利用区块链技术审计云服务的数据保护遵从性

技术领域

本发明的实施方式总体涉及数据保护。更具体地，本发明的至少一些实施方式涉及用于促进审计数据管理系统和过程的法规遵从性的系统、硬件、软件、计算机可读介质和方法。

背景技术

存储系统和数据管理系统对用户数据的处理越来越受到各种法规要求的管辖，这些法规要求包括政府制定的关于安全和隐私的要求，例如欧盟(EU)发布的通用数据保护条例(GDPR)。并且，至少在某些情况下，用户数据的处理由诸如证券交易委员会(SEC)的组织控制。然而，其他机构还颁布了关于用户数据的处理的其他规则和条例。

这样的法规要求可能对涉及创建和处理数据的企业和其他实体和组织提出挑战。并且，这些要求在行业和纵向行业之间发生变化，在每个国家/州都不同，并且随着时间的推移不断变化。这进一步使企业的例如遵从和证明遵从适用条例的能力变得复杂。

特别地，组织可能需要提供其数据管理系统符合适用的法规要求的认证。这通常通过审计过程来完成，在该审计过程中，外部审计员检查组织的数据管理实施、策略和历史。

遗憾的是，数据管理系统的认证是复杂、冗长且昂贵的过程，因为它涉及对分布在许多不同信息系统之间的大量数据的人工检查。因此，组织面临的挑战包括提供统一可靠的数据源，该数据源将作为数据管理法规遵从性认证的合法记录证明。

更详细地，组织必需处理的问题和复杂因素包括复杂且动态的法规环境、多个不同的数据管理系统以及复杂且昂贵的认证过程。例如，在法规方面，用户、IT经理和企业主很难及时了解其领域关于数据保留、保护和安全的最新条例、常见做法和行业要求。与此相关的是，组织可能难以验证其遵从性，也难以验证法规的变化不需要更改其数据保护策略。

并且，数据量和种类呈指数增长，而且需要审计员访问和审查组织中的多个不同系统。最后，由于存在多个分散的数据系统且缺乏足够的自动化工具，因此法规遵从性的认证过程通常是手动的、耗时的且成本高昂的。

附图说明

为了描述可以获得本发明的至少一些优点和特征的方式，将参考在附图中示出的本发明的特定实施方式来更具体的描述本发明的实施方式。应理解，这些附图仅描绘了本发明的典型实施方式，并且因此不应被认为是对本发明的范围的限制，将通过使用附图用附加的特征和细节来描述和解释本发明的实施方式。

图1公开了用于本发明的一些实施方式的示例性操作环境的方面。

图2公开了示例性主机配置的方面。

图3是公开了用于处理与审计云服务有关的信息的方法的一些一般方面的流程图。

图4是公开了用于通过审计云服务来审计企业管理事务的方法的一些一般方面的流程图。

具体实施方式

本发明的实施方式总体涉及数据保护。更具体地，本发明的至少一些实施方式涉及用于促进审计数据管理系统和过程的法规遵从性的系统、硬件、软件、计算机可读介质和方法。

更具体地，本发明的示例性实施方式利用区块链技术来通过一个或多个第三方可访问的专用节点来提供审计云服务。这种方法可以转变和简化数据保护系统的法规遵从性的审计过程。本发明范围内的至少一些实施方式基于在区块链网络上记录组织中受监管的数据保护事务和数据管理事务。记录事务创建了安全、加密且不可编辑的合法记录证明总账。然后，该区块链网络可以连接到审计云服务，该审计云服务可用作审计员和监管者审查和验证组织或企业的法规遵从性的单一、透明且标准的访问点。

因此，本发明的一些示例性实施方式包含从区块链软件插件到组织中的现有存储系统、数据保护系统和数据管理系统构建的企业区块链网络。通过向这些系统添加区块链软件插件，这些系统成为企业区块链网络中的节点。

对于在这些系统上发生的每个相关数据管理操作，事务元数据将被登记为区块链网络上的数据块。例如，此类元数据可以包括诸如以下的属性：事务的日期和时间；事务id；数据管理系统id；与事务涉及的数据相关的数据保护策略；数据的物理位置；以及数据删除操作的数据删除证明。

