]。與此定義相關(guān)的概念是“信息安全”，國際標(biāo)準(zhǔn)化組織ISO對(duì)信息安全的定義為“數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件、數(shù)據(jù)不因偶然的或惡意的原因而受到破壞、更改、泄漏”[4]，《信息安全事件管理指南》對(duì)“信息安全事件”的定義是“由單個(gè)或一系列意外或有害的信息安全事態(tài)所組成的，極有可能危害業(yè)務(wù)運(yùn)行和威脅信息安全”[5]。從定義上看，二者相近，但信息安全主要關(guān)注信息資產(chǎn)的保密性、完整性和可用性（CIA三性），而IT風(fēng)險(xiǎn)關(guān)注所有因信息科技的應(yīng)用而帶來的、可能影響業(yè)務(wù)目標(biāo)實(shí)現(xiàn)的各種風(fēng)險(xiǎn)，因此對(duì)IT的應(yīng)用或IT部門，信息安全沒有IT風(fēng)險(xiǎn)全面，后者通常包含了前者[6]。

工業(yè)信息安全事件庫RISI收錄的全球因工業(yè)控制系統(tǒng)IT風(fēng)險(xiǎn)而造成損失的重大安全事故有300多起，其中石油企業(yè)36起[7]。中石油也有類似的統(tǒng)計(jì)數(shù)據(jù)，例如北京石油調(diào)控中心統(tǒng)計(jì)的其下轄自控通信系統(tǒng)故障僅2014年就發(fā)生近1 200次，其中自動(dòng)化系統(tǒng)故障491次，通信系統(tǒng)故障683次。分析IT風(fēng)險(xiǎn)事件，厘清IT風(fēng)險(xiǎn)事件的原因及各因素之間演化機(jī)理，對(duì)石油企業(yè)IT風(fēng)險(xiǎn)管理有重要的意義。

1.2 石油企業(yè)IT風(fēng)險(xiǎn)事件演化的誘因耦合模型

風(fēng)險(xiǎn)事件不同，風(fēng)險(xiǎn)屬性各異，風(fēng)險(xiǎn)流會(huì)沿著一定的傳導(dǎo)路徑到達(dá)企業(yè)系統(tǒng)的各業(yè)務(wù)流程和功能節(jié)點(diǎn)，企業(yè)不同的業(yè)務(wù)流程和業(yè)務(wù)節(jié)點(diǎn)對(duì)不同性質(zhì)風(fēng)險(xiǎn)的會(huì)有反應(yīng)和作用力，在風(fēng)險(xiǎn)流的速度與流量均未超過企業(yè)所能承受的風(fēng)險(xiǎn)安全臨界值時(shí)，風(fēng)險(xiǎn)會(huì)作一種特殊的力量蘊(yùn)藏在企業(yè)中，并隨時(shí)間推移，自行消化。當(dāng)由于風(fēng)險(xiǎn)事件導(dǎo)致風(fēng)險(xiǎn)源與其穩(wěn)定的理想狀態(tài)發(fā)生偏移時(shí)，風(fēng)險(xiǎn)流的大小或者速度超過了企業(yè)能承受的風(fēng)險(xiǎn)安全閥值時(shí)，企業(yè)的風(fēng)險(xiǎn)就會(huì)爆發(fā)，并迅速在企業(yè)內(nèi)部傳導(dǎo)、蔓延。在風(fēng)險(xiǎn)傳導(dǎo)的過程中，風(fēng)險(xiǎn)耦合的不同結(jié)果對(duì)企業(yè)產(chǎn)生不同的影響，決定耦合效應(yīng)不同狀態(tài)的兩個(gè)重要因素是不同業(yè)務(wù)流程或功能節(jié)點(diǎn)間的關(guān)聯(lián)度以及不同風(fēng)險(xiǎn)性質(zhì)間的匹配度。風(fēng)險(xiǎn)的耦合一般有三種情況：一是純耦合，指的是不同風(fēng)險(xiǎn)的耦合程度為零，企業(yè)整體風(fēng)險(xiǎn)流量值不變，整個(gè)系統(tǒng)風(fēng)險(xiǎn)狀態(tài)未變；二是弱耦合，指的是兩種風(fēng)險(xiǎn)流之間呈負(fù)相關(guān)，不同的風(fēng)險(xiǎn)流在傳導(dǎo)過程中至少有一方減弱，使企業(yè)總體風(fēng)險(xiǎn)流量值減少；三是強(qiáng)耦合，是指不同屬性的風(fēng)險(xiǎn)流在傳導(dǎo)過程中發(fā)生相互作用，企業(yè)整體風(fēng)險(xiǎn)流量增強(qiáng)[8]。

