銀行業(yè)開發(fā)全生命周期安全管理與實(shí)踐
定 價(jià):89 元
叢書名:銀行業(yè)信息化叢書
- 作者:毛斌 呂曉強(qiáng) 劉海波 等編著
- 出版時(shí)間:2023/2/1
- ISBN:9787111712725
- 出 版 社:機(jī)械工業(yè)出版社
- 中圖法分類:F830.49
- 頁碼:231
- 紙張:
- 版次:
- 開本:16
本書以銀行業(yè)為背景,深入探討了銀行業(yè)開發(fā)安全,從銀行業(yè)的信息系統(tǒng)現(xiàn)狀探討開發(fā)安全的必要性,從銀行業(yè)的開發(fā)安全實(shí)踐揭示開發(fā)安全的定義和內(nèi)涵,從銀行業(yè)的安全案例呈現(xiàn)開發(fā)安全的價(jià)值。本書從銀行實(shí)踐出發(fā),嚴(yán)格按照信息系統(tǒng)的開發(fā)建設(shè)過程,翔實(shí)地介紹開發(fā)過程中的每一個(gè)環(huán)節(jié),安全工作的要求、解決方案、工作技巧和實(shí)踐經(jīng)驗(yàn)。IT初學(xué)者可以通過本書學(xué)會(huì)開發(fā)安全的做法,IT專家可以通過本書借鑒實(shí)踐經(jīng)驗(yàn),IT管理者可以通過本書提升安全管理能力,程序員、安全管理人員、測(cè)試人員、項(xiàng)目管理人員等都能從中受益。
本書既可作為系統(tǒng)了解開發(fā)安全知識(shí)的學(xué)習(xí)用書,也可作為開發(fā)安全日常工作中使用的速查手冊(cè),是金融行業(yè)開發(fā)安全領(lǐng)域從業(yè)人員的專業(yè)技術(shù)參考書。
前言
第1章 緒論 / 1
1.1 銀行業(yè)信息系統(tǒng)的發(fā)展?fàn)顩r / 1
1.2 銀行業(yè)信息系統(tǒng)安全現(xiàn)狀 / 3
1.3 國內(nèi)外開發(fā)安全的現(xiàn)狀 / 4
1.3.1 國外開發(fā)安全 / 4
1.3.2 國內(nèi)開發(fā)安全 / 6
1.4 國內(nèi)銀行業(yè)開發(fā)安全的現(xiàn)狀 / 7
1.5 國內(nèi)銀行業(yè)開發(fā)安全的監(jiān)管要求 / 8
1.5.1 法律要求 / 8
1.5.2 行業(yè)監(jiān)管要求 / 9
第2章 全面認(rèn)識(shí)開發(fā)安全 / 19
2.1 開發(fā)安全基礎(chǔ)概念 / 19
2.1.1 信息安全 / 20
2.1.2 信息系統(tǒng)安全 / 20
2.1.3 開發(fā)安全綜述 / 21
2.2 開發(fā)安全關(guān)注點(diǎn) / 21
2.2.1 項(xiàng)目準(zhǔn)備階段的安全 / 22
2.2.2 需求分析階段的安全 / 23
2.2.3 系統(tǒng)設(shè)計(jì)階段的安全 / 23
2.2.4 系統(tǒng)編碼階段的安全 / 24
2.2.5 系統(tǒng)測(cè)試階段的安全 / 28
2.2.6 部署階段的安全 / 28
2.2.7 運(yùn)維階段的安全 / 29
2.2.8 廢棄階段的安全 / 29
2.2.9 項(xiàng)目管理安全 / 29
2.2.10 系統(tǒng)開發(fā)外包的安全 / 30
2.2.11 開發(fā)安全培訓(xùn) / 33
2.3 開發(fā)安全的價(jià)值 / 34
2.4 基于軟件工程的開發(fā)安全體系 / 34
2.4.1 安全描述語言 / 35
2.4.2 軟件安全分析與安全設(shè)計(jì) / 36
2.4.3 設(shè)計(jì)模式介紹 / 37
