Cùng với các chính sách an toàn thông tin, việc giám sát, quản lý những truy cập mạng là một vấn đề tất yếu mà các nhà cung cấp dịnh vụ nói chung và các nhà quản lý hệ thống nói riêng cần quan tâm và xem đó là một phần quan trọng không thể thiếu trong xây dựng chính sách bảo mật.
Các hệ thống quản lý & giám sát mạng hiện tại chủ yếu dựa trên mô hình
Client/Server. Các thông tin về quản lý và giám sát mạng được thu thập và xử lý ở Trung tâm. Hình 2 là mô hình tổng quát cho hệ thống giám sát, quản lý mạng.
Kiến trúc này tuân theo mô hình giám sát hoạt động mạng của OSI-SM. Phân lớp quản lý thành nhiều mức: mức phần tử mạng, mức quản lý phần tử mạng, mức quản lý mạng, Hay nói một cách khác đó là một mô hình quản lý kiểu Client/Server. Thông tin về hoạt động của mạng sẽ được thu thập từ các phần tử mạng (NE) một cách định kỳ. Trong trường hợp này, các thông tin thu thập sẽ được xử lý hoặc ở Trung tâm Quản lý Mạng (NMS) hoặc ở các Bộ Quản lý phần tử mạng (EM) theo phân cấp quản lý mạng. Các phần tử mạng ở đây có thể là hạ tầng mạng, server, hệ điều hành, cơ sở dữ liệu, hay các ứng dụng.
Có thể giám sát ở các tầng khác nhau trong mô hình OSI, tuy nhiên, các hệ thống giám sát phổ biến hiện nay hầu hết đều tập trung giám sát ở tầng ứng dụng và tầng mạng.
Tầng ứng dụng là nơi rất dễ bị tấn công theo nhiều dạng khác nhau bởi rất nhiều lý do. Thứ nhất, đó là mục tiêu thực sự của các hacker vì liên quan đến các dữ liệu của người dung. Thứ hai, các chương trình ứng dụng theo rất nhiều giao thức khác nhau (FTP, TELNET, SNMP, DHCP, POP, SMTP, ), và đó là cơ sở cho các kẻ tấn công lợi dụng. Thứ ba là việc phát hiện và phòng chống các cuộc tấn công trên tầng ứng dụng khó khăn hơn rất nhiều so với ở các tầng dưới.
Tầng mạng (network layer) cung cấp dịch vụ truyền các gói dữ liệu (packet data) giữa các hệ thống đầu cuối. Vì vậy, nếu kẻ tấn công khai thác được thì rất nguy hiểm.
Hiện tại đã có rất nhiều công cụ, phương thức giám sát mạng khác nhau. Ví dụ như xây dựng các bộ lọc gói tin cho TCP/IP (chỉ cho phép các dịch vụ và các giao thức theo quy định, từ chối các dịch vụ và các giao thức mạo hiểm, ), lọc địa chỉ, giám sát logfiles, các hệ thống kết hợp với các công cụ ngăn chặn tấn công để bảo vệ hệ thống thông tin, giám sát các gói tin ở mức giao thức hay mức nội dung...[2, 5-21]. Tất cả đều nhằm giới hạn các khai thác của những kể tấn công.