Web商務(wù)安全設(shè)計與開發(fā)寶典

內(nèi)容概要

　　每個系統(tǒng)設(shè)計人員都知道，保護(hù)電子商務(wù)生態(tài)系統(tǒng)的安全簡直就是噩夢一每當(dāng)我們使用計算機(jī)網(wǎng)絡(luò)進(jìn)行銀行交易、賬單支付、購物或者在線交流時，我們重要的企業(yè)信息和個人信息便置于風(fēng)險之中二
　　在《Web商務(wù)安全設(shè)計與開發(fā)寶典：涵蓋電子商務(wù)與移動商務(wù)》中，安全專家Hadi Nahari和Ronald
L.Krutz提供了真實的安全解決方案。他們從宏觀和微觀的角度展示了如何分析和理解這些解決方案，定義了風(fēng)險驅(qū)動的安全，解釋了什么是保護(hù)機(jī)制和怎樣才能最好地部署這些機(jī)制，提供了既有效又對用戶友好的安全實施方式。
　　《Web商務(wù)安全設(shè)計與開發(fā)寶典：涵蓋電子商務(wù)與移動商務(wù)》主要內(nèi)容
　　●設(shè)計強(qiáng)大的、用戶會真正使用的電子商務(wù)和移動商務(wù)安全
　　●實施自適應(yīng)的、風(fēng)險驅(qū)動的和可擴(kuò)展的安全基礎(chǔ)設(shè)施
　　●構(gòu)建具有高可用性和大交易容量的電子商務(wù)和移動商務(wù)安全基礎(chǔ)設(shè)施
　　●理解解決方案必須具備的各個重要特性
　　●識別大規(guī)模交易系統(tǒng)中的弱安全以及如何增強(qiáng)安全性
　　●了解具體的漏洞和威脅以及如何評估、檢測和預(yù)防它們

作者簡介

　　Hadi
Nahari是一位安全專業(yè)人士，有著20多年的軟件開發(fā)經(jīng)驗，做了大量設(shè)計、體系結(jié)構(gòu)、驗證、概念驗證和安全系統(tǒng)實施等方面的工作。他設(shè)計并實施了大規(guī)模的高端企業(yè)解決方案和資源受限的嵌入式系統(tǒng)，主要關(guān)注安全、加密、漏洞評估和威脅分析以及復(fù)雜系統(tǒng)設(shè)計。他經(jīng)常在美國和國際安全大會上發(fā)表演講，領(lǐng)導(dǎo)并參與了Netscape
Communications、Sun
Microsystems、摩托羅拉、eBay和PayPal等許多大型公司的各種安全項目。
　　Hadi
Nahari是eBay和PayPal公司的主要安全架構(gòu)師和移動架構(gòu)師他有著大規(guī)模的高端企業(yè)解決方案和嵌入式系統(tǒng)方面的豐富經(jīng)驗，主要關(guān)注安全、密碼學(xué)、復(fù)雜系統(tǒng)設(shè)計、漏洞評估和威脅分析他是安全問題方面最受歡迎的發(fā)言人。
　　RonaldL.Krutz博士是卡耐基·梅隆研究院網(wǎng)絡(luò)安全中心的創(chuàng)始人他有著計算機(jī)架構(gòu)、實時系統(tǒng)和信息安全等領(lǐng)域40多年的從業(yè)經(jīng)驗，曾主編或參編了大量書籍。
　　Ronald.Krutz是一位資深信息系統(tǒng)安全顧問，有著30多年的從業(yè)經(jīng)驗，研究領(lǐng)域涉及分布式計算系統(tǒng)、計算機(jī)體系結(jié)構(gòu)、實時系統(tǒng)、信息保證方法和信息安全培訓(xùn)。他擁有電子和計算機(jī)工程學(xué)士學(xué)位、碩士學(xué)位和博士學(xué)位。他在信息系統(tǒng)安全領(lǐng)域的著作非常暢銷。Krutz博士是信息系統(tǒng)安全認(rèn)證專家（CISSP）和信息系統(tǒng)安全工程專家（ISSEP）。
　　他合作編寫了CISSP Prep Guide -書，已由John
Wiley＆Sons出版。Wiley還出版了幾本他參與編寫的書，其中包括Advanced CISSP Prep Guide、CISSP
Prep Guide, Gold Edition、Security+ Certification Guide、CISM Prep
Guide、CISSP Prep Guide,　2nd Edition： Mastering CISSP and
ISSEP、Network Security Bible,　CISSP and CAP Prep Guide,　Platinum
Edition： Mastering CISSP and CAP、Certified Ethical Hacker（CEH） Prep
Guide、Certified Secure Software Lifecycle Prep Guide, and Cloud
Security。Krutz還編寫了一本Securing SCADA
Systems和三本微型計算機(jī)系統(tǒng)設(shè)計、計算機(jī)接口和計算機(jī)體系結(jié)構(gòu)等領(lǐng)域的教科書。Krutz博士有7項數(shù)字系統(tǒng)方面的專利，至今已發(fā)表技術(shù)論文40余篇。
　　Krutz博士是賓夕法尼亞州的注冊專業(yè)工程師。

