1.4 网络安全策略

所谓安全策略，是指在某个安全域内，施加给所有与安全相关活动的一套规则。所谓安全域，通常是指属于某个组织机构的一系列处理进程和通信资源。这些规则由该安全域中所设立的安全权威机构制定，并由安全控制机构来描述、实施或实现。

安全策略是一个很宽泛的概念，这一术语以许多不同的方式用于各种文献和标准。一些有关的分析表明，安全策略有几个不同的等级。

（1）安全策略目标：是一个机构对于所保护的资源要达到的安全目标而进行的描述。

（2）机构安全策略：是一套法律、规则及实际操作方法，用于规范一个机构如何管理、保护和分配资源，以便达到安全策略所规定的安全目标。

（3）系统安全策略：描述如何将一个特定的信息系统付诸工程实现，以支持此机构的安全策略要求。

在本书中，术语“安全策略”通常是指系统级的安全策略。但是，读者必须牢记，它仅仅是广义安全策略概念的一个组成部分。

在下面几节中，我们将对影响网络系统及各组成部分所设计的安全策略的某些主要方面进行讨论。