軟件測(cè)試的系統(tǒng)審計(jì)方法與應(yīng)用

《軟件測(cè)試的系統(tǒng)審計(jì)方法與應(yīng)用》由會(huì)員分享，可在線閱讀，更多相關(guān)《軟件測(cè)試的系統(tǒng)審計(jì)方法與應(yīng)用（32頁珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,單擊此處編輯母版文本樣式,第二級(jí),第三級(jí),第四級(jí),第五級(jí),*,*,*,單擊此處編輯母版標(biāo)題樣式,軟件測(cè)試的系統(tǒng)審計(jì)方法和有向圖算法在金融審計(jì)中的應(yīng)用,主講人：陳宇,28.11.2024,1,概 述,近年來，隨著計(jì)算機(jī)審計(jì)的深入開展，成都特派辦在傳統(tǒng)的基于SQL的數(shù)據(jù)審計(jì)領(lǐng)域之外，擴(kuò)寬思路，積極地開展一些新的計(jì)算機(jī)審計(jì)嘗試，尤其是在信息化程度高的金融領(lǐng)域取得了

2、不錯(cuò)的效果。,2007年，我辦在2007年對(duì)中國人民財(cái)產(chǎn)保險(xiǎn)公司的審計(jì)中，對(duì)某保險(xiǎn)公司的信息系統(tǒng)嘗試了初步的,信息系統(tǒng)審計(jì),。,2008年在對(duì)某商業(yè)銀行的審計(jì)中，使用,有向圖的環(huán)查找算法,，有效地解決了多家企業(yè)循環(huán)擔(dān)保的分析和查找。,28.11.2024,2,審計(jì)署駐成都特派員辦事處,保險(xiǎn)公司信息系統(tǒng)審計(jì)初步嘗試,遇到的問題：數(shù)據(jù)量大，關(guān)鍵是,每筆保單的金額偏小,，這與銀行的數(shù)據(jù)迥異。這一特點(diǎn)就決定了保險(xiǎn)公司的取證最好從“,面,”上而不是從“,點(diǎn),”上取證。,根據(jù)這一特點(diǎn)，審計(jì)人員從前后臺(tái)同時(shí)著手，分析保險(xiǎn)公司系統(tǒng)可能存在的漏洞以及該漏洞可能導(dǎo)致的問題。,這樣的好處是能達(dá)到較高的覆蓋率，發(fā)現(xiàn)普

3、遍性的問題，對(duì)保險(xiǎn)公司加強(qiáng)管理堵塞漏洞有好處。,28.11.2024,3,審計(jì)署駐成都特派員辦事處,保險(xiǎn)公司信息系統(tǒng)基本架構(gòu),保單錄入子系統(tǒng),保單批改子系統(tǒng),保單注銷子系統(tǒng),保單理賠子系統(tǒng),業(yè)務(wù)系統(tǒng),收費(fèi)子系統(tǒng),減退費(fèi)子系統(tǒng),報(bào)表子系統(tǒng),統(tǒng)計(jì)子系統(tǒng),財(cái)務(wù)系統(tǒng),數(shù)據(jù)傳,輸接口,28.11.2024,4,審計(jì)署駐成都特派員辦事處,白盒測(cè)試,白盒測(cè)試,是軟件測(cè)試中最常用的方法之一，其基本思想是把待測(cè)試的模塊看做一個(gè),能夠看到內(nèi)部結(jié)構(gòu)的“白盒子”,，設(shè)計(jì)測(cè)試用例覆蓋所有分支，測(cè)試模塊的功能性和健壯性。,正確數(shù)據(jù)一,正確輸出,正確數(shù)據(jù)二,正確輸出,錯(cuò)誤數(shù)據(jù),報(bào)錯(cuò)返回,28.11.2024,5,審計(jì)署駐成

