（成都工業(yè)學(xué)院，成都市，610041）

耦合是源于物理學(xué)的一個概念，是指多個具有內(nèi)在聯(lián)系的子系統(tǒng)或運動方式之間通過各種相互作用彼此影響以至于聯(lián)合起來，在一定的條件下能夠形成更高級別更復(fù)雜的機構(gòu)功能體[1]。良好的系統(tǒng)耦合狀態(tài)可以使系統(tǒng)內(nèi)部各個要素配置更加合理，系統(tǒng)功能更加趨于完善，推動新的耦合系統(tǒng)的產(chǎn)生。

演化機制是指造成系統(tǒng)的結(jié)構(gòu)、狀態(tài)、特性、行為、功能等隨著時間的推移而發(fā)生的變化的子系統(tǒng)或因素的構(gòu)造、功能及其相互關(guān)系。

1 石油企業(yè)IT風(fēng)險事件及其演化的誘因耦合模型

石油企業(yè)內(nèi)部有很多種風(fēng)險，不同風(fēng)險的不同耦合結(jié)果會使企業(yè)處于不同的風(fēng)險狀態(tài)，風(fēng)險流的由弱到強直至突破企業(yè)的安全風(fēng)險閾值也需要一定的過程和時間，風(fēng)險與各業(yè)務(wù)流程和功能節(jié)點的相互作用，導(dǎo)致風(fēng)險流量與風(fēng)險性質(zhì)由量變到質(zhì)變也需要時間。這提供了控制風(fēng)險的可能，企業(yè)可采取阻斷強偶合風(fēng)險流的擴散與傳導(dǎo)，切斷風(fēng)險流相互作用、相互耦合的途徑等適當(dāng)措施來控制風(fēng)險[2]。

在對石油企業(yè)IT風(fēng)險事件的誘因耦合與演化機制沒有完整清晰的認識之前，就無法對事件的傳導(dǎo)和變異過程進行識別，不能有針對性的、有效的實施IT風(fēng)險管理，因此有必要首先研究石油企業(yè)IT風(fēng)險事件誘因耦合與演化機制模型。

1.1 石油企業(yè)的IT風(fēng)險與IT風(fēng)險事件

石油企業(yè)工業(yè)化和信息化深度融合以后，IT風(fēng)險事件逐年增加，成為了影響石油企業(yè)生產(chǎn)運營的重要因素之一。IT風(fēng)險（IT Risk），國際信息系統(tǒng)審計協(xié)會（ISACA）的定義是“在企業(yè)內(nèi)使用、擁有、操作、參與、應(yīng)用信息科技所造成的業(yè)務(wù)風(fēng)險”，IT風(fēng)險事件,ISACA的定義是“與IT相關(guān)的事件，導(dǎo)致運營、發(fā)展和/或戰(zhàn)略業(yè)務(wù)的影響”[3]。與此定義相關(guān)的概念是“信息安全”，國際標(biāo)準化組織ISO對信息安全的定義為“數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護，保護計算機硬件、軟件、數(shù)據(jù)不因偶然的或惡意的原因而受到破壞、更改、泄漏”[4]，《信息安全事件管理指南》對“信息安全事件”的定義是“由單個或一系列意外或有害的信息安全事態(tài)所組成的，極有可能危害業(yè)務(wù)運行和威脅信息安全”[5]。從定義上看，二者相近，但信息安全主要關(guān)注信息資產(chǎn)的保密性、完整性和可用性（CIA三性），而IT風(fēng)險關(guān)注所有因信息科技的應(yīng)用而帶來的、可能影響業(yè)務(wù)目標(biāo)實現(xiàn)的各種風(fēng)險，因此對IT的應(yīng)用或IT部門，信息安全沒有IT風(fēng)險全面，后者通常包含了前者[6]。

工業(yè)信息安全事件庫RISI收錄的全球因工業(yè)控制系統(tǒng)IT風(fēng)險而造成損失的重大安全事故有300多起，其中石油企業(yè)36起[7]。中石油也有類似的統(tǒng)計數(shù)據(jù)，例如北京石油調(diào)控中心統(tǒng)計的其下轄自控通信系統(tǒng)故障僅2014年就發(fā)生近1 200次，其中自動化系統(tǒng)故障491次，通信系統(tǒng)故障683次。分析IT風(fēng)險事件，厘清IT風(fēng)險事件的原因及各因素之間演化機理，對石油企業(yè)IT風(fēng)險管理有重要的意義。

