三层架构模式下信息系统的漏洞挖掘策略研究.pdfVIP

广西通信技术 2016年第4期 Communication Guangxi Technology 三层架构模式下信息系统的漏洞挖掘策略研究 孟祥博1， 艾洪福2 130117) (1．国家计算机网络与信息安全管理中心吉林分中心，吉林长春130000；2．吉林农业大学，吉林长春 摘要：高度信息化的时代，信息系统的安全性得到高度重视，对于系统的漏洞挖掘与分析成为研究热点，相关的漏洞挖 掘方法也得到了很好的应用。但对于小规模、应用专的信息系统的安全性却关注较少，而该类系统的安全问题同 样不能忽视。针对采用自定义服务层的三层架构模式的信息系统安全方面提出了相关的漏洞挖掘策略，并针对具 体的管理信息系统对该策略进行了验证，确认了漏洞挖掘的有效性，从而增强了该类信息系统的健壮陛。 关键词：信息系统；漏洞；RPC 中图分类号：TP393．08 文献标识码：A 1 引言 立了相应的挖掘策略，并在实际的系统应用中，验 证了策略的有效性。 随着网络技术的高速发展，伴随着大数据技术、 “云”技术等广泛应用，管理信息系统的数据存储 2研究目的 与处理也在向着“云”逐渐转换。由此所带来的风 险性在逐渐增大。漏洞挖掘已然成为信息安全领域 由于信息系统本身有着极强的应用针对性，应 不可或缺的部分，并建立了行之有效的挖掘方法与 用范围小，确保应用程序(特别是数据库支持)的 策略，相关的软件也层出不列”。但是，常见的管 安全比传统的应用程序更具挑战性。专注于信息 理信息系统通常比商业网站和政府网网站规模更 系统安全的研究人员会把系统本身存在的安全问题 小，实现简单，应用范围狭小。基于以上原因该领 (漏洞)准确地反馈给系统的开发与设计人员。尽 域的漏洞问题常常被忽视。所以该类软件在实际应 管如此，由于人们所能想到的漏洞问题相比计算机 用中面临的危险显得更为突出。针对该类信息系统 软件系统本身显得更加不可控，所以需要借助于外 的漏洞挖掘，目的是发现软件本身的漏洞，并有效 部程序及工具来帮助分析源程序代码、底层的网络 利用漏洞，进行处理，保证软件的安全，使得系统 应用服务、数据库服务以及整个操作环境中的所存 的鲁棒性更高。 在的安全隐患。对于该方面的研究，已经取得了一 目前对于管理信息系统的设计采用的是三层架 定的研究成果，如使用有关漏洞检测模型来分析 构模式，即基础数据层、中间自定制的服务层和顶 web应用程序的安全性和基于sQL的注入攻击等口】【31。 层的应用层。采用该种三层模式设计，不仅仅是为 但是这些研究案例不可能完全考虑实际网络的动态 了提高提高系统的运行效率，更为重要的是提高系 环境。基于SQL的攻击已经存在了很多年，信息系 统安全性。但是在系统运行过程中仍然存在着安全 统会对系统中的数据进行处理，而该类型的攻击模 隐患。张友春等…，提出了针对该方面的漏洞挖掘 式主要针对数据库查询操作，且主要是数据的删除 体系，但是针对三层架构的系统模式的漏洞挖掘仍 和针对用户账号等重要信息的盗取等。 然存在研究的价值。本研究针对该三层设计结构建 45 万方数据 广西通信技术 2016年第4期 Communication Guangxi Technology 专用的信息系统通常比商业系统和政府网站规 同时在维护上比较被动。所以在很多小的信息系统 模要小很多，实现简单，但该领域的系统安全问题 中，根据其使用的范围不同，建立了自己的中间服 还没有得到广泛的关注，因此系统规模较小、软件 务层，形成了自定制的服务模式，其中基于远程 Procedure 功能相对比较专的信息系统所面临的安全风险程度 过程调用(Remote Call，