信息系统的力不从心
没有合理的管理和监控,再先进的信息系统也会形同虚设。
2001年10月31日,北京市第二中级人民法院判处贪污公款1000余万元的原中国医学科学院肿瘤医院住院处主任石巧玲死刑。一个医院的住院处主任竟然有机会贪污如此巨额的钱财,令人瞠目。
在石的犯罪成因分析中,“肿瘤医院住院处财务软件设计存在漏洞,给案犯提供了可乘之机”是论断之一。但实际上,在案发之前,由于石的预谋,肿瘤医院住院处已长期脱离信息系统和财务制度的控制。
住院处是办理住院病人进出院手续的部门。病人入院时必须在这里交一笔通常数目不菲的预交金。出院前,再由结账员在预交金中扣除病人实际住院费用,并把余款退还。石巧玲的作案手段并不高明:一是截留每日所收病人住院预交金,不上报,私藏收据;二是利用内部培训的机会,使用信息系统的模拟环境编造假结账单、假退款单,获得退费。
, 百拇医药 当住院处建设信息系统时,石以交费窗口用计算机系统影响效率为借口拒绝使用,坚持手工作业收取预交金,然后再由另一个人把病人的预交金录入计算机系统,以便病房护士查阅。住院处每天向财务处上交的预交金日报也由手工做成。一系列手工操作为石私藏收据、虚报预交金留下了空间。但是,虽然在收款环节可以手工操作,而预交金记录最终还是要输入计算机系统中。石案东窗事发后,系统中的病人预交金记录成了确认石罪行的有力证据之一。另一方面,如果财务处的人能稍微留意一下系统中的预交金总额,石的虚报数据立刻就会露馅。对住院处每日的财务报表,医院应根据财务制度要求,由财务处指定专人负责查收审核后入账。这种核查包括哪些人交费,哪些人出院结账,哪些人退款,应交银行的资金额等。但石在任期间,上报的手工日报,财务处从不进行具体审核,只是简单入账了事。财务处的借口是从未被授权审核住院处明细账。因为如此,使得这种非常低劣的作案手段竟然在“信息化”环境下潜伏了2年多之久,只是由于一个返聘的退休老会计偶然发现预交金总账莫名其妙地逐月减少,才被察觉。
石的另一种犯罪手段是利用内部培训的机会,使用打印结账单和退款单的模拟环境伪造单据。按道理讲,这里打印的电脑单据并不能视作财务凭证,而且,根据财务制度规定,任何出纳处理现金退收过程中,必须核实三张单据:收款单据、支出单据和退款单据。对病人出院结算也应核实:病人预交金=结账金额+退费金额,同时核实三张单据上的姓名是否一致。模拟环境下的假单据不可能有真实的病人预交金单据与之匹配, 因此,退款员只要查验不到结账单上病人的预交金收据,就可以判断这是假单。然而石在没有财务处监督之下,擅自指使住院处退款员退款时不要查验病人预交金收据。这样,借助于计算机伪造的退款单据在这里轻松过关。这也是所谓的软件“漏洞”所提供的“可乘之机”。显然,如果在正常的财务流程下,这样的伎俩根本无法得逞。
, 百拇医药
反思作案过程,疏于管理给案犯留下了足够的空间。据统计,针对信息系统的攻击和犯罪,有80%来自于企业的内部。虽然肿瘤医院在此期间建立了信息系统,但由于管理混乱,使系统不能按正常流程运行,甚至被歪曲利用。联想到2000年8月中国银行利川支行营业部主任邹曦为了销毁自己经济犯罪的罪证,利用职权获取超级用户密码,对信息系统进行毁灭性破坏,致使利川支行业务瘫痪一案,不禁让人更切实地感受到信息系统的脆弱。银行电脑系统的密码就好像金库的钥匙一样,应该是多层控制,并有严格的相互制约机制。如果权力过分集中,一旦产生犯罪,后果不堪设想。几年前,还有个别“聪明”的银行职员发现,在计算存款利息时,分以下的毫厘部分会“四舍五入”,而客户通常不会注意到这些细微的变化,因此这些人就利用软件把客户存款利息中舍去的部分统统划归自己的账户。这些来自内部的犯罪,使那些与信息化“保持距离”者更加踯躅不前,而那些“侥幸没有蹦出案犯”的信息中心主任们也紧张得主动或被动地检查起自家的漏洞来,以脱姑息养奸之干系。
其实,暂且不论信息系统安全领域“道魔相长”的自然风险,只说信息系统建设不得不迁就不合理的管理制度和管理流程,或管理和系统“两张皮”现象,就会使信息系统形同虚设,甚至成为别有用心之徒加以利用的“便利工具”。(朱琼)
