本書著重于對移動互聯(lián)網(wǎng)業(yè)務(wù)各個層面的安全風險進行分析,并結(jié)合當今電信運營商及互聯(lián)網(wǎng)企業(yè)的安全實踐,系統(tǒng)地介紹相關(guān)安全機制,并對安全測評方法、安全加固手段和安全事件處置方法提出建議。本書內(nèi)容新穎,理論知識與實際案例并重,主要適合移動互聯(lián)網(wǎng)服務(wù)運營商、應(yīng)用開發(fā)商、咨詢機構(gòu)、高校、科研院所及其他對移動互聯(lián)網(wǎng)服務(wù)感興趣的人群閱讀, 希望能為讀者進行移動互聯(lián)網(wǎng)業(yè)務(wù)安全體系規(guī)劃和安全實踐提供技術(shù)指導。
1.反映移動互聯(lián)網(wǎng)安全領(lǐng)域的全新研究進展;
張濱,男,碩士,高級工程師,畢業(yè)于清華大學無線電系,具有二十余年移動通信領(lǐng)域工作經(jīng)驗,目前擔任中國移動通信集團信息安全管理與運行中心總經(jīng)理。
第1章 移動互聯(lián)網(wǎng)時代 1
1.1 移動互聯(lián)網(wǎng)的發(fā)展現(xiàn)狀 1
1.1.1 移動互聯(lián)網(wǎng)時代的到來 1
1.1.2 什么是移動互聯(lián)網(wǎng) 2
1.1.3 移動互聯(lián)網(wǎng)關(guān)鍵技術(shù) 4
1.1.4 移動互聯(lián)網(wǎng)的發(fā)展形勢 6
1.2 移動互聯(lián)網(wǎng)業(yè)務(wù)的發(fā)展現(xiàn)狀 7
1.2.1 移動互聯(lián)網(wǎng)業(yè)務(wù)的特點 7
1.2.2 典型的移動互聯(lián)網(wǎng)業(yè)務(wù) 7
1.2.3 移動互聯(lián)網(wǎng)業(yè)務(wù)的發(fā)展趨勢 9
第2章 移動互聯(lián)網(wǎng)業(yè)務(wù)安全問題 11
2.1 內(nèi)容安全 11
2.1.1 內(nèi)容安全問題 11
2.1.2 內(nèi)容安全風險 12
2.2 應(yīng)用安全 15
2.2.1 應(yīng)用安全問題 15
2.2.2 應(yīng)用程序漏洞 15
2.2.3 惡意軟件 16
2.3 終端安全 17
2.3.1 終端安全問題 17
2.3.2 物理安全 17
2.3.3 操作系統(tǒng)安全 18
2.3.4 預置軟件隱患 18
2.4 平臺安全 19
2.4.1 平臺安全問題 19
2.4.2 平臺安全風險 19
2.5 傳播安全 20
2.5.1 傳播安全問題 20
2.5.2 傳播安全風險 20
2.6 客戶信息安全 22
2.6.1 客戶信息安全問題 22
2.6.2 敏感隱私信息安全 22
2.6.3 個人信息安全 22
2.7 計費安全 23
2.7.1 計費安全問題 23
2.7.2 流量吸費 23
2.7.3 惡意訂制 23
2.7.4 計費系統(tǒng)漏洞 24
2.8 接口安全 24
2.8.1 接口安全問題 24
2.8.2 接口安全風險 24
第3章 移動互聯(lián)網(wǎng)業(yè)務(wù)安全 27
3.1 業(yè)務(wù)應(yīng)用安全體系 27
3.2 業(yè)務(wù)流程安全 28
3.2.1 業(yè)務(wù)流程安全的范疇與定義 29
3.2.2 典型業(yè)務(wù)流程及安全需求 29
3.2.3 業(yè)務(wù)流程安全風險 32
3.2.4 業(yè)務(wù)流程安全的主要技術(shù) 34
3.3 內(nèi)容安全 37
3.3.1 移動互聯(lián)網(wǎng)內(nèi)容安全范疇與相關(guān)定義 37
3.3.2 主要風險環(huán)節(jié)及安全需求 37
3.3.3 內(nèi)容安全體系 39
3.3.4 內(nèi)容過濾技術(shù) 40
3.4 客戶信息安全 46
3.4.1 客戶信息安全的范疇及定義 46
3.4.2 業(yè)務(wù)流程中的客戶信息保護 47
3.4.3 金庫模式 47
3.4.4 數(shù)據(jù)防泄漏技術(shù) 49
第4章 業(yè)務(wù)平臺安全 51
4.1 移動業(yè)務(wù)平臺 51
4.2 移動業(yè)務(wù)平臺的威脅模型 54
4.2.1 主要風險分析 55
4.2.2 脆弱性分析 55
4.2.3 威脅分析 59
4.3 移動業(yè)務(wù)平臺安全防護 63
4.3.1 移動業(yè)務(wù)平臺的安全目標 63
