商业银行互联网应用安全风险管控

图书标准信息

• 作者 骆鉴、孙钢 著
• 出版社 机械工业出版社
• 出版时间 2019-08
• 版次 1
• ISBN 9787111634966
• 定价 89.00元
• 装帧 平装
• 开本 16开
• 纸张 胶版纸
• 页数 328页

【内容简介】

本书针对商业银行互联网应用安全面临的问题和挑战，系统地介绍了银行互联网应用的安全风险分析理论、风险控制理论以及互联网应用系统全生命周期安全管理方法和技术手段，可帮助从事银行信息安全的专业人员、安全测试人员和其他相关负责人员全面了解互联网应用安全问题、安全漏洞产生的根源与表现形式，并通过综合化、系统化、标准化、平台化的手段持续化提升应用系统健壮性与安全性，减少安全漏洞，提升系统防御能力与可预见能力。

 

 

全书分9章，前3章介绍了商业银行互联网应用安全的概念、标准及现状；第4章到第8章介绍了银行互联网应用全生命周期（IASL）风险控制体系及相关的具体内容；第9章展望了多层次、立体式、全访问的银行安全生态圈建设，全面提升互联网应用安全防御与控制能力。本书甄选了商业银行在开发、测试、监控等方面的成功案例，值得读者加以研究并在实践中借鉴和参考。

 

 

本书主要供金融科技安全人员阅读，也可供其他行业的相关人员研究和参考，还可作为信息安全与金融类专业的教学参考书。

 

【作者简介】

银行业信息科技风险管理高层指导委员会（简称"高层指导委员会"）是由银监会发起，20家主要银行业金融机构自愿参与建立的行业性、专业性高层组织。

 

高层指导委员会的宗旨是：以全面风险管理为导向，提升银行业信息科技核心竞争力和自主创新能力，提升银行业信息化建设和信息科技风险管理整体水平，推动银行业信息科技持续、健康发展，维护金融稳定和国家安全。高层指导委员会的主要任务是对银行业信息化建设与信息科技风险管理工作进行研究、指导，并提供咨询、建议，研究银行业信息化建设重大发展问题，深入传导贯彻信息科技监管政策，开展专业指导和风险分析，开展信息科技课题研究，推动银行业信息科技领域新兴技术研究，促进银行业信息科技领域的交流合作。

 

高层指导委员会自2011年成立以来，相继建立了风险分析、课题研究、专业指导等常态化工作机制，编印内部刊物《金融科技治理与研究》，组建银行业信息科技发展与风险管理专家库，组织编著银行业信息化丛书，开展"银行业信息化高级人才提升计划"，有效提升了银行业信息化工作的整体性、科学性和前瞻性，为银行业信息科技领域的经验交流、知识分享和资源互补提供了有效的平台。

 

