在當(dāng)今社會(huì)，網(wǎng)絡(luò)越來(lái)越重要，信息社會(huì)對(duì)網(wǎng)絡(luò)的依賴使得計(jì)算機(jī)網(wǎng)絡(luò)本身運(yùn)行的可靠性變得至關(guān)重要，也向網(wǎng)絡(luò)管理運(yùn)行提出了更高的要求。為了保證網(wǎng)絡(luò)的性能，必須使用網(wǎng)絡(luò)管理系統(tǒng)監(jiān)視和控制網(wǎng)絡(luò)，即對(duì)網(wǎng)絡(luò)進(jìn)行配置、獲取信息、監(jiān)視網(wǎng)絡(luò)性能、管理故障以及進(jìn)行安全控制。在連接信息能力、流通能力提高的同時(shí)，網(wǎng)絡(luò)安全問(wèn)題也日益突出。  
　　網(wǎng)絡(luò)開(kāi)放性帶來(lái)安全問(wèn)題 
　　網(wǎng)絡(luò)的開(kāi)放性以及其他方面的因素，導(dǎo)致了網(wǎng)絡(luò)環(huán)境下的計(jì)算機(jī)系統(tǒng)存在很多安全問(wèn)題。這些安全隱患可以歸結(jié)為以下幾個(gè)方面： 
　　一是只要有程序，就可能存在漏洞。幾乎每天都有新的漏洞被發(fā)現(xiàn)和公布，程序設(shè)計(jì)者在修改已知漏洞的同時(shí)又可能使它產(chǎn)生新的漏洞。此外，系統(tǒng)的漏洞經(jīng)常被黑客攻擊，而且這種攻擊通常不會(huì)產(chǎn)生日志，幾乎無(wú)據(jù)可查。 
　　二是黑客的攻擊手段在不斷更新。安全工具的更新速度太慢，絕大多數(shù)情況需要人為參與才能發(fā)現(xiàn)以前未知的安全問(wèn)題，這就使得它們對(duì)新出現(xiàn)的安全問(wèn)題總是反應(yīng)太慢。因此，黑客總是可以找到漏洞進(jìn)行攻擊。 
　　三是傳統(tǒng)安全工具難于保護(hù)系統(tǒng)的后門。防火墻很難考慮到這類安全問(wèn)題，大多數(shù)情況下，這類入侵行為可以堂而皇之地繞過(guò)防火墻而很難被察覺(jué)。 
　　四是安全工具的使用受到人為因素的影響。一個(gè)安全工具能不能實(shí)現(xiàn)期望的效果，在很大程度上取決于使用者，包括系統(tǒng)管理者和普通用戶。 
　　五是每一種安全機(jī)制都有一定的應(yīng)用范圍和環(huán)境。防火墻是一種有效的安全工具，它可以隱蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，限制外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的訪問(wèn)，但對(duì)于內(nèi)部網(wǎng)絡(luò)之間的訪問(wèn)往往是無(wú)能為力的。 
　　增強(qiáng)網(wǎng)絡(luò)安全的防護(hù)力 
　　首先是網(wǎng)絡(luò)內(nèi)部，即企業(yè)員工的個(gè)人電腦。我們不能保證電腦用戶每一次操作都是正確與安全的，由于如今流行的操作系統(tǒng)或多或少地存在漏洞和缺陷，并且新的漏洞與利用各種漏洞的蠕蟲(chóng)變種層出不窮。一般情況下，可以通過(guò)安裝防病毒軟件來(lái)防御病毒的威脅，但是面對(duì)蠕蟲(chóng)、木馬程序、后門程序等，防病毒軟件并不能起到很顯著的作用。一旦個(gè)人電腦遭到攻擊，就很可能威脅到整個(gè)內(nèi)部網(wǎng)絡(luò)和核心區(qū)域。 
　　其次是網(wǎng)絡(luò)結(jié)構(gòu)的安全性。通過(guò)部署多層交換機(jī)，實(shí)現(xiàn)多個(gè)VLAN和快速收斂的路由，是保證網(wǎng)絡(luò)結(jié)構(gòu)的可靠性與強(qiáng)壯性的比較好方法。在劃分了多個(gè)邏輯網(wǎng)絡(luò)和建立符合應(yīng)用的ACL的同時(shí)，我們更希望能收集和歸納出整個(gè)網(wǎng)絡(luò)的更多安全信息，包括流量的管理、入侵行為和用戶訪問(wèn)信息。僅通過(guò)網(wǎng)絡(luò)設(shè)備提供的日志、SNMP管理是遠(yuǎn)遠(yuǎn)不夠的，現(xiàn)今的方法是通過(guò)部署IDS/IPS來(lái)實(shí)現(xiàn)。在核心的節(jié)點(diǎn)部署IDS/IPS探點(diǎn)，采集和匯總數(shù)據(jù)包的完整信息，然后提供給網(wǎng)絡(luò)管理人員分析是一個(gè)正確的方法。 
　　網(wǎng)絡(luò)安全技術(shù)探討 
　　現(xiàn)階段，為了保證網(wǎng)絡(luò)的正常運(yùn)行，可采用以下幾種方法： 
