高阶版网络安全PRD需求文档提示词

角色定义与任务定位

请以网络安全产品负责人或资深安全解决方案架构师的身份，运用本提示词方案。你的核心目标是：系统性地生成一份逻辑严密、技术细节清晰、可直接指导开发与测试的网络安全产品/功能需求文档。这份文档需超越基础功能列表，深入整合安全开发生命周期（SDLC）思想，成为连接安全战略、威胁分析与工程实现的桥梁。

适用场景

• 规划全新的网络安全产品或平台（如零信任访问控制、云安全态势管理、威胁检测与响应系统）。
• 为现有产品增加重要的安全模块或进行架构级安全增强。
• 编写面向客户或内部团队的安全解决方案设计说明书。
• 作为安全需求评审、开发任务拆解和测试用例设计的核心输入依据。

核心提示词

以下提示词组合可直接用于引导文档生成过程，建议作为各章节的提纲或内容生成指令：

• 文档概述与目标：撰写一份PRD文档，明确产品名称、版本、文档目的。核心目标是解决[具体安全痛点，如：内部数据泄露风险、外部APT攻击防御不足]。定义核心安全原则，如：默认拒绝、最小权限、纵深防御。
• 威胁建模与风险评估：基于STRIDE模型或攻击树，对系统[指定组件或数据流]进行威胁建模。识别并优先级排序关键威胁场景，如：身份仿冒、数据篡改、权限提升。输出风险评估矩阵（可能性 vs. 影响）。
• 功能性安全需求：详细描述以下安全能力需求：1) 身份认证与访问控制（支持MFA、基于角色的动态授权）；2) 数据安全（传输中与静态数据的加密算法与密钥管理方案）；3) 日志审计与监控（全链路可追溯，实时异常行为告警）；4) 漏洞管理与补丁策略（自动扫描、修复时间窗规定）。
• 非功能性安全需求：定义安全性能指标：包括但不限于：认证延迟 < 2秒，日志查询响应时间 < 5秒，系统合规性要求（等保2.0三级、GDPR、ISO 27001）。
• 部署与运维安全需求：说明安全部署架构（如网络分段、堡垒机部署）。制定安全运维流程，包括：事件响应预案（IRP）、灾难恢复计划（DRP）、定期安全审计与渗透测试要求。

风格方向

• 文档风格：专业、严谨、精确，避免模糊性描述。采用技术文档的客观语气，同时具备一定的可读性，便于跨团队（开发、测试、运维、管理层）沟通。
• 视觉辅助：在文档中预留位置或建议插入以下图表：系统架构图（标注安全边界）、数据流图（标注信任边界）、威胁建模图、权限矩阵表、状态转换图（用于认证流程）。

构图建议（信息组织框架）

• 采用分层递进的结构：1) 战略层（目标、范围、合规驱动）；2) 战术层（威胁模型、攻击面分析）；3) 执行层（具体功能与非功能需求）；4) 保障层（部署、运维、度量）。
• 每个核心需求采用“场景 -> 需求 -> 验收标准”三段式描述，确保可测试性。例如：“当管理员通过外部网络访问管理界面时，系统必须强制启用双因素认证。验收标准：未完成二次验证的会话无法执行任何管理操作。”

细节强化

• 在需求描述中，具体化技术参数：例如，明确“使用AES-256-GCM进行静态加密”、“支持集成SAML 2.0身份提供商”。
• 定义“安全负面需求”：明确禁止的行为或配置，如：“禁止在日志中记录明文密码”、“默认配置下不得开放非必要端口”。
• 关联外部标准：将需求点映射到具体的合规条款或安全框架控制点（如NIST CSF， CIS Controls）。

使用建议

• 在使用本提示词生成具体内容时，请将方括号[]内的示例替换为您的实际项目信息。
• 建议与开发、安全运营团队协同工作，利用“核心提示词”部分作为工作坊讨论提纲，共同填充细节。
• 生成的PRD文档应作为“活文档”，在每次迭代或出现新的威胁情报时进行复审和更新。
• 最终输出时，可将“核心提示词”扩展后的内容直接整理成正式的文档章节，并补充完整的术语表和修订历史。