纳斯达克(Nasdaq)是全美证券商协会自动报价系统(National Association of Securities Dealers Automated Quotations)英文缩写,目前已成为纳斯达克股票市场的代名词。信息和服务业的兴起催生了纳斯达克。纳斯达克始建于1971年,是一个完全采用电子交易、为新兴产业提供竞争舞台、自我监管、面向全球的股票市场。纳斯达克是全美也是世界最大的股票电子交易市场。
纳斯达克的特点是收集和发布场外交易非上市股票的证券商报价。它现已成为全球最大的证券交易市场。目前的上市公司有5200多家。纳斯达克又是全世界第一个采用电子交易的股市,它在55个国家和地区设有26万多个计算机销售终端。
Web安全防护至关重要
由于纳斯达克是一个电子交易系统,经营着全球最大的资本市场,系统的安全性和可靠性成为至关重要的因素。 由于纳斯达克的交易使用电子在线系统,又因为。
纳斯达克拥有其官方网站,为用户提供了一个信息共享的平台。由于纳斯达克在金融行业的地位和影响力,并且该网站包含大量的金融信息,致使其成为世界各地黑客的攻击目标。
通过对纳斯达克的官方网站的加固和防护,可以确保其免受各类Web攻击,这些Web攻击主要包括:
1.缓存溢出 — 薄弱的应用编码会尝试将应用数据存储于缓存中,而不是正常的分配,这将最终导致一个攻击,借此,恶意代码将溢出到另外一个缓存中来执行恶意代码。
2.跨站点脚本攻击— 攻击类型的代码数据被插入到另外一个可信任区域的数据中,最终导致使用可信任的身份来执行攻击
3.服务拒绝攻击 — 这种攻击会导致服务没有能力为正常业务提供服务
4.异常错误处理—错误发生时,向用户提交错误提示是很正常的事情,但是如果提交的错误提示中包含了太多的内容,就有可能会被攻击者分析出网络环境的结构或配置。
5.非法session ID — 当session ID没有被正常使用时,攻击者可以破坏Web会话,并且实施多个攻击(通过冒用其他的可信任的凭证),借此来绕开认证机制。
6.命令注入 — 如果没有成功的阻止带有语法含义的输入内容,有可能导致对数据库信息的非法访问。比如在Web表单中输入的内容(SQL语句),应该保持简单,并且不应该还有可被执行的代码内容。
7.弱认证机制 — 利用弱认证机制或者未加密的数据来获得访问,破坏和控制数据是一个非常严重的问题。通过正确的开发Web应用可以轻而易举的避免此问题。
8.未受保护的参数传递 — 利用统一资源标识符(URL)和隐藏的HTML标记可以传递参数给浏览器,浏览器在将HTML传回给服务器之前,是不会修改这些参数的。
9.不安全的存储 - 对于Web应用程序来说,妥善的保存密码,用户名,以及其它与身份验证有关的信息是非常重要的工作。对这些信息进行加密是非常有效的方式,但是一些企业会采用那些未经实践验证的加密解决方案,其中就可能存在漏洞。
10.非法输入 --在数据被输入程序前忽略对数据合法性的检验,是一个常见的编程漏洞。随着我们对Web应用程序脆弱性的调查,非法输入的问题已经成为了大多数Web应用程序安全漏洞的一个主要特点。
梭子鱼应用防火墙为纳斯达克提供全面的Web保护
梭子鱼提供的强大的梭子鱼应用防火墙,为纳斯达克的Web服务器和Web应用提供全面的保护——既可防范已知的对 Web 应用系统及基础设施漏洞的攻击,也可抵御更多的恶意及目标攻击。梭子鱼应用防火墙基于梭子鱼专利的NCOS体系,对HTTP请求进行终止、防护和加速。集中化GUI控制界面可以让系统的配置和管理变得十分简单。 特别是,梭子鱼应用防火墙完全符合WAFEC & OWASP提出的标准。并且是世界上唯一被ICSA在网络层和应用层上通过认证的产品。
此外,梭子鱼动态学习功能通过与纳斯达克网站的Web服务器互相通信,能够实时地自动学习和策略建模。
梭子鱼应用防火墙的实时策略向导能够协助管理员自定义策略,同时让管理员对于当前的策略拥有完全的掌控。此系统能够记录所有违背ACL的行为。
梭子鱼应用防火墙给纳斯达克网站带来长久高效的Web应用安全
通过部署梭子鱼应用防火墙,通过梭子鱼的加速功能,大大提高了整体处理性能,并将纳斯达克的Web服务器完全隐藏在梭子鱼之后,实现完全的增减透明化。
梭子鱼使用缓存、压缩、TCP连接复用和负载均衡等各种技术对后台Web服务器进行流量的优化。使得纳斯达克在Web应用得到完全保护的同时,提升整体的性能。提升用户的上网体验,建立网站良好的形象和声誉。
此外,添加服务器和删除服务器不会对当前应用造成任何的影响。这为纳斯达克在将来对网站的扩容带来了极大的益处。