出于性能考虑，一组的一个或多个数据管理事务可以基于与事务的合并逻辑有关的可配置参数被聚集到单个区块链数据块。例如，有时可能会出现这样的情况，由于事务量太大，将事务单独发布到区块链网络可能不切实际。举例来说，如果每秒有多个存储事务或备份事务，那么定期聚集事务然后将聚集的事务的元数据同时发送到区块链网络可能会更有效。因此，在确定是否以及如何聚集数据管理事务时可以考虑的参数可以包括但不限于每个数据块的数据管理事务的数量、每分钟可以创建的数据块的最大速率。这些参数仅作为示例提供，可使用其他参数来告知聚集方法。

于是，有利地，本发明的一些实施方式可以提供相对于常规硬件、软件、系统和方法的配置和操作的各种益处和改进。举例来说，至少在数据管理操作方面，本发明的实施方式可以提供用于配置具有多个节点的企业网络以作为区块链网络操作的过程。与不采用安全、加密且不可编辑的合法记录证明总账来记录数据管理事务的传统计算系统和流程相比，这种方法在功能和操作上有所改进。

并且，本发明的一些实施方式可以提供审计功能，其中第三方能够通过企业的审计云服务访问和评估受企业影响并在区块链网络中登记的数据管理事务。除其他原因外，这种方法的优势在于，可以防止产生数据管理事务的企业以任何方式修改事务信息，从而确保审计员能够如数据管理事务实际发生的那样访问该数据管理事务的真实且完整的记录。因此，数据管理事务是高度透明的。如此，本发明的实施方式不限于审计过程。例如，对数据管理事务的信息的访问可用于识别和帮助解决系统、硬件和/或软件的问题。

一些实施方式的另一优势在于，它们能够实现用于验证客户对适用条例的遵从性的新过程，同时还改进企业中的客户体验，并且改进审计员的体验。因此，审计员和/或其他第三方能够访问以前不容易获得的企业信息。并且，本发明的实施方式可以提高数据管理事务审计结果的准确性、有用性和及时性。最后，本发明的实施方式的优势在于，它们提供了支持区块链的数据保护软件、硬件和系统。

应当注意，各种实施方式的前述有利方面仅通过示例的方式呈现，并且本发明的示例性实施方式的各种其他有利方面将从本说明书中变得明显。还应注意，任何实施方式实现或能够实现本文公开的任何此类有利方面不是必需的。

A.示例性操作环境的方面

以下是对本发明的各种实施方式的示例性操作环境的方面的讨论。该讨论不旨在以任何方式限制本发明的范围或实施方式的适用性。

一般而言，本发明的实施方式可以结合单独和/或共同实施和/或导致实施数据管理操作的系统、软件和组件来实施。此类数据管理操作可包括但不限于数据读取/写入/删除操作、数据备份操作、数据恢复操作、数据克隆操作、数据归档操作和灾难恢复操作。因此，虽然在某些方面中本文的讨论可以是针对数据保护环境和操作的讨论，但本发明的范围不限于此。更一般地，本发明的范围包括所公开的概念可以在其中有用的任何操作环境。作为说明而非限制，本发明的实施方式可以结合数据备份和恢复平台使用，例如Dell-EMCNetWorker和Avamar平台。

数据保护环境可以采用公共或私有云存储环境、本地存储环境和包括公共和私有元素的混合存储环境的形式，尽管本发明的范围也扩展到任何其他类型的数据保护环境。这些示例性存储环境中的任何一者都可以部分或完全虚拟化。存储环境可以包括数据中心或由数据中心组成，该数据中心可操作以服务由一个或多个客户端发起的读取和写入操作。

除了存储环境之外，操作环境还可以包括一个或多个主机设备(例如客户端)，每个主机设备主管一个或多个应用程序。如此，特定客户端可以使用一个或多个应用程序中的每个应用程序的一个或多个实例，或者与该一个或多个应用程序中的每个应用程序的一个或多个实例相关联。一般而言，客户端使用的应用程序不限于任何特定功能或功能类型。例如，一些示例性应用程序和数据包括电子邮件应用程序(例如MS Exchange)、文件系统以及数据库(例如Oracle数据库和SQL Server数据库)。客户端上的应用程序可生成期望被保护的新数据和/或经修改的数据。

根据本发明的各种实施方式，本文公开的任何设备或实体可以由一个或多个数据保护策略来保护。然而可以通过根据本发明的实施方式的数据保护策略来保护的设备的其他示例包括但不限于容器和VM。

