如果說(shuō)我們從技術(shù)點(diǎn)出發(fā)來(lái)建設(shè)運(yùn)維管理平臺(tái)系統(tǒng)、從業(yè)務(wù)應(yīng)用的角度出發(fā)來(lái)設(shè)計(jì)應(yīng)用管理策略，從整個(gè)IT管理出發(fā)來(lái)建設(shè)流程管理ITSM。這些都是非常重要的工作，但是這些都是建立在安全管理基礎(chǔ)上進(jìn)行的。沒(méi)有安全這一切都將很脆弱。

　　傳統(tǒng)的網(wǎng)絡(luò)安全

　　我們來(lái)分析一下網(wǎng)絡(luò)的安全管理。目前大部分運(yùn)維管理人員對(duì)黑客、病毒攻擊的危險(xiǎn)性都有了深刻的認(rèn)識(shí)，所以很多網(wǎng)絡(luò)都大量投資了防火墻、入侵監(jiān)測(cè)、防病毒軟件等。但一段時(shí)間運(yùn)用下來(lái)，發(fā)現(xiàn)效果并不理想，病毒依然時(shí)常泛濫、重要信息常被泄露、網(wǎng)絡(luò)安全受到挑戰(zhàn)，原因何在？關(guān)鍵在于安全并不是幾個(gè)產(chǎn)品就可以解決的問(wèn)題，而是一個(gè)完整的體系。運(yùn)維人員往往只是單純的考慮某種安全問(wèn)題并沒(méi)有從整體IT管理平臺(tái)的高度來(lái)考慮整體安全體系架構(gòu)，這就是很多單位雖然耗費(fèi)了大量的資金，但是安全問(wèn)題卻依然沒(méi)有有效解決的原因。

　　傳統(tǒng)的網(wǎng)絡(luò)安全從時(shí)間來(lái)看，網(wǎng)絡(luò)安全解決方案往往只考慮事前防范，缺乏必要的事后追蹤及審計(jì)能力，時(shí)間層面上并沒(méi)有端到端考慮�？臻g層面并沒(méi)有端到端考慮。從網(wǎng)路層面來(lái)看，往往側(cè)重于業(yè)務(wù)層的安全，對(duì)網(wǎng)絡(luò)層和用戶層的安全缺乏必要關(guān)注。

　　很多用戶購(gòu)買(mǎi)了大量的防火墻、入侵監(jiān)測(cè)設(shè)備、防病毒軟件，目的是通過(guò)數(shù)據(jù)隔離、加密、過(guò)濾、管理等技術(shù)，加強(qiáng)整個(gè)網(wǎng)絡(luò)的安全性。

　　但這些都是在于防，而對(duì)事后跟蹤能力考慮很少，在安全事件發(fā)生前后，要求網(wǎng)絡(luò)所能提供的支持也是不同的，其花費(fèi)的代價(jià)與技術(shù)實(shí)現(xiàn)難度有非常大的差別從空間來(lái)看，往往側(cè)重于考慮對(duì)來(lái)自外網(wǎng)的黑客防御，對(duì)于內(nèi)部的安全控制缺乏必要手段。

　　任何的安全產(chǎn)品都不能保證自己可以100%的做到安全防范，當(dāng)安全問(wèn)題出現(xiàn)的時(shí)候我們應(yīng)該如何處理？這個(gè)時(shí)候我們就需要一個(gè)事后處理方案。

　　事后跟蹤：通過(guò)對(duì)用戶上網(wǎng)端口、時(shí)間、訪問(wèn)地的記錄，全面提供用戶上網(wǎng)的追溯能力，從而為后期的分析提供第一手的資料。

　　實(shí)際上日志記錄、地址簿等功能是一個(gè)非常良好的追溯手段，在出現(xiàn)問(wèn)題時(shí)可以根據(jù)記錄迅速查找源頭，防止事態(tài)進(jìn)一步擴(kuò)大；例如在發(fā)生未知病毒傳播或者是黑客攻擊的時(shí)候，傳統(tǒng)的事前防范常常失效。怎么快速的確認(rèn)問(wèn)題，找到問(wèn)題源，解決問(wèn)題。這在傳統(tǒng)的功能模塊很難完成，基于平臺(tái)的網(wǎng)絡(luò)安全架構(gòu)體系通過(guò)安全數(shù)據(jù)分析系統(tǒng)、IP地址安全管理、配合設(shè)備的管理功能輕松解決這些問(wèn)題。

　　以往的安全體系側(cè)重在外網(wǎng)防范上下工夫，而對(duì)內(nèi)網(wǎng)安全考慮很少。接入Internet的外網(wǎng)與辦工系統(tǒng)的內(nèi)網(wǎng)所面臨的網(wǎng)絡(luò)環(huán)境、安全防范的目標(biāo)、對(duì)用戶的管理力度都有很大的差異，所以必須針對(duì)外網(wǎng)與內(nèi)網(wǎng)的不同特點(diǎn)制定有效的安全策略。策略分為兩大部分，第一部分是外網(wǎng)，通過(guò)VPN、加密等保證信息安全，通過(guò)網(wǎng)絡(luò)防火墻、病毒防火墻等防范網(wǎng)絡(luò)攻擊，側(cè)重的是防范。第二部分是內(nèi)網(wǎng)，通過(guò)對(duì)用戶的識(shí)別，IP/MAC綁定等技術(shù)保證合法的用戶訪問(wèn)合法接入，并做好訪問(wèn)記錄，側(cè)重的是監(jiān)控。

