精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

納斯達克(Nasdaq)是全美證券商協(xié)會自動報價系統(tǒng)(National Association of Securities Dealers Automated Quotations)的英文縮寫，如今，這個系統(tǒng)的名字已成為股票交易市場的代名詞。

信息和服務(wù)業(yè)的興起催生了納斯達克，始建于1971年的納斯達克，讓股票交易從此走入完全電子化并用電子化系統(tǒng)實現(xiàn)自我監(jiān)管的時代。如今，納斯達克更已成為全美，乃至全世界范圍內(nèi)最大的股票電子交易市場，不僅每天要收集和發(fā)布場外交易非上市股票的證券商報價，還要為5200多家上市公司服務(wù)，在55個國家和地區(qū)設(shè)有26萬多個計算機銷售終端。

納斯達克擁有數(shù)以億計的有價數(shù)據(jù)，它對網(wǎng)絡(luò)黑客來說就像一個聚寶盆。10年來，幾乎全球的黑客都在想方設(shè)法侵入納斯達克的網(wǎng)站。

技術(shù)精良的納斯達克？

納斯達克的網(wǎng)站，一向被人們認(rèn)為是世界上安全保障體系最嚴(yán)格的網(wǎng)站之一。從建設(shè)之初，華爾街就一直以納斯達克所采用的精良技術(shù)為傲。然而，近十年來，納斯達克遭遇黑客攻擊的消息卻總是不斷傳出。

1999年9月，納斯達克和美國證券交易所兩個網(wǎng)站首度遭到黑客攻擊。屆時，美國證券交易所剛剛被納斯達克收購。一個自稱“聯(lián)合貸款槍手”( ULG)的組織在午夜時分成功地侵入了這兩個證交所的網(wǎng)站。

雖然當(dāng)時黑客并沒有對系統(tǒng)中的財經(jīng)數(shù)據(jù)采取任何行動，但是黑客組織卻在網(wǎng)站上留下了一條令人震驚的消息，他們打算“操縱股市暴漲，讓所有的投資者都感到高興，在他們的汽車上都貼上一張紙條，上書：感謝ULG!”

該組織聲稱，他們已在納斯達克的系統(tǒng)中為自己建立了一個電子郵件信箱，并宣告納斯達克的網(wǎng)站還存在很多漏洞。而當(dāng)時，納斯達克每天的成交量已多達8億股。

雖然納斯達克網(wǎng)站的安全問題立即引起了華爾街的重視，并且也隨之部署了更多的安全設(shè)施。但是，時隔一年，納斯達克便再次遭到了黑客的入侵。

一個自稱“PrimeSupectz”的黑客，闖入了納斯達克網(wǎng)站(nasdaq.com)，將“納斯達克一百指數(shù)”所在的位置換成了一句粗話。這場破壞，也令納斯達克陷入了尷尬境地，因為一向被認(rèn)為技術(shù)精良的納斯達克，在一年多的時間內(nèi)，網(wǎng)站卻遭遇到兩次黑客侵襲。

而去年7月，紐約證交所以及納斯達克公司的主網(wǎng)站又遭到了兩次連續(xù)的黑客攻擊。這兩次攻擊令紐約證交所的電腦系統(tǒng)發(fā)生了多次故障，黑客不僅發(fā)布了美國國際集團將退市等錯誤通告，還讓交易系統(tǒng)的交易延長了15分鐘。

專家指出，如果盲目假設(shè)互聯(lián)網(wǎng)上最受歡迎或是交易量最大的網(wǎng)站安全性一定就高，本身就是錯誤的想法。人們常常以為一個知名度高的網(wǎng)站必定擁有水平更高超的安全專家，但實際情況是，黑客總在不斷努力采用新的技術(shù)實施攻擊，而網(wǎng)站安全體系的變革卻總是落后于黑客。我們必須看清，納斯達克的安全風(fēng)險已經(jīng)轉(zhuǎn)向Web應(yīng)用的漏洞，被動的安全技術(shù)更難以解決今天的問題。

