电子商务活动无处不在,无论我们是否意识到,我们每天都在从事这一活动。总体来讲消费者电子设备特别是移动电话已经成为我们生活不可或缺的一部分。因为设备功能变得越来越强大,相互连接越来越广泛,使用越来越便捷,因此也就能够更好、更快和更可靠地执行越来越多的任务。设备已经成为我们与数码世界沟通的守门人,它们俨然已成为我们享受数字生活不可或缺的手段。如果把刚才提到的两种趋势结合在一起,您将看到下一个即将到来的数字浪潮:与社交网络交互、从事电子商务活动(如银行业)、在线订货等等,所有这些都用到消费者电子设备。所有这些活动都有一个共同的重要元素:它们接触和使用同一个东西。换句话说,当今的数字安全取决于设备和它们与之交互的系统的安全。如果存在这样一个东西,那么就必须有可靠的机制来安全可靠地管理它。
从系统设计人员的角度讲,保证这样一个复杂系统的安全任务非常巨大。在这个生态系统中有许多不同的因素需要同步运作,但在最初设计时它们并不协同工作。而从终端用户的角度讲,需求却简单得多,那就是安全可靠地使用这个系统!本书将阐述向消费者提供这样一个安全系统的意义所在,我们将重点放在电子商务和它的各种各样的形式(如移动商务)上。
尽管各个领域都应用了基本的信息系统安全原则,但是电子商务安全却对信息安全专家提出了特殊的挑战。软件和硬件技术都以惊人的速度在发展,黑客和服务提供者有大量计算能力可供使用,其成本越来越低。比如,有了云计算,一个人可以以一小时一美元或更少的成本利用巨大的计算机资源。这种能力既可以用于有益的活动,也可能用于从事恶意活动,如破解存储在电子商务数据库中用于保护关键的个人和金融交易信息的密钥。同样,今天在许多国家,手机可以提供用于免提扫描交易的信用卡功能。移动设备中的RFID读取能力在为各种各样的电子商务范式打开了大门之外,还为新的攻击方法打开了大门。因此,了解信息系统安全的电子商务方法对认识安全威胁和与此相关的对策是非常有必要的。
本书从整体和微观的角度解释了分析和理解系统安全的必要步骤,定义了风险驱动的安全、保护机制和如何最好地部署这些机制,提出了以一种可用的和对用户友好的方式来实施安全的方式方法。所有主题都是电子商务,但它们也适用于移动商务。下面列出了本书中涵盖的一些重要主题:
安全虽然防弹,但却难以使用,所以用户不愿意采用它。因此,设计和实施强大的、但对用户也友好的安全性非常重要。
如何使电子商务和移动商务更安全;如何设计和实施它。
实施适合的、风险驱动的和可扩展的安全基础设施的技巧。
架构高可用性和大交易容量的电子商务和移动商务安全基础设施的基础知识。
如何识别大规模交易系统中的弱安全性。
本书向系统架构师或者开发人员提供了设计和实施满足消费者需求的安全电子商务或移动商务解决方案所需的信息。如果读者还能了解到安全技术、漏洞评估和威胁分析、交易式和可扩展系统的设计、开发、维护以及支付和商务系统,那就是锦上添花了。
具体描述
作者简介
Hadi Nahari是一位安全专业人士,有着20多年的软件开发经验,做了大量设计、体系结构、验证、概念验证和安全系统实施等方面的工作。他设计并实施了大规模的高端企业解决方案和资源受限的嵌入式系统,主要关注安全、加密、漏洞评估和威胁分析以及复杂系统设计。他经常在美国和国际安全大会上发表演讲,领导并参与了Netscape Communications、Sun Microsystems、摩托罗拉、eBay和PayPal等许多大型公司的各种安全项目。
Ronald L. Krutz是一位资深信息系统安全顾问,有着30多年的从业经验,研究领域涉及分布式计算系统、计算机体系结构、实时系统、信息保证方法和信息安全培训。他拥有电子和计算机工程学士学位、硕士学位和博士学位。他在信息系统安全领域的著作非常畅销。Krutz博士是信息系统安全认证专家(CISSP)和信息系统安全工程专家(ISSEP)。
