（计算机科学与技术专业论文）社会保险资金联网审计研究及实现.pdf

独创声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的 研究成果。据我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其 他人已经发表或撰写过的研究成果，也不包含未获得逵! 翅遗查墓 丝盂要挂型直明趁：奎拦互窒2 或其他教育机构的学位或证书使用过的材料。与 我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表 示谢意。 竺竺竺塑蛰竺兰鲨三望! 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，有权保留并 向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查阅和借阅。本人 授权学校可以将学位论文的全部或部分内容编入有关数据库进行检索，可以采用 影印、缩印或扫描等复制手段保存、汇编学位论文( 保密的学位论文在解密后 适用本授权书) 学位论文作者铭膨蛳 导师擗 签字日期：缔g 月们日 学位论文作者毕业后去向： 工作单位：青岛市审计局 通讯地址：青岛市山东路1 2 号甲 撕知 辨醐：叩年j 矽 l f 社会保险资金联两审计研究及实现 社会保险资金联网审计研究及实现 摘要 联网审计是随着信息化尤其是审计信息化的发展而发展起来的一项现代化的审 计技术和方法。与传统的审计方法和技术相比，联网审计具有审计实时性更强，审 计范围更广，审计质量和审计效率更高的特点。联网审计的实现审计方式的三个转 变，从单一的事后审计转变为与事前审计和事中审计相结合，从单一的静态审计转 变为动态审计和静态审计相结合，从单一的现场审计转交为现场审计与远程审计相 结合。 当前我国现有的社会保障体系仍不健全、保障制度仍不完善，社会保障基金在 筹集、管理和支付等环节中还存在许多不正常的现象，社保资金联网审计对于及时 发现和审查社保资金在征缴、管理和发放等方面存在的问题具有较大作用。 单刀双掷开关在网络安全中的使用较好的解决了网络物理隔离的问题，开关安 全控制器根是加强了网络和数据的安全。 采用增量数据采集的方式，通过增量识别技术采集到本系统中，减少了数据的 重复采集，降低了单次采集数据量；数据转换操作包括数据合法性检查、清洗、转 换、整理，最终形成标准格式的审计中间表数据，供审计使用。 本项目建设在一定程度上运用了多维数据分析技术，在分析模型的建立上也下 了较大功夫，这些模型的建立，对于将来的审计工作具有较大的意义，为后来人进 行社保审计提供了较多经验。 在数据中心和数据仓库的设计和建设中，引用了数据加工体系、数据模型和数 据集市等概念和方法，对数据中心和数据仓库的建设提供了较大帮助，在加强数据 处理和转换、简化数据抽取过程、加强数据管理等方面都具有较大作用，从而为社 保资金联网审计提供了基础性平台。 由于联网审计在我国尚属较新的审计方法和技术，社保资金联网审计成熟的案 例目前还没有，因此，本文联网审计的发展有一定能够的促进作用，对于审计机关 探索和研究联网审计方法和路子提供了一定的经验。 关键词：联网审计 数据采集审计预警分析模型数据中心 社会保险瓷金联网审计研究及实现 r e s e a r c ha n dr e a l i z a t i o no no l ao fs o c i a ls e c u r i t yf u n d s a b s t r a c t o n l i n e - a u d i t i n g ( o l a ) i sam o d e ma u d i t i n gt e c h n i q u e ，d 钾e l o p i n ga l o n gw i t ht h e d e v e l o p m e n to fi n f o r m a d z 州o n , e s p o e i a l l ya u d i t i n gi n f o m m f i z a t i o n c o m p a r e dt o t r a d i t i o n a la u d i tt e c h n o l o g y , o l ah a s s o m ec h a r a c t e r i s t i c s , s u c ha ss t r o n g e rr e a l - t i m e p r o p e r t y , w i d e ra u d i tr a n g e ，h i g h e ra u d i t i n gq u a l i t ya n de f f i c i e n c y , e t c o n l i n e - a u d i t i n g r e a l i z g st h r e et r a n s i t i o no ft h ea u d i tp a t t e r n , t h a ti s ：f r o ms i m p l ea f t e r w a r d - a u d i t i n gt o c o m b i n a t i o no f b