安全策略是指在一個(gè)特定的環(huán)境里，為保證提供一定級別的安全保護所必須遵守的規則。通常，計算機網(wǎng)絡(luò )安全策略模型包括建立安全環(huán)境的三個(gè)重要組成部分。

(1)嚴格的法規。安全的基石是社會(huì )法律、法規與手段，這部分用于建立一套安全管理標準和方法，即通過(guò)建立與信息安全相關(guān)的法律、法規，使非法分子懾于法律，不敢輕舉妄動(dòng)。

(2)先進(jìn)的技術(shù)。先進(jìn)的安全技術(shù)是信息安全的根本保障，用戶(hù)對自身面臨的威脅進(jìn)行風(fēng)險評估，決定其需要的安全服務(wù)種類(lèi)，選擇相應的安全機制，然后集成先進(jìn)的安全技術(shù)，形成全方位的安全系統。

(3)有效的管理。各網(wǎng)絡(luò )使用機構、企事業(yè)單位應建立相應的信息安全管理辦法，加強內部管理，建立審計和跟蹤體系，提高整體信息安全意識。

網(wǎng)絡(luò )安全策略是指在一個(gè)網(wǎng)絡(luò )中對安全問(wèn)題采取的原則，包括對安全使用的要求，以及如何保護網(wǎng)絡(luò )的安全運行。制定網(wǎng)絡(luò )安全策略首先要確定網(wǎng)絡(luò )安全要保護什么，在這一問(wèn)題上一般有兩種截然不同的描述原則:一種是“一切沒(méi)有明確表述為允許的都被認為是禁止的”另一種是“一切沒(méi)有明確表述為禁止的都被認為是允許的”。對于網(wǎng)絡(luò )安全策略，一般采用第一種原則來(lái)加強對網(wǎng)絡(luò )安全的限制。對于少數公開(kāi)的試驗性網(wǎng)絡(luò )可能會(huì )采用第二種較寬松的原則，在這種情況下一般不把安全問(wèn)題作為網(wǎng)絡(luò )的一個(gè)重要問(wèn)題來(lái)處理。



在確定了描述原則后，網(wǎng)絡(luò )安全策略所要做的是確定網(wǎng)絡(luò )資源的職責劃分。網(wǎng)絡(luò )安全策略要根據網(wǎng)絡(luò )資源的職責確定哪些人允許使用某一設備，對每一臺網(wǎng)絡(luò )設備要確定哪些人能夠修改它的配置；更進(jìn)一步要要明確，授權給某人使用棊網(wǎng)絡(luò )設備和某資源的目的是什么，他可以在什么范圍內使用，并確定對每一設備或資源，誰(shuí)擁有管理權，即可以為其他人授權，使其他人能夠正常使用該設備或資源，并制定授權程序。

關(guān)于用戶(hù)的權利與責任，在網(wǎng)絡(luò )安全策略里中需要指明用戶(hù)必須明確了解他們所用的計算機網(wǎng)絡(luò )的使用規則。其中包括是否允許用戶(hù)將賬號轉借給他人，用戶(hù)應當將他們自己的 口令保密到什么程度；用戶(hù)應在多長(cháng)時(shí)間內更改他們的口令，對其選擇有什么限制:希望由

用戶(hù)自身提供備份還是由網(wǎng)絡(luò )服務(wù)提供者提供備份。在關(guān)于用戶(hù)的權利與責任中還會(huì )涉及電 子郵件的保密性和有關(guān)討論組的限制。在電子郵件組織(E1ectronic Mail Association)發(fā)表的白皮書(shū)中指出，Internet中每個(gè)計算機網(wǎng)絡(luò )都要有策略來(lái)保護職員與用戶(hù)的隱私。事實(shí)上，網(wǎng)絡(luò )安全策略中所能達到的一定只是用戶(hù)希望達到絕對穩私與網(wǎng)絡(luò )管理人員為診斷、處 理問(wèn)題而收集用戶(hù)信息的一個(gè)折中。安全策略中必須明確在什么情況下網(wǎng)絡(luò )管理員可以讀用戶(hù)的文件，在亻什么情況下網(wǎng)絡(luò )管理員有權檢查網(wǎng)絡(luò )上傳送的信息。

