从审计的角度来看,区块链有许多不同的焦点. Fortunately, 从IT一般控制(itgc)的角度来看区块链,使审计区块链更易于管理和简单. Speaking of simplifying, for those who may be new to blockchain, 让我们先快速回顾一下区块链是如何工作的.
区块链中的每个块都被比作一个盒子,然后每个盒子被分成几个网格. 历史信息有网格,不能更改. 如果您确实想将新信息放入现有框中(或向此网络添加新框), 你必须找到所有的盒子,并在每个盒子里存储相同的新信息(冗余). 这些盒子被放置(或分发)到不同区域的不同车库(笔记),并带有盖子(i.e., the area is encrypted). Although the box’s information cannot be changed, 每个盒子都有一个与其他盒子连接和通信的方法(点对点).
With that understanding of blockchain, the IT auditor can look to ITGCs (specifically, access management, 变更管理和数据管理(备份和恢复)作为区块链审计的基础.
Client/wallet access management
大多数区块链客户端或钱包访问由公钥和私钥机制控制. So, 与私钥安全相关的访问管理, in addition to general access management, needs to be audited.
的治理和密钥管理部分 Blockchain Audit Program, ISACA通过考虑以下因素来解决访问管理问题:
- For private blockchains, 网络运营者在多大程度上对前澳门赌场官方软件接入网络进行管理?
- 成员是否获得适当的IT控制授权, 例如不活动、禁用和访问授权期间? 可以通过Dapp,使用数字证书等方式方便处理.
- 网络运营商是否使用自动控制来禁用不活跃的用户帐户或在访问授权期限届满时禁用用户帐户?
Other access management control objectives for client/wallet management include ensuring that a secure key/seed backup exists; determining that backup key/seed is protected against environmental risks such as fire, flood, and theft; and confirming that proper keyholder grant-and-revoke policies and procedures are created and implemented.
Blockchain change management
由于过程或系统的变更而引入风险的可能性使得澳门赌场官方下载必须进行审查, 在实施之前,测试并获得系统变更的批准. Since blockchain is a newer technology, 重要的是,所有参与变革管理的人都要对区块链技术有扎实的了解. 变更管理最佳实践的区块链元素应考虑与软件(挖掘/权益)相关, wallet – if applicable) and smart contracts. For example, when auditing smart contracts, 应该确保增加/升级智能合约的过程不会对合约性能产生不利影响,也不会对节点或网络参与者造成损害.
Data management backup and restoration
当区块链中的信息流入澳门赌场官方下载的其他系统时, 需要评估数据完整性方面的风险. Given that, 鼓励审计员了解接口物流,并审查从区块链数据平台到通用应用程序的数据传输,以确保完整性和准确性. 审核员应评价的控制目标示例有:
- Procedures around orphan transactions: a matching issue with transactions could be an indicator of fraud; and
- 防止或检测数据/事务时间戳操作的控件
For backup and restoration, in theory, 只要存储文件的源定义了备份文件, 然后加密文件数据并将其提交给区块链中的所有相关节点, the backup-related risk has been covered. 因此,我的拙见是,与备份相关的风险可能是一种非关键控制.
传统的itgc更倾向于关注应用, databases, and the operating system, 所以他们不像区块链那样考虑网络层. 当与针对每个澳门赌场官方下载环境量身定制的详细审计计划和方法相结合时(例如.e., (区块链的建立和利用方式)itgc仍然是区块链审计的坚实基础. In its Blockchain Audit Program, ISACA确定了治理领域的控制措施, infrastructure, data management, key management and smart contracts. 我希望我今天的博客文章可以让你对区块链是什么以及基于itgc的审计方法如何为区块链的使用提供保证有一个高层次的了解.
