免疫进化ERP系统日志持续审计研究,本文主要内容关键词为:免疫论文,系统论文,日志论文,ERP论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
一、免疫进化ERP系统日志持续审计理论分析
一般的ERP系统中,都会有系统日志功能,在系统日志中,会记录用户在ERP系统中的具体操作情况,同一个ERP系统的系统日志在数据格式上是统一的,通过将企业员工的操作行为与相似或相同岗位的操作规范进行比较分析,发现用户的异常操作行为。基于免疫进化的ERP系统日志持续审计借鉴人类的免疫系统原理,将不同岗位的用户行为操作规范预设为不同的审计规则,通过对ERP系统中的系统日志信息进行实时检查和过滤,进而监听用户对ERP系统的操作使用情况,对比预设的审计规则和自学习到的用户使用习惯,发现系统日志异常情况和审计证据,从而明确和规范员工对ERP系统的操作行为,以降低用户舞弊行为发生的可能。这种审计模式,与人类的“免疫系统”一样,具有免疫防御、免疫自稳和免疫监视三种基本功能,能自我预防,抵御外来风险,促进ERP系统安全、健康地运行。
ERP系统在运行过程中存在着诸多影响ERP系统安全的风险因素,如产供销业务数据和财务数据的修改删除操作、单据信息的更改操作等,通过对以往ERP系统运行过程中产生的系统日志进行风险原因分析,可以查找引起各种风险的用户异常操作行为模式,将ERP系统在运行过程中用户的各种异常操作行为模式组成的集合称为初始抗体基因库。从抗体基因库中随机选择一些基因(用户异常操作行为模式)进行交换或重新组合,分析引起ERP系统风险的具体表现形式、产生原因及其相关的防范策略,使之形成初始抗体,由于基因的选择具有很大的随机性与不确定性,初始抗体在与ERP系统日志里的用户操作行为进行匹配时,有可能会将ERP系统日志里的用户正常操作行为误认为异常的操作行为(用户对ERP系统的舞弊操作行为),为避免这种情况的发生,初始抗体必须经过一个负选择筛选过程,在负选择筛选过程中,初始抗体接触到ERP系统日志里大量的用户正常操作行为,如果初始抗体能够与ERP系统日志里任何一种用户正常操作行为匹配成功,那么说明该初始抗体是无效的抗体。反之,如果初始抗体没有与ERP系统日志里的任何一种用户正常操作行为成功匹配,那么该初始抗体被称为有效的成熟抗体,成熟抗体能够识别相似或相近的用户异常操作行为。借鉴人类的免疫系统,在ERP系统日志审计过程中,如果成熟抗体在给定的有限时间内能够与ERP系统日志里数量超过某一阈值的用户异常操作行为匹配成功,那么成熟抗体就会产生应答反应(称为启动);反之,该抗体没有产生应答反应,说明是无效的抗体。用户在ERP系统的操作过程中,当抗体产生应答反应后,如果同一种用户对ERP系统的异常操作行为再次出现时,引起的免疫效应比初次更强、抗体的亲和度更高,并称这种现象为免疫记忆。此时,产生应答的抗体会进行自身复制,产生多个复制抗体(称为“记忆抗体”),这些记忆抗体比普通的抗体具有较小的启动阈值和较长的生命周期,可以加速对以前出现过的用户异常操作行为进行的检测过程,从而保证了审计的低消耗和自适应性。
二、免疫进化ERP系统日志持续审计系统框架设计
免疫进化ERP系统日志持续审计系统框架设计的构思:借鉴人类的免疫系统原理,构造初始抗体基因,初始抗体基因可以通过对已知的用户操作行为方式的学习获得,通常是从海量的用户对ERP系统的操作行为记录中抽取最能表达用户对ERP系统操作的异常特征的属性集合来进行编码。抗体基因库中储存的是用于生成抗体的基因。由于企业中不同岗位的员工具有不同的角色和操作权限,在ERP系统中,这些不同的操作权限控制都是依赖具体的账户与角色展开的,不同的员工在进行ERP系统具体业务的操作过程中,所有的具体操作行为都会记录在系统日志中。在实际的ERP系统日志审计过程中,通过对ERP系统日志的预处理等过程(如数据清理、数据变换、数据归约等),将捕获到的用户对ERP系统的操作行为按操作类型等不同标准进行分组,映射为与抗体基因相同形式的编码,然后根据与抗体基因的匹配来判断用户对ERP系统的异常操作行为。
其一,免疫进化ERP系统日志持续审计系统目标。基于免疫进化的ERP系统日志持续审计系统的目标是借鉴人类的免疫系统原理,通过对企业ERP系统用户行为日志数据进行持续监控分析,发现日志异常和审计证据,从而对ERP系统的用户操作行为进行规范,降低用户舞弊行为发生的可能,实现ERP系统及其业务数据、财务数据等有关数据的可靠性、完整性和有效性,提高ERP系统的整体免疫能力,在一定程度上保障ERP系统的安全性。
