经典案例：纳斯达克的Web安全攻防战

　　纳斯达克(Nasdaq)是全美证券商协会自动报价系统(National Association of Securities Dealers Automated Quotations)的英文缩写，如今，这个系统的名字已成为股票交易市场的代名词。

　　信息和服务业的兴起催生了纳斯达克，始建于1971年的纳斯达克，让股票交易从此走入完全电子化并用电子化系统实现自我监管的时代。如今，纳斯达克更已成为全美，乃至全世界范围内最大的股票电子交易市场，不仅每天要收集和发布场外交易非上市股票的证券商报价，还要为5200多家上市公司服务，在55个国家和地区设有26万多个计算机销售终端。

　　纳斯达克拥有数以亿计的有价数据，它对网络黑客来说就像一个聚宝盆。10年来，几乎全球的黑客都在想方设法侵入纳斯达克的网站。

　　技术精良的纳斯达克?

　　纳斯达克的网站，一向被人们认为是世界上安全保障体系最严格的网站之一。从建设之初，华尔街就一直以纳斯达克所采用的精良技术为傲。然而，近十年来，纳斯达克遭遇黑客攻击的消息却总是不断传出。

　　1999年9月，纳斯达克和美国证券交易所两个网站首度遭到黑客攻击。届时，美国证券交易所刚刚被纳斯达克收购。一个自称"联合贷款枪手"( ULG)的组织在午夜时分成功地侵入了这两个证交所的网站。

　　虽然当时黑客并没有对系统中的财经数据采取任何行动，但是黑客组织却在网站上留下了一条令人震惊的消息，他们打算"操纵股市暴涨，让所有的投资者都感到高兴，在他们的汽车上都贴上一张纸条，上书：感谢ULG!"

　　该组织声称，他们已在纳斯达克的系统中为自己建立了一个电子邮件信箱，并宣告纳斯达克的网站还存在很多漏洞。而当时，纳斯达克每天的成交量已多达8亿股。

　　虽然纳斯达克网站的安全问题立即引起了华尔街的重视，并且也随之部署了更多的安全设施。但是，时隔一年，纳斯达克便再次遭到了黑客的入侵。

　　一个自称"PrimeSupectz"的黑客，闯入了纳斯达克网站(nasdaq.com)，将"纳斯达克一百指数"所在的位置换成了一句粗话。这场破坏，也令纳斯达克陷入了尴尬境地，因为一向被认为技术精良的纳斯达克，在一年多的时间内，网站却遭遇到两次黑客侵袭。

　　而去年7月，纽约证交所以及纳斯达克公司的主网站又遭到了两次连续的黑客攻击。这两次攻击令纽约证交所的电脑系统发生了多次故障，黑客不仅发布了美国国际集团将退市等错误通告，还让交易系统的交易延长了15分钟。

　　专家指出，如果盲目假设互联网上最受欢迎或是交易量最大的网站安全性一定就高，本身就是错误的想法。人们常常以为一个知名度高的网站必定拥有水平更高超的安全专家，但实际情况是，黑客总在不断努力采用新的技术实施攻击，而网站安全体系的变革却总是落后于黑客。我们必须看清，纳斯达克的安全风险已经转向Web应用的漏洞，被动的安全技术更难以解决今天的问题。

　　风险来自哪里?

　　事实上，为了保障数据的安全和用户的隐私权，很早纳斯达克便建立了以防火墙及安全访问管理机制为核心的安全体系。然而，现有的安全防护措施主要通过SSL安全代理、防火墙、IDS/IPS 、软件防火墙或是防病毒等工具来解决问题。由于这些安全防护措施自身的局限性，导致网站难于应对日新月异的安全攻击，特别是目前基于正常WEB访问而发起的WEB应用攻击手段。所以，像纳斯达克这类安全体系相对健全的网站，近年来也免不了不断遭遇安全攻击。

　　据梭子鱼相关技术人员介绍，Web应用的安全风险当前要远远大于人们过去的认知。首先在服务器端，黑客往往会利用支付或者查询系统自身存在的安全漏洞来侵入系统。比如，基于WEB应用的SQL注入攻击，基于数据库应用的OracleLinstener攻击，以及基于操作系统的缓冲区溢出攻击等方式，早已成为黑客集团的惯用伎俩。

　　此外，SSL安全代理主要依赖的是浏览器的正确实现以及服务器软件和实际加密算法的支持，对于现在的一些攻击手段，如跨站攻击、SQL注入以及数据监听等，SSL从技术上来讲是无可奈何的。

　　而传统防火墙只能检测网络层的攻击，根本无法阻拦来自网络内部的非法操作，更无法动态识别或自适应地调整规则。而编程习惯造成的众多漏洞，更是等于为黑客敞开了通向网站"金库"的大门。

　　"由于技术局限性，大多IDS产品也只能进行已知的特征检测。由于这类设备对数据层的信息缺乏深度分析，本身的误报、漏报率就很高，使得IPS的处理效率低下，同时它也没有对Session或User的跟踪，根本不能保护SSL流量。"梭子鱼技术人员告诉记者。

　　再者，不管是防病毒软件还是防火墙，采用的都是被动检测机制，它们只能检测到已知的病毒或木马，对于外部的正常访问请求更是无法识别，所以基于这两类安全工具构建的网站安全体系，根本无法实现对合法访问的"筛选"。

　　其次在客户端，大多用户的个人电脑其实也并不安全。用户对网络风险的不警觉以及用户个人账号密码存放的不安全，都可能导致恶意攻击者，利用远程木马或是钓鱼网站获取用户的个人账号及密码，最终损害客户的直接利益。

　　所以，Web安全问题近些年已成为交易类网站的最大风险源，而且有逐年飞速增长的势头。