操作环境中的任何设备(包括客户端、服务器和主机)都可以采用软件、物理机或虚拟机(VM)的形式、或这些的任意组合的形式，尽管任何实施方式均不需要特定的设备实现方式或配置。类似地，数据保护系统组件(例如数据库、存储服务器、存储卷(LUN)、存储磁盘、复制服务、备份服务器、恢复服务器、备份客户端和恢复客户端)例如同样可以采用软件、物理机或虚拟机(VM)的形式，尽管任何实施方式均不需要特定的组件实现。在使用VM的情况下，可以使用管理程序或其他虚拟机监视器(VMM)来创建和控制VM。

如本文所使用的，术语“数据”被规定为在范围上是广泛的。因此，该术语通过示例而非限制的方式包括数据段(例如可通过数据流分段过程而产生)、数据组块、数据块、原子数据、电子邮件、任何类型的对象、文件、联系人、目录、子目录、卷以及前述中的一者或多者的任意组。

本发明的示例性实施方式适用于能够存储和处理以模拟、数字或其他形式的各种类型的对象的任何系统。尽管可以通过示例的方式使用例如文档、文件、数据块或对象的术语，但是本发明的原理不限于表示和存储数据或其他信息的任何特定形式。而是，这些原理等同地适用于能够表示信息的任何对象。

现在特别关注图1，操作环境100可以包括数据保护环境或由数据保护环境组成。数据保护环境可以包括企业数据中心或云数据中心、或两者。例如，数据保护环境可以支持各种数据保护过程，包括数据复制、重复数据删除、克隆、数据备份和数据恢复。如本文所使用的，术语备份旨在被广泛解释，包括但不限于部分备份、增量备份、完整备份、克隆、快照、连续复制和任何其他类型的数据拷贝，以及上述的任何组合。上述任何一项都可能会或可能不会被删除重复数据。

一般而言，图1中的示例性配置公开了使组织中的存储系统、备份系统、和数据管理系统连接的企业区块链网络。图1中还公开了用于第三方(例如审计员)的云服务连接。该示例性实施方式使第三方能够从区块链网络访问所有数据管理遵从性信息。

如图1中特别指示的，操作环境100可以包括各种数据保护系统、组件和软件，例如备份系统102、存储系统104、和数据管理系统106，它们在本文中可以总体称为数据管理单元，或者在一些特定实施方式中称为数据保护单元。这些数据管理单元中的一个或多个可以是现成的单元，即从供应商(例如Dell-EMC)购买的硬件和/或软件。

上述数据管理单元可以全部与单个公共企业或组织相关联，但这不是必需的，并且在其他实施方式中，多个不同的企业或组织可以包括诸如图1中指示的数据保护单元。并且，数据管理单元可以各自包括硬件和/或软件、或由硬件和/或软件组成。数据管理单元102至106中的每一者可以包括或可以访问相应的存储设施102a、104a和106a，例如数据库，其能够支持与数据保护单元102、104和106的操作相关联的读取/写入/删除操作。

备份系统102、存储系统104、数据管理系统106可以各自包括相应的扩展102b、104b和106b，这些扩展通常使那些数据管理单元能够与区块链网络200交互，如下面所讨论的。扩展102b、104b和106b中的任一者都可以被提供作为现成的硬件/软件装置的一部分。并且，扩展102b、104b和106b中的任一者都可以包括区块链插件/API或由区块链插件/API组成。备份系统102、存储系统104和数据管理系统106中的每一个都可以使用其各自的扩展102b、104b和106b来与区块链网络200交互，即使那些数据保护单元不是区块链网络200上的完全合格节点。

一般而言，并且如本文进一步详细讨论的，每个数据管理单元都可以将数据事务信息传送到区块链网络200。此外，数据管理单元可以在任何时间被添加到操作环境100或从操作环境100移除。例如，当数据管理单元从服务中移除或替换为另一个数据保护单元时，可能会发生这种情况。可以与区块链网络200结合操作的数据管理单元的数量没有限制。

如图1中进一步指示并且在本文别处更详细地讨论的，区块链网络200可以被配置为不仅与企业的一个或多个数据管理实体通信，而且还与各种外部实体通信。外部实体可以与企业相关联，也可以不与企业相关联。例如，区块链网络200可以由服务，例如由审计云服务300访问，审计云服务300可以由第三方审计员(例如政府审计员)访问，从而审计员可以做出关于企业的数据管理单元102、104和106的数据处理的各种决定。审计云服务300可以包括区块链网络200的节点302。如此，受数据管理单元102、104和106影响的数据管理事务可以登记在节点302上。节点302可以是异地节点，即，节点302可以位于企业的异地。因此，可以通过审计云服务300的节点302获得对总账的访问。