2.4.4 POAD方法介紹 / 38
2.4.5 安全模式及其應(yīng)用研究 / 39
2.4.6 安全模式庫構(gòu)建 / 41
2.5 基于成功實(shí)踐的開發(fā)安全體系 / 43
2.5.1 微軟SDL / 43
2.5.2 OWASP的安全開發(fā)項(xiàng)目 / 53
2.5.3 McGraw的BSI模型 / 57
2.5.4 搜狐SDL / 57
2.6 基于軟件開發(fā)成熟度的開發(fā)安全體系 / 60
2.6.1 安全性能力成熟度模型 / 61
2.6.2 安全性管理過程域 / 61
2.6.3 安全性工程過程域 / 63
2.6.4 安全性能力成熟度模型與CMMI和安全性標(biāo)準(zhǔn)間的
?關(guān)系 / 64
2.6.5 安全性能力成熟度模型使用指南 / 66
2.7 開發(fā)安全綜述 / 68
第3章 銀行業(yè)開發(fā)全生命周期安全管理體系 / 69
3.1 開發(fā)全生命周期安全管理介紹 / 69
3.2 開發(fā)生命周期安全管理的模型 / 69
3.2.1 ADCTA循環(huán)模型 / 69
3.2.2 ADCTA循環(huán)模型的應(yīng)用 / 71
3.3 開發(fā)全生命周期安全管理體系 / 72
3.4 準(zhǔn)備階段 / 74
3.4.1 項(xiàng)目可行性安全分析和安全預(yù)評(píng)審 / 74
3.4.2 威脅分析準(zhǔn)備工作 / 74
3.4.3 威脅模型 / 75
3.4.4 威脅建模的方法 / 80
3.4.5 銀行業(yè)威脅分析特色 / 88
3.5 安全需求 / 89
3.5.1 工作內(nèi)容 / 89
3.5.2 銀行業(yè)安全需求特色 / 90
3.6 安全設(shè)計(jì) / 99
3.6.1 工作內(nèi)容 / 99
3.6.2 銀行業(yè)安全設(shè)計(jì)特色 / 100
3.7 安全編碼 / 102
3.7.1 工作要求 / 102
3.7.2 銀行業(yè)安全編碼特色 / 106
3.7.3 銀行業(yè)的安全編碼支撐體系 / 106
3.8 安全測(cè)試 / 106
3.8.1 工作要求 / 106
3.8.2 銀行業(yè)安全測(cè)試特色 / 111
3.8.3 銀行業(yè)安全測(cè)試資源庫 / 113
3.9 安全部署 / 114
3.9.1 工作要求 / 114
3.9.2 銀行業(yè)安全部署特色 / 115
3.10 安全運(yùn)維 / 117
3.10.1 工作要求 / 117
3.10.2 銀行業(yè)安全運(yùn)維特色 / 117
3.11 安全培訓(xùn) / 121
第4章 掌握開發(fā)安全實(shí)施技巧 / 122
4.1 開發(fā)全生命周期安全管理的內(nèi)容 / 122
4.2 準(zhǔn)備工作 / 123
4.2.1 信息安全人才儲(chǔ)備 / 123
4.2.2 開發(fā)流程和管理調(diào)研 / 124
4.2.3 安全現(xiàn)狀調(diào)研 / 125
4.3 開發(fā)安全管理體系建設(shè) / 125
4.4 安全評(píng)審流程設(shè)計(jì) / 126
4.4.1 評(píng)審流程 / 126
4.4.2 安全評(píng)審的組織架構(gòu) / 128
4.4.3 安全評(píng)審的輸入輸出 / 129
4.5 人員培訓(xùn) / 129
4.5.1 制訂培訓(xùn)計(jì)劃 / 130
4.5.2 開發(fā)安全管理培訓(xùn) / 130
4.5.3 開發(fā)安全技能培訓(xùn) / 130
