3)建立需求的原則

安全策略是指一個特定環境中，為保證提供一定級別的安全保護所必須遵守的規則。安全策略包括嚴格的管理、先進的技術和相關的法律。安全策略決定采用何種方式和手段來保證網絡系統的安全。即首先要清楚自己需要什么，制定恰當的滿足需求的策略方案，然后才考慮技術上如何實施。信息安全策略反映了維護信息安全的方式和手段，是高層對下層的命令。但是安全策略并不是具體描述怎么去完成特定任務的，它大概地指出所要完成的目標是什么，是總體指導性原則，提供維護網絡信息系統安全日常規則的總體框架。

傳統的安全策略僅局限在局部和靜態層面上，現代的安全策略更注重安全領域的時代性，在進行系統安全設計時遵循以下原則：

(1)體系性：制定完整的安全體系，包括管理體系、技術體系。

(2)系統性：整個安全系統避免安全設施各自獨立進行配置和管理，應體現從運行到管理的統一特性，確保安全策略實施的正確性與一致性。

(3)層次性：安全設計在各個層次采用的安全機制來實現所需的安全服務，從而達到網絡安全的目的。

(4)綜合性：網絡安全體系的設計包括完備性、先進性和可擴展性的技術方案，根據技術管理、業務管理和行政管理要求制定相應的安全管理方案，以形成網絡安全工程設計的整體方案，供工程分階段實施和安全系統運行作為指導。

(5)動態性：網絡系統的發展是飛速進行的，而安全技術和產品也在不斷地更新和完善，所以，安全策略的設計也應該與時俱進，體現最新的安全技術。