內容簡介
每個系統設計人員都知道,保護電子商務生態系統的安全簡直就是整乘料符噩夢一每當我們使用計算機網路進行銀行交易、賬單支付、購物或者線上交流時,我們重要的企業信息和奔定墓個人信息便置於風險之中二
在《Web商務安全設計與開發寶典:涵蓋電子商務與
移動商務》中,安全專家HadiNahari和RonaldL.Krutz提供了真實的安全解決方案。他們從巨觀和微觀的角度展示了如朽和估何分析和理解這些解決方案,定義了風險驅動的安全,解釋了什麼是保護機制和怎樣才能最好地部請棄署這些機制,提供了既有效又對用戶友好的安全實施方式。
《Web商務安全設計與開發寶典:涵蓋電子商務與移動商務》
主要內容
●設計強大的、用戶會真正使用的電子商務和移動商務安全
●實施自適應的、風險驅動的和可擴展的安全基礎設施
●構建具有高可用危乃祝性和大交易容量的電子商務和移動商務安全基礎設施
●理解解決方案必須具備的各個重要特性
目錄
第I部分商務概覽
第1章Internet時代:電子商務 3
1.1商務的演變 3
1.2支付 5
1.2.1貨幣 5
1.2.2金融網路 5
1.3分散式計算:在商務前添加
“電子” 13
1.3.1客戶機/伺服器 13
1.3.2格線計算 14
1.3.3雲計算 15
1.3.4雲安全 19
1.4小結 28
第2章移動商務 29
2.1消費者電子設備 30
2.2行動電話和移動商務 30
2.2.1概述 30
2.2.2移動商務與電子商務 33
2.2.3移動狀態 38
2.3移動技術 39
2.3.1Carrier網路 39
2.3.2棧 41
2.4小結 54
第3章Web商務安全中的幾個重要
特性 55
3.1機密性、完整性和可用性 55
3.1.1機密性 55
3.1.2完整性 56
3.1.3可用性 57
3.2可伸展性 57
3.2.1黑盒可伸展性符影尋 58
3.2.2白盒可伸展性(開放盒) 58
3.2.3白盒可伸展性(玻璃盒) 59
3.2.4灰盒可伸展性 60
3.3故障耐受性 60
3.3.1高可用性 61
3.3.2電信網路故障耐受性 61
3.4互操作性 62
3.4.1其他互操作性標準 62
3.4.2互操作性測試 62
3.5可維護性 63
3.6可管理性 63
3.7模組性 64
3.8可監測性 64
3.8.1入侵檢測 65
3.8.2滲透測試 66
3.8.3危害分析 66
3.9可操作性 67
3.9.1保護資源和特權實體 67
3.9.2Web商務可操作性控制
的分類 68
3.10可移植性 68
3.11可預測性 69
3.12可靠性 69
3.13普遍性 70
3.14可用性 71
3.15可擴展性 71
3.16問蒸詢樂幾責性 72
3.17可審計性 73
3.18溯源性 74
3.19小結 75
第II部分電子商務安全
第4章電子商務基礎 79
4.1為什麼電子商務安全很重要 79
4.2什麼使系統更安全 80
4.3風險驅動安全 81
4.4安全和可用性 82
4.4.1密碼的可用性 83
4.4.2實用筆記 83
4.5可擴展的安全 84
4.6確保交易安全 84
4.7小結 85
第5章構件 87
5.1密碼 87
5.1.1密碼的作用 87
5.1.3非對稱加密系統 96
5.1.4數字簽名 100
5.1.5隨機數生成 103
5.1.6公共密鑰證書系統——數字
證書 105
5.1.7數據保護 110
5.2訪問控制 112
5.2.1控制 112
5.2.2訪問控制模型 113
5.3系統硬化 114
5.3.1服務級安全 114
5.3.2主機級安全 125
5.3.3網路安全 128
5.4小結 140
第6章系統組件 141
6.1身份認證 141
6.1.1用戶身份認證 141
6.1.2網路認證 144
6.1.3設備認證 146
6.1.5過程驗證 148
6.2授權 149
6.3不可否認性 149
6.4隱私權 150
6.4.1隱私權政策 150
6.4.2與隱私權有關的法律和指導
原則 151
6.4.3歐盟原則 151
6.4.4衛生保健領域的隱私權
問題 152
6.4.5隱私權偏好平台 152
6.4.6電子監控 153
6.5信息安全 154
6.6數據和信息分級 156
6.6.1信息分級的好處 156
6.6.2信息分級概念 157
6.6.3數據分類 160
6.6.4Bell-LaPadula模型 161
6.7系統和數據審計 162
6.7.1Syslog 163
6.7.2SIEM 164
6.8縱深防禦 166
6.9最小特權原則 168
6.10信任 169
6.11隔離 170
6.11.1虛擬化 170
6.11.2沙箱 171
6.11.3IPSec域隔離 171
6.12安全政策 171
6.12.1高級管理政策聲明 172
6.12.2NIST政策歸類 172
6.13通信安全 173
6.14小結 175
