[摘 要]當前,我國急需一套完善的中觀信息系統審計風險控制體系。這是因為我國的中觀經濟主體在控制信息系統審計風險時需要一套成熟的管理流程,且國家有關部門在制定信息系統審計風險防范標準方面也需要完善的控制體系作為支撐。在闡述COBIT與數據挖掘基本理論的基礎上,借鑒COBIT框架,構建中觀信息系統審計風險的明細控制框架,利用數據挖掘技術有針對性地探索每一個明細標準的數據挖掘路徑,創建挖掘流程,建立適用于我國中觀經濟特色的信息系統審計風險控制體系。�
[關鍵詞]中觀信息系統審計;COBIT框架;數據挖掘;風險控制;中觀審計�
[中圖分類號]F239.4 [文獻標識碼]A [文章編號]10044833(2012)01001608��
中觀信息系統審計是中觀審計的重要組成部分,它從屬于中觀審計與信息系統審計的交叉領域。中觀信息系統審計是指IT審計師依據特定的規范,運用科學系統的程序方法,對中觀經濟主體信息系統的運行規程與應用政策所實施的一種監督活動,旨在增強中觀經濟主體特定信息網絡的有效性、安全性、機密性與一致性[1]。與微觀信息系統相比,中觀信息系統功能更為復雜,且區域內紛亂的個體間存在契約關系。中觀信息系統的復雜性主要體現在跨越單個信息系統邊界,參與者之間在信息技術基礎設施水平、信息化程度和能力上存在差異,參與者遵循一定的契約規則,依賴通信網絡支持,對安全性的要求程度很高等方面。中觀信息系統審計風險是指IT審計師在對中觀信息系統進行審計的過程中,由于受到某些不確定性因素的影響,而使審計結論與經濟事實不符,從而受到相關關系人指控或媒體披露并遭受經濟損失以及聲譽損失的可能性。中觀信息系統審計風險控制的研究成果能為我國大型企業集團、特殊的經濟聯合體等中觀經濟主體保持信息系統安全提供強有力的理論支持與實踐指導。�
一、 相關理論概述與回顧�
(一) COBIT�
信息及相關技術的控制目標(簡稱COBIT)由美國信息系統審計與控制協會(簡稱ISACA)頒布,是最先進、最權威的安全與信息技術管理和控制的規范體系。COBIT將IT過程、IT資源及信息與企業的策略及目標聯系于一體,形成一個三維的體系框架。COBIT框架主要由執行工具集、管理指南、控制目標和審計指南四個部分組成,它主要是為管理層提供信息技術的應用構架。COBIT對信息及相關資源進行規劃與處理,從信息技術的規劃與組織、采集與實施、交付與支持以及監控等四個方面確定了34個信息技術處理過程。�
ISACA自1976年發布COBIT1.0版以來,陸續頒布了很多版本,最近ISACA即將發布COBIT5.0版。ISACA對COBIT理論的研究已趨于成熟,其思路逐步由IT審計師的審計工具轉向IT內部控制框架,再轉向從高管層角度來思考IT治理。大多數國際組織在采納COSO框架時,都同時使用COBIT控制標準。升陽電腦公司等大型國際組織成功應用COBIT優化IT投資。2005年,歐盟也選擇將COBIT作為其審計準則。國內學者對COBIT理論的研究則以借鑒為主,如陽杰、張文秀等學者解讀了COBIT基本理論及其評價與應用方法[23];謝羽霄、黃溶冰等學者嘗試將COBIT理論應用于銀行、會計、電信等不同的信息系統領域[45]。我國信息系統審計的研究目前正處于起步階段,因而將COBIT理論應用于信息系統的研究也不夠深入。王會金、劉國城研究了COBIT理論在中觀信息系統重大錯報風險評估中的運用,金文、張金城研究了信息系統控制與審計的模型[1,6]。�
(二) 數據挖掘�
數據挖掘技術出現于20世紀80年代,該技術引出了數據庫的知識發現理論,因此,數據挖掘又被稱為“基于數據庫的知識發現(KDD)”。1995年,在加拿大蒙特利爾召開的首屆KDD & Date Mining 國際學術會議上,學者們首次正式提出數據挖掘理論[7]。當前,數據挖掘的定義有很多,但較為公認的一種表述是:“從大型數據庫中的數據中提取人們感興趣的知識。這些知識是隱含的、事先未知的潛在有用信息,提取的知識表現為概念、規則、規律、模式等形式。數據挖掘所要處理的問題就是在龐大的數據庫中尋找有價值的隱藏事件,加以分析,并將有意義的信息歸納成結構模式,供有關部門在進行決策時參考。”[7]1995年至2010年,KDD國際會議已經舉辦16次;1997年至2010年,亞太PAKDD會議已經舉辦14次,眾多會議對數據挖掘的探討主要圍繞理論、技術與應用三個方面展開。�
