降低萨班斯法案的执行成本和时间.doc

降低萨班斯法案的执行成本和时间 ——使用现代化管理工具简化SOX执行过程，提高效率 Embarcadero Technologies公司 2009年2月 摘要 萨班斯法案对IT控制的要求是广泛的，不管管理何种数据库、何种数据库平台——这是本文的主要内容。而且您可以放心，您现有的桌面和数据库访问控制将确保Embarcadero工具的安全使用，这些工具可以执行数据标准、管理变更、管理用户和其它数据库安全控制、规划性能和容量，以及帮助落实SLA。 介绍 在90年代的客户端服务器革命和Dot Com泡沫出现之前，金融系统的安全性、可用性和可伸缩性是IT关注和衡量的重点。一般来说，这些金融系统是由大型稳定的主框架体系来管理的，而这些主框架系统几十年前就建立了，使用了维护系统数据稳定的多项策略。90年代中下期，当整个行业获得了几乎无限数量的计算技术和资本后，形势发生了改变。那段时期的口号是“发展”，那段时期万维网改变了一切。随着Web新技术以及其它突破性技术的出现，各公司的客户和业务快速增长，数据管理疏漏显得越来越明显，公司需要知道：谁在访问敏感数据；数据从创建到被删除发生了什么变化；最终的财务数字是如何计算出来的；财务数字计算时使用了什么数据源，以及使用了什么工具？ 一系列广为人知的反面事例告诉我们，公司市值爆炸式增长的背后暗藏危机。这是因为政府对公司管理公布收益和其它关键财政数据的过程监管不利，甚至没有监管。访问收益数据应该像数据库管理员访问操作数据库中的数据一样，方便直接。此外，这些金融系统发展传播太快，多数传统框架和管理策略已经不再适用，因此非授权人员访问数据变得非常繁琐。 需要一种方法来管理企业，规范会计行为，以及监管企业管理关键敏感财务数据的过程。2002年7月，美国联邦政府批准通过了“2002上市公司会计改革和投资者保护法”，通常又称为萨班斯法案（或SOX）。 如今，萨班斯法案极大地影响着大多数美国上市公司，以及世界各地的公司。萨班斯法案强制规定了建立财务报告内部控制机制，评估和监测财务报告内部控制机制有效性的行政责任。虽然萨班斯法案没有明确提到对IT系统的影响，但第404条规定执行起来，结果将是IT计划常常能够确保符合标准规定。 对于大多数公司，IT都是“财务报告内部控制结构和程序”的基础。不幸的是，它也是成本支出较大的地方。大部分成本发生在执行第404条规定时——据说2007年每个公司平均为此支出170万美元。该条规定共180个单词，折合下来每个单词近9500美元。 本文阐述了萨班斯法案中与Embarcadero数据库工具相关的两方面内容：工具如何帮助落实规定，以及工具本身的标准化。 选择合适的工具 由于SOX法案并没有明确给出IT规则要求，因此公司已经转而参考现有的IT监管标准。SOX中最常见的控制标准叫做信息及相关技术控制目标，或者简称为“COBIT”。 本文将SOX中关于Embarcadero数据库工具的规定与COBIT具体条款进行了映射。Embarcadero公司的解决方案，易于使用，便于推广，可在降低SOX执行成本上发挥巨大作用。 ER/STUDIO企业版：记录数据库和业务流程 Embarcadero ER/Studio，一款业界领先的数据建模工具，可帮助企业发现、记录数据资产，以及实现数据资产的重复使用。有了ER/Studio全面的数据库支持，数据架构师便能够分析、优化以及逆向工程现有数据库。有了ER/Studio强大的协作功能，企业生产力将得以提高，标准化程度也将得到增强。 采用ER/STUDIO贯彻落实SOX ER/Studio可帮助您管理如下内容： l 信息体系结构定义 l 数据分类模式 l 完整性管理 l 业务和技术需求 信息体系结构定义（COBIT PO2） ER/Studio企业版，包括一个业务流程建模工具和一个中央模型库。这个流程建模工具可用于创建您的业务图示，从核心概念到业务运行流程再到流程数据使用情况，均在图示中得到了详细描述。 对于使用ER/Studio进行数据建模的企业，可以享受到ER/Studio Repository——一款可扩展的，基于服务器的模型管理系统。它的作用在于：帮助开发组人员实现内部对数据模型的实时并发访问；落实安全措施，保护模型和组件免于非法访问和更改；方便组件跨项目共享和再利用；提供广泛的模型版本管理功能。 该库功能强大且丰富，其中用户常用的是在开发新数据库时，创建企业级数据字典的功能。该功能可确保新数据库的的一致性、可控性和整合效果。企业级数据字典功能预定义了可重用、可在库内全面升级的数据字典，让管理人员能够完全掌控在建项目，从而提高了开发效率。该功能通过定义各种模型的属性和数据类型，增加了重复使用率，节约了建模者大量时间。 数据密级模式（COBIT PO2.3） 一经安装，ER/Studio可以为信息安全和数据保密分级模式提供元数据标签。