银行业信息科技风险管理高层指导委员会银行业信息化丛书商业银行互联网应用安全风险管控 本书特色
借助于互联网金融、金融科技的跨界融合,传统商业银行纷纷向信息化金融机构、智能金融转型,表现出巨大的潜力值和价值链。应用安全作为一个问题,自应用诞生之时就客观存在,风险如影相随。本书意在分析商业银行在互联网应用安全方面面临的问题和挑战,全面剖析互联网应用问题、安全漏洞产生的根源与表现形式,以“抓源头、控过程、观运行”的管理框架和技术手段,贯穿于应用研发过程的全生命周期,识别各种显性和隐含的应用安全风险,综合化、系统化、持续化地提升互联网应用安全属性、安全状态,助力商业银行更加健康稳定,继续在“互联网 ”浪潮中发挥主导作用。
银行业信息科技风险管理高层指导委员会银行业信息化丛书商业银行互联网应用安全风险管控 内容简介
借助于互联网金融、金融科技的跨界融合,传统商业银行纷纷向信息化金融机构、智能金融转型,表现出巨大的潜力值和价值链。应用安全作为一个问题,自应用诞生之时就客观存在,风险如影相随。本书意在分析商业银行在互联网应用安全方面面临的问题和挑战,全面剖析互联网应用问题、安全漏洞产生的根源与表现形式,以“抓源头、控过程、观运行”的管理框架和技术手段,贯穿于应用研发过程的全生命周期,识别各种显性和隐含的应用安全风险,综合化、系统化、持续化地提升互联网应用安全属性、安全状态,助力商业银行更加健康稳定,继续在“互联网+”浪潮中发挥作用。
银行业信息科技风险管理高层指导委员会银行业信息化丛书商业银行互联网应用安全风险管控 目录
序
前言
第1章 互联网应用安全基础知识 / 1
1.1 互联网应用及安全概述 / 1
1.1.1 互联网应用的发展背景 / 1
1.1.2 互联网应用的特点 / 2
1.1.3 互联网应用在各个行业中的应用现状 / 4
1.1.4 互联网应用安全 / 6
1.2 银行互联网应用及安全概述 / 11
1.2.1 银行互联网应用的分类 / 11
1.2.2 银行互联网应用的安全态势 / 13
1.3 银行互联网应用安全风险管控概述 / 15
第2章 互联网应用安全的相关法律、法规及标准 / 18
2.1 国际标准 / 18
2.1.1 ISO/IEC27000标准族 / 18
2.1.2 ISO20000 / 18
2.1.3 SP800 / 19
2.1.4 PCI DSS / 19
2.2 国内标准、法规 / 21
2.2.1 网络安全法 / 21
2.2.2 等级保护 / 30
2.2.3 国内其他法律法规 / 32
2.3 金融行业监管制度 / 35
2.3.1 政策规范 / 35
2.3.2 技术标准 / 38
第3章 银行互联网应用业态与安全现状 / 41
3.1 银行常见互联网应用业态 / 41
3.1.1 网上银行 / 41
3.1.2 移动银行 / 43
3.1.3 直销银行 / 47
3.1.4 互联网金融 / 50
3.1.5 传统业务创新 / 56
3.2 银行互联网应用安全现状 / 58
3.2.1 银行互联网应用安全外部威胁态势分析 / 58
3.2.2 银行互联网应用安全风险应对 / 64
第4章 应用安全生命周期风险控制体系 / 69
4.1 应用安全风险控制基本理论 / 69
4.1.1 安全开发生命周期理论 / 69
4.1.2 信息系统安全风险分析理论 / 72
4.1.3 信息系统安全风险控制理论 / 76
4.2 银行互联网应用安全生命周期风险管控 / 78
4.2.1 需求分析阶段 / 79
4.2.2 安全设计阶段 / 80
4.2.3 开发实施阶段 / 83
4.2.4 测试评估阶段 / 83
4.2.5 运行监控阶段 / 85
第5章 应用安全需求分析 / 86
5.1 应用安全需求总体框架 / 86
5.1.1 应用安全需求概念 / 86
5.1.2 应用安全需求分析过程管理 / 87
5.1.3 应用安全需求框架设计原理 / 87