1.2 石油企業(yè)IT風(fēng)險事件演化的誘因耦合模型

風(fēng)險事件不同，風(fēng)險屬性各異，風(fēng)險流會沿著一定的傳導(dǎo)路徑到達企業(yè)系統(tǒng)的各業(yè)務(wù)流程和功能節(jié)點，企業(yè)不同的業(yè)務(wù)流程和業(yè)務(wù)節(jié)點對不同性質(zhì)風(fēng)險的會有反應(yīng)和作用力，在風(fēng)險流的速度與流量均未超過企業(yè)所能承受的風(fēng)險安全臨界值時，風(fēng)險會作一種特殊的力量蘊藏在企業(yè)中，并隨時間推移，自行消化。當(dāng)由于風(fēng)險事件導(dǎo)致風(fēng)險源與其穩(wěn)定的理想狀態(tài)發(fā)生偏移時，風(fēng)險流的大小或者速度超過了企業(yè)能承受的風(fēng)險安全閥值時，企業(yè)的風(fēng)險就會爆發(fā)，并迅速在企業(yè)內(nèi)部傳導(dǎo)、蔓延。在風(fēng)險傳導(dǎo)的過程中，風(fēng)險耦合的不同結(jié)果對企業(yè)產(chǎn)生不同的影響，決定耦合效應(yīng)不同狀態(tài)的兩個重要因素是不同業(yè)務(wù)流程或功能節(jié)點間的關(guān)聯(lián)度以及不同風(fēng)險性質(zhì)間的匹配度。風(fēng)險的耦合一般有三種情況：一是純耦合，指的是不同風(fēng)險的耦合程度為零，企業(yè)整體風(fēng)險流量值不變，整個系統(tǒng)風(fēng)險狀態(tài)未變；二是弱耦合，指的是兩種風(fēng)險流之間呈負相關(guān)，不同的風(fēng)險流在傳導(dǎo)過程中至少有一方減弱，使企業(yè)總體風(fēng)險流量值減少；三是強耦合，是指不同屬性的風(fēng)險流在傳導(dǎo)過程中發(fā)生相互作用，企業(yè)整體風(fēng)險流量增強[8]。

在石油企業(yè)IT風(fēng)險形成的過程中，作用于風(fēng)險事件上的各環(huán)節(jié)在因素上彼此之間相互關(guān)聯(lián)，相互匹配，因此各種風(fēng)險因素會在石油企業(yè)IT風(fēng)險事件中互相影響、互相作用，石油企業(yè)IT風(fēng)險因素發(fā)生的不確定性和引發(fā)的影響的補確定性，改變了石油企業(yè)IT風(fēng)險事件的風(fēng)險的流量和性質(zhì)。在IT風(fēng)險事件演化過程中，各種誘因耦合的關(guān)系模型如圖1所示。

圖1 IT風(fēng)險事件演化的誘因耦合模型

2 石油企業(yè)IT風(fēng)險事件的演化規(guī)律

下面以中石油北京石油調(diào)控中心統(tǒng)計的，2015年蘭鄭長管道蘭咸段緊急停車（ESD）事件為例，分析其誘因耦合與演化機制：首先探討事件發(fā)生的過程，歸納各階段的特征，將IT風(fēng)險事件分階段研究，然后用誘因耦合理論與方法了解其演化機理，最后闡釋石油企業(yè)IT風(fēng)險事件演化的過程，并對事件各階段演化機制進行了刻畫。

2.1 IT風(fēng)險事件誘因耦合關(guān)系

事件經(jīng)過：2015年2月某日，蘭鄭長管道蘭咸段運行時，咸陽分公司技術(shù)人員在16#閥室巡檢時發(fā)現(xiàn)RTU的CPU死機，引起各項運行參數(shù)為死數(shù)，在恢復(fù)數(shù)據(jù)時出現(xiàn)ESD閥假關(guān)閉信號，觸發(fā)了蘭咸段ESD緊急停輸，后經(jīng)反復(fù)重啟CPU，現(xiàn)場數(shù)據(jù)及設(shè)備狀態(tài)采集恢復(fù)，最后故障解除，本次事件導(dǎo)致蘭咸段停輸兩個多小時，管道內(nèi)混油增加。

源誘因素：在整個事件的演化過程中，CPU死機、系統(tǒng)缺陷、技術(shù)人員能力素質(zhì)、管理人員疏忽、管理松懈等因素相互耦合，最終造成了這次事件的發(fā)生。CPU不會無緣無故的死機，是由一些因素造成的，比如硬件故障、程序錯誤等，這些因素誘導(dǎo)了CPU死機，它們被稱為源誘因素。

非源誘因：在這次事件中，如技術(shù)人員采取的檢查硬件、查找程序錯誤、重啟CPU等措施干預(yù)CPU的行為，可稱為非源誘因，非源誘因包括系統(tǒng)缺陷、技術(shù)人員能力素質(zhì)、管理人員疏忽、管理松懈等。