4.6 體系試運(yùn)行及正式運(yùn)作 / 131
4.7 體系運(yùn)行有效性評(píng)估 / 132
4.7.1 體系評(píng)估的內(nèi)容 / 132
4.7.2 有效性評(píng)估方法 / 132
4.8 實(shí)施工作的難點(diǎn)和應(yīng)對(duì)措施 / 133
第5章 巧用開發(fā)安全的有關(guān)工具 / 136
5.1 工具整體分析 / 136
5.2 工具詳細(xì)介紹 / 137
5.2.1 準(zhǔn)備 / 137
5.2.2 需求 / 141
5.2.3 編碼 / 143
5.2.4 測(cè)試 / 154
5.2.5 部署 / 156
5.2.6 運(yùn)維 / 159
第6章 開發(fā)安全的發(fā)展趨勢(shì) / 169
6.1 面向敏捷開發(fā)的開發(fā)安全管理 / 169
6.1.1 敏捷開發(fā)介紹 / 169
6.1.2 敏捷開發(fā)對(duì)安全管理的挑戰(zhàn) / 174
6.1.3 敏捷開發(fā)的切入點(diǎn) / 174
6.1.4 敏捷開發(fā)安全管理實(shí)踐 / 178
6.2 基于云計(jì)算的開發(fā)安全管理 / 184
6.2.1 國內(nèi)外主流云服務(wù)開發(fā)平臺(tái)介紹 / 184
6.2.2 云計(jì)算環(huán)境下的信息安全防御策略 / 186
6.2.3 云計(jì)算的安全等級(jí)保護(hù)要求 / 187
6.2.4 銀行云計(jì)算安全的發(fā)展 / 193
6.3 DevOps的安全管理 / 193
6.3.1 DevOps介紹 / 193
6.3.2 DevOps的安全管理 / 194
6.4 基于威脅情報(bào)的開發(fā)安全管理 / 195
6.4.1 威脅情報(bào)的概念 / 195
6.4.2 威脅情報(bào)的必要性 / 196
6.4.3 威脅情報(bào)與安全開發(fā) / 197
第7章 開發(fā)安全案例 / 198
7.1 民生銀行開發(fā)安全應(yīng)用實(shí)例 / 198
7.1.1 背景 / 198
7.1.2 技術(shù)路線和關(guān)鍵技術(shù) / 199
7.1.3 民生銀行開發(fā)安全管理架構(gòu) / 199
7.1.4 民生銀行開發(fā)安全管理體系 / 200
7.1.5 民生銀行安全評(píng)審流程 / 204
7.1.6 安全需求 / 205
7.1.7 情景式需求分析平臺(tái) / 206
7.1.8 安全設(shè)計(jì)和開發(fā)支持 / 207
7.1.9 安全解決方案 / 207
7.1.10 小結(jié) / 209
7.2 中國農(nóng)業(yè)銀行安全開發(fā)管控實(shí)例 / 209
7.2.1 項(xiàng)目背景 / 209
7.2.2 安全開發(fā)管理理念及思路 / 209
7.2.3 安全開發(fā)管控項(xiàng)目實(shí)踐 / 211
7.2.4 小結(jié) / 220
7.3 基于架構(gòu)安全的開發(fā)安全管理實(shí)踐 / 220
7.3.1 架構(gòu)管理介紹 / 220
7.3.2 架構(gòu)安全管理 / 222
7.3.3 小結(jié) / 226
7.4 XcodeGhost事件 / 226
7.4.1 事件始末 / 226
7.4.2 原理分析 / 227
7.4.3 傳播途徑 / 228
7.4.4 影響面 / 229
7.4.5 后續(xù) / 229
7.4.6 案例總結(jié) / 229
參考文獻(xiàn) / 230