5.1.4 基于安全需求检查表的工作方法 / 94
5.2 应用安全需求分析方法 / 95
5.2.1 基于Zachman框架的安全需求分析方法 / 96
5.2.2 基于SRAM的安全需求分析方法 / 99
5.3 应用安全需求框架 / 101
5.3.1 Web应用安全需求关键特征 / 101
5.3.2 Web应用安全需求框架设计 / 104
5.3.3 移动应用安全需求关键特征 / 105
5.3.4 移动应用安全需求框架设计 / 106
5.4 应用安全需求实例 / 108
5.4.1 Web应用安全需求检查表 / 108
5.4.2 移动应用安全需求检查表 / 110
第6章 应用安全设计与开发 / 114
6.1 应用安全设计理论 / 114
6.1.1 应用安全设计的基本原则 / 114
6.1.2 应用安全设计方法 / 117
6.2 应用安全设计 / 125
6.2.1 基于“?木桶原理?”的应用安全架构及特点 / 125
6.2.2 基于多层自适应防御体系的应用安全架构 / 127
6.2.3 应用安全设计内容 / 127
6.3 应用安全开发 / 151
6.3.1 应用安全开发框架 / 151
6.3.2 应用安全开发内容 / 154
6.3.3 安全SDK开发实例 / 156
6.4 安全SDK应用案例 / 160
6.4.1 Web端安全SDK应用案例 / 160
6.4.2 移动端安全SDK应用案例 / 163
6.5 安全编码规范与开发人员能力培养 / 166
6.5.1 安全编码规范 / 166
6.5.2 开发人员能力培养 / 175
第7章 应用安全测试与评估 / 178
7.1 应用安全测试理论概述 / 178
7.2 应用安全白盒测试 / 180
7.2.1 白盒测试概述 / 180
7.2.2 白盒测试方法 / 181
7.2.3 白盒测试工具及应用 / 186
7.3 应用安全渗透测试 / 198
7.3.1 渗透测试概述 / 198
7.3.2 渗透测试方法 / 199
7.3.3 渗透测试工具及应用 / 207
7.4 白盒测试与渗透测试的结合:灰盒测试 / 224
7.4.1 灰盒测试概述 / 224
7.4.2 灰盒测试方法 / 225
7.4.3 灰盒测试特点 / 226
7.5 应用安全自动化测试 / 226
7.5.1 Web端安全自动化测试应用 / 227
7.5.2 移动端安全自动化测试应用 / 230
7.6 应用安全测试案例 / 231
7.6.1 Web端安全测试案例 / 231
7.6.2 移动端安全测试案例 / 245
7.7 应用安全测试人员能力培养 / 252
第8章 应用安全运行监控 / 254
8.1 应用安全运行监控概述 / 254
8.2 应用安全运行监控内容 / 255
8.3 应用安全运行监控技术 / 258
8.3.1 应用安全监控方法 / 259
8.3.2 应用安全监控工具 / 269
8.3.3 应用安全监控平台 / 279
8.4 应用安全运行监控案例 / 287
8.4.1 Web应用安全运行监控案例 / 287
8.4.2 移动应用安全运行监控案例 / 289
第9章 应用安全风险控制趋势与展望 / 291
9.1 银行互联网应用发展趋势 / 291
9.1.1 金融大数据 / 291
9.1.2 云计算 / 293
9.1.3 人工智能 / 295
9.1.4 区块链 / 300
9.1.5 金融科技 / 304
9.2 银行互联网应用安全趋势 / 306
9.2.1 应用安全威胁趋势 / 306
9.2.2 应用安全技术趋势 / 306
9.2.3 网络安全生态环境趋势 / 308
9.3 银行互联网应用安全风险管控展望 / 311
9.3.1 银行互联网应用安全风险管控理论发展方向 / 311
9.3.2 展望:银行安全生态圈 / 314