基本信息出版社:机械工业出版社
页码:238 页
出版日期:2010年01月
ISBN:7111282620/9787111282624
条形码:9787111282624
版本:第1版
装帧:平装
开本:16
正文语种:中文
丛书名:高等院校信息安全专业规划教材
图书品牌:华章图书
内容简介 《金融信息安全工程》结合金融系统的实际应用需求,将密码学、密钥管理、身份认证、访问控制、应用安全协议和事务处理等信息安全技术的概念、原理和应用特点以简洁易懂的方式展示出来。同时,介绍了金融信息安全工程的目的和主要内容,以及如何在系统运行过程中发现、纠正系统暴露的安全问题。
《金融信息安全工程》可作为高等院校相关专业的高年级本科生、硕士研究生的教材,也可供教学、科研及业内人士参考。
编辑推荐 《金融信息安全工程》是为支持信息安全相关课程的教学,促进信息安全的科学研究,服务当前金融信息化的迫切需要而编写的。《金融信息安全工程》内容新颖、精心编排,可作为高等院校相关专业高年级本科生、硕士研究生的教材,也可供教学、科研及业内人士参考。
编者李改成博士是信息安全专业人士,从教于北京大学软件与微电子学院且具有深厚的商业银行科技工作背景。《金融信息安全工程》凝聚了编者多年的教学研究成果和在金融行业的实践经验。
《金融信息安全工程》特点
将信息安全的经典理论与金融信息系统领域的最新成果相结合。
从交易流程的观点剖析了信息风险产生的根源,并且结合巴塞尔新协议关于操作风险的要求研究了信息风险的度量方法和处置原则。
阐述了金融系统中各种事务安全性质的实现方法和过程。
以电子钱包系统的分析和实现过程为背景,研究了安全系统形式化规范、分析、求精和实现方法。
目录
编委会
丛书序
序
前言
本书组织
教学和阅读建议
第1章 引论
1.1 金融信息系统概述
1.1.1 金融信息系统组成
1.1.2 业务系统类型
1.1.3 事务处理系统体系结构
1.1.4 事务处理系统中的交易
1.2 金融安全系统
1.2.1 信息安全概念
1.2.2 安全策略与安全机制
1.2.3 安全机制在金融系统中的应用
1.3 金融信息系统安全的复杂性
1.3.1 全面性
1.3.2 相对性
1.3.3 动态性
1.3.4 周期性
1.3.5 社会性
1.4 信息安全工程
1.4.1 信息安全工程的概念
1.4.2 信息安全工程过程
1.4.3 信息安全管理
1.4.4 信息安全工程能力成熟度
第2章 金融信息风险
2.1 信息风险模型
2.1.1 资产
2.1.2 威胁
2.1.3 脆弱性
2.1.4 风险
2.2 金融信息风险识别
2.2.1 风险事件类型
2.2.2 金融交易中的风险点
2.2.3 风险分布描述
2.3 定性评估
2.4 分级测量
2.4.1 风险要素赋值
2.4.2 风险计算
2.5 定量方法
2.5.1 计算原理
2.5.2 基本指标法
2.5.3 标准法
2.5.4 高级计量法
2.6 风险评估报告
2.7 风险处置
第3章 应用密码学基础
3.1 概述
3.1.1 密码系统模型
3.1.2 随机数
3.1.3 密码分析
3.2 对称密钥密码系统
3.2.1 乘积密码
3.2.2 密码部件
3.2.3 密码构造实例
3.2.4 安全性分析
3.2.5 工作模式
3.3 散列函数和MAC码
3.3.1 散列函数
3.3.2 MAC码
3.4 公钥密码系统
3.4.1 公钥密码系统概述
3.4.2 RSA密码
3.4.3 DSS签名算法
3.4.4 椭圆曲线密码系统
3.4.5 不同密码系统的比较
3.5 专用密码系统
3.5.1 门限方案
3.5.2 电子货币系统
第4章 密钥管理
4.1 密钥周期
4.2 密钥保护
4.2.1 密钥保护要求
4.2.2 硬件密码模块
4.2.3 密码模块的安全管理
4.3 对称密钥管理体系
4.3.1 层次化密钥
4.3.2 密钥分配协议
4.4 公钥/证书管理
4.4.1 证书
4.4.2 PKI系统结构
4.4.3 密钥/证书生命周期管理
4.4.4 证书撤销机制
4.5 基于公钥密码系统的密钥分配
4.5.1 NSPK密钥分配协议
4.5.2 安全Diffie-Hellman密钥交
第5章 身份认证
5.1 身份认证概述
5.1.1 认证系统模型
5.1.2 认证系统的性质
5.1.3 认证类型
5.1.4 命名问题
5.2 口令机制
5.2.1 对抗口令猜测
5.2.2 对抗线路窃听
