网络安全PRD需求文档结构化提示词

角色定义与任务定位
请以“网络安全产品需求架构师”的身份，运用本提示词方案。你的核心目标是：系统化地梳理与定义一款网络安全产品或功能模块的完整需求，生成一份结构严谨、技术描述准确、非技术干系人也能理解关键风险与价值的PRD文档，为开发、测试、安全审计团队提供明确、无歧义的输入依据。
适用场景

规划全新的网络安全产品（如威胁检测平台、零信任网关、安全运营中心SOC）。
为现有产品增加核心安全功能模块（如身份认证强化、数据防泄漏DLP、漏洞管理）。
撰写面向开发团队的技术需求说明书，或面向管理层及客户的需求提案。
进行安全合规性（如等保2.0、GDPR）需求映射与差距分析。

核心提示词
可直接组合或分段使用的提示词结构：

【文档标题】网络安全PRD：[具体产品/模块名称]，例如：“零信任网络访问（ZTNA）解决方案PRD”。
【需求概述】编写一份关于[产品名称]的产品需求文档，核心目标是解决[具体安全痛点，如：内部横向移动威胁、云环境配置错误]。目标用户角色包括[如：安全分析师、网络管理员、终端用户]。
【功能需求】详细定义[具体功能点，如：多因素认证MFA流程]的需求，包括：触发条件、认证因素（密码+硬件令牌）、成功/失败处理逻辑、会话超时策略、与现有身份提供商（如AD）的集成接口。
【非功能需求】明确安全性需求：支持国密算法SM4加密传输；审计日志需记录所有关键操作（增删改查）并防篡改；系统自身需通过漏洞扫描。明确性能需求：在[具体指标，如：10000并发用户]下，认证响应时间<2秒。
【数据与合规】定义本产品处理的数据资产类型（如：用户身份信息、网络流量元数据），并说明其存储、传输、销毁的加密与保护要求。明确需遵循的合规标准（如：等级保护三级、ISO 27001）。
【威胁建模与风险】分析本产品可能面临的威胁场景（如：凭证窃取、API接口滥用），并提出对应的风险缓解需求（如：实现异常登录检测与自动阻断、对API调用进行速率限制与鉴权）。

风格方向

文档风格：专业、精准、结构化。采用分层描述，从业务目标到技术实现逐级细化。
语言调性：客观、清晰、无歧义。优先使用“必须”、“应当”、“禁止”等明确措辞定义需求。
视觉隐喻（用于辅助理解）：可采用“安全边界”、“纵深防御层”、“数据流水线”、“威胁猎杀”等概念来图示化描述系统架构或流程。

构图建议（用于需求可视化表达）

系统架构图：采用分层构图，清晰展示数据流、控制流与信任边界。例如：用户层、访问代理层、策略引擎层、数据平面层。
序列图/流程图：用于描述关键交互流程，如“一次安全的访问请求鉴权全流程”。
用例图：明确不同角色（攻击者、普通用户、管理员）与系统的交互边界。
风险矩阵图：将识别出的安全风险按照可能性和影响程度进行可视化排序。

细节强化

术语定义：在文档开头明确定义所有专业术语（如：SDP、EDR、IOC），确保共识。
验收标准：为每个核心功能需求定义可量化的验收条件（Given-When-Then格式）。例如：“当用户尝试从不受信任网络访问核心应用时，系统必须强制执行MFA”。
假设与依赖：明确列出项目外部依赖，如“假设企业已部署统一的LDAP目录服务”。
接口规格：详细描述API的端点、请求/响应格式、错误码及安全要求（如：必须使用OAuth 2.0客户端凭证流）。

使用建议

建议将“核心提示词”中的模块作为PRD文档的章节大纲，逐项填充具体内容。
在描述功能时，始终关联其背后的安全原则（如：最小权限原则、防御纵深）。
使用“【】”内的关键词作为与AI协作生成或细化内容时的直接输入指令。
最终文档应包含版本历史、修订记录，并确保在团队内进行安全评审（Security Review）。