◆范 芹 楊俊宏/ 武漢市審計局

隨著互聯(lián)網(wǎng)大數(shù)據(jù)時代的到來，旅游行業(yè)和現(xiàn)代網(wǎng)絡(luò)信息技術(shù)不斷融合，旅游景點所售門票也從傳統(tǒng)的單一實體票向二維碼電子票轉(zhuǎn)變，網(wǎng)絡(luò)售票逐漸成為主要售票形式，這就對售票系統(tǒng)功能設(shè)計的規(guī)范、完善提出了更高的要求。今年，隨著審計覆蓋面加大，審計逐步開始對票務(wù)系統(tǒng)進行關(guān)注，筆者所在審計部門也嘗試在投資項目績效審計中將票務(wù)系統(tǒng)的投建與運營績效納入審計范疇。

筆者在對某項目票務(wù)系統(tǒng)進行調(diào)查了解發(fā)現(xiàn)，一般情況下，票務(wù)系統(tǒng)管理員對數(shù)據(jù)庫有較高的操作權(quán)限，如果有人利用系統(tǒng)管理員的ID對系統(tǒng)數(shù)據(jù)做出一些修改，是難以及時被發(fā)現(xiàn)的。而票務(wù)系統(tǒng)后臺數(shù)據(jù)庫中記錄了票種標(biāo)識、人員數(shù)量、交易時間等一系列重要的信息，是反映真實業(yè)務(wù)情況的重要記錄，如果信息被篡改，勢必影響其他業(yè)務(wù)指標(biāo)的評判，甚至被人利用而非法獲利。在獲取系統(tǒng)數(shù)據(jù)后，如何驗證該數(shù)據(jù)的真實性、完整性、可靠性，便成了票務(wù)系統(tǒng)審計中第一道亟待攻克的難關(guān)。

經(jīng)過審計組反復(fù)討論研究，決定將電子票二維碼作為一個關(guān)鍵的突破口。在產(chǎn)生門票銷售訂單時，票務(wù)系統(tǒng)會自動生成一個唯一對應(yīng)的二維碼，二維碼對應(yīng)的是一段十六進制的字符串，字符串中同樣包含了票種標(biāo)識、人員數(shù)量、售票時間等重要信息，而基于系統(tǒng)設(shè)計的字符串生成機制和校驗機制，除系統(tǒng)編碼人員，其他人在程序之外只能看到結(jié)果，一般無法知曉字符串所包含的對應(yīng)信息，而且這些字符串通過非對稱秘鑰加密，即使了解編碼結(jié)構(gòu)也無法對數(shù)據(jù)進行修改。因此，銷售訂單一旦生成二維碼后，再想通過修改這段十六進制的字符串生成相應(yīng)的信息與數(shù)據(jù)庫中對應(yīng)字段來匹配幾乎是不可能的，也就是說，二維碼或者十六進制代碼一旦生成，其對應(yīng)的數(shù)據(jù)庫系統(tǒng)記錄數(shù)據(jù)就是唯一的，如果后期更改系統(tǒng)數(shù)據(jù)，其生成的二維碼或者十六進制代碼必然與修改前的原始數(shù)據(jù)生成的二維碼及十六進制代碼不一致，因此，審計人員可以通過已經(jīng)生成的二維碼或十六進制代碼反推出數(shù)據(jù)庫原始數(shù)據(jù)，然后跟數(shù)據(jù)庫中對應(yīng)的現(xiàn)有數(shù)據(jù)進行對比，如果不一致，即可認定現(xiàn)有數(shù)據(jù)是被篡改過的，以此來驗證票務(wù)系統(tǒng)數(shù)據(jù)的可靠性。

具體方法就是：從票務(wù)系統(tǒng)的后臺數(shù)據(jù)庫中取得二維碼對應(yīng)的十六進制字符串集合，以及直接存放的門票交易訂單信息，先從解析二維碼開始，通過數(shù)據(jù)庫取得解析字符串對應(yīng)的信息，截取對應(yīng)信息的數(shù)據(jù)映射字符串；再對數(shù)據(jù)字節(jié)的順序進行調(diào)整，以取得對應(yīng)信息的合序數(shù)據(jù)，對數(shù)據(jù)進行編碼轉(zhuǎn)換，得到對應(yīng)信息的數(shù)值，生成原始信息數(shù)據(jù)；最后與數(shù)據(jù)庫當(dāng)前的訂單信息數(shù)據(jù)進行對比，通過匹配門票編號、類型等信息，核對時間、人數(shù)信息，看二者數(shù)據(jù)是否匹配，如若匹配，數(shù)據(jù)未被修改，反之，數(shù)據(jù)已被篡改。