“多大程度的安全才算安全”

　　了解系統的真正威脅、并且評估這些威脅的風(fēng)險，評估哪些威脅是最危險的并最可能發(fā)生。將系統性防御這些威脅所需的安全策略進(jìn)行描述并歸檔。這將是一系列的聲明，例如：“只有可信任的代碼才允許進(jìn)入到受限制的內存”，或“密碼密鑰必須保密”。

　　設計并實(shí)施能加強系統安全策略的防范措施。理論上，這些防范措施是保護、檢測和回應的混合機制。

　　防范措施

　　在系統確定了潛在的攻擊，且已定義好安全目標后，就可以考慮實(shí)施防范技術(shù)來(lái)減輕風(fēng)險。一套有效的安全防范措施包括3個(gè)不同的部分，并且它們依次發(fā)揮作用：保護、檢測、回應。

　　為了解釋保護、檢測和回應之間的關(guān)系，我們來(lái)看一個(gè)經(jīng)典的汽車(chē)盜竊案例。偷車(chē)賊如果想要偷竊您的新車(chē)，他必須首先破環(huán)車(chē)門(mén)鎖。如果竊賊想要開(kāi)走汽車(chē)而不僅是搶劫車(chē)內財物，他可能遇到許多安全措施，包括由于沒(méi)有使用正確的鑰匙而導致觸發(fā)引擎關(guān)斷開(kāi)關(guān)，或者由于聲音、沖擊或篡改而激活警報聲。甚至車(chē)主還會(huì )采納其他額外的、意料之外的安全措施，如Lojack汽車(chē)恢復系統，盡管該系統還存在安全漏洞，但也可能把警察直接帶到盜車(chē)賊身邊。在安全設計術(shù)語(yǔ)中，門(mén)鎖和引擎關(guān)斷機制是保護對策，而警報是檢測對策，警察和Lojack系統是回應對策。

　　這些對策必須基于系統已知威脅來(lái)合理地共同工作。如果保護機制被攻破，必須依靠檢測和回應機制來(lái)抵御攻擊。如果回應機制不存在或無(wú)效，那擁有檢測機制也就沒(méi)有意義。