銀行業(yè)開發(fā)安全管理與實踐

前言
第1章　緒論 / 1
1.1　銀行業(yè)信息系統(tǒng)的發(fā)展狀況 / 1
1.2　銀行業(yè)信息系統(tǒng)安全現(xiàn)狀 / 3
1.3　國內(nèi)外開發(fā)安全的現(xiàn)狀 / 4
1.3.1　國外開發(fā)安全 / 4
1.3.2　國內(nèi)開發(fā)安全 / 6
1.4　國內(nèi)銀行業(yè)開發(fā)安全的現(xiàn)狀 / 7
1.5　國內(nèi)銀行業(yè)開發(fā)安全的監(jiān)管要求 / 8
1.5.1　法律要求 / 8
1.5.2　行業(yè)監(jiān)管要求 / 9
第2章　全面認識開發(fā)安全 / 19
2.1　開發(fā)安全基礎概念 / 19
2.1.1　信息安全 / 20
2.1.2　信息系統(tǒng)安全 / 20
2.1.3　開發(fā)安全綜述 / 21
2.2　開發(fā)安全關注點 / 21
2.2.1　項目準備階段的安全 / 22
2.2.2　需求分析階段的安全 / 23
2.2.3　系統(tǒng)設計階段的安全 / 23
2.2.4　系統(tǒng)編碼階段的安全 / 24
2.2.5　系統(tǒng)測試階段的安全 / 28
2.2.6　部署階段的安全 / 28
2.2.7　運維階段的安全 / 29
2.2.8　廢棄階段的安全 / 29
2.2.9　項目管理安全 / 29
2.2.10　系統(tǒng)開發(fā)外包的安全 / 30
2.2.11　開發(fā)安全培訓 / 33
2.3　開發(fā)安全的價值 / 34
2.4　基于軟件工程的開發(fā)安全體系 / 34
2.4.1　安全描述語言 / 35
2.4.2　軟件安全分析與安全設計 / 36
2.4.3　設計模式介紹 / 37
2.4.4　POAD方法介紹 / 38
2.4.5　安全模式及其應用研究 / 39
2.4.6　安全模式庫構建 / 41
2.5　基于成功實踐的開發(fā)安全體系 / 43
2.5.1　微軟SDL / 43
2.5.2　OWASP的安全開發(fā)項目 / 53
2.5.3　McGraw的BSI模型 / 57
2.5.4　搜狐SDL / 57
2.6　基于軟件開發(fā)成熟度的開發(fā)安全體系 / 60
2.6.1　安全性能力成熟度模型 / 61
2.6.2　安全性管理過程域 / 61
2.6.3　安全性工程過程域 / 63
2.6.4　安全性能力成熟度模型與CMMI和安全性標準間的
　　　?關系 / 64
2.6.5　安全性能力成熟度模型使用指南 / 66
2.7　開發(fā)安全綜述 / 68
第3章　銀行業(yè)開發(fā)全生命周期安全管理體系 / 69
3.1　開發(fā)全生命周期安全管理介紹 / 69
3.2　開發(fā)生命周期安全管理的模型 / 69
3.2.1　ADCTA循環(huán)模型 / 69
3.2.2　ADCTA循環(huán)模型的應用 / 71
3.3　開發(fā)全生命周期安全管理體系 / 72
3.4　準備階段 / 74
3.4.1　項目可行性安全分析和安全預評審 / 74
3.4.2　威脅分析準備工作 / 74
3.4.3　威脅模型 / 75
3.4.4　威脅建模的方法 / 80
3.4.5　銀行業(yè)威脅分析特色 / 88
3.5　安全需求 / 89
3.5.1　工作內(nèi)容 / 89
3.5.2　銀行業(yè)安全需求特色 / 90
3.6　安全設計 / 99
3.6.1　工作內(nèi)容 / 99
3.6.2　銀行業(yè)安全設計特色 / 100
3.7　安全編碼 / 102
3.7.1　工作要求 / 102
3.7.2　銀行業(yè)安全編碼特色 / 106
3.7.3　銀行業(yè)的安全編碼支撐體系 / 106
3.8　安全測試 / 106
3.8.1　工作要求 / 106
3.8.2　銀行業(yè)安全測試特色 / 111
3.8.3　銀行業(yè)安全測試資源庫 / 113
3.9　安全部署 / 114
3.9.1　工作要求 / 114
3.9.2　銀行業(yè)安全部署特色 / 115
3.10　安全運維 / 117
3.10.1　工作要求 / 117
3.10.2　銀行業(yè)安全運維特色 / 117
3.11　安全培訓 / 121
第4章　掌握開發(fā)安全實施技巧 / 122
4.1　開發(fā)全生命周期安全管理的內(nèi)容 / 122
4.2　準備工作 / 123
4.2.1　信息安全人才儲備 / 123
4.2.2　開發(fā)流程和管理調研 / 124
4.2.3　安全現(xiàn)狀調研 / 125
4.3　開發(fā)安全管理體系建設 / 125
4.4　安全評審流程設計 / 126
4.4.1　評審流程 / 126
4.4.2　安全評審的組織架構 / 128
4.4.3　安全評審的輸入輸出 / 129
4.5　人員培訓 / 129
4.5.1　制訂培訓計劃 / 130
4.5.2　開發(fā)安全管理培訓 / 130
4.5.3　開發(fā)安全技能培訓 / 130
4.6　體系試運行及正式運作 / 131
4.7　體系運行有效性評估 / 132
4.7.1　體系評估的內(nèi)容 / 132
4.7.2　有效性評估方法 / 132
4.8　實施工作的難點和應對措施 / 133
第5章　巧用開發(fā)安全的有關工具 / 136
5.1　工具整體分析 / 136
5.2　工具詳細介紹 / 137
5.2.1　準備 / 137
5.2.2　需求 / 141
5.2.3　編碼 / 143
5.2.4　測試 / 154
5.2.5　部署 / 156
5.2.6　運維 / 159
第6章　開發(fā)安全的發(fā)展趨勢 / 169
6.1　面向敏捷開發(fā)的開發(fā)安全管理 / 169
6.1.1　敏捷開發(fā)介紹 / 169
6.1.2　敏捷開發(fā)對安全管理的挑戰(zhàn) / 174
6.1.3　敏捷開發(fā)的切入點 / 174
6.1.4　敏捷開發(fā)安全管理實踐 / 178
6.2　基于云計算的開發(fā)安全管理 / 184
6.2.1　國內(nèi)外主流云服務開發(fā)平臺介紹 / 184
6.2.2　云計算環(huán)境下的信息安全防御策略 / 186
6.2.3　云計算的安全等級保護要求 / 187
6.2.4　銀行云計算安全的發(fā)展 / 193
6.3　DevOps的安全管理 / 193
6.3.1　DevOps介紹 / 193
6.3.2　DevOps的安全管理 / 194
6.4　基于威脅情報的開發(fā)安全管理 / 195