《金融網(wǎng)絡(luò)安全》圍繞網(wǎng)絡(luò)安全話題展開��,涉及網(wǎng)絡(luò)安全與經(jīng)濟���、網(wǎng)絡(luò)攻擊手段���、惡意軟件、金融詐騙��、威脅及漏洞管理�����、銀行業(yè)面臨的網(wǎng)絡(luò)安全問題、風(fēng)險管理��、事件管理����、數(shù)據(jù)保護、區(qū)塊鏈技術(shù)��、人工智能與網(wǎng)絡(luò)安全��、量子技術(shù)等熱點��,系統(tǒng)地分析了網(wǎng)絡(luò)安全態(tài)勢�,揭示了金融行業(yè)面臨的網(wǎng)絡(luò)安全挑戰(zhàn)。
《金融網(wǎng)絡(luò)安全》從金融視角解讀網(wǎng)絡(luò)安全�����,適合金融服務(wù)領(lǐng)域的安全架構(gòu)師�����、風(fēng)險管理人員��、滲透測試人員閱讀,也適合對網(wǎng)絡(luò)安全感興趣的讀者閱讀�����。
1.具有多年行業(yè)經(jīng)驗的網(wǎng)絡(luò)安全者視角洞悉網(wǎng)絡(luò)安全內(nèi)涵�,剖析金融服務(wù)網(wǎng)絡(luò)安全威脅
2.圖文并茂,豐富的案例幫助讀者獲取金融及基礎(chǔ)設(shè)施保護的實踐經(jīng)驗
3.結(jié)合網(wǎng)絡(luò)安全和金融領(lǐng)域的經(jīng)典案例��,多方位展現(xiàn)新興網(wǎng)絡(luò)安全技術(shù)
4.異步社區(qū)提供可下載圖書配套彩圖
厄爾達·奧茲卡亞(Erdal Ozkaya)博士是一位網(wǎng)絡(luò)安全專業(yè)人員��,擅長業(yè)務(wù)開發(fā)�����、管理和學(xué)術(shù)研究���。他致力于保護網(wǎng)絡(luò)空間安全,并以安全顧問�、演講者、講師和作者的身份分享自己的知識���。Erdal 非常熱衷于參與社區(qū)中與提升網(wǎng)絡(luò)安全意識相關(guān)的活動�。他利用創(chuàng)新的方法和技術(shù)來解決世界各地的個人和企業(yè)對信息安全以及隱私的需求�。他與其他人合著了許多與網(wǎng)絡(luò)安全相關(guān)的書籍����,并編寫了針對不同供應(yīng)商的安全認證課件和試題���。同時��,Erdal 還是澳大利亞查爾斯特大學(xué)的兼職講師���。
米拉德·阿斯蘭納(Milad Aslaner)是一位安全專家,在項目管理和軟件工程方面擁有10多年的豐富經(jīng)驗�。他曾編寫過多部與社會工程、網(wǎng)絡(luò)安全的實際應(yīng)用以及金融服務(wù)行業(yè)中的網(wǎng)絡(luò)安全相關(guān)的資料與圖書�����,技術(shù)涉及端點檢測和響應(yīng)(EDR)���、威脅及脆弱性管理(TVM)��、事件響應(yīng)�、攻防技術(shù)��。他在2012年加入微軟���,領(lǐng)導(dǎo)了Surface Book 和 Laptop 的商業(yè)軟件開發(fā)團隊���,并建立了Surface企業(yè)管理模式(SEMM)等安全功能���。作為一名高級安全項目經(jīng)理,他致力于實現(xiàn)新方案以應(yīng)對戰(zhàn)略性企業(yè)客戶的需求�,從而保護微軟的客戶免受不斷發(fā)展的安全威脅。
第 1章 網(wǎng)絡(luò)安全與經(jīng)濟 1
1.1 網(wǎng)絡(luò)安全是什么 1
1.1.1 人員 2
1.1.2 流程 2
1.1.3 技術(shù) 2
1.2 網(wǎng)絡(luò)安全的范圍 2
1.2.1 關(guān)鍵基礎(chǔ)設(shè)施安全 3
1.2.2 網(wǎng)絡(luò)安全 3
1.2.3 云安全 4
1.2.4 應(yīng)用程序安全 4
1.2.5 用戶安全 4
1.2.6 物聯(lián)網(wǎng)安全 4
1.3 術(shù)語 5
1.4 網(wǎng)絡(luò)安全的重要性及其對全球經(jīng)濟的影響 6
1.4.1 網(wǎng)絡(luò)安全的重要性 6