他合作编写了CISSP Prep Guide 一书,已由John Wiley & Sons出版。Wiley还出版了几本他参与编写的书,其中包括Advanced CISSP Prep Guide、CISSP Prep Guide, Gold Edition、Security+Certification Guide、CISM Prep Guide、CISSP Prep Guide,2nd Edition:Mastering CISSP and ISSEP、Network Security Bible,CISSP and CAP Prep Guide,Platinum Edition: Mastering CISSP and CAP、Certified Ethical Hacker(CEH) Prep Guide、Certified Secure Software Lifecycle Prep Guide, and Cloud Security。Krutz还编写了一本Securing SCADA Systems和三本微型计算机系统设计、计算机接口和计算机体系结构等领域的教科书。Krutz博士有7项数字系统方面的专利,至今已发表技术论文40余篇。
Krutz博士是宾夕法尼亚州的注册专业工程师。
目录信息
第I部分 商 务 概 览
第1章 Internet时代:电子商务 3
1.1 商务的演变 3
1.2 支付 5
1.2.1 货币 5
1.2.2 金融网络 5
1.3 分布式计算:在商务前添加
“电子” 13
1.3.1 客户机/服务器 13
1.3.2 网格计算 14
1.3.3 云计算 15
1.3.4 云安全 19
1.4 小结 28
第2章 移动商务 29
2.1 消费者电子设备 30
2.2 移动电话和移动商务 30
2.2.1 概述 30
2.2.2 移动商务与电子商务 33
2.2.3 移动状态 38
2.3 移动技术 39
2.3.1 Carrier网络 39
2.3.2 栈 41
2.4 小结 54
第3章 Web商务安全中的几个重要
特性 55
3.1 机密性、完整性和可用性 55
3.1.1 机密性 55
3.1.2 完整性 56
3.1.3 可用性 57
3.2 可伸展性 57
3.2.1 黑盒可伸展性 58
3.2.2 白盒可伸展性(开放盒) 58
3.2.3 白盒可伸展性(玻璃盒) 59
3.2.4 灰盒可伸展性 60
3.3 故障耐受性 60
3.3.1 高可用性 61
3.3.2 电信网络故障耐受性 61
3.4 互操作性 62
3.4.1 其他互操作性标准 62
3.4.2 互操作性测试 62
3.5 可维护性 63
3.6 可管理性 63
3.7 模块性 64
3.8 可监测性 64
3.8.1 入侵检测 65
3.8.2 渗透测试 66
3.8.3 危害分析 66
3.9 可操作性 67
3.9.1 保护资源和特权实体 67
3.9.2 Web商务可操作性控制
的分类 68
3.10 可移植性 68
3.11 可预测性 69
3.12 可靠性 69
3.13 普遍性 70
3.14 可用性 71
3.15 可扩展性 71
3.16 问责性 72
3.17 可审计性 73
3.18 溯源性 74
3.19 小结 75
第II部分 电子商务安全
第4章 电子商务基础 79
4.1 为什么电子商务安全很重要 79
4.2 什么使系统更安全 80
4.3 风险驱动安全 81
4.4 安全和可用性 82
4.4.1 密码的可用性 83
4.4.2 实用笔记 83
4.5 可扩展的安全 84
4.6 确保交易安全 84
4.7 小结 85
第5章 构件 87
5.1 密码 87
5.1.1 密码的作用 87
5.1.2 对称加密系统 88
5.1.3 非对称加密系统 96
5.1.4 数字签名 100
5.1.5 随机数生成 103
5.1.6 公共密钥证书系统——数字
证书 105
5.1.7 数据保护 110
5.2 访问控制 112
5.2.1 控制 112
5.2.2 访问控制模型 113
5.3 系统硬化 114
5.3.1 服务级安全 114
5.3.2 主机级安全 125
5.3.3 网络安全 128
5.4 小结 140
第6章 系统组件 141
6.1 身份认证 141
6.1.1 用户身份认证 141
6.1.2 网络认证 144
6.1.3 设备认证 146
6.1.4 API认证 146
6.1.5 过程验证 148
6.2 授权 149
6.3 不可否认性 149
6.4 隐私权 150
6.4.1 隐私权政策 150
6.4.2 与隐私权有关的法律和指导
原则 151
6.4.3 欧盟原则 151
6.4.4 卫生保健领域的隐私权
问题 152
6.4.5 隐私权偏好平台 152
6.4.6 电子监控 153
6.5 信息安全 154
6.6 数据和信息分级 156
6.6.1 信息分级的好处 156
6.6.2 信息分级概念 157
6.6.3 数据分类 160
