前言
第1章　緒論　 /　1
1.1　銀行業(yè)信息系統(tǒng)的發(fā)展?fàn)顩r　 /　1
1.2　銀行業(yè)信息系統(tǒng)安全現(xiàn)狀　 /　3
1.3　國內(nèi)外開發(fā)安全的現(xiàn)狀　 /　4
1.3.1　國外開發(fā)安全　 /　4
1.3.2　國內(nèi)開發(fā)安全　 /　6
1.4　國內(nèi)銀行業(yè)開發(fā)安全的現(xiàn)狀　 /　7
1.5　國內(nèi)銀行業(yè)開發(fā)安全的監(jiān)管要求　 /　8
1.5.1　法律要求　 /　8
1.5.2　行業(yè)監(jiān)管要求　 /　9
第2章　全面認(rèn)識開發(fā)安全　 /　19
2.1　開發(fā)安全基礎(chǔ)概念　 /　19
2.1.1　信息安全　 /　20
2.1.2　信息系統(tǒng)安全　 /　20
2.1.3　開發(fā)安全綜述　 /　21
2.2　開發(fā)安全關(guān)注點　 /　21
2.2.1　項目準(zhǔn)備階段的安全　 /　22
2.2.2　需求分析階段的安全　 /　23
2.2.3　系統(tǒng)設(shè)計階段的安全　 /　23
2.2.4　系統(tǒng)編碼階段的安全　 /　24
2.2.5　系統(tǒng)測試階段的安全　 /　28
2.2.6　部署階段的安全　 /　28
2.2.7　運維階段的安全　 /　29
2.2.8　廢棄階段的安全　 /　29
2.2.9　項目管理安全　 /　29
2.2.10　系統(tǒng)開發(fā)外包的安全　 /　30
2.2.11　開發(fā)安全培訓(xùn)　 /　33
2.3　開發(fā)安全的價值　 /　34
2.4　基于軟件工程的開發(fā)安全體系　 /　34
2.4.1　安全描述語言　 /　35
2.4.2　軟件安全分析與安全設(shè)計　 /　36
2.4.3　設(shè)計模式介紹　 /　37
2.4.4　POAD方法介紹　 /　38
2.4.5　安全模式及其應(yīng)用研究　 /　39
2.4.6　安全模式庫構(gòu)建　 /　41
2.5　基于成功實踐的開發(fā)安全體系　 /　43
2.5.1　微軟SDL　 /　43
2.5.2　OWASP的安全開發(fā)項目　 /　53
2.5.3　McGraw的BSI模型　 /　57
2.5.4　搜狐SDL　 /　57
2.6　基于軟件開發(fā)成熟度的開發(fā)安全體系　 /　60
2.6.1　安全性能力成熟度模型　 /　61
2.6.2　安全性管理過程域　 /　61
2.6.3　安全性工程過程域　 /　63
2.6.4　安全性能力成熟度模型與CMMI和安全性標(biāo)準(zhǔn)間的
　　　?關(guān)系　 /　64
2.6.5　安全性能力成熟度模型使用指南　 /　66
2.7　開發(fā)安全綜述　 /　68
第3章　銀行業(yè)開發(fā)全生命周期安全管理體系　 /　69
3.1　開發(fā)全生命周期安全管理介紹　 /　69
3.2　開發(fā)生命周期安全管理的模型　 /　69
3.2.1　ADCTA循環(huán)模型　 /　69
3.2.2　ADCTA循環(huán)模型的應(yīng)用　 /　71
3.3　開發(fā)全生命周期安全管理體系　 /　72
3.4　準(zhǔn)備階段　 /　74
3.4.1　項目可行性安全分析和安全預(yù)評審　 /　74
3.4.2　威脅分析準(zhǔn)備工作　 /　74
3.4.3　威脅模型　 /　75
3.4.4　威脅建模的方法　 /　80
3.4.5　銀行業(yè)威脅分析特色　 /　88
3.5　安全需求　 /　89
3.5.1　工作內(nèi)容　 /　89
3.5.2　銀行業(yè)安全需求特色　 /　90
3.6　安全設(shè)計　 /　99
3.6.1　工作內(nèi)容　 /　99
3.6.2　銀行業(yè)安全設(shè)計特色　 /　100
3.7　安全編碼　 /　102
3.7.1　工作要求　 /　102
3.7.2　銀行業(yè)安全編碼特色　 /　106
3.7.3　銀行業(yè)的安全編碼支撐體系　 /　106
3.8　安全測試　 /　106
3.8.1　工作要求　 /　106
3.8.2　銀行業(yè)安全測試特色　 /　111
3.8.3　銀行業(yè)安全測試資源庫　 /　113
3.9　安全部署　 /　114
3.9.1　工作要求　 /　114
3.9.2　銀行業(yè)安全部署特色　 /　115
3.10　安全運維　 /　117