区块链网络连接到审计云服务300的这种布置可以提供多种益处。例如，将企业数据管理操作存储在受信任的异地节点上可以为企业提供数据管理操作信息的高可用性水平的保证。作为另一示例，审计云服务300可以用作执行认证过程的外部审计员的中央访问点，因为在一些实施方式中，每个区块链节点可以保留企业的所有数据管理单元的整个事务历史。

审计云服务300和区块链网络200中的任一者或两者可以以多种形式或多种形式的组合来实现。此类形式包括但不限于作为专用的独立服务器的VM、数据保护基础设施中的设备、企业数据保护网络中的虚拟设备、数据中心中的机架/箱、软件，或与数据保护产品集成在一起。

继续参考图1，审计云服务300可以被一个或多个审计员和/或监管者400访问。这样，审计员400能够访问已经登记在审计云服务300的节点302上的数据管理事物的信息。审计员400可以是企业内部的审计员，或者与企业没有其他关联的外部审计员。审计员400可以能够通过审计云服务300来查看、拷贝或下载可能是加密的数据管理事务的信息。

在至少一些实施方式中，由于安全措施和/或其他措施，审计员400不能例如通过写入或删除来修改通过审计云服务300访问的数据管理事务的信息。此外，可以要求审计员400例如通过审计云服务300的用户界面(UI)呈现合适的凭证，以便确定审计员400被授予访问数据管理事务的信息的权限。在呈现适当的凭证后，审计云服务300可以授予审计员400访问数据管理事务的信息的权限。(如果被授予权限的话)在授权之后，审计员400可以被提供用于解密审计云服务300所提供的数据管理事务的信息的密钥。

可以在各种基础上授予审计员400对审计云服务300的数据管理事务的信息的访问权限，例如临时地或持续地授予访问权限。并且，可以在审计云服务300和一个或多个审计员400之间发送各种通知。一个示例是来自审计云服务300的、特定的数据管理事务的集合或组已经完成并且准备好用于审计的通知。

审计员400可以例如通过UI向审计云服务300指定各种参数，这些参数可以共同定义审计配置文件。这样，审计员400可以使用审计配置文件来识别将被审计的数据管理事务。审计云服务300然后可以向审计员400提供落入审计配置文件范围内的(一个或多个)记录。任何(一个或多个)参数都可以在审计配置文件中使用。这样的参数可以包括但不限于与数据管理事务相关联地生成的元数据的任何分组，例如实现数据管理事务的数据管理单元的标识、实施的数据管理事务的类型、以及感兴趣的时间范围。因此，一个示例性审计配置文件可以指定：(i)所有数据备份；(ii)由数据管理单元‘X’执行；(iii)在过去30天内。应当理解，可以定义和采用任意数量的审计配置文件，并且因此，前述仅通过示例而非限制的方式呈现。

B.区块链网络

继续参考图1，提供了关于可以结合本发明的一个或多个实施方式使用的示例性区块链网络的进一步的细节，其中一个这样的示例性区块链网络已用200表示。一般而言，如本文在别处指出的，一个或多个实施方式采用由区块链软件插件到组织中的现有存储系统、数据保护系统和数据管理系统构建的区块链网络。通过向这些系统添加区块链软件插件，例如扩展102b、104b和106b，这些系统将成为区块链网络200中的节点。

区块链网络200可以包括多个主机设备或由多个主机设备组成，每个主机设备可以是区块链网络200的相应节点202。在其他实施方式中，区块链网络200的多个节点202可以位于单个主机设备上或以其他方式与单个主机设备相关联。更一般地，区块链网络200不需要具有任何特定形式或配置，因此前述内容仅通过示例的方式呈现。节点202共同定义一个总账，该总账保存关于所有企业事务的信息。即，所有数据管理事务都在包括节点302的网络的所有节点上登记。总账可以接收包括标签或其他标识符的事务信息，以识别事务中涉及的源数据管理单元。

区块链网络200可以另外包括管理员204。管理员204可以附接到区块链网络200的任何节点202。管理员204还可以与外部实体和节点(例如审计云服务300)通信。在一些实施方式中，管理员204处理传入的数据管理事务元数据以及访问总账中的数据的请求。