5.2.3 动态口令
5.3 基于对称密码技术的认证
5.3.1 基于MAC码的身份认证
5.3.2 合法性校验值
5.4 基于公钥技术的认证
5.4.1 ISO/IEC9798协议标准
5.4.2 EMV卡脱机认证
5.4.3 可信平台证明
5.5 基于生物特征的身份认证
5.5.1 认证原理
5.5.2 应用问题
5.6 认证系统的实现
5.6.1 认证设施
5.6.2 认证模式
5.6.3 可插入的认证模块机制
第6章 访问控制
6.1 访问控制系统模型
6.2 访问控制策略
6.2.1 访问控制策略类型
6.2.2 访问控制策略的配置原则
6.2.3 多种策略的组合问题
6.2.4 访问控制策略的描述
6.3 自主访问控制策略
6.3.1 访问控制列表
6.3.2 访问控制矩阵
6.3.3 授权证书
6.4 强制访问控制策略
6.4.1 BLP模型
6.4.2 Biba模型
6.4.3 Lipnel模型
6.4.4 长城模型
6.5 BMA模型
6.5.1 BMA模型的访问规则
6.5.2 BMA模型的应用问题
6.6 基于角色的访问控制
6.6.1 系统模型
6.6.2 权限管理
6.7 访问控制在计算机系统中的实现
6.7.1 实现方式
6.7.2 程序设计中的域保护问题
第7章 应用安全协议
7.1 安全服务
7.2 完整性服务实现机制
7.2.1 数据完整性
7.2.2 完整性恢复
7.3 非否认性服务实现机制
7.3.1 非否认过程的各个阶段
7.3.2 非否认机制
7.3.3 可信第三方功能
7.4 应用层安全协议分析
7.4.1 结构模型
7.4.2 消息模型
7.4.3 需求检验方法
7.5 高层安全协议结构
7.5.1 安全关联
7.5.2 安全变换
7.5.3 安全交换
7.6 安全表示法
7.6.1 目录认证服务框架
7.6.2 通用高层安全标准
7.6.3 表示层操作
7.6.4 编解码
7.7 协议设计
7.7.1 构造保护性传输语法
7.7.2 选择合适的安全变换模式
第8章 事务处理
8.1 事务处理的完整性模型
8.1.1 金融交易处理过程
8.1.2 事务
8.1.3 受控关系
8.1.4 变换过程
8.1.5 授权
8.2 原子性
8.2.1 原子性需求
8.2.2 分布式事务处理模型
8.2.3 原子性保证
8.2.4 冲正
8.3 并发处理
8.3.1 并发问题
8.3.2 锁机制
8.3.3 锁机制的应用
8.4 一致性
8.4.1 操作员轧账
8.4.2 营业网点轧账
8.4.3 主机日终轧账
8.4.4 年终结转
8.5 永久性
8.5.1 交易记录
8.5.2 记录保护
第9章 形式化方法的应用
9.1 形式化方法基础
9.1.1 形式化语言中的数学对象
9.1.2 模式
9.1.3 形式化方法的使用过程
9.2 抽象系统
9.2.1 状态规范
9.2.2 操作规范
9.2.3 安全性质及其分析
9.3 系统规范的求精
9.3.1 状态规范
9.3.2 本地操作规范
9.3.3 全局操作规范
9.4 正确性证明
9.4.1 证明规则
9.4.2 状态提取关系
9.4.3 输入输出提取关系
9.4.4 证明过程
9.5 强制式程序的开发问题
9.5.1 引入强制式程序结构
9.5.2 开发过程
第10章 构建有安全保障的应用系统
10.1 确定系统的安全需求
10.1.1 安全需求分析
10.1.2 安全需求陈述
10.2 构建信息系统安全框架
10.2.1 安全机制的选择
10.2.2 安全机制在系统不同层次中的分布
10.2.3 安全机制在系统部件中的分布
10.3 建立安全设施
10.3.1 安全服务器
10.3.2 安全管理设施
10.4 系统可用性保障
10.4.1 提高稳定性和效率
10.4.2 可靠性和容错处理
10.5 安全软件的开发
10.5.1 安全设计
10.5.2 安全设计文档
10.5.3 安全代码
10.5.4 安全测试
10.5.5.~页目管理体系
10.6 应用系统的切换
10.6.1 数据转换
10.6.2 系统切换
第11章 系统运营中的安全管理
11.1 安全组织结构
11.2 安全人事管理
11.3 安全系统管理
11.4 安全事件管理
11.4.1 安全事件生命周期
11.4.2 应急计划
11.5 灾难恢复
11.5.1 数据分类
11.5.2 灾难备份
11.5.3 灾难恢复方案的选择
