В рамках работы были выявлены уязвимости баз данных и рассмотрены средства их противодействия. Также была разработана программа для демонстрации способа нахождения файлов с критичными строками подключения и файлов с записями паролей. Данные программа и программная надстройка, а также подобные им, позволяют без значительных затрат выявлять инициализации SQL инъекций, а также находить критичные строки подключения к базам данных и паролей в открытом виде в системах со слабой защитой.
Введение 4
1 Статистика 4
2 SQL- инъекции 5
2 Брандмауэр 6
2.1 Мониторинг трафика в режиме реального времени 7
2.2 Нейтрализация SQL-инъекций 7
2.3 Распознание известных атак 8
2.4 Управление доступом и политики безопасности 9
2.5 Защита от DoS-атак 9
2.6 Аудит и анализ событий 10
2.7 Сравнение функционала разных DBF 11
3 Программная надстройка для блокировки вредоносных кодов 13
4 Сравнение систем 14
5 Пароли в открытом виде и критичные строки подключения к базам данных 16
6 Хранение паролей 17
7 DLP системы 19
7.2 Лингвистический анализ 22
7.3 Трудности внедрения 24
8 ECM системы 25
9 Программа для нахождения паролей 27
10 Собственная разработка 28
10.1 Алгоритм программы 28
10.2 Демонстрация работы 30
11 Сравнение решений 35
Заключение 37
СПИСОК ИСТОЧНИКОВ 38
1. Инсайдеры. [Электронный ресурс] : Anti-Malware.ru - информационная безопасность для профессионалов – Режим доступа: https://www.anti-malware.ru/threats/insiders
2. 52% пользователей используют одинаковые пароли на разных сайтах [Электронный ресурс] : SecurityLab.ru – Режим доступа: https://www.securitylab.ru/blog/company/PandaSecurityRus/344221.php
3. 59% of people use the same password everywhere, poll finds [Электронный ресурс] : Security Boulevard – Режим доступа: https://securityboulevard.com/2018/05/59-of-people-use-the-same-password-everywhere-poll-finds/
4. Предотвращение утечек информации [Электронный ресурс] : Википедия - свободная энциклопедия – Режим доступа: https://ru.wikipedia.org/wiki/Предотвращение_утечек_информации
5. Обзор систем поиска конфиденциальных данных в корпоративной сети (Discovery DLP) [Электронный ресурс] : Anti-Malware.ru - информационная безопасность для профессионалов – Режим доступа: https://www.anti-malware.ru/analytics/Market_Analysis/Discovery-DLP
6. Основные функции ECM-систем [Электронный ресурс] : Консалтинг в области информационных технологий – Режим доступа:
http://ит-консультант.рф/ecm_functions.html
7. Что такое ECM? Системы управления контентом – обзор [Электронный ресурс] : СЭД - Системы электронного документооборота – Режим доступа: https://www.doc-online.ru/tags/ECM/
8. Perception and knowledge of IT threats: the consumer’s point of view [Электронный ресурс] : Кибербезопасность и антивирусная защита дома и бизнеса | Лаборатория Касперского – Режим доступа: https://media.kaspersky.com/ru/documents/kaspersky-lab_ok-consumer-survey-report_eng_final.pdf
9. Принцип работы DLP-системы [Электронный ресурс] : Информационная безопасность предприятия. Защита конфиденциальной информации компании от утечки – SearchInform – Режим доступа: https://searchinform.ru/informatsionnaya-bezopasnost/dlp-sistemy/printsip-raboty-dlp-sistemy/
10. DLP - Data Loss / Leak Prevention Технологии предотвращения утечек конфиденциальной информации [Электронный ресурс] : TAdviser - портал выбора технологий и поставщиков – Режим доступа: www.tadviser.ru/index.php/Статья:DLP_-_Data_Loss_/_Leak_Prevention_-_Технологии_предотвращения_утечек_конфиденциальной_информации
11. Half a Century of Practice: Who is Still Storing Plaintext Passwords? [Электронный ресурс] : utdallas.edu – Режим доступа: https://www.utdallas.edu/~zhiqiang.lin/file/ISPEC15.pdf
12. ДЕЛО. Прейскурант на ПО и услуги [Электронный ресурс] : ЭОС: системы электронного документооборота – Режим доступа: https://www.eos.ru/eos_products/price_RF/deloRF.php
13. Выбираем DLP-систему для средней организации Информационная безопасность [Электронный ресурс] : Хабр – Режим доступа: https://habr.com/ru/post/141000/
14. What is provider? [Электронный ресурс] : Oracle Application Server Portal – Режим доступа: http://pti.regione.sicilia.it/portalHelp2/ohw?topic=provwhat_htm&locale=en
15. Глобальное исследование утечек конфиденциальной информации в 2018 году [Электронный ресурс] : ГК InfoWatch Информационная безопасность в цифровой экономике. Цифровая трансформация бизнеса. – Режим доступа: https://www.infowatch.ru/resources/report2018
16. Утечки данных. Россия. 2018 год [Электронный ресурс] : InfoWatch Информационная безопасность в цифровой экономике. Цифровая трансформация бизнеса. – Режим доступа: https://www.infowatch.ru/sites/default/files/report/analytics/russ/InfoWatch_Russ_Report_2018.pdf?rel=1
17. Защита от SQL инъекций [Электронный ресурс] : Хабр – Режим доступа: https://habr.com/ru/post/148701/
18. PHP: mysqli::real_escape_string - Manual [Электронный ресурс] : PHP: Hypertext Preprocessor– Режим доступа: https://www.php.net/manual/ru/mysqli.real-escape-string.php