在至少一些实施方式中，区块链网络200包括企业区块链网络，因此不能被公共实体或未被企业授予访问权的实体访问。因此，企业区块链网络中的数据事务信息通常不会被公众访问，但可以被授权的第三方(例如审计员)访问。这种区块链网络可以称为需要许可的或私有的区块链网络。

在其他实施方式中，区块链网络可以是可由一个或多个公共实体以及由企业自由访问的公共区块链网络。这种公共区块链网络也可以称为开放的或无需许可的区块链网络。

在又一些实施方式中，区块链网络可以是联合区块链网络。联合区块链网络可以包括一个或多个节点，每个节点与相应的实体或企业相关联。对联合区块链网络节点的访问可以由与这些节点相关联的相应实体和/或由实体指定的管理员控制。

就其操作而言，诸如区块链网络200的区块链网络的实施方式例如包括可用于记录两方或更多方之间的事务的分布式总账。私有区块链网络的任何授权方或公共区块链网络情况下的任何一方都可以访问总账。因此，区块链网络的实施方式采用点对点网络的形式，其成员或节点都遵守既定的通信协议和成员之间的事务处理协议，例如在区块链中创建新数据块。在至少一些实施方式中，除非事务各方达成共识，否则不能修改总账中的区块链记录。

一般而言，且举例来说，每个数据管理操作(例如对于数据对象的数据管理操作)构成导致由区块链网络在区块链中创建对应数据块的数据事务。每个数据块都可以被视为区块链总账中的一个条目。在至少一些实施方式中，可以为区块链网络的每个节点提供相应的总账，并且因此，来自诸如数据管理单元102的实体的所有数据事务(这些数据事务被定向到特定于该数据管理单元102的节点)都可以登记在单个总账中。这样，例如，审计员可以对数据管理单元102所属的企业执行特定于实体的审计。然而，前述内容仅通过示例的方式呈现，并且可以以任何其他合适的方式分配和使用总账。

应当注意，在至少一些实施方式中，企业或其他实体的实际数据不存储在区块链网络200中。而是，只有关于该数据的事务信息位于区块链网络200中。企业的实际数据可以本地存储在企业站点、和/或云数据中心、和/或其他站点。

C.示例性区块链事务的一般方面

继续参考图1和区块链网络的讨论，现在提供关于诸如示例性区块链网络200的区块链网络的操作方面的进一步细节。一般而言，对于发生在企业数据管理单元上的每个相关数据管理操作，事务元数据都将在区块链网络上登记为数据块。如本文所使用的，除其他之外，术语“事务”旨在广泛地涵盖影响由企业或其他实体管理的数据的任何操作或操作组。此类操作包括但不限于数据保护操作。有鉴于此，与事务相关联的元数据可以包括但不限于诸如以下的属性：数据事务的日期和时间；事务id；执行事务和/或导致执行事务的数据管理系统的数据管理系统id；与数据相关联的数据保护策略；数据的物理位置；以及删除操作的删除证明和/或任何其他数据管理操作的证明。在一些实施方式中，可以通过基于可配置参数将多个数据管理事务聚集到单个区块链数据块来增强性能。

如本发明所表明的那样，区块链网络200可以用作组织中所有数据管理事务的统一真实来源，以用于法规遵从性认证和/或其他目的。并且，在区块链网络200上存储数据保护操作利用区块链能力作为分布式总账技术的实现，分布式总账技术是安全、加密、不可变、即不可编辑且透明的。

D.示例性主机和服务器配置

现在简要参考图2，数据管理单元102……106、存储设施102a、104a和106a、扩展102b、104b和106b、节点202、节点302、管理员204、审计云服务300和审计员400中的任何一者或多者可以采用物理计算设备的形式，或包括物理计算设备，或在物理计算设备上实现，或由物理计算设备主管，物理计算设备的一个示例用500表示。并且，在上述单元中的任一者包括虚拟机(VM)或由虚拟机组成的情况下，该VM可以构成图2中公开的物理组件的任何组合的虚拟化。

