“多大程度的安全才算安全”

　　了解系統(tǒng)的真正威脅、并且評估這些威脅的風險，評估哪些威脅是最危險的并最可能發(fā)生。將系統(tǒng)性防御這些威脅所需的安全策略進行描述并歸檔。這將是一系列的聲明，例如：“只有可信任的代碼才允許進入到受限制的內存”，或“密碼密鑰必須保密”。

　　設計并實施能加強系統(tǒng)安全策略的防范措施。理論上，這些防范措施是保護、檢測和回應的混合機制。

　　防范措施

　　在系統(tǒng)確定了潛在的攻擊，且已定義好安全目標后，就可以考慮實施防范技術來減輕風險。一套有效的安全防范措施包括3個不同的部分，并且它們依次發(fā)揮作用：保護、檢測、回應。

　　為了解釋保護、檢測和回應之間的關系，我們來看一個經(jīng)典的汽車盜竊案例。偷車賊如果想要偷竊您的新車，他必須首先破環(huán)車門鎖。如果竊賊想要開走汽車而不僅是搶劫車內財物，他可能遇到許多安全措施，包括由于沒有使用正確的鑰匙而導致觸發(fā)引擎關斷開關，或者由于聲音、沖擊或篡改而激活警報聲。甚至車主還會采納其他額外的、意料之外的安全措施，如Lojack汽車恢復系統(tǒng)，盡管該系統(tǒng)還存在安全漏洞，但也可能把警察直接帶到盜車賊身邊。在安全設計術語中，門鎖和引擎關斷機制是保護對策，而警報是檢測對策，警察和Lojack系統(tǒng)是回應對策。

　　這些對策必須基于系統(tǒng)已知威脅來合理地共同工作。如果保護機制被攻破，必須依靠檢測和回應機制來抵御攻擊。如果回應機制不存在或無效，那擁有檢測機制也就沒有意義。