Web商務安全設計與開發(fā)寶典

出版時間:2012-9  出版社:清華大學出版社  作者:(美) 納哈瑞(Nahari, H.),(美) 克魯茲(Krutz, R.L.)  頁數(shù):346  字數(shù):560000  譯者:楊金梅  
Tag標簽:無  

內(nèi)容概要

  每個系統(tǒng)設計人員都知道,保護電子商務生態(tài)系統(tǒng)的安全簡直就是噩夢一每當我們使用計算機網(wǎng)絡進行銀行交易、賬單支付、購物或者在線交流時,我們重要的企業(yè)信息和個人信息便置于風險之中二
  在《Web商務安全設計與開發(fā)寶典:涵蓋電子商務與移動商務》中,安全專家Hadi Nahari和Ronald
L.Krutz提供了真實的安全解決方案。他們從宏觀和微觀的角度展示了如何分析和理解這些解決方案,定義了風險驅(qū)動的安全,解釋了什么是保護機制和怎樣才能最好地部署這些機制,提供了既有效又對用戶友好的安全實施方式。
  《Web商務安全設計與開發(fā)寶典:涵蓋電子商務與移動商務》主要內(nèi)容
  ●設計強大的、用戶會真正使用的電子商務和移動商務安全
  ●實施自適應的、風險驅(qū)動的和可擴展的安全基礎設施
  ●構(gòu)建具有高可用性和大交易容量的電子商務和移動商務安全基礎設施
  ●理解解決方案必須具備的各個重要特性
  ●識別大規(guī)模交易系統(tǒng)中的弱安全以及如何增強安全性
  ●了解具體的漏洞和威脅以及如何評估、檢測和預防它們

作者簡介

  Hadi
Nahari是一位安全專業(yè)人士,有著20多年的軟件開發(fā)經(jīng)驗,做了大量設計、體系結(jié)構(gòu)、驗證、概念驗證和安全系統(tǒng)實施等方面的工作。他設計并實施了大規(guī)模的高端企業(yè)解決方案和資源受限的嵌入式系統(tǒng),主要關(guān)注安全、加密、漏洞評估和威脅分析以及復雜系統(tǒng)設計。他經(jīng)常在美國和國際安全大會上發(fā)表演講,領(lǐng)導并參與了Netscape
Communications、Sun
Microsystems、摩托羅拉、eBay和PayPal等許多大型公司的各種安全項目。
  Hadi
Nahari是eBay和PayPal公司的主要安全架構(gòu)師和移動架構(gòu)師他有著大規(guī)模的高端企業(yè)解決方案和嵌入式系統(tǒng)方面的豐富經(jīng)驗,主要關(guān)注安全、密碼學、復雜系統(tǒng)設計、漏洞評估和威脅分析他是安全問題方面最受歡迎的發(fā)言人。
  RonaldL.Krutz博士是卡耐基·梅隆研究院網(wǎng)絡安全中心的創(chuàng)始人他有著計算機架構(gòu)、實時系統(tǒng)和信息安全等領(lǐng)域40多年的從業(yè)經(jīng)驗,曾主編或參編了大量書籍。
  Ronald.Krutz是一位資深信息系統(tǒng)安全顧問,有著30多年的從業(yè)經(jīng)驗,研究領(lǐng)域涉及分布式計算系統(tǒng)、計算機體系結(jié)構(gòu)、實時系統(tǒng)、信息保證方法和信息安全培訓。他擁有電子和計算機工程學士學位、碩士學位和博士學位。他在信息系統(tǒng)安全領(lǐng)域的著作非常暢銷。Krutz博士是信息系統(tǒng)安全認證專家(CISSP)和信息系統(tǒng)安全工程專家(ISSEP)。
  他合作編寫了CISSP Prep Guide -書,已由John
Wiley&Sons出版。Wiley還出版了幾本他參與編寫的書,其中包括Advanced CISSP Prep Guide、CISSP
Prep Guide, Gold Edition、Security+ Certification Guide、CISM Prep
Guide、CISSP Prep Guide, 2nd Edition: Mastering CISSP and
ISSEP、Network Security Bible, CISSP and CAP Prep Guide, Platinum
Edition: Mastering CISSP and CAP、Certified Ethical Hacker(CEH) Prep
Guide、Certified Secure Software Lifecycle Prep Guide, and Cloud
Security。Krutz還編寫了一本Securing SCADA
Systems和三本微型計算機系統(tǒng)設計、計算機接口和計算機體系結(jié)構(gòu)等領(lǐng)域的教科書。Krutz博士有7項數(shù)字系統(tǒng)方面的專利,至今已發(fā)表技術(shù)論文40余篇。
  Krutz博士是賓夕法尼亞州的注冊專業(yè)工程師。

