审计报告

经业务、技术、安全人员与某某相关人员沟通后编写出审计报告。审计报告

内容分别从业务、技术、安全三个方面概述某某现状及改进方案的建议。

一、业务

某某业务现状

1. 某某技术团队成员变动较大，现在团队中的技术人员来公司4个月以上就是

老员工，产品技术人员出现技术断层现像。

2. 某某没有专门业务经理来负责产品战略规划或业务需求规划，产品规则以技

术人员为核心。产品前期没有专门梳理需求，所有需求在技术人员头脑中。同样产品前期没有进行架构设计所以系统可扩展性差，现在某些功能扩展性受限。

3. 某某现有正在使用的产品系统有“线上乐百货”、“货款系统”。 “线上乐

百货”是线上理财平台其使用联动优势做为第三方资金托管。在沟通中得知联动优势产品很不好用，比如：金额扣款了，返回数据都没有等等，但是现在没办法只能先用着。乐百货实现的功能有线上发布理财产品信息、注册、实名认证、充值、投资、提现。还款功能暂时由线下计算出对各个投资人还款金额，然后通过商户平台账户单个对借款人还款。在“线上乐百货”线上发布的理财产品默认是线下审核通过的债权。

4. 某某“货款系统”是采购现成的软件，能满足信用借款，无法满足抵押借款。

“货款系统”与“线上乐百货”并未实现对接。

5. 某某开发中的产品系统有“债权匹配系统”、“审计加财务系统”。这两个系

1 / 5

统现在处于开发阶段。“审计加财务系统”是一个简单的结算与账单系统，此系统正处于开发阶段。 6. 某某现在的结算、账单、产品管理都是线下完成，无相关业务系统支撑。

对某某业务改进方案的建议

1. 稳定项目团队人员，避免出现技术断层。

2. 设置专门业务经理岗位，负责整个产品业务规划及产品业务梳理。在业务上负

责对业务分析并梳理出业务流程。根据需求进行原型的设计，编写有效的需求文档。需求有变更时及时与项目团队沟通并更新需求文档。在项目团队中负责对团队技术人员、测试人员讲解业务需求。对已开发成果进行需求的验证工作。 3. ”线上乐百货“线上平台建议不用联动优势第三方式资金托管，直接使用支付

通道方式。使用支付通道有以下几点好处

A. 经济层面，支付通道是不收产品技术服务费，只收取交易费（实名认证费、

充值费、提现费）。而联动优势会按年收取托管费和交易费（实名认证费、充值费、提现费）。

B. 更换第三方资金托管商成本较大，支付通道更换对平台基本不用改造，更

换支付通道接口即可，对用户账户不需要处理。更换第三方资金托管商则改造成本比较大，需要处理客户历史托管账户等问题。

C. 界面易用性，使用第三方支付通道比使用第三方资金托管界面效果友好且

无需跳转到第三方支付界面，而用第三方资金托管在支付时需要跳转至第三方界面。

4. 建议“贷款系统”与“线上乐百货”实现无缝对接。这样实现从借款申请、借

款审核、标的发布、资金募集、划款、还款整个项目生命周期线上管理。

2 / 5

5. 尽快上线“债权匹配系统”。由人工债权匹配转变成由系统完成债权匹配工作，

实现由人工线下操作转而经业务系统完成并实现各系统间数据的对接。 6. 建议尽快开发出“结算系统”、“账单系统”、“产品管理系统”。实现产品的结算、

账单通过系统完成。实现由人工线下操作转而经业务系统完成并实现各系统间数据的对接。

二、技术

某某技术现状

1. 缺乏统一的架构规划，各个业务系统的技术架构不统一，整体业务流程没有

实现闭环。

2. 缺乏统一的代码编写规范和有效的代码自动化检查手段。 3. Git作为代码配置管理工具，没有有效的使用流程和管理规范。

4. 没有统一的自动化部署管理,目前已经部分系统使用的自动化部署方式不统

一。

5. 主要系统使用的oracle 数据库。两台服务器做dataguard,无法满足HA的

要求，随着业务的发展，扩展性存在一定困难。

对某某技术改进方案的建议

1. 从业务发展的角度统一规划业务系统的技术架构，充分考虑系统的可持续性

和弹性扩展。建议考虑引入前后端分离和分布式等技术。

2. 制定统一的代码编写规范，并通过sonar等一些自动化的检查手段和git代

码review 流程来保证代码质量。

3. 建立统一合理的Git Flow 以保证代码配置管理的有效性和合理性。 4. 建议引入jenkins 作为统一的自动化部署平台，以满足产品迭代和灰度测

3 / 5

试的功能要求。

5. 建议逐步引入mysql数据库来替代现有的oracle数据库，mysql数据库在分

布式部署和弹性扩展方面具有一定的成本优势。

三、安全

某某安全现状

1. 没有专门负责公司网络安全的技术人员；

2. 某某目前没有专业的web网站防护手段，仅仅依靠的是常规技术手段和开源的

软件进行防护；对于web页面的安全性完全依靠技术人员的编写尽量安全的代码进行保护；

3. 某某目前没有专业的备份和数据存储手段，现在依靠的是系统自带的备份机

制和定时任务进行，而且进行对于数据进行了备份，系统方面没有进行备份工作；另外，备份出来的数据虽然是在本地和异地进行分别存储，但是都是存放在本地磁盘，一旦系统发生感染或者硬件损坏，备份的数据也会出现问题； 4. 某某目前没有专业的漏洞扫描发现手段和系统，技术方面进行的也仅仅是

端口访问进行防护，而且在系统层面和web页面方面也没有专业的漏洞扫描手段进行；

5. 某某目前的所有操作系统的日志审计工作依靠的是本地存放的用户操作日志，

没有统一的日志存放和审计；

6. 某某目前没有对于服务器进行防病毒保护；

对某某安全改进方案的建议

1. 设置专门的安全岗位，负责公司网络的整体安全规划、建设和管理工作； 2. 上线专业的web安全防护系统，专业的web安全防护系统不单单能够为web网

4 / 5

站提供专业的安全防护，也具备一定的网站访问优化的功能；

3. 上线专业的备份系统，对于系统、数据进行专业的备份，同时将备份出来的数

据专门存放在专业的存储设备上，同时可以视数据的重要性进行磁带存储； 4. 上线专业的漏洞扫描系统，同时建立定期的漏洞扫描、修复机制；将服务器的

日志记录（包括但不限于操作日志）集中存储，并且使用专业的日志审计系统进行审计；专业的日志审计系统不仅仅能够集中的对于日志进行存储和审计，同时可以设置报警，在进行敏感操作时触发，及时进行处理；

5. 对于服务器进行定期的安全扫描，不仅仅是漏洞，还有防病毒等安全因素，这

样可以最大限度的保证系统的运行平稳和业务连续性；

5 / 5