1.4.2 網(wǎng)絡(luò)安全對全球經(jīng)濟的影響 7
1.4.3 銀行和金融系統(tǒng)——在風(fēng)險和安全視角發(fā)生的變化 10
1.4.4 數(shù)據(jù)泄露意味著經(jīng)濟損失 11
1.5 網(wǎng)絡(luò)攻擊造成的名譽損害的經(jīng)濟后果 12
1.6 數(shù)字經(jīng)濟及相關(guān)威脅 13
1.6.1 智能設(shè)備的威脅 13
1.6.2 勒索軟件 13
1.6.3 針對關(guān)鍵基礎(chǔ)設(shè)施的攻擊 14
1.7 小結(jié) 14
第 2章 網(wǎng)絡(luò)的攻擊者 15
2.1 網(wǎng)絡(luò)犯罪介紹 15
2.2 攻擊者 16
2.2.1 黑客行為主義者 17
2.2.2 網(wǎng)絡(luò)恐怖分子 18
2.2.3 網(wǎng)絡(luò)罪犯 18
2.3 小結(jié) 21
第3章 成本計算 22
3.1 網(wǎng)絡(luò)攻擊帶來的成本 22
3.2 解析網(wǎng)絡(luò)攻擊所造成的損失 26
3.2.1 生產(chǎn)損失 26
3.2.2 經(jīng)濟損失 26
3.2.3 品牌和聲譽損失 27
3.2.4 數(shù)據(jù)丟失 27
3.2.5 罰款和訴訟 28
3.2.6 恢復(fù)技術(shù)造成的損失 28
3.3 企業(yè)網(wǎng)絡(luò)安全的成本分析 29
3.3.1 每個金融機構(gòu)都應(yīng)該了解Carbanak 30
3.3.2 殺毒軟件 30
3.3.3 終端檢測和響應(yīng)解決方案 31
3.3.4 防火墻 31
3.3.5 入侵防御系統(tǒng) 32
3.3.6 加密 32
3.4 微軟的安全防御棧 33
3.4.1 微軟提供了什么 33
3.4.2 Windows Defender安全中心 34
3.4.3 Windows Defender 35
3.4.4 Windows Defender漏洞利用防護 36
3.4.5 受控的文件夾訪問 37
3.4.6 網(wǎng)絡(luò)防護 37
3.4.7 減少攻擊面 38
3.4.8 Windows Defender憑據(jù)防護 39
3.4.9 Windows Defender應(yīng)用程序防護 39
3.4.10 Windows事件轉(zhuǎn)發(fā) 40
3.4.11 Windows Defender高級威脅防護 41
3.4.12 保護特權(quán)身份 42
3.5 小結(jié) 44
第4章 威脅態(tài)勢 45
4.1 對最終用戶的威脅 45
4.1.1 信用卡欺詐 46
4.1.2 信用卡假冒申請欺詐 46
4.1.3 無卡欺詐 46
4.1.4 盜號欺詐 47
4.1.5 信用卡測試 47
4.1.6 金融木馬 47
4.1.7 網(wǎng)絡(luò)釣魚 49
4.1.8 假托 51
4.1.9 垃圾搜尋 51
4.1.10 移動欺詐 51
4.2 對金融機構(gòu)的威脅 51
4.2.1 ATM攻擊 52
4.2.2 POS攻擊 52
4.2.3 拒絕服務(wù) 52
4.2.4 勒索軟件 53
4.2.5 敲詐 53
4.3 小結(jié) 53
第5章 利用網(wǎng)絡(luò)釣魚��、垃圾郵件以及金融詐騙竊取數(shù)據(jù)和資金 54
5.1 網(wǎng)絡(luò)釣魚 54
5.1.1 網(wǎng)絡(luò)釣魚的演進過程 56
5.1.2 魚叉式網(wǎng)絡(luò)釣魚 61
5.1.3 商業(yè)電子郵件犯罪或鯨釣攻擊 64
5.1.4 網(wǎng)絡(luò)釣魚電子郵件的特征 66
5.2 垃圾郵件 67
5.2.1 垃圾郵件發(fā)送者如何獲取目標電子郵件地址 68
5.2.2 垃圾郵件發(fā)送者如何賺錢 68
5.2.3 垃圾郵件的特征 71
5.3 小結(jié) 72
第6章 惡意軟件 74
6.1 惡意軟件的類別 75
6.1.1 計算機病毒 76
6.1.2 計算機蠕蟲 76
6.1.3 特洛伊木馬 78
6.1.4 Rootkit 81
6.1.5 間諜軟件 81
