銀行業(yè)開發(fā)安全管理與實(shí)踐

定　價(jià)：￥89.00

作　者：	毛斌呂曉強(qiáng) 劉海波等編著
出版社：	機(jī)械工業(yè)出版社
叢編項(xiàng)：
標(biāo)　簽：	暫缺

購(gòu)買這本書可以去

ISBN：	9787111712725	出版時(shí)間：	2023-02-01	包裝：	平裝-膠訂
開本：	16開	頁(yè)數(shù)：		字?jǐn)?shù)：

內(nèi)容簡(jiǎn)介

　　本書以銀行業(yè)為背景，深入探討了銀行業(yè)開發(fā)安全，從銀行業(yè)的信息系統(tǒng)現(xiàn)狀探討開發(fā)安全的必要性，從銀行業(yè)的開發(fā)安全實(shí)踐揭示開發(fā)安全的定義和內(nèi)涵，用銀行業(yè)的安全案例呈現(xiàn)開發(fā)安全的價(jià)值。本書從銀行實(shí)踐出發(fā)，嚴(yán)格按照信息系統(tǒng)的開發(fā)建設(shè)過(guò)程，翔實(shí)地介紹開發(fā)過(guò)程中的每一個(gè)環(huán)節(jié)安全工作的要求、解決方案、工作技巧和實(shí)踐經(jīng)驗(yàn)。IT初學(xué)者可以通過(guò)本書學(xué)會(huì)開發(fā)安全的做法，IT專家可以通過(guò)本書借鑒實(shí)踐經(jīng)驗(yàn)，IT管理者可以通過(guò)本書提升安全管理能力，程序員、安全管理人員、測(cè)試人員、項(xiàng)目管理人員等都能從中受益。本書既可作為系統(tǒng)了解開發(fā)安全知識(shí)的學(xué)習(xí)用書，也可作為開發(fā)安全日常工作中使用的速查手冊(cè)，是銀行業(yè)開發(fā)安全領(lǐng)域從業(yè)人員的專業(yè)技術(shù)參考書。

作者簡(jiǎn)介

　　毛斌中國(guó)民生銀行信息科技部總經(jīng)理，中國(guó)銀行業(yè)IT發(fā)展的親歷者和見證人，國(guó)內(nèi)科技金融創(chuàng)新的領(lǐng)軍人物，民生銀行開發(fā)體系的設(shè)計(jì)師和建設(shè)者，帶領(lǐng)團(tuán)隊(duì)上線國(guó)內(nèi)第一個(gè)全分布式架構(gòu)的核心系統(tǒng)，在信息安全、移動(dòng)互聯(lián)、大數(shù)據(jù)、區(qū)塊鏈等多個(gè)領(lǐng)域引領(lǐng)行業(yè)技術(shù)發(fā)展。呂曉強(qiáng)中國(guó)民生銀行信息科技部副總經(jīng)理，在銀行科技治理體系研究、IT系統(tǒng)架構(gòu)設(shè)計(jì)、信息安全保障體系等領(lǐng)域具有豐富的理論研究及實(shí)踐經(jīng)驗(yàn)，主導(dǎo)制定并實(shí)施了民生銀行數(shù)據(jù)中心建設(shè)與運(yùn)行、云計(jì)算、災(zāi)備體系、網(wǎng)絡(luò)與信息安全、數(shù)據(jù)安全等多個(gè)領(lǐng)域的IT戰(zhàn)略。劉海波中國(guó)民生銀行信息科技部副總經(jīng)理，20余年銀行業(yè)從業(yè)經(jīng)驗(yàn)，善于運(yùn)用新技術(shù)、新方法推動(dòng)業(yè)務(wù)發(fā)展，對(duì)商業(yè)銀行數(shù)字化轉(zhuǎn)型發(fā)展、信息科技體系建設(shè)、信息安全管理體系建設(shè)等多個(gè)領(lǐng)域有深刻理解和豐富實(shí)踐經(jīng)驗(yàn)。李吉慧中國(guó)民生銀行信息科技部副處長(zhǎng)，20年網(wǎng)絡(luò)安全從業(yè)經(jīng)驗(yàn)，長(zhǎng)期從事銀行業(yè)網(wǎng)絡(luò)和數(shù)據(jù)安全保護(hù)體系建設(shè)，在安全基礎(chǔ)設(shè)施建設(shè)、網(wǎng)絡(luò)攻防、業(yè)務(wù)開發(fā)安全、應(yīng)急響應(yīng)及處置等領(lǐng)域有豐富實(shí)踐經(jīng)驗(yàn)，發(fā)表多篇信息安全專刊文章并出版多部信息安全著作。張磊中國(guó)民生銀行信息科技部高級(jí)經(jīng)理，負(fù)責(zé)全行開發(fā)安全管理工作，參與發(fā)改委、銀保監(jiān)會(huì)、工信部等多個(gè)科研項(xiàng)目，并多次榮獲銀保監(jiān)會(huì)等部級(jí)課題獎(jiǎng)項(xiàng)。高曉夢(mèng)中國(guó)民生銀行信息科技部中級(jí)經(jīng)理，參與全行開發(fā)安全管理工作，對(duì)安全需求設(shè)計(jì)、安全開發(fā)、安全測(cè)試、開源安全、漏洞解決方案等有豐富實(shí)踐經(jīng)驗(yàn)。張凱中國(guó)民生銀行信息科技部中級(jí)經(jīng)理，參與全行開發(fā)安全管理工作，對(duì)安全組件庫(kù)設(shè)計(jì)、安全漏洞研究、滲透測(cè)試與漏洞挖掘等有豐富實(shí)踐經(jīng)驗(yàn)。

