数据存储产业服务平台

DoSTOR存储分析 深度剖析沙宾法案与存储行业关系

    IDC存储行业分析集团副总裁John McArthur曾断言:“如果公司不实施相应流程和基础架构以遵守有关数据保存和恢复的法规,它们将面临巨大的风险。”分析家认为,遵守要求保存及存储记录的新法规在2004年会变得非常重要。在数据存储的合法性方面,当前的全球规章要求企业为了日后的修改和长久保留而必须长期存储更多的数据,比如美国的《萨班斯-奥克斯利法案》、《健康保险便携性及责任性法案》(HIPAA)和美国证券交易委员会的法规,而且要求保留记录20年以上。 我国诸多行业法规也对电子数据的存储与使用做出具体规定,并且认可,电子数据作为有效的会计证据和法律证据是未来趋势。在当今复杂的IT环境和数据量的爆炸式增长的情况下,越来越多的中小公司和企业对有效数据保护提出了更高的要求。



    DoSTOR存储分析 7月27日消息:近期沙宾法案频频出现在,各种有关存储供应商的新闻之内,究竟什么是沙宾法案?法案与存储供应商有何关系?什么是法规遵从性?这里DoSTOR帮助大家简单了解一些沙宾法案的有关知识。


    由于安然和世通公司会计丑闻相继发生后,针对美国国内大规模上市公司的财务丑闻和审计标准屡屡拉响警报。在这些丑闻中,许多公司主管声称他们不应当对虚假财务报表负责,甚或他们根本不知道这些是虚假报表.这些信用危机导致沙宾法案的出台。由美国麻省民主党参议员Paul Sarbanes与俄亥俄州共和党人Michael Oxley共同倡导,美国国会于2002年7月份批准了Sarbanes?Oxley沙宾法案(又称:上市公司会计改革和投资者保护法)生效,法案第404节(该规定将强制公司记录公司治理规定的执行情况)自2004年年中开始生效。


    该法案管制对象仅限于在资本市场运作资金超过7500万的美国上市公司和美国企业的海外分支机构及子公司。法案规定了强化信息披露、监管责任、内部控制和外部审计等制度,该法案要求公开上市公司需定时地公布准确详细的财务报告,其目的是为改革企业财务制度并恢复投资者的信心。同时,该法案还将推动企业财务系统的现代化,促使企业投资在重组业务流程、进行公司治理以及获取咨询服务等领域。


    在企业责任方面,沙宾法案强制公开发行股票公司设置审计委员会,并规定该委员会由独立董事组成,该独立董事没有担任公司管理层级职务,也不从公司领取薪金。 其主要目的是确保审计人员的独立性,授予其审核公司财务记录的权限与自主性,并监督经理人的工作绩效。


    该法案是一个相当复杂的法律,必要时需要由管理咨询公司介入上市公司,帮助整理出沙宾法案的所有要求,并按优先级进行排序,逐步协助他们达到该法案的要求。


    通常认为,要遵循该法案的成本高昂。财富榜上1000强企业2003年可能得花费25亿美元才能符合该法案不同成熟度要求。Sarbanes-Oxley法案是强迫企业进行IT投资的法案条例中的代表作。Sarbanes-Oxley法案有一个内部控制成熟度框架,所以企业可以监控组织流程以与之一致。


    许多存储公司亦为上市公司,管理层对执行沙宾法案疲于奔命,导致上季度业绩欠佳(DoSTOR存储分析:法案给存储软件公司带来的困惑)。存储供应商们不仅要为本公司在执行沙宾法案忙碌,还要帮助自己的客户解决在使用存储设备时,需要符合法案的部分,这就促使越来越多的存储供应商们在自己的产品上添加可以支持该法案的配套软件(DoSTOR存储分析 法律法规促进WORM磁带大步向前)。


    上市公司为遵循法案,不仅是沙宾法案,还包括美国证券交易委员会规范(SEC Rule 17a-4),全美证券交易商协会行为规定(NASD 3110),美国健康保险便利和责任法案(HIPAA),联邦条例21CFR第11部分,美国国防部DOD 5015.2-STD标准,金融服务业的数据安全性制定规范的Gramm-Leach-Bliley法案等。企业必须建立正确的IT基础架构,制定数据保持和保护策略,选择适当的存储技术以便高效地遵从这些法案和联邦条例。对于存储厂商而言,也是面对一个重大的机遇,存储业务即将获得蓬勃发展。


    在了解了沙宾法案的具体内容之后,我们来看看存储业界人士是如何看待这个法案与数据存储的关联。下文是来自NetApp公司中国区总经理陈文俊在谈到,数据存储规范以及法案对其要求的一些内容。


    建立正确的基础架构


    要符合电子数据存储的规范,无论是哪个行业都必须满足下列三个方面的要求:



  • 存储介质:大多数相关规范本身并不明确规定存储的技术,但是所有规范都考虑到了安全性、数据完整性、总拥有成本、性能、访问能力以及搜索功能。电子存储介质可能的选择包括磁带、光盘和磁盘。

  • 应用:所选择的数据管理应用必须符合相关规范,具有诸如保护记录、在线索引、分类、搜索以及审计的功能。

  • 政策与程序:公司必须明确应当如何移动和存储数据,授权的IT人员和其他人员应当如何以及在何时访问并修改数据,以及是否应当在一定的时期之后销毁数据。公司策略还必须确保未授权的雇员无法对数据进行不正当的访问、更改或者删除数据。