来源:IT经理世界, 百拇医药
2001年10月31日,北京市第二中级人民法院判处贪污公款1000余万元的原中国医学科学院肿瘤医院住院处主任石巧玲死刑。一个医院的住院处主任竟然有机会贪污如此巨额的钱财,令人瞠目。
在石的犯罪成因分析中,“肿瘤医院住院处财务软件设计存在漏洞,给案犯提供了可乘之机”是论断之一。但实际上,在案发之前,由于石的预谋,肿瘤医院住院处已长期脱离信息系统和财务制度的控制。
住院处是办理住院病人进出院手续的部门。病人入院时必须在这里交一笔通常数目不菲的预交金。出院前,再由结账员在预交金中扣除病人实际住院费用,并把余款退还。石巧玲的作案手段并不高明:一是截留每日所收病人住院预交金,不上报,私藏收据;二是利用内部培训的机会,使用信息系统的模拟环境编造假结账单、假退款单,获得退费。
, 百拇医药 当住院处建设信息系统时,石以交费窗口用计算机系统影响效率为借口拒绝使用,坚持手工作业收取预交金,然后再由另一个人把病人的预交金录入计算机系统,以便病房护士查阅。住院处每天向财务处上交的预交金日报也由手工做成。一系列手工操作为石私藏收据、虚报预交金留下了空间。但是,虽然在收款环节可以手工操作,而预交金记录最终还是要输入计算机系统中。石案东窗事发后,系统中的病人预交金记录成了确认石罪行的有力证据之一。另一方面,如果财务处的人能稍微留意一下系统中的预交金总额,石的虚报数据立刻就会露馅。对住院处每日的财务报表,医院应根据财务制度要求,由财务处指定专人负责查收审核后入账。这种核查包括哪些人交费,哪些人出院结账,哪些人退款,应交银行的资金额等。但石在任期间,上报的手工日报,财务处从不进行具体审核,只是简单入账了事。财务处的借口是从未被授权审核住院处明细账。因为如此,使得这种非常低劣的作案手段竟然在“信息化”环境下潜伏了2年多之久,只是由于一个返聘的退休老会计偶然发现预交金总账莫名其妙地逐月减少,才被察觉。
石的另一种犯罪手段是利用内部培训的机会,使用打印结账单和退款单的模拟环境伪造单据。按道理讲,这里打印的电脑单据并不能视作财务凭证,而且,根据财务制度规定,任何出纳处理现金退收过程中,必须核实三张单据:收款单据、支出单据和退款单据。对病人出院结算也应核实:病人预交金=结账金额+退费金额,同时核实三张单据上的姓名是否一致。模拟环境下的假单据不可能有真实的病人预交金单据与之匹配, 因此,退款员只要查验不到结账单上病人的预交金收据,就可以判断这是假单。然而石在没有财务处监督之下,擅自指使住院处退款员退款时不要查验病人预交金收据。这样,借助于计算机伪造的退款单据在这里轻松过关。这也是所谓的软件“漏洞”所提供的“可乘之机”。显然,如果在正常的财务流程下,这样的伎俩根本无法得逞。
, 百拇医药
反思作案过程,疏于管理给案犯留下了足够的空间。据统计,针对信息系统的攻击和犯罪,有80%来自于企业的内部。虽然肿瘤医院在此期间建立了信息系统,但由于管理混乱,使系统不能按正常流程运行,甚至被歪曲利用。联想到2000年8月中国银行利川支行营业部主任邹曦为了销毁自己经济犯罪的罪证,利用职权获取超级用户密码,对信息系统进行毁灭性破坏,致使利川支行业务瘫痪一案,不禁让人更切实地感受到信息系统的脆弱。银行电脑系统的密码就好像金库的钥匙一样,应该是多层控制,并有严格的相互制约机制。如果权力过分集中,一旦产生犯罪,后果不堪设想。几年前,还有个别“聪明”的银行职员发现,在计算存款利息时,分以下的毫厘部分会“四舍五入”,而客户通常不会注意到这些细微的变化,因此这些人就利用软件把客户存款利息中舍去的部分统统划归自己的账户。这些来自内部的犯罪,使那些与信息化“保持距离”者更加踯躅不前,而那些“侥幸没有蹦出案犯”的信息中心主任们也紧张得主动或被动地检查起自家的漏洞来,以脱姑息养奸之干系。
其实,暂且不论信息系统安全领域“道魔相长”的自然风险,只说信息系统建设不得不迁就不合理的管理制度和管理流程,或管理和系统“两张皮”现象,就会使信息系统形同虚设,甚至成为别有用心之徒加以利用的“便利工具”。(朱琼)
来源:IT经理世界, 百拇医药