【正文】 交分析報(bào)告。 安全設(shè)計(jì)應(yīng)遵循： 保護(hù)最薄弱的環(huán)節(jié)原則：保護(hù)最易受 攻擊影響的部分； 縱深防御原則：不同層面、不同角度之間需要相互配合； 最小權(quán)限原則：只授予執(zhí)行操作所需的最小權(quán)限； 最小共享原則：使共享文件資源盡可能少； 權(quán)限分離原則：授予不同用戶所需的最小權(quán)限，并在它們之間形成相互制約的關(guān)系。 軟件安全設(shè)計(jì) 設(shè)計(jì)人員應(yīng)根據(jù)安全目標(biāo)進(jìn)行安全設(shè)計(jì)，在符合 xxx 信息化架構(gòu)規(guī)劃的基礎(chǔ)上，確保安全功能的完整實(shí)現(xiàn)，并提交安全設(shè)計(jì)方案（或總體方案設(shè)計(jì)文檔中包括安全方案設(shè)計(jì)部分）。 測試人員不得由 開發(fā)人員兼任。 本規(guī)定自發(fā)布之日起執(zhí)行。 測試系統(tǒng)環(huán)境應(yīng)盡可能模擬生產(chǎn)環(huán)境，并與生產(chǎn)環(huán)境進(jìn)行安全隔離。 業(yè)務(wù)需求提出人員應(yīng)會(huì)同需求分析人員，依據(jù)業(yè)務(wù)風(fēng)險(xiǎn)，提出系統(tǒng)功能、性能及數(shù)據(jù)等方面的業(yè)務(wù)安全需求。 開發(fā)環(huán)境安全管理要求： 軟件系統(tǒng)開發(fā)、測試不得在生產(chǎn)環(huán)境中進(jìn)行； 開發(fā)環(huán)境中所使用的操作系統(tǒng)、開發(fā)工具、數(shù)據(jù)庫等必須是正版軟件； 開發(fā)環(huán)境中的開發(fā)用機(jī)應(yīng)進(jìn)行統(tǒng)一安全配置，及時(shí)進(jìn)行系統(tǒng)補(bǔ)丁升級和漏洞修復(fù)