在石油企業(yè)IT風(fēng)險(xiǎn)形成的過程中，作用于風(fēng)險(xiǎn)事件上的各環(huán)節(jié)在因素上彼此之間相互關(guān)聯(lián)，相互匹配，因此各種風(fēng)險(xiǎn)因素會(huì)在石油企業(yè)IT風(fēng)險(xiǎn)事件中互相影響、互相作用，石油企業(yè)IT風(fēng)險(xiǎn)因素發(fā)生的不確定性和引發(fā)的影響的補(bǔ)確定性，改變了石油企業(yè)IT風(fēng)險(xiǎn)事件的風(fēng)險(xiǎn)的流量和性質(zhì)。在IT風(fēng)險(xiǎn)事件演化過程中，各種誘因耦合的關(guān)系模型如圖1所示。

圖1 IT風(fēng)險(xiǎn)事件演化的誘因耦合模型

2 石油企業(yè)IT風(fēng)險(xiǎn)事件的演化規(guī)律

下面以中石油北京石油調(diào)控中心統(tǒng)計(jì)的，2015年蘭鄭長管道蘭咸段緊急停車（ESD）事件為例，分析其誘因耦合與演化機(jī)制：首先探討事件發(fā)生的過程，歸納各階段的特征，將IT風(fēng)險(xiǎn)事件分階段研究，然后用誘因耦合理論與方法了解其演化機(jī)理，最后闡釋石油企業(yè)IT風(fēng)險(xiǎn)事件演化的過程，并對(duì)事件各階段演化機(jī)制進(jìn)行了刻畫。

2.1 IT風(fēng)險(xiǎn)事件誘因耦合關(guān)系

事件經(jīng)過：2015年2月某日，蘭鄭長管道蘭咸段運(yùn)行時(shí)，咸陽分公司技術(shù)人員在16#閥室巡檢時(shí)發(fā)現(xiàn)RTU的CPU死機(jī)，引起各項(xiàng)運(yùn)行參數(shù)為死數(shù)，在恢復(fù)數(shù)據(jù)時(shí)出現(xiàn)ESD閥假關(guān)閉信號(hào)，觸發(fā)了蘭咸段ESD緊急停輸，后經(jīng)反復(fù)重啟CPU，現(xiàn)場數(shù)據(jù)及設(shè)備狀態(tài)采集恢復(fù)，最后故障解除，本次事件導(dǎo)致蘭咸段停輸兩個(gè)多小時(shí)，管道內(nèi)混油增加。

源誘因素：在整個(gè)事件的演化過程中，CPU死機(jī)、系統(tǒng)缺陷、技術(shù)人員能力素質(zhì)、管理人員疏忽、管理松懈等因素相互耦合，最終造成了這次事件的發(fā)生。CPU不會(huì)無緣無故的死機(jī)，是由一些因素造成的，比如硬件故障、程序錯(cuò)誤等，這些因素誘導(dǎo)了CPU死機(jī)，它們被稱為源誘因素。

非源誘因：在這次事件中，如技術(shù)人員采取的檢查硬件、查找程序錯(cuò)誤、重啟CPU等措施干預(yù)CPU的行為，可稱為非源誘因，非源誘因包括系統(tǒng)缺陷、技術(shù)人員能力素質(zhì)、管理人員疏忽、管理松懈等。