在图2的示例中，物理计算设备500包括存储器502，其可以包括随机存取存储器(RAM)、非易失性随机存取存储器(NVRAM)504、只读存储器(ROM)、永久存储器、一个或多个硬件处理器506、非暂时性存储介质508、I/O设备510和数据存储器512中的一者、一些或全部。物理计算设备500的一个或多个存储器组件502可以采用固态设备(SSD)存储器的形式。并且，提供包括可执行指令的一个或多个应用程序514。此类可执行指令可以采用各种形式，包括例如可执行以执行本文公开的任何方法或其一部分的指令，和/或可由任何存储站点(无论是在企业本地，还是在云存储站点、客户端、数据中心、备份服务器、区块链网络或区块链网络节点)/在任何存储站点处执行以执行本文公开的功能的指令。并且，此类指令可执行以执行本文公开的任何其他操作，包括但不限于读取、写入、备份、和恢复操作、和/或任何其他数据保护操作、审计操作、云服务操作、区块链操作、数据管理单元操作、区块链节点操作、和区块链总账操作。

E.示例性方法

现在关注图3，公开了示例性方法的方面。一种特定方法总体用600表示，并且与涉及审计云服务和区块链网络的操作有关。

该方法可以开始于602，其中数据管理单元实施或使得实施数据管理事务，例如备份操作。与数据管理事务的实施相关，数据管理单元可以生成604关于数据管理事务的元数据。这种元数据可以包括例如诸如以下的属性：事务开始和/或完成的日期和时间；事务id；数据管理系统id；与事务涉及的数据相关的数据保护策略；数据的物理位置；以及数据删除操作的数据删除证明。

在生成元数据604之后，元数据被数据管理单元传输606到区块链网络的节点或以其他方式被区块链网络的节点可用，所述节点包括审计云服务的节点。然后元数据被登记608在区块链网络的每个节点上。这样，连接到审计云服务的实体就可以访问已经登记在审计云服务的节点上的事务元数据。

审计云服务的节点可以在任何时候如此指定，和/或可以如此指定为方法600的一部分。在一些实施方式中，审计云服务的节点被实施为部分创建区块链网络。在其他实施方式中，审计云服务的节点是在创建区块链网络之后实现的，然后区块链网络的其他节点可以连接到审计云服务的节点。审计云服务可以包括区块链插件或API网关，例如，以使审计云服务能够充当或实现区块链网络的节点。

接下来参考图4，公开了其他示例性方法的方面。一种特定方法总体用700表示，并且与结合审计过程执行的操作有关。在一些实施方式中，方法700可以由审计云服务和一个或多个审计员协作执行，尽管本发明的范围不限于图4中所示的示例性功能分配。每次执行审计时都可以重复方法700。并且，图4中归因于审计云服务和/或区块链的功能可以由审计云服务管理员、由区块链网络管理员执行、由这两个管理员协作执行，或者在审计云服务管理员和区块链网络管理员之间分配。因此，图4中的功能分配仅通过示例而非限制的方式呈现。最后，方法700可以与方法600结合以定义其他过程。例如，可以将方法600中区块链网络和/或审计云服务执行的过程与方法700中区块链网络和/或审计云服务执行的过程结合起以定义另外的方法。

方法可以开始于702，其中审计员连接到审计云服务，该审计云服务包括作为区块链网络的一部分的专用节点。审计云服务、审计员和专用节点中的任何一者或全部可以位于生成登记在区块链网络的节点处的元数据的企业或其他组织的异地。在连接702到审计云服务之后，审计员然后可以请求访问704区块链网络的记录。如本文别处所述，该记录可包括关于一个或多个数据管理事务的元数据或由关于一个或多个数据管理事务的元数据组成。

访问请求704可由区块链管理员和/或审计云服务管理员处理706。该处理706可以包括，例如，检查由审计员提供的凭证，然后如果由审计员提供的凭证例如由上述管理员中的一者或两者确定是有效的，则授予访问权。

当访问请求704被准许时，审计员然后可以生成708审计配置文件，其通常定义审计员要求审查的区块链记录的范围。审计配置文件的定义708可以通过与审计云服务相关联的UI来执行，并且可以通过该UI从用户接收输入。在某些情况下，审计配置文件已经生成，并且用户只需使用UI例如从库或显示的列表中选择审计配置文件。应当注意，本文所指的UI可以是图形用户界面(GUI)、命令行界面(CLI)和/或任何其他UI。

一旦已经生成708了审计配置文件，则它可以被传输710到例如区块链管理员，并且因此，审计配置文件可以构成来自审计员的访问登记在区块链的节点处的各种记录的请求，区块链的节点包括审计云服务的节点。审计配置文件或请求由区块链管理员接收712，区块链管理员可以返回714该请求所包含的信息或以其他方式使审计员能够访问该请求所包含的信息。在至少一些实施方式中，审计员对所请求的数据管理事务的信息的访问716可以被限制为只读或读取/拷贝。

