10)保障最弱環節原則

攻擊者一般從系統最薄弱的環節發起攻擊，而不是針對已經加固的組件。相對于破解一 個數學上已經證明了比較安全的算法，攻擊者更喜歡利用軟件的安全漏洞。因此軟件開發者必須了解自己軟件的薄弱點，針對這些弱點實施更強的安全保護措施。

11)公開設計原則

應該假定攻擊者有能力獲取系統足夠的信息來發起攻擊，而不是依賴于攻擊者不可能知道來保護系統的安全。如果設計的加密算法存在弱密鑰，或者系統設有萬能口令，等等，攻擊者通過反匯編分析能夠獲取這些信息，攻擊者還可能是內部被辭退的員工，因此，依賴于攻擊者無法掌握某些特定信息來保護自己的安全是不可靠的。

12)隱私保護原則

系統收集到的用戶信息都必須實施妥善和安全的保護。攻擊者獲得了用戶的隱私數據之后，可以發起進一步針對用戶的各種攻擊，如：欺騙等，不應該向其他用戶泄露用戶的隱私信息。