您的安全策略定義了您想要保護的內容以及您對系統用戶的期望。

當您設計新應用程序或擴展當前網絡時，您的安全策略為安全規劃提供了基礎。它描述了用戶的責任，例如保護機密信息和創建重要的密碼。

注意：需要為組織創建并制定安全策略，以最大限度地降低內部網絡的風險。如果正確配置， IBM? i操作系統固有的安全功能可以讓您最大限度地減少許多風險。但是，當您將系統連接到 Internet 時，您需要提供額外的安全措施來確保內部網絡的安全。

許多風險與使用互聯網訪問開展業務活動相關。每當您創建安全策略時，您都必須在提供服務與控制對功能和數據的訪問之間取得平衡。對于聯網計算機，安全性更加困難，因為通信通道本身容易受到攻擊。

某些互聯網服務比其他服務更容易受到某些類型的攻擊。因此，了解您打算使用或提供的每項服務所帶來的風險至關重要。此外，了解可能的安全風險有助于您確定一組明確的安全目標。

互聯網是對互聯網通信安全構成威脅的各種個人的家園。以下列表描述了您可能遇到的一些典型安全風險：

被動攻擊

在被動攻擊中，犯罪者會監視您的網絡流量以嘗試了解秘密。此類攻擊可以是基于網絡的（跟蹤通信鏈路）或基于系統的（用隱匿地捕獲數據的特洛伊木馬程序替換系統組件）。被動攻擊是最難檢測的。因此，您需要假設有人正在竊聽您通過互聯網發送的所有內容。

主動攻擊

在主動攻擊中，攻擊者試圖突破您的防御并進入您的網絡系統。主動攻擊有幾種類型：

在系統訪問嘗試中，攻擊者試圖利用安全漏洞來訪問和控制客戶端或服務器系統。

在欺騙攻擊中，攻擊者試圖通過偽裝成受信任的系統來突破您的防御，或者用戶說服您向他發送秘密信息。

在拒絕服務攻擊中，攻擊者試圖通過重定向流量或用垃圾轟炸您的系統來干擾或關閉您的操作。

在加密攻擊中，攻擊者試圖猜測或竊取您的密碼，或使用專門的工具嘗試解密加密的數據。

多層防御

由于潛在的互聯網安全風險可能發生在多個級別，因此您需要設置安全措施來提供針對這些風險的多層防御。一般來說，當您連接到 Internet 時，您不應該懷疑是否會遇到入侵嘗試或拒絕服務攻擊。相反，您應該假設您將遇到安全問題。因此，最好的防守是深思熟慮和積極主動的進攻。在規劃互聯網安全策略時使用分層方法可確保滲透一層防御的攻擊者將被后續層阻止。

您的安全策略必須包括為傳統網絡計算模型的以下各層提供保護的措施。一般來說，您需要從最基本的（系統級安全性）到最復雜的（事務級安全性）來規劃安全性。

• 系統級安全

您的系統安全措施是針對基于 Internet 的安全問題的最后一道防線。因此，整個互聯網安全策略的第一步必須是正確配置基本系統安全。

• 網絡級安全

網絡安全措施控制對 IBM i操作系統和其他網絡系統的訪問。當您將網絡連接到 Internet 時，您需要確保采取足夠的網絡級安全措施來保護您的內部網絡資源免遭未經授權的訪問和入侵。防火墻是提供網絡安全的最常見手段。您的 Internet 服務提供商 (ISP) 可以在您的網絡安全計劃中提供重要的元素。您的網絡安全方案需要概述您的 ISP 提供的安全措施，例如 ISP 路由器連接的過濾規則和公共域名系統 (DNS) 預防措施。

• 應用級安全

應用程序級安全措施控制用戶與特定應用程序交互的方式。一般來說，您應該為您使用的每個應用程序配置安全設置。但是，您應該特別注意為將從互聯網使用或向互聯網提供的應用程序和服務設置安全性。這些應用程序和服務很容易被尋求訪問您的網絡系統的方法的未經授權的用戶濫用。您決定使用的安全措施需要包括服務器端和客戶端安全風險。

• 傳輸級安全

傳輸級安全措施可保護網絡內和跨網絡的數據通信。當您通過 Internet 等不受信任的網絡進行通信時，您無法控制流量從源流向目的地的方式。您的流量及其承載的數據流經許多您無法控制的不同系統。除非您設置安全措施，例如將應用程序配置為使用安全套接字層 (SSL)，否則任何人都可以查看和使用您的路由數據。傳輸級別安全措施可以保護您的數據在其他安全級別邊界之間流動時的情況。

在制定整體互聯網安全策略時，應該為每一層單獨制定安全策略。此外，您應該描述每組策略如何與其他策略交互，以便為您的企業提供全面的安全保障網。