3)建立需求的原則

安全策略是指一個(gè)特定環(huán)境中，為保證提供一定級(jí)別的安全保護(hù)所必須遵守的規(guī)則。安全策略包括嚴(yán)格的管理、先進(jìn)的技術(shù)和相關(guān)的法律。安全策略決定采用何種方式和手段來(lái)保證網(wǎng)絡(luò)系統(tǒng)的安全。即首先要清楚自己需要什么，制定恰當(dāng)?shù)臐M(mǎn)足需求的策略方案，然后才考慮技術(shù)上如何實(shí)施。信息安全策略反映了維護(hù)信息安全的方式和手段，是高層對(duì)下層的命令。但是安全策略并不是具體描述怎么去完成特定任務(wù)的，它大概地指出所要完成的目標(biāo)是什么，是總體指導(dǎo)性原則，提供維護(hù)網(wǎng)絡(luò)信息系統(tǒng)安全日常規(guī)則的總體框架。

傳統(tǒng)的安全策略?xún)H局限在局部和靜態(tài)層面上，現(xiàn)代的安全策略更注重安全領(lǐng)域的時(shí)代性，在進(jìn)行系統(tǒng)安全設(shè)計(jì)時(shí)遵循以下原則：

(1)體系性：制定完整的安全體系，包括管理體系、技術(shù)體系。

(2)系統(tǒng)性：整個(gè)安全系統(tǒng)避免安全設(shè)施各自獨(dú)立進(jìn)行配置和管理，應(yīng)體現(xiàn)從運(yùn)行到管理的統(tǒng)一特性，確保安全策略實(shí)施的正確性與一致性。

(3)層次性：安全設(shè)計(jì)在各個(gè)層次采用的安全機(jī)制來(lái)實(shí)現(xiàn)所需的安全服務(wù)，從而達(dá)到網(wǎng)絡(luò)安全的目的。

(4)綜合性：網(wǎng)絡(luò)安全體系的設(shè)計(jì)包括完備性、先進(jìn)性和可擴(kuò)展性的技術(shù)方案，根據(jù)技術(shù)管理、業(yè)務(wù)管理和行政管理要求制定相應(yīng)的安全管理方案，以形成網(wǎng)絡(luò)安全工程設(shè)計(jì)的整體方案，供工程分階段實(shí)施和安全系統(tǒng)運(yùn)行作為指導(dǎo)。

(5)動(dòng)態(tài)性：網(wǎng)絡(luò)系統(tǒng)的發(fā)展是飛速進(jìn)行的，而安全技術(shù)和產(chǎn)品也在不斷地更新和完善，所以，安全策略的設(shè)計(jì)也應(yīng)該與時(shí)俱進(jìn)，體現(xiàn)最新的安全技術(shù)。