e f o r e h a n d - a u d i t i n ga n da f t e r w a r d - a u d i t i n g , f r o ms i m p l es t a t i c a la u d i t i n g t oc o m b i n a t i o no fs t a t i c a la u d i t i n ga n dd y n a m i ca u d i t i n g ，f r o ms i m p l eo n s i t ea u d i t i n gt o c o m b i n a t i o no f o n - s i t ea u d i t m ga n dr e m o t ea u d i t i n g n o w a d a y s s o c i a ls e c u r i t ys y s t e mi no u rc o u n t r yi si m p e r f e c ty e t , a n dm a n y a b n o r m a lp h e n o m e n aa l et ob ei ne x i s t e n ti nt h ec u l l c c t m g ，m a n a g e m e n t ，e x p e n s i n go f s o c i a ls e c u r i t yf u n d s b e e a u 辩o fi t , o l ao fs o c i a ls e c u r i t yf u n d sm u s tp l a yam o r e i m p o r t a n tr o l e a p p l i c a t i o no f t h es i n g l e - p o l ed o u b l e - t h r o w ( s p d t ) i nt h en e t w o r ks e c u r i t ys o l v e s t h ep r o b l e mo fn e t w o r kp h y s i c a li s o l a t i o ma n ds e c u f i t ) rc o n t r o l l e re v e n 咖g t h e n s n e t w o r ka n dd a t as a f e t y i nt h i ss y s t e m , i n c r e m e n t a ld a t aa c q u i s i t i o ni sa p p l i e d , i no r d e rt or e d u c ed a t as i z e i ns i n g l ea c q u i s i t i o nt h o u g ht h ei n c r e m e n ti d e n t i f i c a t i o nt e c h n i q u et og a t h e rt h ec h a n g e d d a t ao n l y a n dd a t at r a n s f o r m a t i o ni n c l u d e s v a l i d i t yc h e c k i n g , d a t ac l e a n s i n g , t r a n s f o r m h l g ，c o m p i l a t i o n , a n df o r m ss t a u d a r d - f o r m a t t e di m e r i mt a b l e so fa u d i t i n gd a t a t ob e u s e di na u d i l t h i sp r o j e c ta d o p t sm u l t id i m e n s i o n a ld a t aa n a l y s i st e c h n o l o g yt oac e r t a i ne x t e n l m a n ye f f o r t sa l em a d eo nt h ec o n s t r u c t i o no ft h ea n a l y s i sm o d e l s ，w h i c hh a v eg r e a t s i g n i f i c a n c ef o rf u t u r ea u d i tw o r k , a n d 删d em u c he x p e r i e n c ef o rf u t t l es o c i a ls e c u r i t y f u n da u d i t w h e nd e s i g n i n ga n db u i l d i n gt h ed a t ac e n t r ea n dd a t aw a r e h o u s e ，t h ec o n c e p t so f d a t ap r o c e s s i n gs y s t e m , d a t am o d e ld a t am a l t sa l ea p p j i e