3.10.1　工作要求　 /　117
3.10.2　銀行業(yè)安全運維特色　 /　117
3.11　安全培訓(xùn)　 /　121
第4章　掌握開發(fā)安全實施技巧　 /　122
4.1　開發(fā)全生命周期安全管理的內(nèi)容　 /　122
4.2　準(zhǔn)備工作　 /　123
4.2.1　信息安全人才儲備　 /　123
4.2.2　開發(fā)流程和管理調(diào)研　 /　124
4.2.3　安全現(xiàn)狀調(diào)研　 /　125
4.3　開發(fā)安全管理體系建設(shè)　 /　125
4.4　安全評審流程設(shè)計　 /　126
4.4.1　評審流程　 /　126
4.4.2　安全評審的組織架構(gòu)　 /　128
4.4.3　安全評審的輸入輸出　 /　129
4.5　人員培訓(xùn)　 /　129
4.5.1　制訂培訓(xùn)計劃　 /　130
4.5.2　開發(fā)安全管理培訓(xùn)　 /　130
4.5.3　開發(fā)安全技能培訓(xùn)　 /　130
4.6　體系試運行及正式運作　 /　131
4.7　體系運行有效性評估　 /　132
4.7.1　體系評估的內(nèi)容　 /　132
4.7.2　有效性評估方法　 /　132
4.8　實施工作的難點和應(yīng)對措施　 /　133
第5章　巧用開發(fā)安全的有關(guān)工具　 /　136
5.1　工具整體分析　 /　136
5.2　工具詳細(xì)介紹　 /　137
5.2.1　準(zhǔn)備　 /　137
5.2.2　需求　 /　141
5.2.3　編碼　 /　143
5.2.4　測試　 /　154
5.2.5　部署　 /　156
5.2.6　運維　 /　159
第6章　開發(fā)安全的發(fā)展趨勢　 /　169
6.1　面向敏捷開發(fā)的開發(fā)安全管理　 /　169
6.1.1　敏捷開發(fā)介紹　 /　169
6.1.2　敏捷開發(fā)對安全管理的挑戰(zhàn)　 /　174
6.1.3　敏捷開發(fā)的切入點　 /　174
6.1.4　敏捷開發(fā)安全管理實踐　 /　178
6.2　基于云計算的開發(fā)安全管理　 /　184
6.2.1　國內(nèi)外主流云服務(wù)開發(fā)平臺介紹　 /　184
6.2.2　云計算環(huán)境下的信息安全防御策略　 /　186
6.2.3　云計算的安全等級保護(hù)要求　 /　187
6.2.4　銀行云計算安全的發(fā)展　 /　193
6.3　DevOps的安全管理　 /　193
6.3.1　DevOps介紹　 /　193
6.3.2　DevOps的安全管理　 /　194
6.4　基于威脅情報的開發(fā)安全管理　 /　195
6.4.1　威脅情報的概念　 /　195
6.4.2　威脅情報的必要性　 /　196
6.4.3　威脅情報與安全開發(fā)　 /　197
第7章　開發(fā)安全案例　 /　198
7.1　民生銀行開發(fā)安全應(yīng)用實例　 /　198
7.1.1　背景　 /　198
7.1.2　技術(shù)路線和關(guān)鍵技術(shù)　 /　199
7.1.3　民生銀行開發(fā)安全管理架構(gòu)　 /　199
7.1.4　民生銀行開發(fā)安全管理體系　 /　200
7.1.5　民生銀行安全評審流程　 /　204
7.1.6　安全需求　 /　205
7.1.7　情景式需求分析平臺　 /　206
7.1.8　安全設(shè)計和開發(fā)支持　 /　207
7.1.9　安全解決方案　 /　207
7.1.10　小結(jié)　 /　209
7.2　中國農(nóng)業(yè)銀行安全開發(fā)管控實例　 /　209
7.2.1　項目背景　 /　209
7.2.2　安全開發(fā)管理理念及思路　 /　209
7.2.3　安全開發(fā)管控項目實踐　 /　211
7.2.4　小結(jié)　 /　220
7.3　基于架構(gòu)安全的開發(fā)安全管理實踐　 /　220
7.3.1　架構(gòu)管理介紹　 /　220
7.3.2　架構(gòu)安全管理　 /　222
7.3.3　小結(jié)　 /　226
7.4　XcodeGhost事件　 /　226
7.4.1　事件始末　 /　226
7.4.2　原理分析　 /　227
7.4.3　傳播途徑　 /　228
7.4.4　影響面　 /　229
7.4.5　后續(xù)　 /　229
7.4.6　案例總結(jié)　 /　229
參考文獻(xiàn)　 /　230