一、引言

數(shù)字經(jīng)濟(jì)時(shí)代,，電子數(shù)據(jù)本身所蘊(yùn)含的巨大價(jià)值逐漸被發(fā)現(xiàn)和挖掘，數(shù)據(jù)成為推動經(jīng)濟(jì)發(fā)展的基本要素之一,。黨的二十大報(bào)告明確提出“加快發(fā)展數(shù)字經(jīng)濟(jì),，促進(jìn)數(shù)字經(jīng)濟(jì)和實(shí)體經(jīng)濟(jì)深度融合,，打造具有國際競爭力的數(shù)字產(chǎn)業(yè)集群”。數(shù)字經(jīng)濟(jì)的蓬勃發(fā)展,，離不開數(shù)字技術(shù)的廣泛應(yīng)用。借助數(shù)字技術(shù)的不斷進(jìn)步,，儲存在本地磁盤或云端上的電子數(shù)據(jù)不僅降低了如對紙質(zhì)等實(shí)物儲存的依賴,，而且實(shí)現(xiàn)了海量數(shù)據(jù)的低成本儲存和便捷使用,。同時(shí),，審計(jì)數(shù)據(jù)也由傳統(tǒng)的財(cái)務(wù)賬簿,、憑證等紙質(zhì)形式記錄轉(zhuǎn)變?yōu)殡娮訑?shù)據(jù)形式的數(shù)字化記錄，來源單一,、數(shù)據(jù)量小的傳統(tǒng)審計(jì)數(shù)據(jù)逐漸呈現(xiàn)多維,、多元,、異構(gòu)等新特點(diǎn),，為審計(jì)業(yè)務(wù)的有序開展提供了更為豐富的審計(jì)數(shù)據(jù)基礎(chǔ),。然而，以電子載體為主的儲存形式也潛藏著相應(yīng)的風(fēng)險(xiǎn),。與傳統(tǒng)紙質(zhì)媒介記錄的數(shù)據(jù)相比,，電子數(shù)據(jù)因其特性從而具有更大的復(fù)制,、丟失、篡改等風(fēng)險(xiǎn)，且電子數(shù)據(jù)的復(fù)制和篡改行為往往難以被察覺,，其存儲和使用過程中的安全性問題日益凸顯,，審計(jì)數(shù)據(jù)的訪問安全問題便是其中之一。在審計(jì)數(shù)據(jù)訪問的過程中，大量電子數(shù)據(jù)通過網(wǎng)絡(luò)進(jìn)行傳輸,，數(shù)據(jù)的傳輸環(huán)節(jié)多、鏈條長，加之存在一定程度的數(shù)據(jù)控制不力等情況,，從而使得隱私數(shù)據(jù)具有泄露風(fēng)險(xiǎn)，嚴(yán)重危害數(shù)據(jù)的安全性,，不僅阻礙了審計(jì)工作的正常開展,，而且會對企業(yè)的生存產(chǎn)生威脅。因此,，為在審計(jì)工作中保護(hù)被審計(jì)單位的機(jī)密數(shù)據(jù),，保障企業(yè)的穩(wěn)定發(fā)展，審計(jì)數(shù)據(jù)的訪問控制亟待重視與加強(qiáng),。

現(xiàn)有審計(jì)數(shù)據(jù)訪問模式難以滿足被審計(jì)單位對保障自身數(shù)據(jù)安全的需求,，在科技強(qiáng)審的戰(zhàn)略目標(biāo)下,，利用新技術(shù)構(gòu)建可靠、穩(wěn)定的審計(jì)數(shù)據(jù)訪問模式迫在眉睫,，而區(qū)塊鏈基于其技術(shù)特點(diǎn)為解決審計(jì)數(shù)據(jù)訪問安全問題提供了切實(shí)可行的嶄新視角。從本質(zhì)上看,，區(qū)塊鏈?zhǔn)且粋€全網(wǎng)維護(hù)和共享的分布式數(shù)字賬本,，具有不可篡改,、可追溯、安全可信等特點(diǎn),，為數(shù)字記錄和信息傳輸提供了一個安全,、穩(wěn)定的去中心化框架。它集成了分布式儲存、共識算法,、非對稱加密,、智能合約等多種技術(shù)，可在不依靠任何可信第三方中心機(jī)構(gòu)的情況下,，實(shí)現(xiàn)多方可信,、信息的對等傳輸,。通過區(qū)塊鏈技術(shù)，可實(shí)現(xiàn)訪問權(quán)限控制、數(shù)據(jù)加密傳輸,，進(jìn)而有效保障數(shù)據(jù)安全,，契合了當(dāng)前審計(jì)工作對加強(qiáng)審計(jì)數(shù)據(jù)訪問控制的需求。

