商业银行互联网应用安全风险管控

定　价：¥89.00

作　者：	骆鉴，孙钢
出版社：	机械工业出版社
丛编项：
标　签：	暂缺

购买这本书可以去

ISBN：	9787111634966	出版时间：	2019-09-01	包装：
开本：		页数：		字数：

内容简介

　　借助于互联网金融、金融科技的跨界融合，传统商业银行纷纷向信息化金融机构、智能金融转型，表现出巨大的潜力值和价值链。应用安全作为一个问题，自应用诞生之时就客观存在，风险如影相随。本书意在分析商业银行在互联网应用安全方面面临的问题和挑战，全面剖析互联网应用问题、安全漏洞产生的根源与表现形式，以“抓源头、控过程、观运行”的管理框架和技术手段，贯穿于应用研发过程的全生命周期，识别各种显性和隐含的应用安全风险，综合化、系统化、持续化地提升互联网应用安全属性、安全状态，助力商业银行更加健康稳定，继续在“互联网+”浪潮中发挥主导作用。

作者简介

　　银行业信息科技风险管理高层指导委员会（简称"高层指导委员会"）是由银监会发起，20家主要银行业金融机构自愿参与建立的行业性、专业性高层组织。高层指导委员会的宗旨是：以全面风险管理为导向，提升银行业信息科技核心竞争力和自主创新能力，提升银行业信息化建设和信息科技风险管理整体水平，推动银行业信息科技持续、健康发展，维护金融稳定和国家安全。高层指导委员会的主要任务是对银行业信息化建设与信息科技风险管理工作进行研究、指导，并提供咨询、建议，研究银行业信息化建设重大发展问题，深入传导贯彻信息科技监管政策，开展专业指导和风险分析，开展信息科技课题研究，推动银行业信息科技领域新兴技术研究，促进银行业信息科技领域的交流合作。高层指导委员会自2011年成立以来，相继建立了风险分析、课题研究、专业指导等常态化工作机制，编印内部刊物《金融科技治理与研究》，组建银行业信息科技发展与风险管理专家库，组织编著银行业信息化丛书，开展"银行业信息化高级人才提升计划"，有效提升了银行业信息化工作的整体性、科学性和前瞻性，为银行业信息科技领域的经验交流、知识分享和资源互补提供了有效的平台。

