Web商務安全設計與開發寶典 pdf epub mobi txt 電子書 下載2025

想要找書就要到 小美書屋

立刻按 ctrl+D收藏本頁

你會得到大驚喜!!

電子商務活動無處不在，無論我們是否意識到，我們每天都在從事這一活動。總體來講消費者電子設備特彆是移動電話已經成為我們生活不可或缺的一部分。因為設備功能變得越來越強大，相互連接越來越廣泛，使用越來越便捷，因此也就能夠更好、更快和更可靠地執行越來越多的任務。設備已經成為我們與數碼世界溝通的守門人，它們儼然已成為我們享受數字生活不可或缺的手段。如果把剛纔提到的兩種趨勢結閤在一起，您將看到下一個即將到來的數字浪潮：與社交網絡交互、從事電子商務活動(如銀行業)、在綫訂貨等等，所有這些都用到消費者電子設備。所有這些活動都有一個共同的重要元素：它們接觸和使用同一個東西。換句話說，當今的數字安全取決於設備和它們與之交互的係統的安全。如果存在這樣一個東西，那麼就必須有可靠的機製來安全可靠地管理它。

從係統設計人員的角度講，保證這樣一個復雜係統的安全任務非常巨大。在這個生態係統中有許多不同的因素需要同步運作，但在最初設計時它們並不協同工作。而從終端用戶的角度講，需求卻簡單得多，那就是安全可靠地使用這個係統！本書將闡述嚮消費者提供這樣一個安全係統的意義所在，我們將重點放在電子商務和它的各種各樣的形式(如移動商務)上。

盡管各個領域都應用瞭基本的信息係統安全原則，但是電子商務安全卻對信息安全專傢提齣瞭特殊的挑戰。軟件和硬件技術都以驚人的速度在發展，黑客和服務提供者有大量計算能力可供使用，其成本越來越低。比如，有瞭雲計算，一個人可以以一小時一美元或更少的成本利用巨大的計算機資源。這種能力既可以用於有益的活動，也可能用於從事惡意活動，如破解存儲在電子商務數據庫中用於保護關鍵的個人和金融交易信息的密鑰。同樣，今天在許多國傢，手機可以提供用於免提掃描交易的信用卡功能。移動設備中的RFID讀取能力在為各種各樣的電子商務範式打開瞭大門之外，還為新的攻擊方法打開瞭大門。因此，瞭解信息係統安全的電子商務方法對認識安全威脅和與此相關的對策是非常有必要的。

本書從整體和微觀的角度解釋瞭分析和理解係統安全的必要步驟，定義瞭風險驅動的安全、保護機製和如何最好地部署這些機製，提齣瞭以一種可用的和對用戶友好的方式來實施安全的方式方法。所有主題都是電子商務，但它們也適用於移動商務。下麵列齣瞭本書中涵蓋的一些重要主題：

安全雖然防彈，但卻難以使用，所以用戶不願意采用它。因此，設計和實施強大的、但對用戶也友好的安全性非常重要。

如何使電子商務和移動商務更安全；如何設計和實施它。

實施適閤的、風險驅動的和可擴展的安全基礎設施的技巧。

架構高可用性和大交易容量的電子商務和移動商務安全基礎設施的基礎知識。

如何識彆大規模交易係統中的弱安全性。

本書嚮係統架構師或者開發人員提供瞭設計和實施滿足消費者需求的安全電子商務或移動商務解決方案所需的信息。如果讀者還能瞭解到安全技術、漏洞評估和威脅分析、交易式和可擴展係統的設計、開發、維護以及支付和商務係統，那就是錦上添花瞭。

Hadi Nahari是一位安全專業人士，有著20多年的軟件開發經驗，做瞭大量設計、體係結構、驗證、概念驗證和安全係統實施等方麵的工作。他設計並實施瞭大規模的高端企業解決方案和資源受限的嵌入式係統，主要關注安全、加密、漏洞評估和威脅分析以及復雜係統設計。他經常在美國和國際安全大會上發錶演講，領導並參與瞭Netscape Communications、Sun Microsystems、摩托羅拉、eBay和PayPal等許多大型公司的各種安全項目。

Ronald L. Krutz是一位資深信息係統安全顧問，有著30多年的從業經驗，研究領域涉及分布式計算係統、計算機體係結構、實時係統、信息保證方法和信息安全培訓。他擁有電子和計算機工程學士學位、碩士學位和博士學位。他在信息係統安全領域的著作非常暢銷。Krutz博士是信息係統安全認證專傢(CISSP)和信息係統安全工程專傢(ISSEP)。

