Фрагмент для ознакомления
2
Безопасность систем баз данных представляет собой совокупность процессов, средств и методов, направленных на защиту данных и самой системы управления базами данных (СУБД) от несанкционированного доступа, раскрытия, изменения, повреждения или уничтожения. В условиях стремительного развития цифровых технологий и роста объёмов информации, хранящейся в базах данных, обеспечение их безопасности становится одним из приоритетных направлений для организаций любой отрасли. Такой приоритет обусловлен тем, что утрата, искажение или компрометация данных способны привести к значительным финансовым убыткам, потере деловой репутации и даже юридическим последствиям [7].
Основные задачи безопасности баз данных включают обеспечение трёх ключевых свойств: конфиденциальности, целостности и доступности информации. Конфиденциальность направлена на предотвращение несанкционированного доступа и раскрытия чувствительных данных. Целостность предполагает сохранение правильности и непротиворечивости данных, а доступность гарантирует возможность получения нужной информации своевременно и без перебоев, даже при возникновении сбоев или атак [15]. Достижение этих целей предусматривает комплекс мероприятий как технического, так и организационного характера.
Важнейшим компонентом защиты является управление доступом, которое обеспечивает разграничение полномочий пользователей и приложений. Правильное определение ролей и привилегий минимизирует риски злоупотребления и случайных ошибок. Кроме того, системные администраторы используют методы шифрования для защиты данных как при хранении, так и при передаче, что снижает шанс их компрометации даже в случае перехвата. В сочетании с этим применяются средства сетевой защиты, такие как брандмауэры, препятствующие несанкционированному доступу к серверам баз данных [15].
Современные решения по безопасности баз данных включают также автоматический мониторинг событий, который позволяет выявлять подозрительные действия и попытки вторжений в режиме реального времени. Это особенно актуально в условиях сложных и распределённых систем, где традиционные методы могут оказаться недостаточно эффективными для своевременного реагирования на угрозы. Организационные меры и обучение сотрудников дополняют технические средства, формируя многослойную систему защиты [8].
Рисунок 1 — Схема безопасности и защиты данных в системе баз данных
Актуальность изучения безопасности баз данных подтверждается постоянным развитием и усложнением угроз, к которым относятся как внешние кибератаки, так и внутренние риски, связанные с ошибками персонала или злоупотреблением привилегиями. Проблемы возникающих уязвимостей хорошо известны: например, использование SQL-инъекций позволяет злоумышленникам обходить механизмы контроля доступа и изменять данные или получать доступ к закрытой информации. Поддержание безопасности СУБД — это задача, требующая системного подхода с обновлением средств защиты и адаптацией к новым требованиям [9].
Подводя итог, стоит отметить, что фундаментальные понятия безопасности систем баз данных и понимание их значения закладывают основу для изучения конкретных угроз и методов защиты. Следующий этап исследования посвящён подробному рассмотрению основных видов угроз, что позволит выявить уязвимости и сформировать эффективные стратегии противодействия им.
1.2 Актуальные угрозы и уязвимости в базах данных
Ключевыми угрозами являются разнообразные виды атак, нацеленных на эксплуатацию уязвимостей баз данных, среди которых наиболее заметными остаются SQL-инъекции. SQL-инъекция представляет собой технику внедрения вредоносного SQL-кода в запросы к базе данных через пользовательский ввод, что позволяет злоумышленнику получить контроль над данными и даже сервером. Такая атака возможна в случаях, когда веб-приложение некорректно обрабатывает входные данные, формируя запросы динамически без параметризации. Последствия могут включать несанкционированное чтение, изменение и удаление информации, а также выполнение произвольных команд в системе, что создает критические угрозы для безопасности [16].
Еще одной распространенной уязвимостью являются ошибки конфигурации прав доступа, когда пользователи или приложения наделены избыточными привилегиями. Это увеличивает риск злоупотребления в случае компрометации учетных данных. Необходимость ограничения прав является принципом минимизации, позволяющей снизить масштаб возможного ущерба от успешной атаки. Атаки типа перебора учетных записей (brute force) и эксплуатация слабых паролей также остаются актуальными уязвимостями, особенно при отсутствии многофакторной аутентификации [21].
Рисунок 2 — Схемы и примеры SQL-инъекций как актуальной угрозы безопасности баз данных
Отдельно следует выделить угрозы, связанные с межсайтовым скриптованием (XSS) и атаками типа «отказ в обслуживании» (DoS), которые могут косвенно влиять на безопасность баз данных. XSS может использоваться для внедрения вредоносного скрипта, цель которого — обойти механизмы аутентификации и получить сессионные ключи, открывающие доступ к базе. DoS-атаки способны блокировать доступ к базам данных путем перегрузки серверов, что снижает доступность и может служить фоном для более изощренных атак [2].
