一,、引言

數(shù)字經(jīng)濟(jì)時代,，電子數(shù)據(jù)本身所蘊(yùn)含的巨大價值逐漸被發(fā)現(xiàn)和挖掘，數(shù)據(jù)成為推動經(jīng)濟(jì)發(fā)展的基本要素之一,。黨的二十大報告明確提出“加快發(fā)展數(shù)字經(jīng)濟(jì),，促進(jìn)數(shù)字經(jīng)濟(jì)和實體經(jīng)濟(jì)深度融合，打造具有國際競爭力的數(shù)字產(chǎn)業(yè)集群”,。數(shù)字經(jīng)濟(jì)的蓬勃發(fā)展,，離不開數(shù)字技術(shù)的廣泛應(yīng)用,。借助數(shù)字技術(shù)的不斷進(jìn)步，儲存在本地磁盤或云端上的電子數(shù)據(jù)不僅降低了如對紙質(zhì)等實物儲存的依賴,，而且實現(xiàn)了海量數(shù)據(jù)的低成本儲存和便捷使用,。同時，審計數(shù)據(jù)也由傳統(tǒng)的財務(wù)賬簿,、憑證等紙質(zhì)形式記錄轉(zhuǎn)變?yōu)殡娮訑?shù)據(jù)形式的數(shù)字化記錄,，來源單一、數(shù)據(jù)量小的傳統(tǒng)審計數(shù)據(jù)逐漸呈現(xiàn)多維,、多元,、異構(gòu)等新特點，為審計業(yè)務(wù)的有序開展提供了更為豐富的審計數(shù)據(jù)基礎(chǔ),。然而,，以電子載體為主的儲存形式也潛藏著相應(yīng)的風(fēng)險。與傳統(tǒng)紙質(zhì)媒介記錄的數(shù)據(jù)相比,，電子數(shù)據(jù)因其特性從而具有更大的復(fù)制,、丟失、篡改等風(fēng)險,，且電子數(shù)據(jù)的復(fù)制和篡改行為往往難以被察覺,，其存儲和使用過程中的安全性問題日益凸顯，審計數(shù)據(jù)的訪問安全問題便是其中之一,。在審計數(shù)據(jù)訪問的過程中,，大量電子數(shù)據(jù)通過網(wǎng)絡(luò)進(jìn)行傳輸，數(shù)據(jù)的傳輸環(huán)節(jié)多,、鏈條長,，加之存在一定程度的數(shù)據(jù)控制不力等情況，從而使得隱私數(shù)據(jù)具有泄露風(fēng)險,，嚴(yán)重危害數(shù)據(jù)的安全性,，不僅阻礙了審計工作的正常開展，而且會對企業(yè)的生存產(chǎn)生威脅,。因此,，為在審計工作中保護(hù)被審計單位的機(jī)密數(shù)據(jù)，保障企業(yè)的穩(wěn)定發(fā)展,，審計數(shù)據(jù)的訪問控制亟待重視與加強(qiáng),。

現(xiàn)有審計數(shù)據(jù)訪問模式難以滿足被審計單位對保障自身數(shù)據(jù)安全的需求，在科技強(qiáng)審的戰(zhàn)略目標(biāo)下,，利用新技術(shù)構(gòu)建可靠,、穩(wěn)定的審計數(shù)據(jù)訪問模式迫在眉睫，而區(qū)塊鏈基于其技術(shù)特點為解決審計數(shù)據(jù)訪問安全問題提供了切實可行的嶄新視角,。從本質(zhì)上看,，區(qū)塊鏈?zhǔn)且粋€全網(wǎng)維護(hù)和共享的分布式數(shù)字賬本，具有不可篡改,、可追溯,、安全可信等特點，為數(shù)字記錄和信息傳輸提供了一個安全,、穩(wěn)定的去中心化框架,。它集成了分布式儲存、共識算法,、非對稱加密,、智能合約等多種技術(shù)，可在不依靠任何可信第三方中心機(jī)構(gòu)的情況下,，實現(xiàn)多方可信,、信息的對等傳輸。通過區(qū)塊鏈技術(shù),，可實現(xiàn)訪問權(quán)限控制、數(shù)據(jù)加密傳輸,，進(jìn)而有效保障數(shù)據(jù)安全,，契合了當(dāng)前審計工作對加強(qiáng)審計數(shù)據(jù)訪問控制的需求。