2.2 IT風(fēng)險(xiǎn)事件的演化規(guī)律

這次事件的起因是技術(shù)人員在16#閥室巡檢時(shí)發(fā)現(xiàn)數(shù)據(jù)不更新，RTU的CPU死機(jī)，巡檢的技術(shù)人員找不到事件的原因，要求重新啟動(dòng)CPU，中控的值班人員詢問得到的答復(fù)是重啟不會(huì)改變閥門狀態(tài)，要求將閥門打就地狀態(tài)后，同意其斷電重新啟動(dòng)；重新啟動(dòng)后，SCADA監(jiān)視界面報(bào)警，隨后PLC鏈接出現(xiàn)故障報(bào)警，蘭州站601#給油泵、401#、402#、403#主泵，關(guān)山站401#主泵全部甩泵。中控隨即發(fā)現(xiàn)16#閥室狀態(tài)改變，并觸發(fā)蘭咸段ESD，立即全開首站610#回流閥進(jìn)行給油泵出口管匯泄壓，中控值班調(diào)度及時(shí)匯報(bào)值班調(diào)度長并迅速聯(lián)系現(xiàn)場檢修人員，現(xiàn)場回復(fù)不了解具體觸發(fā)ESD的原因。最后只有反復(fù)刷新16#閥室CPU及遠(yuǎn)程機(jī)架配置，RTU恢復(fù)正常，現(xiàn)場數(shù)據(jù)及設(shè)備狀態(tài)采集恢復(fù)，而后請(qǐng)示值班調(diào)度長后恢復(fù)運(yùn)行。

由此，可以看出事件發(fā)生的階段性，由各種原因引起CPU死機(jī)是第一階段；CPU死機(jī)需要重啟，重啟后引發(fā)SCADA報(bào)警，隨后PLC連接出現(xiàn)故障警報(bào)是第二階段；而后蘭州站601#給油泵、401#、402#、403#主泵，關(guān)山站401#主泵全部甩泵，蘭咸段ESD是第三階段。如果事件最后沒有得到控制，沒有及時(shí)給出口管匯泄壓，會(huì)造成管匯壓力增加，管道泄漏甚至爆炸，造成安全事故。某一原因或幾個(gè)原因?qū)е聰?shù)據(jù)不更新、CPU死機(jī)，這一個(gè)原因或幾個(gè)原因就是源誘因。事件的發(fā)生不一定是按照階段性順序發(fā)展的，還有躍遷性，CPU死機(jī)也有可能直接導(dǎo)致ESD。

2.3 IT風(fēng)險(xiǎn)事件的誘因耦合與演化機(jī)制

結(jié)合案例可以看出，CPU死機(jī)本來是一件很小的事件，但是它與系統(tǒng)誘因、技術(shù)誘因、人員誘因、管理誘因進(jìn)行耦合，導(dǎo)致CPU死機(jī)事件危險(xiǎn)性的增加與減小。