4.3.2 移動業(yè)務(wù)平臺的安全防護 63
4.3.3 基礎(chǔ)安全防護手段的部署 70
第5章 統(tǒng)一認證技術(shù) 76
5.1 概念與現(xiàn)狀 76
5.2 統(tǒng)一認證 78
5.2.1 統(tǒng)一用戶管理 78
5.2.2 統(tǒng)一用戶認證 79
5.2.3 協(xié)作關(guān)系 80
5.2.4 安全通道 80
5.3 單點登錄 81
5.4 統(tǒng)一認證系統(tǒng) 84
第6章 開放平臺安全 87
6.1 開放平臺系統(tǒng)架構(gòu) 87
6.1.1 什么是開放平臺 87
6.1.2 Facebook開放平臺 88
6.1.3 GAE開放平臺 89
6.1.4 人人網(wǎng)開放平臺 91
6.1.5 百度數(shù)據(jù)開放平臺 92
6.2 開放平臺之用戶隱私保護 94
6.2.1 什么是用戶隱私 94
6.2.2 用戶隱私面臨的威脅 95
6.2.3 用戶隱私的保護 96
6.3 開放平臺之接口安全 102
6.3.1 資質(zhì)審核 102
6.3.2 權(quán)限控制 103
6.3.3 防用戶身份偽造 104
6.3.4 服務(wù)器分流 105
6.3.5 實時監(jiān)控 105
6.4 開放平臺之應(yīng)用安全 106
6.4.1 內(nèi)容安全審核 106
6.4.2 功能安全審核 106
6.4.3 支付安全審核 107
6.4.4 漏洞檢測 108
第7章 云安全 110
7.1 云計算安全標準 110
7.1.1 國際標準組織及其研究成果 110
7.1.2 國內(nèi)標準組織及其研究成果 116
7.1.3 其他可適用的安全標準 117
7.2 云計算安全體系架構(gòu) 119
7.2.1 云計算安全體系架構(gòu)概述 119
7.2.2 IaaS服務(wù)層的安全架構(gòu) 120
7.2.3 PaaS服務(wù)層的安全架構(gòu) 122
7.2.4 SaaS服務(wù)層的安全架構(gòu) 123
7.2.5 通用安全架構(gòu) 123
7.2.6 云計算安全的政策、法律法規(guī)和標準 125
7.3 云計算平臺的網(wǎng)絡(luò)安全 126
7.3.1 云計算中的網(wǎng)絡(luò)安全風險 126
7.3.2 安全域的劃分 127
7.3.3 IP地址的規(guī)劃 128
7.3.4 核心網(wǎng)絡(luò)的規(guī)劃 128
7.3.5 網(wǎng)絡(luò)資源的訪問控制 129
7.3.6 網(wǎng)絡(luò)設(shè)備安全管理 129
7.3.7 網(wǎng)絡(luò)安全審計 129
7.3.8 私有云的安全防護 130
7.3.9 公共云的安全防護 131
7.4 虛擬化安全 132
7.4.1 虛擬化技術(shù) 132
7.4.2 虛擬化的安全風險 133
7.4.3 虛擬化安全防護建議 134
7.5 云計算之身份識別與訪問管理(IAM) 136
7.5.1 IAM的安全模型 137
7.5.2 IAM的關(guān)鍵功能 137
7.5.3 認證的方法 139
7.5.4 訪問控制的模式 139
7.5.5 審計的策略 139
7.5.6 賬號管理的策略 140
7.5.7 云身份的認證協(xié)議 140
7.6 云計算之數(shù)據(jù)安全 141
7.6.1 云數(shù)據(jù)面臨的風險 142
7.6.2 數(shù)據(jù)安全的防護措施 143
第8章 大數(shù)據(jù)安全 147
8.1 大數(shù)據(jù)分析 147
8.1.1 什么是大數(shù)據(jù) 147
8.1.2 大數(shù)據(jù)的分類 148
8.1.3 大數(shù)據(jù)的技術(shù)架構(gòu) 150
8.2 大數(shù)據(jù)安全風險分析 152
8.2.1 大數(shù)據(jù)安全問題 152
8.2.3 大數(shù)據(jù)面臨的主要安全風險 153
8.3 大數(shù)據(jù)安全防護 155
8.3.1 大數(shù)據(jù)安全管理流程 155
8.3.2 大數(shù)據(jù)對外合作管理 156
8.3.3 大數(shù)據(jù)平臺安全防護 158
8.4 大數(shù)據(jù)時代的安全戰(zhàn)略 159
8.4.1 美國的大數(shù)據(jù)安全戰(zhàn)略 159
8.4.2 我國的大數(shù)據(jù)安全戰(zhàn)略 161