本文基于現(xiàn)階段審計數(shù)據(jù)采集現(xiàn)狀,，對傳統(tǒng)審計數(shù)據(jù)訪問控制局限性進(jìn)行分析,，發(fā)現(xiàn)區(qū)塊鏈技術(shù)在加強(qiáng)審計數(shù)據(jù)訪問控制方面具有高度的技術(shù)契合性和可行性。在此基礎(chǔ)上,，構(gòu)建了基于區(qū)塊鏈技術(shù)的審計數(shù)據(jù)訪問控制框架,，并對該框架下的審計數(shù)據(jù)訪問流程做出說明，詳細(xì)分析了該框架的優(yōu)勢和局限,，以期通過區(qū)塊鏈技術(shù)推動審計數(shù)據(jù)安全訪問的同時,，為新時代下“區(qū)塊鏈+審計”路徑的探索提供有益參考和借鑒。

二,、文獻(xiàn)綜述

（一）傳統(tǒng)審計數(shù)據(jù)訪問控制研究

由于本文的審計數(shù)據(jù)專指以電子形式存在的審計證據(jù),，因此對審計數(shù)據(jù)訪問的探討也是基于電子審計數(shù)據(jù)展開的?，F(xiàn)有審計數(shù)據(jù)儲存方式主要有以下兩種，分別是本地計算機(jī)儲存和云端線上儲存,。本地計算機(jī)儲存是指將數(shù)據(jù)儲存在被審計單位內(nèi)部的硬盤或磁盤上,，儲存在本地計算機(jī)的審計數(shù)據(jù)，具有完全受被審計單位控制的突出特點,，因此為審計數(shù)據(jù)的非法修飾或篡改提供了巨大空間,。此外，數(shù)據(jù)篡改的成本和難度極低,，并且篡改痕跡往往難以被發(fā)掘,，使得審計工作的難度被進(jìn)一步加大。在實施審計的過程中,，審計數(shù)據(jù)的訪問并未得到高度重視和嚴(yán)格控制,。在傳統(tǒng)的現(xiàn)場審計模式中，審計人員采集審計數(shù)據(jù)主要通過硬盤拷貝的方式,，既容易丟失,，又容易感染病毒，審計數(shù)據(jù)的安全性難以得到保障,，數(shù)據(jù)的共享性也受到極大限制,，不利于審計工作的高效開展。而由被審計單位線上發(fā)送審計數(shù)據(jù)的方式,，可能存在被惡意攔截和攻擊的風(fēng)險,，這無疑加大了審計數(shù)據(jù)丟失、泄露的可能,，此時審計單位接收到的審計數(shù)據(jù)的真實性,、完整性和準(zhǔn)確性也有待商榷。

云儲存是基于云計算的發(fā)展而衍生出的一種在線儲存方式,。與本地數(shù)據(jù)儲存方式相比,，云存儲具有大幅減少本地存儲、維護(hù)和管理成本,，打破地理位置對數(shù)據(jù)訪問的限制等優(yōu)勢,。然而，被審計單位在享受云儲存帶來的便捷存儲和管理服務(wù)的同時,，實質(zhì)上已經(jīng)喪失了對數(shù)據(jù)的直接控制權(quán),，使得數(shù)據(jù)的安全性和完整性面臨一定風(fēng)險。由于數(shù)據(jù)不受其所有者的控制,，就難以避免云服務(wù)提供商（cloud service provider,，CSP）的一些不當(dāng)行為。CSP可能出于好奇訪問用戶儲存在云端上的敏感數(shù)據(jù),，還可能為了節(jié)省儲存空間在未經(jīng)授權(quán)的情況下刪除不經(jīng)常訪問的數(shù)據(jù),，或者在儲存的數(shù)據(jù)損壞時不采取任何彌補(bǔ)措施,。即使企業(yè)可憑借密碼驗證等方式隨時查詢線上相關(guān)數(shù)據(jù)，但仍無法直接確認(rèn)數(shù)據(jù)是否發(fā)生損壞和修改等情況,，更無法檢查數(shù)據(jù)是否被云服務(wù)提供商（CSP）非法遷移至其他服務(wù)器,。即便可通過第三方審計者（third party auditor，TAP）對數(shù)據(jù)的完整性進(jìn)行審計,，但仍然存在CSP與TAP為了經(jīng)濟(jì)利益而合謀欺騙被審計單位的可能性,。此外，審計單位對于云端數(shù)據(jù)的訪問均是以互聯(lián)網(wǎng)為通道和基礎(chǔ),，復(fù)雜的網(wǎng)絡(luò)環(huán)境使審計數(shù)據(jù)在傳輸過程中面臨病毒攻擊和黑客截取的風(fēng)險,，不但使審計數(shù)據(jù)采集的數(shù)量和質(zhì)量難以得到有效保證，阻礙審計工作的正常開展,，而且容易導(dǎo)致被審計單位核心數(shù)據(jù)的泄漏和丟失,，給被審計單位帶來不可估量的損失。