源誘因向第一階段演化。源誘因有可能是硬件故障、程序錯(cuò)誤、故意破壞或是病毒感染等，這些因素的一個(gè)或者幾個(gè)相互作用，發(fā)生耦合，導(dǎo)致CPU死機(jī)。事件第一階段向第二階段演化。在這個(gè)階段暴露了幾個(gè)問題，一是，現(xiàn)場技術(shù)人員沒有找到CPU死機(jī)的原因，沒能及時(shí)排除故障，如果能找到原因及時(shí)排除故障，就不會(huì)有事件的進(jìn)一步發(fā)展；二是中控人員麻痹大意，在和現(xiàn)場確認(rèn)不會(huì)引起閥位狀態(tài)改變，將閥位打就地后，草率同意進(jìn)行相關(guān)操作，這些非源誘因作用于CPU死機(jī)事件上，并與之耦合，加劇了事件的嚴(yán)重性，推動(dòng)事件向更嚴(yán)重的方向發(fā)展。事件第二階段向第三階段演化，SCADA和PLC已經(jīng)報(bào)警，但是值班人員未對(duì)16#閥室ESD程序進(jìn)行屏蔽，此時(shí)，系統(tǒng)缺陷顯現(xiàn)出來，RTU中的數(shù)據(jù)死機(jī)，但是RTU并未死機(jī)，且上位機(jī)與RTU通信正常，這種情況不應(yīng)該出現(xiàn)，并且在整個(gè)事件過程中，該作業(yè)未按照規(guī)定上報(bào)PPS系統(tǒng)，未經(jīng)請(qǐng)示值班調(diào)度長。這些誘因、偶然的因素和必然的因素加起來，進(jìn)行耦合，主導(dǎo)事件的發(fā)展。以上討論的是事件連續(xù)性特征下的耦合與演化機(jī)制，事件躍遷性的誘因耦合與演化機(jī)制，是源誘因與技術(shù)誘因、管理誘因、系統(tǒng)誘因的一種或幾種發(fā)生耦合，使得事件的演化表現(xiàn)出不同的躍遷狀態(tài)[9]。

3 對(duì)石油企業(yè)IT風(fēng)險(xiǎn)管理的啟示

通過典型案例的分析和對(duì)石油企業(yè)IT風(fēng)險(xiǎn)事件誘因耦合與演化機(jī)制的研究，可以得到以下三個(gè)方面石油企業(yè)IT風(fēng)險(xiǎn)管理的啟示。

3.1 嚴(yán)格流程化管理

所謂流程化管理就是以流程為主線的管理方法，從上面的事件案例可以看出，石油企業(yè)IT風(fēng)險(xiǎn)管理是個(gè)整體概念，因?yàn)槿魏我惶幊霈F(xiàn)安全問題，都會(huì)影響整個(gè)IT系統(tǒng)的安全，IT風(fēng)險(xiǎn)事件的發(fā)生從源誘因開始到事件發(fā)展到第三階段，具有一定的連續(xù)性，可以視為一個(gè)流程。流程化管理就是打破原有僵化的管理模式，實(shí)現(xiàn)職能的統(tǒng)一，消除了有令不行、執(zhí)行不力、相互推諉的問題，使IT風(fēng)險(xiǎn)管理職責(zé)分明、責(zé)任清楚，達(dá)到管理的運(yùn)行有序和效率的提高。系統(tǒng)化管理就是全面科學(xué)地對(duì)管理內(nèi)容進(jìn)行細(xì)化、明確其職能和崗位職責(zé)，具體到石油企業(yè)里，就是要從系統(tǒng)的觀點(diǎn)出發(fā)，著重從IT風(fēng)險(xiǎn)管理的整體與部分、整體與外部環(huán)境之間、部分與部分之間的相互作用和相互制約的關(guān)系中考察，從而達(dá)到最佳的管控石油企業(yè)IT風(fēng)險(xiǎn)的目的。嚴(yán)格流程化、系統(tǒng)化管理即是現(xiàn)代管理的要求，也是適合石油企業(yè)IT風(fēng)險(xiǎn)管理的最佳方法。