    要在上述三个方面都符合要求将需要一个总体解决方案,既要符合相关规定,也要减轻企业的负担。另外一点好处是,一个设计良好的系统也将具有灾难恢复功能,除非发生重大的事故,否则记录将不能被更改,不会发生任何安全问题,重要数据也不会丢失。


    建立数据保持和保护策略


    美国证券交易委员会规范第17a-4条规定,数据必须存储在“不可改写、不可删除”的介质上。而对于其他的规范来说,WORM(单写多读)存储虽然不是明确要求的,但也是事实上的要求(就好像防火墙和防病毒软件虽然并不是法律明确要求的,但是所有IT企业都必须配备这些)。企业必须根据他们的需求来选择最好的数据存储介质。



  • 访问数据速度快:大多数规范的目的不仅是保存数据,而且要能使调查者和公司律师快速查找到记录。证券交易委员会规范第17a-4条还规定,公司必须在几天内,而不是几周内,对信息查询的要求做出反应。当客服机构通过电话处理抵押或者保险业务时,客户往往希望能够在几秒钟之内得到回答;在药物副作用调查过程中,有关监管部门可能需要紧急查询临床实验数据;HIPAA法案也要求能够安全快速地访问患者数据。这些要求便排除了使用离线或脱机的磁带或光盘存储方式。

  • 搜索功能:磁盘存储模式支持在大量数据中进行快速搜索,而不需要再去寻找或者定位磁带或者光盘。如果使用了自动磁带库,就常常需要准确地找到磁带,安装磁带,然后等待查找数据。这一过程将使文件间的索引或者查找非常缓慢。

    选择磁盘技术


    ATA磁盘驱动系统的可靠性和性能现在都有很大提升,但同时价格却在降低,因而更具有竞争力。但是硬件本身并不是一种解决方案。一套优化存储微核和能够提供索引、查找、快速备份和远程镜像功能的文件系统是至关重要的。下面是一套ATA磁盘存储系统应有的特色:



  • 速度:如果系统驱动的速度缓慢,那么在存储电子邮件及其他电子数据时,服务器和客户机的速度也将受到影响。一套性能优良的存储系统不应当牺牲速度而一味追求存储能力。存储系统在各卷中写入数据的速度应当是相同的。

  • 稳定的操作系统:一套经过若干年的调试和改进的操作系统是稳定可靠的,而安装在新平台上的系统则需要小心。

  • 通用操作系统:在所有产品线中应用相同的操作系统和管理界面可以令用户在建立系统和保持低成本的同时拥有更大的自由度。

  • 开放的协议:存储系统应当使用开放协议,读取不同的目录结构中的文件。注意不要使用特殊的API协议,这样可能会使访问或者移动存储数据变得更加困难。

  • 复杂而易于管理的WORM存储:在数据存储方案中,WORM的应用应当非常简单,应用的修改也应当是简单的。最简单的WORM磁盘存储系统仅要求两行代码:第一行设定过期日期,第二行使文件单写多读。

  • 灵活和丰富的数据管理工具:系统应当能够安全存储必要数据,但也应能够装载其他应用程序,例如数据备份、灾难恢复、通用参考信息存储等等。系统还应提供诸如磁带备份、快照、灵活访问控制以及复制等功能。

  • 安全时钟:系统应当通过时钟设置防止存储过期,因为过期将会导致对数据记录的不当修改或者删除。

    银行可以通过添加代码行、设置过期日期的方式来令存储系统与原有软件相兼容。存储系统可以根据需要进行扩容,如果存储空间有冗余也可以用作其他用途,从而提高投资回报。


    对各种存储系统的检查结果表明,对绝大多数客户来说,磁盘存储方案足以提供可靠的性能、灵活的结构、简单的实施方法、节省的成本、以及对数据的访问和保护,完全符合各种规范对数据保存的要求。


    沙宾法案与文档存储相关的内容



  • 从该材料提交的财政年度末开始计算,若不可提供5年内工作材料供审计或审查,将处以最高5年的监禁,并可被课以罚款,或单独课以罚款。

  • 故意篡改、隐匿、或销毁记录或文档,导致记录的完整性受损,使其作为官方处理证据的价值受影响,可以被判以最高20年监禁,并可被课以数额不等罚款,或单独课以数额不等的罚款。

  • 为了阻碍美国联邦调查,而篡改、破坏或者隐匿任何记录证据,将被课以不定数量的罚款,并可同时(或单独)被判以最多10年监禁。

    与存储相关法案


    以下提及这些法案导致美国上市公司行政管理和 IT 成本上升,因为上市公司要购买大量的存储硬件和软件进行数据保护和维持数据不可篡改。而对于相关监管机构而言,更要严格实施有关法规法案,才能准确地从上市公司的电子文档记录中掌握有关上市公司内部运营的信息。因此监管机构出台这些法律和法规,来规定企业的数据保留和储存。



  • 约束证券经纪商的美国证券交易委员会规范(SEC Rule 17a-4),全美证券交易商协会行为规定(NASD 3110)

  • 约束医疗保健业的美国健康保险便利和责任法案(HIPAA)

  • 规定生命科学的联邦条例21CFR第11部分

  • 规定美国国防部电子记录管理应用(RMA)软件的设计标准的DOD 5015.2-STD标准

  • 约束上市公司财务管理等行为的沙宾(Sarbanes-Oxley)法案,2002年

  • 为金融服务业的数据安全性制定规范的Gramm-Leach-Bliley法案 (Gramm-Leach-Bliley Act),1999年

未经允许不得转载:存储在线-存储专业媒体 » DoSTOR存储分析 深度剖析沙宾法案与存储行业关系