目前國內外學者對數據挖掘的理論研究已趨于成熟。亞太PAKDD會議主辦方出版的論文集顯示,2001年至2007年僅7年時間共有32個國家與地區的593篇會議論文被論文集收錄。我國學者在數據挖掘理論的研究中取得了豐碩的成果,具體表現在兩個方面:一是挖掘算法的縱深研究。李也白、唐輝探索了頻繁模式挖掘進展,鄧勇、王汝傳研究了基于網絡服務的分布式數據挖掘,肖偉平、何宏研究了基于遺傳算法的數據挖掘方法[810]。二是數據挖掘的應用研究。我國學者對于數據挖掘的應用研究也積累了豐富的成果,并嘗試將數據挖掘技術應用于醫學、通訊、電力、圖書館、電子商務等諸多領域。2008年以來,僅在中國知網查到的關于數據挖掘應用研究的核心期刊論文就多達476篇。近年來,國際軟件公司也紛紛開發數據挖掘工具,如SPSS Clementine等。同時,我國也開發出數據挖掘軟件,如上海復旦德門公司開發的Dminer,東北大學軟件中心開發的Open Miner等。2000年以來,我國學者將數據挖掘應用于審計的研究成果很多,但將數據挖掘應用于信息系統審計的研究成果不多,且主要集中于安全審計領域具體數據挖掘技術的應用研究。�
二、 中觀信息系統審計風險控制體系的構想�
本文將中觀信息系統審計風險控制體系(圖1)劃分為以下三個層次。�
(一) 第一層次:設計中觀信息系統審計風險的控制框架與明細控制標準�
中觀信息系統審計的對象包括信息安全、數據中心運營、技術支持服務、災難恢復與業務持續、績效與容量、基礎設施、硬件管理、軟件管理、數據庫管理、系統開發、變革管理、問題管理、網絡管理、中觀系統通信協議與契約規則等共計14個主要方面[11]。中觀信息系統審計風險控制體系的第一層次是根據COBIT三維控制框架設計的。這一層次需要構架兩項內容:(1)中觀信息系統審計風險的控制框架。該控制框架需要完全融合COBIT理論的精髓,并需要考慮COBIT理論的每一原則、標準、解釋及說明。該控制框架由14項風險防范因子組成,這14個因子必須與中觀信息系統審計的14個具體對象相對應。框架中的每一個因子也應該形成與自身相配套的風險控制子系統,且子系統應該包含控制的要素、結構、種類、目標、遵循的原則、執行概要等內容。(2)中觀信息系統審計風險的明細控制標準。控制框架中的14項風險防范因子需要具備與自身相對應的審計風險明細控制規則,IT審計師只有具備相應的明細規范,才能在中觀信息系統審計實施過程中擁有可供參考的審計標準。每個因子的風險控制標準的設計需要以COBIT三維控制框架為平臺,以4個域、34個高層控制目標、318個明細控制目標為準繩。�
(二) 第二層次:確定風險控制框架下的具體挖掘流程以及風險控制的原型系統�
�第一層次構建出了中觀信息系統審計風險控制的明細標準X�i(i∈1→n)。在第一層次的基礎上,第二層次需要借助于數據挖掘技術,完成兩個方面的工作。一是針對X�i,設計適用于X�i自身特性的數據挖掘流程。這一過程的完成需要數據資料庫的支持,因而,中觀經濟主體在研討X�i明細控制標準下的數據挖掘流程時,必須以多年積累的信息系統控制與審計的經歷為平臺,建立適用于X�i的主題數據庫。針對明細標準X�i的內在要求以及主題數據庫的特點,我們就可以選擇數據概化、統計分析、聚類分析等眾多數據挖掘方法中的一種或若干種,合理選取特征字段,分層次、多角度地進行明細標準X�i下的數據挖掘實驗,總結挖掘規律,梳理挖掘流程。二是將適用于X�i的n個數據挖掘流程體系完善與融合,開發針對本行業的中觀信息系統審計風險控制的原型系統。原型系統是指系統生命期開始階段建立的,可運行的最小化系統模型。此過程通過對n個有關X�i的數據挖掘流程的融合,�形成體系模型,并配以詳細的說明與解釋。對該模型要反復驗證,多方面關注IT審計師對該原型系統的實際需求,盡可能與IT審計師一道對該原型系統達成一致理解。�
