掃一掃
關注中圖網
官方微博
本類五星書更多>
-
>
全國計算機等級考試最新真考題庫模擬考場及詳解·二級MSOffice高級應用
-
>
決戰行測5000題(言語理解與表達)
-
>
軟件性能測試.分析與調優實踐之路
-
>
第一行代碼Android
-
>
JAVA持續交付
-
>
EXCEL最強教科書(完全版)(全彩印刷)
-
>
深度學習
數字銀行安全體系構建 版權信息
- ISBN:9787115627933
- 條形碼:9787115627933 ; 978-7-115-62793-3
- 裝幀:平裝-膠訂
- 冊數:暫無
- 重量:暫無
- 所屬分類:>
數字銀行安全體系構建 本書特色
1. 國內外對銀行業數字化轉型過程中如何防范安全風險這個問題尚在一個探索階段,而網商銀行從創始之初就是按照數字化銀行的模式建設的,是數字化銀行安全體系建設的先行者,積累和探索了可行的數字銀行的安全體系建設方法。
2.本書聚焦數字銀行安全體系建設,讀者可以了解到數字銀行的安全體系建設思路、方法和實踐,可以學習如何兼得銀行級別的安全和互聯網公司的效率。
3.本書作者為網商銀行信息安全部全體成員,團隊成員均為多年行業安全專家。
數字銀行安全體系構建 內容簡介
本書內容來源于網商銀行在信息安全方面的一線實戰經驗,主要介紹網商銀行作為一家數字化銀行如何進行網絡信息安全體系建設,覆蓋的安全子領域包括:基礎設施安全、業務應用安全、數據安全、威脅感知、紅藍演練等。本書的內容總體分為六個部分:**部分介紹數字銀行安全體系建設的整體架構與方法論,第二部分介紹默認安全機制,講述如何有效控制所有已知類型的安全風險,第三部分介紹可信縱深防御體系,講述如何應對未知類型的安全風險和高級威脅,第四部分介紹威脅感知與響應體系,講述對于可能發生的威脅如何有效感知和處置,第五部分介紹實戰檢驗,通過實戰攻防演習的方式講述如何檢驗安全體系的有效性和安全水位,第六部分介紹安全數智化,講述如何通過數字化、自動化、智能化實現安全工作的有效開展。
數字銀行安全體系構建 目錄
第 一部分 數字銀行安全體系 10
第 1 章 數字銀行與安全體系概述 11
1.1 數字銀行面臨的機遇與挑戰 11
1.1.1 傳統銀行的成本挑戰 11
1.1.2 數字銀行的商業邏輯 12
1.1.3 數字銀行面臨的安全風險 13
1.2 業界典型網絡安全架構 14
1.2.1 什么是安全架構 14
1.2.2銀行業典型網絡安全架構 15
1.2.3 互聯網企業典型網絡安全架構 16
1.2.4 安全業界新思路和新方法 17
1.3 小結 18
第 2 章 數字銀行安全體系架構設計 19
2.1 重新審視安全體系的有效性 19
2.1.1 安全目標與方向的正確性 20
2.1.2 安全責任范圍是否明確 20
2.1.3 安全體系的合理性與完備性 21
2.1.4 安全資源投入度與重點風險的重視度 22
2.1.5 安全能力與風險匹配度 22
2.1.6 安全能力的持續有效驗證 22
2.2 數字銀行安全架構設計 22
2.2.1 數字銀行安全體系建設思路 23
2.2.2 默認安全:上線前規避已知風險 25
2.2.3 可信縱深防御:運行時防護未知風險 28
2.2.4 威脅感知與響應:預設風險還是會發生 30
2.2.5 實戰檢驗:防護效果持續充分檢驗 30
2.2.6 安全數智化:極致的安全加固效率 31
2.2.7 數字銀行安全整體架構 32
2.3 小結 33
第二部分 默認安全 33
第 3 章 默認安全及其架構 34
3.1 什么是默認安全 34
3.1.1 默認安全機制 34
3.1.2 默認安全與SDL、DevSecOps 35
3.2 默認安全架構 36
3.2.1 設計目標 36
3.2.2 設計思路 37
3.3 小結 39
第 4 章 默認安全體系建設方案 39
4.1 信息安全基線 40
4.1.1 安全基線設定的目標 40
4.1.2 信息安全基線結構 41
4.1.3 安全基線運營體系 52
4.2 安全資產建設 53
4.2.1 資產范圍 53
4.2.2 數據資產 55
4.2.3 資產數據質量 59
4.2.4不可忽視的大數據平臺類資產 59
4.2.5 風險治理、防護與度量 60