3.2 注重IT風(fēng)險(xiǎn)事件的識(shí)別與評(píng)估

IT系統(tǒng)面臨的安全問題越來越嚴(yán)峻，對(duì)企業(yè)IT系統(tǒng)的攻擊漸漸向有組織、有目的方向發(fā)展，一個(gè)穩(wěn)定的企業(yè)IT系統(tǒng)已成為能否正常運(yùn)營的基本條件，同時(shí)，國家的監(jiān)管部門也對(duì)企業(yè)的IT風(fēng)險(xiǎn)管理提了很多規(guī)范要求，包括IT數(shù)據(jù)、流程、應(yīng)用和基礎(chǔ)結(jié)構(gòu)的完整性、可靠性和準(zhǔn)備性。石油企業(yè)IT風(fēng)險(xiǎn)管理首先要判斷IT系統(tǒng)存在什么樣的安全問題，也就是對(duì)風(fēng)險(xiǎn)的識(shí)別與評(píng)估，然后才能考到如何處理與修復(fù)。風(fēng)險(xiǎn)識(shí)別就是對(duì)石油企業(yè)可能發(fā)生的IT風(fēng)險(xiǎn)進(jìn)行識(shí)別，并追溯產(chǎn)生風(fēng)險(xiǎn)的原因，對(duì)IT風(fēng)險(xiǎn)進(jìn)行全面的檢查，影響整個(gè)IT系統(tǒng)運(yùn)行的因素有很多，要考慮到各個(gè)影響因素，通過一定的風(fēng)險(xiǎn)識(shí)別方法，全面反映石油企業(yè)IT風(fēng)險(xiǎn)，為風(fēng)險(xiǎn)評(píng)估提供堅(jiān)實(shí)的基礎(chǔ)。對(duì)風(fēng)險(xiǎn)進(jìn)行有效的識(shí)別以后，要按照風(fēng)險(xiǎn)發(fā)生的可能性和對(duì)企業(yè)造成影響的大小、嚴(yán)重性對(duì)風(fēng)險(xiǎn)進(jìn)行評(píng)估。石油企業(yè)IT風(fēng)險(xiǎn)的特征決定了其風(fēng)險(xiǎn)往往不是孤立的，它們之間或是相互影響、相互促進(jìn)、相互消減，具有高度的依賴性和變動(dòng)性，對(duì)石油企業(yè)IT風(fēng)險(xiǎn)評(píng)估要掌握適當(dāng)?shù)姆治龊驮u(píng)價(jià)工具，分析其發(fā)生的可能性和發(fā)生的條件，對(duì)IT系統(tǒng)內(nèi)部、外部環(huán)境，硬件和軟件進(jìn)行綜合評(píng)估。

3.3 注重IT風(fēng)險(xiǎn)事件的預(yù)警研究

石油企業(yè)IT風(fēng)險(xiǎn)無處不在，并且很難量化，盡管可以通過識(shí)別、評(píng)估和控制對(duì)風(fēng)險(xiǎn)加以有效的管理，但是由于風(fēng)險(xiǎn)的不確定性，難以預(yù)測的管理風(fēng)險(xiǎn)仍然存在，要最大限度的降低不確定性引起的風(fēng)險(xiǎn)，必須注重石油企業(yè)IT風(fēng)險(xiǎn)預(yù)警研究。統(tǒng)計(jì)資料表明，越早發(fā)現(xiàn)風(fēng)險(xiǎn)、越早采取措施，則風(fēng)險(xiǎn)管理的成本就越低，給企業(yè)造成的危害就越小，目前，風(fēng)險(xiǎn)管理領(lǐng)域中普遍強(qiáng)調(diào)風(fēng)險(xiǎn)管理的預(yù)測性，對(duì)石油企業(yè)IT風(fēng)險(xiǎn)預(yù)警可以通過定性分析和定量分析兩方面進(jìn)行，石油企業(yè)應(yīng)當(dāng)建立IT風(fēng)險(xiǎn)預(yù)警機(jī)制，明確風(fēng)險(xiǎn)預(yù)警的標(biāo)準(zhǔn)，對(duì)可能發(fā)生的重大風(fēng)險(xiǎn)和突發(fā)事件，制定應(yīng)急預(yù)案、明確責(zé)任人員、規(guī)范處置程序、確保事件得到及時(shí)妥善的處理。

4 結(jié)語

研究表明，石油企業(yè)IT風(fēng)險(xiǎn)事件的演化具有階段性或躍遷性，路徑有一定的規(guī)律可循，研究IT風(fēng)險(xiǎn)事件的誘因耦合與演化機(jī)制可為石油企業(yè)實(shí)施IT風(fēng)險(xiǎn)管理提供一種參考，為石油企業(yè)IT風(fēng)險(xiǎn)管理體系的構(gòu)建帶來很多有益的啟示。