基本信息
- 作者: (美)Christof Paar Jan Pelzl HadiNahari Ronald L.Krutz
- 译者: 杨金梅 马小婷
- 丛书名: 安全技术经典译丛
- 出版社:清华大学出版社
- ISBN:9787
- 上架时间:2012-10-19
- 出版日期:2012 年9月
- 开本:16开
- 页码:697
- 版次:1-1
- 所属分类:计算机 > 计算机科学理论与基础知识 > 密码学
计算机 > 电子商务与计算机文化 > 综合
作译者
Ronald L. Krutz是一位资深信息系统安全顾问,有着30多年的从业经验,研究领域涉及分布式计算系统、计算机体系结构、实时系统、信息保证方法和信息安全培训。他拥有电子和计算机工程学士学位、硕士学位和博士学位。他在信息系统安全领域的著作非常畅销。Krutz博士是信息系统安全认证专家(CISSP)和信息系统安全工程专家(ISSEP)。
他合作编写了CISSP Prep Guide 一书,已由John Wiley & Sons出版。Wiley还出版了几本他参与编写的书,其中包括Advanced CISSP Prep Guide、CISSP Prep Guide, Gold Edition、Security+Certification Guide、CISM Prep Guide、CISSP Prep Guide,2nd Edition:Mastering CISSP and ISSEP、Network Security Bible,CISSP and CAP Prep Guide,Platinum Edition: Mastering CISSP and CAP、Certified Ethical Hacker(CEH) Prep Guide、Certified Secure Software Lifecycle Prep Guide, and Cloud Security。Krutz还编写了一本Securing SCADA Systems和三本微型计算机系统设计、计算机接口和计算机体系结构等领域的教科书。Krutz博士有7项数字系统方面的专利,至今已发表技术论文40余篇。
Krutz博士是宾夕法尼亚州的注册专业工程师。
目录
第I部分 商 务 概 览
第1章 Internet时代:电子商务 3
1.1 商务的演变 3
1.2 支付 5
1.2.1 货币 5
1.2.2 金融网络 5
1.3 分布式计算:在商务前添加“电子” 13
1.3.1 客户机/服务器 13
1.3.2 网格计算 14
1.3.3 云计算 15
1.3.4 云安全 19
1.4 小结 28
第2章 移动商务 29
2.1 消费者电子设备 30
2.2 移动电话和移动商务 30
2.2.1 概述 30
2.2.2 移动商务与电子商务 33
2.2.3 移动状态 38
2.3 移动技术 39
前言
从系统设计人员的角度讲,保证这样一个复杂系统的安全任务非常巨大。在这个生态系统中有许多不同的因素需要同步运作,但在最初设计时它们并不协同工作。而从终端用户的角度讲,需求却简单得多,那就是安全可靠地使用这个系统!本书将阐述向消费者提供这样一个安全系统的意义所在,我们将重点放在电子商务和它的各种各样的形式(如移动商务)上。
尽管各个领域都应用了基本的信息系统安全原则,但是电子商务安全却对信息安全专家提出了特殊的挑战。软件和硬件技术都以惊人的速度在发展,黑客和服务提供者有大量计算能力可供使用,其成本越来越低。比如,有了云计算,一个人可以以一小时一美元或更少的成本利用巨大的计算机资源。这种能力既可以用于有益的活动,也可能用于从事恶意活动,如破解存储在电子商务数据库中用于保护关键的个人和金融交易信息的密钥。同样,今天在许多国家,手机可以提供用于免提扫描交易的信用卡功能。移动设备中的RFID读取能力在为各种各样的电子商务范式打开了大门之外,还为新的攻击方法打开了大门。因此,了解信息系统安全的电子商务方法对认识安全威胁和与此相关的对策是非常有必要的。
本书从整体和微观的角度解释了分析和理解系统安全的必要步骤,定义了风险驱动的安全、保护机制和如何最好地部署这些机制,提出了以一种可用的和对用户友好的方式来实施安全的方式方法。所有主题都是电子商务,但它们也适用于移动商务。下面列出了本书中涵盖的一些重要主题:
安全虽然防弹,但却难以使用,所以用户不愿意采用它。因此,设计和实施强大的、但对用户也友好的安全性非常重要。
如何使电子商务和移动商务更安全;如何设计和实施它。
实施适合的、风险驱动的和可扩展的安全基础设施的技巧。
架构高可用性和大交易容量的电子商务和移动商务安全基础设施的基础知识。
