青岛市城市一卡通信息系统审计案例

1、项目摘要项目摘要1 审计过程和结论审计过程和结论4 审计目标、思路和重点审计目标、思路和重点 3 信息系统基本情况信息系统基本情况 2 内 容 一、项目摘要一、项目摘要 此次信息系统审计，是结合交通运输委员会（以下简称交通 委）经济责任审计开展的，该项目的一个重要目标是，评价领导 任职期间，所建设信息系统的安全性和有效性，进而发现其中存 在的违规问题。 审计时间为2011年2月21日至6月30月。 交通委在用信息系统众多，为突出重点、确保审计效果， 审计组有重点的择取了普通路桥收费系统和一卡通清算系统进 行了审计。本案例主要介绍对一卡通清算系统的审计情况。 一、项目摘要一、项目摘要 通过审计，

2、我们发现了信息系统业务逻辑处理、系统接口 控制等方面存在的14个问题，提出了加强业务管理、健全系统 功能、强化安全控制等建议，促进被审计单位纠正了系统功能 缺陷，提高了业务管理水平。信息系统审计结果纳入了对市人 大的审计工作报告，并向社会公开。 一、项目摘要一、项目摘要 其中，通过审计原公交卡向新一卡通过渡时的控制情况， 发现部分人员通过在旧卡中虚假充值，然后利用一卡通系统未 对旧卡卡内金额与账上记录的该卡内实际金额进行一致性校验 的漏洞，采取直接退还现金或者将虚假资金转入新卡的方式， 套取资金几十万元。目前已抓获部分涉案人员。 一、项目摘要一、项目摘要 一、项目摘要一、项目摘要 为避免此类问

3、题的继续发 生，向被审计单位加强系统控 制，严格比对卡内金额与系统 中实际记录金额一致性的建议 。 项目摘要项目摘要1 审计过程和结论审计过程和结论4 审计目标、思路和重点审计目标、思路和重点 3 信息系统基本情况信息系统基本情况 2 内 容 二、信息系统基本情况二、信息系统基本情况 青岛市政府为了整合各种公共信息资源、优化政府公共服 务，实现“一卡多用，一卡通用”，启动了城市一卡通工程建 设（以下简称琴岛通卡）。业务范围包括公共交通、公用事业 、停车场管理、风景园林、校园卡、超市便利店小额消费等。 二、信息系统基本情况二、信息系统基本情况 琴岛通卡的制卡、发卡、充值、消费和清算等业务均依托

4、琴岛通卡清算系统进行，系统的建设、运营、管理和维护主要 由琴岛通卡公司负责，该公司是交通委控股的股份有限公司。 二、信息系统基本情况二、信息系统基本情况 琴岛通卡清算系统分为传输、安全认证、发卡、交易处理 、结算处理、综合管理、物流、客户服务、数据维护等9个子 系统。 二、信息系统基本情况二、信息系统基本情况 系统采用CS体系结构，后台数据库为Oracle，截至审 计日，系统一期工程已完成并上线运行1年多，累计投资近 2000万元，系统数据总量约为1.5T。 5.5.效能提升效能提升 建立并完善了组织管理、建立并完善了组织管理、 物理环境、网络安全、服物理环境、网络安全、服 务器及数据库、软件

5、开发务器及数据库、软件开发 变更等方面的制度和管理变更等方面的制度和管理 措施，机房设施较为完善，措施，机房设施较为完善， 能够基本满足当前业务需能够基本满足当前业务需 要。要。 一般控制措施一般控制措施 一是系统授权由计算机中一是系统授权由计算机中 心专人负责，用户建立及心专人负责，用户建立及 权限变更需要审批；二是权限变更需要审批；二是 对参数维护实施了相对严对参数维护实施了相对严 格的控制；三是制定了业格的控制；三是制定了业 务审核制度，重要业务需务审核制度，重要业务需 要审批后方可办理；四是要审批后方可办理；四是 对部分关键数据的输入做对部分关键数据的输入做 了规范性要求。了规范性要求

6、。 应用控制措施应用控制措施 数据未异地存储、缺少部分数据未异地存储、缺少部分 关键网络安全设备，影响了关键网络安全设备，影响了 信息系统的安全，审计中应信息系统的安全，审计中应 进一步关注。进一步关注。 存在的问题存在的问题 采取了必要的控制措施，但仍存在一定不足采取了必要的控制措施，但仍存在一定不足 被审计单位信被审计单位信 息系统控制情息系统控制情 况况 二、信息系统基本情况二、信息系统基本情况 项目摘要项目摘要1 审计过程和结论审计过程和结论4 审计目标、思路和重点审计目标、思路和重点 3 信息系统基本情况信息系统基本情况 2 内 容 此次结合经济责任审计开展信息系统审计，目标是围绕“