本文基于現(xiàn)階段審計(jì)數(shù)據(jù)采集現(xiàn)狀,，對傳統(tǒng)審計(jì)數(shù)據(jù)訪問控制局限性進(jìn)行分析,，發(fā)現(xiàn)區(qū)塊鏈技術(shù)在加強(qiáng)審計(jì)數(shù)據(jù)訪問控制方面具有高度的技術(shù)契合性和可行性,。在此基礎(chǔ)上,，構(gòu)建了基于區(qū)塊鏈技術(shù)的審計(jì)數(shù)據(jù)訪問控制框架,，并對該框架下的審計(jì)數(shù)據(jù)訪問流程做出說明，詳細(xì)分析了該框架的優(yōu)勢和局限,，以期通過區(qū)塊鏈技術(shù)推動審計(jì)數(shù)據(jù)安全訪問的同時(shí)，為新時(shí)代下“區(qū)塊鏈+審計(jì)”路徑的探索提供有益參考和借鑒,。

二,、文獻(xiàn)綜述

（一）傳統(tǒng)審計(jì)數(shù)據(jù)訪問控制研究

由于本文的審計(jì)數(shù)據(jù)專指以電子形式存在的審計(jì)證據(jù),，因此對審計(jì)數(shù)據(jù)訪問的探討也是基于電子審計(jì)數(shù)據(jù)展開的?，F(xiàn)有審計(jì)數(shù)據(jù)儲存方式主要有以下兩種，分別是本地計(jì)算機(jī)儲存和云端線上儲存,。本地計(jì)算機(jī)儲存是指將數(shù)據(jù)儲存在被審計(jì)單位內(nèi)部的硬盤或磁盤上,，儲存在本地計(jì)算機(jī)的審計(jì)數(shù)據(jù)，具有完全受被審計(jì)單位控制的突出特點(diǎn),，因此為審計(jì)數(shù)據(jù)的非法修飾或篡改提供了巨大空間,。此外，數(shù)據(jù)篡改的成本和難度極低,，并且篡改痕跡往往難以被發(fā)掘,，使得審計(jì)工作的難度被進(jìn)一步加大。在實(shí)施審計(jì)的過程中,，審計(jì)數(shù)據(jù)的訪問并未得到高度重視和嚴(yán)格控制,。在傳統(tǒng)的現(xiàn)場審計(jì)模式中，審計(jì)人員采集審計(jì)數(shù)據(jù)主要通過硬盤拷貝的方式，既容易丟失,，又容易感染病毒,，審計(jì)數(shù)據(jù)的安全性難以得到保障，數(shù)據(jù)的共享性也受到極大限制,，不利于審計(jì)工作的高效開展,。而由被審計(jì)單位線上發(fā)送審計(jì)數(shù)據(jù)的方式，可能存在被惡意攔截和攻擊的風(fēng)險(xiǎn),，這無疑加大了審計(jì)數(shù)據(jù)丟失,、泄露的可能，此時(shí)審計(jì)單位接收到的審計(jì)數(shù)據(jù)的真實(shí)性,、完整性和準(zhǔn)確性也有待商榷,。

云儲存是基于云計(jì)算的發(fā)展而衍生出的一種在線儲存方式。與本地?cái)?shù)據(jù)儲存方式相比,，云存儲具有大幅減少本地存儲,、維護(hù)和管理成本，打破地理位置對數(shù)據(jù)訪問的限制等優(yōu)勢,。然而,，被審計(jì)單位在享受云儲存帶來的便捷存儲和管理服務(wù)的同時(shí)，實(shí)質(zhì)上已經(jīng)喪失了對數(shù)據(jù)的直接控制權(quán),，使得數(shù)據(jù)的安全性和完整性面臨一定風(fēng)險(xiǎn),。由于數(shù)據(jù)不受其所有者的控制，就難以避免云服務(wù)提供商（cloud service provider,，CSP）的一些不當(dāng)行為,。CSP可能出于好奇訪問用戶儲存在云端上的敏感數(shù)據(jù)，還可能為了節(jié)省儲存空間在未經(jīng)授權(quán)的情況下刪除不經(jīng)常訪問的數(shù)據(jù),，或者在儲存的數(shù)據(jù)損壞時(shí)不采取任何彌補(bǔ)措施,。即使企業(yè)可憑借密碼驗(yàn)證等方式隨時(shí)查詢線上相關(guān)數(shù)據(jù)，但仍無法直接確認(rèn)數(shù)據(jù)是否發(fā)生損壞和修改等情況,，更無法檢查數(shù)據(jù)是否被云服務(wù)提供商（CSP）非法遷移至其他服務(wù)器。即便可通過第三方審計(jì)者（third party auditor,，TAP）對數(shù)據(jù)的完整性進(jìn)行審計(jì)，但仍然存在CSP與TAP為了經(jīng)濟(jì)利益而合謀欺騙被審計(jì)單位的可能性,。此外,，審計(jì)單位對于云端數(shù)據(jù)的訪問均是以互聯(lián)網(wǎng)為通道和基礎(chǔ)，復(fù)雜的網(wǎng)絡(luò)環(huán)境使審計(jì)數(shù)據(jù)在傳輸過程中面臨病毒攻擊和黑客截取的風(fēng)險(xiǎn),，不但使審計(jì)數(shù)據(jù)采集的數(shù)量和質(zhì)量難以得到有效保證,，阻礙審計(jì)工作的正常開展，而且容易導(dǎo)致被審計(jì)單位核心數(shù)據(jù)的泄漏和丟失，給被審計(jì)單位帶來不可估量的損失,。

