【正文】 交分析報告。 安全設計應遵循： 保護最薄弱的環(huán)節(jié)原則：保護最易受 攻擊影響的部分； 縱深防御原則：不同層面、不同角度之間需要相互配合； 最小權限原則：只授予執(zhí)行操作所需的最小權限； 最小共享原則：使共享文件資源盡可能少； 權限分離原則：授予不同用戶所需的最小權限，并在它們之間形成相互制約的關系。 軟件安全設計 設計人員應根據安全目標進行安全設計，在符合 xxx 信息化架構規(guī)劃的基礎上，確保安全功能的完整實現，并提交安全設計方案（或總體方案設計文檔中包括安全方案設計部分）。 測試人員不得由 開發(fā)人員兼任。 本規(guī)定自發(fā)布之日起執(zhí)行。 測試系統(tǒng)環(huán)境應盡可能模擬生產環(huán)境，并與生產環(huán)境進行安全隔離。 業(yè)務需求提出人員應會同需求分析人員，依據業(yè)務風險，提出系統(tǒng)功能、性能及數據等方面的業(yè)務安全需求。 開發(fā)環(huán)境安全管理要求： 軟件系統(tǒng)開發(fā)、測試不得在生產環(huán)境中進行； 開發(fā)環(huán)境中所使用的操作系統(tǒng)、開發(fā)工具、數據庫等必須是正版軟件； 開發(fā)環(huán)境中的開發(fā)用機應進行統(tǒng)一安全配置，及時進行系統(tǒng)補丁升級和漏洞修復