访问控制Access Control

　　程序设计者所犯的最大错误就是忽略了访问控制作为功能中必要的一部分。每个用户或系统与程序交互时使用相同的权限来访问程序的情况是很少见的。有些用户需要访问数据的特定部分而不是其他的;有些系统可以或不可以访问程序。在一个程序中访问特定的模块，功能或者单元都需要控制。访问控制对评估和法规的遵从也是十分重要的。管理访问控制的一些常见方法：

　　1. Read, write and execute privileges: A file

　　2. Role-based access control: administrators, users

　　3. Host based access: IP 地址, 机器名称

　　4. Object-level access control: code object, multiple reader/single writer

　　保密/隐私Confidentiality/Privacy

　　许多应用程序使用，处理和消耗敏感数据。错误就是同等对待所有的数据而且对一些数据类型的敏感特征缺乏认识。敏感数据的常见例子包括：

　　1. 用户个人信息Personal information about users: 包括姓名，地址，电话号码，身份证号码，社保，护照和执照号码。

　　2. 安全信息Security information: 包括关键字，密码，口令。

　　3. 应用程序的配置信息Configuration information for the application。

　　4. 金融信息(与电子商务有关)Financial information (e-commerce related): 信用卡和账户号码。

　　在一个程序中敏感数据可以与其他数据分隔(见以下)，所用操作数据的方法就是访问控制(如上所述)。当开发应用程序时，特别是这一天增加的规则和条例，甚至更重要的是研究任何可以控制程序或是它的使用的规则或是程序。特别是在金融，医疗保健，能源和其他重要的基础设施建设上是常见的。

　　加密Encryption