4.3 增量風險管控 60
4.3.1 變更感知與管控 61
4.3.2 風險剖析與處置 70
4.3.3 防護組件默認集成 79
4.3.4 安全心智運營 85
4.4 存量風險治理 87
4.4.1 漏洞自動化處置 88
4.4.2 常態化風險巡檢 92
4.5 風險發現體系演進 93
4.5.1 背景 93
4.5.2 安全產品的轉變 95
4.5.3 實現思路 96
4.5.4 安全團隊間的職能變化 103
4.5.5 運營實踐 104
4.6 小結 107
第 5 章 默認安全治理應用實踐 108
5.1 軟件供應鏈安全治理 108
5.1.1 軟件供應鏈面臨哪些風險 109
5.1.2 如何應對軟件供應鏈安全風險 110
5.1.3 理清臺賬 119
5.1.4 隔離防護 120
5.2 水平越權漏洞的檢測 120
5.3 前端安全風險治理 127
5.3.1 背景介紹 127
5.3.2 傳統解決思路 129
5.3.3 默認防護 131
5.4 小結 133
第三部分 可信縱深防御 134
第6章 可信縱深防御及架構 135
6.1 銀行業數字化防御體系面臨的挑戰 135
6.2 國內外新興安全防御技術簡介 137
6.2.1可信計算 137
6.2.2安全平行切面 138
6.2.3零信任 139
6.3 可信縱深防御概念 139
6.3.1可信防御理念 140
6.3.2縱深防御理念 141
6.4 可信縱深防御架構 142
6.4.1 設計目標 142
6.4.2 體系架構 142
6.6 小結 146
第7章 可信縱深防御體系建設方案 147
7.1 建設原則 147
7.1.1 安全可信 147
7.1.2 多層覆蓋 148
7.1.3 自身安全保障 148
7.1.4 穩定性保障 149
7.2 建設基線 149
7.3 關鍵能力建設 152
7.3.1 基礎設施可信 152
7.3.2 應用可信 154
7.3.3 網絡可信 160
7.3.4 數據使用可信 164
7.3.5 端安全可信 171
7.3.6 信任鏈構建 174
7.3.7 可信策略 176
7.4 技術保障 185
7.4.1安全性保障 185
7.4.2穩定性保障 187
7.5 實戰牽引 189
7.6 體系演進 191
7.7 小結 191
第8章 可信縱深防御體系應用實踐 192
8.1 0Day漏洞防御 192
8.2 釣魚攻擊防御 195
8.3 軟件供應鏈風險防御 198
8.4 業務數據濫用風險防御 200
8.5 高效安全加固實踐 203
8.6 小結 203
第四部分 威脅感知與響應 204
第9章 威脅感知與響應及其架構 205
9.1 威脅感知與響應面臨的挑戰 205
9.1.1 快速演化的多方面威脅 205
9.1.2 高昂的威脅對抗成本 205
9.1.3 巨大的威脅信息偏差 206
9.1.4 復雜和多變的系統拓撲結構 207
9.1.5 防不勝防的供應鏈威脅 207
9.1.6 高時效性的安全要求 208
9.1.7 自動化過程中的威脅信息丟失 208
9.2 威脅感知與響應架構 208
9.2.1 設計思路 208
9.2.2 能力要求 209
9.2.3 架構和技術 210
9.3 小結 211
第 10章 威脅感知與響應體系建設方案 212
10.1 感知覆蓋 212
10.1.1 感知數據品類 213
10.1.2 感知覆蓋的數據流 214
10.1.3 感知數據質量監控 217
10.2 威脅識別 219
10.2.1 威脅場景定義 219
10.2.2 威脅檢測策略 221
10.2.3 策略有效性檢驗 227
10.3 威脅研判 228
10.4 威脅響應 231
10.4.1 威脅事件響應步驟 231
10.4.2 威脅響應能力組成 234
10.4.3 威脅響應劇本類型 236
10.4.4 威脅響應能力驗證 239
10.5 小結 240
第 11章 威脅感知與響應體系應用實踐 241
11.1 流量攻防 241
11.1.1 解決方案 241
11.1.2 效果 243
11.2 終端失陷 243
11.2.1 解決方案 244
11.2.2 效果 246
11.3 數據盜取 246
11.3.1 解決方案 247
