以上几点安全需求基本上可以归纳为网络安全、身份认证和访问控制三个层次。针对这些需求，安软天地公司提出了一套全方位、一体化的EverLink安全解决方案，可以简便、可靠地提升现有网络的安全性。这个解决方案包括了安软天地科技的三种产品:EverLink身份认证系统（CA）、EverLink安全远程访问控制网关和EverLink分布式防火墙，其网络的拓扑结构如图所示。

1. EverLink DFW保护服务器和PC主机安全

　　EverLink分布式防火墙系统（简称EverLink DFW）突破了传统的边界式防火墙的概念，用于保护业务网络和工作内网中每台主机的安全。EverLink DFW采用了三层过滤技术，即包过滤、特洛伊木马程序过滤和脚本过滤，从而最大程度地防范了网络黑客从公司外部及内部对公司网络的攻击。它提供了中央统一管理的安全策略机制，内嵌了入侵检测功能。

　　传统的网络防火墙只解决了网络的边界安全，通常无法防止在合法访问的外衣下隐藏的恶意攻击行为。EverLink DFW正好弥补了网络防火墙的这些缺陷，它安装在主机内，可以针对主机的具体情况设定安全策略。同时，它不仅具有传统防火墙所具有的包过滤和抵御DOS等网络攻击功能，而且还能进行木马过滤、脚本过滤和入侵检测，有效防止了里应外合或来自内部的攻击。

　　与个人防火墙不同，EverLink DFW拥有一个统一控制中心，负责统一制定和分发安全策略，使多主机的统一管理成为可能。

2. EverLink CA实现可靠的网络身份认证

　　采用EverLink CA（身份认证系统）产品为证券公司建立的内部专用CA系统力求简单实用，主要签发用于公司内部网络身份认证所使用的数字证书。这里，笔者推荐使用USB Key作为数字证书的存储载体。

　　EverLink CA是一套用于数字证书颁发和管理的软件，它允许证券公司方便、快速地建立自己的认证权威机构（CA）。它具有用户申请，申请审核，用户管理及密钥生成、废弃、存储和签名等功能，允许CA服务器管理员为其雇员、用户及合作伙伴定制数字证书，以便安全进入证券公司业务网络或工作内网，或实现数字签名、邮件加密等功能。

3. EverLink SRAC架起绿色安全通道

　　对于访问控制的需求，可以采用EverLink安全远程访问控制服务器（简称EverLink SRAC）的方式来解决。它是一款以数字证书作为身份识别手段的兼有VPN和专用访问控制服务功能的软件产品。对于像技术服务站这样的网络节点的访问控制，将采用硬件化的EverLink DSAE产品作为EverLink SRAC的客户端；对于个人用户的访问控制，可以采用软件方式的EverLink SRAC客户端。该远程访问控制服务器具有以下特点：

    ● 实施透明简便

　　需要对外开放的服务器就是需要被保护的服务器（如证券公司前置机）。只要在这样的服务器之前设立EverLink SRAC，就可以为技术服务站或股民访问证券公司网络系统提供一个绿色的安全通道。EverLink SRAC在实施过程中可以做到不需要改变现有的网络设备、不需要修改各种网络应用的程序代码、不需要修改应用服务器的配置、不需要置换操作系统中的任何DLL。它可以将证券公司当前使用的网络应用或业务系统保护起来，使用户在不知不觉中切换到一个安全的网络环境中。

    ● 数据的加密传输

　　由于在EverLink SRAC的客户端(DSAE或软件客户端)与SRAC之间的通信是基于SSL协议的，因此，数据是加密传输的。EverLink SRAC可以将不具备加密传输功能的应用转化为加密传输，大大提高了信息的安全性。

    ● 有效控制访问者的权限

　　EverLink SRAC在验证了客户端的身份之后，会根据访问控制策略来检验访问者的访问请求是否合法。

    ● 将访问控制细化到个人

　　防火墙产品也有访问控制功能，但是它只能以IP地址和端口作为依据，大大降低了系统的灵活性。对于网上交易这样的服务，用户所使用的IP是无法预计的，如果只采用防火墙产品，是无法实现有效控制的。EverLink SRAC针对具体用户的身份进行访问控制，将这种访问控制细化到个人，大大增强了灵活性和方便性，同时也增强了系统的安全性。

                                                                              （计算机世界报 第35期 D30）