巧用二維碼反驗票務系統數據可靠性

◆范 芹 楊俊宏/ 武漢市審計局

隨著互聯網大數據時代的到來，旅游行業和現代網絡信息技術不斷融合，旅游景點所售門票也從傳統的單一實體票向二維碼電子票轉變，網絡售票逐漸成為主要售票形式，這就對售票系統功能設計的規范、完善提出了更高的要求。今年，隨著審計覆蓋面加大，審計逐步開始對票務系統進行關注，筆者所在審計部門也嘗試在投資項目績效審計中將票務系統的投建與運營績效納入審計范疇。

筆者在對某項目票務系統進行調查了解發現，一般情況下，票務系統管理員對數據庫有較高的操作權限，如果有人利用系統管理員的ID對系統數據做出一些修改，是難以及時被發現的。而票務系統后臺數據庫中記錄了票種標識、人員數量、交易時間等一系列重要的信息，是反映真實業務情況的重要記錄，如果信息被篡改，勢必影響其他業務指標的評判，甚至被人利用而非法獲利。在獲取系統數據后，如何驗證該數據的真實性、完整性、可靠性，便成了票務系統審計中第一道亟待攻克的難關。

經過審計組反復討論研究，決定將電子票二維碼作為一個關鍵的突破口。在產生門票銷售訂單時，票務系統會自動生成一個唯一對應的二維碼，二維碼對應的是一段十六進制的字符串，字符串中同樣包含了票種標識、人員數量、售票時間等重要信息，而基于系統設計的字符串生成機制和校驗機制，除系統編碼人員，其他人在程序之外只能看到結果，一般無法知曉字符串所包含的對應信息，而且這些字符串通過非對稱秘鑰加密，即使了解編碼結構也無法對數據進行修改。因此，銷售訂單一旦生成二維碼后，再想通過修改這段十六進制的字符串生成相應的信息與數據庫中對應字段來匹配幾乎是不可能的，也就是說，二維碼或者十六進制代碼一旦生成，其對應的數據庫系統記錄數據就是唯一的，如果后期更改系統數據，其生成的二維碼或者十六進制代碼必然與修改前的原始數據生成的二維碼及十六進制代碼不一致，因此，審計人員可以通過已經生成的二維碼或十六進制代碼反推出數據庫原始數據，然后跟數據庫中對應的現有數據進行對比，如果不一致，即可認定現有數據是被篡改過的，以此來驗證票務系統數據的可靠性。

具體方法就是：從票務系統的后臺數據庫中取得二維碼對應的十六進制字符串集合，以及直接存放的門票交易訂單信息，先從解析二維碼開始，通過數據庫取得解析字符串對應的信息，截取對應信息的數據映射字符串；再對數據字節的順序進行調整，以取得對應信息的合序數據，對數據進行編碼轉換，得到對應信息的數值，生成原始信息數據；最后與數據庫當前的訂單信息數據進行對比，通過匹配門票編號、類型等信息，核對時間、人數信息，看二者數據是否匹配，如若匹配，數據未被修改，反之，數據已被篡改。