基于案例分析的石油企业IT风险事件诱因耦合与演化机制探讨

（成都工业学院，成都市，610041）

耦合是源于物理学的一个概念，是指多个具有内在联系的子系统或运动方式之间通过各种相互作用彼此影响以至于联合起来，在一定的条件下能够形成更高级别更复杂的机构功能体[1]。良好的系统耦合状态可以使系统内部各个要素配置更加合理，系统功能更加趋于完善，推动新的耦合系统的产生。

演化机制是指造成系统的结构、状态、特性、行为、功能等随着时间的推移而发生的变化的子系统或因素的构造、功能及其相互关系。

1 石油企业IT风险事件及其演化的诱因耦合模型

石油企业内部有很多种风险，不同风险的不同耦合结果会使企业处于不同的风险状态，风险流的由弱到强直至突破企业的安全风险阈值也需要一定的过程和时间，风险与各业务流程和功能节点的相互作用，导致风险流量与风险性质由量变到质变也需要时间。这提供了控制风险的可能，企业可采取阻断强偶合风险流的扩散与传导，切断风险流相互作用、相互耦合的途径等适当措施来控制风险[2]。

在对石油企业IT风险事件的诱因耦合与演化机制没有完整清晰的认识之前，就无法对事件的传导和变异过程进行识别，不能有针对性的、有效的实施IT风险管理，因此有必要首先研究石油企业IT风险事件诱因耦合与演化机制模型。

1.1 石油企业的IT风险与IT风险事件

石油企业工业化和信息化深度融合以后，IT风险事件逐年增加，成为了影响石油企业生产运营的重要因素之一。IT风险（IT Risk），国际信息系统审计协会（ISACA）的定义是“在企业内使用、拥有、操作、参与、应用信息科技所造成的业务风险”，IT风险事件,ISACA的定义是“与IT相关的事件，导致运营、发展和/或战略业务的影响”[3]。与此定义相关的概念是“信息安全”，国际标准化组织ISO对信息安全的定义为“数据处理系统建立和采取的技术和管理的安全保护，保护计算机硬件、软件、数据不因偶然的或恶意的原因而受到破坏、更改、泄漏”[4]，《信息安全事件管理指南》对“信息安全事件”的定义是“由单个或一系列意外或有害的信息安全事态所组成的，极有可能危害业务运行和威胁信息安全”[5]。从定义上看，二者相近，但信息安全主要关注信息资产的保密性、完整性和可用性（CIA三性），而IT风险关注所有因信息科技的应用而带来的、可能影响业务目标实现的各种风险，因此对IT的应用或IT部门，信息安全没有IT风险全面，后者通常包含了前者[6]。

工业信息安全事件库RISI收录的全球因工业控制系统IT风险而造成损失的重大安全事故有300多起，其中石油企业36起[7]。中石油也有类似的统计数据，例如北京石油调控中心统计的其下辖自控通信系统故障仅2014年就发生近1 200次，其中自动化系统故障491次，通信系统故障683次。分析IT风险事件，厘清IT风险事件的原因及各因素之间演化机理，对石油企业IT风险管理有重要的意义。

1.2 石油企业IT风险事件演化的诱因耦合模型

风险事件不同，风险属性各异，风险流会沿着一定的传导路径到达企业系统的各业务流程和功能节点，企业不同的业务流程和业务节点对不同性质风险的会有反应和作用力，在风险流的速度与流量均未超过企业所能承受的风险安全临界值时，风险会作一种特殊的力量蕴藏在企业中，并随时间推移，自行消化。当由于风险事件导致风险源与其稳定的理想状态发生偏移时，风险流的大小或者速度超过了企业能承受的风险安全阀值时，企业的风险就会爆发，并迅速在企业内部传导、蔓延。在风险传导的过程中，风险耦合的不同结果对企业产生不同的影响，决定耦合效应不同状态的两个重要因素是不同业务流程或功能节点间的关联度以及不同风险性质间的匹配度。风险的耦合一般有三种情况：一是纯耦合，指的是不同风险的耦合程度为零，企业整体风险流量值不变，整个系统风险状态未变；二是弱耦合，指的是两种风险流之间呈负相关，不同的风险流在传导过程中至少有一方减弱，使企业总体风险流量值减少；三是强耦合，是指不同属性的风险流在传导过程中发生相互作用，企业整体风险流量增强[8]。