第7章安全檢查 177
7.1驗證安全的工具 177
7.1.1脆弱性評估和威脅分析 179
7.1.2使用Snort進行入侵檢測
和預防 180
7.1.3使用Nmap進行網路掃描 181
7.1.4Web應用程式調查 183
7.1.5漏洞掃描 187
7.1.6滲透測試 189
7.1.7無線偵察 191
7.2小結 194
第8章威脅和攻擊 197
8.1基本定義 198
8.1.4控制 199
8.1.5同源策略 199
8.2常見的Web商務攻擊 200
8.2.1遭破壞的驗證和會話管理
攻擊 200
8.2.2跨站點請求偽造攻擊 201
8.2.3跨站點腳本攻擊 204
8.2.4DNS劫持攻擊 207
8.2.5不限制URL訪問攻擊 208
8.2.6注入漏洞 208
8.2.7不充分的傳輸層保護攻擊 211
8.2.8不安全的密碼存儲攻擊 211
8.2.9不安全的直接對象引用
攻擊 212
8.2.10釣魚和垃圾郵件攻擊 212
8.2.11Rootkit及其相關攻擊 213
8.2.12安全配置錯誤攻擊 213
8.2.13未經驗證的重定向和引導攻擊 214
8.3小結 214
第9章認證 215
9.1認證與鑑定 215
9.2標準和相關指南 217
9.2.1可信計算機系統評價標準 217
9.2.2通用標準ISO/IEC15408 218
9.2.3防禦信息保證認證和鑑定流程 218
9.2.4管理和預算辦公室A-130
通報 219
9.2.5國家信息保證認證和鑑定流程(NIACAP) 220
9.2.6聯邦信息安全管理法案(FISMA) 222
9.2.7聯邦信息技術安全評估框架 222
9.2.8FIPS199 223
9.2.9FIPS200 223
9.2.10補充指南 224
9.3相關標準機構和組織 225
9.3.1耶利哥城論壇 225
電工委員會 226
9.3.6開放Web應用程式安全
項目 229
9.3.7NISTSP800-30 231
9.4認證實驗室 232
9.4.1軟體工程中心軟體保證實驗室 232
9.4.2SAIC 233
9.4.3國際計算機安全協會實驗室 233
9.6驗證的價值 236
9.6.1何時重要 236
9.6.2何時不重要 236
9.7證書類型 237
9.7.1通用標準 237
9.7.3EMV 237
9.7.4其他評價標準 239
9.7.5NSA 240
9.7.6FIPS140認證和NIST 241
9.8小結 241
附錄A 計算基礎 243
附錄B 標準化和管理機構 269
附錄C 術語表 285
附錄D 參考文獻 339
6.12.1高級管理政策聲明 172
6.12.2NIST政策歸類 172
6.13通信安全 173
6.14小結 175
第7章安全檢查 177
7.1驗證安全的工具 177
7.1.1脆弱性評估和威脅分析 179
7.1.2使用Snort進行入侵檢測
和預防 180
7.1.3使用Nmap進行網路掃描 181
7.1.4Web應用程式調查 183
7.1.5漏洞掃描 187
7.1.6滲透測試 189
7.1.7無線偵察 191
7.2小結 194
第8章威脅和攻擊 197
8.1基本定義 198
8.1.4控制 199
8.1.5同源策略 199
8.2常見的Web商務攻擊 200
8.2.1遭破壞的驗證和會話管理
攻擊 200
8.2.2跨站點請求偽造攻擊 201
8.2.3跨站點腳本攻擊 204
8.2.4DNS劫持攻擊 207
8.2.5不限制URL訪問攻擊 208
8.2.6注入漏洞 208
8.2.7不充分的傳輸層保護攻擊 211
8.2.8不安全的密碼存儲攻擊 211
8.2.9不安全的直接對象引用
攻擊 212
8.2.10釣魚和垃圾郵件攻擊 212
8.2.11Rootkit及其相關攻擊 213
8.2.12安全配置錯誤攻擊 213
8.2.13未經驗證的重定向和引導攻擊 214
8.3小結 214
第9章認證 215
9.1認證與鑑定 215
9.2標準和相關指南 217
9.2.1可信計算機系統評價標準 217
9.2.2通用標準ISO/IEC15408 218
9.2.3防禦信息保證認證和鑑定流程 218
9.2.4管理和預算辦公室A-130
通報 219
9.2.5國家信息保證認證和鑑定流程(NIACAP) 220
9.2.6聯邦信息安全管理法案(FISMA) 222
9.2.7聯邦信息技術安全評估框架 222
9.2.8FIPS199 223
9.2.9FIPS200 223
9.2.10補充指南 224
9.3相關標準機構和組織 225
9.3.1耶利哥城論壇 225
電工委員會 226
9.3.6開放Web應用程式安全
項目 229
9.3.7NISTSP800-30 231
9.4認證實驗室 232
9.4.1軟體工程中心軟體保證實驗室 232
9.4.2SAIC 233