（二）區(qū)塊鏈訪問控制研究

區(qū)塊鏈中儲存了包括交易,、用戶信息,、智能合約代碼等在內(nèi)的海量數(shù)據(jù),。因此數(shù)據(jù)安全是區(qū)塊鏈的首要安全目標(biāo),，區(qū)塊鏈基于其基礎(chǔ)技術(shù)在數(shù)據(jù)安全方面的表現(xiàn)尤為突出,。近年來,，有學(xué)者研究利用區(qū)塊鏈技術(shù)與云儲存結(jié)合加強(qiáng)數(shù)據(jù)儲存安全，以彌補(bǔ)云儲存在數(shù)據(jù)完整性和安全性上的不足,。由于區(qū)塊鏈具有不可篡改和可追溯等特點,，相較于使用云儲存和區(qū)塊鏈結(jié)合檢驗數(shù)據(jù)完整性,，將數(shù)據(jù)直接存儲于區(qū)塊鏈的方式更有助于保障數(shù)據(jù)的完整性,，簡化數(shù)據(jù)真實性的驗證過程,，因此，部分學(xué)者基于區(qū)塊鏈的技術(shù)特性開展了數(shù)據(jù)訪問相關(guān)研究,，并取得了一定的研究成果,。Azaria等將區(qū)塊鏈技術(shù)應(yīng)用于醫(yī)療記錄，用以解決醫(yī)療數(shù)據(jù)訪問碎片化,、速度慢，系統(tǒng)互操作性,，病人代理等問題以及提高醫(yī)學(xué)研究數(shù)據(jù)的質(zhì)量和數(shù)量,。吳振銓等將聯(lián)盟區(qū)塊鏈與智能電網(wǎng)相結(jié)合，以實現(xiàn)電網(wǎng)數(shù)據(jù)的安全存儲與共享,。在系統(tǒng)節(jié)點間數(shù)據(jù)共享方面,，吳振銓等提出數(shù)據(jù)擁有者驗證申請節(jié)點身份，智能合約執(zhí)行設(shè)定的數(shù)據(jù)共享范圍,、時間限制等約束條件的方式,，以此實現(xiàn)數(shù)據(jù)安全訪問,。Zhang等以以太坊智能合約平臺為基礎(chǔ)，提出由多個訪問控制契約,、一個判斷契約和一個注冊契約組成的物聯(lián)網(wǎng)訪問控制框架，實現(xiàn)物聯(lián)網(wǎng)系統(tǒng)的分布式可信訪問控制,。Ezhil等將云儲存與區(qū)塊鏈相結(jié)合,，提出一種可審計的基于屬性的加密方案，主要通過將文件與訪問策略相關(guān)聯(lián)對文件進(jìn)行加密,、支持對數(shù)據(jù)進(jìn)行公開審計的方式實現(xiàn)數(shù)據(jù)的安全共享和完整性驗證,。

在區(qū)塊鏈審計方面，房巧玲等分析了區(qū)塊鏈技術(shù)與審計工作的契合性,，提出雙鏈架構(gòu)的審計模式,，其中在審計主體鏈中加入審計服務(wù)監(jiān)管方節(jié)點，用于確保審計流程規(guī)范性。王琳和張尤鳳認(rèn)為審計訪問層可以采用非對稱加密技術(shù),，以此保障數(shù)據(jù)傳輸?shù)陌踩咝?，審計單位人員使用設(shè)備接入被審計單位區(qū)塊鏈應(yīng)用平臺，不同的登錄角色因其屬性不同分配對應(yīng)的密鑰,，獲取不同的訪問權(quán)限和內(nèi)容,。