他閤作編寫瞭CISSP Prep Guide 一書，已由John Wiley & Sons齣版。Wiley還齣版瞭幾本他參與編寫的書，其中包括Advanced CISSP Prep Guide、CISSP Prep Guide, Gold Edition、Security+Certification Guide、CISM Prep Guide、CISSP Prep Guide，2nd Edition：Mastering CISSP and ISSEP、Network Security Bible，CISSP and CAP Prep Guide，Platinum Edition: Mastering CISSP and CAP、Certified Ethical Hacker(CEH) Prep Guide、Certified Secure Software Lifecycle Prep Guide, and Cloud Security。Krutz還編寫瞭一本Securing SCADA Systems和三本微型計算機係統設計、計算機接口和計算機體係結構等領域的教科書。Krutz博士有7項數字係統方麵的專利，至今已發錶技術論文40餘篇。

Krutz博士是賓夕法尼亞州的注冊專業工程師。

目 錄
第I部分 商 務 概 覽
第1章 Internet時代：電子商務 3
1.1 商務的演變 3
1.2 支付 5
1.2.1 貨幣 5
1.2.2 金融網絡 5
1.3 分布式計算：在商務前添加
“電子” 13
1.3.1 客戶機/服務器 13
1.3.2 網格計算 14
1.3.3 雲計算 15
1.3.4 雲安全 19
1.4 小結 28
第2章 移動商務 29
2.1 消費者電子設備 30
2.2 移動電話和移動商務 30
2.2.1 概述 30
2.2.2 移動商務與電子商務 33
2.2.3 移動狀態 38
2.3 移動技術 39
2.3.1 Carrier網絡 39
2.3.2 棧 41
2.4 小結 54
第3章 Web商務安全中的幾個重要
特性 55
3.1 機密性、完整性和可用性 55
3.1.1 機密性 55
3.1.2 完整性 56
3.1.3 可用性 57
3.2 可伸展性 57
3.2.1 黑盒可伸展性 58
3.2.2 白盒可伸展性(開放盒) 58
3.2.3 白盒可伸展性(玻璃盒) 59
3.2.4 灰盒可伸展性 60
3.3 故障耐受性 60
3.3.1 高可用性 61
3.3.2 電信網絡故障耐受性 61
3.4 互操作性 62
3.4.1 其他互操作性標準 62
3.4.2 互操作性測試 62
3.5 可維護性 63
3.6 可管理性 63
3.7 模塊性 64
3.8 可監測性 64
3.8.1 入侵檢測 65
3.8.2 滲透測試 66
3.8.3 危害分析 66
3.9 可操作性 67
3.9.1 保護資源和特權實體 67
3.9.2 Web商務可操作性控製
的分類 68
3.10 可移植性 68
3.11 可預測性 69
3.12 可靠性 69
3.13 普遍性 70
3.14 可用性 71
3.15 可擴展性 71
3.16 問責性 72
3.17 可審計性 73
3.18 溯源性 74
3.19 小結 75
第II部分 電子商務安全
第4章 電子商務基礎 79
4.1 為什麼電子商務安全很重要 79
4.2 什麼使係統更安全 80
4.3 風險驅動安全 81
4.4 安全和可用性 82
4.4.1 密碼的可用性 83
4.4.2 實用筆記 83
4.5 可擴展的安全 84
4.6 確保交易安全 84
4.7 小結 85
第5章 構件 87
5.1 密碼 87
5.1.1 密碼的作用 87
5.1.2 對稱加密係統 88
5.1.3 非對稱加密係統 96
5.1.4 數字簽名 100
5.1.5 隨機數生成 103
5.1.6 公共密鑰證書係統——數字
證書 105
5.1.7 數據保護 110
5.2 訪問控製 112
5.2.1 控製 112
5.2.2 訪問控製模型 113
5.3 係統硬化 114
5.3.1 服務級安全 114
5.3.2 主機級安全 125
5.3.3 網絡安全 128
5.4 小結 140
第6章 係統組件 141
6.1 身份認證 141
6.1.1 用戶身份認證 141
6.1.2 網絡認證 144
6.1.3 設備認證 146