(三) 第三層次:整合前兩個步驟,構建中觀信息系統風險控制體系�
第三層次是對第一層次與第二層次的整合。第三層次所形成的中觀信息系統風險控制體系包括四部分內容:(1)中觀信息系統審計風險控制框架;(2)中觀信息系統審計風險控制參照標準;(3)中觀信息系統審計風險控制明細標準所對應的數據挖掘流程集;(4)目標行業的中觀信息系統審計風險控制的原型系統。在此過程中,對前三部分內容,需要歸納、驗證、總結,并形成具有普遍性的中觀審計風險控制的書面成果;對第四部分內容,需要在對原型系統進行反復調試的基礎上將其開發成軟件,以形成適用于目標行業不同組織單位的“軟性”成果。在設計中觀信息系統風險控制體系的最后階段,需要遵循控制體系的前三部分內容與第四部分內容相互一致、相互補充的原則。相互一致表現在控制體系中的框架、明細控制標準、相關控制流程與原型系統中的設計規劃、屬項特征、挖掘原則相協調;相互補充表現在控制體系中的框架、明細控制標準及相關控制流程是IT審計師在中觀信息系統審計中所參照的一般理念,而原型系統可為IT審計師提供審計結論測試、理念指導測試以及驗證結論。 三、 COBIT框架對中觀信息系統審計風險控制的貢獻�
(一) COBIT框架與中觀信息系統審計風險控制的契合分析�
現代審計風險由重大錯報風險與檢查風險兩個方面組成,與傳統審計風險相比,現代審計風險拓展了風險評估的范圍,要求考慮審計客體所處的行業風險。但從微觀層面看,傳統審計風險與現代審計風險的主要內容都包括固有風險、控制風險與檢查風險。COBIT框架與中觀信息系統審計風險控制的契合面就是中觀信息系統的固有風險與控制風險。中觀信息系統的固有風險是指“假定不存在內部控制情況下,中觀信息系統存在嚴重錯誤或不法行為的可能性”;中觀信息系統的控制風險是指“內部控制體系未能及時預防某些錯誤或不法行為,以致使中觀信息系統依然存在嚴重錯誤或不法行為的可能性”;中觀信息系統的檢查風險是指“因IT審計師使用不恰當的審計程序,未能發現已經存在重大錯誤的可能性”。IT審計師若想控制中觀信息系統的審計風險,必須從三個方面著手:(1)對不存在內部控制的方面,能夠辨別和合理評價被審系統的固有風險;(2)對存在內部控制的方面,能夠確認內部控制制度的科學性、有效性、健全性,合理評價控制風險;(3)IT審計師在中觀信息系統審計過程中,能夠更大程度地挖掘出被審系統“已經存在”的重大錯誤。我國信息系統審計的理論研究起步較晚,IT審計師在分辨被審系統固有風險,確認控制風險,將檢查風險降低至可接受水平三個方面缺乏成熟的標準加以規范,因此我國的中觀信息系統審計還急需一套完備的流程與指南 當前我國有四項信息系統審計標準,具體為《審計機關計算機輔助審計辦法》、《獨立審計具體準則第20號――計算機信息系統環境下的審計》、《關于利用計算機信息系統開展審計工作有關問題的通知》(88號文件)以及《內部審計具體準則第28號――信息系統審計》。。�
圖2 中觀信息系統審計風險的控制框架與控制標準的設計思路�
COBIT框架能夠滿足IT審計師的中觀信息系統審計需求,其三維控制體系,4個控制域、34個高層控制目標、318個明細控制目標為IT審計師辨別固有風險,分析控制風險,降低檢查風險提供了絕佳的參照樣板與實施指南。COBIT控制框架的管理理念、一般原則完全可以與中觀信息系統審計風險的控制實現完美契合。通過對COBIT框架與中觀信息系統審計的分析,筆者認為COBIT框架對中觀信息系統審計風險控制的貢獻表現在三個方面(見圖2):(1)由COBIT的管理指南,虛擬中觀信息系統的管理指南,進而評價中觀主體對自身信息系統的管理程度。