产品安全需求是指站在业务角度,软件产品需要满足的数据安全需求、业务合规需求和业务连续性要求,它是业务安全需求的一部分。本文描述的产品安全需求通常包括:
产品承载的业务数据安全防护需求,主要关注点是业务数据的机密性和完整性。
产品相关信息的安全监管要求,如等级保护、行业信息安全监管等要求。
产品承载的业务连续性要求。由于通常由数据中心或运维部门统一牵头实施该项任务,本文将不会展开描述该项内容。
(图4 产品安全需求)
6.2 产品数据安全需求产品数据安全需求是指系统安全体系应确保恰当的用户在恰当的时间与地点以恰当的途径用恰当的动作访问恰当的数据,确保其承载数据的机密性、完整性和可用性。即系统安全体系应确保类似于白名单的合法访问行为清单,只要属于清单范围内的行为均为合法行为,白名单行为之外的行为都是默认不恰当的数据访问行为,需要安全措施进行预防,本文称之为黑名单行为。
由于黑名单行为通常为黑客攻击行为,其典型行为的分析与罗列需要较强的攻防技术背景,不在业务人员和产品经理能力范围之内,需要安全专家根据产品运行环境进行分析,所以本文要求产品经理明确的产品安全需求通常为其白名单部分,黑名单部分需要产品经理组织安全专家和研发专家配合明确。产品设计所包含的各种安全措施主要目标就是确保白名单行为一定成功,黑名单行为一定被预防、监控和审计。
从业务安全角度出发,定义合法数据访问行为之后,还需要有数据访问行为审计手段,帮助业务确保访问行为的正确性,以及对违规的数据访问行为进行审计。
(图5 产品数据安全需求)
基于上文分析,白名单行为清单的明确只需要了解业务模型相关信息就可以做到,对于产品经理而言,不存在能力上的门槛。过程中产品经理需要明确的数据包括:
ID 内容 说明1 合法用户清单 系统用户类别、办公地点与访问方式,用户类别应包括有接口调用关系的对端系统
2 敏感数据清单 敏感数据范围与清单,及其分类、分级说明
3 业务访问行为清单 系统用户与敏感数据之间的访问映射关系与操作方式清单
4 敏感行为清单 需要记录业务操作日志的最小集合,为业务审计提供依据,该清单与上面的业务访问行为清单基本重合
在明确上述信息的过程中,产品经理应遵循如下两个原则:
ID 原则 解释1 最小权限 将用户对数据的访问操作的方式和动作最小化,如对于某个用户类别,OA网访问可满足业务需求的就不应开放到外网访问,数据脱敏可读可满足业务需求的情况应不开放明文可读或可写权限
2 知所必需 将用户的数据访问范围最小化,如对于某个用户类别,单个文件访问可以满足业务需求,决不开放2个或多个文件访问
设计人员可以根据该白名单进行权限管理与访问控制模型设计,测试人员可以将白名单作为数据安全测试基线,任何违背白名单的测试发现均为系统的安全bug,比如:
敏感数据未脱敏。
多余的数据操作权限。
横向或纵向数据访问越权。
关键行为的日志痕迹缺失。
6.3 合规性需求合规性需求是指由于系统运行地点、服务网络以及客户所在地区或国家相关部门,对服务提供模式、数据安全以及业务连续性提出了限制性要求。目前公司系统所面对的主要监管要求包括:
ID 监管要求 监管层级1 网络安全法及其两高释法(国家) 国家
2 信息系统等级保护(公安部) 公安部
3 个人信息保护规范(工信部) 工信部
4 GDPR(涉及到服务欧盟公民的相关IT服务) 欧盟