此元数据可以应用于整个模型，某些表，甚至特定的列。Embarcadero公司一般建议使用3或4级分级模式，但ER/Studio支持更多级，只要需要。ER/Studio具有逆向工程构建功能，可对现有数据库快速建档，以及在需要的地方添加数据密级标签。 完整性管理（COBIT2.4） 用户可能会花大量时间查看数据源，研究信息含义，验证信息使用是否得当。ER/Studio可帮助数据架构师定义共同的数据和模型组件，供项目间重复利用，以实现标准化建模。在落实标准且具备了数据元素分析和记录能力后，企业可以更好地理解和利用他们的数据，减少冗余，实现数据一致性。 业务和技术需求（COBIT AI1、AI2.2和AI2.2） 数据建模是捕获终端用户需求，确保设计符合企业需要的好方法。有了ER/Studio，您可以轻松地根据高层次的概念模型，设计逻辑数据模型，进而设计特定平台的物理模型，甚至自动生成SQL或XML来创建所需的模式。 随着数据建模项目的范围越来越广，项目复杂性以及质量控制所需的开销也越来越大。为了解决潜在的项目管理问题，ER/Studio Repository提出了一种更先进的方法，即通过基于服务器的管理系统，赋予数据建模人员深入模型对象层进行实时协作和信息通报的能力。 EMBARCADERO变更管理器:数据库变更管理 Embarcadero变更管理器为数据库管理员和开发人员提供了一套强大的工具，提高了全过程的自动化水平，简化了数据库变更管理。变更管理器具有模式比较和修改功能，数据比较和同步功能，以及配置审核功能，有了这些功能，便能够生成数据库变更报告，推出数据库新版本，并查明数据库性能问题（可能是有计划内变更引起的，也可能是计划外变更引起的）。 使用变更管理器完成SOX控制 变更管理器可以完成如下COBIT控制，助您贯彻SOX法案： l 变更管理 l 解决方案和变更的部署和授权 l 配置管理 变更管理（COBIT A16） 使用变更管理器来获取数据库档案，然后将当前数据库与这些档案进行比较，识别变更，找出生产中存在的问题。只需要使用灵活的对象选择功能，就能方便地制定数据库模式档案定期比较计划。 解决方案和变更的部署和授权（COBIT A17） 模式定期比较功能，可找出数据库模式和配置的修改，然后审查的比较报告。报告可以很容易地转发到其它系统中，如源代码控制系统。 配置管理 (COBIT DS9) 可以创建一个基准配置，或者拍下现有数据库的快照，作为“黄金基准”，然后将其它系统与之比较。有了“标准符合情况”设置，便可以生成标准符合情况报告，指出系统是“通过”，还是“警告”，或是“未达标”，并以百分比形式给出达标率。 通过与数据库模式或配置“快照”比较，管理员可以快速识别当前数据库的变化，在更短的时间内纠正错误。通过监测配置设置，数据库管理员可确保符合管理策略监管政策，达到性能标准，并保持数据库的整体性能和可用性。凭借其同步功能，变更管理器还可以轻松更正不符合规定的模式与变更。 DBARTISAN: 数据库管理 先进的跨平台数据库管理工具Embarcadero DBArtisan，能够帮助用户最大限度地提高可用性，性能和安全性。DBArtisan的综合图形编辑器和向导功能提高了工作效率，简化了日常工作，减少了错误，从而赋予了数据库管理员管理更大更复杂数据库的能力。DBArtisan支持所有主流的数据库平台，让企业能够采用一款工具实现所有平台的标准化管理。 使用DBARTISAN完成SOX控制 DBArtisan可以帮助您完成如下COBIT控制： l 性能和容量规划 l 身份管理 l 用户账户管理 性能和容量管理（COBIT DS3） 对于那些需要更多详细性能信息的数据库管理员，DBArtisan性能分析功能是他们的最爱。它可提供智能化的数据库和操作系统诊断信息，以及深入详实的资料，帮助您确定造成性能下降的原因。它是一个功能强大的客户端数据库监视器，运行在DBArtisan控制台上，让您点几下鼠标就能发现性能问题。 容量分析功能让容量规划变得更加容易，而预报机制可帮助您预测出“空间不足”出现的时间。它可以追踪一段时间内的主要数据库元数据和性能指标，让您能够进行关键参数的趋势分析，例如数据库体积、对象分段存储，数据库I/O和会话负载。 空间分析功能将给出复杂的空间诊断信息，帮助您找出数据库中的空间问题，此外，它还集成了一个智能重构向导，可对您数据库中的全部或选中部位进行重构。 身份管理和用户账户管理（COBIT DS5.3和DS5.4） DBArtisan还将帮助您有效地维护整个使用环境下的数据库安全。DBArtisan中，数据库管理员可以对用户、角色、权限和密码进行管理，确保安全，并在同种或不同平台数据库间转移帐户。