d , w h i c hm a k em u c hh e l pt o s t r e n g t h e nt h ed a t ap r o c e s s i n ga n dd a t at r a n s f o r m a t i o n , t os i m p t i f yd a t as a m p l i n g , e n f o r c et h ed a t am a n a g e m e n t i tp r o v i d e sf u n d a m e n t a lp l a t f o r mt oo l ao fs o c i a ls e c u r i t y f u n d s a so l ai sar e l a t i v e l yn e wa u d i tw a yi no u i e o u n l yb yn o w , t h e r ea r en o s 嘲s f u ie a s e so f o l a o f 鬟) c i a ls e c u r i t yf u n do n l i n e - a u d i t o u re f f o r t sm u s tc o n t r i b u t e t ot h ed e v e l o p m e n to f0 l 九a n dp r o v i d es o m ee x p e r i e n c ei ne x p l o r i n ga n dr e s e a r c h i n g t h et h e o r ya n dw a y so f o l a b ya u d i td e p a r t m e n l k e yw o r d s ：o l a ；d a t aa c q u i s i t i o n ；a u d i te a r l y - w a r n i n g ；a n a l y s i sm o d e l ； d a t ac e n t r e 2 社会保险资金联两审计研究及实现 0 前言 联网审计是随着信息化尤其是审计信息化的发展而产生的一种现代化的审计 方法和手段，是指审计机关利用国家信息化建设带来的网络化和数据集中化等有利 条件，积极探索开展在网络互连环境下对具备条件的被审计单位进行年高审计的工 作模式。 国家金审工程二期的主要内容和任务就是研究并开展行业联网审计。在金审工 程二期建设中，审计署要初步建成联网审计系统，逐步开展对中央部门一级预算单 位以及财政、海关、国税、金融等部门的联网审计。省级和中心城市审计机关要开 展以一级预算单位以及地税、社会保险等部门、会计结算中心为重点的联网审计。 因此，对社会保险进行联网审计也是“十一五”期间的一件大事。 青岛作为计划单列市，要开展以一级预算单位以及地税、社会保险等部门、会 计结算中心为重点的联网审计。早在2 0 0 3 年，青岛市审计局就着手研究开展与市级 机关会计中心的联网审计，并被青岛市电子政务领导小组列为青岛市电子政务试点 示范项目，2 0 0 5 年，该项目顺利通过了专家组的验收并在审计工作中开始应用，取 得了较好成效，为进一步探索其他行业联网审计提供了宝贵的经验。因此，社保资 金联网审计的研究就有了一定的基础。目前，黑龙江省审计厅也在开展这方面的工 作，也为本课题的研究提供了帮助。 本课题研究的主要目标是在与市级机关开机中心联网审计的基础上，从理论与 实践结合上进一步深化，充分满足本课题应用示范各项功能的需要，实现“联网核 查”的审计模式；在对社会保险数据规划的基础上，实现对社会保险数据采集、数 据转换、数据报送、集中存储、审计预警、数据加工、审计分析、知识总结，充分 利用数据仓库技术，在海量数据存储与处理的应用平台基础上，可实现今后的功能 拓展和集成。 本文分为八章。第一章绪论介绍了联网审计的发展概述及研究现状；第二章介 绍了社会保障体系和社保计算机审计；第三章对社会保险资金联网审计硬件平台搭 建进行了设计；第四章讨论了社会保险资金联网审计数据采集技术；第五章阐述了 社会保险资金联网审计数据处理；第六章详细介绍社会保险资金联网审计应用系统 设计；第七章设计了社会保险资金联网审计数据中心及数据仓库；第八章总结了本 文的研究情况并提出了进一步研究的构想及研究方向。 社会保险资金联网审计研究及实现 1 绪论 1 1 联网审计的概念及发展概述 随着我国建设有中国特色社会主义事业的不断发展和国家信息化建设的推进， 我国审计事业正面临着许多新的情况。被审计单位信息化的快速发展致使审计主体 与电子数据分离，审计现场没有电子数据，打不开账本，国家审计开展的以单机审 计为基础的计算机审计也无法适应这种变化的需要，使得审计工作又一次面临着新 的挑战“1 。面对上述挑战，审计机关利用国家信息化建设带来的网络化和数据集中 化等有利条件，积极探索开展联网审计工作的方式。目前审计机关已经开始实现对 具备条件的被审计单位在网络互连环境下开展审计工作，审计人员一般把这种审计 方式称为联网审计。 经过近2 0 年的改革，在我国已经初步建立起与市场经济体制相适应的社会保 障体系，相继出台了养老保险、失业保险、医疗保险、工伤保险、生育保险等法规， 有力地促进了社会稳定，支持了各项经济建设和改革事业的持续、健康发展。