本書著重于對移動互聯網業務各個層面的安全風險進行分析,并結合當今電信運營商及互聯網企業的安全實踐,系統地介紹相關安全機制,并對安全測評方法、安全加固手段和安全事件處置方法提出建議。本書內容新穎,理論知識與實際案例并重,主要適合移動互聯網服務運營商、應用開發商、咨詢機構、高校、科研院所及其他對移動互聯網服務感興趣的人群閱讀, 希望能為讀者進行移動互聯網業務安全體系規劃和安全實踐提供技術指導。
1.反映移動互聯網安全領域的全新研究進展;
張濱,男,碩士,高級工程師,畢業于清華大學無線電系,具有二十余年移動通信領域工作經驗,目前擔任中國移動通信集團信息安全管理與運行中心總經理。
第1章 移動互聯網時代 1
1.1 移動互聯網的發展現狀 1
1.1.1 移動互聯網時代的到來 1
1.1.2 什么是移動互聯網 2
1.1.3 移動互聯網關鍵技術 4
1.1.4 移動互聯網的發展形勢 6
1.2 移動互聯網業務的發展現狀 7
1.2.1 移動互聯網業務的特點 7
1.2.2 典型的移動互聯網業務 7
1.2.3 移動互聯網業務的發展趨勢 9
第2章 移動互聯網業務安全問題 11
2.1 內容安全 11
2.1.1 內容安全問題 11
2.1.2 內容安全風險 12
2.2 應用安全 15
2.2.1 應用安全問題 15
2.2.2 應用程序漏洞 15
2.2.3 惡意軟件 16
2.3 終端安全 17
2.3.1 終端安全問題 17
2.3.2 物理安全 17
2.3.3 操作系統安全 18
2.3.4 預置軟件隱患 18
2.4 平臺安全 19
2.4.1 平臺安全問題 19
2.4.2 平臺安全風險 19
2.5 傳播安全 20
2.5.1 傳播安全問題 20
2.5.2 傳播安全風險 20
2.6 客戶信息安全 22
2.6.1 客戶信息安全問題 22
2.6.2 敏感隱私信息安全 22
2.6.3 個人信息安全 22
2.7 計費安全 23
2.7.1 計費安全問題 23
2.7.2 流量吸費 23
2.7.3 惡意訂制 23
2.7.4 計費系統漏洞 24
2.8 接口安全 24
2.8.1 接口安全問題 24
2.8.2 接口安全風險 24
第3章 移動互聯網業務安全 27
3.1 業務應用安全體系 27
3.2 業務流程安全 28
3.2.1 業務流程安全的范疇與定義 29
3.2.2 典型業務流程及安全需求 29
3.2.3 業務流程安全風險 32
3.2.4 業務流程安全的主要技術 34
3.3 內容安全 37
3.3.1 移動互聯網內容安全范疇與相關定義 37
3.3.2 主要風險環節及安全需求 37
3.3.3 內容安全體系 39
3.3.4 內容過濾技術 40
3.4 客戶信息安全 46
3.4.1 客戶信息安全的范疇及定義 46
3.4.2 業務流程中的客戶信息保護 47
3.4.3 金庫模式 47
3.4.4 數據防泄漏技術 49
第4章 業務平臺安全 51
4.1 移動業務平臺 51
4.2 移動業務平臺的威脅模型 54
4.2.1 主要風險分析 55
4.2.2 脆弱性分析 55
4.2.3 威脅分析 59
4.3 移動業務平臺安全防護 63
4.3.1 移動業務平臺的安全目標 63
4.3.2 移動業務平臺的安全防護 63
4.3.3 基礎安全防護手段的部署 70
第5章 統一認證技術 76
5.1 概念與現狀 76
5.2 統一認證 78
5.2.1 統一用戶管理 78
5.2.2 統一用戶認證 79
5.2.3 協作關系 80
5.2.4 安全通道 80
5.3 單點登錄 81
5.4 統一認證系統 84
第6章 開放平臺安全 87
6.1 開放平臺系統架構 87
6.1.1 什么是開放平臺 87
6.1.2 Facebook開放平臺 88
6.1.3 GAE開放平臺 89
6.1.4 人人網開放平臺 91
6.1.5 百度數據開放平臺 92
6.2 開放平臺之用戶隱私保護 94
6.2.1 什么是用戶隱私 94
6.2.2 用戶隱私面臨的威脅 95
6.2.3 用戶隱私的保護 96
6.3 開放平臺之接口安全 102
6.3.1 資質審核 102
6.3.2 權限控制 103
6.3.3 防用戶身份偽造 104
6.3.4 服務器分流 105
6.3.5 實時監控 105
6.4 開放平臺之應用安全 106
6.4.1 內容安全審核 106
6.4.2 功能安全審核 106
6.4.3 支付安全審核 107
6.4.4 漏洞檢測 108
第7章 云安全 110
7.1 云計算安全標準 110
7.1.1 國際標準組織及其研究成果 110
7.1.2 國內標準組織及其研究成果 116
7.1.3 其他可適用的安全標準 117
7.2 云計算安全體系架構 119
7.2.1 云計算安全體系架構概述 119
7.2.2 IaaS服務層的安全架構 120
7.2.3 PaaS服務層的安全架構 122
7.2.4 SaaS服務層的安全架構 123
7.2.5 通用安全架構 123
7.2.6 云計算安全的政策、法律法規和標準 125
7.3 云計算平臺的網絡安全 126
7.3.1 云計算中的網絡安全風險 126
7.3.2 安全域的劃分 127
7.3.3 IP地址的規劃 128
7.3.4 核心網絡的規劃 128
7.3.5 網絡資源的訪問控制 129
7.3.6 網絡設備安全管理 129
7.3.7 網絡安全審計 129
7.3.8 私有云的安全防護 130
7.3.9 公共云的安全防護 131
7.4 虛擬化安全 132
7.4.1 虛擬化技術 132
7.4.2 虛擬化的安全風險 133
7.4.3 虛擬化安全防護建議 134
7.5 云計算之身份識別與訪問管理(IAM) 136
7.5.1 IAM的安全模型 137
7.5.2 IAM的關鍵功能 137
7.5.3 認證的方法 139
7.5.4 訪問控制的模式 139
7.5.5 審計的策略 139
7.5.6 賬號管理的策略 140
7.5.7 云身份的認證協議 140
7.6 云計算之數據安全 141
7.6.1 云數據面臨的風險 142
7.6.2 數據安全的防護措施 143
第8章 大數據安全 147
8.1 大數據分析 147
8.1.1 什么是大數據 147
8.1.2 大數據的分類 148
8.1.3 大數據的技術架構 150
8.2 大數據安全風險分析 152
8.2.1 大數據安全問題 152
8.2.3 大數據面臨的主要安全風險 153
8.3 大數據安全防護 155
8.3.1 大數據安全管理流程 155
8.3.2 大數據對外合作管理 156
8.3.3 大數據平臺安全防護 158
8.4 大數據時代的安全戰略 159
8.4.1 美國的大數據安全戰略 159
8.4.2 我國的大數據安全戰略 161