（二）區(qū)塊鏈訪問控制研究

區(qū)塊鏈中儲存了包括交易,、用戶信息、智能合約代碼等在內(nèi)的海量數(shù)據(jù),。因此數(shù)據(jù)安全是區(qū)塊鏈的首要安全目標(biāo)，區(qū)塊鏈基于其基礎(chǔ)技術(shù)在數(shù)據(jù)安全方面的表現(xiàn)尤為突出,。近年來,，有學(xué)者研究利用區(qū)塊鏈技術(shù)與云儲存結(jié)合加強(qiáng)數(shù)據(jù)儲存安全,，以彌補(bǔ)云儲存在數(shù)據(jù)完整性和安全性上的不足。由于區(qū)塊鏈具有不可篡改和可追溯等特點(diǎn),，相較于使用云儲存和區(qū)塊鏈結(jié)合檢驗(yàn)數(shù)據(jù)完整性,，將數(shù)據(jù)直接存儲于區(qū)塊鏈的方式更有助于保障數(shù)據(jù)的完整性，簡化數(shù)據(jù)真實(shí)性的驗(yàn)證過程,，因此,，部分學(xué)者基于區(qū)塊鏈的技術(shù)特性開展了數(shù)據(jù)訪問相關(guān)研究，并取得了一定的研究成果,。Azaria等將區(qū)塊鏈技術(shù)應(yīng)用于醫(yī)療記錄，用以解決醫(yī)療數(shù)據(jù)訪問碎片化,、速度慢,，系統(tǒng)互操作性，病人代理等問題以及提高醫(yī)學(xué)研究數(shù)據(jù)的質(zhì)量和數(shù)量,。吳振銓等將聯(lián)盟區(qū)塊鏈與智能電網(wǎng)相結(jié)合,，以實(shí)現(xiàn)電網(wǎng)數(shù)據(jù)的安全存儲與共享。在系統(tǒng)節(jié)點(diǎn)間數(shù)據(jù)共享方面,，吳振銓等提出數(shù)據(jù)擁有者驗(yàn)證申請節(jié)點(diǎn)身份,，智能合約執(zhí)行設(shè)定的數(shù)據(jù)共享范圍、時(shí)間限制等約束條件的方式,，以此實(shí)現(xiàn)數(shù)據(jù)安全訪問,。Zhang等以以太坊智能合約平臺為基礎(chǔ)，提出由多個訪問控制契約,、一個判斷契約和一個注冊契約組成的物聯(lián)網(wǎng)訪問控制框架,，實(shí)現(xiàn)物聯(lián)網(wǎng)系統(tǒng)的分布式可信訪問控制。Ezhil等將云儲存與區(qū)塊鏈相結(jié)合,，提出一種可審計(jì)的基于屬性的加密方案,，主要通過將文件與訪問策略相關(guān)聯(lián)對文件進(jìn)行加密、支持對數(shù)據(jù)進(jìn)行公開審計(jì)的方式實(shí)現(xiàn)數(shù)據(jù)的安全共享和完整性驗(yàn)證,。

在區(qū)塊鏈審計(jì)方面,，房巧玲等分析了區(qū)塊鏈技術(shù)與審計(jì)工作的契合性，提出雙鏈架構(gòu)的審計(jì)模式,，其中在審計(jì)主體鏈中加入審計(jì)服務(wù)監(jiān)管方節(jié)點(diǎn),，用于確保審計(jì)流程規(guī)范性。王琳和張尤鳳認(rèn)為審計(jì)訪問層可以采用非對稱加密技術(shù),，以此保障數(shù)據(jù)傳輸?shù)陌踩咝?，審?jì)單位人員使用設(shè)備接入被審計(jì)單位區(qū)塊鏈應(yīng)用平臺,，不同的登錄角色因其屬性不同分配對應(yīng)的密鑰,，獲取不同的訪問權(quán)限和內(nèi)容,。