其二,免疫进化ERP系统日志持续审计系统的框架设计。根据基于免疫进化的ERP系统日志持续审计系统的设计构思和目标,设计了一个如图1所示的基于免疫进化的ERP系统日志持续审计框架。基于免疫进化的ERP系统日志持续审计框架中,日志数据采集代理实时检查、监听并收集ERP系统中的海量级日志信息情况,然后通过数据集成、数据清理、数据简化等方法对ERP系统日志信息进行预处理,将预处理后的有用信息传递给数据分析代理,数据分析代理通过运用审计分析方法和分析工具,对日志数据采集代理采集到的ERP系统日志信息进行分析,并同时启动审计代理,审计代理会将抗体代理传送过来的抗体与数据分析代理分析后的ERP系统日志信息进行比较。如果一个抗体检测到用户的异常操作行为,则向审计接口发送预警信息,审计人员根据该预警的内容和级别信息对异常进行不同程度的处理,形成审计报告,同时,该抗体被选择并复制,形成记忆抗体。记忆抗体可以加快对以前出现过的用户对ERP系统的异常操作行为的检测。如果抗体被启动或被复制,则向抗体基因库中添加构成该抗体的基因;如果抗体基因库中已经存储有该抗体的基因,则增大其适应性的值。为避免抗体基因库过大,可以事先设定一个最大值,当超过这个最大值时,根据基因适应值的大小,从中删除适应性低的基因。根据人类免疫系统的效应机理,通过对ERP系统日志信息进行监控分析,识别出影响ERP系统的各种风险因素,对识别出的ERP系统风险因素实行规避。规避的方式有两种:一种是加强企业内部管理制度的规范,从制度上进行改良,通过制度来规范用户对ERP系统的操作行为,进而消除用户对ERP系统的异常操作行为;另一种是将内部控制程序嵌入到ERP系统中,从源头上消除用户对ERP系统异常操作的风险。从而在很大程度上规范员工对ERP系统的操作行为,并在一定程度上保障ERP系统的安全性。
其三,抗体工作机制。模拟人类的免疫系统的运行机理,基于免疫进化的ERP系统日志持续审计中抗体的运行流程可分为四个阶段:初始抗体的产生、负向选择筛选过程、检测过程、抗体的克隆选择及复制。以离线方式对ERP系统中海量的用户操作行为记录中提取最能表达已知用户异常操作行为的异常特征的属性集合,并产生一组初始抗体基因加入抗体基因库,然后可投入在线运行,其运行流程描述为:(1)初始抗体的产生。从抗体基因库中随机选择一组基因序列,然后对随机选择的基因序列进行基因重组、基因突变产生1个初始抗体。(2)负向选择筛选过程。从审计数据仓库中挖掘出用户对ERP系统的正常操作行为模式,如果初始抗体能够与任何一种用户对ERP系统的正常操作行为模式匹配成功,表明该抗体有可能将用户对ERP系统的正常操作行为误认为异常的用户的行为,因此,删除该抗体,返回步骤(1)。通过了负向选择的抗体被传送到图1的审计代理模块中执行检测任务。(3)检测过程。通过数据分析代理不断地将采集的ERP系统用户日志信息进行分析,并将分析的结果映射为与抗体基因相同形式的编码,然后与抗体基因进行匹配计算,检测用户对ERP系统的操作是否正常。在检测过程中,如果1个抗体匹配到用户对ERP系统的异常操作行为,若异常为已知类型的用户异常操作行为,启动响应并转(5),若异常为新类型的用户异常操作行为,则审计代理通过内部审计接口向审计人员发出预警信息转(4);否则删除该抗体,返回步骤(1)。(4)当一个抗体发现新类型的用户异常操作行为时,审计代理通过内部审计接口向审计人员发送预警信息,由审计人员判断是否是用户的异常操作行为。如果审计人员判断预警信息是用户对ERP系统的异常操作行为,则该抗体进入(5);如果审计人员判断预警信息是用户对ERP系统的正常操作行为,则删除相应的抗体,返回(1)。(5)克隆选择和复制。被证明有效的抗体被选择并复制,形成记忆抗体,如果在检测过程中,如果用户对ERP系统的异常操作行为是已知的,则记忆抗体相比普通抗体,能够快速检测出用户对ERP系统的异常操作行为。
随着ERP系统在企业的广泛应用,一方面,ERP系统对企业采购、生产、销售、库存、财务等不同业务的集成,明确了企业流程中的风险控制点,完善了企业内部控制制度,在一定程度上降低了企业重大错报风险,另一方面,ERP系统环境下,对纸质凭证的财务账簿的传统审计转向了对ERP系统的审计。虽然信息系统审计在某种程度上辅助了审计的实施,但是频频爆发的舞弊案件,说明信息系统审计的不足。因此,研究ERP系统的事中审计,降低ERP系统及其数据的风险,确保企业目标的实现,在理论与实践方面都有着重要的意义。本文在对相关文献进行综述的基础上,受人类免疫系统的启发,基于免疫进化的原理,提出了一个基于免疫进化的ERP系统日志持续审计模型,由于免疫系统固有的自适应和逐步进化机制,使得审计的及时性大大提高,极大地提高了审计的效果和效率,提高了ERP系统的整体免疫能力,最大限度地保护了ERP系统的安全。