總體來看，存儲在本地計算機(jī)或云端的審計數(shù)據(jù),，在其儲存和審計訪問的過程中均存在較大的數(shù)據(jù)安全風(fēng)險,，審計數(shù)據(jù)在傳輸過程中缺乏有效的安全保障機(jī)制。現(xiàn)有文獻(xiàn)論證了區(qū)塊鏈技術(shù)能夠有效保障數(shù)據(jù)儲存安全,，并且已有學(xué)者對基于區(qū)塊鏈技術(shù)的數(shù)據(jù)訪問進(jìn)行了一定的研究,，主要集中于物聯(lián)網(wǎng)設(shè)備訪問、醫(yī)療數(shù)據(jù)訪問和電網(wǎng)數(shù)據(jù)訪問等方面,。此外,，現(xiàn)有關(guān)于區(qū)塊鏈和審計的研究主要集中于整體的構(gòu)建上，對審計數(shù)據(jù)的訪問控制具體設(shè)計研究并不多見,。因此,，構(gòu)建審計數(shù)據(jù)訪問安全控制框架，規(guī)范審計人員數(shù)據(jù)采集流程,，不僅有利于完善區(qū)塊鏈審計內(nèi)容,，而且對區(qū)塊鏈與審計結(jié)合進(jìn)程的推進(jìn)意義重大。本文在已有文獻(xiàn)研究的基礎(chǔ)上,，結(jié)合區(qū)塊鏈技術(shù)特點,，重塑現(xiàn)有的審計數(shù)據(jù)訪問流程，構(gòu)建基于區(qū)塊鏈技術(shù)的審計數(shù)據(jù)訪問控制框架,，為提升審計數(shù)據(jù)安全訪問,、加強(qiáng)被審計單位數(shù)據(jù)安全性提供參考。

三,、區(qū)塊鏈技術(shù)的審計數(shù)據(jù)訪問控制框架

（一）框架構(gòu)建

基于區(qū)塊鏈技術(shù)的審計數(shù)據(jù)安全訪問框架中主要包括被審計單位,、審計單位以及區(qū)塊鏈三個實體（如圖1所示）。

1.被審計單位節(jié)點

被審計單位節(jié)點負(fù)責(zé)將審計數(shù)據(jù)傳輸?shù)絽^(qū)塊鏈上加密儲存,，包括本單位的業(yè)務(wù)數(shù)據(jù),、財務(wù)數(shù)據(jù)等，除此之外,，本單位的各種歷史資料也需要整理匯總后存儲在區(qū)塊鏈上,，以便后續(xù)查驗。被審計單位節(jié)點還需搭建與審計單位相連接的數(shù)據(jù)傳輸通道,，對節(jié)點的注冊進(jìn)行控制，維護(hù)區(qū)塊鏈安全運(yùn)行。對部分非機(jī)密數(shù)據(jù),，被審計單位節(jié)點可以選擇性地公開,，精簡數(shù)據(jù)訪問流程，提高系統(tǒng)運(yùn)行效率,。

2.區(qū)塊鏈

審計數(shù)據(jù)經(jīng)過節(jié)點共識后被打包整理成數(shù)據(jù)區(qū)塊,，在每個新生數(shù)據(jù)區(qū)塊的區(qū)塊頭中，均含有上一個數(shù)據(jù)區(qū)塊的加密哈希值以及記錄數(shù)據(jù)區(qū)塊生成時間信息的時間戳,，該哈希值和時間戳能夠?qū)崿F(xiàn)數(shù)據(jù)區(qū)塊的追蹤和查驗,，保證審計數(shù)據(jù)的完整性。在審計過程中,，區(qū)塊鏈作為連接被審計單位和審計單位的通道,，為審計工作的順利開展提供技術(shù)保障。

3.審計單位節(jié)點

審計單位節(jié)點利用授權(quán)完成的個人電腦,、智能手機(jī)等設(shè)備,，根據(jù)對應(yīng)權(quán)限訪問被審計單位中所運(yùn)行的區(qū)塊鏈并采集鏈內(nèi)數(shù)據(jù)作為審計數(shù)據(jù)，對其進(jìn)行計算分析以發(fā)現(xiàn)疑點,，還可在區(qū)塊鏈中對所發(fā)現(xiàn)的疑點數(shù)據(jù)進(jìn)行持續(xù)跟蹤以獲取審計證據(jù),。

（二）框架流程

數(shù)據(jù)分為公開數(shù)據(jù)與非公開數(shù)據(jù)兩種類型，審計數(shù)據(jù)安全訪問對不同的數(shù)據(jù)類型采用不同的訪問方式,，但均需預(yù)先進(jìn)行身份認(rèn)證和登錄認(rèn)證,。基于此,，定義一組審計人員節(jié)點α與一組審計數(shù)據(jù)訪問權(quán)限Pα,。

