●序
前言
第1章 互聯網應用安全基礎知識 / 1
1.1 互聯網應用及安全概述 / 1
1.1.1 互聯網應用的發展背景 / 1
1.1.2 互聯網應用的特點 / 2
1.1.3 互聯網應用在各個行業中的應用現狀 / 4
1.1.4 互聯網應用安全 / 6
1.2 銀行互聯網應用及安全概述 / 11
1.2.1 銀行互聯網應用的分類 / 11
1.2.2 銀行互聯網應用的安全態勢 / 13
1.3 銀行互聯網應用安全風險管控概述 / 15
第2章 互聯網應用安全的相關法律、法規及標準 / 18
2.1 國際標準 / 18
2.1.1 ISO/IEC27000標準族 / 18
2.1.2 ISO20000 / 18
2.1.3 SP800 / 19
2.1.4 PCI DSS / 19
2.2 國內標準、法規 / 21
2.2.1 網絡安全法 / 21
2.2.2 等級保護 / 30
2.2.3 國內其他法律法規 / 32
2.3 金融行業監管制度 / 35
2.3.1 政策規範 / 35
2.3.2 技術標準 / 38
第3章 銀行互聯網應用業態與安全現狀 / 41
3.1 銀行常見互聯網應用業態 / 41
3.1.1 網上銀行 / 41
3.1.2 移動銀行 / 43
3.1.3 直銷銀行 / 47
3.1.4 互聯網金融 / 50
3.1.5 傳統業務創新 / 56
3.2 銀行互聯網應用安全現狀 / 58
3.2.1 銀行互聯網應用安全外部威脅態勢分析 / 58
3.2.2 銀行互聯網應用安全風險應對 / 64
第4章 應用安全生命周期風險控制體繫 / 69
4.1 應用安全風險控制基本理論 / 69
4.1.1 安全開發生命周期理論 / 69
4.1.2 信息繫統安全風險分析理論 / 72
4.1.3 信息繫統安全風險控制理論 / 76
4.2 銀行互聯網應用安全生命周期風險管控 / 78
4.2.1 需求分析階段 / 79
4.2.2 安全設計階段 / 80
4.2.3 開發實施階段 / 83
4.2.4 測試評估階段 / 83
4.2.5 運行監控階段 / 85
第5章 應用安全需求分析 / 86
5.1 應用安全需求總體框架 / 86
5.1.1 應用安全需求概念 / 86
5.1.2 應用安全需求分析過程管理 / 87
5.1.3 應用安全需求框架設計原理 / 87
5.1.4 基於安全需求檢查表的工作方法 / 94
5.2 應用安全需求分析方法 / 95
5.2.1 基於Zachman框架的安全需求分析方法 / 96
5.2.2 基於SRAM的安全需求分析方法 / 99
5.3 應用安全需求框架 / 101
5.3.1 Web應用安全需求關鍵特征 / 101
5.3.2 Web應用安全需求框架設計 / 104
5.3.3 移動應用安全需求關鍵特征 / 105
5.3.4 移動應用安全需求框架設計 / 106
5.4 應用安全需求實例 / 108
5.4.1 Web應用安全需求檢查表 / 108
5.4.2 移動應用安全需求檢查表 / 110
第6章 應用安全設計與開發 / 114
6.1 應用安全設計理論 / 114
6.1.1 應用安全設計的基本原則 / 114
6.1.2 應用安全設計方法 / 117
6.2 應用安全設計 / 125
6.2.1 基於“木桶原理”的應用安全架構及特點 / 125
6.2.2 基於多層自適應防御體繫的應用安全架構 / 127
6.2.3 應用安全設計內容 / 127
6.3 應用安全開發 / 151
6.3.1 應用安全開發框架 / 151
6.3.2 應用安全開發內容 / 154
6.3.3 安全SDK開發實例 / 156
6.4 安全SDK應用案例 / 160
6.4.1 Web端安全SDK應用案例 / 160
6.4.2 移動端安全SDK應用案例 / 163
6.5 安全編碼規範與開發人員能力培養 / 166
6.5.1 安全編碼規範 / 166
6.5.2 開發人員能力培養 / 175
第7章 應用安全測試與評估 / 178
7.1 應用安全測試理論概述 / 178
7.2 應用安全白盒測試 / 180
7.2.1 白盒測試概述 / 180
7.2.2 白盒測試方法 / 181
7.2.3 白盒測試工具及應用 / 186
7.3 應用安全滲透測試 / 198
7.3.1 滲透測試概述 / 198
7.3.2 滲透測試方法 / 199
7.3.3 滲透測試工具及應用 / 207
7.4 白盒測試與滲透測試的結合：灰盒測試 / 224
7.4.1 灰盒測試概述 / 224
7.4.2 灰盒測試方法 / 225
7.4.3 灰盒測試特點 / 226
7.5 應用安全自動化測試 / 226
7.5.1 Web端安全自動化測試應用 / 227
7.5.2 移動端安全自動化測試應用 / 230
7.6 應用安全測試案例 / 231
7.6.1 Web端安全測試案例 / 231
7.6.2 移動端安全測試案例 / 245
7.7 應用安全測試人員能力培養 / 252
第8章 應用安全運行監控 / 254
8.1 應用安全運行監控概述 / 254
8.2 應用安全運行監控內容 / 255
8.3 應用安全運行監控技術 / 258
8.3.1 應用安全監控方法 / 259
8.3.2 應用安全監控工具 / 269
8.3.3 應用安全監控平臺 / 279
8.4 應用安全運行監控案例 / 287
8.4.1 Web應用安全運行監控案例 / 287
8.4.2 移動應用安全運行監控案例 / 289
第9章 應用安全風險控制趨勢與展望 / 291
9.1 銀行互聯網應用發展趨勢 / 291
9.1.1 金融大數據 / 291
9.1.2 雲計算 / 293
9.1.3 人工智能 / 295
9.1.4 區塊鏈 / 300
9.1.5 金融科技 / 304
9.2 銀行互聯網應用安全趨勢 / 306
9.2.1 應用安全威脅趨勢 / 306
9.2.2 應用安全技術趨勢 / 306
9.2.3 網絡安全生態環境趨勢 / 308
9.3 銀行互聯網應用安全風險管控展望 / 311
9.3.1 銀行互聯網應用安全風險管控理論發展方向 / 311
9.3.2 展望：銀行安全生態圈 / 314

借助於互聯網金融、金融科技的跨界融合，傳統商業銀行紛紛向信息化金融機構、智能金融轉型，表現出巨大的潛力值和價值鏈。應用安全作為一個問題，自應用誕生之時就客觀存在，風險如影相隨。本書意在分析商業銀行在互聯網應用安全方面面臨的問題和挑戰，全面剖析互聯網應用問題、安全漏洞產生的根源與表現形式，以“抓源頭、控過程、觀運行”的管理框架和技術手段，貫穿於應用研發過程的全生命周期，識別各種顯性和隱含的應用安全風險，綜合化、繫統化、持續化地提升互聯網應用安全屬性、安全狀態，助力商業銀行更加健康穩定，繼續在“互聯網+”浪潮中發揮主導作用。