信息審計系統(tǒng)人機認證數(shù)據(jù)挖掘算法及應用

田桂申 白雪嬌 章達英

摘要：為解決信息審計系統(tǒng)在用戶登錄操作識別上存在的自動化程度差、智能化等級低等現(xiàn)實問題，通過引入一種基于人機認證的數(shù)據(jù)挖掘算法，采用人臉識別技術與賬號密碼配合提供用于身份認證的身份令牌，將用戶信息預存儲在身份庫中，保證賬號僅對持有者本人提供登錄操作權限，并支持對16925個IP地址進行動態(tài)追蹤、自動獲取關鍵崗位信息，輔助數(shù)字化審計平臺監(jiān)控及預警功能的實現(xiàn)，具有顯著經(jīng)濟及社會效益。

關鍵詞：信息審計;人機認證;數(shù)據(jù)挖掘;算法設計

一、引言

在當前數(shù)字經(jīng)濟時代，工信部、網(wǎng)信辦與公安部于2021年7月聯(lián)合印發(fā)《網(wǎng)絡產(chǎn)品安全漏洞管理規(guī)定》，標志著企業(yè)數(shù)據(jù)安全、網(wǎng)絡安全問題已正式上升至國家安全戰(zhàn)略高度，開展信息系統(tǒng)審計成為維護數(shù)據(jù)安全、推動審計全覆蓋、實現(xiàn)“科技強審”目標的客觀需要。但現(xiàn)有信息系統(tǒng)仍存在出借賬號辦理業(yè)務、缺乏全流程追溯機制、未落實“不相容崗位分離”、多個IP可同時登錄一個賬號等問題，導致在資金支付、業(yè)務審批環(huán)節(jié)面臨系統(tǒng)性風險，亟需規(guī)劃一種身份管理作業(yè)系統(tǒng)方案，用于解決現(xiàn)有技術手段有限的難題，實現(xiàn)審計監(jiān)督全覆蓋。

二、研究背景

（一）國外研究綜述

美國早在計算機進入使用階段即提出信息系統(tǒng)審計的概念，1969年成立電子數(shù)據(jù)處理審計師協(xié)會，1994年該協(xié)會正式更名為ISACA，并制定頒布一系列準則、指南等文件，用于指導信息系統(tǒng)審計工作的規(guī)范化開展?，F(xiàn)階段由ISACA協(xié)會頒布的《國際信息系統(tǒng)審計指南CISA》已在全球范圍內(nèi)推廣，信息系統(tǒng)審計步入智慧化階段[1]。

（二）國內(nèi)研究綜述

國內(nèi)在20世紀90年代開始信息系統(tǒng)審計方面的研究與探索，中國內(nèi)部審計協(xié)會于2020年12月發(fā)布《第3205號內(nèi)部審計實務指南——信息系統(tǒng)審計》文件，為信息系統(tǒng)審計實踐提供指導。2021年3月，內(nèi)蒙古自治區(qū)科技廳向公司下發(fā)關于科技計劃項目的任務書，加快推動公司信息系統(tǒng)審計工作的發(fā)展，現(xiàn)已完成信息系統(tǒng)審計方案的編制，梳理編寫126個信息系統(tǒng)審計模型清單，并計劃采用數(shù)據(jù)挖掘、區(qū)塊鏈等人工智能技術進行系統(tǒng)漏洞的技術攻關，為信息系統(tǒng)審計的智慧化探索打下良好基礎[2]。

三、研究內(nèi)容與方案

（一）研究內(nèi)容

為規(guī)劃身份管理作業(yè)系統(tǒng)方案，擬引入人臉識別技術與人機認證數(shù)據(jù)挖掘算法，為身份管理引擎提供一種支持人臉識別、賬號密碼的身份令牌，用于對用戶身份進行認證，并存儲至身份信息數(shù)據(jù)庫中，同時記錄用戶姓名、登陸時間、登陸地點、登陸方式以及訪問客體等信息，便于后續(xù)信息追溯及責任界定。項目建設目標在于利用生物識別方式進行用戶賬號的自動控制，僅支持賬號擁有者本人執(zhí)行賬號登錄操作，同時解決項目公司16925個IP的自動追蹤問題，支持自動獲取各關鍵崗位信息，并利用數(shù)字化審計平臺對同一個賬號在相同時段內(nèi)利用多個電腦終端登錄行為進行監(jiān)控和預警，維護系統(tǒng)數(shù)據(jù)與信息安全[3]。