如何识别大规模交易系统中的弱安全性。
本书向系统架构师或者开发人员提供了设计和实施满足消费者需求的安全电子商务或移动商务解决方案所需的信息。如果读者还能了解到安全技术、漏洞评估和威胁分析、交易式和可扩展系统的设计、开发、维护以及支付和商务系统,那就是锦上添花了。
本书的组织结构
本书共有9章内容和4个附录,各章依次讲述了重要的背景信息和关于移动商务和移动商务安全问题的详细知识。附录提供了支撑各章节内容的重要的技术和合规主题。
本书一开始介绍了电子商务时代及它对消费者购买习惯所带来的影响。随后的几章重点介绍健壮而安全的电子商务系统所必须具备的重要特性,接下来介绍电子商务的基本构件块。有了这些信息作为基础,中间几章详细讨论了实施一个健壮的电子商务环境可以使用哪些工具和保护这样的环境需要用到哪些方法。最后的几章探讨验证电子商务实施的保证态势的方式方法。
第1章回顾分布式计算的基本概念,解释电子商务区别于传统商务的独特特点。也提到了数字商品、硬商品和支付方法,介绍了移动商务。
第2章讨论了消费者电子设备,深入研究了电子商务和移动商务的不同之处。然后继续详细地讨论移动硬件、操作系统和栈。该章也探讨了瘦客户端和厚客户端、应用程序仓库和不同的移动carrier网络的特点。
第3章讨论了电子商务系统中的一些重要特性,如可用性、互操作性、可靠性和可扩展性等等。
有了前面几章作基础,第4章关注电子商务安全,包括构成电子商务系统安全的要素、风险管理以及计算机系统的可扩展性和相应的安全措施。结尾部分提供了如何保证电子商务交易安全的宝贵资料。
第5章讨论各种各样的电子商务保护措施,包括密码学、访问控制类型和机制、系统硬化和Web服务器安全。该章还进一步探讨了适用于电子商务系统的主机级和网络级安全措施。
第6章描述了支撑安全可靠交易所必须用到的关键电子商务系统安全组件和原则。其中包括验证类型、授权、隐私、数据分级以及系统与数据审计。然后,该章还探讨了纵深防御、最小特权、信任和通信安全等原则。
为了实施恰当的安全控制措施,了解电子商务实施中现存的漏洞非常重要。第7章涉及漏洞评估、入侵检测和防御、扫描工具、搜索软件和渗透测试。
序言
技术创新正改变着世界上消费者的购物和付费方式。电子商务正在迅速发展,线上和线下购物的传统区别日趋模糊。有4种发展趋势正改变着人们的购物方式:移动商务的兴起、社会媒体的影响、数字商品的增加和更方便快捷地本地购物的技术实现。渐渐地,无论在什么时间,无论在什么地方,我们都会找到我们想要的一切!
在这特别让人兴奋和活跃的全球商务环境中,本书的问世简直是一场及时雨。Web商务安全是将来我们购物和付费的根本。Web正变得越来越与我们的生活息息相关。在一个消费者在屏幕和设备之间无缝移动以进行购物、支付和连接的世界中,安全是多么至高无上!
在eBay,我们成功的关键是在设计、管理和规模化我们的全球商务和支付平台时都确保把安全嵌入用户体验之中。当然,这应该是任何在当今有线、数字界打拼的公司所应该首要考虑的内容。
我们在eBay和PayPal的全球平台支持着将近1.9亿活跃账户和用户。在eBay,买家和卖家每年在全球范围的商品交易总量达到600亿美元。2010年,消费者通过我们的eBay移动应用程序交易的商品总量达到20亿美元。预计到2011年,这个数字会成倍增长到40亿美元。PayPal每年处理世界上920多亿美元的支付总量。2010年,PayPal处理的移动支付总量为7.5亿美元。预计到2011年,这一数字也会翻一番。
在达到这样一个全球规模和全球总量的情况下,我们必须认真对待安全问题。全世界的企业家、商人和消费者每一天都离不开我们的安全平台。可扩展性和安全性不可或缺,数据保护和隐私至关重要,确保可靠性至高无上。要想使一个高度互动、一周7天一天24小时实时进行的全球贸易和支付体验在一个方便、快捷的环境下进行,我们必须应对所有这些复杂情况。
为了竞争和成长,企业必须深深理解并管理Web商务安全。Hadi Nahari和Ron Krutz是这个领域的两位领军人物,感谢他们在本书中与我们分享他们的知识和洞察力。这是给我们大家的一个礼物,是任何想要在当今全球电子商务界打拼和成功的人的必读物。
eBay公司总裁兼首席执行官John Donahoe
序二
Internet正在以惊人的速度改变着我们的生活。由于软件的持续创新,这个改变日新月异。在这个全球互联的新时代,新一代的人很难想象没有Web网络的日子会是什么样子。
无处不在的Web网络使我们以过去不敢想象的方式提供着服务。Web网络的无所不能造就了最完美、最方便的商务、付费和收费平台。电子商务的增长规模相当惊人,PayPal在2010年第四季度中,每秒钟交易3380美元,比前一年增长了28%!