總體來看，存儲在本地計(jì)算機(jī)或云端的審計(jì)數(shù)據(jù),，在其儲存和審計(jì)訪問的過程中均存在較大的數(shù)據(jù)安全風(fēng)險(xiǎn),，審計(jì)數(shù)據(jù)在傳輸過程中缺乏有效的安全保障機(jī)制。現(xiàn)有文獻(xiàn)論證了區(qū)塊鏈技術(shù)能夠有效保障數(shù)據(jù)儲存安全,，并且已有學(xué)者對基于區(qū)塊鏈技術(shù)的數(shù)據(jù)訪問進(jìn)行了一定的研究,，主要集中于物聯(lián)網(wǎng)設(shè)備訪問、醫(yī)療數(shù)據(jù)訪問和電網(wǎng)數(shù)據(jù)訪問等方面,。此外,，現(xiàn)有關(guān)于區(qū)塊鏈和審計(jì)的研究主要集中于整體的構(gòu)建上，對審計(jì)數(shù)據(jù)的訪問控制具體設(shè)計(jì)研究并不多見,。因此,，構(gòu)建審計(jì)數(shù)據(jù)訪問安全控制框架，規(guī)范審計(jì)人員數(shù)據(jù)采集流程,，不僅有利于完善區(qū)塊鏈審計(jì)內(nèi)容,，而且對區(qū)塊鏈與審計(jì)結(jié)合進(jìn)程的推進(jìn)意義重大。本文在已有文獻(xiàn)研究的基礎(chǔ)上,，結(jié)合區(qū)塊鏈技術(shù)特點(diǎn),，重塑現(xiàn)有的審計(jì)數(shù)據(jù)訪問流程，構(gòu)建基于區(qū)塊鏈技術(shù)的審計(jì)數(shù)據(jù)訪問控制框架,，為提升審計(jì)數(shù)據(jù)安全訪問,、加強(qiáng)被審計(jì)單位數(shù)據(jù)安全性提供參考。

三,、區(qū)塊鏈技術(shù)的審計(jì)數(shù)據(jù)訪問控制框架

（一）框架構(gòu)建

基于區(qū)塊鏈技術(shù)的審計(jì)數(shù)據(jù)安全訪問框架中主要包括被審計(jì)單位,、審計(jì)單位以及區(qū)塊鏈三個實(shí)體（如圖1所示）。

1.被審計(jì)單位節(jié)點(diǎn)

被審計(jì)單位節(jié)點(diǎn)負(fù)責(zé)將審計(jì)數(shù)據(jù)傳輸?shù)絽^(qū)塊鏈上加密儲存,，包括本單位的業(yè)務(wù)數(shù)據(jù),、財(cái)務(wù)數(shù)據(jù)等，除此之外,，本單位的各種歷史資料也需要整理匯總后存儲在區(qū)塊鏈上,，以便后續(xù)查驗(yàn),。被審計(jì)單位節(jié)點(diǎn)還需搭建與審計(jì)單位相連接的數(shù)據(jù)傳輸通道，對節(jié)點(diǎn)的注冊進(jìn)行控制,，維護(hù)區(qū)塊鏈安全運(yùn)行,。對部分非機(jī)密數(shù)據(jù),，被審計(jì)單位節(jié)點(diǎn)可以選擇性地公開，精簡數(shù)據(jù)訪問流程,，提高系統(tǒng)運(yùn)行效率,。

2.區(qū)塊鏈

審計(jì)數(shù)據(jù)經(jīng)過節(jié)點(diǎn)共識后被打包整理成數(shù)據(jù)區(qū)塊,，在每個新生數(shù)據(jù)區(qū)塊的區(qū)塊頭中，均含有上一個數(shù)據(jù)區(qū)塊的加密哈希值以及記錄數(shù)據(jù)區(qū)塊生成時(shí)間信息的時(shí)間戳,，該哈希值和時(shí)間戳能夠?qū)崿F(xiàn)數(shù)據(jù)區(qū)塊的追蹤和查驗(yàn),，保證審計(jì)數(shù)據(jù)的完整性。在審計(jì)過程中,，區(qū)塊鏈作為連接被審計(jì)單位和審計(jì)單位的通道,，為審計(jì)工作的順利開展提供技術(shù)保障。

3.審計(jì)單位節(jié)點(diǎn)

審計(jì)單位節(jié)點(diǎn)利用授權(quán)完成的個人電腦,、智能手機(jī)等設(shè)備,，根據(jù)對應(yīng)權(quán)限訪問被審計(jì)單位中所運(yùn)行的區(qū)塊鏈并采集鏈內(nèi)數(shù)據(jù)作為審計(jì)數(shù)據(jù)，對其進(jìn)行計(jì)算分析以發(fā)現(xiàn)疑點(diǎn),，還可在區(qū)塊鏈中對所發(fā)現(xiàn)的疑點(diǎn)數(shù)據(jù)進(jìn)行持續(xù)跟蹤以獲取審計(jì)證據(jù),。

（二）框架流程

數(shù)據(jù)分為公開數(shù)據(jù)與非公開數(shù)據(jù)兩種類型，審計(jì)數(shù)據(jù)安全訪問對不同的數(shù)據(jù)類型采用不同的訪問方式,，但均需預(yù)先進(jìn)行身份認(rèn)證和登錄認(rèn)證,?；诖耍x一組審計(jì)人員節(jié)點(diǎn)α與一組審計(jì)數(shù)據(jù)訪問權(quán)限Pα,。