在审计员已经访问716所请求的数据管理事务的信息之后，审计员然后可以处理718该信息。这样的处理718可以包括，例如，分析该信息以确定一个或多个特定数据管理事务何时发生，将两组或更多组数据(例如备份)相互比较以确定各组的相应内容之间的任何共性和/或差异。然而，审计员进行的处理的这些示例仅通过示例的方式呈现，并且不旨在以任何方式限制本发明的范围。

当审计员已经完成数据管理事务的信息的处理718后，审计员然后可以将结果包括在报告720中。在其他实施方式中，报告可以由审计云服务生成。该报告可以被发送给其数据管理事务的信息是审计对象的企业。报告的内容还可以用作企业识别关于企业如何执行和跟踪数据管理事务的一个或多个问题并就这些问题采取一个或多个纠正动作722的基础。举例来说，如果通过审计发现企业保留个人数据(例如员工的个人数据)的时间超过了例如法律或法规所允许的时间，则可以在分析718期间识别该事实，然后，企业可以相应地修改其备份策略和程序，以确保及时删除数据。

F.示例性计算设备和相关联的介质

本文所公开的实施方式可以包括使用包括各种计算机硬件或软件模块的专用或通用计算机，如下面更详细讨论的。计算机可以包括处理器和承载指令的计算机存储介质，所述指令在被处理器执行时和/或使得所述指令被处理器执行时，执行本文所公开的方法中的任一者或多者。

如上所述，在本发明的范围内的实施方式还包括计算机存储介质，所述计算机存储介质是用于承载或带有其上存储的计算机可执行指令或数据结构的物理介质。这种计算机存储介质可以是能够被通用或专用计算机访问的任何可用的物理介质。

以示例而不是限制的方式，这种计算机存储介质可以包括硬件存储器，所述硬件存储器诸如固态硬盘/设备(SSD)、RAM、ROM、EEPROM、CD-ROM、闪存、相变内存(“PCM”)、或者其他光盘存储器、磁盘存储器或其他磁存储设备、或者可用于存储以计算机可执行指令或数据结构的形式的程序代码的任何其他硬件存储设备，所述计算机可执行指令或数据结构可以被通用或专用计算机系统访问和执行以实现本发明所公开的功能。以上的组合也应该被包括在计算机存储介质的范围内。这些介质也是非暂时性存储介质的示例，非暂时性存储介质也包含基于云的存储系统和结构，然而本发明的范围未被限定到非暂时性存储介质的这些示例。

计算机可执行指令包括例如使得通用计算机、专用计算机、或专用处理设备执行某一功能或某一组功能的指令和数据。尽管已经用特定于结构特征和/或方法动作的语言描述了主题，应理解的是，所附权利要求中限定的主题不必限定到上述特定特征或动作。相反，本文所公开的特定特征和动作被公开作为实现权利要求的示例性形式。

如本文中所使用的，术语“模块”或“组件”可以指在计算系统上执行的软件对象或例程。本文描述的不同的组件、模块、引擎、和服务可以实现为例如作为单独的线程在计算系统上执行的对象或进程。尽管本文描述的系统和方法可以以软件实现，但是以硬件或者软件和硬件的组合实现也是可以的且可预期的。在本发明中，“计算实体”可以是如本文之前所限定的任何计算系统、或者在计算系统上运行的任何模块或模块组合。

在至少一些实例中，提供硬件处理器，该硬件处理器可操作成执行用于执行方法或过程(诸如本文所公开的方法和过程)的可执行指令。该硬件处理器可以包括或不包括其他硬件元件、诸如本文所公开的计算设备和系统。

在计算环境方面，本发明的实施方式可以在客户端-服务器环境(无论是网络环境还是本地环境)或任何其他合适的环境中执行。用于本发明的至少一些实施方式的合适的操作环境包括云计算环境，在云计算环境中，客户端、服务器、和其他机器中的一者或多者可以位于并操作在云环境中。

本发明可以以其他特定形式实现而不脱离其精神或实质特征。所描述的实施方式在所有方面均仅作为说明性的而非限制性的被考虑。因此，本发明的范围由所附权利要求而不是由之前的描述来指示。落入权利要求的等价含义和等价范围内的所有改变均被包含在权利要求的范围内。