銀行業開發安全管理與實踐
毛斌,呂曉強,劉海波等 著
- 出版商: 機械工業
- 出版日期: 2023-02-01
- 定價: $534
- 售價: 8.5 折 $454
- 語言: 簡體中文
- 頁數: 231
- 裝訂: 平裝
- ISBN: 7111712722
- ISBN-13: 9787111712725
下單後立即進貨 (約4週~6週)
相關主題
商品描述
本書以銀行業為背景,深入探討了銀行業開發安全,從銀行業的信息系統現狀探討開發安全的必要性,
從銀行業的開發安全實踐揭示開發安全的定義和內涵,用銀行業的安全案例呈現開發安全的價值。
本書從銀行實踐出發,嚴格按照信息系統的開發建設過程,
翔實地介紹開發過程中的每一個環節安全工作的要求、解決方案、工作技巧和實踐經驗。
IT初學者可以通過本書學會開發安全的做法,IT專家可以通過本書借鑒實踐經驗,IT管理者可以通過本書提升安全管理能力,
程序員、安全管理人員、測試人員、項目管理人員等都能從中受益。
本書既可作為系統了解開發安全知識的學習用書,也可作為開發安全日常工作中使用的速查手冊,
是銀行業開發安全領域從業人員的專業技術參考書。
目錄大綱
目錄
前言
章緒論/ 1
1.1 銀行業信息系統的發展狀況/ 1
1.2 銀行業信息系統安全現狀/ 3
1.3 外開發安全的現狀/ 4
1.3.1 國外開發安全/ 4
1.3.2 開發安全/ 6
1.4 銀行業開發安全的現狀/ 7
1.5 銀行業開發安全的監管要求/ 8
1.5.1 法律要求/ 8
1.5.2 行業監管要求/ 9
第2章全面認識開發安全/ 19
2.1 開發安全基礎概念/ 19
2.1.1 信息安全/ 20
2.1.2 信息系統安全/ 20
2.1.3 開發安全綜述/ 21
2.2 開發安全關注點/ 21
2.2.1 項目準備階段的安全/ 22
2.2.2 需求分析階段的安全/ 23
2.2.3 系統設計階段的安全/ 23
2.2.4 系統編碼階段的安全/ 24
2.2.5 系統測試階段的安全/ 28
2.2.6 部署階段的安全/ 28
2.2.7 運維階段的安全/ 29
2.2.8 廢棄階段的安全/ 29
2.2.9 項目管理安全/ 29
2.2.10 系統開發外包的安全/ 30
2.2.11 開發安全培訓/ 33
2.3 開發安全的價值/ 34
2.4 基於軟件工程的開發安全體系/ 34
2.4.1 安全描述語言/ 35
2.4.2 軟件安全分析與安全設計/ 36
2.4.3 設計模式介紹/ 37
2.4.4 POAD方法介紹/ 38
2.4.5 安全模式及其應用研究/ 39
2.4.6 安全模式庫構建/ 41
2.5 基於成功實踐的開發安全體系/ 43
2.5.1 微軟SDL / 43
2.5.2 OWASP的安全開發項目/ 53
2.5.3 McGraw的BSI模型/ 57
2.5.4 搜狐SDL / 57
2.6 基於軟件開發成熟度的開發安全體系/ 60
2.6.1 安全性能力成熟度模型/ 61
2.6.2 安全性管理過程域/ 61
2.6.3 安全性工程過程域/ 63
2.6.4 安全性能力成熟度模型與CMMI和安全性標準間的
?關係/ 64
2.6.5 安全性能力成熟度模型使用指南/ 66
2.7 開發安全綜述/ 68
第3章銀行業開發全生命週期安全管理體系/ 69
3.1 開發全生命週期安全管理介紹/ 69
3.2 開發生命週期安全管理的模型/ 69
3.2.1 ADCTA循環模型/ 69
3.2.2 ADCTA循環模型的應用/ 71
3.3 開發全生命週期安全管理體系/ 72
3.4 準備階段/ 74
3.4.1 項目可行性安全分析和安全預評審/ 74
3.4.2 威脅分析準備工作/ 74
3.4.3 威脅模型/ 75
3.4.4 威脅建模的方法/ 80
3.4.5 銀行業威脅分析特色/ 88
3.5 安全需求/ 89
3.5.1 工作內容/ 89
3.5.2 銀行業安全需求特色/ 90
3.6 安全設計/ 99
3.6.1 工作內容/ 99
3.6.2 銀行業安全設計特色/ 100
3.7 安全編碼/ 102
3.7.1 工作要求/ 102
3.7.2 銀行業安全編碼特色/ 106
3.7.3 銀行業的安全編碼支撐體系/ 106
3.8 安全測試/ 106
3.8.1 工作要求/ 106
3.8.2 銀行業安全測試特色/ 111
3.8.3 銀行業安全測試資源庫/ 113
3.9 安署/ 114
3.9.1 工作要求/ 114
3.9.2 銀行業安署特色/ 115
3.10 安全運維/ 117
3.10.1 工作要求/ 117
3.10.2 銀行業安全運維特色/ 117
3.11 安全培訓/ 121
第4章掌握開發安全實施技巧/ 122
4.1 開發全生命週期安全管理的內容/ 122
4.2 準備工作/ 123
4.2.1 信息安全人才儲備/ 123
4.2.2 開發流程和管理調研/ 124
4.2.3 安全現狀調研/ 125
4.3 開發安全管理體系建設/ 125
4.4 安全評審流程設計/ 126
4.4.1 評審流程/ 126
4.4.2 安全評審的組織架構/ 128
4.4.3 安全評審的輸入輸出/ 129
4.5 人員培訓/ 129
4.5.1 制訂培訓計劃/ 130
4.5.2 開發安全管理培訓/ 130
4.5.3 開發安全技能培訓/ 130
4.6 體系試運行及正式運作/ 131
4.7 體系運行有效性評估/ 132
4.7.1 體系評估的內容/ 132
4.7.2 有效性評估方法/ 132
4.8 實施工作的難點和應對措施/ 133
第5章巧用開發安全的有關工具/ 136
5.1 工具整體分析/ 136
5.2 工具詳細介紹/ 137
5.2.1 準備/ 137
5.2.2 需求/ 141
5.2.3 編碼/ 143
5.2.4 測試/ 154
5.2.5 部署/ 156
5.2.6 運維/ 159
第6章開發安全的發展趨勢/ 169
6.1 面向敏捷開發的開發安全管理/ 169
6.1.1 敏捷開發介紹/ 169
6.1.2 敏捷開發對安全管理的挑戰/ 174
6.1.3 敏捷開發的切入點/ 174
6.1.4 敏捷開發安全管理實踐/ 178
6.2 基於雲計算的開發安全管理/ 184
6.2.1 外主流雲服務開發平台介紹/ 184
6.2.2 雲計算環境下的信息安全防禦策略/ 186
6.2.3 雲計算的安全等級保護要求/ 187
6.2.4 銀行雲計算安全的發展/ 193
6.3 DevOps的安全管理/ 193
6.3.1 DevOps介紹/ 193
6.3.2 DevOps的安全管理/ 194
6.4 基於威脅情報的開發安全管理/ 195