身份認(rèn)證：審計人員節(jié)點α加入到被審計單位的區(qū)塊鏈后，事先編寫并部署在區(qū)塊鏈上的智慧合約會將現(xiàn)實世界中已經(jīng)存在的有助于確定具體審計人員的ID信息（例如姓名,、工號,、職位等）及對應(yīng)數(shù)據(jù)訪問權(quán)限Pα映射到該審計人員節(jié)點的區(qū)塊鏈地址，每個審計人員αi都有與之相對應(yīng)的審計數(shù)據(jù)訪問權(quán)限Pαi,。身份登記操作僅作用于經(jīng)過認(rèn)證的審計單位,，并且將ID信息編碼到智慧合約中的策略可以規(guī)范新身份的注冊或現(xiàn)有身份映射的更改。

登錄認(rèn)證：審計人員節(jié)點α身份認(rèn)證完成后,，可獲得基于非對稱加密算法生成的一對密鑰（即公鑰Kα和私鑰kα）,，公鑰向全網(wǎng)進(jìn)行公布，私鑰由審計人員自行保存,。審計人員節(jié)點α在客戶端通過私鑰加密登錄信息后,，將其發(fā)送至服務(wù)器，后者接收該信息后利用其對應(yīng)的公鑰進(jìn)行解密,，以驗證登錄信息的合法性,。

1.訪問公開數(shù)據(jù)

數(shù)據(jù)訪問及驗證：登錄認(rèn)證通過后,，審計人員節(jié)點α可直接訪問鏈上被審計單位節(jié)點公開的數(shù)據(jù)，該數(shù)據(jù)附有被審計單位的數(shù)字簽名,，從而表明該數(shù)據(jù)確實是由被審計單位節(jié)點發(fā)布的,，還可用于驗證數(shù)據(jù)是否發(fā)生篡改。數(shù)據(jù)篡改具體驗證流程如圖2所示,，審計人員節(jié)點利用被審計單位的公鑰解密簽名,，獲取經(jīng)過被審計單位哈希計算生成的哈希值hash1，再對數(shù)據(jù)進(jìn)行同樣的哈希計算取得一個哈希值hash2,。對比兩個哈希值,，如果hash1=hash2，則證明數(shù)據(jù)未發(fā)生篡改,。

2.訪問非公開數(shù)據(jù)

訪問非公開審計數(shù)據(jù)流程如圖3所示,。

（1）權(quán)限分配：登錄認(rèn)證通過后，審計人員節(jié)點α可提出非公開數(shù)據(jù)訪問申請,，請求中包含數(shù)據(jù)訪問目的,、時間和次數(shù)等具體信息，并將該請求通過審計人員的私鑰kα進(jìn)行加密處理,。申請將發(fā)送到智慧合約上,。智慧合約接收到審計人員發(fā)送的數(shù)據(jù)訪問申請后，將申請者的區(qū)塊鏈地址與經(jīng)過認(rèn)證的區(qū)塊鏈地址進(jìn)行匹配,，若匹配成功,，則向數(shù)據(jù)訪問申請人發(fā)放其區(qū)塊鏈地址對應(yīng)的數(shù)據(jù)訪問權(quán)限Pα，并對此次申請行為進(jìn)行記錄,；若匹配失敗,，先對申請節(jié)點發(fā)出無權(quán)訪問數(shù)據(jù)的警告反饋，隨后將此次訪問申請發(fā)送至被審計單位節(jié)點,，由被審計單位節(jié)點檢查是否存在惡意訪問,、非法注冊等情況。此外,，被審計單位節(jié)點在查明拒絕訪問申請原因后,，可自行決定是否對申請節(jié)點給予相應(yīng)懲罰，例如永久拒絕訪問或在一段時間內(nèi)限制其訪問等,，以此維護(hù)數(shù)據(jù)訪問秩序以及區(qū)塊鏈的健康穩(wěn)定運(yùn)行,。

