2015年���,江蘇省南通市審計局在對南通第四人民醫院實施信息系統審計時�,通過“克隆系統�,創新思路”���,探索出一套全新的信息系統審計方法���。
“克隆”系統���,解除索縛
眾所周知����,開展信息系統審計���,必須對被審計單位信息系統進行必要的測試�����。但測試可能會影響被審計單位信息系統正常運行����,甚至對系統安全產生威脅����。因此���,審計人員審計時總是放不開手腳�。
該次審計�����,審計組經過協調�,爭取到被審計單位的技術支持�,在一臺高性能服務器上安裝起被審計單位業務系統和財務系統�����,審計人員將工作電腦通過交換機與該服務器組建成一個局域網�。“克隆”出一個與生產系統完全一致的信息系統環境�。這樣��,審計人員就不用再擔心審計數據查詢分析拖慢被審計單位信息系統�,可以放手運行各種軟件對其進行全面審計�����。
巧用“客戶端”��,提高審計速度
原本要花費大量的時間�����、精力�,破解被審計單位數據庫的庫結構���,進行較長時間數據重組�,才能得到所需數據����。在該次審計中��,審計人員通過在工作電腦上安裝運行被審計單位業務系統和財務系統的客戶端軟件�,迅速實現了業務系統報表數據和財務系統報表數據核對���,找出了業務數據與財務數據的差異���,并根據差異利用數據庫客戶端軟件確定審計疑點����,發現了被審計單位未能在各子系統之間實現數據關聯與業務控制����,費用結算模塊控制不完善����,存在重復收費���;部分業務收入未納入系統管理����,導致財務數據與業務數據不一致等問題���,審計速度提高了數倍�。
借助檢測設備���,增強系統安全性
醫院的路由���、交換�����、服務器��、工作站等硬件設備的安全性是醫院管理人員重點關注的內容���,也是審計人員著重關心的審計內容����。往年審計時�,因人員和時間的限制��,審計人員往往抽取部分設備�,檢測其工作日志和管理記錄���,無法準確全面地提示安全問題所在�。
在該次審計中�,審計人員借助一臺名為“遠程安全評估系統”的硬件設備�����,旁路接入醫院在線運行的網絡系統中�����,通過主動檢測方式����,檢測出系統存在“遠程桌面協議RDP遠程代碼可執行漏洞”等2個高危險漏洞�、18個中危險漏洞�����。借助該設備���,審計人員完成系統安全審計��,提高了審計效率�,節省了審計資源��;醫院也及時得到反饋信息��,根據解決方案做出了相應的升級�����,增強了系統的安全性��。(劉建坤)
