安全策略(SP,Security policy)是指在某个安全区域内用于所有与安全相关活动的规则。一个安全区域,通常是指属于某个组织的一系列处理设备和通信资源。规则由此安全区域中设立的安全权力机构建立,由安全控制机构来描述、实施或实现。
安全策略有3个不同的描述:
1)安全策略目标:安全策略目标是某个机构对所保护的特定资源要达到的目标进行的描述。
2)机构安全策略:机构安全策略是一套法律、规则及实际操作方法,用于规范某个机构如何来管理、保护和分配资源,以达到安全策略的既定目标。
3)系统安全策略:系统安全策略描述如何将某个特定的信息技术系统付诸工程实现,以支持机构的安全策略要求。
影响网络系统以及部件设计的安全策略主要包括:
1)授权:授权是安全策略的基本组成部分。所谓授权,是指赋予主体(用户、终端、程序等)对客体(数据、程序等)的支配权利,它规定了主体可以对客体做些什么。
2)访问控制策略:访问控制策略隶属于系统安全策略,它迫使计算机系统和网络自动地执行授权。有几种不同的访问控制策略:基于身份的策略,该策略允许或者拒绝对明确区分的个体或群体进行访问;基于任务的策略,它是基于身份的策略的一种变形,它给每一个体分配任务,并基于这些任务来使用授权规则;多等级策略,它是基于信息敏感性的等级以及工作人员许可证等级而指定的一般规则策略。
3)责任:支持所有安全控制策略的一个根本原则是责任。受到安全策略制约的任何个体在执行任务时,需要对他们的行动负责任
