网络安全策略主要包括网络安全防护对象和网络安全防护规则。网络安全防护对象既可以是硬件（如服务器），又可以是软件（如办公系统）；既可以是单独的实物个体（如计算机终端），又可以是多个实体集成的综合实体（如计算机网络）。

根据网络安全防护对象的不同性质，网络安全策略可分为物理安全策略、系统安全策略和信息安全策略等。

①物理安全策略。防护计算机、网络设备等实体的物理安全，为防止自然灾害或人为因素的物理破坏而制定的各种规则。如针对设备运行环境的供电、温度、湿度、静电防护、物理隔离等方面的规则。

②系统安全策略。用户对网络系统或网络中设备进行访问时，为防止用户有意或无意地非授权系统访问而制定的各种规则。例如，设备入网规则防止任意设备非授权接入网络系统中；用户登录规则防止任意用户非授权访问网络系统中的主机或设备；用户权限规则防止合法用户非授权操作设备或访问系统资源等。

③信息安全策略。用户对网络系统中的信息进行访问时，为防止用户有意或无意地非授权信息访问而制定的各种规则。例如，电磁泄漏防护规则防止非法用户通过传导发射或电磁辐射还原信息；制定用户及信息分级规则结合信息读写规则，防止用户非法访问秘密信息（见BLP模型）或修改信息（见BIBA模型）；制定用户利益冲突隔离规则，防止用户访问有利益冲突的第三方信息（见中国墙模型）。

根据网络安全防护规则的实施效果上看，网络安全策略又可分为禁止类网络安全策略、允许类网络安全策略和约束类网络安全策略等。

①禁止类网络安全策略。如果不符合网络安全防护规则的要求，则和规则相关的所有操作行为被禁止，如黑名单策略等。

②允许类网络安全策略。如果符合网络安全防护规则的要求，则和规则相关的所有操作行为被允许，如白名单策略等。

③约束类网络安全策略。如果网络安全防护规则描述相关操作对象、操作行为及之间的约束关系，则称其为约束类网络安全策略，如最小特权策略、分权策略等。

网络安全不单是技术问题，更是管理问题，除了技术类的网络安全策略外，还包括管理方面的网络安全策略。国际标准《ISO/IEC27001 2013 Information technology- Security techniques- Information security management systems- Requirements》及国家标准《GB/T 22080—2016/ISO/IEC 27001：2013 信息技术 安全技术 信息安全管理体系 要求》在网络系统的建立、实现、维护和持续改进等方面制定了详细的规定。