圖書目錄

前言
第1章　緒論 / 1
1.1　銀行業(yè)信息系統(tǒng)的發(fā)展?fàn)顩r / 1
1.2　銀行業(yè)信息系統(tǒng)安全現(xiàn)狀 / 3
1.3　國(guó)內(nèi)外開發(fā)安全的現(xiàn)狀 / 4
1.3.1　國(guó)外開發(fā)安全 / 4
1.3.2　國(guó)內(nèi)開發(fā)安全 / 6
1.4　國(guó)內(nèi)銀行業(yè)開發(fā)安全的現(xiàn)狀 / 7
1.5　國(guó)內(nèi)銀行業(yè)開發(fā)安全的監(jiān)管要求 / 8
1.5.1　法律要求 / 8
1.5.2　行業(yè)監(jiān)管要求 / 9
第2章　全面認(rèn)識(shí)開發(fā)安全 / 19
2.1　開發(fā)安全基礎(chǔ)概念 / 19
2.1.1　信息安全 / 20
2.1.2　信息系統(tǒng)安全 / 20
2.1.3　開發(fā)安全綜述 / 21
2.2　開發(fā)安全關(guān)注點(diǎn) / 21
2.2.1　項(xiàng)目準(zhǔn)備階段的安全 / 22
2.2.2　需求分析階段的安全 / 23
2.2.3　系統(tǒng)設(shè)計(jì)階段的安全 / 23
2.2.4　系統(tǒng)編碼階段的安全 / 24
2.2.5　系統(tǒng)測(cè)試階段的安全 / 28
2.2.6　部署階段的安全 / 28
2.2.7　運(yùn)維階段的安全 / 29
2.2.8　廢棄階段的安全 / 29
2.2.9　項(xiàng)目管理安全 / 29
2.2.10　系統(tǒng)開發(fā)外包的安全 / 30
2.2.11　開發(fā)安全培訓(xùn) / 33
2.3　開發(fā)安全的價(jià)值 / 34
2.4　基于軟件工程的開發(fā)安全體系 / 34
2.4.1　安全描述語(yǔ)言 / 35
2.4.2　軟件安全分析與安全設(shè)計(jì) / 36
2.4.3　設(shè)計(jì)模式介紹 / 37
2.4.4　POAD方法介紹 / 38
2.4.5　安全模式及其應(yīng)用研究 / 39
2.4.6　安全模式庫(kù)構(gòu)建 / 41
2.5　基于成功實(shí)踐的開發(fā)安全體系 / 43
2.5.1　微軟SDL / 43
2.5.2　OWASP的安全開發(fā)項(xiàng)目 / 53
2.5.3　McGraw的BSI模型 / 57
2.5.4　搜狐SDL / 57
2.6　基于軟件開發(fā)成熟度的開發(fā)安全體系 / 60
2.6.1　安全性能力成熟度模型 / 61
2.6.2　安全性管理過(guò)程域 / 61
2.6.3　安全性工程過(guò)程域 / 63
2.6.4　安全性能力成熟度模型與CMMI和安全性標(biāo)準(zhǔn)間的
　　　?關(guān)系 / 64
2.6.5　安全性能力成熟度模型使用指南 / 66
2.7　開發(fā)安全綜述 / 68
第3章　銀行業(yè)開發(fā)全生命周期安全管理體系 / 69
3.1　開發(fā)全生命周期安全管理介紹 / 69
3.2　開發(fā)生命周期安全管理的模型 / 69
3.2.1　ADCTA循環(huán)模型 / 69
3.2.2　ADCTA循環(huán)模型的應(yīng)用 / 71
3.3　開發(fā)全生命周期安全管理體系 / 72
3.4　準(zhǔn)備階段 / 74
3.4.1　項(xiàng)目可行性安全分析和安全預(yù)評(píng)審 / 74
3.4.2　威脅分析準(zhǔn)備工作 / 74
3.4.3　威脅模型 / 75
3.4.4　威脅建模的方法 / 80
3.4.5　銀行業(yè)威脅分析特色 / 88
3.5　安全需求 / 89
3.5.1　工作內(nèi)容 / 89
