软件测试的系统审计方法与应用.ppt

软件测试的系统审计方法和有向图算法在金融审计中的应用 主讲人： 陈宇 概 述 近年来，随着计算机审计的深入开展，成都特派办在传统的基于SQL的数据审计领域之外，扩宽思路，积极地开展一些新的计算机审计尝试，尤其是在信息化程度高的金融领域取得了不错的效果。 2007年，我办在2007年对中国人民财产保险公司的审计中，对某保险公司的信息系统尝试了初步的信息系统审计。 2008年在对某商业银行的审计中，使用有向图的环查找算法，有效地解决了多家企业循环担保的分析和查找。 保险公司信息系统审计初步尝试 遇到的问题：数据量大，关键是每笔保单的金额偏小，这与银行的数据迥异。这一特点就决定了保险公司的取证最好从“面”上而不是从“点”上取证。 根据这一特点，审计人员从前后台同时着手，分析保险公司系统可能存在的漏洞以及该漏洞可能导致的问题。 这样的好处是能达到较高的覆盖率，发现普遍性的问题，对保险公司加强管理堵塞漏洞有好处。 保险公司信息系统基本架构 白盒测试 白盒测试是软件测试中最常用的方法之一，其基本思想是把待测试的模块看做一个能够看到内部结构的“白盒子”，设计测试用例覆盖所有分支，测试模块的功能性和健壮性。 对保单批改子系统进行白盒测试 审计人员从前台登录系统，录入了若干张测试保单，然后尝试对这些保单的各个要素进行各种类型的批改。 例一：批改保单的费率，随意上下浮保单费率，尤其是下浮到保监会规定的最低费率之下，看系统是否报错。 例二：批改保单的保额。针对一些费率和保额有关的保险，随意增加或减少保额，看保险费率是否随之变化，相应的保费是否会随之改变。 发现漏洞！ 我们在批改终保日期的环节发现了漏洞！ 漏洞为：可以对一张保单的终保日期进行随意批改，将保单的终保日期提前到当前日期之前！对此保险公司的系统竟然完全没有控制！ 例如：一张2007年1月1日至2007年12月31日的保单，竟然可以在2007年12月30日做批改，将保单的终保日期提前到2007年1月2日 ！ 批改终保日期漏洞图示 批改终保日期漏洞图示 到后台数据库中查询 发现这一问题后，审计人员到白宣布公司后台数据库去查询所有终保日期早于批改生效日期，且有退保记录的保单。 发现可以保单后延伸审计，发现该公司某支公司存在使用这种手法违规退保，套取保费数百万的犯罪事实，犯罪嫌疑人已被逮捕。 审计后，保险公司针对该漏洞打了补丁，及时堵塞了这一漏洞。 对保单录入子系统进行白盒测试 我们在对保单录入子系统进行白盒测试的时候发现：车险保单在录入时可以将个人车辆的投保人录入为单位，从而享受更低的单位车团保险费率，对此系统无控制！ 有了这一发现后，审计人员在后台数据库中查询，发现了该公司在全国范围内有60余万份“个人用车”保单是以“单位用车”名义承保，直接导致少收保费约1.7亿元。 延伸调查发现：很多保险公司以这种方法降低保费招揽客户，在保险市场上进行不正当竞争。 针对接口进行黑盒测试 对数据传输接口进行黑盒测试 审计人员对数据传输接口进行黑盒测试，首先在业务系统录入若干测试保单，然后进行批改、注销、退保等操作，看数据是否能够正确地传入财务系统。 接下来审计人员在财务系统中对保单进行操作，比如删除保单缴费记录，注销保单等，看数据能否正确地传回业务系统。 发现漏洞！ 我们发现该系统的数据传输是单向的！ 业务系统的数据可以从传输接口顺利而准确地传到财务系统；但对财务系统进行的操作则不能反过来传输到业务系统。 漏洞导致的问题 发现这一漏洞后，审计人员对业务系统和财务系统的保单进行了比对，发现了该公司的某分公司采用在财务系统中修改保单保费或退保的方式来实现“暗折”，2006年年共违规批退保费6000余万元。 比如有一家单位来对10辆车进行投保，这家公司在业务系统不能打折的情况下，在财务系统中修改保费为应收保费的80%，实现八折的暗折！ 审计后，保险公司已针对该问题打了补丁。 对分公司和总公司数据传输接口的黑盒测试 发现漏洞！ 我们抽查了三家省公司，将他们服务器上的数据与总公司的数据进行了比对，发现存在不一致的地方！ 经过分析发现：省公司和总公司之间的数据传输接口只有简单的数据传送功能，在大量的数据传输时，对于可能发生的传输错误没有任何处理！ 进一步延伸调查，发现2006年的所有保单中，由于数据传输出错导致信息不符的保单有35045张，涉及金额4000余万元。 我们的建议：加入校验和错误重传机制 跳出SQL的局限，找出多重循环担保 在数据审计领域，我们在整合利用已有专家经验的同时，也扩宽思路，突破数据库结构化查询语言SQL的限制，积极尝试使用程序设计语言，利用数据挖掘等先进的算法来进行更深度的数据分析。 比较典型的一个例子是我们利用有向图的环查找算法解决了N家企业（N=2）之间循环担保的问题。 循环担保问