4、都特派員辦事處,對(duì)保單批改子系統(tǒng)進(jìn)行白盒測(cè)試,審計(jì)人員從,前臺(tái),登錄系統(tǒng)，錄入了若干張測(cè)試保單，然后嘗試對(duì)這些保單的各個(gè)要素進(jìn)行各種類型的批改。,例一：,批改保單的費(fèi)率,，隨意上下浮保單費(fèi)率，尤其是,下浮到保監(jiān)會(huì)規(guī)定的最低費(fèi)率之下,，看系統(tǒng)是否報(bào)錯(cuò)。,例二：,批改保單的保額,。針對(duì)一些費(fèi)率和保額有關(guān)的保險(xiǎn)，隨意增加或減少保額，看,保險(xiǎn)費(fèi)率是否隨之變化,，相應(yīng)的保費(fèi)是否會(huì)隨之改變。,28.11.2024,6,審計(jì)署駐成都特派員辦事處,發(fā)現(xiàn)漏洞！,我們?cè)?批改終保日期,的環(huán)節(jié)發(fā)現(xiàn)了漏洞！,漏洞為：可以對(duì)一張保單的終保日期進(jìn)行隨意批改，,將保單的終保日期提前到當(dāng)前日期之前,！對(duì)此保險(xiǎn)公司的系統(tǒng)竟然完

5、全沒有控制！,例如：一張2007年1月1日至2007年12月31日的保單，竟然可以在2007年12月30日做批改，將保單的終保日期提前到2007年1月2日！,28.11.2024,7,審計(jì)署駐成都特派員辦事處,批改終保日期漏洞圖示,批改日期,終保,日期,起保,日期,如果簡(jiǎn)單這樣退保，等于將終保日期提前到批改日期。,原終保,日期,能退出的保費(fèi),28.11.2024,8,審計(jì)署駐成都特派員辦事處,批改終保日期漏洞圖示,批改日期,起保,日期,終保日期,系統(tǒng)漏洞使得能把終保日期提前到批改生效日期之前,原終保日期,能退出的保費(fèi),28.11.2024,9,審計(jì)署駐成都特派員辦事處,到后臺(tái)數(shù)據(jù)庫中查詢,發(fā)現(xiàn)

6、這一問題后，審計(jì)人員到白宣布公司后臺(tái)數(shù)據(jù)庫去查詢所有,終保日期早于批改生效日期，且有退保記錄,的保單。,發(fā)現(xiàn)可以保單后延伸審計(jì)，發(fā)現(xiàn)該公司某支公司存在使用這種手法違規(guī)退保，套取保費(fèi)數(shù)百萬的犯罪事實(shí)，犯罪嫌疑人已被逮捕。,審計(jì)后，保險(xiǎn)公司針對(duì)該漏洞打了,補(bǔ)丁,，及時(shí)堵塞了這一漏洞。,28.11.2024,10,審計(jì)署駐成都特派員辦事處,對(duì)保單錄入子系統(tǒng)進(jìn)行白盒測(cè)試,我們?cè)趯?duì)保單錄入子系統(tǒng)進(jìn)行白盒測(cè)試的時(shí)候發(fā)現(xiàn)：車險(xiǎn)保單在錄入時(shí)可以,將個(gè)人車輛的投保人錄入為單位,，從而享受更低的單位車團(tuán)保險(xiǎn)費(fèi)率，對(duì)此系統(tǒng)無控制！,有了這一發(fā)現(xiàn)后，審計(jì)人員在后臺(tái)數(shù)據(jù)庫中查詢，發(fā)現(xiàn)了該公司在全國范圍內(nèi)有60余萬份“個(gè)

7、人用車”保單是以“單位用車”名義承保，直接導(dǎo)致少收保費(fèi)約1.7億元。,延伸調(diào)查發(fā)現(xiàn)：很多保險(xiǎn)公司以這種方法,降低保費(fèi)招攬客戶,，在保險(xiǎn)市場(chǎng)上進(jìn)行不正當(dāng)競(jìng)爭(zhēng)。,28.11.2024,11,審計(jì)署駐成都特派員辦事處,針對(duì)接口進(jìn)行黑盒測(cè)試,保單錄入子系統(tǒng),保單批改子系統(tǒng),保單注銷子系統(tǒng),保單理賠子系統(tǒng),業(yè)務(wù)系統(tǒng),收費(fèi)子系統(tǒng),減退費(fèi)子系統(tǒng),報(bào)表子系統(tǒng),統(tǒng)計(jì)子系統(tǒng),財(cái)務(wù)系統(tǒng),數(shù)據(jù)傳,輸接口,28.11.2024,12,審計(jì)署駐成都特派員辦事處,對(duì)數(shù)據(jù)傳輸接口進(jìn)行黑盒測(cè)試,審計(jì)人員對(duì)數(shù)據(jù)傳輸接口進(jìn)行黑盒測(cè)試，首先在業(yè)務(wù)系統(tǒng)錄入若干測(cè)試保單，然后進(jìn)行批改、注銷、退保等操作，,看數(shù)據(jù)是否能夠正確地傳入財(cái)務(wù)系統(tǒng)