COBIT的管理指南由四部分組成,其中成熟度模型用來確定每一控制階段是否符合行業與國際標準,關鍵成功因素用來確定IT程序中最需要控制的活動,關鍵目標指標用來定義IT控制的目標績效水準,關鍵績效指標用來測量IT控制程序是否達到目標。依據COBIT的管理指南,IT審計師可以探尋被審特定系統的行業與國際標準、IT控制活動的重要性層次、IT控制活動的目標績效水平以及評價IT控制活動成效的指標,科學地擬定被審系統的管理指南。(2)由COBIT的控制目標,構建中觀信息系統的控制目標體系,進而評價中觀信息系統的固有風險與檢查風險。COBIT的控制目標包括高層域控制、中層過程控制、下層任務活動控制三個方面,其中,高層域控制由規劃與組織、獲取與實施、交付與支持以及監控四部分組成,中層控制過程由“定義IT戰略規劃”在內的34個高層控制目標組成,下層任務活動控制由318個明細控制目標組成。COBIT的控制目標融合了“IT標準”、“IT資源”以及被審系統的“商業目標”,為IT審計師實施中觀信息系統審計風險控制提供了層級控制體系與明細控制目標。IT審計師可以直接套用COBIT的控制層級與目標擬定中觀信息系統管理與控制的層級控制體系以及明細控制目標,然后再進一步以所擬定的明細控制目標作為參照樣板,合理評判中觀信息系統的固有風險與控制風險。中觀信息系統中“域”、“高層”、“明細”控制目標的三層結構加強了IT審計師審計風險控制的可操作性。(3)由COBIT的審計指南,設計IT審計師操作指南,進而降低中觀信息系統審計的檢查風險。COBIT的審計指南由基本準則、具體準則、執業指南三個部分組成。基本準則規定了信息系統審計行為和審計報告必須達到的基本要求,為IT審計師制定一般審計規范、具體審計計劃提供基本依據。具體準則對如何遵循IT審計的基本標準,提供詳細的規定、具體說明和解釋,為IT審計師如何把握、評價中觀經濟主體對自身系統的控制情況提供指導。執業指南是根據基本標準與具體準則制定的,是系統審計的操作規程和方法,為IT審計師提供了審計流程與操作指南。�
(二) 中觀信息系統審計風險控制體系建設舉例――構建“設備管理”控制目標體系�
前文所述,中觀信息系統審計的對象包括“信息安全”等14項內容,本文以“硬件管理”為例,運用COBIT的控制目標,構建“硬件管理”的控制目標體系,以利于IT審計師科學評價“硬件管理”存在的固有風險與控制風險。“設備管理”控制目標體系的構建思路參見表1。�
注:IT標準對IT過程的影響中P表示直接且主要的,S表示間接且次要的;IT過程所涉及的IT資源中C表示涉及;空白表示關聯微小。�
表1以“設備管理”為研究對象,結合COBIT控制框架,并將COBIT框架中與“設備管理”不相關的中層控制過程剔除,最終構建出“設備管理”控制的目標體系。該體系由4個域控制目標、21個中層過程控制目標、149個明細控制目標三個層級構成,各個層級的關系見表1。(1)第一層級是域控制,由“P.設備管理的組織規劃目標”、“A.設備管理的獲取與實施目標”、“DS.設備管理的交付與支持目標”以及“M.設備管理的監控目標”構成;(2)第二層級是中層過程控制,由21個目標構成,其中歸屬于P的目標5個,歸屬于A的目標3個,歸屬于D的目標9個,歸屬于M的目標4個;(3)第三層級是下層任務活動控制,由149個明細目標構成,該明細目標體系是中層過程控制目標(P、A、DS、M)針對“IT標準”與“IT資源”的進一步細分。IT標準是指信息系統在運營過程中所應盡可能實現的規則,具體包括有效性、效率性、機密性等7項;IT資源是指信息系統在運營過程中所要求的基本要素,具體有人員、應用等5項。根據表1中“有效性”、“人員”等“IT標準”與“IT資源”合計的12個屬項,每個具體中層控制目標都會衍生出多個明細控制目標。例如,中層控制目標“DS��13�.運營管理”基于“IT標準”與“IT資源”的特點具體能夠演繹出6項明細控制目標,此7項可表述為“DS��13�-01.