（二）建設需求分析

在業(yè)務需求方面，主要需解決信息系統(tǒng)賬號出借共用問題，嚴格執(zhí)行業(yè)務辦理的全流程追溯，遵循“不相容崗位分離”原則進行系統(tǒng)審批流程管控，滿足信息系統(tǒng)的人機認證功能需求。在集成需求方面，需完成信息系統(tǒng)認證開發(fā)，與i國網(wǎng)、統(tǒng)一權限系統(tǒng)采用接口調(diào)用方式實現(xiàn)部分數(shù)據(jù)集成與雙向流動。在非功能需求方面，需圍繞兼容性、可靠性、可維護性和易用性四個方面對審計移動作業(yè)終端進行功能升級[4]。

（三）項目實施方案

基于信息審計系統(tǒng)建設需求，在規(guī)劃身份管理系統(tǒng)作業(yè)方案時，其核心技術要點在于應用人臉識別技術進行人機認證，用戶可選擇通過人臉識別或輸入用戶名和密碼登錄系統(tǒng)，且該系統(tǒng)需與國網(wǎng)統(tǒng)一權限系統(tǒng)對接，還需將用戶信息提前錄入，并通過認證后存儲在身份庫中。在整體方案設計上，以用戶身份為中心，對網(wǎng)絡中的人、設備和應用均賦予邏輯身份，基于身份進行細粒度權限設置及判定，并且在用戶身份認證環(huán)節(jié)增加人臉識別的生物特征。在人機認證功能實現(xiàn)上，基于OpenCV視覺和機器學習庫引入級聯(lián)分類，運用局部二值模式直方圖LBPH算法建立一種對人臉的面部、眼睛、微笑等進行預訓練的分類器;通過Haar級聯(lián)檢測找到人臉，并將檢測到的人臉位置返回為Rect（x，y，w，h）;待獲取位置信息后即可為面部創(chuàng)建像素采集模塊ROI，并在此ROI模塊上進行眼睛檢測，通過人臉識別后即可使用戶成功登錄系統(tǒng)。

四、數(shù)據(jù)挖掘算法設計及應用

（一）算法設計

1.信息系統(tǒng)認證功能

該功能主要通過調(diào)用i國網(wǎng)二維碼掃描組件實現(xiàn)，在系統(tǒng)模塊設計上，包含用戶注冊、人臉識別、數(shù)字簽名、二維碼四個功能模塊，具體設計如下：

（1）用戶信息注冊模塊，基于“開始→輸入用戶名和密碼→判斷是否存在該用戶→確認后輸入基本信息→記錄、存儲→結(jié)束”的流程完成用戶登錄操作。當用戶登錄系統(tǒng)后顯示login.jsp頁面，輸入用戶名、密碼信息或啟用人臉識別功能提交至login_conf.jsp頁面，調(diào)用后臺數(shù)據(jù)庫檢索用戶預先錄入的身份信息，跳轉(zhuǎn)至handle_success.jsp或login_failure.jap頁面執(zhí)行后續(xù)操作，并將信息提交后跳轉(zhuǎn)至handle.java頁面，將用戶的姓名、登錄時間、登陸地點、登錄方式、訪問客體等信息存儲在數(shù)據(jù)庫中。

（2）人臉識別模塊，利用分類器對人臉面部、眼睛、微笑等信息提取特征，與保存在數(shù)據(jù)庫中的用戶頭像特征進行比較，確認符合用戶本人信息后生成二維碼憑證。其識別過程為“圖像采集裝置捕捉人臉圖像，提取特征信息→二維碼解碼→調(diào)用數(shù)據(jù)庫提取頭像特征→判斷用戶身份是否正確→顯示用戶身份信息并保存”。在具體識別過程中，先從CFRDemoDlg類中調(diào)用函數(shù)OnBnClickedExport（），建立人臉特征識別矩陣;隨后調(diào)用SavePicToModel（）函數(shù)，將用戶提交的人臉信息添加在模板庫中;接下來進入CEnrollDlg類，依次調(diào)用MatchImage（）、PicRecognize（）、Pic2NormFace（）函數(shù)，識別圖像信息并將結(jié)果存儲，返回保存值，并將保存值與閾值進行比較，確認超出閾值后即判定識別成功，發(fā)放準許登入許可。

（3）數(shù)字簽名模塊，基于簽名算法和密鑰進行用戶信息檢驗，既能夠保證對用戶身份信息進行驗證，同時可防范出現(xiàn)偽造二維碼或用戶登入信息等情況的發(fā)生。

