安全策略：是指在某个安全区域内（一个安全区域，通常是指属于某个组织的一系列处理和通信资源），用于所有与安全相关活动的一套规则。这些规则是由此安全区域中所设立的一个安全权力机构建立的，并由安全控制机构来描述、实施或实现的。

网络管理员或者CIO根据组织机构的风险及安全目标制定的行动策略即为安全策略。安全策略通常建立在授权的基础之上，未经适当授权的实体，信息不可以给予、不被访问、不允许引用、任何资源也不得使用。

按照授权的性质，安全策略分为如下几个方面：

（1）基于身份的安全策略

（2）基于规则的安全策略

（3）基于角色的安全策略

安全策略的实施原则：

（1）最小特权原则：最小特权原则是指主题执行操作时，按照主题所需权利的最小化原则分配给主体权利

（2）最小泄露原则：最小泄露原则是指主体执行任务时，，按照主体所需要知道的信息最小化的原则分配给主体权利

（3）多级安全策略：多级安全策略是指主体和客体间的数据流向和权限控制按照安全级别的绝密（TS）、秘密（S）、机密（C）、限制（RS）和无级别（U）5级来划分。