网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。
　　
　　网络安全应具有以下五个方面的特征：
　　
　　1、保密性：信息不泄露给非授权用户、实体或过程，或供其利用的特性；
　　
　　2、完整性：数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性；
　　
　　3、可用性：可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击；
　　
　　4、可控性：对信息的传播及内容具有控制能力；
　　
　　5、可审查性：出现的安全问题时提供依据与手段。
　　
　　北卡罗来纳州“高级数字”公司的首席信息安全官詹妮弗所说，NAC是一种哲学而非技术。依靠网络分段和访问控制的深度防御方法可以延缓恶意软件的传播，并可以防止敏感系统的暴露。
　　
　　几个星期之前，在VxWorks和QNX等嵌入式操作系统中暴露出来的漏洞，凸显了保障这些设备的安全并且在不影响生产效率的情况下尽可能地隔离它们的必要性。但是，如果滥用多功能设备及类似的系统，将表明对于这些系统的安全影响理解得不够充分。
　　
　　例如，开发者为Metasploit Framework发布了新的模块，它准许从有漏洞的VxWorks设备中进行内存转储。在内存转储时，就可以找到口令和内部的IP地址，从而准许攻击者登录进入一台交换机，并且改变某台设备的VLAN，或者是通过一个暴露的账户登录进入一台服务器。
　　
　　由于打印机和流媒体设备不仅仅只是哑设备而是完整的客户端和服务器，所以，很重要的一点是，构建网络分段来隔离设备，并仅提供足够业务需要的访问。
　　
　　例如，用于将扫描的文档以电子邮件发送的多功能复印机，应当仅准许它与邮件服务器上tcp的25号端口通信，而不能远程登录(telnet)到一台交换机或文件服务器上的Windows服务器端口。同样道理，不应当准许嵌入式系统访问互联网，也不准许从互联网访问它，除非这是Vbrick等媒体流设备的目的。
　　
　　嵌入式设备只是雇员们将其放到网络上而不考虑它如何影响安全性的一个方面。在对其客户的漏洞评估中，AirTight Network公司发现，四分之一的网络中存在着雇员们所安装的非授权的无线网络。
　　
　　无论是为了工作还是为了易于使用，或者是因为用户是恶意的，其影响都是一样的：在无线接入点的范围内，将内部的公司网络暴露给任何人。公司策略文档要求对网络的任何变更(如增加一个无线接入点)都要严格禁止，这固然很好，但是需要部署技术控制来强化策略，并检测任何违反策略的情况。
　　
　　基本的技术控制，如每个网络交换机端口都要限制一个MAC地址，这仅仅是一个开始，但很容易被精通技术的雇员攻克。更高级的控制包括NAC等解决方案，应当能够确认一个无线设备，并通过关闭它所连接的网络端口来阻止它对于内部网络的访问，或者将它移到一个隔离的VLAN中。
　　
　　与深度防御并驾齐驱的无线入侵检测系统(WIDS)也可以加入到网络中，用以提供针对欺诈性无线设备的另外一层保护。WIDS可以在新的无线网络出现时对其进行检测，并向安全人员发出警告。
　　
　　PCI安全理事会很早就认识到欺诈性的无线网络的影响，并在PCIDSS(付款卡行业数据安全标准)中要求一年进行四次的无线扫描。但一年扫描四次可能并不够，因为在两次扫描之间，一个欺诈性的无线设备可以有大约三个月时间不会受到检测。
　　
　　安全危机有着不可预期性，但是，相信人类的智慧最终会战胜危机，安全会被我们掌握。任何网络安全项目的最终目标是防止暴露敏感数据所造成的安全损害，同时又满足企业的需要。通过网络分段、策略和技术控制，是完全有可能满足这个目标的。
　　
　　责任编辑：Honey