当法规遵从遇上存储

    前言

    标志着解除电子商务瓶颈的《电子签名法》今年4月1日将正式施行。这部法律规定，可靠的电子签名与手写签名或者盖章具同等法律效力。届时消费者可用手写签名、公章的“电子版”、秘密代号、密码或指纹、语音等手段进行网络交易。这是中国首部有关信息化的法律，也是中国信息化法规进程的一个里程碑。

    但这显然仅仅是个开始。就在今年1月，黑龙江省哈尔滨市中国银行河松街支行8亿巨额存款遭员工窃取。该行员工仅以开具假存单即套出巨额资金，虽是内外勾结所为，但也折射出一个重要的问题，即缺乏明晰的电子信息留存的法规约束，也是催生这项惊爆全国的金融丑闻的重要原因。

    挑战和机遇不仅来自金融业，随着中国经济的进一步发展，企业信息化进程的步履加快，如何未雨绸缪面对法规遵从需要，也是存储厂商和企业用户需要考虑的重要问题。

    彼岸之鉴

    让我们看看大洋彼岸的美国在电子数据留存及审计方面的法规出台的状况。2001年美国的安然事件，2002年的世通丑闻，这些历史上最为严重的财务欺诈案无不揭示了忽视电子文档管理的危险所在。在这些财务丑闻中，众多公司主管声称他们不应对虚假财务报表负责，甚或他们表示根本不知道这些是虚假报表。这些信用危机导致沙宾法案的出台。

    美国国会于2002年7月份批准Sarbanes-Oxley沙宾法案（又称：上市公司会计改革和投资者保护法）生效，法案第404节（该规定将强制公司记录公司治理规定的执行情况）自2004年年中开始生效。

    沙宾法案管制对象目前仅限于在资本市场运作资金超过7500万的美国上市公司和美国企业的海外分支机构及子公司。法案规定了强化信息披露、监管责任、内部控制和外部审计等制度，该法案要求公开上市公司需定时地公布准确详细的财务报告，其目的是为改革企业财务制度并恢复投资者的信心。同时，该法案还将推动企业财务系统的现代化，促使企业投资在重组业务流程、进行公司治理以及获取咨询服务等领域。（沙宾法案的主要条款及其他相关法案参见附录）

    这些法案将导致公司管理和 IT 开销上升，因为要购买大量的存储软硬件进行数据保护和维持数据不可篡改。而对于相关监管机构而言，更要严格实施有关法规法案，才能准确地从上市公司的电子文档记录中掌握有关上市公司内部运营的信息。因此监管机构出台这些法律和法规，来规定企业的数据保留和储存。

    机遇还是挑战？

    企业必须建立正确的IT基础架构，制定数据保持和保护策略，选择适当的存储技术以便高效地遵从这些法规需求。对于存储厂商而言，也是面对一个重大的机遇。

    因由业务需求无限扩展的企业数据存储容量，估计每年增长超过5EB，或每个地球人拥有的数据量增长800MB。IT管理者同样还必须面对法规遵从的需要。不幸的是，许多商业管理者仍未完全意识到法规遵从对他们的IT运作，尤其是数据存储方面的影响。

    从IT角度看，法规遵从的仍被视为是额外的管理支出费用，从更重要的项目抢走资源，并蚕食IT预算。许多IT管理者视法规遵从为障碍，而且还认为法规遵从开销除了未来降低政府方面风险（税金惩罚和牢狱之灾）外对企业并不具备什么价值，对IT管理，尤其是存储的挑战在于，如何将通常认为是开销的法规遵从转换为一项增加企业价值的投资机会。

    法规要求在规定时间内留存关键数据或电子记录。一些IT管理者可能会误解为“保存任何东西”是一个万无一失的方法确保法规遵从，或认为要有足够多的硬件投入到解决法规遵从中才是正确之道。当然硬件投入是必要条件，但并非充分条件。因为法规遵从并不只是有关数据存在与否，而是有关调查者需要的时候能够重新找回。这就体现策略和程序顶多只是存储管理者需要考虑的一部分，就像他们可能需要多少额外的硬件资源一样。存储管理者需要明了企业面临这样的风险和因素是是否能够访问其关键数据。一旦这些风险按照重要性排列出来，那么管理层就可以设计出存储战略，确保这些风险能够被适当地管控。