利用各項設備,充分保證硬件設備業務處理與數據存取的及時、正確與有效”,“DS��13�-02.充分保證硬件設備運營的經濟性與效率性,在硬件設備投入成本一定的情況下,相對加大硬件設備運營所產生的潛在收益”,“DS��13�-03.硬件設備保持正常的運營狀態,未經授權,不可以改變硬件的狀態、使用范圍與運營特性,保證設備運營的完整性”,“DS��13�-04.設備應該在規定條件下和規定時間內完成規定的功能與任務,保證設備的可用性”,“DS��13�-05.硬件設備運營的參與人員必須具備較高的專業素質,工作中遵循相應的行為規范”以及“DS��13�-06.工作人員在使用各項硬件設備時,嚴格遵循科學的操作規程,工作中注意對硬件設備的保護,禁止惡意損壞設備”。上述三個層級組成了完整的“硬件設備”控制目標體系,若將中觀信息系統審計的14個對象都建立相應的控制目標體系,并將其融合為一體,則將會形成完備的中觀信息系統審計風險控制的整體目標體系。�
四、 數據挖掘技術對中觀信息系統審計風險控制的貢獻�
(一) 數據挖掘技術與中觀信息系統審計風險控制的融合分析�
中觀信息系統是由兩個或兩個以上微觀個體所構成的中觀經濟主體所屬個體的信息資源,在整體核心控制臺的統一控制下,以Internet為依托,按照一定的契約規則實施共享的網狀結構式的有機系統。與微觀信息系統比較,中觀信息系統運行復雜,日志數據、用戶操作數據、監控數據的數量相對龐雜。因而,面對系統海量的數據信息,IT審計師針對前文所構建的明細控制目標�X�i�下的審計證據獲取工作將面臨很多問題,如數據信息的消化與吸收、數據信息的真假難辨等。而數據挖掘可以幫助決策者尋找數據間潛在的知識與規律,并通過關聯規則實現對異常、敏感數據的查詢、提取、統計與分析,支持決策者在現有的數據信息基礎上進行決策[12]。數據挖掘滿足了中觀信息系統審計的需求,當IT審計師對繁雜的系統數據一籌莫展時,數據挖掘理論中的聚類分析、關聯規則等技術卻能為中觀信息系統審計的方法提供創新之路。筆者認為,將數據挖掘技術應用于前文所述的明細控制目標�X�i�下審計證據篩選流程的構建是完全可行的。恰當的數據挖掘具體技術,科學的特征字段選取,對敏感與異常數據的精準調取,將會提高中觀信息系統審計的效率與效果,進而降低審計風險。�
(二) 中觀信息系統審計風險控制目標�X�i�下數據挖掘流程的規劃�
數據挖掘技術在中觀信息系統審計風險控制中的應用思路見圖3。
注:數據倉庫具體為目標行業特定中觀經濟主體的信息系統數據庫��
中觀信息系統審計明細控制目標�X�i�下數據挖掘流程設計具體可分為六個過程:(1)闡明問題與假設。本部分的研究是在一個特定的應用領域中完成的,以“中觀信息系統審計風險明細控制目標�X�i�”為主旨,闡明相關問題、評估“控制目標�X�i�”所處的挖掘環境、詳盡的描述條件假設、合理確定挖掘的目標與成功標準,這些將是實現“控制目標�X�i�下”挖掘任務的關鍵。(2)數據收集。圖3顯示,本過程需要從原始數據、Web記錄與日志文件等處作為數據源采集數據信息,采集后,還需要進一步描述數據特征與檢驗數據質量。所采集數據的特征描述主要包括數據格式、關鍵字段、數據屬性、一致性,所采集數據的質量檢驗主要考慮是否滿足“控制目標�X�i�”下數據挖掘的需求,數據是否完整,是否存有錯誤,錯誤是否普遍等。(3)數據預處理。該過程是在圖3的“N.異構數據匯聚數據庫”與“U.全局/局部數據倉庫”兩個模塊下完成的。N模塊執行了整合異構數據的任務,這是因為N中的異構數據庫由不同性質的異構數據組合而成,數據屬性、數據一致性彼此間可能存在矛盾,故N模塊需要通過數據轉換與數據透明訪問實現異構數據的共享。U模塊承載著實現數據清理、數據集成與數據格式化的功能。“控制目標�X�i�”下的數據挖掘技術實施前,IT審計師需要事先完成清理與挖掘目標相關程度低的數據,將特征字段中的錯誤值剔除以及將缺省值補齊,將不同記錄的數據合并為新的記錄值以及對數據進行語法修改形成適用于挖掘技術的統一格式數據等系列工作。