8、,。,接下來審計(jì)人員在財(cái)務(wù)系統(tǒng)中對(duì)保單進(jìn)行操作，比如刪除保單繳費(fèi)記錄，注銷保單等，,看數(shù)據(jù)能否正確地傳回業(yè)務(wù)系統(tǒng),。,28.11.2024,13,審計(jì)署駐成都特派員辦事處,發(fā)現(xiàn)漏洞！,我們發(fā)現(xiàn)該系統(tǒng)的數(shù)據(jù)傳輸是,單向,的！,業(yè)務(wù)系統(tǒng)的數(shù)據(jù)可以從傳輸接口順利而準(zhǔn)確地傳到財(cái)務(wù)系統(tǒng)；但對(duì)財(cái)務(wù)系統(tǒng)進(jìn)行的操作則不能反過來傳輸?shù)綐I(yè)務(wù)系統(tǒng)。,業(yè)務(wù)系統(tǒng),財(cái)務(wù)系統(tǒng),28.11.2024,14,審計(jì)署駐成都特派員辦事處,漏洞導(dǎo)致的問題,發(fā)現(xiàn)這一漏洞后，審計(jì)人員對(duì)業(yè)務(wù)系統(tǒng)和財(cái)務(wù)系統(tǒng)的保單進(jìn)行了比對(duì)，發(fā)現(xiàn)了該公司的某分公司采用,在財(cái)務(wù)系統(tǒng)中修改保單保費(fèi)或退保,的方式來實(shí)現(xiàn)“,暗折,”，2006年年共違規(guī)批退保費(fèi)600

9、0余萬元。,比如有一家單位來對(duì)10輛車進(jìn)行投保，這家公司在業(yè)務(wù)系統(tǒng)不能打折的情況下，在財(cái)務(wù)系統(tǒng)中修改保費(fèi)為應(yīng)收保費(fèi)的80%，實(shí)現(xiàn)八折的暗折！,審計(jì)后，保險(xiǎn)公司已針對(duì)該問題打了,補(bǔ)丁,。,28.11.2024,15,審計(jì)署駐成都特派員辦事處,對(duì)分公司和總公司數(shù)據(jù)傳輸接口的黑盒測(cè)試,保險(xiǎn)公司網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),分公司前臺(tái),省公司數(shù)據(jù)庫服務(wù)器,總公司數(shù)據(jù)庫服務(wù)器,28.11.2024,16,審計(jì)署駐成都特派員辦事處,發(fā)現(xiàn)漏洞！,我們抽查了三家省公司，將他們服務(wù)器上的數(shù)據(jù)與總公司的數(shù)據(jù)進(jìn)行了比對(duì)，發(fā)現(xiàn)存在,不一致,的地方！,經(jīng)過分析發(fā)現(xiàn)：省公司和總公司之間的數(shù)據(jù)傳輸接口只有簡(jiǎn)單的數(shù)據(jù)傳送功能，在大量的數(shù)據(jù)傳

10、輸時(shí)，對(duì)于可能發(fā)生的,傳輸錯(cuò)誤,沒有任何處理！,進(jìn)一步延伸調(diào)查，發(fā)現(xiàn)2006年的所有保單中，由于數(shù)據(jù)傳輸出錯(cuò)導(dǎo)致信息不符的保單有35045張，涉及金額4000余萬元。,28.11.2024,17,審計(jì)署駐成都特派員辦事處,我們的建議：加入校驗(yàn)和錯(cuò)誤重傳機(jī)制,數(shù)據(jù),校驗(yàn)碼,省公司數(shù)據(jù)庫服務(wù)器,總公司數(shù)據(jù)庫服務(wù)器,數(shù)據(jù)傳輸接口,校驗(yàn)碼正確,數(shù)據(jù),校驗(yàn)碼錯(cuò)誤,要求重傳,28.11.2024,18,審計(jì)署駐成都特派員辦事處,跳出SQL的局限，找出多重循環(huán)擔(dān)保,在數(shù)據(jù)審計(jì)領(lǐng)域，我們?cè)谡侠靡延袑＜医?jīng)驗(yàn)的同時(shí)，也擴(kuò)寬思路，突破數(shù)據(jù)庫結(jié)構(gòu)化查詢語言SQL的限制，積極嘗試使用程序設(shè)計(jì)語言，利用數(shù)據(jù)挖掘等先進(jìn)

