浅谈信息系统审计常用的的三种测试方法
吴艳山(江苏省徐州市审计局)
在常见的信息系统审计中,我们都结合数据审计来推断信息系统处理流程或控制方法是否合法有效。但是,信息系统若存在舞弊的功能或者其他缺陷,不一定都能反映在最终的数据上,比如舞弊或缺陷的功能尚未触发,或者产生了错误的、非法的结果数据并不存储在标准的后台数据中,使我们不能有效发现这些违规现象。因此,针对信息系统本身的审计是必要的,需要在已经对审计对象的法律法规、财务业务流程、数据和关键控制点有了初步理解,已经有了相对确定的线索、疑点或者初步发现业务流程的薄弱点的基础上,进一步采取技术方法进行有针对性的测试系统,从而发现问题的根源。
在目前的条件下,我们对信息系统审计测评的重点主要是软件应用控制的测试。测试对象主要是应用软件和数据库,检测点是数据的输入控制、处理控制。通过检测来确认输入操作的权限控制是否合理、输入数据的合理性、完整性,处理控制的可控性、处理条件和相关参数的合规性、处理数据的相关性、容错性、处理对象的完整性,数据库控制的安全性、合理性和对应用程序、操作人员的权限控制、数据库的备份恢复和可用性,还要关注应用软件和数据库的日志。
在审计实践中,我们可以借助于软件程序测试技术的动态测试思路,结合审计的重点和特点,采用“黑盒”测试和“白盒” 测试方法,还有一种介于其中的方法,取名为“灰盒”测试。
一、黑盒测试方法
“黑盒”测试方法是把系统看作是一个不透明的黑盒子,看不到内部,完全不考虑软件的内在结构,只关心其输入和输出的相应的数值。常用的方法是检查软件输入界面控制,在输入数据的同时是否检测数据的有效性和完整性,输入超出正常只范围的数据、不同类型数据、重复数据时如何处理,是否可以随意调整特定重要计算参数,是否在输入的数据之间进行逻辑关联验证,是否对不同权限人员的操作进行准确的控制等。我们可以根据前期审计发现的疑点问题进行在线数据的查询和取证。
如果条件可行,在自行搭建的模拟环境或被审计单位的测试系统上进行数据验证,改动关键计算参数,构造并输入一些边界数据、关键值数据、不合理的数据、逻辑错误的数据,观察输入界面的反应,检查系统对数据的处理过程(比如查看操作处理日志),验证对应输出的数据。在无法直接查看处理模块源程序的时候,通过测试数据的输入输出关联性,由此来判断输入控制的缺陷和猜测处理过程的合规性。
二、白盒测试方法
“白盒”测试方法是把系统看作是一个透明的白盒子,能够直接看到内部,又称逻辑覆盖法,即根据一定的标准,选取测试数据,用以分析程序的内部结构。对于“黑盒”测试方法的局限性,我们需要深入系统内部,检查数据自身的逻辑问题和具体的内部处理流程,为了确定前面所查出问题的根源,应该在针对前面查出问题的模块或流程,查看相应的软件设计开发文档,挑选具体模块的源程序进行检查和测试,有针对性的构造数据进行测试,全面检测软件系统的功能,比如语句覆盖、分支覆盖、路径覆盖等,从而直接发现有问题或者设计错误、有缺陷甚至非法的代码。这样就能在底层发现系统问题和数据无法测试出来的隐藏的舞弊功能代码,判断信息系统功能是否合法。
三、灰盒测试方法
在实际审计中,我们一般很难获取审计对象信息系统的开发文档和软件源代码,同时由于审计时间紧迫和审计人员软件编程知识的欠缺使得白盒测试方法比较难以实施。考虑到被审计对象的基础数据大都存储于商业化标准关系数据库中,应用软件软件的处理逻辑是通过编制好的内部程序流程对输入的数据进行处理,并与后台数据库实时交互,读取、处理、写入相关的数据。我们可以通过技术手段,实时跟踪关键业务的软件模块与后台数据库之间的数据连接、处理过程,并得到跟踪返回的代码,主要是sql语句,由此来分析理解软件的处理流程,判断软件的合法合规性。相比较完全不了解系统内部运行机制的黑盒测试法和需要完全了解系统内部程序结构、代码的白盒测试法,我们把系统看作是半透明的“灰盒”,可以看到部分内部信息。这种分析关键处理程序过程代码和数据(并非源代码)的测试法更实用有效。
比如后台是sql server数据库时,在应用软件的机器上使用“事件探查器”工具,对软件的某一个具体操作进行动作跟踪,查看软件和后台数据库交互的sql语句,在了解软件业务处理内容和后台数据结构的基础上,分析该具体操作的处理逻辑,判断业务处理的合规性。