（2）發(fā)送數(shù)據(jù)：審計數(shù)據(jù)訪問申請通過后，被審計單位節(jié)點根據(jù)訪問申請鎖定對應(yīng)的腳本,，并且解密被申請的數(shù)據(jù),，隨后通過審計單位的公鑰對審計數(shù)據(jù)data進(jìn)行加密處理，加密后的數(shù)據(jù)則被發(fā)送至審計人員申請節(jié)點,。即使加密數(shù)據(jù)在傳輸過程中被其他惡意節(jié)點截獲,，由于缺乏相應(yīng)的私鑰解密,，惡意節(jié)點也無法查看審計數(shù)據(jù)的具體明文內(nèi)容。此外,，在對審計數(shù)據(jù)加密的基礎(chǔ)上,，還可對傳輸數(shù)據(jù)設(shè)置一定的解密時限，這意味著若申請節(jié)點未在規(guī)定時間內(nèi)解析出明文數(shù)據(jù)信息,，則加密數(shù)據(jù)將被銷毀或永久鎖定，從而進(jìn)一步降低數(shù)據(jù)泄露的可能,。上述加密過程可表示為：Data=Ekα（data）,，其中Ekα表示用審計人員節(jié)點公鑰加密過程，Data表示加密數(shù)據(jù),。

（3）接收數(shù)據(jù)：審計單位節(jié)點接收到加密后的審計數(shù)據(jù)Data后,，首先利用其掌握的私鑰對加密數(shù)據(jù)進(jìn)行解密，以獲取審計數(shù)據(jù)的具體內(nèi)容,；其次,，基于區(qū)塊鏈平臺對審計數(shù)據(jù)進(jìn)行計算、分析等處理,。上述解密過程可表示為：data=Ekα（Data）,，其中Ekα表示用審計人員節(jié)點私鑰解密過程，data表示解密后的審計數(shù)據(jù),。

（4）未授權(quán)數(shù)據(jù)訪問：若審計單位節(jié)點因業(yè)務(wù)需要對被審計單位節(jié)點未授權(quán)的數(shù)據(jù)產(chǎn)生訪問需求時,，可事先向智能合約發(fā)出權(quán)限擴(kuò)展申請，智能合約在接收到申請后對其身份進(jìn)行驗證,，身份驗證通過后向被審計單位節(jié)點發(fā)出權(quán)限擴(kuò)展通知,。被審計單位查明情況并無異議后，可通過修改智能合約更改申請節(jié)點權(quán)限,，權(quán)限更改完成后將向申請節(jié)點發(fā)送擴(kuò)權(quán)成功反饋,，申請節(jié)點重復(fù)數(shù)據(jù)訪問流程。若被審計單位未同意審計單位節(jié)點擴(kuò)權(quán)申請,，則必須向申請節(jié)點進(jìn)行反饋,，詳細(xì)說明原因。當(dāng)合理范圍內(nèi)數(shù)據(jù)訪問權(quán)限申請被拒絕,，審計人員節(jié)點可線下與被審計單位展開深度協(xié)商,，以獲取數(shù)據(jù)的訪問權(quán)限，也可將其作為審計疑點,，以待后續(xù)展開深入調(diào)查,。

（5）行為記錄：在審計工作開展過程中，智能合約將會對審計單位節(jié)點的行為進(jìn)行記錄,，如數(shù)據(jù)的訪問,、計算分析以及向第三方函證等,，并將行為記錄編程好后打包保存在區(qū)塊鏈中，作為審計證據(jù)和審計工作底稿的補(bǔ)充部分,。以數(shù)據(jù)訪問行為記錄為例,，可將審計單位節(jié)點的數(shù)據(jù)訪問行為以表1的形式進(jìn)行存儲和維護(hù)。

表中字段解釋如下：

訪問節(jié)點：審計數(shù)據(jù)訪問行為發(fā)起的具體節(jié)點,。

訪問許可：審計數(shù)據(jù)訪問申請是否通過,，具體包括通過和不通過兩種結(jié)果；記錄導(dǎo)致訪問申請未通過的具體原因,，如訪問越權(quán)數(shù)據(jù),、未經(jīng)身份認(rèn)證等，以便被審計單位節(jié)點后續(xù)進(jìn)行相應(yīng)處理,。

訪問數(shù)據(jù)：記錄節(jié)點訪問的審計數(shù)據(jù)范圍,。

訪問時間：節(jié)點申請訪問的時間，可用于檢測節(jié)點是否存在短時間內(nèi)過于頻繁地發(fā)送審計數(shù)據(jù)訪問請求等不當(dāng)行為,。

被授權(quán)者可以隨時隨地訪問審計全過程的數(shù)據(jù)資料,，監(jiān)督審計單位行為，評價審計單位工作效果,，從而提高審計的效率與透明度,。

