编者按：伏尔米公司（Vormetric, Inc.）的核心守卫系统（Coreguard）帮助欧克文金融公司保护抵押贷款行业的在线交易中的保密信息

    欧克文金融公司（Ocwen Financial Corp）的首席信息官（CIO）戴尔·匹克福德（Dale Pickford）最近对一份安全报告产生了浓厚的兴趣。该报告由美国保密服务局（Secret Service）和卡内基梅隆大学的CERT合作中心（CERT Coordination Center, 是美国一家计算机安全监视机构）共同发布，美国国内安全部为此报告提供了资助。这份报告对银行和金融行业中23个内部欺诈犯罪的案例进行了剖析。在这些案例中，有30％的案例损失都超过了50万美元。

    欧克文金融公司主要为抵押贷款企业提供技术和服务，其客户占据了美国抵押贷款市场40％左右的份额。实时交易公司（RealTrans）就是欧克文金融公司的一个客户。这家公司提供基于网络的金融产品交易，包括产权保险产品、资产评估服务、水灾危害测定服务以及房地产数据，其中很多信息都是为客户定制的。美国金融服务现代化法案（Gramm-Leach-Bliley Act）在保护客户隐私方面作出了严格的规定，因而欧克文金融公司有为客户保守秘密的法律义务。

    美国保密服务组织局与CERT合作中心的联合报告坚定了匹克福德的想法：黑客并不是最大的安全隐患，因为实时交易公司的网页采用了SSL（Secure Sockets Layer）协议加密。更大的安全威胁事实上是来自于企业内部——那些可以进入企业系统并接触到机密信息的人。特别是实时交易公司的系统中，信息都是以纯文本文件形式储存，要得到这些信息实在太容易了。

    正如报告中所举的例子，企业的内贼经常是一些低水平的没有技术专长的员工。去年就发生了这样一个臭名昭著的案例案件，案犯曾是一家处理信用报告的软件公司的员工，在技术支持服务窗口工作。他被指控在离开公司时，非法带走了公司成千上万份经过加密的报告。他然后把这些报告卖给了街上的不法之徒，每个报告只卖 50美元。他的犯罪行径居然有两年多时间没有被人察觉。在此期间，那些不法之徒利用这些报告，通过假冒信用卡非法盗取了270万美元。

    匹克福德可以很轻易地给存储在公司系统上的纯文本数据加密，但他明白，略有技术背景的内部人员就可以轻易地破解出加密代码。更复杂的问题是，实时交易公司每个月在网上要处理约100万份与抵押贷款相关的订单，而系统对订单的处理速度非常关键。因此，在对信息保密的同时，不能影响到在线交易的速度。“如何既能阻止员工接触敏感的数据，同时又不影响他们的工作呢？”他说。

    匹克福德找到的解决方案是采用伏尔米公司（Vormetric）的核心守卫（Coreguard）数据安全软件，创建分级接入系统。实时交易公司今年初安装了CoreGuard软件来保护欧克文金融公司的三个主要子系统：太阳计算机系统公司（Sun Microsystems）的Solaris操作系统，赛贝斯软件公司（Sybase）的数据库和维尔软件公司（Veritas Software）的存储部分。

    Coreguard软件使欧克文金融公司能够统一管理并加强对企业数据安全方面的政策，而且还可以将这些安全政策扩展到任何商业信息，不论这些信息储存在哪里，或者以何种格式储存。公司还能够监测到任何试图中断正常交易和程序的行为。一旦出现非正常的行为，公司的工作人员就不能存取和查看相关信息。

　　匹克福德认为，由于这个软件是在文件系统层面上运行，公司就不需要对应用程序或网络设施进行调整。同时，由于系统的主要代码不需要修改，整个系统的性能也没有下降。匹克福德说。

    另外，Coreguard软件中的安全功能对用户和整个IT系统是透明的，欧克文金融公司因此也不需要对员工做任何的培训与准备。员工做的工作，都会得到系统的授权，从而杜绝了泄漏敏感信息的风险。

    匹克福德已经下了很大决心来堵住任何安全漏洞。“我受命保护客户数据，我们公司里没有人能够接触到这些数据。”

　　公司索引：
　　
　　Vormetric,Inc.
　　
　　欧克文金融公司
　　
　　美国保密服务局
　　
　　卡内基梅隆大学
　　
　　RealTrans
　　
　　太阳计算机系统公司
　　
　　赛贝斯软件公司
　　
　　维尔软件公司

（信息周刊）