第I部分  商 务 概 览

第1章  Internet时代：电子商务 3

1.1  商务的演变 3

1.2  支付 5

1.2.1  货币 5

1.2.2  金融网络 5

1.3  分布式计算：在商务前添加

“电子” 13

1.3.1  客户机/服务器 13

1.3.2  网格计算 14

1.3.3  云计算 15

1.3.4  云安全 19

1.4  小结 28

第2章  移动商务 29

2.1  消费者电子设备 30

2.2  移动电话和移动商务 30

2.2.1  概述 30

2.2.2  移动商务与电子商务 33

2.2.3  移动状态 38

2.3  移动技术 39

2.3.1  Carrier网络 39

2.3.2  栈 41

2.4  小结 54

第3章  Web商务安全中的几个重要

特性 55

3.1  机密性、完整性和可用性 55

3.1.1  机密性 55

3.1.2  完整性 56

3.1.3  可用性 57

3.2  可伸展性 57

3.2.1  黑盒可伸展性 58

3.2.2  白盒可伸展性(开放盒) 58

3.2.3  白盒可伸展性(玻璃盒) 59

3.2.4  灰盒可伸展性 60

3.3  故障耐受性 60

3.3.1  高可用性 61

3.3.2  电信网络故障耐受性 61

3.4  互操作性 62

3.4.1  其他互操作性标准 62

3.4.2  互操作性测试 62

3.5  可维护性 63

3.6  可管理性 63

3.7  模块性 64

3.8  可监测性 64

3.8.1  入侵检测 65

3.8.2  渗透测试 66

3.8.3  危害分析 66

3.9  可操作性 67

3.9.1  保护资源和特权实体 67

3.9.2  Web商务可操作性控制

的分类 68

3.10  可移植性 68

3.11  可预测性 69

3.12  可靠性 69

3.13  普遍性 70

3.14  可用性 71

3.15  可扩展性 71

3.16  问责性 72

3.17  可审计性 73

3.18  溯源性 74

3.19  小结 75

第II部分  电子商务安全

第4章  电子商务基础 79

4.1  为什么电子商务安全很重要 79

4.2  什么使系统更安全 80

4.3  风险驱动安全 81

4.4  安全和可用性 82

4.4.1  密码的可用性 83

4.4.2  实用笔记 83

4.5  可扩展的安全 84

4.6  确保交易安全 84

4.7  小结 85

第5章  构件 87

5.1  密码 87

5.1.1  密码的作用 87

5.1.2  对称加密系统 88

5.1.3  非对称加密系统 96

5.1.4  数字签名 100

5.1.5  随机数生成 103

5.1.6  公共密钥证书系统——数字

证书 105

5.1.7  数据保护 110

5.2  访问控制 112

5.2.1  控制 112

5.2.2  访问控制模型 113

5.3  系统硬化 114

5.3.1  服务级安全 114

5.3.2  主机级安全 125

5.3.3  网络安全 128

5.4  小结 140

第6章  系统组件 141

6.1  身份认证 141

6.1.1  用户身份认证 141

6.1.2  网络认证 144

6.1.3  设备认证 146

6.1.4  API认证 146

6.1.5  过程验证 148

6.2  授权 149

6.3  不可否认性 149

6.4  隐私权 150

6.4.1  隐私权政策 150

6.4.2  与隐私权有关的法律和指导

原则 151

6.4.3  欧盟原则 151

6.4.4  卫生保健领域的隐私权

问题 152

6.4.5  隐私权偏好平台 152

6.4.6  电子监控 153

6.5  信息安全 154

6.6  数据和信息分级 156

6.6.1  信息分级的好处 156

6.6.2  信息分级概念 157

6.6.3  数据分类 160

6.6.4  Bell-LaPadula模型 161

6.7  系统和数据审计 162

6.7.1  Syslog 163

6.7.2  SIEM 164

6.8  纵深防御 166

6.9  最小特权原则 168

6.10  信任 169

6.11  隔离 170

6.11.1  虚拟化 170

6.11.2  沙箱 171

6.11.3  IPSec域隔离 171

6.12  安全政策 171

6.12.1  高级管理政策声明 172

6.12.2  NIST政策归类 172

6.13  通信安全 173

6.14  小结 175

第7章  安全检查 177

7.1  验证安全的工具 177

7.1.1  脆弱性评估和威胁分析 179

7.1.2  使用Snort进行入侵检测

和预防 180

7.1.3  使用Nmap进行网络扫描 181

7.1.4  Web应用程序调查 183

7.1.5  漏洞扫描 187

7.1.6  渗透测试 189

7.1.7  无线侦察 191

7.2  小结 194

第8章  威胁和攻击 197

8.1  基本定义 198

8.1.1  目标 198

8.1.2  威胁 198

8.1.3  攻击 199

8.1.4  控制 199

8.1.5  同源策略 199

8.2  常见的Web商务攻击 200

8.2.1  遭破坏的验证和会话管理

攻击 200

8.2.2  跨站点请求伪造攻击 201

8.2.3  跨站点脚本攻击 204

8.2.4  DNS劫持攻击 207

8.2.5  不限制URL访问攻击 208

8.2.6  注入漏洞 208

8.2.7  不充分的传输层保护攻击 211

8.2.8  不安全的密码存储攻击 211

8.2.9  不安全的直接对象引用

攻击 212

8.2.10  钓鱼和垃圾邮件攻击 212

8.2.11  Rootkit及其相关攻击 213

8.2.12  安全配置错误攻击 213

8.2.13  未经验证的重定向和引导攻击 214

8.3  小结 214

第9章  认证 215

9.1  认证与鉴定 215

9.2  标准和相关指南 217

9.2.1  可信计算机系统评价标准 217

9.2.2  通用标准ISO/IEC 15408 218

9.2.3  防御信息保证认证和鉴定流程 218

9.2.4  管理和预算办公室A-130

通报 219

9.2.5  国家信息保证认证和鉴定流程(NIACAP) 220

9.2.6  联邦信息安全管理法案(FISMA) 222

9.2.7  联邦信息技术安全评估框架 222

9.2.8  FIPS 199 223

9.2.9  FIPS 200 223

9.2.10  补充指南 224

9.3  相关标准机构和组织 225

9.3.1  耶利哥城论坛 225

9.3.2  分布式管理任务组 225

9.3.3  国际标准化组织/国际

电工委员会 226

9.3.4  欧洲电信标准协会 228

9.3.5  全球网络存储工业协会 228

9.3.6  开放Web应用程序安全

项目 229

9.3.7  NIST SP 800-30 231

9.4  认证实验室 232

9.4.1  软件工程中心软件保证实验室 232

9.4.2  SAIC 233

9.4.3  国际计算机安全协会实验室 233

9.5  系统安全工程能力成熟度模型 233

9.6  验证的价值 236

9.6.1  何时重要 236

9.6.2  何时不重要 236

9.7  证书类型 237

9.7.1  通用标准 237

9.7.2  万事达信用卡合规和安全测试 237

9.7.3  EMV 237

9.7.4  其他评价标准 239

9.7.5  NSA 240

9.7.6  FIPS 140认证和NIST 241

9.8  小结 241

附录A   计算基础 243

附录B   标准化和管理机构 269

附录C   术语表 285

附录D   参考文献 339