書籍目錄

第1部分 商務概覽
第1章 Internet時代:電子商務
1.1 商務的演變
1.2 支付
1.2.1 貨幣
1.2.2 金融網(wǎng)絡
1.3 分布式計算:在商務前添加“電子”
1.3.1 客戶機/服務器
1.3.2 網(wǎng)格計算
1.3.3 云計算
1.3.4 云安全
1.4 小結(jié)
第2章 移動商務
2.1 消費者電子設備
2.2 移動電話和移動商務
2.2.1 概述
2.2.2 移動商務與電子商務
2.2.3 移動狀態(tài)
2.3 移動技術(shù)
2.3.1 Carrier網(wǎng)絡
2.3.2 棧
2.4 小結(jié)
第3章 Web商務安全中的幾個重要特性
3.1 機密性、完整性和可用性
3.1.1 機密性
3.1.2 完整性
3.1.3 可用性
3.2 可伸展性
3.2.1 黑盒可伸展性
3.2.2 白盒可伸展性(開放盒)
3.2.3 白盒可伸展性(玻璃盒)
3.2.4 灰盒可伸展性
3.3 故障耐受性
3.3.1 高可用性
3.3.2 電信網(wǎng)絡故障耐受性
3.4 互操作性
3.4.1 其他互操作性標準
3.4.2 互操作性測試
3.5 可維護性
3.6 可管理性
3.7 模塊性
3.8 可監(jiān)測性
3.8.1 入侵檢測
3.8.2 滲透測試
3.8.3 危害分析
3.9 可操作性
3.9.1 保護資源和特權(quán)實體
3.9.2 Web商務可操作性控制的分類
3.10 可移植性
3.11 可預測性
3.12 可靠性
3.13 普遍性
3.14 可用性
3.15 可擴展性
3.16 問責性
3.17 可審計性
3.18 溯源性
3.19 小結(jié)
第2部分 電子商務安全
第4章 電子商務基礎
4.1 為什么電子商務安全很重要
4.2 什么使系統(tǒng)更安全
4.3 風險驅(qū)動安全
4.4 安全和可用性
4.4.1 密碼的可用性
4.4.2 實用筆記
4.5 可擴展的安全
4.6 確保交易安全
4.7 小結(jié)
第5章 構(gòu)件
5.1 密碼
5.1.1 密碼的作用
5.1.2 對稱加密系統(tǒng)
5.1.3 非對稱加密系統(tǒng)
5.1.4 數(shù)字簽名
5.1.5 隨機數(shù)生成
5.1.6 公共密鑰證書系統(tǒng)——數(shù)字證書
5.1.7 數(shù)據(jù)保護
5.2 訪問控制
5.2.1 控制
5.2.2 訪問控制模型
5.3 系統(tǒng)硬化
5.3.1 服務級安全
5.3.2 主機級安全
5.3.3 網(wǎng)絡安全
5.4 小結(jié)
第6章 系統(tǒng)組件
6.1 身份認證
6.1.1 用戶身份認證
6.1.2 網(wǎng)絡認證
6.1.3 設備認證
6.1.4 API認證
6.1.5 過程驗證
6.2 授權(quán)
6.3 不可否認性
6.4 隱私權(quán)
6.4.1 隱私權(quán)政策
6.4.2 與隱私權(quán)有關(guān)的法律和指導原則
6.4.3 歐盟原則
6.4.4 衛(wèi)生保健領(lǐng)域的隱私權(quán)問題
6.4.5 隱私權(quán)偏好平臺
6.4.6 電子監(jiān)控
6.5 信息安全
6.6 數(shù)據(jù)和信息分級
6.6.1 信息分級的好處
6.6.2 信息分級概念
6.6.3 數(shù)據(jù)分類
6.6.4 Bell-LaPadula模型
6.7 系統(tǒng)和數(shù)據(jù)審計
6.7.1 SySlOg
6.7.2 SIEM
6.8 縱深防御
6.9 最小特權(quán)原則
6.10 信任
6.11 隔離
6.11.1 虛擬化
6.11.2 沙箱
6.11.3 IPSec域隔離
6.12 安全政策
6.12.1 高級管理政策聲明
6.12.2 NIST政策歸類
6.13 通信安全
6.14 小結(jié)
……
附錄A 計算基礎
附錄B 標準化和管理機構(gòu)
附錄C 術(shù)語表
附錄D 參考文獻