伴随这一增长而来的是消费者对于他们所接收到的服务的快捷性、可用性和安全性的预期也不断增长。对于任何负责任的公司而言,核心任务是提供可行、可靠和安全的用户体验。本书展示了如何创建这样一个系统。
在PayPal,我们坚信,在这个高度一体化的世界里,无论消费者使用什么样的访问渠道,我们都必须提供同样的服务。不管它是个人计算机、移动电话、平板电脑、网络电视,还是任何其他消费者电子设备,我们都能保证PayPal用户享受无可挑剔的既便捷又安全的使用体验。我们交付解决方案和服务时的核心价值观是:相信我们的用户值得拥有一切!
2010年,PayPal的净付款总额,即总交易量,占全球电子商务的18%。年总收入为34亿美元,其中跨境贸易大约占据总交易量的25%。移动商务是另一个爆炸性增长的领域,截止到2014年,世界上的移动支付市场预计将达到6330亿美元。这是一个激动人心的时刻,我们已经对发展业务做好了充分的准备,用PayPal便捷、可用和安全的方式来支持电子商务和移动商务的发展。
我们服务于全球的消费者,使他们能够安全便捷地控制自己的钱。 我们提供可扩展、可靠和安全的基础设施供消费者和商户便捷安全地使用。在本书中,Hadi Nahari和Ron Krutz这两位国际公认的电子商务和移动商务安全领域的专家将展示如何以正确的方式实现它。
PayPal总裁Scott Thompson
密码学的学术研究始于20 世纪70 年代中期。如今,密码学已经发展成为一门成熟的研究学科,拥有不少成立多年的专业组织(如国际密码安全协会)、数以万计的研究员和几十个国际会议。在密码学及其应用领域,每年都有数以千计的学术论文发表。
20 世纪70 年代,密码学仅应用于外交、军事和政府等领域;而到了20 世纪80 年代,金融和通信产业都已使用了硬件加密设备。20 世纪80 年代末的数字手机系统标志着密码学第一次在大众市场的大规模应用。如今,基本上每个人每天都会用到密码学,比如使用远程控制设备打开车门或车库门、连接到无线LAN、用信用卡在零售店或网上购物、安装一个软件更新、拨打IP 语音电话或在公共交通系统中购票。毋庸置疑,诸如电子健康、汽车远程信息处理系统和智能建筑等新兴应用领域的涌现会促使密码学的应用更趋普及。
密码学是一门非常有趣的学科,它与计算机科学、数学以及电子工程都存在交叉。随着密码学日新月异地取得发展,人们现在已经很难跟上它的发展步伐。密码学领域的理论基础在过去的25 年里已经得到加强和巩固;现在,人们对安全的定义和证明结构安全的方法有了更深入的认识。同时,我们也见证了应用密码学的快速发展:旧算法不断地被破解和抛弃,同时,新算法和协议也在不断涌现。
在过去几十年里,已有不少密码学方面的优秀教材出版,这些教材主要面向拥有扎实数学背景的读者。此外,一些具有吸引力的新进展和高级协议也为此增加了很多有趣的素材。本书的最大价值在于重点讨论了密码学研究人员所关心的主题。而且,本书对数学背景知识和公式的使用加以严格限制—只有在必要的情况下才会在适当的地方介绍这些数学知识和公式。对密码学领域的新手而言,这种“少即是多”的方法足以满足他们的需求,因为本书将带领他们一步一步地学习基本概念和各种精心选择的算法与协议。对于想要深入学习和拓展知识的读者而言,本书每个章节都提供了非常有用的扩展阅读素材。
媒体评论
要感谢的人太多了,但是有一个人是不可缺少的,没有您的耐心、没有您的最富有创意的体贴、鼓励、安慰与支持,就不可能完成这本书,谢谢您,Eva!
——Hadi Nahari
首先感谢Wiley 团队、技术编辑和我的合著者。此外,还要感谢我的妻子Hilda,感谢她在我编写本书时给予的支持和鼓励。
——Ronald L. Krutz