第六章 可信数据库分析.pdfVIP

可信数据库分析 肖珍 尹少宜(mobile 组) 谢敏(xml组) 1. 引言 长期以来，邮件，财务记录，医疗图像，质量保证文档，订单记录一直是有巨大价值的 资产，它们记录的事件是商业运作等关键性事务的决策基础。随着信息技术的发展，这些资 料越来越多地以电子记录的方式被保存在数据库系统里，使得用户能快速的读写这些数据。 但另一方面，为了谋取私利的攻击者也可能对这些数据进行修改而不留下痕迹，从而影响商 业决策，损害国家和公众的利益。 1.1. 社会背景 2001 年 12 月，美国最大的能源公司安然公司，突然申请破产保护，此后，公司丑 闻不断，规模也“屡创新高”，特别是2002 年 6 月的世界通信会计丑闻事件，“彻底打击了（美 国）投资者对（美国）资本市场的信心” （Congress report, 2002 ）。在安然事件中，公司CEO， CFO 等通过发布虚假消息（虚假交易事件）和编造虚假的公司财务报告（虚报利润等）来 误导公众，哄抬股价。另一方面，负责对安然公司财务进行审计的独立审计公司安达信的审 计人员每年都会收到安然的巨额审计费，所以违背了审计人员的道德准则，对安然存在的问 题视而不见，没有及时的向公众披露。在此案的审理过程中，美国检察官发现安然的公司的 财务报告等运营数据完全是不可靠的，不真实的，从而导致了最后公司破产、股价暴跌、雇 员失业，股民财产损失巨大，而公司的 CEO，CFO 等却通过抛售获得了巨大的个人收益。 在这一案件中，正是由于电子数据的管理不善，所以带来了国家和公众的巨大损失。随 后，针对美国国内大规模上市公司的财务丑闻和审计标准屡屡拉响警报。在这些丑闻中，许 多公司主管声称他们不应当对虚假财务报表负责，甚或他们根本不知道这些是虚假报表。为 了转变这一信用危机局面，挽回公众对政府的信心，投资者对资本市场的信心。美国国会和 政府加速通过了一系列法律法规，来规定企业的电子数据如何保留和储存的问题，从而准确 地从上市公司的电子文档记录中掌握有关上市公司内部运营的信息。 其中包括：约束证券经纪商的美国证券交易委员会规范 SEC （Securities Exchange Commission ），全美证券交易商协会行为规定（NASD 3110 ），约束医疗保健业的美国健康保 险便利和责任法案（Health Insurance Portability and Accounting Act ，简称HIPAA ），规定生 命科学的联邦条例 21CFR 第 11 部分，规定美国国防部电子记录管理应用（RMA ）软件的 设计标准的 DOD 5015.2-STD 标准，约束上市公司财务管理等行为的萨班斯-奥克斯莱法案 （Sarbanes-Oxley）法案，金融服务业的数据安全性规范Gramm-Leach-Bliley 法案 (Gramm-Leach-Bliley Act) 等众多法案。这些法案对电子记录在完整性、保密性、可存取性、 可靠性等各方面都有明确规定。 1.2. 法律背景 1.2.1. 企业财务：萨班斯法案 在安然事件等一系列华尔街财务丑闻中，许多公司主管声称，他们不应当对虚假财务报 表负责，也根本不知道这些报表是虚假的。美国政府由此制定了影响极为深远的萨班斯法案， 该法案的另一个名称是“公众公司会计改革与投资者保护法案” 。法案的第一句话就是“遵守 证券法律以提高公司披露的准确性和可靠性，从而保护投资者及其他目的”。该法案管制对 象仅限于在资本市场运作资金超过 7500 万，并且每季度必须向证券交易委员会提交报表的 股份公司的美国上市公司和美国企业的海外分支机构及子公司。该法案规定了强化信息披 露、监管责任、内部控制和外部审计等制度，要求公开上市公司需定时地公布准确详细的财 务报告，强制设置审计委员会，并规定该委员会由独立董事组成，该独立董事没有担任公司 管理层级职务，也不从公司领取薪金。其主要目的是确保审计人员的独立性，授予其审核公 司财务记录的权限与自主性，并监督经理人的工作绩效。该法案对各公司信息保存有如下规 定（ ）： 公司的首席执行官和首席财务官必须亲自证明，他们提交的财务报表是真实 的，否则将承担刑事责任。