書籍目錄

第1部分 商務(wù)概覽
第1章 Internet時代：電子商務(wù)
1.1 商務(wù)的演變
1.2 支付
1.2.1 貨幣
1.2.2 金融網(wǎng)絡(luò)
1.3 分布式計算：在商務(wù)前添加“電子”
1.3.1 客戶機(jī)/服務(wù)器
1.3.2 網(wǎng)格計算
1.3.3 云計算
1.3.4 云安全
1.4 小結(jié)
第2章 移動商務(wù)
2.1 消費(fèi)者電子設(shè)備
2.2 移動電話和移動商務(wù)
2.2.1 概述
2.2.2 移動商務(wù)與電子商務(wù)
2.2.3 移動狀態(tài)
2.3 移動技術(shù)
2.3.1 Carrier網(wǎng)絡(luò)
2.3.2 棧
2.4 小結(jié)
第3章 Web商務(wù)安全中的幾個重要特性
3.1 機(jī)密性、完整性和可用性
3.1.1 機(jī)密性
3.1.2 完整性
3.1.3 可用性
3.2 可伸展性
3.2.1 黑盒可伸展性
3.2.2 白盒可伸展性（開放盒）
3.2.3 白盒可伸展性（玻璃盒）
3.2.4 灰盒可伸展性
3.3 故障耐受性
3.3.1 高可用性
3.3.2 電信網(wǎng)絡(luò)故障耐受性
3.4 互操作性
3.4.1 其他互操作性標(biāo)準(zhǔn)
3.4.2 互操作性測試
3.5 可維護(hù)性
3.6 可管理性
3.7 模塊性
3.8 可監(jiān)測性
3.8.1 入侵檢測
3.8.2 滲透測試
3.8.3 危害分析
3.9 可操作性
3.9.1 保護(hù)資源和特權(quán)實體
3.9.2 Web商務(wù)可操作性控制的分類
3.10 可移植性
3.11 可預(yù)測性
3.12 可靠性
3.13 普遍性
3.14 可用性
3.15 可擴(kuò)展性
3.16 問責(zé)性
3.17 可審計性
3.18 溯源性
3.19 小結(jié)
第2部分 電子商務(wù)安全
第4章 電子商務(wù)基礎(chǔ)
4.1 為什么電子商務(wù)安全很重要
4.2 什么使系統(tǒng)更安全
4.3 風(fēng)險驅(qū)動安全
4.4 安全和可用性
4.4.1 密碼的可用性
4.4.2 實用筆記
4.5 可擴(kuò)展的安全
4.6 確保交易安全
4.7 小結(jié)
第5章 構(gòu)件
5.1 密碼
5.1.1 密碼的作用
5.1.2 對稱加密系統(tǒng)
5.1.3 非對稱加密系統(tǒng)
5.1.4 數(shù)字簽名
5.1.5 隨機(jī)數(shù)生成
5.1.6 公共密鑰證書系統(tǒng)——數(shù)字證書
5.1.7 數(shù)據(jù)保護(hù)
5.2 訪問控制
5.2.1 控制
5.2.2 訪問控制模型
5.3 系統(tǒng)硬化
5.3.1 服務(wù)級安全
5.3.2 主機(jī)級安全
5.3.3 網(wǎng)絡(luò)安全
5.4 小結(jié)
第6章 系統(tǒng)組件
6.1 身份認(rèn)證
6.1.1 用戶身份認(rèn)證
6.1.2 網(wǎng)絡(luò)認(rèn)證
6.1.3 設(shè)備認(rèn)證
6.1.4 API認(rèn)證
6.1.5 過程驗證
6.2 授權(quán)
6.3 不可否認(rèn)性
6.4 隱私權(quán)
6.4.1 隱私權(quán)政策
6.4.2 與隱私權(quán)有關(guān)的法律和指導(dǎo)原則
6.4.3 歐盟原則
6.4.4 衛(wèi)生保健領(lǐng)域的隱私權(quán)問題
6.4.5 隱私權(quán)偏好平臺
6.4.6 電子監(jiān)控
6.5 信息安全
6.6 數(shù)據(jù)和信息分級
6.6.1 信息分級的好處
6.6.2 信息分級概念
6.6.3 數(shù)據(jù)分類
6.6.4 Bell-LaPadula模型
6.7 系統(tǒng)和數(shù)據(jù)審計
6.7.1 SySlOg
6.7.2 SIEM
6.8 縱深防御
6.9 最小特權(quán)原則
6.10 信任
6.11 隔離
6.11.1 虛擬化
6.11.2 沙箱
6.11.3 IPSec域隔離
6.12 安全政策
6.12.1 高級管理政策聲明
6.12.2 NIST政策歸類
6.13 通信安全
6.14 小結(jié)
……
附錄A 計算基礎(chǔ)
附錄B 標(biāo)準(zhǔn)化和管理機(jī)構(gòu)
附錄C 術(shù)語表
附錄D 參考文獻(xiàn)