11.5.4 成本一效益分析
11.5.5 灾难恢复过程
11.6 安全审计
11.6.1 安全警报
11.6.2 审计日志
11.6.3 安全关联
11.6.4 贝叶斯推理
11.6.5 审计报告
11.7 信息风险事件的实时响应
参考文献
……
序言 经过数年的筹划与努力,信息安全系列丛书终于和广大读者见面了。
众所周知,进入21世纪以来,信息化对社会发展的影响日益深刻。全球信息化正在引发当今世界的深刻变革,重塑世界政治、经济、社会、文化和军事发展的新格局。
人们在享受信息化所带来的便利的同时,也不得不面对各种信息安全问题。信息安全是信息化的关键,各种天灾(如地震、洪水、飓风)和“人祸”(如网络故障、黑客入侵、病毒等)都会影响信息化进程。因此,在发展信息化的同时要重视信息安全,要在安全中发展,在发展中确保安全。
目前,世界各国都将信息安全视为国家安全的重要组成部分。党的十六届四中全会在《中共中央关于加强党的执政能力建设的决定》中明确提出:“坚决防范和打击各种敌对势力的渗透、颠覆和分裂活动,有效防范和应对来自国际经济领域的各种风险,确保国家的政治安全、经济安全、文化安全和信息安全”。党中央把信息安全和政治安全、经济安全、文化安全并列,作为我们国家四大安全内容之一,可见信息安全之重要,绝不能掉以轻心。近年来,我国在信息安全保障方面的工作逐步加强,制定并实施了国家信息安全战略,建立了信息安全管理体制和工作机制。基础信息网络和重要信息系统的安全防护水平明显提高,互联网信息安全管理进一步加强。
信息安全问题的解决,既要依靠技术的发展,更要重视人的作用。随着科技的进步,信息安全的概念和内涵不断发生变化,今天我们所说的信息安全是一个涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等领域的交叉学科,各种保障信息安全的技术也不断推陈出新。我们应大力培养信息安全的专业人才,对从业人员进行技术、职业道德、法律等全方位的教育。同时,要普及信息安全教育,增强国民的信息安全意识,提高全民的信息化知识水平和防范意识。
面对社会对信息安全人才的迫切需求,国内已有几十所高校设立了信息安全专业,还有众多高校开设了信息安全相关的必修与选修课。为了有力地支持信息安全相关课程的教学,促进信息安全的科学研究,在机械工业出版社华章分社的精心策划与组织下,国内高校从事信息安全领域研究、教学的专家和教师共同编写了这套“高等院校信息安全专业规划教材”。这套丛书是各位作者多年教学、科研成果的结晶,其特点是理论与实践紧密结合、深入浅出、实例丰富,既包括基础知识,也反映最新科研成果与发展趋势。我深信,丛书的出版必将对信息安全知识的普及和推广、信息安全人才的培养、教学与科研产生积极影响并作出重要的贡献。
最后,作为本丛书的编委会主任,我对各位编委的努力工作、各位作者的辛勤劳动、机械工业出版社华章分社的大力支持表示衷心的感谢。
文摘 插图:
1.1金融信息系统概述金融机构是专门从事货币、信用活动的中介组织。以银行为主体的金融机构体系是商品经济发展的必然产物。金融机构经营全部或部分存款、贷款、结算业务及其派生或附属业务,在市场经济条件下与一般工商企业一样面临竞争成功或失败的事实。信息系统是由计算机及其相关和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。金融信息系统是指金融机构运用现代信息、通信技术集成的处理业务、经营管理活动和内部控制的集成化的信息系统,用于存储、接收、传递、处理和恢复银行信息。
当前,在金融机构中,从银行账目到不动产登记,大部分记录都是电子化的,并且随着网络购物的兴起和发展,各种交易也日益电子化,信息技术与信息系统对金融企业的组织形态、治理结构、管理机制、运作流程和商业模式的影响日益深化,银行对信息技术和信息系统的依赖性日益加强。
1.1.1金融信息系统组成
一个信息系统可以有不同层次的定义,每个层次的定义如下(如图1-1所示):
1)一个产品或组件。例如,物理硬件(如智能卡或Pc硬件)以及固化在硬件中的软件程序,如果不使用修改硬件的方法,这些软件程序是不能修改的。
2)产品或组件的集合,并且附有一个操作系统、通信等,以组成一个组织的基础设施。
其中,操作系统负责管理内存、磁盘系统、I/0设备和外围设备,还负责进程的调度。操作系统内核是控制处理器物理资源的关键,只有操作系统中特权用户才能访问它。