身份認(rèn)證：審計(jì)人員節(jié)點(diǎn)α加入到被審計(jì)單位的區(qū)塊鏈后,，事先編寫并部署在區(qū)塊鏈上的智慧合約會將現(xiàn)實(shí)世界中已經(jīng)存在的有助于確定具體審計(jì)人員的ID信息（例如姓名、工號,、職位等）及對應(yīng)數(shù)據(jù)訪問權(quán)限Pα映射到該審計(jì)人員節(jié)點(diǎn)的區(qū)塊鏈地址,，每個審計(jì)人員αi都有與之相對應(yīng)的審計(jì)數(shù)據(jù)訪問權(quán)限Pαi。身份登記操作僅作用于經(jīng)過認(rèn)證的審計(jì)單位,，并且將ID信息編碼到智慧合約中的策略可以規(guī)范新身份的注冊或現(xiàn)有身份映射的更改,。

登錄認(rèn)證：審計(jì)人員節(jié)點(diǎn)α身份認(rèn)證完成后，可獲得基于非對稱加密算法生成的一對密鑰（即公鑰Kα和私鑰kα）,，公鑰向全網(wǎng)進(jìn)行公布,，私鑰由審計(jì)人員自行保存。審計(jì)人員節(jié)點(diǎn)α在客戶端通過私鑰加密登錄信息后,，將其發(fā)送至服務(wù)器,，后者接收該信息后利用其對應(yīng)的公鑰進(jìn)行解密,，以驗(yàn)證登錄信息的合法性,。

1.訪問公開數(shù)據(jù)

數(shù)據(jù)訪問及驗(yàn)證：登錄認(rèn)證通過后，審計(jì)人員節(jié)點(diǎn)α可直接訪問鏈上被審計(jì)單位節(jié)點(diǎn)公開的數(shù)據(jù),，該數(shù)據(jù)附有被審計(jì)單位的數(shù)字簽名，從而表明該數(shù)據(jù)確實(shí)是由被審計(jì)單位節(jié)點(diǎn)發(fā)布的,，還可用于驗(yàn)證數(shù)據(jù)是否發(fā)生篡改,。數(shù)據(jù)篡改具體驗(yàn)證流程如圖2所示，審計(jì)人員節(jié)點(diǎn)利用被審計(jì)單位的公鑰解密簽名,，獲取經(jīng)過被審計(jì)單位哈希計(jì)算生成的哈希值hash1,，再對數(shù)據(jù)進(jìn)行同樣的哈希計(jì)算取得一個哈希值hash2,。對比兩個哈希值，如果hash1=hash2,，則證明數(shù)據(jù)未發(fā)生篡改,。

2.訪問非公開數(shù)據(jù)

訪問非公開審計(jì)數(shù)據(jù)流程如圖3所示。

（1）權(quán)限分配：登錄認(rèn)證通過后，審計(jì)人員節(jié)點(diǎn)α可提出非公開數(shù)據(jù)訪問申請,，請求中包含數(shù)據(jù)訪問目的、時(shí)間和次數(shù)等具體信息,，并將該請求通過審計(jì)人員的私鑰kα進(jìn)行加密處理,。申請將發(fā)送到智慧合約上。智慧合約接收到審計(jì)人員發(fā)送的數(shù)據(jù)訪問申請后,，將申請者的區(qū)塊鏈地址與經(jīng)過認(rèn)證的區(qū)塊鏈地址進(jìn)行匹配,，若匹配成功，則向數(shù)據(jù)訪問申請人發(fā)放其區(qū)塊鏈地址對應(yīng)的數(shù)據(jù)訪問權(quán)限Pα,，并對此次申請行為進(jìn)行記錄,；若匹配失敗,，先對申請節(jié)點(diǎn)發(fā)出無權(quán)訪問數(shù)據(jù)的警告反饋，隨后將此次訪問申請發(fā)送至被審計(jì)單位節(jié)點(diǎn)，由被審計(jì)單位節(jié)點(diǎn)檢查是否存在惡意訪問,、非法注冊等情況,。此外，被審計(jì)單位節(jié)點(diǎn)在查明拒絕訪問申請?jiān)蚝?，可自行決定是否對申請節(jié)點(diǎn)給予相應(yīng)懲罰,，例如永久拒絕訪問或在一段時(shí)間內(nèi)限制其訪問等，以此維護(hù)數(shù)據(jù)訪問秩序以及區(qū)塊鏈的健康穩(wěn)定運(yùn)行,。