社会 保障制度作为一项重要的社会经济制度，涉及到大量的资金流转，涉及到亿万国民 切身利益的社会公共事业，因而社会保障制度的运行状况以及资金运营的效果和安 全性，成为社会关注的焦点瑚。 当前我国现有的社会保障体系仍不健全、保障制度仍不完善，社会保障基金在 筹集、管理和支付等环节中还存在许多不正常的现象，比如：拖欠甚至拒缴保险费； 缴费比例、缴费基数不足；稽核力度不够，基金瞒报、漏报、冒领现象严重：地方 财政没有建立社会保障资金预算和统筹制度，资金支撑能力堪优等。虽然政府、人 大等各方面都很关注社会保障资金的管理和使用，但至今尚未建立有效的日常监督 机制。 社会保险联网审计是金审工程二期的主要任务，也是“十一五”期间的一件大 事。“金审工程”是我国。十一五”电子政务建设的重大工程之一，金审工程二期的 主要任务之一就是：到2 0 0 7 年，审计署要初步建成联网审计系统，逐步开展对中央 部门一级预算单位以及财政、海关、国税、金融等部门的联网审计。省级和中心城 市审计机关要开展以一级预算单位以及地税、社会保险等部门、会计结算中心为重 点的联网审计。因此，对社会保险进行联网审计也是“十一五”期间的一件大事。 6 社会保险赍金联网审计研究及实现 目前，金审工程一期已通过国家验收，二期正在酝酿启动，社会保险联网审计条件 已经成熟。同时，国家“金保工程”的推进也较快，全国4 0 0 个中心城市有8 0 个已 经使用了“金保工程”的网络平台。统一的信息管理平台也为社会保险联网审计的 开展提供了契机，奠定了坚实的基础。 审计信息化作为国家信息化的重要组成部分，受到各级政府的高度重视。青岛 市政府也将信息产业确定为经济发展的支柱产业，并制定了青岛市信息化建设4 九 五”规划和2 0 1 0 年远景目标( 纲要) 。青岛市委市政府对审计工作提出了具体要求， 要求审计机关调整改进审计方式和手段，对市级机关会计结算中心、社会保险和国 库等部门实行联网审计，建立对各预算单位预算资金使用情况、财政预算执行体系、 国家重要资金使用情况等进行更加科学、快捷、全面的监督，进一步完善青岛市财 政资金监督管理体系因此，必须按照审计署、省审计厅和市委市政府的指示，加 快审计信息化建设的步伐。 1 2 我国对联网审计的研究现状 2 0 0 3 年，审计署、中科院经过磋商，初步明确了联合开发项目的需求，并成立 了由双方人员共同参与的项目筹备组。之后，项目组在深化需求的基础上进行了可 行性研究论证。2 0 0 4 年1 0 月，以金审工程建设为背景，在计算机审计实践和相关 软件技术研究的基础上设立的项目“联网审计技术研究与应用”通过了中科院组织 的可行性技术专家论证，标志着项目正式启动，进入了科研攻关阶段。联网审计技 术研究与应用项目从立项之初到研发阶段，始终得到署领导的关注，作为项目主 管，刘家义、石爱中两位副审计长为项目制定了联网审计技术研究与应用项目为金 审工程服务的总目标，并勾画了项目的总体框架。联网审计技术研究与应用项目 要完成联网审计总体框架和需求的研究，制定一套联网审计系统建设指导方案，初 步探索联网审计法规、标准与规范，促进联网审计工作法制化、规范化。科学论证 联网审计关键技术，开发以多项自主知识产权技术为核心的软件平台，为审计人员 提供一套适用于现场审计和非现场审计、高性能、通用性强的审计工具，开发审计 信息资源。 2 0 0 5 年初，青岛市审计局启动与市会计核算中心联网审计，在预算执行、经济 责任审计中进行了尝试，积累了一定的联网审计经验。在对社会保险计算机审计理 7 社会保险赍金联网审计研究及实现 论研究方面也进行了一定探讨，编写的医疗保险基金计算机审计经验和失业 保险基金计算机审计经验，先后两次分别在全国社保审计工作会议和全省社保审计 工作会议上作了介绍，获得审计署、省审计厅领导认可及表扬。 审计署对中央部门的联网审计，是在审计署部门审计局与被审计的部门预算单 位进行网络连接的基础上，运用现场审计实施系统进行财政财务收支审计，并通过 该系统与办公自动化系统的连接实现网络化的审计管理；地方审计机关的联网审计， 多数是通过与集中会计核算、集中资金管理的行政事业单位结算中心等数据大、集 中的信息系统在网络连接基础上进行财政财务收支审计。 1 3 国外对联网审计的研究状况 加拿大金融监管局实施风险评价为基础的监管模式，并建立了一套联网监管系 统。加拿大金融监管体系包括财政部、加拿大银行( 中央银行) 、加拿大存款保险公 司、金融消费管理局、金融监管局等五家机构，加拿大金融监管局在财政部奁接领 导下工作，最高长官由财政部委任，向财政部报告。加拿大金融监管局主要职责为 对金融机构的监管，保障整个金融体系的稳定、安全发展：制定有关的政策法规： 提供专业的咨询服务。 在以财务审计为主的国家，联网审计以数据审计为主，例如，在罗马尼亚，罗 马尼亚会计法院组织和运作法明确了该国最高审计机关会计法院主要实施财务审 计，同时，该国联网审计以数据审计为主，产生了对公共财政委员会负责管理和维 护的增值税退税与支付应用系统数据库进行审计等，他们称为数据库审计的联网审 计类型。在效益审计为主的国家，联网审计以系统审计为主。从世界范围来看，欧 美发达国家、荚联邦国家等以效益审计为主的国家都以系统审计为主，如美国、英 国、印度等。