随着类似BeReal这样的应用引发关注,信息泄露这一问题再次被摆到台面上来,而且无论在哪个行业,这都是关系企业生存的核心问题,而对于化工厂而言,这种影响则更加直接和严重。通常来说,像DCS这样的生产控制系统,会由IT或系统部门进行严格的权限控制与技术防护,因此在系统层面上,信息安全往往是相对可控的,然而,当我们把视角转向日常工作中普遍存在的工具,例如个人智能手机或纸质文件时,就会发现,信息泄露的风险实际上更多地存在于这些“看似普通”的环节之中,并且这些风险很难通过技术手段彻底消除。
首先,从规则层面来看,大多数化工厂都会制定严格的制度来限制信息泄露,例如禁止将个人手机带入装置区,这一方面是基于防爆安全的要求,另一方面也是出于信息安全的考虑,然而,尽管规则已经存在,但在实际执行过程中,由于缺乏逐一检查的机制,员工依然有可能将手机带入现场,因此这种限制本质上仍然是一种“依赖自觉”的管理方式。与此同时,即便在厂区内部安装了监控摄像头,由于录像保存时间有限且难以精确捕捉拍摄行为,因此其在防止信息泄露方面的效果也十分有限,再考虑到如今卫星地图等工具已经能够获取部分厂区外观信息,可以说,单纯依赖“禁止拍照”的规则,其实际意义并不大。
进一步来看,在DCS控制室内通常会实施更加严格的手机使用限制,这是因为该区域始终有人值守,并且人员之间会形成一定程度的相互监督,因此规则在这里相对更容易执行,然而,即便如此,仍然无法完全杜绝信息外泄的可能性,例如在操作间隙通过手机拍摄部分画面,理论上仍然可以获取诸如趋势图、操作界面、局部流程图等信息,只不过,这类零散数据在多数情况下难以构成系统性的价值,因此其实际风险相对可控。
此外,对于公司配发的电脑和手机,企业通常会通过技术手段进行监控,例如限制USB接口使用、监控邮件与云端传输行为等,因此,通过这些设备进行有意的信息外泄并不容易,但是,与之相对的一个现实问题在于设备的物理遗失风险依然存在,而针对这一点,企业往往只能通过一些行为规范来进行约束,例如要求员工下班后直接回家、不在社交场合携带设备等,而这些措施本质上仍然属于“软性约束”,其效果高度依赖个人执行。
然而,如果进一步深入分析,就会发现信息泄露的问题之所以难以彻底解决,是因为其根源并不在系统,而在于人以及其使用的工具,例如个人手机,即使无法在装置区或控制室使用,员工仍然可以在办公室或会议室内,通过拍摄公司电脑屏幕来获取信息,而如果企业试图彻底禁止手机进入办公区域,那么将不可避免地对工作效率造成显著影响,因此这种做法在现实中几乎无法实施。
与此同时,纸质文件这一传统载体,往往被低估,但实际上却是极为高效的信息泄露途径,因为像BFD或PFD这样的文件,往往只需少量页数,就可以包含大量工艺和运行信息,而且这类风险在智能手机出现之前就已经存在,因此,从历史角度来看,这并不是一个新问题,而如果要完全杜绝这种风险,则需要对人员出入进行极为严格的管控,例如限制个人物品携带、统一发放工作服并进行检查等,但这样的措施不仅执行成本极高,而且在实际运营中几乎难以长期维持。
因此,综合来看,化工厂的信息安全在系统层面已经相当完善,但在日常行为层面,尤其是涉及个人设备与纸质资料时,依然存在明显的管理边界,而这些边界并非通过简单增加规则就能够突破,因为其本质是人与制度之间的博弈。
总结
综上所述,可以认为,化工厂在信息安全方面已经实现了“系统可控”,但尚未达到“行为可控”,而对于后者而言,由于涉及个人习惯与现实工作需求,因此很难通过强制手段彻底解决,所以,与其试图追求完全防止信息泄露,不如在制度设计与运行策略中,预先考虑“信息可能泄露”的前提,从而建立更加现实且可持续的管理方式,而这也正是当前多数企业在实践中逐渐接受的一种思路。
作者简介 – NEONEEET
在化工行业工作20年以上,作为用户侧工程师贯通经历了设计 → 生产 → 设备保全 → 企划的全流程。 专注分享真正能在现场使用的批量化工实务知识。 → 查看完整简介
评论