6.1.6 廣告軟件 82
6.2 惡意軟件的趨勢 82
6.3 惡意軟件感染向量 82
6.3.1 遠程注入 83
6.3.2 電子郵件 83
6.3.3 通過Web自動執(zhí)行感染 83
6.3.4 通過Web手動執(zhí)行感染 83
6.3.5 通過其他惡意軟件安裝 83
6.3.6 網(wǎng)絡(luò)傳播 84
6.3.7 便攜式媒體 84
6.3.8 編碼在現(xiàn)有的軟件中 84
6.4 小結(jié) 84
第7章 漏洞和漏洞利用程序 85
7.1 漏洞檢測 85
7.2 漏洞利用技術(shù) 87
7.2.1 緩沖區(qū)溢出 88
7.2.2 整數(shù)溢出 88
7.2.3 內(nèi)存破壞 89
7.2.4 格式化字符串攻擊 89
7.2.5 競態(tài)條件 89
7.2.6 跨站腳本攻擊 89
7.2.7 跨站請求偽造 90
7.2.8 SQL注入攻擊 90
7.3 漏洞利用機制 91
7.4 小結(jié) 91
第8章 攻擊網(wǎng)上銀行系統(tǒng) 92
8.1 網(wǎng)上銀行為金融服務(wù)帶來收益 93
8.2 網(wǎng)上銀行的業(yè)務(wù)流程 94
8.3 攻擊技術(shù) 94
8.4 小結(jié) 96
第9章 脆弱的網(wǎng)絡(luò)和服務(wù)——入侵入口 97
9.1 脆弱的網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)入侵 97
9.1.1 簡單郵件傳輸協(xié)議 98
9.1.2 安全套接層 98
9.1.3 域名系統(tǒng) 99
9.2 攻擊Web服務(wù)器和基于Web的系統(tǒng) 99
9.2.1 SQL注入 100
9.2.2 緩沖區(qū)溢出 100
9.2.3 谷歌高級搜索 100
9.2.4 暴力破解 100
9.2.5 繞過Web防護 102
9.3 無線和藍牙相關(guān)的黑客工具與技術(shù) 104
9.3.1 攻擊無線網(wǎng)絡(luò) 104
9.3.2 攻擊藍牙 106
9.4 易受攻擊的網(wǎng)絡(luò)設(shè)備 106
9.5 小結(jié) 107
第 10章 應(yīng)對服務(wù)中斷 108
10.1 網(wǎng)絡(luò)安全事件 108
10.2 基礎(chǔ) 109
10.2.1 數(shù)據(jù) 109
10.2.2 監(jiān)測 109
10.2.3 攻擊面分析 110
10.2.4 供應(yīng)商管理 110
10.3 事件響應(yīng)和管理 110
10.3.1 階段1——準備 111
10.3.2 階段2——檢測和分析 111
10.3.3 階段3——抑制 112
10.3.4 階段4——根除和恢復(fù) 112
10.3.5 階段5——事后處理 112
10.4 小結(jié) 112
第 11章 人為因素——失敗的治理 113
11.1 業(yè)務(wù)與安全 114
11.2 失敗的安全管理 114
11.2.1 缺乏對網(wǎng)絡(luò)安全措施的采納 114
11.2.2 缺乏組織和規(guī)劃 115
11.2.3 領(lǐng)導(dǎo)能力不足 115
11.3 無意的在線行為 115
11.4 內(nèi)部威脅 117
11.5 金融服務(wù)技術(shù)變革 118
11.6 失敗的安全政策執(zhí)行 120
11.7 小結(jié) 120
第 12章 安全邊界和資產(chǎn)保護 122
12.1 網(wǎng)絡(luò)模型 123
12.1.1 單信任網(wǎng)絡(luò)模型 123
12.1.2 雙重信任網(wǎng)絡(luò)模型 123
12.1.3 零信任網(wǎng)絡(luò)模型 124
12.2 終端安全 126
12.2.1 終端安全威脅 126
12.2.2 現(xiàn)代終端安全 129
12.3 小結(jié) 131
第 13章 威脅及漏洞管理 132
13.1 漏洞管理策略 133
13.1.1 資產(chǎn)清單 133
13.1.2 信息管理 133