另外，網(wǎng)絡(luò )安全策略還應說(shuō)明網(wǎng)絡(luò )使用的類(lèi)型限制。定義可接受的網(wǎng)絡(luò )應用和不可接受的網(wǎng)絡(luò )應用，要考慮對不同級別的人員給予不同級別的限制，但一般的網(wǎng)絡(luò )安全策略都會(huì )聲明每個(gè)用戶(hù)都要對他們在網(wǎng)絡(luò )上的言行負責。所有違反安全策略，破壞系統安全的行為都是被禁止的。在大型網(wǎng)絡(luò )的安全管理中，還要確定是否要為特殊情況制定安全策略，例例如是否允許某些組織織(如CERT安全組)來(lái)試圖尋找系統的安全弱點(diǎn)。對于此問(wèn)題，對來(lái)自網(wǎng)絡(luò )本身之外的請求，一般的回答是否定的。

在網(wǎng)絡(luò )安全策略中，在確定對每個(gè)資源管理授權者的同時(shí)，還要確定他們可以對用戶(hù)授予什么級別的權限。如果沒(méi)有資源管理授權者的信息，就無(wú)法掌握哪些人在使用網(wǎng)絡(luò )。對于主干網(wǎng)絡(luò )中的關(guān)鍵通信資源，對其可授權范圍應盡可能小，范圍越小就越容易管理，相對也就越安全。同時(shí)，還要制定對用戶(hù)授權過(guò)程的設計，以防止對授權職責的濫用。網(wǎng)絡(luò )安全策略中可以明確每個(gè)資源的系統級管理員，但在在網(wǎng)絡(luò )的使用中，難免會(huì )遇到用戶(hù)需要特殊權限的時(shí)候。其中一種最好的處理辦法是盡量只分配給用戶(hù)能夠完成任務(wù)所需的最小權限。另外，網(wǎng)絡(luò )安全策略中還要包含對特殊權限進(jìn)行監測統計的部分，如果對授予用戶(hù)的特殊權限不可統計，就難以保證整個(gè)網(wǎng)絡(luò )不被破壞。

在明確網(wǎng)絡(luò )用戶(hù)、系統管理員的安全責任，正確利用網(wǎng)絡(luò )資源要求的同時(shí)，還要準備檢測到安全問(wèn)題或系統遭受破壞時(shí)所采取的策略。對于發(fā)生在本網(wǎng)絡(luò )內部的安全問(wèn)題，要從主干網(wǎng)向地區網(wǎng)逐級過(guò)濾、隔離。地區網(wǎng)要與主干網(wǎng)形成配合，防止破壞蔓延。對于來(lái)自整個(gè)網(wǎng)絡(luò )以外的安全干擾，除了必要的隔離與保護外，還要與對方所在網(wǎng)絡(luò )進(jìn)行聯(lián)系，以進(jìn)一步確定消除安全隱患。每一個(gè)網(wǎng)絡(luò )安全問(wèn)題都要有文檔記錄，包括對它的處理過(guò)程，并將其送至全網(wǎng)各有關(guān)部門(mén)，以便預防和留作今后進(jìn)一步完善網(wǎng)絡(luò )安全策略的資料。

網(wǎng)絡(luò )安全策略還要包括本網(wǎng)絡(luò )對其他相連網(wǎng)絡(luò )的職責，如出現某個(gè)網(wǎng)絡(luò )告知有威脅來(lái)自我方網(wǎng)絡(luò )。在這種情況下，一般不會(huì )給予對方權利，讓其到我方網(wǎng)絡(luò )中進(jìn)行調查，而是在驗證對方身份的同時(shí)，自己對本方網(wǎng)絡(luò )進(jìn)行調查、監控，做好相互配合。最后，網(wǎng)站建設安全策略最終一定要送到每一個(gè)網(wǎng)絡(luò )使用者手中。對付安全問(wèn)題最有效的手段是教育，提高每個(gè)使用者的安全意識，從而提高整體網(wǎng)絡(luò )的安全免疫力力。網(wǎng)絡(luò )安全策略作為向所有使用者發(fā)放的手冊，應注明其解釋權歸屬何方，以免出現不必要的爭端。