7、 找出隐患、规范管理、促进完善”的总体思路，从有效性、安 全性和经济性三个方面，探索“结合型”信息系统审计的路子 。为促进被审计单位加强管理，保证资金的安全与完整，防范 利用计算机系统进行欺诈和舞弊，提出切实可行的审计建议。 三、审计目标、思路和重点三、审计目标、思路和重点 “ “结合型结合型”信息信息 系统审计系统审计 1 1、财务收支审计：摸清代收代付、财务收支审计：摸清代收代付 琴岛通卡资金的总体规模，核查琴岛通卡资金的总体规模，核查 财务管理中存在的问题。财务管理中存在的问题。 2 2、数据审计：从数据分析入手，、数据审计：从数据分析入手， 发现数据异常特征，查找违规定发现数据异常特征

8、，查找违规定 问题，进而反推系统控制漏洞。问题，进而反推系统控制漏洞。 3 3、系统审计：围绕业务流程，、系统审计：围绕业务流程， 界定关键控制点后进行检查，发界定关键控制点后进行检查，发 现系统控制缺陷，并进一步深入现系统控制缺陷，并进一步深入 分析数据发现违规问题。分析数据发现违规问题。 三、审计目标、思路和重点三、审计目标、思路和重点 以系统内控测评为基础，围绕业务 流程，将财务收支审计、业务数据 审计和信息系统审计几者相结合， 由此及彼、互为支撑，共同完成对 重要事项的核查。 该单位该单位信息系统复杂信息系统复杂，数据量庞大，鉴于审计时间及，数据量庞大，鉴于审计时间及 审计力量所限，不

9、可能对所有系统全面开展审计，需要有审计力量所限，不可能对所有系统全面开展审计，需要有 重点的择取。重点的择取。 选择信息系统开展审计的3个原则： 业务办理高度依赖的信息系统；业务办理高度依赖的信息系统； 审计风险可控，系统相对独立完整；审计风险可控，系统相对独立完整； 系统复杂度与审计力量、审计时间匹配系统复杂度与审计力量、审计时间匹配 三、审计目标、思路和重点三、审计目标、思路和重点 依据上述原则，确定对普通路桥收费系统实施应用控制审计 ，对琴岛通卡清算系统实施一般控制和应用控制审计。对后者 的审计，也是今天要介绍的主要内容。对于一般控制和应用控 制，审计人员在总体控制审计的基础上，合理界定

10、了审计的关 键领域和重要事项。 三、审计目标、思路和重点三、审计目标、思路和重点 项目摘要项目摘要1 审计过程和结论审计过程和结论4 审计目标、思路和重点审计目标、思路和重点 3 信息系统基本情况信息系统基本情况 2 内 容 详细了解信息系统的业 务流程、核心功能和操作方 法，并进一步对系统基本架 构、后台数据做了深入分析 ，然后在此基础上，对方案 中确定的审计事项和关注点 进行核查。下面做详细介绍 ： 四、审计过程和结论四、审计过程和结论 （一）一般控制审计（一）一般控制审计 一般控制审计主要围绕信息系统的安全性开展，对物理 环境安全、主机安全（含操作系统）、数据库安全、开发采 购、变更管理

11、和灾难恢复等方面进行检查，发现系统安全控 制中存在的风险。 1、审计思路、审计思路 通过调查表和测试表了解系统基本情况 我们在借鉴已有成果的基础上，结合本项目实际设计系 列定调查表，主要包括系统概况、组织管理情况、数据资源 管理、系统环境安全管理、系统运行管理等方面。我们设计 了4张测试表，通过深入分析各类表的信息，了解了系统的 基本情况、初步明确了可能的风险点。 2、审计步骤、审计步骤 （一）一般控制审计（一）一般控制审计 通过人员访谈、现场测试等方法，发现系统存在的安全隐患 我们针对系统实际控制情况，询问相关部门人员，调阅系 统技术资料，进一步了解系统安全状况。在此基础上，我们 设计了详细

12、的安全测试事项、明确了具体操作方法（ windows, firework,oracle）。 2、审计步骤、审计步骤 （一）一般控制审计（一）一般控制审计 通过人员访谈、现场测试等方法，发现系统存在的安全隐患 在系统安全测试中，主机系统和数据库的安全性非常关键 ，需要全面掌握其安全状况，检查存在的安全漏洞。我们尝试 采用了X-SCAN、榕基网络隐患扫描系统等扫描工具，对琴岛通 卡清算系统服务器和关键终端设备进行扫描检测，分析扫描结 果，发现安全控制缺陷，效果较好。 2、审计步骤、审计步骤 （一）一般控制审计（一）一般控制审计 通过上述做法，发现了信息技术人员与业务人员职责没 有明确分离；中心机房