13.1.3 風(fēng)險評估 133
13.1.4 漏洞分析 134
13.1.5 威脅分析 134
13.1.6 風(fēng)險接受 134
13.1.7 漏洞評估 135
13.1.8 安全通告與修復(fù) 135
13.2 漏洞的定義 135
13.2.1 從漏洞到威脅 136
13.2.2 倍增的威脅 136
13.2.3 倍增的風(fēng)險 137
13.3 安全問題的本質(zhì)原因 138
13.4 漏洞管理工具 138
13.5 實施漏洞管理 144
13.6 漏洞管理最佳實踐 145
13.7 自我評估 147
13.8 理解風(fēng)險管理 150
13.9 縱深防御方法 151
13.10 小結(jié) 153
第 14章 審計��、風(fēng)險管理以及事件處理 154
14.1 IT審計 155
14.1.1 對確保企業(yè)安全的系統(tǒng)�、策略和流程進行評估 155
14.1.2 確定公司資產(chǎn)面臨的風(fēng)險 155
14.1.3 確保企業(yè)遵循相關(guān)法規(guī) 156
14.1.4 識別IT基礎(chǔ)設(shè)施和管理中的低效之處 156
14.2 風(fēng)險管理 157
14.2.1 風(fēng)險識別 157
14.2.2 風(fēng)險分析 158
14.2.3 風(fēng)險評估 158
14.2.4 風(fēng)險緩解 158
14.2.5 風(fēng)險監(jiān)控 158
14.3 事件處理 159
14.3.1 準備 159
14.3.2 檢測 159
14.3.3 抑制 160
14.3.4 恢復(fù)與分析 160
14.4 小結(jié) 160
第 15章 用于保護數(shù)據(jù)和服務(wù)的加密與密碼學(xué)技術(shù) 161
15.1 加密 161
15.2 現(xiàn)代加密方式 163
15.2.1 對稱加密 163
15.2.2 非對稱加密 164
15.3 用密碼學(xué)保護數(shù)據(jù)和服務(wù) 165
15.3.1 存儲中的數(shù)據(jù) 166
15.3.2 傳輸中的數(shù)據(jù) 167
15.4 加密算法示例 168
15.4.1 高級加密標準(AES) 168
15.4.2 3DES 168
15.4.3 RSA 169
15.4.4 Blowfish 169
15.5 加密面臨的挑戰(zhàn) 169
15.6 小結(jié) 170
第 16章 區(qū)塊鏈的興起 171
16.1 區(qū)塊鏈技術(shù)簡介 171
16.1.1 區(qū)塊鏈中的共識機制 172
16.1.2 區(qū)塊鏈技術(shù)的應(yīng)用 173
16.2 加密貨幣 174
16.2.1 加密貨幣錢包 176
16.2.2 加密貨幣面臨的挑戰(zhàn) 177
16.3 區(qū)塊鏈技術(shù)的挑戰(zhàn)和未來 178
16.4 小結(jié) 178
第 17章 人工智能與網(wǎng)絡(luò)安全 179
17.1 威脅的演變 181
17.2 人工智能 181
17.2.1 狹義人工智能 181
17.2.2 真正的人工智能 182
17.2.3 推動人工智能發(fā)展的技術(shù) 183
17.3 基于人工智能的網(wǎng)絡(luò)安全 183
17.4 小結(jié) 185
第 18章 量子與未來 187
18.1 量子技術(shù)的發(fā)展 188
18.2 量子技術(shù)競賽 189
18.2.1 量子通信 189
18.2.2 量子計算 190
18.2.3 量子模擬 190
18.2.4 量子感測 190
18.2.5 量子軟件 190
18.3 量子技術(shù)的突破 191
18.4 量子技術(shù)的影響 192
18.4.1 通信 192
18.4.2 礦業(yè) 192
18.4.3 金融 192
18.4.4 防御 193
18.4.5 健康 193
18.4.6 能源 193
18.4.7 大數(shù)據(jù) 193
18.4.8 人工智能 193
18.5 小結(jié) 194
書單推薦
