DoSTOR存儲分析 7月27日消息：近期沙賓法案頻頻出現在，各種有關存儲供應商的新聞之內，究竟什么是沙賓法案？法案與存儲供應商有何關系？什么是法規遵從性？這里DoSTOR幫助大家簡單了解一些沙賓法案的有關知識。

    由于安然和世通公司會計丑聞相繼發生后，針對美國國內大規模上市公司的財務丑聞和審計標準屢屢拉響警報。在這些丑聞中，許多公司主管聲稱他們不應當對虛假財務報表負責，甚或他們根本不知道這些是虛假報表.這些信用危機導致沙賓法案的出臺。由美國麻省民主黨參議員Paul Sarbanes與俄亥俄州共和黨人Michael Oxley共同倡導，美國國會于2002年7月份批準了Sarbanes?Oxley沙賓法案（又稱：上市公司會計改革和投資者保護法）生效，法案第404節（該規定將強制公司記錄公司治理規定的執行情況）自2004年年中開始生效。

    該法案管制對象僅限于在資本市場運作資金超過7500萬的美國上市公司和美國企業的海外分支機構及子公司。法案規定了強化信息披露、監管責任、內部控制和外部審計等制度，該法案要求公開上市公司需定時地公布準確詳細的財務報告，其目的是為改革企業財務制度并恢復投資者的信心。同時，該法案還將推動企業財務系統的現代化，促使企業投資在重組業務流程、進行公司治理以及獲取咨詢服務等領域。

    在企業責任方面，沙賓法案強制公開發行股票公司設置審計委員會，并規定該委員會由獨立董事組成，該獨立董事沒有擔任公司管理層級職務，也不從公司領取薪金。 其主要目的是確保審計人員的獨立性，授予其審核公司財務記錄的權限與自主性，并監督經理人的工作績效。

    該法案是一個相當復雜的法律，必要時需要由管理咨詢公司介入上市公司，幫助整理出沙賓法案的所有要求，并按優先級進行排序，逐步協助他們達到該法案的要求。

    通常認為，要遵循該法案的成本高昂。財富榜上1000強企業2003年可能得花費25億美元才能符合該法案不同成熟度要求。Sarbanes-Oxley法案是強迫企業進行IT投資的法案條例中的代表作。Sarbanes-Oxley法案有一個內部控制成熟度框架，所以企業可以監控組織流程以與之一致。

    許多存儲公司亦為上市公司，管理層對執行沙賓法案疲于奔命，導致上季度業績欠佳（DoSTOR存儲分析：法案給存儲軟件公司帶來的困惑）。存儲供應商們不僅要為本公司在執行沙賓法案忙碌，還要幫助自己的客戶解決在使用存儲設備時，需要符合法案的部分，這就促使越來越多的存儲供應商們在自己的產品上添加可以支持該法案的配套軟件（DoSTOR存儲分析 法律法規促進WORM磁帶大步向前）。

    上市公司為遵循法案，不僅是沙賓法案，還包括美國證券交易委員會規范（SEC Rule 17a-4），全美證券交易商協會行為規定（NASD 3110），美國健康保險便利和責任法案（HIPAA），聯邦條例21CFR第11部分，美國國防部DOD 5015.2-STD標準，金融服務業的數據安全性制定規范的Gramm-Leach-Bliley法案等。企業必須建立正確的IT基礎架構，制定數據保持和保護策略，選擇適當的存儲技術以便高效地遵從這些法案和聯邦條例。對于存儲廠商而言，也是面對一個重大的機遇，存儲業務即將獲得蓬勃發展。

    在了解了沙賓法案的具體內容之后，我們來看看存儲業界人士是如何看待這個法案與數據存儲的關聯。下文是來自NetApp公司中國區總經理陳文俊在談到，數據存儲規范以及法案對其要求的一些內容。

    建立正確的基礎架構

    要符合電子數據存儲的規范，無論是哪個行業都必須滿足下列三個方面的要求：

• 存儲介質：大多數相關規范本身并不明確規定存儲的技術，但是所有規范都考慮到了安全性、數據完整性、總擁有成本、性能、訪問能力以及搜索功能。電子存儲介質可能的選擇包括磁帶、光盤和磁盤。


• 應用：所選擇的數據管理應用必須符合相關規范，具有諸如保護記錄、在線索引、分類、搜索以及審計的功能。


• 政策與程序：公司必須明確應當如何移動和存儲數據，授權的IT人員和其他人員應當如何以及在何時訪問并修改數據，以及是否應當在一定的時期之后銷毀數據。公司策略還必須確保未授權的雇員無法對數據進行不正當的訪問、更改或者刪除數據。

    要在上述三個方面都符合要求將需要一個總體解決方案，既要符合相關規定，也要減輕企業的負擔。另外一點好處是，一個設計良好的系統也將具有災難恢復功能，除非發生重大的事故，否則記錄將不能被更改，不會發生任何安全問題，重要數據也不會丟失。

    建立數據保持和保護策略

    美國證券交易委員會規范第17a-4條規定，數據必須存儲在“不可改寫、不可刪除”的介質上。而對于其他的規范來說，WORM（單寫多讀）存儲雖然不是明確要求的，但也是事實上的要求（就好像防火墻和防病毒軟件雖然并不是法律明確要求的，但是所有IT企業都必須配備這些）。企業必須根據他們的需求來選擇最好的數據存儲介質。

