网路管理员或者CIO根据组织机构的风险及安全目标制定的行动策略即为安全策略。安全策略通常建立在授权的基础之上，未经适当授权的实体，信息不可以给予、不被访问、不允许引用、任何资源也不得使用。

按照授权的性质，安全策略分为如下几个方面：

（1）基于身份的安全策略

（2）基于规则的安全策略

（3）基于角色的安全策略

最小特权原则是指主体执行操作时，按照主体所需权利的最小化原则分配给主体权利

最小泄露原则是指主体执行任务时，按照主体所需要知道的信息最小化的原则分配给主体权利

多级安全策略是指主体和客体间的数据流向和许可权控制按照安全级别的绝密（TS）、机密（C）、秘密（S）、限制（RS）和无级别（U）5级来划分。

当前的信息化对网路与信息安全提出了更高的要求。网路与信息的安全性已成为维护国家安全、社会稳定的焦点。网路套用是利用网路以及信息系统直接为用户提供服务以及业务的平台。网路套用服务直接与成千上万的用户打交道：用户通过网路套用服务浏览网站、网上购物、下载档案、看电视、发简讯等，网路套用服务的安全直接关係到广大网路用户的利益。因此网路套用服务的安全是网路与信息安全中重要组成部分。

虽然当前全社会关注网路与信息安全，但对网路与信息安全的相关概念、範围却缺乏共识。当前常用的概念与说法有网路安全、信息安全、网路与信息安全、信息与信息安全、信息系统安全、网路套用服务、网路业务等。不同的部门对上述概念基于各自的立场与利益做出了不同的解释，导致当前概念与範围相对混乱。本文採用如下定义。

狭义信息安全是指信息的机密性、完整性和不可否认性，主要研究加密和认证等算法。狭义信息安全还可能包括意识形态相关的内容安全。广义信息安全通常是指信息在採集、加工、传递、存储和套用等过程中的完整性、机密性、可用性、可控性和不可否认性以及相关意识形态的内容安全。

狭义的网路安全通常是指网路自身的安全。如果网路与业务捆绑，例如电话网，则还包括业务的安全。狭义的网路安全通常不提供高层业务，只提供点到点传送业务的网路。广义的网路安全除包括狭义网路安全内容外还包括网路上的信息安全以及有害信息控制。广义的网路安全通常用在提供高层业务的网路。

对于基础电信网，例如光纤网、传输网、支撑网、信令网以及同步网而言，网路安全仅仅包括网路自身安全以及网路服务安全。网路和信息安全主要强调除网路自身安全以及服务提供安全外，还包括网路上的信息机密性、完整性、可用性以及相关内容安全的有害信息控制。网路与信息安全範围等同与广义的网路安全。

在网路上利用软/硬体平台满足特定信息传递和处理需求的行为。信息在软/硬体平台上处理，通过网路在平台与信息接收者/传送者之间传递。一些商务模式完善的网路套用服务已成为电信业务。

包括网路与套用平台的安全，由网路套用平台提供的服务能够合法有效受控开展，还包括网路套用的信息存储、传递加工处理能完整、机密且可用，信息内容涉及内容安全时能及时有效採取相应措施。

网路套用服务安全可以分为如下四层。

网路与套用平台安全：主要包括网路的可靠性与生存行与信息系统的可靠性和可用性。网路的可靠性与生存行依靠环境安全、物理安全、节点安全、链路安全、拓扑安全、系统安全等方面来保障。信息系统的可靠性和可用性可以参照计算机系统安全进行。

套用服务提供安全：主要包括套用服务的可用性与可控性。服务可控性依靠服务接入安全以及服务防否认、服务防攻击、国家对套用服务的管制等方面来保障。服务可用性与承载业务网路可靠性以及维护能力等相关。