北欧的挪威等国家还把系统审计发展到政府部门网站信息的真实性评 价。以效益审计为主的国家，审计机关对系统进行审查，既可以评价系统本身的经 济性、效率性和效果性，也可以通过测试程序最大程度地评价系统处理数据的经济 性、效率性和效果性，只要在审查过程中注意通过对处理程序的评价、判断、修正 来确保数据的真实性，也可以达到数据审计的最终目的。 8 社会保险资金联网审计研究及实现 2 社会保障体系和社保计算机审计简介 2 1 社会保障体系概述 2 1 1 社会保障制度概述 社会保障制度作为一项重要的社会经济制度和社会公共事业，涉及到大量的资 金流转，涉及到人民群众的切身利益，实质上属于社会再分配，具体的制度或政策 的制订、执行必然牵涉到政府、企业与个人之间的责任分担和不同群体之间的利益 调整。社会保障制度的运行状况以及资金运营的效果和安全性一直是社会关注的焦 点，国家审计机关必须依法对其开展审计监督，促进我国现代社会保障体系的建立 与完善嘲。社会保障资金管理信息化的迅速发展使社会保障审计环境发生了巨大变 化，传统的审计技术方法已不能满足信息化高速发展的要求，这就要求审计机关必 须运用计算机技术来开展社会保障审计工作。 社会保障是现代国家最重要的社会经济制度之一。建立健全与经济发展水平相 适应的社会保障体系，是经济社会协调发展的必然要求，是社会稳定和国家长治久 安的重要保证。 在1 9 7 8 年改革开放前，国家长期实行与计划经济体制相统一的社会保障政策， 最大限度地向人民提供各种社会保障。自2 0 世纪8 0 年代中期以来，伴随着社会主 义市场经济体制的建立和完善，国家对计划经济时期的社会保障制度进行了一系列 改革，逐步建立起与市场经济体制相适应，由中央政府和地方政府分级负责的社会 保障体系基本框架。 我国的社会保障体系包括社会保险、社会福利、优抚安置、社会救助和住房保 障等。社会保险是社会保障体系的核心部分，包括养老保险、失业保险、医疗保险、 工伤保险和生育保险，也就是俗称的“五险”。 下面依据中国的社会保障状况和政策白皮书简要介绍我国的社会保障体系 构成。 2 1 2 社会保障体系的构成 1 、养老保险 9 社会保险资金联网审计研究及实现 为保障老年人的基本生活，维护老年人合法权益，国家不断完善养老保险制度， 改革基金筹集模式，建立多层次养老保险体系，实现养老保险制度的可持续发展。 为保证退休人员基本养老金按时足额发放，减轻企业社会事务负担，政府积极 推进基本养老金社会化发放。自2 0 0 3 年起开始实施“金保工程”，目标是实现社会 保障信息的全国计算机联网运行。目前已初步实现养老保险信息的中央和省级的联 网。 2 、失业保险 建立和完善失业保险制度，保障职工失业后的基本生活，帮助失业人员实现再 就业，推进国有企业下岗职工基本生活保障制度向失业保险并轨。 为规范完善失业保险制度，我国政府于1 9 9 9 年颁布失业保险条例，规定了 参保范围和缴费、享受条件、失业保险金标准以及其他失业保险待遇。 3 、医疗保险 1 9 9 8 年颁布关于建立城镇职工基本医疗保险制度的决定，在全国实行社会 统筹与个人账户相结合的城镇职工基本医疗保险制度。这一基本医疗保险制度原则 上实行属地管理。为满足不同参保人员的医疗需求，国家建立和完善多层次医疗保 障体系，减轻参保人员的个人负担。各地区根据实际情况，普遍建立了大额医疗费 用补助制度。国家鼓励企业为职工建立补充医疗保险。针对国家公务员及原享受公 费医疗的事业单位人员，建立公务员医疗补助制度。国家逐步建立主要由政府投入 支持的社会医疗救助制度，为特殊困难群体提供基本医疗保障。 4 、工伤保险 国家建立职工的工伤预防、工伤补偿和工伤康复相结合的工伤保险制度。2 0 0 4 年1 月国家颁布的工伤保险条例。建立工伤保险基金统筹制度，国家规定，各类 企业和有雇工的个体工商户均应参加工伤保险，为本单位全部职工或者雇工缴纳工 伤保险费，劳动者个人不缴费。工伤保险实行“无过失补偿”的原则。 5 、生育保险 国家于1 9 8 8 年开始在部分地区推行生育保险制度改革。生育保险制度主要覆 盖城镇企业及其职工，部分鲍区覆盖了国家机关、事业单位、社会团体、企业单位 的女职工。生育保险费由参保单位按照不超过职工工资总额1 的比例缴纳，职工个 人不缴费。 6 、社会福利 积极推进社会福利事业的发展，通过多种渠道筹集资金，为老年人、孤儿和残 l o 社会保险资金联网审计研究及实现 疾人等群体提供社会福利。 7 、优抚安置 优抚安置制度是国家对以军人及其家属为主体的优抚安置对象进行物质照顾 和精神抚慰的一种制度。 8 、社会救助 国家最大限度地对生活困难的城乡居民实行最低生活保障，对受灾群众进行救 济，对城市流浪乞讨人员予以救助，提倡并鼓励开展各种社会互助活动。 9 、住房保障 国家积极推进以住房公积金制度、经济适用住房制度、廉租住房制度为主要内 容的城镇住房保障制度建设，不断改善城镇居民的住房条件。 l o 、农村社会保障 根据农村经济社会发展特点，国家在农村实行与城镇有别的社会保障办法，包 括建立农村养老保险制度，建立新型农村合作医疗制度，实行农村社会救助，以及 建立农村最低生活保障制度。 2 2 社会保障计算机审计 社会保障资金运行离不开计算机信息系统，这就决定了必须充分利用计算机技 术和方法开展社会保障审计。 