银行业开发安全管理与实践

本书以我国银行业为背景，对我国银行业的开发安全进行分析和探讨，力图通过对我国银行业开发安全的全面介绍，让读者对我国银行业在开发安全领域的管理思路、理论体系、实践经验等方面有一个清晰、全面的认识。
为了全面、准确反映我国银行业开发安全的实际情况，本书在编写过程中，分别调研了大型国有银行、股份制银行、城市商业银行等不同类型的典型银行，搜集具有代表性的第一手资料。
全书从银行业信息系统现状出发，探讨开发安全的必要性；通过银行业的开发安全实践，揭示开发安全的定义和内涵，利用银行业的安全案例呈现开发安全的价值。
本书强调从银行实践出发，严格按照银行信息系统的开发建设过程，翔实地介绍开发过程中的每一个环节安全工作的要求、解决方案、工作技巧和实践经验。IT初学者可以从中学会开发安全的做法，IT专家可以从中借鉴实践经验，IT管理者可以借此提升安全管理能力，程序员、安全人员、测试人员、项目管理人员等都能从中受益。
本书力求在下述三个方面取得一定的突破：
1）通用性：在编写本书的过程中，编写组广泛参考国际国内相关标准、法规、指南和成功实践，与主流的开发安全标准规范保持深度兼容性，具有很好的通用性。
2）全周期：无论是理论体系阐述还是实际经验总结，其主要内容均以信息系统开发全周期的结构呈现，并由此提出全周期开发安全管理的框架和技术模型，使读者能够从整体上对银行业开发安全工作进行把握。
3）实践性：本书以银行业实践为基础，通过逻辑梳理又反过来指导实践。为了更有效地反映银行当前开发安全实践，本书在各部分均有实例的基础上，专门添加案例章节，对银行业开发安全实践情况进行更为深入的介绍。
本书的具体编写工作由中国民生银行承担，由银行信息科技部毛斌、吕晓强、刘海波、李吉慧、张磊、高晓梦、张凯编著。本书在编写过程中，得到了中国民生银行各级领导的高度重视和大力支持，他们提出了大量实质性修改意见，在此对他们的辛勤付出表示感谢！感谢中国农业银行提供的宝贵资料和实践经验!感谢中国建设银行、华夏银行、北京理工大学在本书评审中提出的宝贵建议!本书在编写过程中，还参阅了大量文献资料，在此向这些文献资料的原作者表示衷心感谢！
由于银行业开发安全工作本身的复杂性和编者水平所限，书中难免存在疏漏、不足之处，敬请读者指正。

本书以银行业为背景，深入探讨了银行业开发安全，从银行业的信息系统现状探讨开发安全的必要性，从银行业的开发安全实践揭示开发安全的定义和内涵，用银行业的安全案例呈现开发安全的价值。本书从银行实践出发，严格按照信息系统的开发建设过程，翔实地介绍开发过程中的每一个环节安全工作的要求、解决方案、工作技巧和实践经验。IT初学者可以通过本书学会开发安全的做法，IT专家可以通过本书借鉴实践经验，IT管理者可以通过本书提升安全管理能力，程序员、安全管理人员、测试人员、项目管理人员等都能从中受益。本书既可作为系统了解开发安全知识的学习用书，也可作为开发安全日常工作中使用的速查手册，是银行业开发安全领域从业人员的专业技术参考书。

毛斌
中国民生银行信息科技部总经理，中国银行业IT发展的亲历者和见证人，国内科技金融创新的领军人物，民生银行开发体系的设计师和建设者，带领团队上线国内第一个全分布式架构的核心系统，在信息安全、移动互联、大数据、区块链等多个领域引领行业技术发展。
吕晓强
中国民生银行信息科技部副总经理，在银行科技治理体系研究、IT系统架构设计、信息安全保障体系等领域具有丰富的理论研究及实践经验，主导制定并实施了民生银行数据中心建设与运行、云计算、灾备体系、网络与信息安全、数据安全等多个领域的IT战略。
刘海波
中国民生银行信息科技部副总经理，20余年银行业从业经验，善于运用新技术、新方法推动业务发展，对商业银行数字化转型发展、信息科技体系建设、信息安全管理体系建设等多个领域有深刻理解和丰富实践经验。
李吉慧
中国民生银行信息科技部副处长，20年网络安全从业经验，长期从事银行业网络和数据安全保护体系建设，在安全基础设施建设、网络攻防、业务开发安全、应急响应及处置等领域有丰富实践经验，发表多篇信息安全专刊文章并出版多部信息安全著作。
张磊
中国民生银行信息科技部高级经理，负责全行开发安全管理工作，参与发改委、银保监会、工信部等多个科研项目，并多次荣获银保监会等部级课题奖项。
高晓梦
中国民生银行信息科技部中级经理，参与全行开发安全管理工作，对安全需求设计、安全开发、安全测试、开源安全、漏洞解决方案等有丰富实践经验。
张凯
中国民生银行信息科技部中级经理，参与全行开发安全管理工作，对安全组件库设计、安全漏洞研究、渗透测试与漏洞挖掘等有丰富实践经验。