由于DBArtisan支持多种数据库平台的安全维护，因此即使在最复杂的环境下，您也可以采用简单、一致的方法维护数据库安全。 DBArtisan为所有主流DBMS平台提供了一个共同的，易于使用的界面，提高了工作效率，降低了成本，简化了复杂环境下的数据库管理。DBArtisan中的功能套件既丰富又直观，包括模式管理功能、SQL管理功能、任务管理功能和数据管理功能，简化了数据库管理员的日常工作。使用DBArtisan，数据库管理员可在一个界面中同时管理多个数据库，大大提高了工作效率（对新手和有经验的老管理员都有效）。 EMBARCADERO性能中心: 全天候数据库监测 Embarcadero性能中心是一款全天候的数据库监测工具，可帮助企业确保其数据库的可用性和性能。自定义报警阀值、通知和上报路径，让管理员可以访问历史性能分析数据，实时确定和诊断出现的问题。性能中心的“健康指数”是一个含义明确的指标，显示了所有被监测数据库的整体性能水平。 使用性能中心（PERFORMANCE CENTER）完成SOX控制 性能中心可以帮助您完成如下控制： l 服务级别的定义与管理 l 监测与报告 l 费用的确定与分配 服务级别的定义与管理（COBIT DS1） 性能中心还提供了详细的性能报告。该报告可根据不同受众定制内容，受众目标包括首席信息官、IT经理，以及负责评估SLA和性能要求的业务部门经理。 Embarcadero健康指数是唯一一个反映所有被监测数据库整体性能水平的指标。通过对关键统计数据进行抽样调查，如内存、I/O、竞争、空间、网络、对象、用户和SQL，性能中心可以迅速确定出完整的数据库性能情况图。您可以自定义每一个数据库的健康指数，建立各自阀值，并针对每种特定数据库环境确定测量对象。 监测与报告（COBIT DS3.5） 数据库专业人员需要明确和简洁的方法，确保其所有数据库的正常工作。性能中心可以帮助数据库管理员找出影响企业基本运行的数据库性能问题。数据库管理员可在一个视图中，实时观察IBM DB2 LUW、Microsoft SQL Server、Oracle和Sybase数据库，了解到任意时刻点的数据库性能情况。然后，数据库管理员可以深入研究数据库性能问题，确定问题产生的原因。 全天候意味着能够实时检测出问题，避免影响数据库正常工作。数据库管理员可以启动“黑屏”监测，无需打开监视器，无需人员看管，且能够及时检测并报告问题。黑屏监测功能不允许在繁忙时段进行阈值检测。您也可以直接将存储过程嵌入到夜备份脚本中，动态停止或启动数据源监测。 费用的确定与分配（COBIT DS6） 性能中心的报告功能很灵活，专门开辟了一块区域，用以向业务成本中心提供关于数据库使用分配的必要信息。 EMBARCADERO工具与SOX规定 COBIT控制也可用以判断工具是否符合SOX要求。经常应用于数据库工具的COBIT控制包括： l 应用程序安全和可用性控制（AI2.5） l 应用软件的配置和使用（DS5.3） l 身份管理（DS5.3） l 用户账户管理（DS5.4） Embarcadero公司的大多数数据库工具都指针对客户端，运行在Windows本地桌面上。这意味着他们完全依赖于O/S的控制（如Microsoft Word），不属于本文讨论的范畴。对于最佳做法，要了解O/S的安全措施，我们建议参考“（http://www.cisecurity.org/bench.html）”或“（http://iase.disa.mil/stigs/index.html）”。此外，Embarcadero公司的数据库DatabaseGear产品都需要数据库访问，靠到位的访问控制和用户管理数据库的被访问。 PERFORMANCE CENTER落实SOX的情况 性能中心是一个服务器端工具，不需要在被监测数据库上安装代理。性能中心集成了基于角色的访问控制，不符合条件的人不允许管理性能中心库。性能中心依托被监测数据库上的控制功能来工作。 ER/STUDIO落实SOX的情况 分析产品是否符合萨班斯规定时，记住规定的范围也同样重要。SOX仅适用于影响财务报表的系统，因此除少数情况外，ER/Studio不在考虑范围内，因为它处理的是数据模型，而不是直接影响财务报表的产品数据库。但是，不同的企业对范围的界定有所不同，因此本节介绍了ER/Studio的安全功能。 ER/Studio是根据数项配置提供。桌面版属于上文所述的安全模型。但为了实现协作，需要寻找、构建企业数据字典，利用元数据以及一个集中式数据库。这就提出了对访问控制的需要。如上所述，每个企业都会定义自己特有的第三方应用程序参数；以下是ER/Studio企业版的可选配置： 基于角色的访问控制指定了用户可访问的对象（模型，项目，数据字典等），定义了用户的访问权限（查看、修改、删除等等） 帐户管理功能让管理员能够轻松地创建、修改、禁止、重新启用和删除用户