2 2 1 社会保障计算机审计的必要性 社会保障资金运行具有资金量大、环节多、管理的重复性和时效性强等特点， 必须依赖计算机信息系统，社会保障管理信息化迅速发展，使得社会保障审计环境 发生了巨大变化，传统的审计技术方法已不能满足审计工作的需要。例如，随着“金 保工程”的实旌，不少城市相继实现了劳动力信息、社保基金的网络化管理，面对 复杂的信息系统、庞大的业务数据库，传统审计手段根本无法满足审计需求，只有 广泛地推广计算机审计方法，改进和提高审计技术手段，才能适应信息化发展的需 求。开展社会保障计算机审计，可达到以下审计目的。 利用通用审计软件和社会保障资金专业审计软件对被审计对象的信息系统进 行处理析，运用计算机审计技术审查业务数据的真实性和合法性。传统的财务收支 审计不能做到对社会保障资金征缴和使用的审计，要核查基金征缴、发放过程中是 社会保险资金联网审计研究及实现 否存在违规现象，必须借助计算机对庞大的业务电子数据进行分析旧。 2 2 2 社会保障计算机审计的基本思路与方法 开展计算机审计，关键是理清业务思路，明确业务需求。在确定审计业务需求 时，必须考虑审计业务的长远规划和审计工作方针，既要把握全局，又要体现重点， 达到审计和审计调查并重，财务收支审计和效益审计并重的目的。下面根据社会保 障审计实践，总结了审计的基本思路与方法。 1 、审计基本流程的设计 一般的计算机数据审计流程可以概括为审前调查、数据采集、数据整理转换、 建立审计中间表、总体分析、模型分析和延伸取证共7 个步骤。在社会保障计算机 工作中，可以根据实际情况将审计流程进行简化。 2 、审计对象的选取 选择信息化水平好、具备计算机审计条件的单位作为首选对象。 3 、审计重点的确定 做好审前调查，收集和掌握社会保障相关的国家法律、法规，特别注意当地有 关社会保障的政策及其执行情况，了解社会保障资金的运行和管理情况，从而确定 审计的总体思路和重点。社会保障资金主要涉及征收、管理、发放3 个方面，与传 统财务收支审计一样，计算机审计也针对这3 个方面全面展开。 4 、数据采集和处理 针对具体情况，采取不同的数据采集方式。 对于社会保障资金财务系统的审计，可以利用现有财务审计软件，采集被审计 单位电子数据，还原为电子账后实施审计。 对社会保障资金业务系统的审计，没有成熟的计算审计软件，根据情况采集全 部数据，或者提出采集条件，要求被审计单位提供数据。数据的转换及业务审计， 通过直接编写程序实现，可以将成熟、固定的分析流程开发为软件模块，使其具有 通用性”】。 5 、多角度、多数据源综 合审计分析m 一是将数据审计与系统 审计结合起来( 如图所示) ， 从系统审计的角度出发分析 社会保险资金联网审计研究及实现 潜在的问题。 二是要注意与其他社会保障项目结合起来进行计算机审计分析。 三是要结合业务、财务及被审计单位以外的数据进行计算机审计。 社会保硷资金联网审计研究及实现 3 社会保险资金联网审计硬件平台搭建设计 3 i 网络拓扑及安全 3 i 1 审计局与劳动局相关单位网络连接情况 联嘲审 订 审计局 摹金财务 管理系鲮 图3 - 1 电子政务网络情况 ( 1 ) 青岛市政府机关通过金宏网相互连接，进行日常的政务办公。 ( 2 ) 目前连入金宏网的政府机关只到一级单位，所以社保中心并为连入金宏网。 ( 3 ) 金宏网目前为所有联入的机关单位提供l o o m 共享带宽。 ( 4 ) 金宏网上目前已经运行的系统包括金宏电子政务系统、金宏多媒体网络会 议系统，还在建设的系统有金宏多媒体办公系统。 ( 5 ) 金宏网还将进行扩充改造，扩充后为联入的机关单位提供1 0 0 0 m 的共享带 宽。 ( 6 ) 社保专网与金宏网之间物理隔离，且目前劳动局没有迁移网络的计划。 3 1 2 网络系统需求 1 、系统连接需求。 ( 1 ) 根据应用系统设计，应用系统需要从社保系统和社保基金管理系统中获取 数据，而这两套系统分别部署在社保中心和劳动局，故而需要所设计的网络系统能 1 4 社会保险资金联网审计研究及实现 够同时连接这两个单位。 ( 2 ) 由于社保系统及基金管理系统的数据涉密，不能暴露在公开的电子政务网， 故而需要网络系统设计能够实现社保专网与金宏网的物理隔离。 2 、网络带宽需求。 ( 1 ) 社保中心与审计局之间的带宽需求 社保中心与审计局之间的数据传输包括社保业务数据和社保基金财务数据，但 前者远远大于后者，这里我们只考虑社保业务数据。 根据调研目前青岛社保业务数据共有5 0 0 g ( 根据系统实际情况和审计需求，其 中有效数据大概4 0 0 g 左右) ，包含社保5 年数据。社保系统业务按每年1 0 的数据 增量，则目前社保系统每年数据增长9 5 6 数据。由于社保系统每月业务量一致，所 以每月的数据增量在8 g b 左右。具体计算过程如下： 总传输量定义为c ： c = 8 g = 8 术1 0 2 4 m b = 8 掌1 0 2 4 1 0 2 4 k 8 = 8 1 0 2 4 1 0 2 4 1 0 2 4 b = 8 木1 0 2 4 1 0 2 4 誊1 0 2 4 b j 8 b i t 传输时间定义为t ( 假设要求在1 小时内传输完) ： t = c u 3 6 0 0 ( 秒) 单位带宽传输量定义为u ( 假设采用2 m 专用网络) ： u = c ( t 3 6 0 0 1 0 2 4 1 0 2 4 ) = ( 8 1 0 2 4 8 ) 1 3 6 0 0 = 1 8 m 以上是1 个小时传输完1 个月的增量数据所需带宽。