CIA 要求：

• C：
  • 瀏覽人員為何
  • 保密機制
  • 業務需求
• I：
  • 變更人員為何
  • 檢測錯誤並強制執行完整性的機制
  • 業務需求
• A：
  • 適用於授權用戶
  • 拒絕未經授權的用戶

AAA 要求：

• 認證方式：
  • 身份證明：
    記錄建立，用戶與系統之間的共享機密
    • 身份識別機制
    • 身份管理
  • 用戶提出已知的共享機密
    • 認證管理方法
    • 認證方法的強度
• 您知道的、擁有的，存在的東西(know, have, are)
• 綜合要求：
  • 安全等級
  • 用戶規模和管理
  • 具體用途
• 雙方：相互認證
• 授權：
  • 主題物件活動模型
    • 主題：用戶
    • 對象：軟體項（即某些功能）
    • 活動：軟體所需的操作
  • 強制訪問模式：
    • 安全系統控制訪問
    • 所有者或主題無法更改
    • 操作系統決定在每個對象和主題上附加什麼標籤
• DAC：
  • 對象的所有者決定哪些其他主題可以訪問
  • 強制訪問模型（MAC）與自由訪問模型（DAC）
• RBAC：
  • 角色
• Rule-BAC：
  • 使用訪問控制列表（ACL）
  • ACL中的規則
• 審核：
  • 基於風險的審計問題：
    • 固有風險：與過程固有錯誤率相關，假設沒有內部控制
    • 檢測風險：審核未檢測到問題
    • 控制風險：控制無法檢測或無法防止重大錯誤
  • 組織特徵：
    • 角色和責任
    • 職責分離
    • 培訓和資格
    • 變更與控制管理

內部和外部要求：

• 內部：
  • 保護審核日誌
  • 防止資料丟失
  • 監控內部系統流量
  • 監控內部控制
• 外部：
  • 遵守外部義務
  • 帶有安全控制和身份驗證的外部連接（例如API）
  • 內容過濾和代理