本书着重于对移动互联网业务各个层面的安全风险进行分析,并结合当今电信运营商及互联网企业的安全实践,系统地介绍相关安全机制,并对安全测评方法、安全加固手段和安全事件处置方法提出建议。本书内容新颖,理论知识与实际案例并重,主要适合移动互联网服务运营商、应用开发商、咨询机构、高校、科研院所及其他对移动互联网服务感兴趣的人群阅读, 希望能为读者进行移动互联网业务安全体系规划和安全实践提供技术指导。
1.反映移动互联网安全领域的全新研究进展;
张滨,男,硕士,高级工程师,毕业于清华大学无线电系,具有二十余年移动通信领域工作经验,目前担任中国移动通信集团信息安全管理与运行中心总经理。
第1章 移动互联网时代 1
1.1 移动互联网的发展现状 1
1.1.1 移动互联网时代的到来 1
1.1.2 什么是移动互联网 2
1.1.3 移动互联网关键技术 4
1.1.4 移动互联网的发展形势 6
1.2 移动互联网业务的发展现状 7
1.2.1 移动互联网业务的特点 7
1.2.2 典型的移动互联网业务 7
1.2.3 移动互联网业务的发展趋势 9
第2章 移动互联网业务安全问题 11
2.1 内容安全 11
2.1.1 内容安全问题 11
2.1.2 内容安全风险 12
2.2 应用安全 15
2.2.1 应用安全问题 15
2.2.2 应用程序漏洞 15
2.2.3 恶意软件 16
2.3 终端安全 17
2.3.1 终端安全问题 17
2.3.2 物理安全 17
2.3.3 操作系统安全 18
2.3.4 预置软件隐患 18
2.4 平台安全 19
2.4.1 平台安全问题 19
2.4.2 平台安全风险 19
2.5 传播安全 20
2.5.1 传播安全问题 20
2.5.2 传播安全风险 20
2.6 客户信息安全 22
2.6.1 客户信息安全问题 22
2.6.2 敏感隐私信息安全 22
2.6.3 个人信息安全 22
2.7 计费安全 23
2.7.1 计费安全问题 23
2.7.2 流量吸费 23
2.7.3 恶意订制 23
2.7.4 计费系统漏洞 24
2.8 接口安全 24
2.8.1 接口安全问题 24
2.8.2 接口安全风险 24
第3章 移动互联网业务安全 27
3.1 业务应用安全体系 27
3.2 业务流程安全 28
3.2.1 业务流程安全的范畴与定义 29
3.2.2 典型业务流程及安全需求 29
3.2.3 业务流程安全风险 32
3.2.4 业务流程安全的主要技术 34
3.3 内容安全 37
3.3.1 移动互联网内容安全范畴与相关定义 37
3.3.2 主要风险环节及安全需求 37
3.3.3 内容安全体系 39
3.3.4 内容过滤技术 40
3.4 客户信息安全 46
3.4.1 客户信息安全的范畴及定义 46
3.4.2 业务流程中的客户信息保护 47
3.4.3 金库模式 47
3.4.4 数据防泄漏技术 49
第4章 业务平台安全 51
4.1 移动业务平台 51
4.2 移动业务平台的威胁模型 54
4.2.1 主要风险分析 55
4.2.2 脆弱性分析 55
4.2.3 威胁分析 59
4.3 移动业务平台安全防护 63
4.3.1 移动业务平台的安全目标 63
4.3.2 移动业务平台的安全防护 63
4.3.3 基础安全防护手段的部署 70
第5章 统一认证技术 76
5.1 概念与现状 76
5.2 统一认证 78
5.2.1 统一用户管理 78
5.2.2 统一用户认证 79
5.2.3 协作关系 80
5.2.4 安全通道 80
5.3 单点登录 81
5.4 统一认证系统 84
第6章 开放平台安全 87
6.1 开放平台系统架构 87
6.1.1 什么是开放平台 87
6.1.2 Facebook开放平台 88
6.1.3 GAE开放平台 89
6.1.4 人人网开放平台 91
6.1.5 百度数据开放平台 92
6.2 开放平台之用户隐私保护 94
6.2.1 什么是用户隐私 94
6.2.2 用户隐私面临的威胁 95
6.2.3 用户隐私的保护 96
6.3 开放平台之接口安全 102
6.3.1 资质审核 102
6.3.2 权限控制 103
6.3.3 防用户身份伪造 104
6.3.4 服务器分流 105
6.3.5 实时监控 105
6.4 开放平台之应用安全 106
6.4.1 内容安全审核 106
6.4.2 功能安全审核 106
6.4.3 支付安全审核 107
6.4.4 漏洞检测 108
第7章 云安全 110
7.1 云计算安全标准 110
7.1.1 国际标准组织及其研究成果 110
7.1.2 国内标准组织及其研究成果 116
7.1.3 其他可适用的安全标准 117
7.2 云计算安全体系架构 119
7.2.1 云计算安全体系架构概述 119
7.2.2 IaaS服务层的安全架构 120
7.2.3 PaaS服务层的安全架构 122
7.2.4 SaaS服务层的安全架构 123
7.2.5 通用安全架构 123
7.2.6 云计算安全的政策、法律法规和标准 125
7.3 云计算平台的网络安全 126
7.3.1 云计算中的网络安全风险 126
7.3.2 安全域的划分 127
7.3.3 IP地址的规划 128
7.3.4 核心网络的规划 128
7.3.5 网络资源的访问控制 129
7.3.6 网络设备安全管理 129
7.3.7 网络安全审计 129
7.3.8 私有云的安全防护 130
7.3.9 公共云的安全防护 131
7.4 虚拟化安全 132
7.4.1 虚拟化技术 132
7.4.2 虚拟化的安全风险 133
7.4.3 虚拟化安全防护建议 134
7.5 云计算之身份识别与访问管理(IAM) 136
7.5.1 IAM的安全模型 137
7.5.2 IAM的关键功能 137
7.5.3 认证的方法 139
7.5.4 访问控制的模式 139
7.5.5 审计的策略 139
7.5.6 账号管理的策略 140
7.5.7 云身份的认证协议 140
7.6 云计算之数据安全 141
7.6.1 云数据面临的风险 142
7.6.2 数据安全的防护措施 143
第8章 大数据安全 147
8.1 大数据分析 147
8.1.1 什么是大数据 147
8.1.2 大数据的分类 148
8.1.3 大数据的技术架构 150
8.2 大数据安全风险分析 152
8.2.1 大数据安全问题 152
8.2.3 大数据面临的主要安全风险 153
8.3 大数据安全防护 155
8.3.1 大数据安全管理流程 155
8.3.2 大数据对外合作管理 156
8.3.3 大数据平台安全防护 158
8.4 大数据时代的安全战略 159
8.4.1 美国的大数据安全战略 159
8.4.2 我国的大数据安全战略 161