借助于互联网金融、金融科技的跨界融合，传统商业银行纷纷向信息化金融机构、智能金融转型，表现出巨大的潜力值和价值链。应用安全作为一个问题，自应用诞生之时就客观存在，风险如影相随。本书意在分析商业银行在互联网应用安全方面面临的问题和挑战，全面剖析互联网应用问题、安全漏洞产生的根源与表现形式，以“抓源头、控过程、观运行”的管理框架和技术手段，贯穿于应用研发过程的全生命周期，识别各种显性和隐含的应用安全风险，综合化、系统化、持续化地提升互联网应用安全属性、安全状态，助力商业银行更加健康稳定，继续在“互联网+”浪潮中发挥作用。

序
前言
章 互联网应用安全基础知识 / 1
1.1 互联网应用及安全概述 / 1
1.1.1 互联网应用的发展背景 / 1
1.1.2 互联网应用的特点 / 2
1.1.3 互联网应用在各个行业中的应用现状 / 4
1.1.4 互联网应用安全 / 6
1.2 银行互联网应用及安全概述 / 11
1.2.1 银行互联网应用的分类 / 11
1.2.2 银行互联网应用的安全态势 / 13
1.3 银行互联网应用安全风险管控概述 / 15
第2章 互联网应用安全的相关法律、法规及标准 / 18
2.1 国际标准 / 18
2.1.1 ISO/IEC27000标准族 / 18
2.1.2 ISO20000 / 18
2.1.3 SP800 / 19
2.1.4 PCI DSS / 19
2.2 国内标准、法规 / 21
2.2.1 网络安全法 / 21
2.2.2 等级保护 / 30
2.2.3 国内其他法律法规 / 32
2.3 金融行业监管制度 / 35
2.3.1 政策规范 / 35
2.3.2 技术标准 / 38
第3章 银行互联网应用业态与安全现状 / 41
3.1 银行常见互联网应用业态 / 41
3.1.1 网上银行 / 41
3.1.2 移动银行 / 43
3.1.3 直销银行 / 47
3.1.4 互联网金融 / 50
3.1.5 传统业务创新 / 56
3.2 银行互联网应用安全现状 / 58
3.2.1 银行互联网应用安全外部威胁态势分析 / 58
3.2.2 银行互联网应用安全风险应对 / 64
第4章 应用安全生命周期风险控制体系 / 69
4.1 应用安全风险控制基本理论 / 69
4.1.1 安全开发生命周期理论 / 69
4.1.2 信息系统安全风险分析理论 / 72
4.1.3 信息系统安全风险控制理论 / 76
4.2 银行互联网应用安全生命周期风险管控 / 78
4.2.1 需求分析阶段 / 79
4.2.2 安全设计阶段 / 80
4.2.3 开发实施阶段 / 83
4.2.4 测试评估阶段 / 83
4.2.5 运行监控阶段 / 85
第5章 应用安全需求分析 / 86
5.1 应用安全需求总体框架 / 86
5.1.1 应用安全需求概念 / 86
5.1.2 应用安全需求分析过程管理 / 87
5.1.3 应用安全需求框架设计原理 / 87
5.1.4 基于安全需求检查表的工作方法 / 94
5.2 应用安全需求分析方法 / 95
5.2.1 基于Zachman框架的安全需求分析方法 / 96
5.2.2 基于SRAM的安全需求分析方法 / 99
5.3 应用安全需求框架 / 101
5.3.1 Web应用安全需求关键特征 / 101
5.3.2 Web应用安全需求框架设计 / 104
5.3.3 移动应用安全需求关键特征 / 105
5.3.4 移动应用安全需求框架设计 / 106
5.4 应用安全需求实例 / 108
5.4.1 Web应用安全需求检查表 / 108
5.4.2 移动应用安全需求检查表 / 110
第6章 应用安全设计与开发 / 114
6.1 应用安全设计理论 / 114
6.1.1 应用安全设计的基本原则 / 114
6.1.2 应用安全设计方法 / 117
6.2 应用安全设计 / 125
6.2.1 基于“木桶原理”的应用安全架构及特点 / 125
6.2.2 基于多层自适应防御体系的应用安全架构 / 127
6.2.3 应用安全设计内容 / 127
6.3 应用安全开发 / 151
6.3.1 应用安全开发框架 / 151
6.3.2 应用安全开发内容 / 154
6.3.3 安全SDK开发实例 / 156
6.4 安全SDK应用案例 / 160
6.4.1 Web端安全SDK应用案例 / 160
6.4.2 移动端安全SDK应用案例 / 163
6.5 安全编码规范与开发人员能力培养 / 166
6.5.1 安全编码规范 / 166
6.5.2 开发人员能力培养 / 175
第7章 应用安全测试与评估 / 178
7.1 应用安全测试理论概述 / 178
7.2 应用安全白盒测试 / 180
7.2.1 白盒测试概述 / 180
7.2.2 白盒测试方法 / 181
7.2.3 白盒测试工具及应用 / 186
7.3 应用安全渗透测试 / 198
7.3.1 渗透测试概述 / 198
7.3.2 渗透测试方法 / 199
7.3.3 渗透测试工具及应用 / 207
7.4 白盒测试与渗透测试的结合：灰盒测试 / 224
7.4.1 灰盒测试概述 / 224
7.4.2 灰盒测试方法 / 225
7.4.3 灰盒测试特点 / 226
7.5 应用安全自动化测试 / 226
7.5.1 Web端安全自动化测试应用 / 227
7.5.2 移动端安全自动化测试应用 / 230
7.6 应用安全测试案例 / 231
7.6.1 Web端安全测试案例 / 231
7.6.2 移动端安全测试案例 / 245
7.7 应用安全测试人员能力培养 / 252
第8章 应用安全运行监控 / 254
8.1 应用安全运行监控概述 / 254
8.2 应用安全运行监控内容 / 255
8.3 应用安全运行监控技术 / 258
8.3.1 应用安全监控方法 / 259
8.3.2 应用安全监控工具 / 269
8.3.3 应用安全监控平台 / 279
8.4 应用安全运行监控案例 / 287
8.4.1 Web应用安全运行监控案例 / 287
8.4.2 移动应用安全运行监控案例 / 289
第9章 应用安全风险控制趋势与展望 / 291
9.1 银行互联网应用发展趋势 / 291
9.1.1 金融大数据 / 291
9.1.2 云计算 / 293
9.1.3 人工智能 / 295
9.1.4 区块链 / 300
9.1.5 金融科技 / 304
9.2 银行互联网应用安全趋势 / 306
9.2.1 应用安全威胁趋势 / 306
9.2.2 应用安全技术趋势 / 306
9.2.3 网络安全生态环境趋势 / 308
9.3 银行互联网应用安全风险管控展望 / 311
9.3.1 银行互联网应用安全风险管控理论发展方向 / 311
9.3.2 展望：银行安全生态圈 / 314