11.3.2 效果 248
11.4 小結 249
第五部分 實戰檢驗 250
第 12章 實戰檢驗體系 251
12.1 實戰攻防演練 251
12.1.1 實戰攻防演練概念 251
12.1.2 實戰攻防演練流程 251
12.1.3 實戰演練遇到的問題 252
12.2 有效性檢驗 252
12.2.1 有效性檢驗概念 252
12.2.2 有效性檢驗流程 253
12.2.3 有效性檢驗遇到的問題 253
12.3 網商實戰檢驗體系 253
12.3.1 設計思路 254
12.3.2 運作機制 255
12.4 小結 256
第 13章 安全水位評估框架 256
13.1 安全水位定義 256
13.2 威脅路徑圖模型 257
13.2.1 威脅路徑圖模型介紹 257
13.2.2 威脅路徑圖模型數據結構 257
13.2.3 威脅路徑圖能力介紹 264
13.3 安全水位指標 265
13.3.1 如何評估企業安全水位 265
13.3.2安全水位量化關鍵指標 267
13.4小結 269
第 14章 實戰檢驗體系應用實踐 270
14.1 能力、制度和流程建設 270
14.1.1 能力建設 270
14.1.2 制度建設 270
14.1.3 演練流程建設 273
14.2紅藍演練發現未知風險 275
14.2.1 紅藍演練規劃 275
14.2.2 紅藍演練類型 276
14.3 檢驗安全能力有效性 279
14.4 演練復盤 281
14.4.1 復盤-豐富基礎數據 281
14.4.2 復盤-橫向指標對比 283
14.4.3 復盤-縱向指標對比 284
14.4.4 復盤-關注指標的持續變化 284
14.5 *佳實踐 284
14.6 小結 287
第六部分 數字化與智能化 289
第 15章 安全數智化體系架構 290
15.1 什么是數智化 290
15.2 安全數智化建設思路 294
15.3 小結 297
第 16章 安全數智化體系建設與應用實踐 298
16.1 安全運營中心 298
16.1.1 什么是安全運營中心 299
16.1.2 一站式安全運營 300
16.1.3 產品技術支撐架構 306
16.2 安全大數據平臺 307
16.2.1 技術架構 307
16.2.2 數據模型 312
16.2.3 數據案例 314
16.3 安全自動化平臺 315
16.3.1 基礎能力 317
16.3.2 典型場景 320
16.4 安全智能平臺 331
16.4.1 智能化演進過程 331
16.4.2 智能基礎能力 332
16.4.3 安全智能平臺 336
16.5 安全管控平臺 344
16.5.1 安全管控平臺 345
16.5.2 管控能力案例 350
16.6 小結 352
第 1 章 數字銀行與安全體系概述 11
1.1 數字銀行面臨的機遇與挑戰 11
1.1.1 傳統銀行的成本挑戰 11
1.1.2 數字銀行的商業邏輯 12
1.1.3 數字銀行面臨的安全風險 13
1.2 業界典型網絡安全架構 14
1.2.1 什么是安全架構 14
1.2.2銀行業典型網絡安全架構 15
1.2.3 互聯網企業典型網絡安全架構 16
1.2.4 安全業界新思路和新方法 17
1.3 小結 18
第 2 章 數字銀行安全體系架構設計 19
2.1 重新審視安全體系的有效性 19
2.1.1 安全目標與方向的正確性 20
2.1.2 安全責任范圍是否明確 20
2.1.3 安全體系的合理性與完備性 21
2.1.4 安全資源投入度與重點風險的重視度 22
2.1.5 安全能力與風險匹配度 22
2.1.6 安全能力的持續有效驗證 22
2.2 數字銀行安全架構設計 22
2.2.1 數字銀行安全體系建設思路 23
2.2.2 默認安全:上線前規避已知風險 25
2.2.3 可信縱深防御:運行時防護未知風險 28
2.2.4 威脅感知與響應:預設風險還是會發生 30
2.2.5 實戰檢驗:防護效果持續充分檢驗 30
2.2.6 安全數智化:極致的安全加固效率 31
2.2.7 數字銀行安全整體架構 32
2.3 小結 33
第二部分 默認安全 33
第 3 章 默認安全及其架構 34
3.1 什么是默認安全 34