图书目录

序 \n
前言 \n
第1章　互联网应用安全基础知识 / 1 \n
1.1　互联网应用及安全概述 / 1 \n
1.1.1　互联网应用的发展背景 / 1 \n
1.1.2　互联网应用的特点 / 2 \n
1.1.3　互联网应用在各个行业中的应用现状 / 4 \n
1.1.4　互联网应用安全 / 6 \n
1.2　银行互联网应用及安全概述 / 11 \n
1.2.1　银行互联网应用的分类 / 11 \n
1.2.2　银行互联网应用的安全态势 / 13 \n
1.3　银行互联网应用安全风险管控概述 / 15 \n
第2章　互联网应用安全的相关法律、法规及标准 / 18 \n
2.1　国际标准 / 18 \n
2.1.1　ISO/IEC27000标准族 / 18 \n
2.1.2　ISO20000 / 18 \n
2.1.3　SP800 / 19 \n
2.1.4　PCI DSS / 19 \n
2.2　国内标准、法规 / 21 \n
2.2.1　网络安全法 / 21 \n
2.2.2　等级保护 / 30 \n
2.2.3　国内其他法律法规 / 32 \n
2.3　金融行业监管制度 / 35 \n
2.3.1　政策规范 / 35 \n
2.3.2　技术标准 / 38 \n
第3章　银行互联网应用业态与安全现状 / 41 \n
3.1　银行常见互联网应用业态 / 41 \n
3.1.1　网上银行 / 41 \n
3.1.2　移动银行 / 43 \n
3.1.3　直销银行 / 47 \n
3.1.4　互联网金融 / 50 \n
3.1.5　传统业务创新 / 56 \n
3.2　银行互联网应用安全现状 / 58 \n
3.2.1　银行互联网应用安全外部威胁态势分析 / 58 \n
3.2.2　银行互联网应用安全风险应对 / 64 \n
第4章　应用安全生命周期风险控制体系 / 69 \n
4.1　应用安全风险控制基本理论 / 69 \n
4.1.1　安全开发生命周期理论 / 69 \n
4.1.2　信息系统安全风险分析理论 / 72 \n
4.1.3　信息系统安全风险控制理论 / 76 \n
4.2　银行互联网应用安全生命周期风险管控 / 78 \n
4.2.1　需求分析阶段 / 79 \n
4.2.2　安全设计阶段 / 80 \n
4.2.3　开发实施阶段 / 83 \n
4.2.4　测试评估阶段 / 83 \n
4.2.5　运行监控阶段 / 85 \n
第5章　应用安全需求分析 / 86 \n
5.1　应用安全需求总体框架 / 86 \n
5.1.1　应用安全需求概念 / 86 \n
5.1.2　应用安全需求分析过程管理 / 87 \n
5.1.3　应用安全需求框架设计原理 / 87 \n
5.1.4　基于安全需求检查表的工作方法 / 94 \n
5.2　应用安全需求分析方法 / 95 \n
5.2.1　基于Zachman框架的安全需求分析方法 / 96 \n
5.2.2　基于SRAM的安全需求分析方法 / 99 \n
5.3　应用安全需求框架 / 101 \n
5.3.1　Web应用安全需求关键特征 / 101 \n
5.3.2　Web应用安全需求框架设计 / 104 \n
5.3.3　移动应用安全需求关键特征 / 105 \n
5.3.4　移动应用安全需求框架设计 / 106 \n
5.4　应用安全需求实例 / 108 \n
5.4.1　Web应用安全需求检查表 / 108 \n
5.4.2　移动应用安全需求检查表 / 110 \n
第6章　应用安全设计与开发 / 114 \n
6.1　应用安全设计理论 / 114 \n
6.1.1　应用安全设计的基本原则 / 114 \n
6.1.2　应用安全设计方法 / 117 \n
6.2　应用安全设计 / 125 \n
6.2.1　基于“?木桶原理?”的应用安全架构及特点 / 125 \n
6.2.2　基于多层自适应防御体系的应用安全架构 / 127 \n
6.2.3　应用安全设计内容 / 127 \n
6.3　应用安全开发 / 151 \n
6.3.1　应用安全开发框架 / 151 \n
6.3.2　应用安全开发内容 / 154 \n
6.3.3　安全SDK开发实例 / 156 \n
6.4　安全SDK应用案例 / 160 \n
6.4.1　Web端安全SDK应用案例 / 160 \n
6.4.2　移动端安全SDK应用案例 / 163 \n
6.5　安全编码规范与开发人员能力培养 / 166 \n
6.5.1　安全编码规范 / 166 \n
6.5.2　开发人员能力培养 / 175 \n
第7章　应用安全测试与评估 / 178 \n
7.1　应用安全测试理论概述 / 178 \n
7.2　应用安全白盒测试 / 180 \n
7.2.1　白盒测试概述 / 180 \n
7.2.2　白盒测试方法 / 181 \n
7.2.3　白盒测试工具及应用 / 186 \n
7.3　应用安全渗透测试 / 198 \n
7.3.1　渗透测试概述 / 198 \n
7.3.2　渗透测试方法 / 199 \n
7.3.3　渗透测试工具及应用 / 207 \n
7.4　白盒测试与渗透测试的结合：灰盒测试 / 224 \n
7.4.1　灰盒测试概述 / 224 \n
7.4.2　灰盒测试方法 / 225 \n
7.4.3　灰盒测试特点 / 226 \n
7.5　应用安全自动化测试 / 226 \n
7.5.1　Web端安全自动化测试应用 / 227 \n
7.5.2　移动端安全自动化测试应用 / 230 \n
7.6　应用安全测试案例 / 231 \n
7.6.1　Web端安全测试案例 / 231 \n
7.6.2　移动端安全测试案例 / 245 \n
7.7　应用安全测试人员能力培养 / 252 \n
第8章　应用安全运行监控 / 254 \n
8.1　应用安全运行监控概述 / 254 \n
8.2　应用安全运行监控内容 / 255 \n
8.3　应用安全运行监控技术 / 258 \n
8.3.1　应用安全监控方法 / 259 \n
8.3.2　应用安全监控工具 / 269 \n
8.3.3　应用安全监控平台 / 279 \n
8.4　应用安全运行监控案例 / 287 \n
8.4.1　Web应用安全运行监控案例 / 287 \n
8.4.2　移动应用安全运行监控案例 / 289 \n
第9章　应用安全风险控制趋势与展望 / 291 \n
9.1　银行互联网应用发展趋势 / 291 \n
9.1.1　金融大数据 / 291 \n
9.1.2　云计算 / 293 \n
9.1.3　人工智能 / 295 \n
9.1.4　区块链 / 300 \n
9.1.5　金融科技 / 304 \n
9.2　银行互联网应用安全趋势 / 306 \n
9.2.1　应用安全威胁趋势 / 306 \n
9.2.2　应用安全技术趋势 / 306 \n
9.2.3　网络安全生态环境趋势 / 308 \n
9.3　银行互联网应用安全风险管控展望 / 311 \n
9.3.1　银行互联网应用安全风险管控理论发展方向 / 311 \n
9.3.2　展望：银行安全生态圈 / 314