Hola,
En principio, las cuestiones de seguridad en Java son parecidas a las de otros sistemas de aplicaciones en el servidor. Lo principal es que las conexiones vayan encriptadas con SSL, si las comunicaciones han de ser confidenciales, y verificar periodicamente que el servidor que utilices no tiene agujeros de seguridad.
Por ejemplo, hace un tiempo en algunas versiones de Tomcat, llamando a las JSP de una cierta forma te devolvia el codigo de las JSP en vez del resultado.
Otros servidores tambien tuvieron ese fallo, pero suele estar solucionado.
Por cierto "protected" en las clases/metodos de Java no tiene nada que ver con la "seguridad" que se entiende normalmente, asi que poniendolo no ganas mucho. Pero si lo que quieres es que no "extiendan" tus clases para cambiarles el comportamiento, declaralos finales y listo. Aparte de eso, si no ejecutas en el S.O. cadenas que te pasen como parametro, deberias poder estar tranquilo. Todo depende tambien de como montes tu aplicación y lo que haga esta, claro.
Saludos