信息加工和传递安全：主要包括信息在网路传输和信息系统存储时完整性、机密性和不可否认性。信息完整性可以依靠报文鉴别机制，例如哈希算法等来保障，信息机密性可以依靠加密机制以及密钥分发等来保障，信息不可否认性可以依靠数字签名等技术来保障。

信息内容安全：主要指通过网路套用服务所传递的信息内容不涉及危害国家安全，泄露国家秘密或商业秘密，侵犯国家利益、公共利益或公民合法权益，从事违法犯罪活动。

网路套用服务可以有多种分类方法。一些典型的分类方法如下文所述。

按照技术特徵分类：点到点业务与点到多点业务；按照电信业务分类：基础电信业务和增值电信业务；按照是否经营分类：经营性网路套用服务与非经营性网路套用服务；按照所传递加工的信息分类：自主保护、指导保护、监督保护、强制保护与专控保护五级；按照服务涉及的範围分类：公众类网路套用服务与非公众类网路套用服务。

各个分类方式从不同角度将网路套用服务进行了分类。本文採用公众类网路套用服务与非公众类网路套用服务的分类方法。

公众信息类网路套用是在公众网路範围内信息传送者不指定信息接收者情况下的网路套用。信息传送者将信息传送到套用平台上，信息接收者主动决定是否通过网路接收信息的网路套用，信息传送者在一定範围内以广播或组播的方式不指定信息接收者强行推送信息。公众信息类网路套用通常涉及网路媒体，主要包括有BBS、网路聊天室、WWW服务、IPTV、具有聊天室功能的网路游戏等套用。

非公众信息类网路套用是公众网路範围内信息传送者指定信息接收者的网路套用以及非公众网路範围内的网路套用。非公众信息类网路套用类型中，公众网路上一般是点到点的信息传播的网路套用，主要有普通QQ套用、普通MSN套用、普通Email、PC2PC的VoIP、电子商务等套用。

网路套用服务安全分析中涉及到如下几个实体：信息传送者，通过网路传送信息的实体，可以是ICP或者传送信息的个人。平台提供者，网路套用的提供者，通信的双方（多方）通过套用平台互动信息。通道提供者，为信息传送者、信息接收者和平台提供者提供接入网路的手段以及网路层面的互通。信息接收者，网路接收信息的实体。设备製造商，为信息传送者、信息接收者、平台提供者、通道提供者提供软硬体设备。业务监管者，监管网路套用的安全，主要包括业务安全以及内容安全。

几个典型的网路套用服务分析如下所述。

普通3W浏览套用：3W伺服器构成的服务平台。3W页面的拥有人为信息传送者，3W页面的请求者为信息接收者，ISP为通道提供者。公网上的3W套用是一种典型的公众信息类网路套用服务，是信息传送者无法指定信息接收者的媒体类网路套用。在3W套用中网路与平台安全由通道提供者ISP与3W伺服器拥有人负责。3W服务提供安全主要体现在主管部门对服务平台的监管。信息传递安全由ISP或者信息传送者与信息接收者端到端负责，信息存储处理安全由3W伺服器拥有人负责。

电话业务：电话网作为服务平台以及通道提供者。主叫方作为信息传送者，被叫方作为信息接收者。电话业务的信息接收者（被叫方）由信息发布者（主叫方）通过电话号码指定，这是一种典型的非公众信息类网路套用服务。在电话业务中，网路与平台安全由电话业务提供者负责。服务提供安全通过认证等方式提供。监管由主管部门负责。信息传递安全由电话业务提供者负责。信息内容安全由信息传送者负责，法定授权部门查处。

DNS服务：由DNS伺服器以及客户机构成的服务平台，该服务平台分层架构。DNS伺服器的拥着者为平台提供者，根域名伺服器由ICANN拥有维护，各级域名伺服器由相应组织拥有维护。DNS域名伺服器信息发布者为DNS拥有人，DNS服务信息接收者为域名解析的请求者。公网上的DNS服务通常由通道提供者ISP提供。DNS信息接收者无法指定，因此也是一种古拙类网路套用服务。DNS服务中网路与服务平台安全由ISP与DNS伺服器拥有人负责：DNS服务不涉及业务提供安全：信息传递安全由ISP负责：信息存储安全由ICANN负责：DNS服务不涉及信息内容安全。