(4)模型建立。在“V.數據挖掘與知識發現”過程中,選擇與應用多種不同的挖掘技術,校準挖掘參數,實現最優化挖掘。“控制目標�X�i�”下的數據挖掘技術可以將分類與聚類分析、關聯規則、統計推斷、決策樹分析、離散點分析、孤立點檢測等技術相結合,用多種挖掘技術檢查同一個“控制目標�X�i�”的完成程度[12]。選擇挖掘技術后,選取少部分數據對目標挖掘技術的實用性與有效性進行驗證,并以此為基礎,以參數設計、模型設定、模型描述等方式對U模塊數據倉庫中的數據開展數據挖掘與進行知識發現。(5)解釋模型。此過程在模塊“W.模式解釋與評價”中完成,中觀信息系統審計風險領域專家與數據挖掘工程師需要依據各自的領域知識、數據挖掘成功標準共同解釋模塊V,審計領域專家從業務角度討論模型結果,數據挖掘工程師從技術角度驗證模型結果。(6)歸納結論。在“Z.挖掘規律與挖掘路徑歸納”中,以W模塊為基礎,整理上述挖掘實施過程,歸納“控制目標�X�i”下的挖掘規律,探究“控制目標X�i”下的挖掘流程,整合“控制目標X�i”(i∈1→n)的數據挖掘流程體系,并開發原型系統。��
(三) 數據挖掘流程應用舉例――“訪問控制”下挖掘思路的設計�
如前所述,中觀信息系統審計包括14個對象,其中“網絡管理”對象包含“訪問管理”等多個方面。結合COBIT框架下“M�1.過程監控”與“IT標準-機密性”,“訪問管理”可以將“M�1-i.用戶訪問網絡必須通過授權,拒絕非授權用戶的訪問”作為其控制目標之一。“M�1-i”數據挖掘的數據來源主要有日志等,本部分截取網絡日志對“M�1-i”下數據挖掘流程的設計進行舉例分析。�
假設某中觀信息系統在2011年4月20日18時至22時有如下一段日志記錄。�
(1) “Sep 20 19:23:06 UNIX login[1015]:FAILED LOGIN 3 FROM(null) FOR wanghua”�
(2) “Sep 20 19:51:57 UNIX―zhangli[1016]:LOGIN ON Pts/1 BY zhangli FROM 172.161.11.49”�
(3) “Sep 20 20:01:19 UNIX login[1017]:FAILED LOGIN 1 FROM(null) FOR wanghua”�
(4) “Sep 20 20:17:23 UNIX―wanyu [1018]:LOGIN ON Pts/2 BY wanyu FROM 172.161.11.342”�
(5) “Sep 20 21:33:20 UNIX―wanghua [1019]:LOGIN ON Pts/5 BY wanghua FROM 191.34.25.17”�
(6) “Sep 20 21:34:39 UNIX su(pam――unix)[1020]:session opened for user root by wanghua (uid=5856)”�
… … …�
選取上述日志作為數據庫,以前文“控制目標X�i”下數據挖掘的6個過程為范本,可以設計“M�1-i.用戶訪問網絡必須通過授權,拒絕非授權用戶的訪問”下的審計證據挖掘流程。該挖掘流程的設計至少包括如下思路:a.選取“授權用戶”作為挖掘的“特征字段”,篩選出“非授權用戶”的日志數據;b.以a為基礎,以“LOGIN ON Pts BY 非授權用戶”作為 “特征字段”進行挖掘;c.以a為基礎,選取“opened … by …”作為“特征字段”實施挖掘。假如日志庫中只有wanghua為非授權用戶,則a將會挖出(1)(3)(5)(6),b會挖出(5),c將會挖掘出(6)。通過對(5)與(6)嫌疑日志的分析以及“M�1-i”挖掘流程的建立,IT審計師就能夠得出被審系統的“訪問控制”存在固有風險,且wanghua已經享有了授權用戶權限的結論。�
