Будь ласка, використовуйте цей ідентифікатор, щоб цитувати або посилатися на цей матеріал: http://elartu.tntu.edu.ua/handle/lib/30595
Назва: Методика захисту конфіденційності інформації в базах даних mssql і mysql від sql-атак
Інші назви: Methods of information confidentiality protection in mssql and mysql data bases against sql-attack
Автори: Осельський, Сергій Віталійович
Oselskyi, Serhii
Приналежність: Тернопільський національний технічний університет імені Івана Пулюя
Бібліографічний опис: Осельський С. В. Методика захисту конфіденційності інформації в базах даних mssql і mysql від sql-атак : дипломна робота магістра за спеціальністю „125 — кібербезпека“/ С.В. Осельський . — Тернопіль: ТНТУ, 2019. — 107с.
Дата публікації: гру-2019
Дата внесення: 20-січ-2020
Країна (код): UA
Науковий керівник: Козак, Руслан Орестович
Теми: SQL-ін’єкції
MS SQL,
mySQL
конфіденційність
авторизації
блокчейн
SQL-injection
privacy
authorization
blockchain
Діапазон сторінок: 107
Короткий огляд (реферат): Методика захисту конфіденційності інформації в базах даних MS SQL та mySQL від sql-атак У роботі досліджено методи захисту інформації на рівні баз даних та авторизації. Проаналізовано основні принципи і методи захисту інформації. Запропоновано методи захисту баз даних від стороннього втручання. Розроблено метод захисту конфіденційності інформації в базах даних MS SQL. Ключові слова: SQL-ін’єкції, MS SQL, mySQL, конфіденційність, авторизації, блокчейн.
Methods of information confidentiality protection in mssql and mysql data bases The methods of data protection in databases at the level of databases and authorization are investigated. The basic methods of information protection are analyzed. Methods for protecting databases from third-party interference are suggested. A method of protecting the privacy of information in MS SQL databases has been developed.
Опис: Роботу виконано у Тернопільському національному технічному університеті імені Івана Пулюя. Керівник роботи: кандидат технічних наук, доцент Козак Руслан Орестович Тернопільський національний технічний університет імені Івана Пулюя, Рецензент: кандидат фізико-математичних наук, професор, завідувач кафедри ММ Михайлишин Михайло Стахович Тернопільський національний технічний університет імені Івана Пулюя Захист відбудеться24 грудня 2019 р. о 9 год. на засіданні Державної екзаменаційної комісії у Тернопільському національному технічному університеті імені Івана Пулюя за адресою: 46001, м. Тернопіль, вул. Танцорова, 2.
Зміст: Анотація 4 1 Принципи захисту інформації в базах даних та її основні загрози 9 1.1 Принципи захисту інформації 9 1.1.1 Основні потреби в захисті інформації 10 1.1.2 Рівні захисту інформації 10 1.1.3 Закон про захист інформації 11 1.1.4 Заходи захисту інформації 11 1.1.5. Захист інформації в інтернеті 12 1.1.6 Захист інформації на підприємстві 12 1.1.7 Захист персональних даних 13 1.1.8 Захист носіїв інформації 13 1.2 Основні загрози безпеці інформації в базах даних 14 1.2.1 Поняття кіберзагрози 14 1.2.2 Тренди і прогнози розвитку кіберзагроз 15 1.2.3 Статистика кіберзагроз в Україні у ІІ кварталі 2019 року 16 1.2.2 Види загроз інформаційній безпеці 19 1.2.2.1 Використання шкідливого ПЗ 19 1.2.2.2 Соціальна інженерія 22 1.2.2.3 Хакінг 23 1.2.2.4 Експлуатація веб-вразливостей 24 1.2.2.5 Підбір облікових даних 25 1.2.3 Категорії жертв кіберзагроз 26 1.2.3.1 Державні організації 26 1.2.3.2 Промислові компанії 28 1.2.3.3 Медичні заклади 30 1.2.3.4 Фінансові організації 31 1.2.3.5 IT-компанії 33 Висновки до першого розділу 34 2 Методи кібератак на конфіденційність інформації та її захисту в базах даних 36 2.1 SQL-ін’єкції як основний метод порушення конфіденційності інформації в базах даних 36 2.1.1 Причини виникнення SQL-ін’єкції 36 2.1.2 Атака SQL ін'єкції з метою отримання доступу до баз даних MSSQL 37 2.2 Методи захисту баз даних від SQL-ін'єкцій 40 2.2.1 Плейсхолдери як основний метод захисту від SQL-ін’єкцій 40 2.2.1.1 Робота з плейсхолдерами 42 2.2.1.2 Перелік основних недоліки наявних бібліотек 42 2.2.1.3 Самостійна реалізація плейсхолдеров 44 3 2.2.1.4 Принципи форматування елементів SQL запиту 44 2.2.1.5 Форматування ідентифікаторів Для ідентифікаторів існують всього два правила: 45 2.2.1.6 Форматування строкових літералів 46 3 Висновки до другого розділу (Захист від sql-ін’єкцій) 46 3 Сучасні методи захисту конфіденційної інформації в базах даних Microsoft SQL Server та mySQL 47 3.1 Авторизація за допомогою алгоритму ТОТР 47 3.1.1 Хеш-функція 47 3.1.2 Принцип роботи ТОТР 48 3.1.3 Відмінність методів НОТР та ТОТР 48 3.1.4 Безпека алгоритм НОТР 49 3.2 Застосування технології Blockchain для захисту інформації 49 3.2.1 Поняття технології Blockchain 49 3.2.2 Принципи роботи технології Blockchain 51 3.2.3. Хеш-накопичувальне сховище (Hash Chained Storage) 52 3.2.4 Безпека та конфіденційність у ланцюзі Blockchain 53 3.2.5 Цифровий підпис 54 3.2.6 Алгоритм цифрового підпису еліптичної кривої (ECDSA) 54 3.3 Методика захисту інформації в базах даних 56 Висновки до третього розділу 62 5 Охорона праці та безпека в надзвичайних ситуаціях 77 5.1 Охорона праці 77 5.2 Ергономічні вимоги до робочого міся користувача персональним комп’ютером(ПК) 81 5.3 Безпека в надзвичайних ситуаціях 87 Екологія 90 6.1 Гости і стандарти на монітори і ПЕОМ 90 6.2 Робота з банками екологічної інформації 92 Висновки 95 Бібліографія 98
URI (Уніфікований ідентифікатор ресурсу): http://elartu.tntu.edu.ua/handle/lib/30595
Власник авторського права: „© Осельський Сергій Віталійович, рік“
Перелік літератури: 1. Баранчиков А.И., Баранчиков П.А., Пилькин А.Н. Алгоритмы и модели доступа к записям БД. М.: Горячая линия-Телеком, 2011. 182 с. . – Дата перегляду: 5.12.2019 2. Безопасность web-приложений: а нужно ли тестирование?. – [Електронний ресурс] – Режим доступу: http://www.jetinfo.ru/stati/bezopasnost-web-prilozhenij-a-nuzhno-li- testirovanie. – Дата перегляду: 5.12.2019 3. Блокчейн // tadviser – [Електронний ресурс] – Режим доступу: http://www.tadviser.ru/index.php/Статья:Блокчейн_(Blockchain) . – Дата перегляду: 5.12.2019 4. Блокчейн против базы данных: понимание различий между ними // 101blockchain. – [Електронний ресурс] – Режим доступу: https://101blockchains.com/ru/блокчейн-против-базы-данных/. – Дата перегляду: 5.12.2019 5. Бортовчук Ю.В., Крылова К.А., Ермолаева Л.В. Информационная безопасность в современных системах управления базами данных 99 99 Современные проблемы экономического и социального развития. 2010. № 6. С.224-225. . – Дата перегляду: 5.12.2019 6. Горбачевская Е.Н., Катьянов А.Ю., Краснов С.С. Информационная безопасность средствами СУБД Oracle // Укр. ВУиТ. 2015 № 2 (24). С.72-85. . – Дата перегляду: 5.12.2019 7. Защита информации - актуальность и методы // kak-bog.ru. – [Електронний ресурс] – Режим доступу: http://kak-bog.ru/zashchita-informacii-aktualnost-i-metody. – Дата перегляду: 5.12.2019 8. Защита от SQL-инъекций в PHP и MySQL // Хабрахабр. – [Електронний ресурс] – Режим доступу: https://habr.com/ru/post/148701/. – Дата перегляду: 5.12.2019 9. Зегжда П.Д. Обеспечение безопасности информации в условиях создания единого информационного пространства // Защита информации. Инсайд. 2007. № 4 (16). С.28-33. . – Дата перегляду: 5.12.2019 10. Информационная безопасность бизнеса. Исследование текущих тенденций в области информационной безопасности бизнеса. 2014.. – [Електронний ресурс] – Режим доступу: http://media.kaspersky.com/pdf/IT_risk_ report_Russia_2014.pdf. . – Дата перегляду: 5.12.2019 11. Как понять нужно ли интегрировать blockchain в ваш продукт? // Хабрахабр. – [Електронний ресурс] – Режим доступу: https://habr.com/ru/company/web_payment_ru/blog/301972/. – Дата перегляду: 30.11.2019 100 100 12. Катренко Л. А., Пістун І. П. Охорона праці в галузі освіти: Навч. Посіб. – Суми: ВДТ «Університетська книга», 2004. – 304 с. . – Дата перегляду: 30.11.2019 13. Концепция одноразовых паролей в системе аутентификации // bytemag. – [Електронний ресурс] – Режим доступу: https://www.bytemag.ru/articles/detail.php?ID=9101. – Дата перегляду: 30.11.2019 14. Методы защиты баз данных: защита паролем, шифрование, разграничение прав доступа. – [Електронний ресурс] – Режим доступу: https://habrahabr.ru/post/149238/. – Дата перегляду: 30.11.2019 15. Методы защиты баз данных: защита паролем, шифрование, разграничение прав доступа. – [Електронний ресурс] – Режим доступу: https://studopedia.ru/9_88862_aktualnost-zashchiti-bazi-dannih-metodi-. – Дата перегляду: 30.11.2019 16. Минимальная заработная плата // Статистика. – [Електронний ресурс] – Режим доступу: https://index.minfin.com.ua/labour/salary/min/. – Дата перегляду: 30.11.2019 17. Охорона праці [З.М. Яремко, С.В. Тимошук, О.І. Третяк та ін.:]; за ред. З.М. Яремка. – Львів: ВЦ ЛНУ імені Івана Франка, 2010. – 310 с. . – Дата перегляду: 30.11.2019 18. Охорона праці та промислова безпека: Навч. посіб. / К. Н. Ткачук, В. В. Зацарний, Р. В. Сабарно, С. Ф. Каштанов, Л. О. Мітюк, Л. Д. Третьякова, К. К.Ткачук, А.В. Чадюк. За ред. К.Н. Ткачука і В.В. Зацарного. – К., 2009. – 454 с. . – Дата перегляду: 30.11.2019 101 101 19. Охорона праці та промислова безпека: Навч. посіб. / К. Н. Ткачук, В. В. Зацарний, Р. В. Сабарно, С. Ф. Каштанов, Л. О. Мітюк, Л. Д. Третьякова, К. К.Ткачук, А.В. Чадюк. За ред. К.Н. Ткачука і В.В. Зацарного. – К., 2009. – 454 с. . – Дата перегляду: 30.11.2019 20. Подборка материалов по SQL Injection. – [Електронний ресурс] – Режим доступу: http://injection.rulezz.ru/. – Дата перегляду: 30.11.2019 21. Полтавцева М.А. Задача хранения прав доступа к данным в СУБД на примере Microsoft SQL Server // Актуальные направления фундаментальных и прикладных исследований: матер. V Междунар. научно-практич. конф. 2015 С. 118-120. . – Дата перегляду: 30.11.2019 22. Поляков А.М. Безопасность Oracle глазами аудитора: нападение и защита.М.: ДМК Пресс, 2014. 336 с. . – Дата перегляду: 30.11.2019 23. Потапов А.Е., Манухина Д.В., Соломатина А.С., Бадмаев А.И., Яковлев А.В., Нилова А.С. Безопасность локальных баз данных на примере SQL Server Compact // Укр. Тамбов. ун-та. Серия: Естественные и технические науки. 2014. № 3. С. 915-917. . – Дата перегляду: 30.11.2019 24. Смирнов С.Н. Безопасность систем баз данных. М.: Гелиос АРВ, 2007. 352 с. . – Дата перегляду: 20.11.2019 25. Ткаченко Н.А. Реализация монитора безопасности СУБД MySQL в dbf / dam системах // ПДМ. Дополнение. 2014. № 7. С. 99-101. . – Дата перегляду: 20.11.2019 102 102 26. Ткаченко Н.А. Реализация монитора безопасности СУБД MySQL в dbf / dam системах // ПДМ. Дополнение. 2014. № 7. С. 99-101. . – Дата перегляду: 20.11.2019 27. Трахтенберг І. М., Коршун М. М., Чебанова О. В. Гігієна праці та виробнича санітарія. – К.: Основа, 1997. – 464 с. . – Дата перегляду: 20.11.2019 28. Уязвимость CVE-2017-8570 // codeby. – [Електронний ресурс] – Режим доступу: http://catcut.net/gXVE. – Дата перегляду: 20.11.2019 29. Эргономика / Адамчук В. В., Варна Т. П., Воротникова В. В.и др.; Под ред. проф. Адамчука В. В. –М.: ЮНИТИ-ДАНА, 1999. –254 с. . – Дата перегляду: 20.11.2019 30. Эргономика / Адамчук В. В., Варна Т. П., Воротникова В. В.и др.; Под ред. проф. Адамчука В. В. –М.: ЮНИТИ-ДАНА, 1999. –254 с. . – Дата перегляду: 20.11.2019 31. Яремко З. М. Безпека життєдіяльності. Навч. посібник.–Львів: Видавничий центр ЛНУ імені Івана Франка, 2005. –301 с. . – Дата перегляду: 20.11.2019 32. 11 Steps to Secure SQL // upguard. – [Електронний ресурс] – Режим доступу: https://www.upguard.com/blog/11-steps-to-secure-sql. – Дата перегляду: 14.11.2019 33. Are SQL placeholder safe? // Codecademy. – [Електронний ресурс] – Режим доступу: http://catcut.net/ITVE. – Дата перегляду: 14.11.2019 34. Authentication, authorization, privileges, and auditing // IBM. – [Електронний ресурс] – Режим доступу: http://catcut.net/O1WE. – Дата перегляду: 14.11.2019 103 103 35. Blockchain – распределенная база данных // nvdaily. – [Електронний ресурс] – Режим доступу: https://nvdaily.ru/info/116465.html. – Дата перегляду: 14.11.2019 36. Blockchain technology — a very special kind of Distributed Database // Medium. – [Електронний ресурс] – Режим доступу: https://medium.com/@sbmeunier/blockchain-technology-a-very-special-kind-of-distributed-database-e63d00781118. – Дата перегляду: 14.11.2019 37. Burtescu E. Database security attacks and control me - thods. Journ. of Applied Quantitative Methods 2009, vol. 4, no. 4, pp. 449-454 . – Дата перегляду: 04.11.2019 38. Database Security Technical Implementation Guide (STIG). // US Department of Defense. Vers. 7. Release 1. 2004. – [Електронний ресурс] – Режим доступу: https://www.computer.org/cms/s2esc/s2esc_excom/Minutes/2005-03/ DISA% 20STIGs / DATABASE-STIG- V7R1.pdf. – Дата перегляду: 04.11.2019 39. Database SQL Language Reference // Oracle.com. – [Електронний ресурс] – Режим доступу: http://catcut.net/7VVE. – Дата перегляду: 04.11.2019 40. How To Prevent SQL Injection Attacks // Назва ресурсу. – [Електронний ресурс] – Режим доступу: http://catcut.net/JWVE. – Дата перегляду: 04.11.2019 41. How to protect your website agains SQL injection attacks // sitepoint. – [Електронний ресурс] – Режим доступу: http://catcut.net/XWVE. – Дата перегляду: 04.11.2019 104 104 42. INFOWATCH // Статистика атак на веб додатки – [Електронний ресурс] – Режим доступу: Посилання на ресурс https://www.infowatch.ru/analytics/leaks_monitoring/19302. – Дата перегляду: 04.11.2019 43. INFOWATCH // Статистика атак на веб додатки – [Електронний ресурс] – Режим доступу: Посилання на ресурс https://www.infowatch.ru/analytics/leaks_monitoring/19481. – Дата перегляду: 30.10.2019 44. Introducing SQL Server Security // ITproToday – [Електронний ресурс] – Режим доступу: http://catcut.net/N1WE. – Дата перегляду: 17.10.2019 45. Lesov P. Database security: a historical perspective.perspectiv. 2010. URL: http://arxiv.org/ftp/arxiv/papers/1004/1004.4022.pdf. – Дата перегляду: 17.10.2019 46. Murray M.C. Database security: what students need to know. JITE: IIP, vol. 9, 2010 pp. 61-77. . – Дата перегляду: 17.10.2019 47. OATH Submits TOTP: Time-Based One Time Password Specification to IETF // WebCite. – [Еле. – Дата перегляду: 30.10.2019ктронний ресурс] – Режим доступу: http://catcut.net/yXVE 48. OATH: yesterday, today, and tomorrow // LWN.net. – [Електронний ресурс] – Режим доступу: https://lwn.net/Articles/419968/. – Дата перегляду: 30.10.2019 49. Overview of SQL Server Security // Microsoft. – [Електронний ресурс] – Режим доступу: http://catcut.net/C1WE. – Дата перегляду: 30.10.2019 105 105 50. PHP mySQL Prepared Statements Tuturial to Prevent SQL Injection // Websitebeaver. – [Електронний ресурс] – Режим доступу: http://catcut.net/ZVVE. – Дата перегляду: 30.10.2019 51. PHP PDO prepared Statements Tuturial to Prevent SQL Injection // Websitebeaver – [Електронний ресурс] – Режим доступу: http://catcut.net/bWVE. – Дата перегляду: 21.10.2019 52. PL/SQL placeholder duplication // dba-oracle. – [Електронний ресурс] – Режим доступу: http://www.dba-oracle.com/t_plsql_placeholder_duplication.htm. – Дата перегляду: 21.10.2019 53. Placeholder SQL // osisoft. – [Електронний ресурс] – Режим доступу: http://catcut.net/ATVE. – Дата перегляду: 21.10.2019 54. Placeholders in SQL query // perlmonks. – [Електронний ресурс] – Режим доступу: https://www.perlmonks.org/?node_id=1103424. – Дата перегляду: 21.10.2019 55. PostgreSQL vs Oracle. – [Електронний ресурс] – Режим доступу: http://www.jetinfo.ru/stati/bezopasnost-web-prilozhenij-a-nuzhno-li- testirovanie. – Дата перегляду: 21.10.2019 56. Protecting against SQL injection // HACKSPLAINING. – [Електронний ресурс] – Режим доступу: https://cutt.ly/Se6EcKG. – Дата перегляду: 17.10.2019 57. Qiu M., Davis S. Database security mechanisms and implementation. IACIS, Issues in Inform. Syst. 2002 vol. 03 pp. 529-534. 58. Rohilla S., Mittal P.K. Database Security: Threads and Challenges. Intern. Journ. of Advanced Research in Computer Science and Software Engineering, 2013, vol. 3, iss. 5, pp. 810-813. . – Дата перегляду: 17.10.2019 106 106 59. Sandhu Ravi S., Jajodia Sushil. Data and database security and controls. Handbook of Information Security Management, Auerbach Publishers, 1993, pp. 181-199. – Дата перегляду: 17.10.2019 60. SQL injection // PORTSWIGGER. – [Електронний ресурс] – Режим доступу: https://portswigger.net/web-security/sql-injection. – Дата перегляду: 14.10.2019 61. SQL injection // Wikipedia – [Електронний ресурс] – Режим доступу: https://en.wikipedia.org/wiki/SQL_injection. – Дата перегляду: 14.10.2019 62. SQL placeholder in WHERE IN issue, inserted string fail // Stackoverflow. – [Електронний ресурс] – Режим доступу: http://catcut.net/hVVE. – Дата перегляду: 14.10.2019 63. SQL protection // habrahabr. – [Електронний ресурс] – Режим доступу: https://habr.com/ru/post/136809/. – Дата перегляду: 14.10.2019 64. SQL Server Security Basics // netwrixBlog. – [Електронний ресурс] – Режим доступу: http://catcut.net/F1WE. – Дата перегляду: 14.10.2019 65. SQL Server Security Best Practices for 2019 // dnsstuff. – [Електронний ресурс] – Режим доступу: https://www.dnsstuff.com/sql-server-security. – Дата перегляду: 14.10.2019 66. SQL Server Security Tips // mssqltips. – [Електронний ресурс] – Режим доступу: https://www.mssqltips.com/sql-server-tip-category/19/security/. – Дата перегляду: 14.10.2019 107 107 67. SQL Wildcards // w3schools – [Електронний ресурс] – Режим доступу: https://www.w3schools.com/sql/sql_wildcards.asp. – Дата перегляду: 12.10.2019 68. TOTP // wikipedia. – [Електронний ресурс] – Режим доступу: https://uk.wikipedia.org/wiki/Time-based_One-time_Password_algorithtml. – Дата перегляду: 12.10.2019 69. Use placeholders for any SQL query // Drupal.com. – [Електронний ресурс] – Режим доступу: https://cutt.ly/Qe6EchC. – Дата перегляду: 12.10.2019 70. What is the SQL injection vulnerability // netsparker. – [Електронний ресурс] – Режим доступу: http://catcut.net/QWVE. – Дата перегляду: 12.10.2019
Тип вмісту: Master Thesis
Розташовується у зібраннях:125 — кібербезпека

Файли цього матеріалу:
Файл Опис РозмірФормат 
avtorska Oselskyi.pdfАвторська довідка628,96 kBAdobe PDFПереглянути/відкрити
Avtoreferat Oselskyi.pdfАвтореферат194,08 kBAdobe PDFПереглянути/відкрити
Dyp_ Oselskyi_2019.pdfМагістерська робота1,38 MBAdobe PDFПереглянути/відкрити


Усі матеріали в архіві електронних ресурсів захищені авторським правом, всі права збережені.

Інструменти адміністратора