В современном мире, где технологии играют ключевую роль во всех сферах деятельности, корпоративные мессенджеры стали неотъемлемой частью общения и координации работы сотрудников многих компаний. Однако благодаря тому, что такие платформы легко интегрируются в работу и бизнес-процессы корпораций, они представляют интерес не только для бизнеса, но и для злоумышленников. Поэтому передача конфиденциальной и важной информации через эти каналы коммуникации требует обеспечения высокого уровня безопасности.
Целью данной дипломной работы является изучение существующих методов обеспечения безопасности корпоративных чатов, а также анализ и разработка решения, воплощающего наиболее эффективные методы защиты. В рамках работы будет рассмотрено разнообразие криптографических подходов, их преимущества и недостатки, а также способы применения этих методов в реализации безопасного корпоративного мессенджера. Для достижения этой цели ставятся следующие задачи:
1) изучить основные криптографические методы и протоколы, используемые для обеспечения безопасности данных в корпоративных мессенджерах;
2) проанализировать существующие корпоративные мессенджеры и их механизмы защиты;
3) разработать архитектуру и функционал корпоративного мессенджера с улучшенными методами защиты;
4) реализовать разработанный корпоративный мессенджер, используя современные технологии и инструменты.
В ходе исследования будут изучены теоретические аспекты криптографии, практические аспекты разработки корпоративного мессенджера, а также сравнение существующих решений на рынке.
ВВЕДЕНИЕ..................................................................................................... 4
1. Определение корпоративного мессенджера и перечень угроз................. 5
1.1. Определение.............................................................................................. 5
1.2. Угрозы корпоративных мессенджеров.................................................... 5
2. Анализ безопасности популярных корпоративных мессенджеров.......... 6
3. Описание ключевых методов защиты корпоративных чатов................. 12
3.1. Аутентификация пользователей............................................................. 12
3.2. Шифрование данных.............................................................................. 13
3.3. Хранение паролей и ключей в безопасном виде................................... 14
3.4. Защита от SQL-инъекций........................................................................ 14
3.5. Валидация данных.................................................................................. 15
4. Реализация программы и механизмов защиты........................................ 17
4.1. Выбор технологий и инструментов разработки................................... 17
4.2. Проектирование архитектуры мессенджера......................................... 17
4.2.1. Клиент-серверная архитектура........................................................... 17
4.2.2. Архитектура клиента........................................................................... 18
4.2.3. Архитектура базы данных.................................................................. 24
4.3. Реализация функционала приложения.................................................. 27
4.3.1. Установление соединения между клиентом и сервером..................... 27
4.3.2. Передача данных по сети.................................................................... 27
4.3.3. Процесс регистрации и авторизации в системе.................................. 29
4.3.4. Создание корпоративных чатов.......................................................... 30
4.3.5. Отправка обычных и исчезающих сообщений................................... 31
4.3.6. Управление чатом................................................................................ 31
4.3.7. Просмотр и редактирование профиля................................................ 32
4.4. Реализация ключевых механизмов защиты........................................... 33
4.4.1. Шифрование данных........................................................................... 33
4.4.2. Двухфакторная аутентификация......................................................... 34
4.4.3. Хэширование паролей......................................................................... 35
4.4.4. Защита от SQL-инъекций..................................................................... 36
4.4.5. Валидация данных............................................................................... 37
ЗАКЛЮЧЕНИЕ............................................................................................. 38
СПИСОК ЛИТЕРАТУРЫ............................................................................. 43
ПРИЛОЖЕНИЕ............................................................................................. 45
1) Ключевые отличия корпоративных мессенджеров от обычных бесплатных решений / CNewsMarket [сайт]. – 2022. – URL: https://market.cnews.ru/articles/2022-12-22_klyuchevye_otlichiya_korporativnyh
_messendzherov (дата обращения: 29.04.2023).
2) Типовые угрозы и обеспечение информационной безопасности при использовании технологии «клиент-сервер» / Bstudy [сайт]. – 2023. – URL: https://bstudy.net/818170/informatika/tipovye_ugrozy_obespechenie_informatsion noy_bezopasnosti_ispolzovanii_tehnologii_klient_server#aftercont (дата обращения: 29.04.2023).
3) Slack не вводит сквозное шифрование, потому что платежеспособные клиенты против этой функции / Хайтек [сайт]. – 2018. – URL: https://hightech.fm/2018/10/17/slack-encryption (дата обращения: 30.04.2023).
4) Классификация защищённых мессенджеров. Новые проекты / Хабр [сайт]. – 2023. – URL: https://habr.com/ru/companies/globalsign/articles/719330/ (дата обращения: 30.04.2023).
5) Безопасность в Пачке / Пачка [сайт]. – 2023. – URL: https://www.pachca.com/articles/data-security (дата обращения: 01.05.2023).
6) Процедуры безопасности / Slack [сайт]. – 2023. – URL: https://slack.com/security-practices (дата обращения: 01.05.2023).
7) Политика безопасности / Rocket.Chat [сайт]. – 2023. – URL: https://docs.rocket.chat/rocket.chat-privacy-and-security/security-policy (дата обращения: 01.05.2023).
8) Обзор систем аутентификации на основе одноразовых паролей (one-time password) / Anti-Malware [сайт]. – 2021. – URL: https://www.anti-malware.ru/analytics/Market_Analysis/One-time-password-authe
ntication-systems (дата обращения: 02.05.2023).
9) Ключи, шифры, сообщения: как работает TLS / dxdt [сайт]. – 2022. – URL: https://tls.dxdt.ru/tls.html (дата обращения: 03.05.2023).
10) Хэширование – что это и зачем / Блог Касперского [сайт]. – 2014.
– URL: https://www.kaspersky.ru/blog/the-wonders-of-hashing/3633/ (дата обращения: 06.05.2023).
11) SQL-инъекция и как ее предотвратить / Блог Касперского [сайт].
– 2023. – URL: https://www.kaspersky.ru/resource-center/definitions/sql-injection (дата обращения: 07.05.2023).
12) Защита от SQL-инъекций / html-academy [сайт]. – 2022. – URL: https://htmlacademy.ru/blog/php/sql-injections (дата обращения: 07.05.2023).
13) Валидация в тестировании / QA evolution [сайт]. – 2023. – URL: https://qaevolution.ru/validatsiya-v-testirovanii/ (дата обращения: 08.05.2023).
14) Обзор технологии клиент-сервер / xelent [сайт]. – 2022. – URL: https://www.xelent.ru/blog/obzor-tekhnologii-klient-server/ (дата обращения: 09.05.2023).
15) MVVM: проектирование приложений для Windows [сайт]. 2019.
– URL: https://skillbox.ru/media/code/mvvm_proektirovanie_prilozheniy_dlya_ wind ows/ (дата обращения: 10.05.2023).