前面简要介绍了信息系统的开发过程。但由于信息系统这一业务的特殊性，使其在开发时还需针对不同部分采取不同的安全策略和设计。
一般的信息系统的实际需求包括安全、方便、易操作、易维护和控制等，信息系统也不例外。在设计信息系统这类大型分布式系统时，通常会尽量避免过度使用基于密码的保护措施，因为使用密码难免导致数据处理速度变慢，特别是如果将所有数据都进行加密，那么将会大量增加在内容分析、负载均衡以及系统管理等方面的负担。因此，在进行系统的安全机制设计时，应该着眼于整体的角度来考虑安全，而不仅仅从密码的角度来考虑。
然而，一些以互联网作为服务渠道的信息系统不可避免地暴露在开放的网络环境中，因而必须面对开放环境带来的复杂、多变的安全威胁。要解决这样的问题，一般的做法是将信息系统分成两部分:在不可控的开放环境下运作的部分(开放式系统部分);在可控的封闭环境下运作的部分(封闭式系统部分)。由于开放式系统部分必须面对复杂、多变的安全威胁，所以不可避免地需要采用基于密码的安全措施来达到信息系统交易安全。封闭式系统则通过有效的物理、系统和网络等环境控制措施来保护信息系统交易数据，从而避免或大幅减少密码的使用。这两部分采取不同的保护方法来实现相应的安全策略，以此来满足实际的安全需求。以数据库的保护为例，如果对数据库所有数据加密，则会导致查询速度太慢，不利于数据库的频繁操作。因此，可以将数据库放在可控的封闭环境里，在保障物理环境的安全的前提下，再使用虚拟专用网、防火墙等网络安全技术来保护内网的安全，主i达到封闭环境的要求。