13、缺少必要的监控、报警设施；数据备 份和恢复计划不明确，数据没有异地容灾措施；网络系统缺 少入侵检测、漏洞扫描等安全设备，缺少必要的网络管理软 件；部分服务器采用弱口令、数据库默认用户密码未修改等 问题。上报告的问题。 3、审计发现的典型问题、审计发现的典型问题 （一）一般控制审计（一）一般控制审计 了解系统功能了解系统功能 （二）应用控制审计（二）应用控制审计 控制矩阵法（控制矩阵法（6个步骤）个步骤） 梳理业务流程梳理业务流程 分析数据流程分析数据流程 界定控制点界定控制点 设计测试矩阵设计测试矩阵 实施检查实施检查 界定出各个业务流程各个环节的 控制点，即输入、输出、处理、 接口等控制分别

14、有哪些。 从系统输入、输出、处理的角度， 详细介绍各检查点的核查过程。 （二）应用控制审计（二）应用控制审计 通过审查用户授权、关键业务处理，以及其他相关制度 的健全性，评价信息系统访问控制是否发挥了应有的作用， 能否有效的避免舞弊行为的发生，即非法访问是否能够被有 效防止，不同岗位人员权限是否与其职责相匹配，业务流程 审批控制是否严格按照有关规定进行设置等。 1、用户访问控制、用户访问控制 （1）审计思路 收集整理访问控制相关制度规定，分析制度的健全性、合理性。 结合制度规定，分析软件功能，掌握用户授权流程和方式，熟悉主要 的业务审批环节和步骤。 检查系统日志，以及日志审计记录，判断是否存在

15、非法访问。 结合人员花名册和岗位职责，检查权限设置是否合理。 （一）应用级一般控制审计（一）应用级一般控制审计 （2）审计方法和步骤 1、用户访问控制、用户访问控制 发现存在以下问题：发现部分用户口令为弱口令，生产环境 中存在大量测试账号，系统审批日志记录不完整，个别关键业务 环节缺少审批等问题。 （一）应用级一般控制审计（一）应用级一般控制审计 （3）审计结论 1、用户访问控制、用户访问控制 2、数据输入控制、数据输入控制 审查系统输入权限、输入格式、输入范围以及自动处理 等内容，分析系统是否对输入数据的完整性、正确性和唯一 性进行了适当控制，判断系统能否确保输入系统的数据都经 过授权，并且

16、是完整和准确的。 （1）审计思路 （二）业务流程控制审计（二）业务流程控制审计 （二）业务流程控制审计（二）业务流程控制审计 （2）审计方法和步骤 2、数据输入控制、数据输入控制 研究政策，了解业务流程，访谈经办人员，界定出输入控制 核查点。 （二）业务流程控制审计（二）业务流程控制审计 （2）审计方法和步骤 2、数据输入控制、数据输入控制 针对控制矩阵中的以上输入控制点，采用软件测试和数据分 析相结合的方式进行核查：一是采用测试用例法，设计测试 数据，审查输入控制是否健全 ；二是检查后台数据，反推系 统控制漏洞 。 （3）审计结论 根据测试结果，提出该事项的审计结论。发现的问题在 后面统一描

17、述。 （二）业务流程控制审计（二）业务流程控制审计 2、数据输入控制、数据输入控制 3、数据处理控制、数据处理控制 通过检查业务时序控制、合规性检验控制、合理性检验 控制、参照检查控制等方面，分析系统是否采取了正确的控 制措施，以保证输入计算机的业务被完整、准确地处理，不 正确的业务是否被及时检测并拒绝。 （1）审计思路 （二）业务流程控制审计（二）业务流程控制审计 （二）业务流程控制审计（二）业务流程控制审计 （2）审计方法和步骤 识别主要的数据处理控制点。研究政策，熟悉业务流程，确 定出各功能模块处理逻辑控制检查点。 3、数据处理控制、数据处理控制 （二）业务流程控制审计（二）业务流程控制

18、审计 （2）审计方法和步骤 针对以上控制点，采取必要的程序和方法进行核查： 3、数据处理控制、数据处理控制 跟踪部分业务样本，分析是否存在错误或异常现象； 采用综合测试法，在测试系统中建立虚拟单位和人员，模拟办理业务，通 过检查处理结果，分析处理逻辑； 采用数据验证法，将后台数据分析与系统测试结合起来，适当反推系统漏 洞； 必要时采用代码检查法，对部分核心代码进行检查（主要是存储过程）， 发现其中的问题。 （3）审计结论 根据测试结果，提出该事项的审计结论。发现的问题在后 面统一描述。 （二）业务流程控制审计（二）业务流程控制审计 3、数据处理控制、数据处理控制 4、应用接口控制、应用接口控制 通过核查接口数据提取