（4）二維碼模塊，該模塊主要通過掃描、識別用戶數(shù)字簽名，根據(jù)對應編碼生成二維碼憑證，經(jīng)解碼后獲取原始數(shù)字簽名信息，用于對數(shù)字簽名進行驗證。二維碼編碼流程為：“傳入二維碼版本、簽名密鑰→調(diào)用數(shù)據(jù)庫，提取有效信息和簽名→對簽名信息進行編碼→完成數(shù)據(jù)處理并存儲在COR_Encode中，返回True→根據(jù)信息處理結(jié)果生成以pFilenameStr為路徑的二維碼圖片”。在具體編碼過程中，先輸入簽名密鑰，調(diào)用CTrainDlg類函數(shù)OnBnClickedQREncode（），從中調(diào)取用戶預先保存的信息并簽名認證;隨后調(diào)用函數(shù)EncodeData（），完成編碼信息處理;在ProcessEncode（）函數(shù)中，根據(jù)數(shù)據(jù)處理結(jié)果生成存儲路徑，并保存在filePathName文件中。二維碼解碼流程為“輸入二維碼→利用OnBnClickedQRDecode（）將二維碼圖像分解為數(shù)字信息→完成解碼→保存字符串信息，返回True→讀取ContentDecoder類字符串信息，解碼完畢”。在具體解碼過程中，先進入CEnrollDlg類中，提交二維碼平整，提取filePathName文件，并導入驗證密鑰;隨后調(diào)用函數(shù)OnBnClickedQRDecode（），將該路徑中保存的圖像轉(zhuǎn)化為數(shù)字信息;接下來調(diào)用函數(shù)DecodeData（），完成數(shù)字信息解碼，獲取字符串并存儲在變量中，返回BOOL類型值;最后將存儲信息讀取至CString類的ciphertext變量中，返回數(shù)值，獲得解碼后的字符串，用于對用戶身份進行識別，完成數(shù)字簽名的驗證。

2.服務端基礎算法庫

服務器端基礎算法庫以深度學習算法為核心，集成分類、聚類、標準化、結(jié)構化、業(yè)務模型訓練、特征提取、主成分分析、回歸、序列分析等算法類型。基于人機認證功能進行數(shù)據(jù)挖掘算法的設計，主要運用仿真優(yōu)化方法以相對最少次數(shù)獲取滿意解，將系統(tǒng)所需最大化指標設為P=P1，P2，…，Pp，最小化指標設為Q=Q1，Q2，…，Qq，仿真優(yōu)化總耗時為T，則建立目標函數(shù)為：

在目標函數(shù)的約束條件設計上，將不同子系統(tǒng)的仿真輸出結(jié)果視為系統(tǒng)輸入值，通過對整體系統(tǒng)進行仿真獲取各指標的輸出結(jié)果，將第i個子系統(tǒng)的輸出結(jié)果設為Si（i∈[1，n]），由此設置約束條件Pi和Qi;隨后將仿真優(yōu)化總耗時設為T，利用ti（i∈[1，n]）表示第i個子系統(tǒng)的單次仿真耗時，整體耗時為tn+1，由此設置仿真條件T;將子系統(tǒng)仿真優(yōu)化總次數(shù)設為ci，整體系統(tǒng)仿真次數(shù)為cn+1，子系統(tǒng)仿真輸出結(jié)果ki表示輸入變量的數(shù)量，設置約束條件Si;將整體系統(tǒng)輸入變量的可行域設為xij，則約束條件表示為：

（二）硬件配置

原信息審計系統(tǒng)在建設環(huán)節(jié)已滿足硬件設計條件，因此人機認證系統(tǒng)擬充分利用原有硬件設備，不涉及新增硬件設計，依據(jù)功能邏輯完成各單元的劃分，并將相應程序存儲在ROM/RAM或磁盤中。

（三）軟件方案

根據(jù)系統(tǒng)安全穩(wěn)定運行需求，選用企業(yè)級關系型數(shù)據(jù)庫Mysql與工業(yè)級標準J2EE應用服務器軟件，遵循ANSI/ISOSQL-89、ANSI/ISOSQL-92標準，支持分區(qū)技術、聯(lián)機存儲及備份功能，滿足C2級安全要求以上，且符合雙字節(jié)編碼[5]。在軟件應用部分功能實現(xiàn)上，主要涉及以下技術方案：

1.身份鑒別技術，采用SSO技術框架與Portal建立系統(tǒng)公用組件，提供統(tǒng)一開放接口與CA、PKI認證模塊對接，支持對用戶身份標記及鑒別控制，建立集“CA認證+PKI+用戶名、密碼”于一體的身份識別認證機制，并采用軟件容錯技術保證用戶身份的唯一性與鑒別結(jié)果的可靠性。在系統(tǒng)管理管理策略設計上包含以下兩種：一種是登陸失敗策略，當用戶登錄失敗次數(shù)達到限值后，將禁止其再次登陸，或當其登錄時長超限后將強制退出;另一種是安全策略，由系統(tǒng)結(jié)合預先設定的參數(shù)對用戶認證失敗行為進行管控，并生成錯誤登錄信息日志。