（2）發(fā)送數(shù)據(jù)：審計(jì)數(shù)據(jù)訪問申請通過后,，被審計(jì)單位節(jié)點(diǎn)根據(jù)訪問申請鎖定對應(yīng)的腳本，并且解密被申請的數(shù)據(jù),，隨后通過審計(jì)單位的公鑰對審計(jì)數(shù)據(jù)data進(jìn)行加密處理，加密后的數(shù)據(jù)則被發(fā)送至審計(jì)人員申請節(jié)點(diǎn),。即使加密數(shù)據(jù)在傳輸過程中被其他惡意節(jié)點(diǎn)截獲,，由于缺乏相應(yīng)的私鑰解密，惡意節(jié)點(diǎn)也無法查看審計(jì)數(shù)據(jù)的具體明文內(nèi)容,。此外,，在對審計(jì)數(shù)據(jù)加密的基礎(chǔ)上，還可對傳輸數(shù)據(jù)設(shè)置一定的解密時(shí)限,，這意味著若申請節(jié)點(diǎn)未在規(guī)定時(shí)間內(nèi)解析出明文數(shù)據(jù)信息,，則加密數(shù)據(jù)將被銷毀或永久鎖定，從而進(jìn)一步降低數(shù)據(jù)泄露的可能,。上述加密過程可表示為：Data=Ekα（data）,，其中Ekα表示用審計(jì)人員節(jié)點(diǎn)公鑰加密過程，Data表示加密數(shù)據(jù),。

（3）接收數(shù)據(jù)：審計(jì)單位節(jié)點(diǎn)接收到加密后的審計(jì)數(shù)據(jù)Data后,，首先利用其掌握的私鑰對加密數(shù)據(jù)進(jìn)行解密，以獲取審計(jì)數(shù)據(jù)的具體內(nèi)容,；其次,，基于區(qū)塊鏈平臺對審計(jì)數(shù)據(jù)進(jìn)行計(jì)算、分析等處理,。上述解密過程可表示為：data=Ekα（Data）,，其中Ekα表示用審計(jì)人員節(jié)點(diǎn)私鑰解密過程，data表示解密后的審計(jì)數(shù)據(jù),。

（4）未授權(quán)數(shù)據(jù)訪問：若審計(jì)單位節(jié)點(diǎn)因業(yè)務(wù)需要對被審計(jì)單位節(jié)點(diǎn)未授權(quán)的數(shù)據(jù)產(chǎn)生訪問需求時(shí),，可事先向智能合約發(fā)出權(quán)限擴(kuò)展申請，智能合約在接收到申請后對其身份進(jìn)行驗(yàn)證,，身份驗(yàn)證通過后向被審計(jì)單位節(jié)點(diǎn)發(fā)出權(quán)限擴(kuò)展通知,。被審計(jì)單位查明情況并無異議后，可通過修改智能合約更改申請節(jié)點(diǎn)權(quán)限，權(quán)限更改完成后將向申請節(jié)點(diǎn)發(fā)送擴(kuò)權(quán)成功反饋,，申請節(jié)點(diǎn)重復(fù)數(shù)據(jù)訪問流程,。若被審計(jì)單位未同意審計(jì)單位節(jié)點(diǎn)擴(kuò)權(quán)申請，則必須向申請節(jié)點(diǎn)進(jìn)行反饋,，詳細(xì)說明原因,。當(dāng)合理范圍內(nèi)數(shù)據(jù)訪問權(quán)限申請被拒絕，審計(jì)人員節(jié)點(diǎn)可線下與被審計(jì)單位展開深度協(xié)商,，以獲取數(shù)據(jù)的訪問權(quán)限,，也可將其作為審計(jì)疑點(diǎn)，以待后續(xù)展開深入調(diào)查,。

（5）行為記錄：在審計(jì)工作開展過程中,，智能合約將會對審計(jì)單位節(jié)點(diǎn)的行為進(jìn)行記錄，如數(shù)據(jù)的訪問,、計(jì)算分析以及向第三方函證等,，并將行為記錄編程好后打包保存在區(qū)塊鏈中，作為審計(jì)證據(jù)和審計(jì)工作底稿的補(bǔ)充部分,。以數(shù)據(jù)訪問行為記錄為例,，可將審計(jì)單位節(jié)點(diǎn)的數(shù)據(jù)訪問行為以表1的形式進(jìn)行存儲和維護(hù)。

表中字段解釋如下：

訪問節(jié)點(diǎn)：審計(jì)數(shù)據(jù)訪問行為發(fā)起的具體節(jié)點(diǎn),。

訪問許可：審計(jì)數(shù)據(jù)訪問申請是否通過,，具體包括通過和不通過兩種結(jié)果；記錄導(dǎo)致訪問申請未通過的具體原因,，如訪問越權(quán)數(shù)據(jù),、未經(jīng)身份認(rèn)證等，以便被審計(jì)單位節(jié)點(diǎn)后續(xù)進(jìn)行相應(yīng)處理,。

訪問數(shù)據(jù)：記錄節(jié)點(diǎn)訪問的審計(jì)數(shù)據(jù)范圍,。

訪問時(shí)間：節(jié)點(diǎn)申請?jiān)L問的時(shí)間，可用于檢測節(jié)點(diǎn)是否存在短時(shí)間內(nèi)過于頻繁地發(fā)送審計(jì)數(shù)據(jù)訪問請求等不當(dāng)行為,。

被授權(quán)者可以隨時(shí)隨地訪問審計(jì)全過程的數(shù)據(jù)資料,，監(jiān)督審計(jì)單位行為，評價(jià)審計(jì)單位工作效果,，從而提高審計(jì)的效率與透明度,。