以上是按独占网络的理想 情况下计算结果，并未考虑加密通道、网络带宽共享等方面的因素。 数据传输的时间要控制在下班期间，而为了给审计数据中心的数据加工留出足 够的时间( 晚1 8 ：0 0 _ - 8 ：o o ，共1 4 个小时) ，我们容忍传输时间为2 小时。所以期 望独占网络带宽在l o l l 。 ( 2 ) 社保中心与劳动局之间的带宽需求 社保中心与劳动局之间的数据传输主要是基金财务数据，目前青岛社保基金财 务数据l g 左右，年增量小于3 0 0 m ，每次通过将所有财务数据传输到前置机进行增 量处理，每月的传输量以2 g 计算。 总传输量定义为c ： c = 2 g = 2 木1 0 2 4 l b = 2 木1 0 2 4 木1 0 2 4 k b = 2 木1 0 2 4 爿c 1 0 2 4 木1 0 2 4 b = 2 木1 0 2 4 $ 1 0 2 4 木1 0 2 4 b 丰8 b i t 传输时间定义为t ( 假设要求在l 小时内传输完) ： 社会保险资金联网审计研究及实现 t = c u 3 6 0 0 ( 秒) 单位带宽传输量定义为u ( 假设采用2 m 专用网络) ： u ：c ( t 3 6 0 0 1 0 2 4 牢1 0 2 4 ) = ( 2 1 0 2 4 8 ) 1 3 6 0 0 】4 5 m 以上是1 个小时传输所有财务数据所需带宽约为4 5 m 。 3 、网络扩展需求。 联网审计系统是一个分析建设的大型分析系统，本项目只是其中的一个子系统。 而且今后建设的行业联网审计子系统需要与本系统之间进行数据交互及应用系统共 享，所以在设计网络系统时要考虑1 次投入和n 次投入的问题。同时考虑设计的网 络方案是否能够满足日益变大的数据传输要求。 3 1 3 网络拓扑设计 根据前面对目前青岛市电子政务网( 金宏网) 和社保专网目前环境调研，以及 对网络系统的需求分析，我们采用如图2 3 所示的网络拓扑设计。 图3 2 青岛社保联网审计网络拓扑图 从图3 2 中我们能够清除的了解到整个拓扑设计的几个关键点： 1 利用已有的金宏网作为主要的传输网络。 利用该网络进行社保业务数据和基金财务数据的传输，满足连接需求。由于我 们将传输的时间设计在1 8 ：0 0 _ _ 8 ：0 0 之间，我们可以最大限度的利用金宏网的百兆 网络带宽资源，满足独享l o b i 的要求。 2 设置了单刀双掷网络开关确保金宏网与社保专网的物理隔离。 1 6 社会保险资金联网审计研究及实现 根据单刀双掷网络开关的原理，两个网络中只有一个能够同时与前置机连接， 达到两个网络物理隔离的效果。 3 采用v p n 加密机保证数据传输和联网审计系统访问的安全。 通过v p n 加密机我们可以保证数据传输链路以及审计局联网审计系统数据的安 全。 ( 1 ) 通过v p n 加密机建立的数据传输链路可以有效地访问截取数据。 ( 2 ) 由于联网审计系统全部在v p n 加密机之后，所以审计局外部的用户无法访 问该系统。 4 使用劳动局至社保中心的社保专网作为辅助传输网络。 利用该网络进行社保基金财务数据的采集及传输，满足连接需求。我们的传输 时间会设置在非工作时间，该网络带宽为i o m 专用线路，能够满足需求。 根据以上网络系统设计方案，我们所需做的工作包括如下几项： 1 为社保中心申请一个金宏网接入信息点。 2 采购单刀双掷网络开关及其控制器。 3 采购一对v p n 加密机，分别部署在社保中心和审计局。 4 网络设备的安装及调试。包括如下几部分： 1 7 社会保险资金联网审计研究及实现 ( 1 ) 上述两项设备的安装调试。 ( 2 ) 前置机服务器、应用服务器、数据库服务器i p 地址的设置、映射及转换。 ( 3 ) 社保专网、金宏网的防火墙端口设置。需要开放的端口列表如表2 一l 所示。 表3 1 防火墙端口设置 端口号采集端金宏网络数据中心 备注 2 0 0 0 0 数据包传输。端口町配 2 0 0 0 1 数据包传输。端口可配 1 4 3 3 s q l 数据库访问。端口可配置 4 4 3 文件访问。远程管理需要 3 3 8 9 远程桌面管理。远程管理需要 3 1 4 安全设计 安全问题主要集中在网络安全( 只讨论两网的安全隔离，不讨论两网内部的安 全) ，社保数据的传输、访问安全上，不涉及备份安全、防病毒、监测及应急安全等 内容。 l 、安全设计需求 安全需求来源与两个方面：劳动局和审计局。 ( 1 ) 网络隔离和数据安全 一是金宏网是青岛市所有政府机关使用的公开的政务信息网，而社保专网是专 门用于劳动局内部使用的业务系统网络。根据要求不能够联通，需要进行物理隔离。 二是社保财务、业务数据将被复制到审计局，即进入金宏网。那么必须保证这些数 据在传输过程中，和存储在无论是前置机系统还是社保联网审计系统中的访问安全。 ( 2 ) 系统及数据的访问安全 一是联网审计应用系统不能暴露给审计局外部的人员访问。二是对于审计局内 部工作人员，应该根据授权进行社保财务、业务数据的查看。 