5、从技术角度而言，通用的安全技术体系包括以下的模块：

信息系统硬件安全：密码机、密码加速卡等。

操作系统安全：防病毒、访问控制、白名单等。

密码算法技术：RSA、ECC、AES、3DES；

安全协议技术：CCITI X.509、ISO9798、TLS;

访问控制：RBAC、ACL等；

安全传输技术：SSL、HTTPS等；

应用程序安全：S/MIME、PKCS等；

身份识别与权限管理技术：指纹、IC卡、USB Key等。

入侵检测技术和防火墙等；

6、信息系统安全管理体系，主要包括以下内容：

安全目标的确定；

安全需求获取与分类；

风险分析与评估；

风险管理与控制；

安全计划制定；

安全策略与机制实现；

安全措施实施；

7、我国现有的信息系统安全标准体系可分为基础类、应用类、产品类；

8、从具体的实施方案来看，目前代码静态分析采用的方法主要有模式匹配、定力证明、模型检测等。

9、信息系统安全测评由三个阶段组成：（1）安全评估阶段；（2）安全认证阶段；（3）持续监督阶段；

第八章：应用安全工程

8.1 Web安全的需求分析与基本设计

8.1.1Web安全威胁

1、OWASP TOP10漏洞：（1）注入；（2）失效的身份认证和会话管理（3）跨站脚本（XSS）（4）不安全的直接对象引用（5）安全配置错误（6）敏感信息泄漏（7）功能级访问控制缺失（8）跨站请求伪造（CSRF）（9）使用更含有已知漏洞的组件（10）未验证的重定向和转发。

8.1.2 Web安全威胁防护技术

1、防止XSS需要将不可信的数据与动态的浏览器内容区分开

（1）根据数据将要置于的HTML上下文（包括主体、属性、JavaScript、CSS或URL）对所有的不可信数据进行恰当的转义（escape），或者是去掉<>，没有html标签，页面就是安全的。

（2）“白名单”的，具有恰当的规范化和解码功能的输入验证方法同样会有助于防止跨站脚本。但由于很多应用程序在输入中需要特殊字符，这一方法不是完整的防护方法。这种验证方法需要尽可能地解码任何编码输入，同时在接受输入之前需要充分验证数据的长度、字符、格式和任何商务规则。

（3）用内容按去哪策略（CSP）来抵御整个网站的跨站脚本攻击。

（4）用户学会控制自己的好奇心，尽量不去单击页面中不安全的链接。

8.2电子商务安全的需求分析与基本设计

1、电子商务系统安全架构从安全技术与安全管理两个层面为电子商务系统提供深度多级、主动的安全保护，包括安全技术保障与安全管理运维两个部分。

安全技术保障包括物理安全、网络安全、服务安全、数据安全、行为安全和交易安全。网络安全包括防火墙、虚拟专用网、防垃圾邮件、防拒绝服务攻击、入侵检测、入侵防护、防恶意代码、网络接入、网络隔离、内容过滤、网络审计等；服务安全包括双机热备、运行容器隔离技术、容侵与容错技术、在线监控与自动恢复技术、多租户隔离技术等；数据安全包括数据库安全、数据加密、数据备份与恢复技术等；行为安全技术包括行为监控技术、入侵防护技术、安全审计技术、应急响应技术等；交易安全包括安全电子支付协议、电子支付网关安全、电子支付接口安全等，综合通过这些技术，确保电子商务系统的业务连续性。

2、电子商务系统的安全技术包括物理环境安全、系统安全、网络安全、数据及支付安全等方面。