當今的嵌入式系統常常處理應用代碼（IP）和數據等敏感信息，因此安全是其設計的一個主要關注因素。為了確立一個合理的基礎來判斷建議的安全系統是否足以御敵或是防衛過當，就必須識別所察覺到的安全威脅。這意味著我們需要弄清對手有哪些，他們有什么樣的能力，他們的目標是什么？我們要保護什么，我們要防范誰的威脅或什么威脅？世界上并沒有一個包打天下的解決方案，也沒有百分之百安全的安全系統。然而，安全系統不必是完美無缺的解決方案，也不需要全然牢不可破以至于失去應用價值。安全系統只要足夠安全即可，也就是在它所保護的數據的預期有效時間內，它能夠抵御可能的敵人進攻即可。
　　若沒有應用環境，安全就沒有意義
　　嵌入式系統設計師經常誤解安全，認為諸如特定的加密算法和安全協議等安全措施只是系統的附加特性。安全是一個過程，而不是永遠保持不變的一款產品或一種終極狀態。而且，也不能在產品將永遠保持安全的假設下，把安全措施簡單地加入到一款產品中。當今設計師面臨的最棘手難題之一就是明確嵌入式系統的安全要求和目標。有助于解決這一難題的方法很多，本文所討論的方法涉及威脅建模和風險評估，目的是幫助設計師定義安全策略，然后設計對策來實施安全策略。
　　安全設計——在設計的初始階段檢測威脅
　　在設計安全解決方案的時候，首先必須做的就是定義一個威脅模型，然后再創建安全策略。一旦評估完成，就能安心地選擇具體的技術來實現安全對策。威脅決定應對策略，策略決定設計。參見圖1
　　
　　圖1設計安全方案需要（1）定義一個威脅模型，（2）創建一個安全策略。
　　許多設計師都會犯同一個錯誤，在設計安全系統時沒有首先明確和了解可能遇到的真正威脅，以及這些威脅會給他們的終端產品帶來的重大風險。相反，他們教條地把各類安全技術堆在一起，并希望能獲得很高的安全性。這樣做代價高昂，沒有系統能防御所有的安全威脅，在設計中囊括那些沒有必要的技術和防御沒有實際威脅的風險毫無意義。
　　威脅建模——價值意味著風險
　　對于資源受限的設備，嵌入式系統必須在存儲容量、功耗、處理能力、上市時間及成本等參數和安全需求之間獲取一種平衡。盡管存在資源不足的挑戰，通過仔細考慮威脅模型并設計系統使其工作在能滿足該模型的可用計算能力限制之內，仍有可能開發出使產品在開放環境中有效工作的系統。
　　對系統設計師來說，考慮“威脅建模”的原理非常有用。威脅建模是基于一種假設，即每個系統都有值得保護的固有價值。然而，因為這些系統是有價值的，他們對內部或外部威脅也是開放的，這些威脅能夠且經常給終端產品帶來損害。設計完成后的安全漏洞常常是無法修正的，且危及投入的資金和開發資源，因此需要在設計周期的初始階段增強對安全評估的需求，并在整個設計周期進行監測和重復修正。
　　本質上，我們可以把威脅模型定義為：“識別一組可能的攻擊，以便考慮配合一套徹底的風險評估策略。”有了威脅模型，我們就能評估攻擊的概率、潛在危害和優先級。