2 、安全保障设计 前置机放在被审计单位，需要在社保专网和金宏网之间切换，为了保障两网网 络的安全隔离，我们采用单刀双掷网络开关来保证。但是引入单刀双掷开关的同时， 又带来了单刀双掷开关的控制安全和传输的数据安全，所以引入了开关安全控制器。 社会保险资金联网审计研究及实现 具体实现介绍如下 ( 1 ) 单刀双掷开关 单刀双掷开关是清华大学在国家8 6 3 课题的资助下研制而成，并从业务上满足 现场审计和联网审计的需求。这种联网方式保证了被审计单位和审计内网之间永远 是物理断开的，避开了从审计内网通过存活网络连接控制被审计单位，或者是被审 计单位的用户通过存活网络连接控制审计内网。因此从安全性上讲，单刀双掷开关 具有积极的意义。下面介绍单刀双掷网络开关设计原理： 单刀双掷开关具有4 个网络接口，分别为4 个t o m l o o m 自适应的以太网口，另 外还有一个r s2 3 2 串口。4 个网络口分别连接： 2 个网口连接审计前置机。前置机使用两个不同的i p 地址与单刀双掷开关的 两个网口相连； 1 个网口与被审计单位的业务服务器相连； 1 个网口与审计内网的审计主机相连； 1 个r s2 3 2 口与前置机的开关控制信源相连。 开关控制信源发出基于串口的控制信令决定开关的联通状态。如图3 - 3 及3 4 所示。 图3 - 3 缺省状态( 状态1 ) 1 9 社会保险瓷金联网审计研究及实现 图3 - 4 与被审计服务器相连( 状态2 ) 在上图中，由单刀双掷开关来控制链路的联通状态： 当开关倒向被审计单位方向时( 状态2 ) ，前置机连通被审计单位端网络，前置 机连通被审计单位待审计数据库进行数据采集工作。 相应的，当开关倒向审计内网时，前置机连通审计机关，前置机开始数据加工 并将数据传输回审计数据中心。 ( 2 ) 网络开关安全控制器 单刀双掷开关在特定时段保持了审计内网与前置机之间，或者审计前置机与被 审计单位服务器之间的网络连接。这种连接一旦建立，没有受到任何安全保护，由 此提出网络开关安全控制器( 简称控制器) 设计，并为前置机提供如下安全保障： 防范恶意代码扩善； 阻止未授权数据传输； 传输通道的加密： 进行控制信号认证； 控制源身份认证。 控制器主要由两大功能模块组成：。 i 内核子系统是控制器的核心组成部分，它负责更新控制器的配置并实施其所 有安全功能，这些功能包括硬件级物理隔离、身份认证、管理命令过滤、f t p 数据 过滤、i p 访问控制。 硬件级物理隔离：提供内部网络和外部网络的物理隔离，保证在同一时刻只 有一个方向的网络连接是连通的，内部网络和外部网络之间在硬件级是物理断开的。 身份认证：通过提供c a 证书文件( p e m 格式文件) 、控制器证书文件( 由c a 颁发的p e m 格式文件) 、控制器私钥文件( 没有p i n 码的p e m 格式文件) ，对发起控 制信号的控制源进行身份认证。 管理命令过滤：控制器将按照列出的规则对控制命令进行过滤，只有在规则 定义范围的调用才能通过控制器到达前置机，也就是只有符合规则的控制命令才能 管理前置机。 f t p 数据过滤：安全控制器的f t p 代理检查传输的文件名和文件头，若符合 规则定义的范围，则文件传输通过，否则拒绝文件传输请求。 2 0 社会保险资金联网审计研究及实现 i p 访问控制：该功能够针对地址、端口、协议等进行控制，并能结合m a c 地 址绑定等实施进一步的管理。 i i 管理子系统提供控制器的另一种管理方式，管理员在任何装有浏览器的环境 下可以方便的对控制器进行管理，它提供了丰富的管理功能，包括所有配置管理， 并有完善的日志管理、自动更新和系统监视功能。 配置管理：提供向导式配置工具，进行一步步的可视化的向导型配置管理， 保证控制器的配置工作简单快速。配置包括基本参数配置，网关、路由、网络接口 配置，模块管理，远程控制 日志管理：对控制器的运行日志进行可视化的管理，并可以将日志导出到外 部的s y s l o g 服务器、w e b t r e n d s 服务器、f r p 服务器，供管理人员进行运行故障分 析。 自动更新：通过自动更新，各前置机能够从服务器上下载最新程序。 系统监视：对控制器的运行情况进行监视，包括系统基本状态监视、网络接 口状态监视等。 3 、传输安全设计 通过在社保中，f i , 与审计局各部署1 台v p n 加密机，社保财务、业务数据还是通 过公开的政务网络传输，但由于v p n 加密机的作用，使社保中心和审计局之间建立 了一条私有的隧道，组成了一个虚拟的私有网，所有数据通过这个虚拟私有网传输， 保护数据不受外界的攻击“”。采用v p n 加密机，主要可以解决以下的问题： ( 1 ) 数据保密：隐藏明文的消息旧。 ( 2 ) 保证数据完整性：证实数据报文的内容在传输过程中有没有修改过，无论 是被故意改动还是发生了随机的传输错“”。如图3 5 2 1 社会保险资金联网审计研究及实现 图3 5 数据完整性保证 如图，发送的数据经过加密机，首先对原数据包进行h a s h 运算生成摘要，同时 对原数据包进行加密生成加密后的数据，将加密后的数据和摘要一起发送；接收端 接收到密文数据后，首先将数据包和摘要分开，然后将加密的数据包解密得到原始 数据包，再对原始数据包进行h a s