2015年，江蘇省南通市審計局在對南通第四人民醫(yī)院實施信息系統(tǒng)審計時，通過“克隆系統(tǒng)，創(chuàng)新思路”，探索出一套全新的信息系統(tǒng)審計方法。

“克隆”系統(tǒng)，解除索縛

眾所周知，開展信息系統(tǒng)審計，必須對被審計單位信息系統(tǒng)進行必要的測試。但測試可能會影響被審計單位信息系統(tǒng)正常運行，甚至對系統(tǒng)安全產(chǎn)生威脅。因此，審計人員審計時總是放不開手腳。

該次審計，審計組經(jīng)過協(xié)調(diào)，爭取到被審計單位的技術(shù)支持，在一臺高性能服務(wù)器上安裝起被審計單位業(yè)務(wù)系統(tǒng)和財務(wù)系統(tǒng)，審計人員將工作電腦通過交換機與該服務(wù)器組建成一個局域網(wǎng)。“克隆”出一個與生產(chǎn)系統(tǒng)完全一致的信息系統(tǒng)環(huán)境。這樣，審計人員就不用再擔心審計數(shù)據(jù)查詢分析拖慢被審計單位信息系統(tǒng)，可以放手運行各種軟件對其進行全面審計。

巧用“客戶端”，提高審計速度

原本要花費大量的時間、精力，破解被審計單位數(shù)據(jù)庫的庫結(jié)構(gòu)，進行較長時間數(shù)據(jù)重組，才能得到所需數(shù)據(jù)。在該次審計中，審計人員通過在工作電腦上安裝運行被審計單位業(yè)務(wù)系統(tǒng)和財務(wù)系統(tǒng)的客戶端軟件，迅速實現(xiàn)了業(yè)務(wù)系統(tǒng)報表數(shù)據(jù)和財務(wù)系統(tǒng)報表數(shù)據(jù)核對，找出了業(yè)務(wù)數(shù)據(jù)與財務(wù)數(shù)據(jù)的差異，并根據(jù)差異利用數(shù)據(jù)庫客戶端軟件確定審計疑點，發(fā)現(xiàn)了被審計單位未能在各子系統(tǒng)之間實現(xiàn)數(shù)據(jù)關(guān)聯(lián)與業(yè)務(wù)控制，費用結(jié)算模塊控制不完善，存在重復收費；部分業(yè)務(wù)收入未納入系統(tǒng)管理，導致財務(wù)數(shù)據(jù)與業(yè)務(wù)數(shù)據(jù)不一致等問題，審計速度提高了數(shù)倍。

借助檢測設(shè)備，增強系統(tǒng)安全性

醫(yī)院的路由、交換、服務(wù)器、工作站等硬件設(shè)備的安全性是醫(yī)院管理人員重點關(guān)注的內(nèi)容，也是審計人員著重關(guān)心的審計內(nèi)容。往年審計時，因人員和時間的限制，審計人員往往抽取部分設(shè)備，檢測其工作日志和管理記錄，無法準確全面地提示安全問題所在。

在該次審計中，審計人員借助一臺名為“遠程安全評估系統(tǒng)”的硬件設(shè)備，旁路接入醫(yī)院在線運行的網(wǎng)絡(luò)系統(tǒng)中，通過主動檢測方式，檢測出系統(tǒng)存在“遠程桌面協(xié)議RDP遠程代碼可執(zhí)行漏洞”等2個高危險漏洞、18個中危險漏洞。借助該設(shè)備，審計人員完成系統(tǒng)安全審計，提高了審計效率，節(jié)省了審計資源；醫(yī)院也及時得到反饋信息，根據(jù)解決方案做出了相應(yīng)的升級，增強了系統(tǒng)的安全性。（劉建坤）