• 訪問數據速度快：大多數規范的目的不僅是保存數據，而且要能使調查者和公司律師快速查找到記錄。證券交易委員會規范第17a-4條還規定，公司必須在幾天內，而不是幾周內，對信息查詢的要求做出反應。當客服機構通過電話處理抵押或者保險業務時，客戶往往希望能夠在幾秒鐘之內得到回答；在藥物副作用調查過程中，有關監管部門可能需要緊急查詢臨床實驗數據；HIPAA法案也要求能夠安全快速地訪問患者數據。這些要求便排除了使用離線或脫機的磁帶或光盤存儲方式。


• 搜索功能：磁盤存儲模式支持在大量數據中進行快速搜索，而不需要再去尋找或者定位磁帶或者光盤。如果使用了自動磁帶庫，就常常需要準確地找到磁帶，安裝磁帶，然后等待查找數據。這一過程將使文件間的索引或者查找非常緩慢。

    選擇磁盤技術

    ATA磁盤驅動系統的可靠性和性能現在都有很大提升，但同時價格卻在降低，因而更具有競爭力。但是硬件本身并不是一種解決方案。一套優化存儲微核和能夠提供索引、查找、快速備份和遠程鏡像功能的文件系統是至關重要的。下面是一套ATA磁盤存儲系統應有的特色：

• 速度：如果系統驅動的速度緩慢，那么在存儲電子郵件及其他電子數據時，服務器和客戶機的速度也將受到影響。一套性能優良的存儲系統不應當犧牲速度而一味追求存儲能力。存儲系統在各卷中寫入數據的速度應當是相同的。


• 穩定的操作系統：一套經過若干年的調試和改進的操作系統是穩定可靠的，而安裝在新平臺上的系統則需要小心。


• 通用操作系統：在所有產品線中應用相同的操作系統和管理界面可以令用戶在建立系統和保持低成本的同時擁有更大的自由度。


• 開放的協議：存儲系統應當使用開放協議，讀取不同的目錄結構中的文件。注意不要使用特殊的API協議，這樣可能會使訪問或者移動存儲數據變得更加困難。


• 復雜而易于管理的WORM存儲：在數據存儲方案中，WORM的應用應當非常簡單，應用的修改也應當是簡單的。最簡單的WORM磁盤存儲系統僅要求兩行代碼：第一行設定過期日期，第二行使文件單寫多讀。


• 靈活和豐富的數據管理工具：系統應當能夠安全存儲必要數據，但也應能夠裝載其他應用程序，例如數據備份、災難恢復、通用參考信息存儲等等。系統還應提供諸如磁帶備份、快照、靈活訪問控制以及復制等功能。


• 安全時鐘：系統應當通過時鐘設置防止存儲過期，因為過期將會導致對數據記錄的不當修改或者刪除。

    銀行可以通過添加代碼行、設置過期日期的方式來令存儲系統與原有軟件相兼容。存儲系統可以根據需要進行擴容，如果存儲空間有冗余也可以用作其他用途，從而提高投資回報。

    對各種存儲系統的檢查結果表明，對絕大多數客戶來說，磁盤存儲方案足以提供可靠的性能、靈活的結構、簡單的實施方法、節省的成本、以及對數據的訪問和保護，完全符合各種規范對數據保存的要求。

    沙賓法案與文檔存儲相關的內容

• 從該材料提交的財政年度末開始計算，若不可提供5年內工作材料供審計或審查，將處以最高5年的監禁，并可被課以罰款，或單獨課以罰款。


• 故意篡改、隱匿、或銷毀記錄或文檔，導致記錄的完整性受損，使其作為官方處理證據的價值受影響，可以被判以最高20年監禁，并可被課以數額不等罰款，或單獨課以數額不等的罰款。


• 為了阻礙美國聯邦調查，而篡改、破壞或者隱匿任何記錄證據，將被課以不定數量的罰款，并可同時（或單獨）被判以最多10年監禁。

    與存儲相關法案

    以下提及這些法案導致美國上市公司行政管理和 IT 成本上升，因為上市公司要購買大量的存儲硬件和軟件進行數據保護和維持數據不可篡改。而對于相關監管機構而言，更要嚴格實施有關法規法案，才能準確地從上市公司的電子文檔記錄中掌握有關上市公司內部運營的信息。因此監管機構出臺這些法律和法規，來規定企業的數據保留和儲存。

• 約束證券經紀商的美國證券交易委員會規范（SEC Rule 17a-4），全美證券交易商協會行為規定（NASD 3110）


• 約束醫療保健業的美國健康保險便利和責任法案（HIPAA）


• 規定生命科學的聯邦條例21CFR第11部分


• 規定美國國防部電子記錄管理應用（RMA）軟件的設計標準的DOD 5015.2-STD標準


• 約束上市公司財務管理等行為的沙賓（Sarbanes-Oxley）法案，2002年


• 為金融服務業的數據安全性制定規范的Gramm-Leach-Bliley法案 (Gramm-Leach-Bliley Act)，1999年