11、的算法來進(jìn)行更深度的數(shù)據(jù)分析。,比較典型的一個(gè)例子是我們利用有向圖的環(huán)查找算法解決了N家企業(yè)（N=2）之間循環(huán)擔(dān)保的問題。,28.11.2024,19,審計(jì)署駐成都特派員辦事處,循環(huán)擔(dān)保問題描述,循環(huán)擔(dān)保，常見的有,兩家企業(yè)之間相互擔(dān)保,（即A為B擔(dān)保，B又為A擔(dān)保）和,三家企業(yè)之間循環(huán)擔(dān)保,（A為B擔(dān)保，B為C擔(dān)保，C為A擔(dān)保）的情況。,循環(huán)擔(dān)保的最終結(jié)果是擔(dān)保落空，形成事實(shí)上的信用放款，企業(yè)一旦無力償還貸款，貸款風(fēng)險(xiǎn)全部由銀行承擔(dān)。,分析循環(huán)擔(dān)保的專家經(jīng)驗(yàn)最先由京津冀辦董永強(qiáng)同志提出，能很好地解決3家以內(nèi)企業(yè)循環(huán)擔(dān)保的問題。,28.11.2024,20,審計(jì)署駐成都特派員辦事處,已有方法核

12、心是基于SQL的表自連接,貸款人 擔(dān)保人,A B,A D,B C,C A,D A,兩家企業(yè)相互擔(dān)保,：,Select*,From 貸款表 as a,貸款表 as b,Where a.貸款人=b.擔(dān)保人 and,a.擔(dān)保人=b.貸款人,三家企業(yè)循環(huán)擔(dān)保,：,Select*,From 貸款表 as a,貸款表 as b,貸款表 as c,Where a.貸款人=b.擔(dān)保人 and,b.貸款人=c.擔(dān)保人 and,c.貸款人=a.擔(dān)保人,B E,28.11.2024,21,審計(jì)署駐成都特派員辦事處,已有方法存在的不足,已有的方法沒有相應(yīng)的,數(shù)學(xué)模型,，導(dǎo)致其難以推廣到三家以上企業(yè)循環(huán)擔(dān)保的情況。,已

13、有的方法是,基于SQL,的，由于SQL自身的不足也導(dǎo)致該方法難以推廣：兩家企業(yè)相互擔(dān)保要,寫一次代碼,，三家企業(yè)循環(huán)擔(dān)保要,重寫一次代碼,，四家企業(yè)循環(huán)擔(dān)保還要,重寫一次代碼,，且循環(huán)擔(dān)保的企業(yè)越多，代碼越,復(fù)雜,，出錯(cuò)的可能也越大。,28.11.2024,22,審計(jì)署駐成都特派員辦事處,解決方案：跳出SQL，首先建模,針對(duì)已有方法存在的不足，我們對(duì)新方法的要求是：,有良好的數(shù)學(xué)模型，便于推廣到三家以上企業(yè)循環(huán)擔(dān)保的情況。,代碼簡(jiǎn)單可復(fù)用。只運(yùn)行一次就可以找出從兩家相互擔(dān)保到任意多家循環(huán)擔(dān)保的所有記錄。不用因?yàn)檠h(huán)擔(dān)保的企業(yè)家數(shù)改變而修改代碼。,28.11.2024,23,審計(jì)署駐成都特派員辦