2.訪問控制技術，以資源管理平臺為核心進行系統(tǒng)安全策略配置，利用TDM軟件對控制權進行分配、訪問本地隊列數(shù)據(jù)，與平臺訪問不同類型文件、數(shù)據(jù)庫表功能相結(jié)合;在用戶訪問權限控制上，主要包含系統(tǒng)級、功能級（菜單級）、頁面級（流程級）、字段級（按鈕級）四類權限，由統(tǒng)一平臺對不同用戶對應的操作訪問權限進行分配與定義，并借助工作流組件完成最小權限的設置，實現(xiàn)不同權限間的有效制約。

3.剩余信息保護，選用基于Web開發(fā)的Session、Cookies兩種工具建立信息系統(tǒng)，采用Session方式對用戶鑒別信息進行存儲，并且當用戶退出系統(tǒng)后，依照預設流程進行Cookies的清理，保證發(fā)揮信息保護作用。

4.抗抵賴，采用基于PKI結(jié)構的數(shù)字證書進行待傳輸數(shù)據(jù)信息的加密處理，利用數(shù)字簽名確保用戶輸入身份信息的真實性;同時設置分級別操作日志，用戶登錄系統(tǒng)或執(zhí)行業(yè)務操作過程中可利用operationlog日志進行過程數(shù)據(jù)的存儲，便于事后查詢管理，保證業(yè)務操作的抗抵賴性。

（四）系統(tǒng)測試

1.測試環(huán)境建構。為針對人臉識別認證功能的實現(xiàn)進行驗證，在實驗室環(huán)境下采集10名用戶的人臉圖像信息，建立小型人臉識別庫，對照攝像頭采集的圖像判斷是否有人臉，并基于圖像預處理與數(shù)據(jù)轉(zhuǎn)化后，將人臉圖像以.xml格式存儲在/dev/vcs/video目錄中;隨后對10名用戶進行人臉檢測，經(jīng)預處理提取特征信息，基于最近鄰分類算法與模板庫中的圖像特征進行識別，判斷是否與人臉識別庫中的信息符合，并生成識別結(jié)果。

2.測試結(jié)果分析?；贚inux環(huán)境下在計算機終端觀察測試結(jié)果，顯示對話框中對應人臉識別圖像庫中的數(shù)據(jù)與標記的用戶名及其身份信息，證明該系統(tǒng)可有效實現(xiàn)人機認證功能。在此基礎上進行整體評價：（1）兼容性，對外開放可直接接入平臺的API接口，提供語音轉(zhuǎn)換、結(jié)構化處理等服務功能。（2）可靠性，單節(jié)點服務器支持100用戶并發(fā)、1000用戶在線，在執(zhí)行多用戶并發(fā)操作時，將靜態(tài)頁面類響應時間控制在3s內(nèi)，事務處理類響應時間控制在8s內(nèi)，模塊試運行3個月以上，達到7×24h可靠運行，年可用率超過99.97%。（3）可維護性，滿足易理解、易分析、易配制、易修改、易測試要求。（4）易用性，頁面布局合理、通用操作規(guī)范，且出錯處理、反饋與提示均滿足人性化要求。

五、結(jié)束語

通過面向信息審計系統(tǒng)合規(guī)性管理與控制需求，建立一種基于人機識別的數(shù)據(jù)挖掘算法，解決同一賬號在同一時段、不同終端登錄所引發(fā)的安全問題，有效提升網(wǎng)絡安全管理水平，并進一步加快推進系統(tǒng)數(shù)字化、智能化建設，為信息審計系統(tǒng)認證功能實現(xiàn)及應用場景的拓寬提供良好示范經(jīng)驗。

作者單位：田桂申? ? 白雪嬌? ? 章達英? ? 國網(wǎng)內(nèi)蒙古東部電力有限公司

參? 考? 文? 獻

[1]齊智江.計算機入侵檢測數(shù)據(jù)挖掘模型設計及系統(tǒng)實驗驗證[J].科學技術創(chuàng)新，2022，（07）：69-72.

[2]徐剛.醫(yī)院信息管理系統(tǒng)中的數(shù)據(jù)挖掘技術及應用[J].數(shù)字技術與應用，2021，（03）：3.

[3]李明亮，關虹.高校智能化審計管理信息系統(tǒng)的構建與實施[J].教育財會研究，2021，（02）：6.

[4]毛玲玥.審計信息系統(tǒng)的異常數(shù)據(jù)挖掘算法和應用[J].全國流通經(jīng)濟，2020，（19）：2.

[5]王良，鮑喜，王云，等.基于數(shù)據(jù)挖掘算法的審計數(shù)據(jù)分析及案例應用[J].中國注冊會計師，2020，（06）：5.