3.1.1 默認安全機制 34
3.1.2 默認安全與SDL、DevSecOps 35
3.2 默認安全架構 36
3.2.1 設計目標 36
3.2.2 設計思路 37
3.3 小結 39
第 4 章 默認安全體系建設方案 39
4.1 信息安全基線 40
4.1.1 安全基線設定的目標 40
4.1.2 信息安全基線結構 41
4.1.3 安全基線運營體系 52
4.2 安全資產建設 53
4.2.1 資產范圍 53
4.2.2 數據資產 55
4.2.3 資產數據質量 59
4.2.4不可忽視的大數據平臺類資產 59
4.2.5 風險治理、防護與度量 60
4.3 增量風險管控 60
4.3.1 變更感知與管控 61
4.3.2 風險剖析與處置 70
4.3.3 防護組件默認集成 79
4.3.4 安全心智運營 85
4.4 存量風險治理 87
4.4.1 漏洞自動化處置 88
4.4.2 常態化風險巡檢 92
4.5 風險發現體系演進 93
4.5.1 背景 93
4.5.2 安全產品的轉變 95
4.5.3 實現思路 96
4.5.4 安全團隊間的職能變化 103
4.5.5 運營實踐 104
4.6 小結 107
第 5 章 默認安全治理應用實踐 108
5.1 軟件供應鏈安全治理 108
5.1.1 軟件供應鏈面臨哪些風險 109
5.1.2 如何應對軟件供應鏈安全風險 110
5.1.3 理清臺賬 119
5.1.4 隔離防護 120
5.2 水平越權漏洞的檢測 120
5.3 前端安全風險治理 127
5.3.1 背景介紹 127
5.3.2 傳統解決思路 129
5.3.3 默認防護 131
5.4 小結 133
第三部分 可信縱深防御 134
第6章 可信縱深防御及架構 135
6.1 銀行業數字化防御體系面臨的挑戰 135
6.2 國內外新興安全防御技術簡介 137
6.2.1可信計算 137
6.2.2安全平行切面 138
6.2.3零信任 139
6.3 可信縱深防御概念 139
6.3.1可信防御理念 140
6.3.2縱深防御理念 141
6.4 可信縱深防御架構 142
6.4.1 設計目標 142
6.4.2 體系架構 142
6.6 小結 146
第7章 可信縱深防御體系建設方案 147
7.1 建設原則 147
7.1.1 安全可信 147
7.1.2 多層覆蓋 148
7.1.3 自身安全保障 148
7.1.4 穩定性保障 149
7.2 建設基線 149
7.3 關鍵能力建設 152
7.3.1 基礎設施可信 152
7.3.2 應用可信 154
7.3.3 網絡可信 160
7.3.4 數據使用可信 164
7.3.5 端安全可信 171
7.3.6 信任鏈構建 174
7.3.7 可信策略 176
7.4 技術保障 185
7.4.1安全性保障 185
7.4.2穩定性保障 187
7.5 實戰牽引 189
7.6 體系演進 191
7.7 小結 191
第8章 可信縱深防御體系應用實踐 192
8.1 0Day漏洞防御 192
8.2 釣魚攻擊防御 195
8.3 軟件供應鏈風險防御 198
8.4 業務數據濫用風險防御 200
8.5 高效安全加固實踐 203
8.6 小結 203
第四部分 威脅感知與響應 204
第9章 威脅感知與響應及其架構 205
9.1 威脅感知與響應面臨的挑戰 205
9.1.1 快速演化的多方面威脅 205
9.1.2 高昂的威脅對抗成本 205
9.1.3 巨大的威脅信息偏差 206
9.1.4 復雜和多變的系統拓撲結構 207
9.1.5 防不勝防的供應鏈威脅 207
9.1.6 高時效性的安全要求 208
9.1.7 自動化過程中的威脅信息丟失 208
9.2 威脅感知與響應架構 208
9.2.1 設計思路 208
9.2.2 能力要求 209
9.2.3 架構和技術 210
9.3 小結 211
第 10章 威脅感知與響應體系建設方案 212
10.1 感知覆蓋 212
10.1.1 感知數據品類 213
10.1.2 感知覆蓋的數據流 214
10.1.3 感知數據質量監控 217
10.2 威脅識別 219
10.2.1 威脅場景定義 219