章節(jié)摘錄

版權(quán)頁：   插圖：   安全并非靜態(tài)的。這也就是說，您不能認(rèn)為放置一套顯著的認(rèn)證機(jī)制和一個有效的授權(quán)子系統(tǒng)并實施分層安全之后就萬事大吉了，系統(tǒng)就永遠(yuǎn)安全了。事實遠(yuǎn)不止于此。首先，我們基本不可能窮盡所有針對電子商務(wù)系統(tǒng)的攻擊，因此也就不可能阻止或者防衛(wèi)這些攻擊。此外，成為安全資產(chǎn)的這個對象的所有特點有可能隨著時間的推移而變化，和其他對象或者安全資產(chǎn)的關(guān)系也發(fā)生變化。比如，以您的電子郵件地址為例。電子郵件地址本身可能并不是一個有價值的東西，因為從概念上講它只是一個公共信息（否則其他人將不能給您發(fā)信息）。但是，如果電子商務(wù)系統(tǒng)用您的電子郵件地址和您當(dāng)前的位置、您計算機(jī)的IP地址或者可能是您的瀏覽器中的一個cookie（所有這些都有可能被攻擊者通過可搜索到的社會媒體內(nèi)容和簡單的cookie劫持攻擊而獲?。﹣碜R別您的話，那么這個電子郵件地址便成為一個安全資產(chǎn)。也就是說，判斷一個資產(chǎn)是否是安全資產(chǎn)，進(jìn)而判斷是否提供有效的保護(hù)機(jī)制來保護(hù)它，是根據(jù)情況而定的。您與Internet互動的越多，您越積極主動，識別安全資產(chǎn)并設(shè)計安全機(jī)制的工作就會變得越復(fù)雜。這使得安全專家的工作成為一個復(fù)雜、動態(tài)和敏感的藝術(shù)工作，正如安全領(lǐng)域本身那樣。這種復(fù)雜性不僅體現(xiàn)在設(shè)計和實施階段，而且滲透到電子商務(wù)系統(tǒng)的操作和維護(hù)方面。 4.3 風(fēng)險驅(qū)動安全 風(fēng)險驅(qū)動安全是一種先進(jìn)理念。電子商務(wù)系統(tǒng)的一個主要支柱是從操作、交易和財務(wù)的角度和整個功能的方方面面進(jìn)行風(fēng)險管理。為了更好地理解風(fēng)險驅(qū)動安全，首先必須理解風(fēng)險是什么。風(fēng)險是一個事件在未來可能發(fā)生或被避免或被減輕的數(shù)學(xué)概率，而不是當(dāng)下能夠造成傷害而必須立即解決的現(xiàn)有問題。這聽起來有些繞口。用外行人的話講，風(fēng)險是某些事件發(fā)生的概率，而并非指它實際出現(xiàn)。另一方面，風(fēng)險驅(qū)動安全是指設(shè)計和實施安全措施的理念，這些安全措施的部署基于攻擊出現(xiàn)的概率。這與靜態(tài)安全設(shè)計理念大有不同，后者直接處理諸如電子商務(wù)基礎(chǔ)設(shè)施這樣的可擴(kuò)展的系統(tǒng)的安全優(yōu)化問題。讓我們看看這是什么意思。

編輯推薦

《Web商務(wù)安全設(shè)計與開發(fā)寶典:涵蓋電子商務(wù)與移動商務(wù)》從整體和微觀的角度解釋了分析和理解系統(tǒng)安全的必要步驟，定義了風(fēng)險驅(qū)動的安全、保護(hù)機(jī)制和如何最好地部署這些機(jī)制，提出了以一種可用的和對用戶友好的方式來實施安全的方式方法。所有主題都是電子商務(wù)，但它們也適用于移動商務(wù)。

圖書封面

圖書標(biāo)簽Tags

無

評論、評分、閱讀與下載

---

    Web商務(wù)安全設(shè)計與開發(fā)寶典 PDF格式下載

---