（三）框架優(yōu)勢

1.加強(qiáng)數(shù)據(jù)訪問權(quán)限控制

儲存在區(qū)塊鏈上的審計(jì)數(shù)據(jù)，其安全性和完整性都能夠得到極好的保障,。在此基礎(chǔ)上,，被審計(jì)單位僅需要負(fù)責(zé)審計(jì)數(shù)據(jù)訪問控制方案的設(shè)計(jì)和執(zhí)行，既避免了本地計(jì)算機(jī)儲存方式下“打包式”的粗糙訪問方式,，又避免了云儲存方式下由于用戶數(shù)量大而導(dǎo)致的訪問控制規(guī)則復(fù)雜多變,、難以協(xié)調(diào)等問題。通過區(qū)塊鏈技術(shù)進(jìn)行審計(jì)數(shù)據(jù)訪問控制，使得被審計(jì)單位僅需對訪問本單位數(shù)據(jù)的節(jié)點(diǎn)負(fù)責(zé),。通過設(shè)置數(shù)據(jù)讀取范圍和訪問權(quán)限等規(guī)則,，讓合法節(jié)點(diǎn)在規(guī)定時(shí)間內(nèi)訪問經(jīng)過授權(quán)的審計(jì)數(shù)據(jù)，既避免了未經(jīng)授權(quán)的審計(jì)數(shù)據(jù)訪問行為,，又避免了非法節(jié)點(diǎn)對于數(shù)據(jù)的訪問,。實(shí)現(xiàn)訪問過程全控制，訪問規(guī)則靈活可變,，有效提升審計(jì)信息的訪問安全和穩(wěn)定,。

2.提高數(shù)據(jù)傳輸安全性

在數(shù)據(jù)的傳輸過程中，采用非對稱加密方式,，被審計(jì)單位節(jié)點(diǎn)將數(shù)據(jù)加密后發(fā)送給審計(jì)單位節(jié)點(diǎn),，只有密鑰擁有者才能對加密后的數(shù)據(jù)解密，獲取原始數(shù)據(jù),。除非攻擊者竊取到被審計(jì)單位節(jié)點(diǎn)自行保管的私鑰,，否則無法獲取完整的明文數(shù)據(jù)，進(jìn)而利用竊取的數(shù)據(jù)分析企業(yè)戰(zhàn)略動向等信息,，產(chǎn)生非正當(dāng)競爭行為,。非對稱加密傳輸?shù)姆绞接行У亟档土藢徲?jì)數(shù)據(jù)在傳輸過程中的安全風(fēng)險(xiǎn),，保證了審計(jì)數(shù)據(jù)在被審計(jì)單位節(jié)點(diǎn)和審計(jì)單位節(jié)點(diǎn)間傳輸?shù)臋C(jī)密性和準(zhǔn)確性,。

3.提高審計(jì)工作透明度

現(xiàn)有審計(jì)業(yè)務(wù)并不是完全透明公開的，存在一定程度的“黑箱”特性,，若審計(jì)單位故意隱瞞,，審計(jì)監(jiān)管部門的工作會存在一定困難。然而,，在區(qū)塊鏈中開展審計(jì)數(shù)據(jù)采集工作,，審計(jì)單位的訪問行為、處理行為等都將作為數(shù)據(jù)永久記錄到區(qū)塊鏈中,，并且儲存在區(qū)塊鏈中的行為記錄可追溯且不可篡改,，因此監(jiān)管部門可以實(shí)現(xiàn)審計(jì)業(yè)務(wù)流程的全過程訪問。審計(jì)單位無法隱瞞違規(guī)的數(shù)據(jù)訪問行為,，從而可以達(dá)到提高監(jiān)管層審計(jì)監(jiān)管質(zhì)量,，遏制審計(jì)舞弊行為的效果。

（四）框架瓶頸

1.關(guān)鍵審計(jì)數(shù)據(jù)難以獲取

審計(jì)數(shù)據(jù)是審計(jì)人員形成審計(jì)結(jié)論的前提條件,，是控制審計(jì)工作質(zhì)量的關(guān)鍵因素,。由于審計(jì)數(shù)據(jù)訪問權(quán)限設(shè)置的權(quán)利由被審計(jì)單位所掌握，因此可能出現(xiàn)被審計(jì)單位惡意隱瞞對本單位不利的審計(jì)數(shù)據(jù)情況,，如關(guān)聯(lián)方交易等關(guān)鍵信息,，不配合審計(jì)單位節(jié)點(diǎn)訪問數(shù)據(jù)申請，這將對審計(jì)工作的順利開展造成嚴(yán)重影響，審計(jì)效果也會因此大打折扣,。關(guān)鍵審計(jì)數(shù)據(jù)缺失,，審計(jì)人員將難以對被審計(jì)單位做出正確評價(jià)，甚至可能導(dǎo)致審計(jì)失敗,。審計(jì)失敗一旦發(fā)生,，審計(jì)信息使用者難免會因此產(chǎn)生錯誤的決策行為，隨之影響市場運(yùn)行效率和社會資源的配置效果,，審計(jì)行業(yè)的健康發(fā)展也將受到較大沖擊,。