（三）框架優(yōu)勢

1.加強(qiáng)數(shù)據(jù)訪問權(quán)限控制

儲存在區(qū)塊鏈上的審計數(shù)據(jù)，其安全性和完整性都能夠得到極好的保障,。在此基礎(chǔ)上,，被審計單位僅需要負(fù)責(zé)審計數(shù)據(jù)訪問控制方案的設(shè)計和執(zhí)行，既避免了本地計算機(jī)儲存方式下“打包式”的粗糙訪問方式,，又避免了云儲存方式下由于用戶數(shù)量大而導(dǎo)致的訪問控制規(guī)則復(fù)雜多變,、難以協(xié)調(diào)等問題。通過區(qū)塊鏈技術(shù)進(jìn)行審計數(shù)據(jù)訪問控制,，使得被審計單位僅需對訪問本單位數(shù)據(jù)的節(jié)點負(fù)責(zé),。通過設(shè)置數(shù)據(jù)讀取范圍和訪問權(quán)限等規(guī)則，讓合法節(jié)點在規(guī)定時間內(nèi)訪問經(jīng)過授權(quán)的審計數(shù)據(jù),，既避免了未經(jīng)授權(quán)的審計數(shù)據(jù)訪問行為,，又避免了非法節(jié)點對于數(shù)據(jù)的訪問。實現(xiàn)訪問過程全控制,，訪問規(guī)則靈活可變,，有效提升審計信息的訪問安全和穩(wěn)定。

2.提高數(shù)據(jù)傳輸安全性

在數(shù)據(jù)的傳輸過程中,，采用非對稱加密方式,，被審計單位節(jié)點將數(shù)據(jù)加密后發(fā)送給審計單位節(jié)點，只有密鑰擁有者才能對加密后的數(shù)據(jù)解密,，獲取原始數(shù)據(jù),。除非攻擊者竊取到被審計單位節(jié)點自行保管的私鑰,，否則無法獲取完整的明文數(shù)據(jù)，進(jìn)而利用竊取的數(shù)據(jù)分析企業(yè)戰(zhàn)略動向等信息,，產(chǎn)生非正當(dāng)競爭行為,。非對稱加密傳輸?shù)姆绞接行У亟档土藢徲嫈?shù)據(jù)在傳輸過程中的安全風(fēng)險，保證了審計數(shù)據(jù)在被審計單位節(jié)點和審計單位節(jié)點間傳輸?shù)臋C(jī)密性和準(zhǔn)確性,。

3.提高審計工作透明度

現(xiàn)有審計業(yè)務(wù)并不是完全透明公開的,，存在一定程度的“黑箱”特性，若審計單位故意隱瞞,，審計監(jiān)管部門的工作會存在一定困難,。然而，在區(qū)塊鏈中開展審計數(shù)據(jù)采集工作,，審計單位的訪問行為、處理行為等都將作為數(shù)據(jù)永久記錄到區(qū)塊鏈中,，并且儲存在區(qū)塊鏈中的行為記錄可追溯且不可篡改,，因此監(jiān)管部門可以實現(xiàn)審計業(yè)務(wù)流程的全過程訪問。審計單位無法隱瞞違規(guī)的數(shù)據(jù)訪問行為,，從而可以達(dá)到提高監(jiān)管層審計監(jiān)管質(zhì)量,，遏制審計舞弊行為的效果。

（四）框架瓶頸

1.關(guān)鍵審計數(shù)據(jù)難以獲取

審計數(shù)據(jù)是審計人員形成審計結(jié)論的前提條件,，是控制審計工作質(zhì)量的關(guān)鍵因素,。由于審計數(shù)據(jù)訪問權(quán)限設(shè)置的權(quán)利由被審計單位所掌握，因此可能出現(xiàn)被審計單位惡意隱瞞對本單位不利的審計數(shù)據(jù)情況,，如關(guān)聯(lián)方交易等關(guān)鍵信息,，不配合審計單位節(jié)點訪問數(shù)據(jù)申請，這將對審計工作的順利開展造成嚴(yán)重影響,，審計效果也會因此大打折扣,。關(guān)鍵審計數(shù)據(jù)缺失，審計人員將難以對被審計單位做出正確評價,，甚至可能導(dǎo)致審計失敗,。審計失敗一旦發(fā)生，審計信息使用者難免會因此產(chǎn)生錯誤的決策行為,，隨之影響市場運(yùn)行效率和社會資源的配置效果,，審計行業(yè)的健康發(fā)展也將受到較大沖擊,。