10.2.2 威脅檢測策略 221
10.2.3 策略有效性檢驗 227
10.3 威脅研判 228
10.4 威脅響應 231
10.4.1 威脅事件響應步驟 231
10.4.2 威脅響應能力組成 234
10.4.3 威脅響應劇本類型 236
10.4.4 威脅響應能力驗證 239
10.5 小結 240
第 11章 威脅感知與響應體系應用實踐 241
11.1 流量攻防 241
11.1.1 解決方案 241
11.1.2 效果 243
11.2 終端失陷 243
11.2.1 解決方案 244
11.2.2 效果 246
11.3 數據盜取 246
11.3.1 解決方案 247
11.3.2 效果 248
11.4 小結 249
第五部分 實戰檢驗 250
第 12章 實戰檢驗體系 251
12.1 實戰攻防演練 251
12.1.1 實戰攻防演練概念 251
12.1.2 實戰攻防演練流程 251
12.1.3 實戰演練遇到的問題 252
12.2 有效性檢驗 252
12.2.1 有效性檢驗概念 252
12.2.2 有效性檢驗流程 253
12.2.3 有效性檢驗遇到的問題 253
12.3 網商實戰檢驗體系 253
12.3.1 設計思路 254
12.3.2 運作機制 255
12.4 小結 256
第 13章 安全水位評估框架 256
13.1 安全水位定義 256
13.2 威脅路徑圖模型 257
13.2.1 威脅路徑圖模型介紹 257
13.2.2 威脅路徑圖模型數據結構 257
13.2.3 威脅路徑圖能力介紹 264
13.3 安全水位指標 265
13.3.1 如何評估企業安全水位 265
13.3.2安全水位量化關鍵指標 267
13.4小結 269
第 14章 實戰檢驗體系應用實踐 270
14.1 能力、制度和流程建設 270
14.1.1 能力建設 270
14.1.2 制度建設 270
14.1.3 演練流程建設 273
14.2紅藍演練發現未知風險 275
14.2.1 紅藍演練規劃 275
14.2.2 紅藍演練類型 276
14.3 檢驗安全能力有效性 279
14.4 演練復盤 281
14.4.1 復盤-豐富基礎數據 281
14.4.2 復盤-橫向指標對比 283
14.4.3 復盤-縱向指標對比 284
14.4.4 復盤-關注指標的持續變化 284
14.5 *佳實踐 284
14.6 小結 287
第六部分 數字化與智能化 289
第 15章 安全數智化體系架構 290
15.1 什么是數智化 290
15.2 安全數智化建設思路 294
15.3 小結 297
第 16章 安全數智化體系建設與應用實踐 298
16.1 安全運營中心 298
16.1.1 什么是安全運營中心 299
16.1.2 一站式安全運營 300
16.1.3 產品技術支撐架構 306
16.2 安全大數據平臺 307
16.2.1 技術架構 307
16.2.2 數據模型 312
16.2.3 數據案例 314
16.3 安全自動化平臺 315
16.3.1 基礎能力 317
16.3.2 典型場景 320
16.4 安全智能平臺 331
16.4.1 智能化演進過程 331
16.4.2 智能基礎能力 332
16.4.3 安全智能平臺 336
16.5 安全管控平臺 344
16.5.1 安全管控平臺 345
16.5.2 管控能力案例 350
16.6 小結 352
展開全部
數字銀行安全體系構建 作者簡介
負責網商銀行的信息安全工作,涵蓋數據安全、應用安全、基礎設施安全、威脅感知與情報、實戰紅藍演練、安全智能化等方向。團隊成員均是各領域的安全專業人才,在紅藍攻防、威脅情報、可信計算、隱私計算等領域有較多研究,致力于通過創新安全技術守護用戶的數據和資金安全。未來愿景是讓網商銀行成為全球安全可信的數字銀行,探索數字銀行安全的best實踐,助力銀行業數字化轉型。
書友推薦
- >
詩經-先民的歌唱
- >
名家帶你讀魯迅:故事新編
- >
推拿
- >
伯納黛特,你要去哪(2021新版)
- >
伊索寓言-世界文學名著典藏-全譯本
- >
羅曼·羅蘭讀書隨筆-精裝
- >
史學評論
- >
名家帶你讀魯迅:朝花夕拾
本類暢銷