    从法规遵从的角度看，存储管理者面临的主要风险是当需要的时候未能够从存档中提取出数据出来。如若管理者使用ILM进行数据分级，这样的风险就是一旦存档数据到达其使用期的末端，那么它们是否恰如其分地遵循了法规呢？不管怎么说，如果没有适当的策略，手段和管控，那么风险就在眼前。

    企业应对之策

    在这样的趋势下，企业用户如何防患于未然，顺应时势，实施企业的存储架构满足未来需求？以下是存储专家给出的建议。

    1、创建数据清册

    目前的企业内部的数据，大都散布在各个部门。但这样的状况并不是规避数据保护责任的借口。IT管理者要进行的第一个步骤就是，创建企业关键应用数据的详细清册。

    这个步骤同样包括存储在单机上的Excel，Access以及类似的文档。记住，并不是简单将这些文件备份起来就够。这些文档的内容以及扮演的角色在法规遵从方面同样重要。

    2、法规遵从就绪评估

    检查数据清册有助于更好的明了企业法规遵从的优劣势和职责。并不是将所有数据一视同仁。如所有的东西都策略不明地备份，那么数据存储也就满足不了特定法规遵从需求。

    什么文件应该存档3年、4年，5年？这些文件恢复起来有多快？什么样的访问控制是适当的，谁能设置访问控制？怎么样实现最佳实践，能够部署吗？这些都是企业需要评估的法规遵从的要素。

    3、建立正确的基础架构

    要满足电子数据存储的法规遵从需求，要从下列三个方面来考虑：

• 存储介质：大多数相关法规本身并不明确规定存储的技术，但是所有法规都考虑到了安全性、数据完整性、总体拥有成本、性能、访问能力以及搜索功能。介质可能的选择包括：磁带、光盘和磁盘。
• 应用：所选择的数据管理应用必须符合相关法规，具有诸如保护记录、在线索引、分类、搜索以及审计的功能。
• 策略与程序：公司必须明确应当如何移动和存储数据，授权的IT人员和其他人员应如何及何时访问并修改数据，以及如何应当在数据留存的时效过后销毁数据。公司策略还必须确保未授权的雇员无法对数据进行不当访问、更改或者删除。

    一个既要符合法规，也要减轻企业的负担总体解决方案是必须的。一个设计良好的系统也将具有灾难恢复功能，除非发生重大的灾难，否则记录将不能被更改，不会因为任何安全问题，导致重要数据丢失。

    4、建立数据保持和保护策略

    美国证券交易委员会法规第17a-4条规定，数据必须存储在“不可改写、不可删除”的介质上。而对于其他的法规来说，WORM（单写多读）存储虽然不是明确要求的，但也是事实上的要求。企业必须根据他们的需求来选择最好的数据存储介质。

    以下是企业法规遵从策略完整性的考虑要点：

• 现有的数据存储策略和流程是怎样？
• 策略和流程成熟度如何？
• 有多少管理文件已制定？能确保你的策略和过程已经良好的部署了吗？
• 能证明这些流程已经充分满足法规遵从需要吗？
• 如果策略和流程并不存在或并不充分，谁能提供帮助？
• 关键人员离职，怎么保护现有存储环境？

    磁盘还是磁带？

    那么企业用户为满足法规遵从的需求是要选择磁盘还是磁带？

    市场的需求决定技术的生命周期。磁带技术发展到今天已经超过了50年的历史，并有越来越多的新技术冲击着磁带技术。但它至今未被取代，依然散发着活力。就目前来看，至今仍未有一种技术能完全取代磁带的地位。根据ESG去年一项统计数据表明，46%的用户打算在今后至少两年时间里只使用磁带进行备份，29%的用户打算使用磁带和磁盘共同实施数据的备份。