3.5.2　銀行業(yè)安全需求特色 / 90
3.6　安全設(shè)計(jì) / 99
3.6.1　工作內(nèi)容 / 99
3.6.2　銀行業(yè)安全設(shè)計(jì)特色 / 100
3.7　安全編碼 / 102
3.7.1　工作要求 / 102
3.7.2　銀行業(yè)安全編碼特色 / 106
3.7.3　銀行業(yè)的安全編碼支撐體系 / 106
3.8　安全測(cè)試 / 106
3.8.1　工作要求 / 106
3.8.2　銀行業(yè)安全測(cè)試特色 / 111
3.8.3　銀行業(yè)安全測(cè)試資源庫(kù) / 113
3.9　安全部署 / 114
3.9.1　工作要求 / 114
3.9.2　銀行業(yè)安全部署特色 / 115
3.10　安全運(yùn)維 / 117
3.10.1　工作要求 / 117
3.10.2　銀行業(yè)安全運(yùn)維特色 / 117
3.11　安全培訓(xùn) / 121
第4章　掌握開發(fā)安全實(shí)施技巧 / 122
4.1　開發(fā)全生命周期安全管理的內(nèi)容 / 122
4.2　準(zhǔn)備工作 / 123
4.2.1　信息安全人才儲(chǔ)備 / 123
4.2.2　開發(fā)流程和管理調(diào)研 / 124
4.2.3　安全現(xiàn)狀調(diào)研 / 125
4.3　開發(fā)安全管理體系建設(shè) / 125
4.4　安全評(píng)審流程設(shè)計(jì) / 126
4.4.1　評(píng)審流程 / 126
4.4.2　安全評(píng)審的組織架構(gòu) / 128
4.4.3　安全評(píng)審的輸入輸出 / 129
4.5　人員培訓(xùn) / 129
4.5.1　制訂培訓(xùn)計(jì)劃 / 130
4.5.2　開發(fā)安全管理培訓(xùn) / 130
4.5.3　開發(fā)安全技能培訓(xùn) / 130
4.6　體系試運(yùn)行及正式運(yùn)作 / 131
4.7　體系運(yùn)行有效性評(píng)估 / 132
4.7.1　體系評(píng)估的內(nèi)容 / 132
4.7.2　有效性評(píng)估方法 / 132
4.8　實(shí)施工作的難點(diǎn)和應(yīng)對(duì)措施 / 133
第5章　巧用開發(fā)安全的有關(guān)工具 / 136
5.1　工具整體分析 / 136
5.2　工具詳細(xì)介紹 / 137
5.2.1　準(zhǔn)備 / 137
5.2.2　需求 / 141
5.2.3　編碼 / 143
5.2.4　測(cè)試 / 154
5.2.5　部署 / 156
5.2.6　運(yùn)維 / 159
第6章　開發(fā)安全的發(fā)展趨勢(shì) / 169
6.1　面向敏捷開發(fā)的開發(fā)安全管理 / 169
6.1.1　敏捷開發(fā)介紹 / 169
6.1.2　敏捷開發(fā)對(duì)安全管理的挑戰(zhàn) / 174
6.1.3　敏捷開發(fā)的切入點(diǎn) / 174
6.1.4　敏捷開發(fā)安全管理實(shí)踐 / 178
6.2　基于云計(jì)算的開發(fā)安全管理 / 184
6.2.1　國(guó)內(nèi)外主流云服務(wù)開發(fā)平臺(tái)介紹 / 184
6.2.2　云計(jì)算環(huán)境下的信息安全防御策略 / 186
6.2.3　云計(jì)算的安全等級(jí)保護(hù)要求 / 187
6.2.4　銀行云計(jì)算安全的發(fā)展 / 193
6.3　DevOps的安全管理 / 193
6.3.1　DevOps介紹 / 193
6.3.2　DevOps的安全管理 / 194
6.4　基于威脅情報(bào)的開發(fā)安全管理 / 195