在对应用软件进行输入控制的测试和处理控制的黑、白、灰盒测试的基础上,可以对信息系统的后台数据库进行检测,主要检测数据库的用户身份认证、数据库的存取控制、数据库的备份恢复控制、数据库的日志等,检测数据库和前台应用软件的关联性,从而从数据库的角度来发现一些信息系统软件的其他问题。综合运用这三种信息系统的测试方法,可以在对信息系统审计时提供有效的帮助。(吴艳山)
在目前的条件下,我们对信息系统审计测评的重点主要是软件应用控制的测试。测试对象主要是应用软件和数据库,检测点是数据的输入控制、处理控制。通过检测来确认输入操作的权限控制是否合理、输入数据的合理性、完整性,处理控制的可控性、处理条件和相关参数的合规性、处理数据的相关性、容错性、处理对象的完整性,数据库控制的安全性、合理性和对应用程序、操作人员的权限控制、数据库的备份恢复和可用性,还要关注应用软件和数据库的日志。
在审计实践中,我们可以借助于软件程序测试技术的动态测试思路,结合审计的重点和特点,采用“黑盒”测试和“白盒” 测试方法,还有一种介于其中的方法,取名为“灰盒”测试。
一、黑盒测试方法
“黑盒”测试方法是把系统看作是一个不透明的黑盒子,看不到内部,完全不考虑软件的内在结构,只关心其输入和输出的相应的数值。常用的方法是检查软件输入界面控制,在输入数据的同时是否检测数据的有效性和完整性,输入超出正常只范围的数据、不同类型数据、重复数据时如何处理,是否可以随意调整特定重要计算参数,是否在输入的数据之间进行逻辑关联验证,是否对不同权限人员的操作进行准确的控制等。我们可以根据前期审计发现的疑点问题进行在线数据的查询和取证。
如果条件可行,在自行搭建的模拟环境或被审计单位的测试系统上进行数据验证,改动关键计算参数,构造并输入一些边界数据、关键值数据、不合理的数据、逻辑错误的数据,观察输入界面的反应,检查系统对数据的处理过程(比如查看操作处理日志),验证对应输出的数据。在无法直接查看处理模块源程序的时候,通过测试数据的输入输出关联性,由此来判断输入控制的缺陷和猜测处理过程的合规性。
二、白盒测试方法
“白盒”测试方法是把系统看作是一个透明的白盒子,能够直接看到内部,又称逻辑覆盖法,即根据一定的标准,选取测试数据,用以分析程序的内部结构。对于“黑盒”测试方法的局限性,我们需要深入系统内部,检查数据自身的逻辑问题和具体的内部处理流程,为了确定前面所查出问题的根源,应该在针对前面查出问题的模块或流程,查看相应的软件设计开发文档,挑选具体模块的源程序进行检查和测试,有针对性的构造数据进行测试,全面检测软件系统的功能,比如语句覆盖、分支覆盖、路径覆盖等,从而直接发现有问题或者设计错误、有缺陷甚至非法的代码。这样就能在底层发现系统问题和数据无法测试出来的隐藏的舞弊功能代码,判断信息系统功能是否合法。
三、灰盒测试方法
在实际审计中,我们一般很难获取审计对象信息系统的开发文档和软件源代码,同时由于审计时间紧迫和审计人员软件编程知识的欠缺使得白盒测试方法比较难以实施。考虑到被审计对象的基础数据大都存储于商业化标准关系数据库中,应用软件软件的处理逻辑是通过编制好的内部程序流程对输入的数据进行处理,并与后台数据库实时交互,读取、处理、写入相关的数据。我们可以通过技术手段,实时跟踪关键业务的软件模块与后台数据库之间的数据连接、处理过程,并得到跟踪返回的代码,主要是sql语句,由此来分析理解软件的处理流程,判断软件的合法合规性。相比较完全不了解系统内部运行机制的黑盒测试法和需要完全了解系统内部程序结构、代码的白盒测试法,我们把系统看作是半透明的“灰盒”,可以看到部分内部信息。这种分析关键处理程序过程代码和数据(并非源代码)的测试法更实用有效。
比如后台是sql server数据库时,在应用软件的机器上使用“事件探查器”工具,对软件的某一个具体操作进行动作跟踪,查看软件和后台数据库交互的sql语句,在了解软件业务处理内容和后台数据结构的基础上,分析该具体操作的处理逻辑,判断业务处理的合规性。
在对应用软件进行输入控制的测试和处理控制的黑、白、灰盒测试的基础上,可以对信息系统的后台数据库进行检测,主要检测数据库的用户身份认证、数据库的存取控制、数据库的备份恢复控制、数据库的日志等,检测数据库和前台应用软件的关联性,从而从数据库的角度来发现一些信息系统软件的其他问题。综合运用这三种信息系统的测试方法,可以在对信息系统审计时提供有效的帮助。(吴艳山)
| 【关闭】 【打印】 |
