Web商务安全设计与开发宝典——涵盖电子商务与移动商务（安全技术经典译丛）

　　每个系统设计人员都知道，保护电子商务生态系统的安全简直就是噩梦一每当我们使用计算机网络进行银行交易、账单支付、购物或者在线交流时，我们重要的企业信息和个人信息便置于风险之中二
　　在《Web商务安全设计与开发宝典：涵盖电子商务与移动商务》中，安全专家Hadi Nahari和Ronald L.Krutz提供了真实的安全解决方案。他们从宏观和微观的角度展示了如何分析和理解这些解决方案，定义了风险驱动的安全，解释了什么是保护机制和怎样才能最好地部署这些机制，提供了既有效又对用户友好的安全实施方式。
　　《Web商务安全设计与开发宝典：涵盖电子商务与移动商务》主要内容
　　●设计强大的、用户会真正使用的电子商务和移动商务安全
　　●实施自适应的、风险驱动的和可扩展的安全基础设施
　　●构建具有高可用性和大交易容量的电子商务和移动商务安全基础设施
　　●理解解决方案必须具备的各个重要特性
　　●识别大规模交易系统中的弱安全以及如何增强安全性
　　●了解具体的漏洞和威胁以及如何评估、检测和预防它们

　　Hadi Nahari是一位安全专业人士，有着20多年的软件开发经验，做了大量设计、体系结构、验证、概念验证和安全系统实施等方面的工作。他设计并实施了大规模的高端企业解决方案和资源受限的嵌入式系统，主要关注安全、加密、漏洞评估和威胁分析以及复杂系统设计。他经常在美国和国际安全大会上发表演讲，领导并参与了Netscape Communications、Sun Microsystems、摩托罗拉、eBay和PayPal等许多大型公司的各种安全项目。
　　Hadi Nahari是eBay和PayPal公司的主要安全架构师和移动架构师他有着大规模的高端企业解决方案和嵌入式系统方面的丰富经验，主要关注安全、密码学、复杂系统设计、漏洞评估和威胁分析他是安全问题方面最受欢迎的发言人。
　　RonaldL.Krutz博士是卡耐基·梅隆研究院网络安全中心的创始人他有着计算机架构、实时系统和信息安全等领域40多年的从业经验，曾主编或参编了大量书籍。
　　Ronald.Krutz是一位资深信息系统安全顾问，有着30多年的从业经验，研究领域涉及分布式计算系统、计算机体系结构、实时系统、信息保证方法和信息安全培训。他拥有电子和计算机工程学士学位、硕士学位和博士学位。他在信息系统安全领域的著作非常畅销。Krutz博士是信息系统安全认证专家（CISSP）和信息系统安全工程专家（ISSEP）。
　　他合作编写了CISSP Prep Guide -书，已由John Wiley＆Sons出版。Wiley还出版了几本他参与编写的书，其中包括Advanced CISSP Prep Guide、CISSP Prep Guide, Gold Edition、Security+ Certification Guide、CISM Prep Guide、CISSP Prep Guide,　2nd Edition： Mastering CISSP and ISSEP、Network Security Bible,　CISSP and CAP Prep Guide,　Platinum Edition： Mastering CISSP and CAP、Certified Ethical Hacker（CEH） Prep Guide、Certified Secure Software Lifecycle Prep Guide, and Cloud Security。Krutz还编写了一本Securing SCADA Systems和三本微型计算机系统设计、计算机接口和计算机体系结构等领域的教科书。Krutz博士有7项数字系统方面的专利，至今已发表技术论文40余篇。
　　Krutz博士是宾夕法尼亚州的注册专业工程师。

第1部分 商务概览
第1章 Internet时代：电子商务
1.1 商务的演变
1.2 支付
1.2.1 货币
1.2.2 金融网络
1.3 分布式计算：在商务前添加“电子”
1.3.1 客户机/服务器
1.3.2 网格计算
1.3.3 云计算
1.3.4 云安全
1.4 小结
第2章 移动商务
2.1 消费者电子设备
2.2 移动电话和移动商务
2.2.1 概述
2.2.2 移动商务与电子商务
2.2.3 移动状态
2.3 移动技术
2.3.1 Carrier网络
2.3.2 栈
2.4 小结
第3章 Web商务安全中的几个重要特性
3.1 机密性、完整性和可用性
3.1.1 机密性
3.1.2 完整性
3.1.3 可用性
3.2 可伸展性
3.2.1 黑盒可伸展性
3.2.2 白盒可伸展性（开放盒）
3.2.3 白盒可伸展性（玻璃盒）
3.2.4 灰盒可伸展性
3.3 故障耐受性
3.3.1 高可用性
3.3.2 电信网络故障耐受性
3.4 互操作性
3.4.1 其他互操作性标准
3.4.2 互操作性测试
3.5 可维护性
3.6 可管理性
3.7 模块性
3.8 可监测性
3.8.1 入侵检测
3.8.2 渗透测试
3.8.3 危害分析
3.9 可操作性
3.9.1 保护资源和特权实体
3.9.2 Web商务可操作性控制的分类
3.10 可移植性
3.11 可预测性
3.12 可靠性
3.13 普遍性
3.14 可用性
3.15 可扩展性
3.16 问责性
3.17 可审计性
3.18 溯源性
3.19 小结

第2部分 电子商务安全
第4章 电子商务基础
4.1 为什么电子商务安全很重要
4.2 什么使系统更安全
4.3 风险驱动安全
4.4 安全和可用性
4.4.1 密码的可用性
4.4.2 实用笔记
4.5 可扩展的安全
4.6 确保交易安全
4.7 小结

第5章 构件
5.1 密码
5.1.1 密码的作用
5.1.2 对称加密系统
5.1.3 非对称加密系统
5.1.4 数字签名
5.1.5 随机数生成
5.1.6 公共密钥证书系统——数字证书
5.1.7 数据保护
5.2 访问控制
5.2.1 控制
5.2.2 访问控制模型
5.3 系统硬化
5.3.1 服务级安全
5.3.2 主机级安全
5.3.3 网络安全
5.4 小结

第6章 系统组件
6.1 身份认证
6.1.1 用户身份认证
6.1.2 网络认证
6.1.3 设备认证
6.1.4 API认证
6.1.5 过程验证
6.2 授权
6.3 不可否认性
6.4 隐私权
6.4.1 隐私权政策
6.4.2 与隐私权有关的法律和指导原则
6.4.3 欧盟原则
6.4.4 卫生保健领域的隐私权问题
6.4.5 隐私权偏好平台
6.4.6 电子监控
6.5 信息安全
6.6 数据和信息分级
6.6.1 信息分级的好处
6.6.2 信息分级概念
6.6.3 数据分类
6.6.4 Bell-LaPadula模型
6.7 系统和数据审计
6.7.1 SySlOg
6.7.2 SIEM
6.8 纵深防御
6.9 最小特权原则
6.10 信任
6.11 隔离
6.11.1 虚拟化
6.11.2 沙箱
6.11.3 IPSec域隔离
6.12 安全政策
6.12.1 高级管理政策声明
6.12.2 NIST政策归类
6.13 通信安全
6.14 小结
……
附录A 计算基础
附录B 标准化和管理机构
附录C 术语表
附录D 参考文献