【51CTO.com 綜合消息】JP摩根大通是全球歷史最長(zhǎng)、規(guī)模最大的金融服務(wù)集團(tuán)之一，由大通銀行、J.P.摩根公司及富林明集團(tuán)在2000年完成合并。

JP摩根大通的總部位于紐約，它為3000多萬名消費(fèi)者以及企業(yè)、機(jī)構(gòu)和政府客戶提供服務(wù)。該公司擁有7930億美元資產(chǎn)，業(yè)務(wù)遍及50多個(gè)國(guó)家，是投資銀行業(yè)務(wù)、金融服務(wù)、金融事務(wù)處理、投資管理、私人銀行業(yè)務(wù)和私募股權(quán)投資方面的領(lǐng)導(dǎo)者。

由于信息化的飛快發(fā)展，JP摩根大通的官方網(wǎng)站也在進(jìn)行持續(xù)、穩(wěn)步的建設(shè)。其官方網(wǎng)站包含了大量金融行業(yè)的重要信息，并且其自身的財(cái)務(wù)信息、報(bào)告等重要信息都在其官方網(wǎng)站對(duì)外公開。用戶、股東能夠通過其官方網(wǎng)站獲得大量的有用信息。

其官方網(wǎng)站地址為：www.jpmorganchase.com

Web安全防護(hù)至關(guān)重要

由于JP摩根大通在金融行業(yè)的重要地位，作為其對(duì)外公開的官方網(wǎng)站來說，公司的形象、數(shù)據(jù)的安全都是值得考慮的重要因素。

根據(jù)JP摩根大通的官方網(wǎng)站的布局，該網(wǎng)站包含了以下一些重要的信息：

1.JP摩根大通新聞動(dòng)態(tài)

2.公司年（季）度財(cái)政報(bào)告

3.股價(jià)信息

4.股東信息

5.總裁致辭

等一系列重要的數(shù)據(jù)信息，其中任一數(shù)據(jù)被篡改，都將給JP摩根大通帶來無可挽回的損失和嚴(yán)重的后果。

因此，防止網(wǎng)頁篡改、數(shù)據(jù)篡改及其他一系列Web攻擊是JP摩根大通需要解決的當(dāng)務(wù)之急。

俗話說：“樹大招風(fēng)”，由于JP摩根大通在金融行業(yè)的地位和影響力，并且該網(wǎng)站包含大量的金融信息，致使其成為世界各地黑客的攻擊目標(biāo)。

通過對(duì)JP摩根大通的官方網(wǎng)站加固和防護(hù)，可以確保其免受各類Web攻擊，這些Web攻擊主要包括：

1.緩存溢出 —  薄弱的應(yīng)用編碼會(huì)嘗試將應(yīng)用數(shù)據(jù)存儲(chǔ)于緩存中，而不是正常的分配，這將最終導(dǎo)致一個(gè)攻擊，借此，惡意代碼將溢出到另外一個(gè)緩存中來執(zhí)行惡意代碼。

2.跨站點(diǎn)腳本攻擊— 攻擊類型的代碼數(shù)據(jù)被插入到另外一個(gè)可信任區(qū)域的數(shù)據(jù)中，最終導(dǎo)致使用可信任的身份來執(zhí)行攻擊

3.服務(wù)拒絕攻擊 — 這種攻擊會(huì)導(dǎo)致服務(wù)沒有能力為正常業(yè)務(wù)提供服務(wù)

4.異常錯(cuò)誤處理—錯(cuò)誤發(fā)生時(shí)，向用戶提交錯(cuò)誤提示是很正常的事情，但是如果提交的錯(cuò)誤提示中包含了太多的內(nèi)容，就有可能會(huì)被攻擊者分析出網(wǎng)絡(luò)環(huán)境的結(jié)構(gòu)或配置。

5.非法session ID — 當(dāng)session ID沒有被正常使用時(shí)，攻擊者可以破壞Web會(huì)話，并且實(shí)施多個(gè)攻擊（通過冒用其他的可信任的憑證），借此來繞開認(rèn)證機(jī)制。

6.命令注入 — 如果沒有成功的阻止帶有語法含義的輸入內(nèi)容，有可能導(dǎo)致對(duì)數(shù)據(jù)庫信息的非法訪問。比如在Web表單中輸入的內(nèi)容（SQL語句），應(yīng)該保持簡(jiǎn)單，并且不應(yīng)該還有可被執(zhí)行的代碼內(nèi)容。