　　在目前這樣一個(gè)人員高動(dòng)流動(dòng)的時(shí)代，大部分的泄密均源自內(nèi)網(wǎng)。原因是傳統(tǒng)網(wǎng)絡(luò)提供的是一個(gè)平等的數(shù)據(jù)交換平臺(tái)，而實(shí)際上不同的人員其訪問(wèn)的范圍應(yīng)該是有所不同。比如普通員工只能談問(wèn)本部門(mén)的辦工服務(wù)器，而領(lǐng)導(dǎo)則可以訪問(wèn)某些重要服務(wù)器。如果不對(duì)人員訪問(wèn)權(quán)限進(jìn)行合理的控制，則必然對(duì)重要信息產(chǎn)生極大威脅。原有的在應(yīng)用層進(jìn)行用戶鑒權(quán)與訪問(wèn)控制的方案由于用戶已合法接入網(wǎng)絡(luò)，可以監(jiān)聽(tīng)到相關(guān)信息，實(shí)施攻擊，所以效果往往不盡如人意。也正是因?yàn)檫@個(gè)原因，今天的安全已是一個(gè)涵蓋網(wǎng)絡(luò)級(jí)、應(yīng)用級(jí)的在內(nèi)的完整概念。從網(wǎng)絡(luò)級(jí)就對(duì)用戶進(jìn)行訪問(wèn)控制，使非法用戶接入網(wǎng)絡(luò)就成為聾子、瞎子，將大大增加非法用戶進(jìn)一步實(shí)施盜取與攻擊的難度，從而增強(qiáng)安全防護(hù)體系的效能。

　　傳統(tǒng)的網(wǎng)絡(luò)安全比較容易疏忽的一點(diǎn)在傳輸?shù)募用苌稀＞W(wǎng)絡(luò)管理多以SNMP的方式進(jìn)行取數(shù)和管理，這種管理存在安全隱患越來(lái)越受到管理人員的重視。新的IT管理平臺(tái)在SNMPV3、HTTPS等新的傳輸加密技術(shù)上的使用成為必不可少的功能。

　　基于平臺(tái)的網(wǎng)絡(luò)安全架構(gòu)體系

　　從完整的安全體系架構(gòu)的角度來(lái)看，安全的威脅包括基礎(chǔ)網(wǎng)絡(luò)資源本身以及承載的數(shù)據(jù)兩大方面，而對(duì)安全的保障也應(yīng)該是一個(gè)從發(fā)送端到接收端的完整的端到端的安全防護(hù)模型：這就包括了：數(shù)據(jù)傳送保證機(jī)密性、完整性及正確性，網(wǎng)絡(luò)資源防止路由欺騙、地址盜用，對(duì)于帶寬和端口的占用可以有效的管理與控制，均是構(gòu)成一個(gè)完整安全體系不可缺少的組成部分。這些你會(huì)發(fā)現(xiàn)都是基于網(wǎng)絡(luò)整體架構(gòu)的安全。

　　基于平臺(tái)的網(wǎng)絡(luò)安全架構(gòu)體系并表現(xiàn)為傳統(tǒng)的某個(gè)安全模塊，而是在網(wǎng)絡(luò)綜合管理平臺(tái)總無(wú)處不在。在網(wǎng)絡(luò)層：保障網(wǎng)絡(luò)路由、網(wǎng)絡(luò)地址、網(wǎng)絡(luò)傳輸加密等基礎(chǔ)網(wǎng)絡(luò)的安全。用戶接入層：確保合法的用戶接入，訪問(wèn)合法的網(wǎng)絡(luò)范圍，并保障用戶信息的隔離等用戶接入網(wǎng)絡(luò)的安全。業(yè)務(wù)層：保證用戶訪問(wèn)內(nèi)容的合法性與安全性。

　　隨著網(wǎng)絡(luò)上應(yīng)用的進(jìn)一步增多，隨著網(wǎng)絡(luò)進(jìn)一步深入人們的生活，入侵與反入侵、盜用與反盜用的斗爭(zhēng)也必將升級(jí)。而網(wǎng)絡(luò)的安全防護(hù)作為一個(gè)系統(tǒng)工程，其范圍與深度早已超出了我們?cè)瓉?lái)的預(yù)料，并還將進(jìn)一步發(fā)展。只有在整體平臺(tái)角度從網(wǎng)絡(luò)管理、用戶管理、業(yè)務(wù)管理及管理制度等多層次、多方位地多管齊下才能做到“天網(wǎng)恢恢，疏而不漏”。