風(fēng)險來自哪里？

事實上，為了保障數(shù)據(jù)的安全和用戶的隱私權(quán)，很早納斯達克便建立了以防火墻及安全訪問管理機制為核心的安全體系。然而，現(xiàn)有的安全防護措施主要通過SSL安全代理、防火墻、IDS/IPS 、軟件防火墻或是防病毒等工具來解決問題。由于這些安全防護措施自身的局限性，導(dǎo)致網(wǎng)站難于應(yīng)對日新月異的安全攻擊，特別是目前基于正常WEB訪問而發(fā)起的WEB應(yīng)用攻擊手段。所以，像納斯達克這類安全體系相對健全的網(wǎng)站，近年來也免不了不斷遭遇安全攻擊。

據(jù)梭子魚相關(guān)技術(shù)人員介紹，Web應(yīng)用的安全風(fēng)險當(dāng)前要遠遠大于人們過去的認(rèn)知。首先在服務(wù)器端，黑客往往會利用支付或者查詢系統(tǒng)自身存在的安全漏洞來侵入系統(tǒng)。比如，基于WEB應(yīng)用的SQL注入攻擊，基于數(shù)據(jù)庫應(yīng)用的OracleLinstener攻擊，以及基于操作系統(tǒng)的緩沖區(qū)溢出攻擊等方式，早已成為黑客集團的慣用伎倆。

此外，SSL安全代理主要依賴的是瀏覽器的正確實現(xiàn)以及服務(wù)器軟件和實際加密算法的支持，對于現(xiàn)在的一些攻擊手段，如跨站攻擊、SQL注入以及數(shù)據(jù)監(jiān)聽等，SSL從技術(shù)上來講是無可奈何的。

而傳統(tǒng)防火墻只能檢測網(wǎng)絡(luò)層的攻擊，根本無法阻攔來自網(wǎng)絡(luò)內(nèi)部的非法操作，更無法動態(tài)識別或自適應(yīng)地調(diào)整規(guī)則。而編程習(xí)慣造成的眾多漏洞，更是等于為黑客敞開了通向網(wǎng)站“金庫”的大門。

“由于技術(shù)局限性，大多IDS產(chǎn)品也只能進行已知的特征檢測。由于這類設(shè)備對數(shù)據(jù)層的信息缺乏深度分析，本身的誤報、漏報率就很高，使得IPS的處理效率低下，同時它也沒有對Session或User的跟蹤，根本不能保護SSL流量。”梭子魚技術(shù)人員告訴記者。

再者，不管是防病毒軟件還是防火墻，采用的都是被動檢測機制，它們只能檢測到已知的病毒或木馬，對于外部的正常訪問請求更是無法識別，所以基于這兩類安全工具構(gòu)建的網(wǎng)站安全體系，根本無法實現(xiàn)對合法訪問的“篩選”。

其次在客戶端，大多用戶的個人電腦其實也并不安全。用戶對網(wǎng)絡(luò)風(fēng)險的不警覺以及用戶個人賬號密碼存放的不安全，都可能導(dǎo)致惡意攻擊者，利用遠程木馬或是釣魚網(wǎng)站獲取用戶的個人賬號及密碼，最終損害客戶的直接利益。

所以，Web安全問題近些年已成為交易類網(wǎng)站的最大風(fēng)險源，而且有逐年飛速增長的勢頭。

為納斯達克把脈

反觀納斯達克的Web安全隱患，梭子魚發(fā)現(xiàn)即使是納斯達克這樣技術(shù)精良的網(wǎng)站，依舊存在不少風(fēng)險。對于十種黑客慣用的應(yīng)用程序漏洞，納斯達克網(wǎng)站的防護能力也非常薄弱。

第一，緩存溢出。 由于應(yīng)用程序的編碼會嘗試將應(yīng)用數(shù)據(jù)存儲于緩存中，而不是正常的分配，這種漏洞往往被黑客所利用，變?yōu)楣羰侄巍Ｒ驗榻柚@種錯誤，惡意代碼就可以溢出到另外一個緩存中去執(zhí)行。

第二.跨站點腳本攻擊。攻擊類型的代碼數(shù)據(jù)可以被插入到另外一個可信任區(qū)域的數(shù)據(jù)中，最終導(dǎo)致使用可信任的身份來執(zhí)行攻擊，這種攻擊方式也是黑客慣用的伎倆。

第三，服務(wù)拒絕攻擊。這種攻擊會導(dǎo)致服務(wù)沒有能力為正常業(yè)務(wù)提供服務(wù)。

第四，異常錯誤處理的風(fēng)險。當(dāng)錯誤發(fā)生時，系統(tǒng)向用戶提交錯誤提示是很正常的事情，但是如果提交的錯誤提示中包含了太多的內(nèi)容，就有可能會被攻擊者分析出網(wǎng)絡(luò)環(huán)境的結(jié)構(gòu)或配置。

