银行业开发安全管理与实践

本书以银行业为背景，深入探讨了银行业开发安全，从银行业的信息系统现状探讨开发安全的必要性，从银行业的开发安全实践揭示开发安全的定义和内涵，从银行业的安全案例呈现开发安全的价值。本书从银行实践出发，严格按照信息系统的开发建设过程，翔实地介绍开发过程中的每一个环节，安全工作的要求、解决方案、工作技巧和实践经验。IT初学者可以通过本书学会开发安全的做法，IT专家可以通过本书借鉴实践经验，IT管理者可以通过本书提升安全管理能力，程序员、安全管理人员、测试人员、项目管理人员等都能从中受益。本书既可作为系统了解开发安全知识的学习用书，也可作为开发安全日常工作中使用的速查手册，是金融行业开发安全领域从业人员的专业技术参考书。

前言
第1章绪论/1
1.1银行业信息系统的发展状况/1
1.2银行业信息系统安全现状/3
1.3国内外开发安全的现状/4
1.3.1国外开发安全/4
1.3.2国内开发安全/6
1.4国内银行业开发安全的现状/7
1.5国内银行业开发安全的监管要求/8
1.5.1法律要求/8
1.5.2行业监管要求/9
第2章全面认识开发安全/19
2.1开发安全基础概念/19
2.1.1信息安全/20
2.1.2信息系统安全/20
2.1.3开发安全综述/21
2.2开发安全关注点/21
2.2.1项目准备阶段的安全/22
2.2.2需求分析阶段的安全/23
2.2.3系统设计阶段的安全/23
2.2.4系统编码阶段的安全/24
2.2.5系统测试阶段的安全/28
2.2.6部署阶段的安全/28
2.2.7运维阶段的安全/29
2.2.8废弃阶段的安全/29
2.2.9项目管理安全/29
2.2.10系统开发外包的安全/30
2.2.11开发安全培训/33
2.3开发安全的价值/34
2.4基于软件工程的开发安全体系/34
2.4.1安全描述语言/35
2.4.2软件安全分析与安全设计/36
2.4.3设计模式介绍/37
2.4.4POAD方法介绍/38
2.4.5安全模式及其应用研究/39
2.4.6安全模式库构建/41
2.5基于成功实践的开发安全体系/43
2.5.1微软SDL/43
2.5.2OWASP的安全开发项目/53
2.5.3McGraw的BSI模型/57
2.5.4搜狐SDL/57
2.6基于软件开发成熟度的开发安全体系/60
2.6.1安全性能力成熟度模型/61
2.6.2安全性管理过程域/61
2.6.3安全性工程过程域/63
2.6.4安全性能力成熟度模型与CMMI和安全性标准间的关系/64
2.6.5安全性能力成熟度模型使用指南/66
2.7开发安全综述/68
第3章银行业开发全生命周期安全管理体系/69
3.1开发全生命周期安全管理介绍/69
3.2开发生命周期安全管理的模型/69
3.2.1ADCTA循环模型/69
3.2.2ADCTA循环模型的应用/71
3.3开发全生命周期安全管理体系/72
3.4准备阶段/74
3.4.1项目可行性安全分析和安全预评审/74
3.4.2威胁分析准备工作/74
3.4.3威胁模型/75
3.4.4威胁建模的方法/80
3.4.5银行业威胁分析特色/88
3.5安全需求/89
3.5.1工作内容/89
3.5.2银行业安全需求特色/90
3.6安全设计/99
3.6.1工作内容/99
3.6.2银行业安全设计特色/100
3.7安全编码/102
3.7.1工作要求/102
3.7.2银行业安全编码特色/106
3.7.3银行业的安全编码支撑体系/106
3.8安全测试/106
3.8.1工作要求/106
3.8.2银行业安全测试特色/111
3.8.3银行业安全测试资源库/113
3.9安全部署/114
3.9.1工作要求/114
3.9.2银行业安全部署特色/115
3.10安全运维/117
3.10.1工作要求/117
3.10.2银行业安全运维特色/117
3.11安全培训/121
第4章掌握开发安全实施技巧/122
4.1开发全生命周期安全管理的内容/122
4.2准备工作/123
4.2.1信息安全人才储备/123
4.2.2开发流程和管理调研/124
4.2.3安全现状调研/125
4.3开发安全管理体系建设/125
4.4安全评审流程设计/126
4.4.1评审流程/126
4.4.2安全评审的组织架构/128
4.4.3安全评审的输入输出/129
4.5人员培训/129
4.5.1制订培训计划/130
4.5.2开发安全管理培训/130
4.5.3开发安全技能培训/130
4.6体系试运行及正式运作/131
4.7体系运行有效性评估/132
4.7.1体系评估的内容/132
4.7.2有效性评估方法/132
4.8实施工作的难点和应对措施/133
第5章巧用开发安全的有关工具/136
5.1工具整体分析/136
5.2工具详细介绍/137
5.2.1准备/137
5.2.2需求/141
5.2.3编码/143
5.2.4测试/154
5.2.5部署/156
5.2.6运维/159
第6章开发安全的发展趋势/169
6.1面向敏捷开发的开发安全管理/169
6.1.1敏捷开发介绍/169
6.1.2敏捷开发对安全管理的挑战/174
6.1.3敏捷开发的切入点/174
6.1.4敏捷开发安全管理实践/178
6.2基于云计算的开发安全管理/184
6.2.1国内外主流云服务开发平台介绍/184
6.2.2云计算环境下的信息安全防御策略/186
6.2.3云计算的安全等级保护要求/187
6.2.4银行云计算安全的发展/193
6.3DevOps的安全管理/193
6.3.1DevOps介绍/193
6.3.2DevOps的安全管理/194
6.4基于威胁情报的开发安全管理/195