章節(jié)摘錄

版權(quán)頁:   插圖:   安全并非靜態(tài)的。這也就是說,您不能認為放置一套顯著的認證機制和一個有效的授權(quán)子系統(tǒng)并實施分層安全之后就萬事大吉了,系統(tǒng)就永遠安全了。事實遠不止于此。首先,我們基本不可能窮盡所有針對電子商務系統(tǒng)的攻擊,因此也就不可能阻止或者防衛(wèi)這些攻擊。此外,成為安全資產(chǎn)的這個對象的所有特點有可能隨著時間的推移而變化,和其他對象或者安全資產(chǎn)的關(guān)系也發(fā)生變化。比如,以您的電子郵件地址為例。電子郵件地址本身可能并不是一個有價值的東西,因為從概念上講它只是一個公共信息(否則其他人將不能給您發(fā)信息)。但是,如果電子商務系統(tǒng)用您的電子郵件地址和您當前的位置、您計算機的IP地址或者可能是您的瀏覽器中的一個cookie(所有這些都有可能被攻擊者通過可搜索到的社會媒體內(nèi)容和簡單的cookie劫持攻擊而獲?。﹣碜R別您的話,那么這個電子郵件地址便成為一個安全資產(chǎn)。也就是說,判斷一個資產(chǎn)是否是安全資產(chǎn),進而判斷是否提供有效的保護機制來保護它,是根據(jù)情況而定的。您與Internet互動的越多,您越積極主動,識別安全資產(chǎn)并設計安全機制的工作就會變得越復雜。這使得安全專家的工作成為一個復雜、動態(tài)和敏感的藝術(shù)工作,正如安全領(lǐng)域本身那樣。這種復雜性不僅體現(xiàn)在設計和實施階段,而且滲透到電子商務系統(tǒng)的操作和維護方面。 4.3 風險驅(qū)動安全 風險驅(qū)動安全是一種先進理念。電子商務系統(tǒng)的一個主要支柱是從操作、交易和財務的角度和整個功能的方方面面進行風險管理。為了更好地理解風險驅(qū)動安全,首先必須理解風險是什么。風險是一個事件在未來可能發(fā)生或被避免或被減輕的數(shù)學概率,而不是當下能夠造成傷害而必須立即解決的現(xiàn)有問題。這聽起來有些繞口。用外行人的話講,風險是某些事件發(fā)生的概率,而并非指它實際出現(xiàn)。另一方面,風險驅(qū)動安全是指設計和實施安全措施的理念,這些安全措施的部署基于攻擊出現(xiàn)的概率。這與靜態(tài)安全設計理念大有不同,后者直接處理諸如電子商務基礎設施這樣的可擴展的系統(tǒng)的安全優(yōu)化問題。讓我們看看這是什么意思。

編輯推薦

《Web商務安全設計與開發(fā)寶典:涵蓋電子商務與移動商務》從整體和微觀的角度解釋了分析和理解系統(tǒng)安全的必要步驟,定義了風險驅(qū)動的安全、保護機制和如何最好地部署這些機制,提出了以一種可用的和對用戶友好的方式來實施安全的方式方法。所有主題都是電子商務,但它們也適用于移動商務。

圖書封面

圖書標簽Tags

評論、評分、閱讀與下載


    Web商務安全設計與開發(fā)寶典 PDF格式下載


用戶評論 (總計3條)

 
 

  •   提早買這本書,多學點東西總是有有益處的,發(fā)貨很快……
  •   安全技術(shù)經(jīng)典譯叢 三部曲 不錯的書
  •   印刷比較差
 

250萬本中文圖書簡介、評論、評分,PDF格式免費下載。 第一圖書網(wǎng) 手機版

京ICP備13047387號-7