在石油企业IT风险形成的过程中，作用于风险事件上的各环节在因素上彼此之间相互关联，相互匹配，因此各种风险因素会在石油企业IT风险事件中互相影响、互相作用，石油企业IT风险因素发生的不确定性和引发的影响的补确定性，改变了石油企业IT风险事件的风险的流量和性质。在IT风险事件演化过程中，各种诱因耦合的关系模型如图1所示。

图1 IT风险事件演化的诱因耦合模型

2 石油企业IT风险事件的演化规律

下面以中石油北京石油调控中心统计的，2015年兰郑长管道兰咸段紧急停车（ESD）事件为例，分析其诱因耦合与演化机制：首先探讨事件发生的过程，归纳各阶段的特征，将IT风险事件分阶段研究，然后用诱因耦合理论与方法了解其演化机理，最后阐释石油企业IT风险事件演化的过程，并对事件各阶段演化机制进行了刻画。

2.1 IT风险事件诱因耦合关系

事件经过：2015年2月某日，兰郑长管道兰咸段运行时，咸阳分公司技术人员在16#阀室巡检时发现RTU的CPU死机，引起各项运行参数为死数，在恢复数据时出现ESD阀假关闭信号，触发了兰咸段ESD紧急停输，后经反复重启CPU，现场数据及设备状态采集恢复，最后故障解除，本次事件导致兰咸段停输两个多小时，管道内混油增加。

源诱因素：在整个事件的演化过程中，CPU死机、系统缺陷、技术人员能力素质、管理人员疏忽、管理松懈等因素相互耦合，最终造成了这次事件的发生。CPU不会无缘无故的死机，是由一些因素造成的，比如硬件故障、程序错误等，这些因素诱导了CPU死机，它们被称为源诱因素。

非源诱因：在这次事件中，如技术人员采取的检查硬件、查找程序错误、重启CPU等措施干预CPU的行为，可称为非源诱因，非源诱因包括系统缺陷、技术人员能力素质、管理人员疏忽、管理松懈等。

2.2 IT风险事件的演化规律

这次事件的起因是技术人员在16#阀室巡检时发现数据不更新，RTU的CPU死机，巡检的技术人员找不到事件的原因，要求重新启动CPU，中控的值班人员询问得到的答复是重启不会改变阀门状态，要求将阀门打就地状态后，同意其断电重新启动；重新启动后，SCADA监视界面报警，随后PLC链接出现故障报警，兰州站601#给油泵、401#、402#、403#主泵，关山站401#主泵全部甩泵。中控随即发现16#阀室状态改变，并触发兰咸段ESD，立即全开首站610#回流阀进行给油泵出口管汇泄压，中控值班调度及时汇报值班调度长并迅速联系现场检修人员，现场回复不了解具体触发ESD的原因。最后只有反复刷新16#阀室CPU及远程机架配置，RTU恢复正常，现场数据及设备状态采集恢复，而后请示值班调度长后恢复运行。

由此，可以看出事件发生的阶段性，由各种原因引起CPU死机是第一阶段；CPU死机需要重启，重启后引发SCADA报警，随后PLC连接出现故障警报是第二阶段；而后兰州站601#给油泵、401#、402#、403#主泵，关山站401#主泵全部甩泵，兰咸段ESD是第三阶段。如果事件最后没有得到控制，没有及时给出口管汇泄压，会造成管汇压力增加，管道泄漏甚至爆炸，造成安全事故。某一原因或几个原因导致数据不更新、CPU死机，这一个原因或几个原因就是源诱因。事件的发生不一定是按照阶段性顺序发展的，还有跃迁性，CPU死机也有可能直接导致ESD。