    对于法规遵从来说，只要技术能够实现WORM（单写多读），基本就符合要求。就这一点看，磁带设备是最具性价比的解决方式。

    现如今硬盘的可靠性和性能都有很大提升，但同时价格却在降低，因而更具有竞争力。但是硬件本身并不是一种解决方案。一套优化存储微核和能够提供索引、查找、快速备份和远程镜像功能的文件系统是至关重要的。

    在速度方面，磁盘占很大的优势。大多数法规的目的不仅是保存数据，而且要能使调查者和公司律师快速查找到记录。证券交易委员会法规第17a-4条还规定，公司必须在几天内，而不是几周内，对信息查询的要求做出反应。当客服机构通过电话处理抵押或者保险业务时，客户往往希望能够在几秒钟之内得到回答；在药物副作用调查过程中，有关监管部门可能需要紧急查询临床实验数据；HIPAA法案也要求能够安全快速地访问患者数据。这些要求便排除了使用离线或脱机的磁带或光盘存储方式。磁盘的这个优势成为供应商的最大卖点，如果对成本不是那么介意的话，选择磁盘是保证性能的最佳方式。

    结论

    无论对于存储供应商或者是企业用户，法规遵从都是一个重大的机会与挑战。

    对于企业用户来说，在现有基础上，如何分配IT资源，实现现有信息的价值进化；如何规划未来存储架构，以适应未来法规遵从需求，保证企业竞争力。法规遵从迫使企业停下思考如何保护他们的数据，但这些法律的精神是要求企业并不是简单避免被课以罚款，而是要为社会为股东权益做的更多。

    法规遵从审计能够帮助IT管理者明白什么样的数据是有价值的，价值如何随时间变化；如何创建策略和流程确保现有法规遵从，并作为法律被依从的证据而存在。

    高昂的存储开销是能够为企业带来“虚假的”安全感，但开销并不会自动地为企业实现法规遵从。精准的、完整的并且有效的进行法规遵从的最佳实践才是目的。

    了解法规遵从如何变成商业机会的关键点在于，首先认识到所有数据资产均固有其价值。不像工厂，信息的价值不会体现在资产负债表上。当管理层雇佣保安保护他们实物资产时，数据和信息通常无法受到保护。如果说法规遵从有任何目的的话，就是强迫企业认识到企业数据具备价值，而且企业有义务向他们的股东确保数据不被偷盗，破坏或损失。

    对于存储供应商，所要做的是，紧紧跟随国内市场脉动，根据国内用户的需求，量身定制用户目前所需要的解决方案，无论是磁盘还是磁带，抑或是混合方案。综上，能够提供信息管理、安全和特殊行业的解决方案，可以满足不同的法规遵从需求，并保护企业的IT投资的存储厂商势必在未来大行其道。

    附录

    沙宾法案主要内容

• 从材料提交的财政年度末开始计算，若不可提供5年内工作材料供审计或审查，将处以最高5年的监禁，并可被课以罚款，或单独课以罚款。
• 故意篡改、隐匿、或销毁记录或文档，导致记录的完整性受损，使其作为官方处理证据的价值受影响，可以被判以最高20年监禁，并可被课以数额不等罚款，或单独课以数额不等的罚款。
• 为了阻碍美国联邦调查，而篡改、破坏或者隐匿任何记录证据，将被课以不定数量的罚款，并可同时（或单独）被判以最多10年监禁。

    美国与存储相关法案

• 约束证券经纪商的美国证券交易委员会规范（SEC Rule 17a-4），全美证券交易商协会行为规定（NASD 3110）
• 约束医疗保健业的美国健康保险便利和责任法案（HIPAA）
• 规定生命科学的联邦条例21CFR第11部分
• 规定美国国防部电子记录管理应用（RMA）软件的设计标准的DOD 5015.2-STD标准
• 约束上市公司财务管理等行为的沙宾（Sarbanes-Oxley）法案，2002年
• 为金融服务业的数据安全性制定规范的Gramm-Leach-Bliley法案 (Gramm-Leach-Bliley Act)，1999年