4)完全中立原則

每次主體對資源的請求，系統都應該實行認證和執行檢查，特別是和安全相關的內容。 以避免錯誤的賦予主體過高的權限或者在第一次授予權限之后，主體被攻擊之后攻擊者濫用相關權限。為了提高性能，一些系統會緩存主體的權限，這種做法易使系統具有較高的安全風險。

5)心理可接受度原則

安全機制應該盡可能對用戶透明，只引入少量的資源使用障礙，對用戶友好，才臺邕在使用時方便用戶的理解和使用，真正起到安全防護的作用。如果安全機制妨礙了資源的可用性或使得資源難以獲取，那么用戶很可能會選擇關閉這些安全機制或功禽彥。

6)默認故障處理保護原則

當系統失效或產生故障時，必須是以安全的方式來處理系統信息，系統故障處理默認應該是安全的設置。例如：即使喪失了可用性，也應該保障系統的機密性和完整性；故障發生時必須阻止未授權的用戶獲得訪問權限；發生故障后，應該不向遠程未授權的用戶暴露敏感信息，如錯誤號和錯誤信息，服務器信息之類。