了解系統(tǒng)的真正威脅、并且評(píng)估這些威脅的風(fēng)險(xiǎn)，評(píng)估哪些威脅是最危險(xiǎn)的并最可能發(fā)生。將系統(tǒng)性防御這些威脅所需的安全策略進(jìn)行描述并歸檔。這將是一系列的聲明，例如：“只有可信任的代碼才允許進(jìn)入到受限制的內(nèi)存”，或“密碼密鑰必須保密”。

　　設(shè)計(jì)并實(shí)施能加強(qiáng)系統(tǒng)安全策略的防范措施。理論上，這些防范措施是保護(hù)、檢測(cè)和回應(yīng)的混合機(jī)制。

　　防范措施

　　在系統(tǒng)確定了潛在的攻擊，且已定義好安全目標(biāo)后，就可以考慮實(shí)施防范技術(shù)來減輕風(fēng)險(xiǎn)。一套有效的安全防范措施包括3個(gè)不同的部分，并且它們依次發(fā)揮作用：保護(hù)、檢測(cè)、回應(yīng)。

　　為了解釋保護(hù)、檢測(cè)和回應(yīng)之間的關(guān)系，我們來看一個(gè)經(jīng)典的汽車盜竊案例。偷車賊如果想要偷竊您的新車，他必須首先破環(huán)車門鎖。如果竊賊想要開走汽車而不僅是搶劫車內(nèi)財(cái)物，他可能遇到許多安全措施，包括由于沒有使用正確的鑰匙而導(dǎo)致觸發(fā)引擎關(guān)斷開關(guān)，或者由于聲音、沖擊或篡改而激活警報(bào)聲。甚至車主還會(huì)采納其他額外的、意料之外的安全措施，如Lojack汽車恢復(fù)系統(tǒng)，盡管該系統(tǒng)還存在安全漏洞，但也可能把警察直接帶到盜車賊身邊。在安全設(shè)計(jì)術(shù)語中，門鎖和引擎關(guān)斷機(jī)制是保護(hù)對(duì)策，而警報(bào)是檢測(cè)對(duì)策，警察和Lojack系統(tǒng)是回應(yīng)對(duì)策。

　　這些對(duì)策必須基于系統(tǒng)已知威脅來合理地共同工作。如果保護(hù)機(jī)制被攻破，必須依靠檢測(cè)和回應(yīng)機(jī)制來抵御攻擊。如果回應(yīng)機(jī)制不存在或無效，那擁有檢測(cè)機(jī)制也就沒有意義。