2.區(qū)塊鏈技術(shù)存在限制性

由于區(qū)塊鏈技術(shù)自身存在一定的局限,，導(dǎo)致審計數(shù)據(jù)訪問控制框架不可避免地存在一定的不足。一是區(qū)塊鏈技術(shù)應(yīng)用成本高昂以及缺乏合理的差錯彌補(bǔ)機(jī)制,。目前區(qū)塊鏈作為新興技術(shù)尚未成熟,，應(yīng)用成本高昂,，因此對于小微企業(yè)而言，正式運(yùn)用區(qū)塊鏈實現(xiàn)數(shù)據(jù)儲存及訪問還存在一定的經(jīng)濟(jì)困難,。此外,，區(qū)塊鏈中數(shù)據(jù)具有不可篡改特性，而在實際操作中難以避免會存在輸入錯誤,，錯誤的數(shù)據(jù)雖然可以通過后續(xù)操作進(jìn)行彌補(bǔ),，但會一直儲存于區(qū)塊鏈中。因此對于數(shù)據(jù)總量巨大的企業(yè)來說,，大量因操作失誤而形成的冗余數(shù)據(jù)會嚴(yán)重影響區(qū)塊鏈的運(yùn)行效率,。二是密鑰存在一定的盜用和丟失等風(fēng)險。一旦密鑰被盜取,，盜用者可偽裝成密鑰主人,，向被審計單位發(fā)送數(shù)據(jù)訪問申請，竊取被審計單位的機(jī)密信息,。因此,，如何加強(qiáng)密鑰安全保存也是區(qū)塊鏈技術(shù)發(fā)展面臨的一大難題。三是非結(jié)構(gòu)化數(shù)據(jù)難以上鏈,。非結(jié)構(gòu)化數(shù)據(jù)中蘊(yùn)含著大量的關(guān)鍵審計證據(jù),，是審計數(shù)據(jù)的重要組成部分，然而,，非結(jié)構(gòu)化數(shù)據(jù)難以量化,，無法上鏈儲存，這就使得非結(jié)構(gòu)化數(shù)據(jù)的采集只能采用原始的審計數(shù)據(jù)收集方式,，數(shù)據(jù)依然存在安全風(fēng)險,。

四,、結(jié)語

本文提出了一種基于區(qū)塊鏈技術(shù)的審計數(shù)據(jù)訪問控制框架,，為審計數(shù)據(jù)訪問過程中的安全問題提供了一個切實可行的解決方案,，主要通過區(qū)塊鏈鏈接被審計單位和審計單位，利用智慧合約實現(xiàn)身份驗證以及非對稱加密技術(shù)加強(qiáng)審計數(shù)據(jù)傳輸安全的方式,，針對性地解決當(dāng)前審計數(shù)據(jù)采集流程中存在的不透明,、不規(guī)范等問題。審計數(shù)據(jù)訪問安全的提高,，有利于加強(qiáng)被審計單位數(shù)據(jù)安全,，促進(jìn)被審計單位健康發(fā)展，有利于規(guī)范審計單位行為，提高審計工作透明度,。

目前,，審計與區(qū)塊鏈的結(jié)合還處于探索初期，因此,，仍需不斷研究區(qū)塊鏈技術(shù)環(huán)境下有關(guān)審計數(shù)據(jù)訪問方面的實際運(yùn)用,，從而根據(jù)實際出現(xiàn)的問題有針對性地完善審計數(shù)據(jù)安全訪問框架。此外,，密鑰在審計數(shù)據(jù)訪問流程中起著至關(guān)重要的作用,，若發(fā)生密鑰被盜等安全事件，將會對審計數(shù)據(jù)安全造成極大威脅,。因此,，針對密鑰丟失這一現(xiàn)實問題，如何降低審計訪問風(fēng)險同樣是未來工作需要關(guān)注的重點,。本框架審計數(shù)據(jù)訪問的對象目前仍限于能夠上鏈的數(shù)據(jù),，對于實物信息等還需采用現(xiàn)場取證方式，未來可進(jìn)一步探究鏈內(nèi)數(shù)據(jù)與鏈外數(shù)據(jù)的有效結(jié)合,。

作者：吳花平 吳冰 劉自豪

來源：會計之友

編輯：孫哲

目前150000+人已關(guān)注我們,，您還等什么？