2.3 IT风险事件的诱因耦合与演化机制

结合案例可以看出，CPU死机本来是一件很小的事件，但是它与系统诱因、技术诱因、人员诱因、管理诱因进行耦合，导致CPU死机事件危险性的增加与减小。

源诱因向第一阶段演化。源诱因有可能是硬件故障、程序错误、故意破坏或是病毒感染等，这些因素的一个或者几个相互作用，发生耦合，导致CPU死机。事件第一阶段向第二阶段演化。在这个阶段暴露了几个问题，一是，现场技术人员没有找到CPU死机的原因，没能及时排除故障，如果能找到原因及时排除故障，就不会有事件的进一步发展；二是中控人员麻痹大意，在和现场确认不会引起阀位状态改变，将阀位打就地后，草率同意进行相关操作，这些非源诱因作用于CPU死机事件上，并与之耦合，加剧了事件的严重性，推动事件向更严重的方向发展。事件第二阶段向第三阶段演化，SCADA和PLC已经报警，但是值班人员未对16#阀室ESD程序进行屏蔽，此时，系统缺陷显现出来，RTU中的数据死机，但是RTU并未死机，且上位机与RTU通信正常，这种情况不应该出现，并且在整个事件过程中，该作业未按照规定上报PPS系统，未经请示值班调度长。这些诱因、偶然的因素和必然的因素加起来，进行耦合，主导事件的发展。以上讨论的是事件连续性特征下的耦合与演化机制，事件跃迁性的诱因耦合与演化机制，是源诱因与技术诱因、管理诱因、系统诱因的一种或几种发生耦合，使得事件的演化表现出不同的跃迁状态[9]。

3 对石油企业IT风险管理的启示

通过典型案例的分析和对石油企业IT风险事件诱因耦合与演化机制的研究，可以得到以下三个方面石油企业IT风险管理的启示。

3.1 严格流程化管理

所谓流程化管理就是以流程为主线的管理方法，从上面的事件案例可以看出，石油企业IT风险管理是个整体概念，因为任何一处出现安全问题，都会影响整个IT系统的安全，IT风险事件的发生从源诱因开始到事件发展到第三阶段，具有一定的连续性，可以视为一个流程。流程化管理就是打破原有僵化的管理模式，实现职能的统一，消除了有令不行、执行不力、相互推诿的问题，使IT风险管理职责分明、责任清楚，达到管理的运行有序和效率的提高。系统化管理就是全面科学地对管理内容进行细化、明确其职能和岗位职责，具体到石油企业里，就是要从系统的观点出发，着重从IT风险管理的整体与部分、整体与外部环境之间、部分与部分之间的相互作用和相互制约的关系中考察，从而达到最佳的管控石油企业IT风险的目的。严格流程化、系统化管理即是现代管理的要求，也是适合石油企业IT风险管理的最佳方法。

3.2 注重IT风险事件的识别与评估

IT系统面临的安全问题越来越严峻，对企业IT系统的攻击渐渐向有组织、有目的方向发展，一个稳定的企业IT系统已成为能否正常运营的基本条件，同时，国家的监管部门也对企业的IT风险管理提了很多规范要求，包括IT数据、流程、应用和基础结构的完整性、可靠性和准备性。石油企业IT风险管理首先要判断IT系统存在什么样的安全问题，也就是对风险的识别与评估，然后才能考到如何处理与修复。风险识别就是对石油企业可能发生的IT风险进行识别，并追溯产生风险的原因，对IT风险进行全面的检查，影响整个IT系统运行的因素有很多，要考虑到各个影响因素，通过一定的风险识别方法，全面反映石油企业IT风险，为风险评估提供坚实的基础。对风险进行有效的识别以后，要按照风险发生的可能性和对企业造成影响的大小、严重性对风险进行评估。石油企业IT风险的特征决定了其风险往往不是孤立的，它们之间或是相互影响、相互促进、相互消减，具有高度的依赖性和变动性，对石油企业IT风险评估要掌握适当的分析和评价工具，分析其发生的可能性和发生的条件，对IT系统内部、外部环境，硬件和软件进行综合评估。

3.3 注重IT风险事件的预警研究

石油企业IT风险无处不在，并且很难量化，尽管可以通过识别、评估和控制对风险加以有效的管理，但是由于风险的不确定性，难以预测的管理风险仍然存在，要最大限度的降低不确定性引起的风险，必须注重石油企业IT风险预警研究。统计资料表明，越早发现风险、越早采取措施，则风险管理的成本就越低，给企业造成的危害就越小，目前，风险管理领域中普遍强调风险管理的预测性，对石油企业IT风险预警可以通过定性分析和定量分析两方面进行，石油企业应当建立IT风险预警机制，明确风险预警的标准，对可能发生的重大风险和突发事件，制定应急预案、明确责任人员、规范处置程序、确保事件得到及时妥善的处理。

4 结语

研究表明，石油企业IT风险事件的演化具有阶段性或跃迁性，路径有一定的规律可循，研究IT风险事件的诱因耦合与演化机制可为石油企业实施IT风险管理提供一种参考，为石油企业IT风险管理体系的构建带来很多有益的启示。