2.2 IT風(fēng)險事件的演化規(guī)律

這次事件的起因是技術(shù)人員在16#閥室巡檢時發(fā)現(xiàn)數(shù)據(jù)不更新，RTU的CPU死機，巡檢的技術(shù)人員找不到事件的原因，要求重新啟動CPU，中控的值班人員詢問得到的答復(fù)是重啟不會改變閥門狀態(tài)，要求將閥門打就地狀態(tài)后，同意其斷電重新啟動；重新啟動后，SCADA監(jiān)視界面報警，隨后PLC鏈接出現(xiàn)故障報警，蘭州站601#給油泵、401#、402#、403#主泵，關(guān)山站401#主泵全部甩泵。中控隨即發(fā)現(xiàn)16#閥室狀態(tài)改變，并觸發(fā)蘭咸段ESD，立即全開首站610#回流閥進行給油泵出口管匯泄壓，中控值班調(diào)度及時匯報值班調(diào)度長并迅速聯(lián)系現(xiàn)場檢修人員，現(xiàn)場回復(fù)不了解具體觸發(fā)ESD的原因。最后只有反復(fù)刷新16#閥室CPU及遠程機架配置，RTU恢復(fù)正常，現(xiàn)場數(shù)據(jù)及設(shè)備狀態(tài)采集恢復(fù)，而后請示值班調(diào)度長后恢復(fù)運行。

由此，可以看出事件發(fā)生的階段性，由各種原因引起CPU死機是第一階段；CPU死機需要重啟，重啟后引發(fā)SCADA報警，隨后PLC連接出現(xiàn)故障警報是第二階段；而后蘭州站601#給油泵、401#、402#、403#主泵，關(guān)山站401#主泵全部甩泵，蘭咸段ESD是第三階段。如果事件最后沒有得到控制，沒有及時給出口管匯泄壓，會造成管匯壓力增加，管道泄漏甚至爆炸，造成安全事故。某一原因或幾個原因?qū)е聰?shù)據(jù)不更新、CPU死機，這一個原因或幾個原因就是源誘因。事件的發(fā)生不一定是按照階段性順序發(fā)展的，還有躍遷性，CPU死機也有可能直接導(dǎo)致ESD。

2.3 IT風(fēng)險事件的誘因耦合與演化機制

結(jié)合案例可以看出，CPU死機本來是一件很小的事件，但是它與系統(tǒng)誘因、技術(shù)誘因、人員誘因、管理誘因進行耦合，導(dǎo)致CPU死機事件危險性的增加與減小。

源誘因向第一階段演化。源誘因有可能是硬件故障、程序錯誤、故意破壞或是病毒感染等，這些因素的一個或者幾個相互作用，發(fā)生耦合，導(dǎo)致CPU死機。事件第一階段向第二階段演化。在這個階段暴露了幾個問題，一是，現(xiàn)場技術(shù)人員沒有找到CPU死機的原因，沒能及時排除故障，如果能找到原因及時排除故障，就不會有事件的進一步發(fā)展；二是中控人員麻痹大意，在和現(xiàn)場確認不會引起閥位狀態(tài)改變，將閥位打就地后，草率同意進行相關(guān)操作，這些非源誘因作用于CPU死機事件上，并與之耦合，加劇了事件的嚴重性，推動事件向更嚴重的方向發(fā)展。事件第二階段向第三階段演化，SCADA和PLC已經(jīng)報警，但是值班人員未對16#閥室ESD程序進行屏蔽，此時，系統(tǒng)缺陷顯現(xiàn)出來，RTU中的數(shù)據(jù)死機，但是RTU并未死機，且上位機與RTU通信正常，這種情況不應(yīng)該出現(xiàn)，并且在整個事件過程中，該作業(yè)未按照規(guī)定上報PPS系統(tǒng)，未經(jīng)請示值班調(diào)度長。這些誘因、偶然的因素和必然的因素加起來，進行耦合，主導(dǎo)事件的發(fā)展。以上討論的是事件連續(xù)性特征下的耦合與演化機制，事件躍遷性的誘因耦合與演化機制，是源誘因與技術(shù)誘因、管理誘因、系統(tǒng)誘因的一種或幾種發(fā)生耦合，使得事件的演化表現(xiàn)出不同的躍遷狀態(tài)[9]。