【目录】

序 
前言 
第1章　互联网应用安全基础知识 / 1 
1.1　互联网应用及安全概述 / 1 
1.1.1　互联网应用的发展背景 / 1 
1.1.2　互联网应用的特点 / 2 
1.1.3　互联网应用在各个行业中的应用现状 / 4 
1.1.4　互联网应用安全 / 6 
1.2　银行互联网应用及安全概述 / 11 
1.2.1　银行互联网应用的分类 / 11 
1.2.2　银行互联网应用的安全态势 / 13 
1.3　银行互联网应用安全风险管控概述 / 15 
第2章　互联网应用安全的相关法律、法规及标准 / 18 
2.1　国际标准 / 18 
2.1.1　ISO/IEC27000标准族 / 18 
2.1.2　ISO20000 / 18 
2.1.3　SP800 / 19 
2.1.4　PCI DSS / 19 
2.2　国内标准、法规 / 21 
2.2.1　网络安全法 / 21 
2.2.2　等级保护 / 30 
2.2.3　国内其他法律法规 / 32 
2.3　金融行业监管制度 / 35 
2.3.1　政策规范 / 35 
2.3.2　技术标准 / 38 
第3章　银行互联网应用业态与安全现状 / 41 
3.1　银行常见互联网应用业态 / 41 
3.1.1　网上银行 / 41 
3.1.2　移动银行 / 43 
3.1.3　直销银行 / 47 
3.1.4　互联网金融 / 50 
3.1.5　传统业务创新 / 56 
3.2　银行互联网应用安全现状 / 58 
3.2.1　银行互联网应用安全外部威胁态势分析 / 58 
3.2.2　银行互联网应用安全风险应对 / 64 
第4章　应用安全生命周期风险控制体系 / 69 
4.1　应用安全风险控制基本理论 / 69 
4.1.1　安全开发生命周期理论 / 69 
4.1.2　信息系统安全风险分析理论 / 72 
4.1.3　信息系统安全风险控制理论 / 76 
4.2　银行互联网应用安全生命周期风险管控 / 78 
4.2.1　需求分析阶段 / 79 
4.2.2　安全设计阶段 / 80 
4.2.3　开发实施阶段 / 83 
4.2.4　测试评估阶段 / 83 
4.2.5　运行监控阶段 / 85 
第5章　应用安全需求分析 / 86 
5.1　应用安全需求总体框架 / 86 
5.1.1　应用安全需求概念 / 86 
5.1.2　应用安全需求分析过程管理 / 87 
5.1.3　应用安全需求框架设计原理 / 87 
5.1.4　基于安全需求检查表的工作方法 / 94 
5.2　应用安全需求分析方法 / 95 
5.2.1　基于Zachman框架的安全需求分析方法 / 96 
5.2.2　基于SRAM的安全需求分析方法 / 99 
5.3　应用安全需求框架 / 101 
5.3.1　Web应用安全需求关键特征 / 101 
5.3.2　Web应用安全需求框架设计 / 104 
5.3.3　移动应用安全需求关键特征 / 105 
5.3.4　移动应用安全需求框架设计 / 106 
5.4　应用安全需求实例 / 108 
5.4.1　Web应用安全需求检查表 / 108 
5.4.2　移动应用安全需求检查表 / 110 
第6章　应用安全设计与开发 / 114 
6.1　应用安全设计理论 / 114 
6.1.1　应用安全设计的基本原则 / 114 
6.1.2　应用安全设计方法 / 117 
6.2　应用安全设计 / 125 
6.2.1　基于“?木桶原理?”的应用安全架构及特点 / 125 
6.2.2　基于多层自适应防御体系的应用安全架构 / 127 
6.2.3　应用安全设计内容 / 127 
6.3　应用安全开发 / 151 
6.3.1　应用安全开发框架 / 151 
6.3.2　应用安全开发内容 / 154 
6.3.3　安全SDK开发实例 / 156 
6.4　安全SDK应用案例 / 160 
6.4.1　Web端安全SDK应用案例 / 160 
6.4.2　移动端安全SDK应用案例 / 163 
6.5　安全编码规范与开发人员能力培养 / 166 
6.5.1　安全编码规范 / 166 
6.5.2　开发人员能力培养 / 175 
第7章　应用安全测试与评估 / 178 
7.1　应用安全测试理论概述 / 178 
7.2　应用安全白盒测试 / 180 
7.2.1　白盒测试概述 / 180 
7.2.2　白盒测试方法 / 181 
7.2.3　白盒测试工具及应用 / 186 
7.3　应用安全渗透测试 / 198 
7.3.1　渗透测试概述 / 198 
7.3.2　渗透测试方法 / 199 
7.3.3　渗透测试工具及应用 / 207 
7.4　白盒测试与渗透测试的结合：灰盒测试 / 224 
7.4.1　灰盒测试概述 / 224 
7.4.2　灰盒测试方法 / 225 
7.4.3　灰盒测试特点 / 226 
7.5　应用安全自动化测试 / 226 
7.5.1　Web端安全自动化测试应用 / 227 
7.5.2　移动端安全自动化测试应用 / 230 
7.6　应用安全测试案例 / 231 
7.6.1　Web端安全测试案例 / 231 
7.6.2　移动端安全测试案例 / 245 
7.7　应用安全测试人员能力培养 / 252 
第8章　应用安全运行监控 / 254 
8.1　应用安全运行监控概述 / 254 
8.2　应用安全运行监控内容 / 255 
8.3　应用安全运行监控技术 / 258 
8.3.1　应用安全监控方法 / 259 
8.3.2　应用安全监控工具 / 269 
8.3.3　应用安全监控平台 / 279 
8.4　应用安全运行监控案例 / 287 
8.4.1　Web应用安全运行监控案例 / 287 
8.4.2　移动应用安全运行监控案例 / 289 
第9章　应用安全风险控制趋势与展望 / 291 
9.1　银行互联网应用发展趋势 / 291 
9.1.1　金融大数据 / 291 
9.1.2　云计算 / 293 
9.1.3　人工智能 / 295 
9.1.4　区块链 / 300 
9.1.5　金融科技 / 304 
9.2　银行互联网应用安全趋势 / 306 
9.2.1　应用安全威胁趋势 / 306 
9.2.2　应用安全技术趋势 / 306 
9.2.3　网络安全生态环境趋势 / 308 
9.3　银行互联网应用安全风险管控展望 / 311 
9.3.1　银行互联网应用安全风险管控理论发展方向 / 311 
9.3.2　展望：银行安全生态圈 / 314