BBS套用：由Telnet/3W协定伺服器端、BBS伺服器端以及主机构成服务平台。BBS伺服器的拥有者为平台提供者。BBS发帖人为信息发布者，访问BBS阅读的人为信息接收者。BBS服务的信息传送者一般无法指定信息接收者，因此BBS套用通常也有媒体功能，是一种公众类网路套用服务。在BBS套用中网路与平台安全由通道提供者ISP与BBS伺服器拥有人负责：BBS服务提供安全主要体现在主管部门对服务平台的监管：信息传递安全由ISP或者信息传送者与信息接收者端到端负责：信息存储处理安全由WWW伺服器拥有人负责：信息内容安全由平台提供者与信息传送者负责，主管部门监管，法定授权部门查处。

Mail套用：由SMTP伺服器端、POP3伺服器端以及主机构成的服务平台。Mail伺服器的拥有者为设备提供者。邮件传送者为信息发布者，邮件接收者为信息接收者。邮件服务的信息接收者通过邮件地址指定，是一种典型的非公众信息类网路套用服务。在邮件服务中，平台安全由邮件服务提供者负责：服务提供安全通过认证等方式提供，监管由主管部门负责：信息传递安全由ISP或者端到端保障：信息内容安全由信息传送者负责，法定授权部门查处。

MSN套用：由MSN伺服器端以及主机（群）构成的服务平台。MSN伺服器的拥有者为平台提供者。发信息的人为信息传送者。聊天看到信息的人是信息接收者。聊天双方既是信息发布者也是信息接收者。ISP为通道提供者。MSN套用的信息接收者由信息发布者指定，是一种典型的非公众信息类网路套用服务。在MSN套用中，网路与平台安全由MSN业务提供者负责：服务提供安全通过认证等方式提供：信息内容安全由信息传送者负责，法定授权部门查处。

网路本身只是一个提供互通的平台，网路套用通过网路为用户提供丰富多彩的服务，可以说网路套用服务促进了网路的飞速发展。网路套用服务的安全是当前网路与信息安全中的重要组成部分。网路套用服务安全可以分网路与套用平台安全、套用服务提供安全、信息传递加工安全以及信息内容安全四层研究。网路套用服务可以分成公众类网路套用服务与非公众类网路套用服务两类。在这两类套用服务中四个层面的安全问题可以分别落实到信息传送者、信息接收者、平台提供者、通道提供者以及业务监管者这些实体上负责。不同类型网路套用服务中各个实体的责权利有待进一步研究。

企业需要为移动设备的安全进行预算，因为在发生硬体丢失时，IT部门需要认证工具及类似的专业软体来跟蹤设备并删除其中的数据。

IT管理者应当重视设备内部和外部的认证。许多可用的企业级移动设备平台包括了比普通设备自身内部所安装的认证更为强健的认证。相同的认证策略可用于所有不同类型的设备，并可推广到整个网路。

这种认证意味着在雇员每次访问设备时都必须输入口令。IT管理者必须确保口令难以猜测，并且雇员不会将口令贴上在某个明显的位置（如笔记本的电脑包上等）。

也许要求雇员在每次检查新邮件时都需要输入口令有点儿麻烦，但是这样做可以提醒雇员：你正在使用包含着机密信息的设备进行工作。

当然，企业的移动设备安全策略需要最适用的规则，要提供充分的帮助信息。IT管理者要警告雇员不能将移动设备随意放置在饭店或酒吧的桌子上，而应当随身携带。在旅馆住宿时，如果不使用设备，要将其锁在保险箱或其它安全设备中。要警告雇员，无论是工作用的笔记本电脑还是智慧型手机，都不要轻易允许他人使用。