3 對石油企業(yè)IT風(fēng)險管理的啟示

通過典型案例的分析和對石油企業(yè)IT風(fēng)險事件誘因耦合與演化機制的研究，可以得到以下三個方面石油企業(yè)IT風(fēng)險管理的啟示。

3.1 嚴格流程化管理

所謂流程化管理就是以流程為主線的管理方法，從上面的事件案例可以看出，石油企業(yè)IT風(fēng)險管理是個整體概念，因為任何一處出現(xiàn)安全問題，都會影響整個IT系統(tǒng)的安全，IT風(fēng)險事件的發(fā)生從源誘因開始到事件發(fā)展到第三階段，具有一定的連續(xù)性，可以視為一個流程。流程化管理就是打破原有僵化的管理模式，實現(xiàn)職能的統(tǒng)一，消除了有令不行、執(zhí)行不力、相互推諉的問題，使IT風(fēng)險管理職責(zé)分明、責(zé)任清楚，達到管理的運行有序和效率的提高。系統(tǒng)化管理就是全面科學(xué)地對管理內(nèi)容進行細化、明確其職能和崗位職責(zé)，具體到石油企業(yè)里，就是要從系統(tǒng)的觀點出發(fā)，著重從IT風(fēng)險管理的整體與部分、整體與外部環(huán)境之間、部分與部分之間的相互作用和相互制約的關(guān)系中考察，從而達到最佳的管控石油企業(yè)IT風(fēng)險的目的。嚴格流程化、系統(tǒng)化管理即是現(xiàn)代管理的要求，也是適合石油企業(yè)IT風(fēng)險管理的最佳方法。

3.2 注重IT風(fēng)險事件的識別與評估

IT系統(tǒng)面臨的安全問題越來越嚴峻，對企業(yè)IT系統(tǒng)的攻擊漸漸向有組織、有目的方向發(fā)展，一個穩(wěn)定的企業(yè)IT系統(tǒng)已成為能否正常運營的基本條件，同時，國家的監(jiān)管部門也對企業(yè)的IT風(fēng)險管理提了很多規(guī)范要求，包括IT數(shù)據(jù)、流程、應(yīng)用和基礎(chǔ)結(jié)構(gòu)的完整性、可靠性和準備性。石油企業(yè)IT風(fēng)險管理首先要判斷IT系統(tǒng)存在什么樣的安全問題，也就是對風(fēng)險的識別與評估，然后才能考到如何處理與修復(fù)。風(fēng)險識別就是對石油企業(yè)可能發(fā)生的IT風(fēng)險進行識別，并追溯產(chǎn)生風(fēng)險的原因，對IT風(fēng)險進行全面的檢查，影響整個IT系統(tǒng)運行的因素有很多，要考慮到各個影響因素，通過一定的風(fēng)險識別方法，全面反映石油企業(yè)IT風(fēng)險，為風(fēng)險評估提供堅實的基礎(chǔ)。對風(fēng)險進行有效的識別以后，要按照風(fēng)險發(fā)生的可能性和對企業(yè)造成影響的大小、嚴重性對風(fēng)險進行評估。石油企業(yè)IT風(fēng)險的特征決定了其風(fēng)險往往不是孤立的，它們之間或是相互影響、相互促進、相互消減，具有高度的依賴性和變動性，對石油企業(yè)IT風(fēng)險評估要掌握適當(dāng)?shù)姆治龊驮u價工具，分析其發(fā)生的可能性和發(fā)生的條件，對IT系統(tǒng)內(nèi)部、外部環(huán)境，硬件和軟件進行綜合評估。

3.3 注重IT風(fēng)險事件的預(yù)警研究

石油企業(yè)IT風(fēng)險無處不在，并且很難量化，盡管可以通過識別、評估和控制對風(fēng)險加以有效的管理，但是由于風(fēng)險的不確定性，難以預(yù)測的管理風(fēng)險仍然存在，要最大限度的降低不確定性引起的風(fēng)險，必須注重石油企業(yè)IT風(fēng)險預(yù)警研究。統(tǒng)計資料表明，越早發(fā)現(xiàn)風(fēng)險、越早采取措施，則風(fēng)險管理的成本就越低，給企業(yè)造成的危害就越小，目前，風(fēng)險管理領(lǐng)域中普遍強調(diào)風(fēng)險管理的預(yù)測性，對石油企業(yè)IT風(fēng)險預(yù)警可以通過定性分析和定量分析兩方面進行，石油企業(yè)應(yīng)當(dāng)建立IT風(fēng)險預(yù)警機制，明確風(fēng)險預(yù)警的標(biāo)準，對可能發(fā)生的重大風(fēng)險和突發(fā)事件，制定應(yīng)急預(yù)案、明確責(zé)任人員、規(guī)范處置程序、確保事件得到及時妥善的處理。

4 結(jié)語

研究表明，石油企業(yè)IT風(fēng)險事件的演化具有階段性或躍遷性，路徑有一定的規(guī)律可循，研究IT風(fēng)險事件的誘因耦合與演化機制可為石油企業(yè)實施IT風(fēng)險管理提供一種參考，為石油企業(yè)IT風(fēng)險管理體系的構(gòu)建帶來很多有益的啟示。