在當今社會，網絡越來越重要，信息社會對網絡的依賴使得計算機網絡本身運行的可靠性變得至關重要，也向網絡管理運行提出了更高的要求。為了保證網絡的性能，必須使用網絡管理系統(tǒng)監(jiān)視和控制網絡，即對網絡進行配置、獲取信息、監(jiān)視網絡性能、管理故障以及進行安全控制。在連接信息能力、流通能力提高的同時，網絡安全問題也日益突出。  
　　網絡開放性帶來安全問題 
　　網絡的開放性以及其他方面的因素，導致了網絡環(huán)境下的計算機系統(tǒng)存在很多安全問題。這些安全隱患可以歸結為以下幾個方面： 
　　一是只要有程序，就可能存在漏洞。幾乎每天都有新的漏洞被發(fā)現(xiàn)和公布，程序設計者在修改已知漏洞的同時又可能使它產生新的漏洞。此外，系統(tǒng)的漏洞經常被黑客攻擊，而且這種攻擊通常不會產生日志，幾乎無據可查。 
　　二是黑客的攻擊手段在不斷更新。安全工具的更新速度太慢，絕大多數(shù)情況需要人為參與才能發(fā)現(xiàn)以前未知的安全問題，這就使得它們對新出現(xiàn)的安全問題總是反應太慢。因此，黑客總是可以找到漏洞進行攻擊。 
　　三是傳統(tǒng)安全工具難于保護系統(tǒng)的后門。防火墻很難考慮到這類安全問題，大多數(shù)情況下，這類入侵行為可以堂而皇之地繞過防火墻而很難被察覺。 
　　四是安全工具的使用受到人為因素的影響。一個安全工具能不能實現(xiàn)期望的效果，在很大程度上取決于使用者，包括系統(tǒng)管理者和普通用戶。 
　　五是每一種安全機制都有一定的應用范圍和環(huán)境。防火墻是一種有效的安全工具，它可以隱蔽內部網絡結構，限制外部網絡到內部網絡的訪問，但對于內部網絡之間的訪問往往是無能為力的。 
　　增強網絡安全的防護力 
　　首先是網絡內部，即企業(yè)員工的個人電腦。我們不能保證電腦用戶每一次操作都是正確與安全的，由于如今流行的操作系統(tǒng)或多或少地存在漏洞和缺陷，并且新的漏洞與利用各種漏洞的蠕蟲變種層出不窮。一般情況下，可以通過安裝防病毒軟件來防御病毒的威脅，但是面對蠕蟲、木馬程序、后門程序等，防病毒軟件并不能起到很顯著的作用。一旦個人電腦遭到攻擊，就很可能威脅到整個內部網絡和核心區(qū)域。 
　　其次是網絡結構的安全性。通過部署多層交換機，實現(xiàn)多個VLAN和快速收斂的路由，是保證網絡結構的可靠性與強壯性的比較好方法。在劃分了多個邏輯網絡和建立符合應用的ACL的同時，我們更希望能收集和歸納出整個網絡的更多安全信息，包括流量的管理、入侵行為和用戶訪問信息。僅通過網絡設備提供的日志、SNMP管理是遠遠不夠的，現(xiàn)今的方法是通過部署IDS/IPS來實現(xiàn)。在核心的節(jié)點部署IDS/IPS探點，采集和匯總數(shù)據包的完整信息，然后提供給網絡管理人員分析是一個正確的方法。 
　　網絡安全技術探討 
　　現(xiàn)階段，為了保證網絡的正常運行，可采用以下幾種方法： 
　　一是防范網絡病毒。網絡病毒傳播擴散快，僅用單機防病毒產品已經很難徹底清除網絡病毒，必須有適合于局域網的全方位防病毒產品。煙草網是一個內部局域網，就需要一個基于服務器操作系統(tǒng)平臺的防病毒軟件和針對各種桌面操作系統(tǒng)的防病毒軟件。所以，比較好使用全方位的防病毒產品，針對網絡中所有可能的病毒攻擊點設置對應的防病毒軟件，通過全方位、多層次的防病毒系統(tǒng)的配置，通過定期或不定期的自動升級，使網絡免受病毒的侵襲。 
　　二是設置防火墻。利用防火墻在網絡通信時執(zhí)行一種訪問控制尺度，允許防火墻同意訪問的人與數(shù)據進入自己的內部網絡，同時將不允許的用戶與數(shù)據拒之門外，比較大限度地阻止網絡中的黑客來訪問自己的網絡，防止他們隨意更改、移動甚至刪除網絡上的重要信息。 
　　三是采用入侵檢測系統(tǒng)。入侵檢測系統(tǒng)能夠識別出任何不希望有的活動，并限制這些活動，以保護系統(tǒng)的安全。內部局域網采用入侵檢測技術，比較好采用混合入侵檢測，在網絡中同時采用基于網絡和基于主機的入侵檢測系統(tǒng)，構架成一套完整的主動防御體系。 
　　四是建立網絡安全監(jiān)測系統(tǒng)。在網絡的www服務器、E-mail服務器等中使用網絡安全監(jiān)測系統(tǒng)，實時跟蹤、監(jiān)視網絡，截獲網上傳輸?shù)膬热荩�并將其還原成完整的www、E-mail、FTP、Telnet應用的內容，同時建立保存相應記錄的數(shù)據庫，發(fā)現(xiàn)在網絡上傳輸?shù)姆欠▋热�，及時向上級安全網管中心報告，予以解決。 
　　五是解決IP盜用問題。在路由器上捆綁IP和MAC地址，當某個IP通過路由器訪問Internet時，路由器要檢查發(fā)出這個IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符。如果相符就放行，否則不允許通過路由器，同時給發(fā)出這個IP廣播包的工作站返回一個警告信息。 
　　六是利用網絡監(jiān)聽并維護子網系統(tǒng)安全。對于網絡內部的侵襲，可以采用對各個子網建立一個具有一定功能的過濾文件，為管理人員分析自己的網絡運作狀態(tài)提供依據。設計一個子網專用的監(jiān)聽程序，該軟件的主要功能是長期監(jiān)聽子網絡內計算機間相互聯(lián)系的情況，為系統(tǒng)中各個服務器的過濾文件提供備份。 
　　總之，網絡安全是一個系統(tǒng)工程，不能僅僅依靠防火墻等單個系統(tǒng)，而需要全面考慮系統(tǒng)的安全需求，將密碼技術等多種安全技術結合在一起，形成一個高效、通用、安全的網絡系統(tǒng)。