6.6.4 Bell-LaPadula模型 161
6.7 系统和数据审计 162
6.7.1 Syslog 163
6.7.2 SIEM 164
6.8 纵深防御 166
6.9 最小特权原则 168
6.10 信任 169
6.11 隔离 170
6.11.1 虚拟化 170
6.11.2 沙箱 171
6.11.3 IPSec域隔离 171
6.12 安全政策 171
6.12.1 高级管理政策声明 172
6.12.2 NIST政策归类 172
6.13 通信安全 173
6.14 小结 175
第7章 安全检查 177
7.1 验证安全的工具 177
7.1.1 脆弱性评估和威胁分析 179
7.1.2 使用Snort进行入侵检测
和预防 180
7.1.3 使用Nmap进行网络扫描 181
7.1.4 Web应用程序调查 183
7.1.5 漏洞扫描 187
7.1.6 渗透测试 189
7.1.7 无线侦察 191
7.2 小结 194
第8章 威胁和攻击 197
8.1 基本定义 198
8.1.1 目标 198
8.1.2 威胁 198
8.1.3 攻击 199
8.1.4 控制 199
8.1.5 同源策略 199
8.2 常见的Web商务攻击 200
8.2.1 遭破坏的验证和会话管理
攻击 200
8.2.2 跨站点请求伪造攻击 201
8.2.3 跨站点脚本攻击 204
8.2.4 DNS劫持攻击 207
8.2.5 不限制URL访问攻击 208
8.2.6 注入漏洞 208
8.2.7 不充分的传输层保护攻击 211
8.2.8 不安全的密码存储攻击 211
8.2.9 不安全的直接对象引用
攻击 212
8.2.10 钓鱼和垃圾邮件攻击 212
8.2.11 Rootkit及其相关攻击 213
8.2.12 安全配置错误攻击 213
8.2.13 未经验证的重定向和引导
攻击 214
8.3 小结 214
第9章 认证 215
9.1 认证与鉴定 215
9.2 标准和相关指南 217
9.2.1 可信计算机系统评价
标准 217
9.2.2 通用标准ISO/IEC 15408 218
9.2.3 防御信息保证认证和鉴定
流程 218
9.2.4 管理和预算办公室A-130
通报 219
9.2.5 国家信息保证认证和鉴定
流程(NIACAP) 220
9.2.6 联邦信息安全管理法案
(FISMA) 222
9.2.7 联邦信息技术安全评估
框架 222
9.2.8 FIPS 199 223
9.2.9 FIPS 200 223
9.2.10 补充指南 224
9.3 相关标准机构和组织 225
9.3.1 耶利哥城论坛 225
9.3.2 分布式管理任务组 225
9.3.3 国际标准化组织/国际
电工委员会 226
9.3.4 欧洲电信标准协会 228
9.3.5 全球网络存储工业协会 228
9.3.6 开放Web应用程序安全
项目 229
9.3.7 NIST SP 800-30 231
9.4 认证实验室 232
9.4.1 软件工程中心软件保证
实验室 232
9.4.2 SAIC 233
9.4.3 国际计算机安全协会
实验室 233
9.5 系统安全工程能力成熟度
模型 233
9.6 验证的价值 236
9.6.1 何时重要 236
9.6.2 何时不重要 236
9.7 证书类型 237
9.7.1 通用标准 237
9.7.2 万事达信用卡合规和安全
测试 237
9.7.3 EMV 237
9.7.4 其他评价标准 239
9.7.5 NSA 240
9.7.6 FIPS 140认证和NIST 241
9.8 小结 241
附录A 计算基础 243
附录B 标准化和管理机构 269
附录C 术语表 285
附录D 参考文献 339
· · · · · · (收起)
读后感
评分
评分
评分
评分
用户评价
这本书讲的太专业了。美帝良心
评分这本书讲的太专业了。美帝良心
评分这本书讲的太专业了。美帝良心
评分这本书讲的太专业了。美帝良心
评分这本书讲的太专业了。美帝良心
相关图书
本站所有内容均为互联网搜索引擎提供的公开搜索信息,本站不存储任何数据与内容,任何内容与数据均与本站无关,如有需要请联系相关搜索引擎包括但不限于百度,google,bing,sogou 等
© 2025 qciss.net All Rights Reserved. 小哈图书下载中心 版权所有