　　一是防范網(wǎng)絡(luò)病毒。網(wǎng)絡(luò)病毒傳播擴(kuò)散快，僅用單機(jī)防病毒產(chǎn)品已經(jīng)很難徹底清除網(wǎng)絡(luò)病毒，必須有適合于局域網(wǎng)的全方位防病毒產(chǎn)品。煙草網(wǎng)是一個(gè)內(nèi)部局域網(wǎng)，就需要一個(gè)基于服務(wù)器操作系統(tǒng)平臺(tái)的防病毒軟件和針對(duì)各種桌面操作系統(tǒng)的防病毒軟件。所以，比較好使用全方位的防病毒產(chǎn)品，針對(duì)網(wǎng)絡(luò)中所有可能的病毒攻擊點(diǎn)設(shè)置對(duì)應(yīng)的防病毒軟件，通過(guò)全方位、多層次的防病毒系統(tǒng)的配置，通過(guò)定期或不定期的自動(dòng)升級(jí)，使網(wǎng)絡(luò)免受病毒的侵襲。 
　　二是設(shè)置防火墻。利用防火墻在網(wǎng)絡(luò)通信時(shí)執(zhí)行一種訪問(wèn)控制尺度，允許防火墻同意訪問(wèn)的人與數(shù)據(jù)進(jìn)入自己的內(nèi)部網(wǎng)絡(luò)，同時(shí)將不允許的用戶與數(shù)據(jù)拒之門外，比較大限度地阻止網(wǎng)絡(luò)中的黑客來(lái)訪問(wèn)自己的網(wǎng)絡(luò)，防止他們隨意更改、移動(dòng)甚至刪除網(wǎng)絡(luò)上的重要信息。 
　　三是采用入侵檢測(cè)系統(tǒng)。入侵檢測(cè)系統(tǒng)能夠識(shí)別出任何不希望有的活動(dòng)，并限制這些活動(dòng)，以保護(hù)系統(tǒng)的安全。內(nèi)部局域網(wǎng)采用入侵檢測(cè)技術(shù)，比較好采用混合入侵檢測(cè)，在網(wǎng)絡(luò)中同時(shí)采用基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測(cè)系統(tǒng)，構(gòu)架成一套完整的主動(dòng)防御體系。 
　　四是建立網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)。在網(wǎng)絡(luò)的www服務(wù)器、E-mail服務(wù)器等中使用網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)，實(shí)時(shí)跟蹤、監(jiān)視網(wǎng)絡(luò)，截獲網(wǎng)上傳輸?shù)膬?nèi)容，并將其還原成完整的www、E-mail、FTP、Telnet應(yīng)用的內(nèi)容，同時(shí)建立保存相應(yīng)記錄的數(shù)據(jù)庫(kù)，發(fā)現(xiàn)在網(wǎng)絡(luò)上傳輸?shù)姆欠▋?nèi)容，及時(shí)向上級(jí)安全網(wǎng)管中心報(bào)告，予以解決。 
　　五是解決IP盜用問(wèn)題。在路由器上捆綁IP和MAC地址，當(dāng)某個(gè)IP通過(guò)路由器訪問(wèn)Internet時(shí)，路由器要檢查發(fā)出這個(gè)IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符。如果相符就放行，否則不允許通過(guò)路由器，同時(shí)給發(fā)出這個(gè)IP廣播包的工作站返回一個(gè)警告信息。 
　　六是利用網(wǎng)絡(luò)監(jiān)聽(tīng)并維護(hù)子網(wǎng)系統(tǒng)安全。對(duì)于網(wǎng)絡(luò)內(nèi)部的侵襲，可以采用對(duì)各個(gè)子網(wǎng)建立一個(gè)具有一定功能的過(guò)濾文件，為管理人員分析自己的網(wǎng)絡(luò)運(yùn)作狀態(tài)提供依據(jù)。設(shè)計(jì)一個(gè)子網(wǎng)專用的監(jiān)聽(tīng)程序，該軟件的主要功能是長(zhǎng)期監(jiān)聽(tīng)子網(wǎng)絡(luò)內(nèi)計(jì)算機(jī)間相互聯(lián)系的情況，為系統(tǒng)中各個(gè)服務(wù)器的過(guò)濾文件提供備份。 
　　總之，網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)工程，不能僅僅依靠防火墻等單個(gè)系統(tǒng)，而需要全面考慮系統(tǒng)的安全需求，將密碼技術(shù)等多種安全技術(shù)結(jié)合在一起，形成一個(gè)高效、通用、安全的網(wǎng)絡(luò)系統(tǒng)。