第五，非法session ID。當(dāng)session ID沒有被正常使用時，攻擊者還可以借機破壞Web會話，并且實施多個攻擊(通過冒用其他的可信任的憑證)，借此來繞開認(rèn)證機制。

第六，命令注入。這一問題的風(fēng)險是，如果系統(tǒng)沒有成功的阻止帶有語法含義的輸入內(nèi)容，就有可能導(dǎo)致對數(shù)據(jù)庫信息的非法訪問。比如，在Web表單中輸入的內(nèi)容(SQL語句)，應(yīng)該保持簡單，并且不應(yīng)該還有可被執(zhí)行的代碼內(nèi)容。

第七.弱認(rèn)證機制的隱患。雖然只要通過正確的開發(fā)Web應(yīng)用就可以輕而易舉的避免此問題，但是在眾多已經(jīng)在線使用的應(yīng)用中，這類問題卻十分嚴(yán)重。而一旦黑客利用弱認(rèn)證機制或者未加密的數(shù)據(jù)來獲得訪問，或是破壞、控制數(shù)據(jù)，就會造成非常嚴(yán)重的影響。

第八，未受保護的參數(shù)傳遞風(fēng)險。由于利用統(tǒng)一資源標(biāo)識符(URL)和隱藏的HTML標(biāo)記可以傳遞參數(shù)給瀏覽器，所以瀏覽器在將HTML傳回給服務(wù)器之前，是不會修改這些參數(shù)的。利用這一破綻的黑客工具現(xiàn)在也比比皆是。

第九，不安全的存儲 - 對于Web應(yīng)用程序來說，妥善的保存密碼，用戶名，以及其它與身份驗證有關(guān)的信息是非常重要的工作。對這些信息進行加密才是最有效的方法。然而，在實際操作過程中。大多企業(yè)卻總是采用那些未經(jīng)實踐驗證的加密解決方案，這些方案本身就充滿了漏洞。

第十，非法輸入。在數(shù)據(jù)被輸入程序前忽略對數(shù)據(jù)合法性的檢驗，是一個常見的編程漏洞。在對Web應(yīng)用程序脆弱性的調(diào)查中，非法輸入問題已經(jīng)成為大多數(shù)Web應(yīng)用程序的最典型漏洞之一。

用“透明人”完成Web安全防護

經(jīng)過一番研究，梭子魚為納斯達克提出了一套更完善的Web安全解決方案。

首先，梭子魚采用了專業(yè)的應(yīng)用防火墻，為納斯達克的Web服務(wù)器和Web應(yīng)用提供全面的保護。和傳統(tǒng)防火墻不同，梭子魚應(yīng)用防火墻既可防范已知的對 Web 應(yīng)用系統(tǒng)及基礎(chǔ)設(shè)施漏洞的攻擊，也能抵御住惡意攻擊或是目標(biāo)攻擊。通過梭子魚應(yīng)用防火墻的專利技術(shù)，納斯達克的網(wǎng)站還能對HTTP請求進行終止、防護和加速的操作。

此外，梭子魚產(chǎn)品的動態(tài)學(xué)習(xí)功能，可以自主的與納斯達克網(wǎng)站的Web服務(wù)器互相通信，實時地自動學(xué)習(xí)和策略建模。由于梭子魚應(yīng)用防火墻具備實時策略向?qū)Чδ埽軌騾f(xié)助管理員自定義策略，同時讓管理員對當(dāng)前的策略擁有完全的掌控權(quán)，所以所有違背ACL的行為都可以被納斯達克的網(wǎng)絡(luò)管理人員捕捉到。

由于通過使用緩存、壓縮、TCP連接復(fù)用、負(fù)載均衡等各種技術(shù)對后臺Web服務(wù)器進行了流量的優(yōu)化，所以部署在納斯達克的Web服務(wù)器前端的梭子魚應(yīng)用防火墻對用戶的體驗沒有造成任何影響，就像是個“透明”的安全衛(wèi)士。在管理過程中，增減設(shè)備對網(wǎng)絡(luò)幾乎完全沒有影響。這為納斯達克在將來對網(wǎng)站的擴容帶來了極大的益處。