14、事處,使用有向圖對(duì)擔(dān)保關(guān)系建模,圖分為,有向圖,和,無向圖,兩種，圖的邊是,有方向,的這種圖稱為有向圖，否則為無向圖。,節(jié)點(diǎn)A,節(jié)點(diǎn)B,節(jié)點(diǎn)C,節(jié)點(diǎn)A,節(jié)點(diǎn)B,節(jié)點(diǎn)C,28.11.2024,24,審計(jì)署駐成都特派員辦事處,使用有向圖對(duì)擔(dān)保關(guān)系建模,我們將,企業(yè)抽象為有向圖的節(jié)點(diǎn),，每一家企業(yè)，無論是貸款人還是擔(dān)保人，都用一個(gè)節(jié)點(diǎn)來表示。,我們將,擔(dān)保關(guān)系抽象為從擔(dān)保人指向貸款人的一條有向邊,。,28.11.2024,25,審計(jì)署駐成都特派員辦事處,有向圖建模演示,貸款人 擔(dān)保人,A B,A D,B C,C A,D A,B E,節(jié)點(diǎn)A,節(jié)點(diǎn)B,節(jié)點(diǎn)D,節(jié)點(diǎn)C,節(jié)點(diǎn)E,28.11.2024,26,

15、審計(jì)署駐成都特派員辦事處,循環(huán)擔(dān)保問題轉(zhuǎn)化為求環(huán)的問題,查找循環(huán)擔(dān)保實(shí)際上就轉(zhuǎn)化為了在有向圖中查找環(huán)（回路或強(qiáng)連通子圖）。,節(jié)點(diǎn)A,節(jié)點(diǎn)B,節(jié)點(diǎn)D,節(jié)點(diǎn)C,節(jié)點(diǎn)E,該有向圖中存在兩個(gè)環(huán),A-B-C-A,A-D-A,28.11.2024,27,審計(jì)署駐成都特派員辦事處,有向圖中環(huán)的搜索算法,在有向圖中搜索環(huán)的算法常見的有兩種：一種是,深度優(yōu)先搜索算法,，一種是將圖轉(zhuǎn)換成矩陣后用,Warshall算法,。,深度優(yōu)先搜索算法是從圖的一個(gè)節(jié)點(diǎn)開始，進(jìn)行深度優(yōu)先搜索，當(dāng)回到開始的節(jié)點(diǎn)時(shí)就找到了環(huán)，如果回來中間訪問過的節(jié)點(diǎn)，或沒有路徑可走，則結(jié)束本次搜索。,28.11.2024,28,審計(jì)署駐成都特派員辦

16、事處,深度優(yōu)先搜索算法演示,節(jié)點(diǎn)A,節(jié)點(diǎn)B,節(jié)點(diǎn)D,節(jié)點(diǎn)C,節(jié)點(diǎn)E,此時(shí)回到出發(fā)的節(jié)點(diǎn)A,找到環(huán),A-B-C-A,從節(jié)點(diǎn)C出發(fā)已無其它路徑，退回到節(jié)點(diǎn)B,到達(dá)節(jié)點(diǎn)E后沒有其它路徑可走，退回到節(jié)點(diǎn)B，此時(shí)從節(jié)點(diǎn)B出發(fā)的所有路徑都走完，再退回節(jié)點(diǎn)A，本次搜索結(jié)束。,Warshall算法不再贅述,28.11.2024,29,審計(jì)署駐成都特派員辦事處,Thank You!,28.11.2024,30,演講完畢，謝謝觀看！,內(nèi)容總結(jié),軟件測(cè)試的系統(tǒng)審計(jì)方法和有向圖算法在金融審計(jì)中的應(yīng)用。4/16/2022。這一特點(diǎn)就決定了保險(xiǎn)公司的取證最好從“面”上而不是從“點(diǎn)”上取證。如果簡(jiǎn)單這樣退保，等于將終保日期提前到批改日期。系統(tǒng)漏洞使得能把終保日期提前到批改生效日期之前。業(yè)務(wù)系統(tǒng)的數(shù)據(jù)可以從傳輸接口順利而準(zhǔn)確地傳到財(cái)務(wù)系統(tǒng)。但對(duì)財(cái)務(wù)系統(tǒng)進(jìn)行的操作則不能反過來傳輸?shù)綐I(yè)務(wù)系統(tǒng)。貸款人 擔(dān)保人。A D。B C。D A。From 貸款表 as a,貸款表 as b。Where a.貸款人=b.擔(dān)保人 and。Where a.貸款人=b.擔(dān)保人 and。b.貸款人=c.擔(dān)保人 and。c.貸款人=a.擔(dān)保人。B