10)保障最弱环节原则
攻击者一般从系统最薄弱的环节发起攻击,而不是针对已经加固的组件。相对于破解一 个数学上已经证明了比较安全的算法,攻击者更喜欢利用软件的安全漏洞。因此软件开发者必须了解自己软件的薄弱点,针对这些弱点实施更强的安全保护措施。
11)公开设计原则
应该假定攻击者有能力获取系统足够的信息来发起攻击,而不是依赖于攻击者不可能知道来保护系统的安全。如果设计的加密算法存在弱密钥,或者系统设有万能口令,等等,攻击者通过反汇编分析能够获取这些信息,攻击者还可能是内部被辞退的员工,因此,依赖于攻击者无法掌握某些特定信息来保护自己的安全是不可靠的。
12)隐私保护原则
系统收集到的用户信息都必须实施妥善和安全的保护。攻击者获得了用户的隐私数据之后,可以发起进一步针对用户的各种攻击,如:欺骗等,不应该向其他用户泄露用户的隐私信息。