7.弱認(rèn)證機(jī)制 — 利用弱認(rèn)證機(jī)制或者未加密的數(shù)據(jù)來獲得訪問，破壞和控制數(shù)據(jù)是一個(gè)非常嚴(yán)重的問題。通過正確的開發(fā)Web應(yīng)用可以輕而易舉的避免此問題。

8.未受保護(hù)的參數(shù)傳遞 — 利用統(tǒng)一資源標(biāo)識(shí)符（URL）和隱藏的HTML標(biāo)記可以傳遞參數(shù)給瀏覽器，瀏覽器在將HTML傳回給服務(wù)器之前，是不會(huì)修改這些參數(shù)的。

9.不安全的存儲(chǔ) － 對(duì)于Web應(yīng)用程序來說，妥善的保存密碼，用戶名，以及其它與身份驗(yàn)證有關(guān)的信息是非常重要的工作。對(duì)這些信息進(jìn)行加密是非常有效的方式，但是一些企業(yè)會(huì)采用那些未經(jīng)實(shí)踐驗(yàn)證的加密解決方案，其中就可能存在漏洞。

10.非法輸入 --在數(shù)據(jù)被輸入程序前忽略對(duì)數(shù)據(jù)合法性的檢驗(yàn)，是一個(gè)常見的編程漏洞。隨著我們對(duì)Web應(yīng)用程序脆弱性的調(diào)查，非法輸入的問題已經(jīng)成為了大多數(shù)Web應(yīng)用程序安全漏洞的一個(gè)主要特點(diǎn)。

梭子魚應(yīng)用防火墻為JP摩根大通提供全面的Web保護(hù)

梭子魚提供的強(qiáng)大的梭子魚應(yīng)用防火墻，為JP摩根大通的Web服務(wù)器和Web應(yīng)用提供全面的保護(hù)——既可防范已知的對(duì) Web 應(yīng)用系統(tǒng)及基礎(chǔ)設(shè)施漏洞的攻擊，也可抵御更多的惡意及目標(biāo)攻擊。梭子魚應(yīng)用防火墻基于梭子魚專利的NCOS體系，對(duì)HTTP請(qǐng)求進(jìn)行終止、防護(hù)和加速。集中化GUI控制界面可以讓系統(tǒng)的配置和管理變得十分簡(jiǎn)單。 特別是，梭子魚應(yīng)用防火墻完全符合WAFEC & OWASP提出的標(biāo)準(zhǔn)。并且是世界上唯一被ICSA在網(wǎng)絡(luò)層和應(yīng)用層上通過認(rèn)證的產(chǎn)品。

此外，梭子魚動(dòng)態(tài)學(xué)習(xí)功能通過與JP摩根大通網(wǎng)站的Web服務(wù)器互相通信，能夠?qū)崟r(shí)地自動(dòng)學(xué)習(xí)和策略建模。

梭子魚應(yīng)用防火墻的實(shí)時(shí)策略向?qū)軌騾f(xié)助管理員自定義策略，同時(shí)讓管理員對(duì)于當(dāng)前的策略擁有完全的掌控。此系統(tǒng)能夠記錄所有違背ACL的行為。

梭子魚應(yīng)用防火墻給JP摩根大通帶來長(zhǎng)久高效的Web應(yīng)用安全

通過部署梭子魚應(yīng)用防火墻，通過梭子魚的加速功能，大大提高了整體處理性能，并將JP摩根大通的Web服務(wù)器完全隱藏在梭子魚之后，實(shí)現(xiàn)完全的增減透明化。

梭子魚使用緩存、壓縮、TCP連接復(fù)用和負(fù)載均衡等各種技術(shù)對(duì)后臺(tái)Web服務(wù)器進(jìn)行流量的優(yōu)化。使得JP摩根大通在Web應(yīng)用得到完全保護(hù)的同時(shí)，提升整體的性能。提升用戶的上網(wǎng)體驗(yàn)，建立網(wǎng)站良好的形象和聲譽(yù)。

此外，添加服務(wù)器和刪除服務(wù)器不會(huì)對(duì)當(dāng)前應(yīng)用造成任何的影響。這為JP摩根大通在將來對(duì)網(wǎng)站的擴(kuò)容帶來了極大的益處。