2.區(qū)塊鏈技術(shù)存在限制性

由于區(qū)塊鏈技術(shù)自身存在一定的局限，導(dǎo)致審計(jì)數(shù)據(jù)訪問控制框架不可避免地存在一定的不足,。一是區(qū)塊鏈技術(shù)應(yīng)用成本高昂以及缺乏合理的差錯彌補(bǔ)機(jī)制,。目前區(qū)塊鏈作為新興技術(shù)尚未成熟，應(yīng)用成本高昂,，因此對于小微企業(yè)而言,，正式運(yùn)用區(qū)塊鏈實(shí)現(xiàn)數(shù)據(jù)儲存及訪問還存在一定的經(jīng)濟(jì)困難。此外,，區(qū)塊鏈中數(shù)據(jù)具有不可篡改特性,，而在實(shí)際操作中難以避免會存在輸入錯誤，錯誤的數(shù)據(jù)雖然可以通過后續(xù)操作進(jìn)行彌補(bǔ),，但會一直儲存于區(qū)塊鏈中,。因此對于數(shù)據(jù)總量巨大的企業(yè)來說，大量因操作失誤而形成的冗余數(shù)據(jù)會嚴(yán)重影響區(qū)塊鏈的運(yùn)行效率,。二是密鑰存在一定的盜用和丟失等風(fēng)險(xiǎn),。一旦密鑰被盜取，盜用者可偽裝成密鑰主人,，向被審計(jì)單位發(fā)送數(shù)據(jù)訪問申請,，竊取被審計(jì)單位的機(jī)密信息。因此,，如何加強(qiáng)密鑰安全保存也是區(qū)塊鏈技術(shù)發(fā)展面臨的一大難題,。三是非結(jié)構(gòu)化數(shù)據(jù)難以上鏈,。非結(jié)構(gòu)化數(shù)據(jù)中蘊(yùn)含著大量的關(guān)鍵審計(jì)證據(jù)，是審計(jì)數(shù)據(jù)的重要組成部分,，然而，非結(jié)構(gòu)化數(shù)據(jù)難以量化,，無法上鏈儲存,，這就使得非結(jié)構(gòu)化數(shù)據(jù)的采集只能采用原始的審計(jì)數(shù)據(jù)收集方式,，數(shù)據(jù)依然存在安全風(fēng)險(xiǎn),。

四、結(jié)語

本文提出了一種基于區(qū)塊鏈技術(shù)的審計(jì)數(shù)據(jù)訪問控制框架,，為審計(jì)數(shù)據(jù)訪問過程中的安全問題提供了一個切實(shí)可行的解決方案，主要通過區(qū)塊鏈鏈接被審計(jì)單位和審計(jì)單位,，利用智慧合約實(shí)現(xiàn)身份驗(yàn)證以及非對稱加密技術(shù)加強(qiáng)審計(jì)數(shù)據(jù)傳輸安全的方式，針對性地解決當(dāng)前審計(jì)數(shù)據(jù)采集流程中存在的不透明,、不規(guī)范等問題。審計(jì)數(shù)據(jù)訪問安全的提高,，有利于加強(qiáng)被審計(jì)單位數(shù)據(jù)安全,，促進(jìn)被審計(jì)單位健康發(fā)展，有利于規(guī)范審計(jì)單位行為,，提高審計(jì)工作透明度,。

目前，審計(jì)與區(qū)塊鏈的結(jié)合還處于探索初期,，因此,，仍需不斷研究區(qū)塊鏈技術(shù)環(huán)境下有關(guān)審計(jì)數(shù)據(jù)訪問方面的實(shí)際運(yùn)用，從而根據(jù)實(shí)際出現(xiàn)的問題有針對性地完善審計(jì)數(shù)據(jù)安全訪問框架,。此外,，密鑰在審計(jì)數(shù)據(jù)訪問流程中起著至關(guān)重要的作用,，若發(fā)生密鑰被盜等安全事件，將會對審計(jì)數(shù)據(jù)安全造成極大威脅,。因此，針對密鑰丟失這一現(xiàn)實(shí)問題,，如何降低審計(jì)訪問風(fēng)險(xiǎn)同樣是未來工作需要關(guān)注的重點(diǎn)。本框架審計(jì)數(shù)據(jù)訪問的對象目前仍限于能夠上鏈的數(shù)據(jù),，對于實(shí)物信息等還需采用現(xiàn)場取證方式，未來可進(jìn)一步探究鏈內(nèi)數(shù)據(jù)與鏈外數(shù)據(jù)的有效結(jié)合,。

作者：吳花平 吳冰 劉自豪

來源：會計(jì)之友

編輯：孫哲

目前150000+人已關(guān)注我們,，您還等什么？