企业安全需求建设指南
字数 1096 2025-08-20 18:17:42

企业安全需求建设指南教学文档

一、安全需求概述

安全需求是指系统在满足特定安全标准和策略前提下,对系统功能和非功能特性的需求。主要包括:

  • 认证和授权要求
  • 数据保密性、完整性和可靠性要求
  • 对威胁和攻击进行预防和应对的要求

二、安全需求评审流程

1. 理想评审流程(业务需求提出阶段)

  1. 业务提出需求
  2. 业务编写业务需求说明书
  3. 架构组织业务需求讲解会:业务、架构、开发、安全共同参与,提出意见并确认安全需求
  4. 项目组编写文档:参照确认后的安全需求,编写《软件需求分析说明书》和《软件需求设计说明书》

2. 常见评审流程(需求分析、设计阶段)

  1. 业务需求提出并申请立项
  2. 项目经理通过在线问卷:在非功能性需求分析平台产出:
    • 《安全需求说明书》
    • 《安全设计说明书》
    • 《安全测试说明书》
  3. 编写《软件需求分析说明书》:基于上述三个文档
  4. 组织软件需求分析评审会:开发、测试、安全参与,安全审核并提出意见
  5. 完善并确认最终版《软件需求分析说明书》
  6. 技术经理编写详细设计:参照《安全设计说明书》编写《软件需求详细设计说明书》
  7. 开发实施:根据详细设计说明书进行需求开发

三、安全开发全流程中的安全基线

安全需求基线分为两大类:

1. 基础安全需求

  1. 加解密算法

    • 国密算法使用要求
    • 国产密码产品使用要求

  2. 应用安全

    • 身份认证
    • 会话安全
    • 访问控制
    • 输入校验
    • 数据安全
    • 安全审计
    • 系统容错

  3. 客户端安全(非B/S结构)

    • 移动客户端
    • 微信订阅号/服务号/企业号/小程序

  4. 网络与通信安全

    • 互联网访问
    • 内部访问/系统对接
    • 第三方对接
    • 通信链路
    • 通信协议
    • 安全认证

  5. 第三方组件安全

  6. API接口安全

    • 防信息泄密
    • 身份认证

  7. 数据安全

    • 数据收集
    • 数据传输
    • 数据存储

  8. 系统部署

    • 边界防护
    • 安全检测
    • 安全审计
    • 主机用户权限
    • 数据库用户权限
    • 测试数据
    • 中间件

2. 场景类安全需求

  1. 通用功能安全需求

    • 文件上传/下载
    • 短信
    • 图形验证码
    • 手势密码
    • 手机指纹密码等

  2. 业务场景安全需求

    • 注册场景
    • 个人信息维护场景
    • 二维码/条码支付场景
    • 客户信息采集场景等
    • 需根据实际业务逐步积累、建设和维护

四、威胁建模

威胁建模平台属于需求设计阶段的重要工具:

  1. 主要功能

    • 识别可能的安全漏洞和弱点
    • 确保产品从设计之初就考虑安全性
    • 增加安全需求说明
    • 更早、更快地发现并处理安全问题

  2. 实施方式

    • 根据安全需求基线设计安全需求问卷
    • 通过人机交互模式填写问卷
    • 自动输出三份关键文档:
      • 《安全需求说明书》
      • 《安全设计说明书》
      • 《安全测试说明书》

五、关键文档产出

  1. 安全需求说明书
  2. 安全设计说明书
  3. 安全测试说明书

这些文档为后续的软件需求分析、设计和测试提供安全基准和指导。

企业安全需求建设指南教学文档 一、安全需求概述 安全需求是指系统在满足特定安全标准和策略前提下,对系统功能和非功能特性的需求。主要包括: 认证和授权要求 数据保密性、完整性和可靠性要求 对威胁和攻击进行预防和应对的要求 二、安全需求评审流程 1. 理想评审流程(业务需求提出阶段) 业务提出需求 业务编写业务需求说明书 架构组织业务需求讲解会 :业务、架构、开发、安全共同参与,提出意见并确认安全需求 项目组编写文档 :参照确认后的安全需求,编写《软件需求分析说明书》和《软件需求设计说明书》 2. 常见评审流程(需求分析、设计阶段) 业务需求提出并申请立项 项目经理通过在线问卷 :在非功能性需求分析平台产出: 《安全需求说明书》 《安全设计说明书》 《安全测试说明书》 编写《软件需求分析说明书》 :基于上述三个文档 组织软件需求分析评审会 :开发、测试、安全参与,安全审核并提出意见 完善并确认最终版《软件需求分析说明书》 技术经理编写详细设计 :参照《安全设计说明书》编写《软件需求详细设计说明书》 开发实施 :根据详细设计说明书进行需求开发 三、安全开发全流程中的安全基线 安全需求基线分为两大类: 1. 基础安全需求 加解密算法 国密算法使用要求 国产密码产品使用要求 应用安全 身份认证 会话安全 访问控制 输入校验 数据安全 安全审计 系统容错 客户端安全 (非B/S结构) 移动客户端 微信订阅号/服务号/企业号/小程序 网络与通信安全 互联网访问 内部访问/系统对接 第三方对接 通信链路 通信协议 安全认证 第三方组件安全 API接口安全 防信息泄密 身份认证 数据安全 数据收集 数据传输 数据存储 系统部署 边界防护 安全检测 安全审计 主机用户权限 数据库用户权限 测试数据 中间件 2. 场景类安全需求 通用功能安全需求 文件上传/下载 短信 图形验证码 手势密码 手机指纹密码等 业务场景安全需求 注册场景 个人信息维护场景 二维码/条码支付场景 客户信息采集场景等 需根据实际业务逐步积累、建设和维护 四、威胁建模 威胁建模平台属于需求设计阶段的重要工具: 主要功能 识别可能的安全漏洞和弱点 确保产品从设计之初就考虑安全性 增加安全需求说明 更早、更快地发现并处理安全问题 实施方式 根据安全需求基线设计安全需求问卷 通过人机交互模式填写问卷 自动输出三份关键文档: 《安全需求说明书》 《安全设计说明书》 《安全测试说明书》 五、关键文档产出 安全需求说明书 安全设计说明书 安全测试说明书 这些文档为后续的软件需求分析、设计和测试提供安全基准和指导。