使用安全的設計原則實施和管理流程

計算機系統安全管理分為4層：硬體，運算核心和驅動程序，操作系統，應用程序。物理安全是外圍防護。在每個需要保護的組件上應該有多層防護。

了解安全模型的基本概念

• 訪問控制和最小權限：安全策略(Bella-lapadula, BLA)
• 複雜的環境：網格存取控制(Lattice-based access control)
• 完整性：完整性模型(Biba Integrity Model)
• 利益衝突：中國牆模型(Chinese Wall Model)

根據系統安全要求選擇元件

通常，使用哪些框架對資訊系統或業務進行分類，然後它會告訴您哪些元件或標準適用。

了解信息系統的安全功能

• 存取控制：使用保護環（Protection Rings）
• 記憶體保護：防止程序影響另一個程序的完整性
• 可信平台模組(Trusted Platform Module, TPM)：硬體處理器，協助執行加密操作，可以進行安全啟動和整個磁碟加密
• 加密：可以根據使用的加密類型提供機密性和完整性

評估並緩解安全體系結構，設計和解決方案元件的漏洞

• 客戶端系統：當用戶使用脆弱瀏覽器或在惡意網站下載內容時
• 伺服器系統：客戶端攻擊連接接受命令的系統
• 資料庫系統：數據挖掘，多重性問題(Polyinstantiation)，推理和關聯
• 加密系統：使用弱式工具變量(Instrumental Variable, IV)，金鑰大小，金鑰交換或對稱加密演算法
• 工業控制系統（ICS）：泛指從恆溫器到監視器等工業儀器
• 雲端系統：
  • 基礎架構即服務（IaaS）： 伺服器託管
  • 平台即服務（PaaS）： 網業伺服器服務託管
  • 軟件即服務（SaaS）：郵件網路應用程式
  • 分佈式系統：使用許多不必要的高性能設備。認為Docker群或貝奧武夫叢集(Beowolf cluster)
• 物聯網（IoT）：
  微型的嵌入式系統，具有降低資料儲存和查詢API等基本功能的功能