根据风险分析确定网络的安全策略(Security policy),以明确规定网络必须提供的安全性。通过网络中的安全设施和机制执行安全策略所提供的安全功能一般即看作安全业务。安全机制利用密码算法和安全协议实现安全业务。ISO归纳的一些基本的安全业务有:
1)机密性(Confidentiality)或保密性(Privacy),保证只有授权主体才能理解所保护的数据。
2)认证性(Authentication),保证主体身份或数据源是真实的。
3)完整性,保证传输或存储的数据未曾被未授权主体篡改。
4)接入控制,保证只有授权主体可以接入受保护的资源。
5)不可否认性(Nonrepudiation),保证主体不能否认他对数据曾采取的动作(例如制作、发送、接收等)。
除了以上几个常见的安全业务外,还有一些特殊需求的安全业务,如:
1)匿名性(Anonymity),保证主体的身份不被泄露。
2)新鲜性(Freshness),保证数据不是过去记录的重放。
3)公证(Notarization),所有参与方所信赖第3方可对争议进行仲裁。
4)不可追踪性(untraceability),保证主体的身份或者位置不被跟踪。