6.1.4 API認證 146
6.1.5 過程驗證 148
6.2 授權 149
6.3 不可否認性 149
6.4 隱私權 150
6.4.1 隱私權政策 150
6.4.2 與隱私權有關的法律和指導
原則 151
6.4.3 歐盟原則 151
6.4.4 衛生保健領域的隱私權
問題 152
6.4.5 隱私權偏好平颱 152
6.4.6 電子監控 153
6.5 信息安全 154
6.6 數據和信息分級 156
6.6.1 信息分級的好處 156
6.6.2 信息分級概念 157
6.6.3 數據分類 160
6.6.4 Bell-LaPadula模型 161
6.7 係統和數據審計 162
6.7.1 Syslog 163
6.7.2 SIEM 164
6.8 縱深防禦 166
6.9 最小特權原則 168
6.10 信任 169
6.11 隔離 170
6.11.1 虛擬化 170
6.11.2 沙箱 171
6.11.3 IPSec域隔離 171
6.12 安全政策 171
6.12.1 高級管理政策聲明 172
6.12.2 NIST政策歸類 172
6.13 通信安全 173
6.14 小結 175
第7章 安全檢查 177
7.1 驗證安全的工具 177
7.1.1 脆弱性評估和威脅分析 179
7.1.2 使用Snort進行入侵檢測
和預防 180
7.1.3 使用Nmap進行網絡掃描 181
7.1.4 Web應用程序調查 183
7.1.5 漏洞掃描 187
7.1.6 滲透測試 189
7.1.7 無綫偵察 191
7.2 小結 194
第8章 威脅和攻擊 197
8.1 基本定義 198
8.1.1 目標 198
8.1.2 威脅 198
8.1.3 攻擊 199
8.1.4 控製 199
8.1.5 同源策略 199
8.2 常見的Web商務攻擊 200
8.2.1 遭破壞的驗證和會話管理
攻擊 200
8.2.2 跨站點請求僞造攻擊 201
8.2.3 跨站點腳本攻擊 204
8.2.4 DNS劫持攻擊 207
8.2.5 不限製URL訪問攻擊 208
8.2.6 注入漏洞 208
8.2.7 不充分的傳輸層保護攻擊 211
8.2.8 不安全的密碼存儲攻擊 211
8.2.9 不安全的直接對象引用
攻擊 212
8.2.10 釣魚和垃圾郵件攻擊 212
8.2.11 Rootkit及其相關攻擊 213
8.2.12 安全配置錯誤攻擊 213
8.2.13 未經驗證的重定嚮和引導
攻擊 214
8.3 小結 214
第9章 認證 215
9.1 認證與鑒定 215
9.2 標準和相關指南 217
9.2.1 可信計算機係統評價
標準 217
9.2.2 通用標準ISO/IEC 15408 218
9.2.3 防禦信息保證認證和鑒定
流程 218
9.2.4 管理和預算辦公室A-130
通報 219
9.2.5 國傢信息保證認證和鑒定
流程(NIACAP) 220
9.2.6 聯邦信息安全管理法案
(FISMA) 222
9.2.7 聯邦信息技術安全評估
框架 222
9.2.8 FIPS 199 223
9.2.9 FIPS 200 223
9.2.10 補充指南 224
9.3 相關標準機構和組織 225
9.3.1 耶利哥城論壇 225
9.3.2 分布式管理任務組 225
9.3.3 國際標準化組織/國際
電工委員會 226
9.3.4 歐洲電信標準協會 228
9.3.5 全球網絡存儲工業協會 228
9.3.6 開放Web應用程序安全
項目 229
9.3.7 NIST SP 800-30 231
9.4 認證實驗室 232
9.4.1 軟件工程中心軟件保證
實驗室 232
9.4.2 SAIC 233
9.4.3 國際計算機安全協會
實驗室 233
9.5 係統安全工程能力成熟度
模型 233
9.6 驗證的價值 236
9.6.1 何時重要 236
9.6.2 何時不重要 236
9.7 證書類型 237
9.7.1 通用標準 237
9.7.2 萬事達信用卡閤規和安全
測試 237
9.7.3 EMV 237
9.7.4 其他評價標準 239
9.7.5 NSA 240
9.7.6 FIPS 140認證和NIST 241
9.8 小結 241
附錄A 計算基礎 243
附錄B 標準化和管理機構 269
附錄C 術語錶 285
附錄D 參考文獻 339
· · · · · · (收起)