Также остаются угрозами эксплуатация уязвимостей в программном обеспечении СУБД, таких как буферные переполнения и ошибки обработки пакетов данных, которые могут привести к выполнению произвольного кода или краху системы. Для комплексной оценки рисков широко применяются инструменты автоматизированного сканирования уязвимостей, например Acunetix и WebGoat, позволяющие выявлять SQL-инъекции и другие проблемы безопасности на ранних этапах разработки и эксплуатации приложений [16][13].
Замечено, что внедрение межсетевых экранов уровня базы данных (брандмауэров для СУБД) эффективно снижает вероятность атак, блокируя подозрительные SQL-запросы до их попадания в систему управления базами данных. Современные средства фильтрации трафика, например ModSecurity, способны анализировать запросы «на лету» и предотвращать многие виды атак, в том числе SQL-инъекции, что значительно повышает защиту веб-приложений и связанных с ними баз данных [21][37].
Фрагмент для ознакомления
3
1. Джуракулов Темур Хайруллаевич, Петросян Арутюн Артурович, Логинова Людмила Николаевна- SIEM СИСТЕМЫ УПРАВЛЕНИЯ СОБЫТИЯМИ БЕЗОПАСНОСТИ: ОБЗОР, АНАЛИЗ // Вестник науки и образования. 2022. №8 (128). URL: https://cyberleninka.ru/article/n/siem-sistemy-upravleniya-sobytiyami-bezopasnosti-obzor-analiz (17.12.2024).
2. Алиева Егяна Мовсум Кызы, Ширинова Шабнам Захир Кызы АКТУАЛЬНОСТЬ АТАК С ИСПОЛЬЗОВАНИЕМ SQL-ИНЪЕКЦИЙ // In The World Of Science and Education. 2025. №15 март ELB. URL: https://cyberleninka.ru/article/n/aktualnost-atak-s-ispolzovaniem-sql-inektsiy (13.04.2025).
3. Н.В. Беспалова , С.А. Корчагин , Д.В. Сердечный, В.В. Селиверстов Анализ зарубежного опыта применения интеллектуальных методов в задачах защиты объектов критической информационной инфраструктуры финансового сектора // Инженерный вестник Дона. 2024. №5 (113). URL: https://cyberleninka.ru/article/n/analiz-zarubezhnogo-opyta-primeneniya-intellektualnyh-metodov-v-zadachah-zaschity-obektov-kriticheskoy-informatsionnoy (14.12.2024).
4. Солобуто А.С., Арсентьев Д.А. АНАЛИЗ ПОПУЛЯРНЫХ ШИФРОВАНИЙ БАЗЫ ДАННЫХ // Вестник науки. 2020. №1 (22). URL: https://cyberleninka.ru/article/n/analiz-populyarnyh-shifrovaniy-bazy-dannyh (15.02.2025).
5. Панов А.И. АНАЛИЗ ПРИМЕНЕНИЯ ИСКУССТВЕННОГО ИНТЕЛЛЕКТА В СФЕРЕ БЕЗОПАСНОСТИ // Экономика и качество систем связи. 2022. №4 (26). URL: https://cyberleninka.ru/article/n/analiz-primeneniya-iskusstvennogo-intellekta-v-sfere-bezopasnosti (09.12.2024).
6. Петрянин Д.Л., Горячев Н.В., Юрков Н.К. Анализ систем защиты информации в базах данных // Труды Международного симпозиума «Надежность и качество». 2013. URL: https://cyberleninka.ru/article/n/analiz-sistem-zaschity-informatsii-v-bazah-dannyh (24.12.2024).
7. Польченко Максим Александрович БЕЗОПАСНОСТЬ БАЗ ДАННЫХ // E-Scio. 2023. №3 (78). URL: https://cyberleninka.ru/article/n/bezopasnost-baz-dannyh (12.12.2024).
8. Казарян Каторина Камоевна БЕЗОПАСНОСТЬ БАЗЫ ДАННЫХ // StudNet. 2022. №1. URL: https://cyberleninka.ru/article/n/bezopasnost-bazy-dannyh (14.12.2024).
9. Букин Е.М., Виноградова Е.Ю. БЕЗОПАСНОСТЬ И ЗАЩИТА БАЗ ДАННЫХ // Экономика и социум. 2018. №5 (48). URL: https://cyberleninka.ru/article/n/bezopasnost-i-zaschita-baz-dannyh (25.12.2024).
10. Аррыкова Гульджемал Керимназаровна, Аширов Илмырат Гелдимырадович, Реджепова Гульпери Тоймамедовна, Шакулыев Атамырат Довлетмырадович БУДУЩЕЕ КИБЕРБЕЗОПАСНОСТИ: ИСКУССТВЕННЫЙ ИНТЕЛЛЕКТ НА СТРАЖЕ ДАННЫХ // Наука и мировоззрение. 2024. №36. URL: https://cyberleninka.ru/article/n/buduschee-kiberbezopasnosti-iskusstvennyy-intellekt-na-strazhe-dannyh (03.03.2025).
11. Михайлов Владимир Юрьевич , Мазепа Роман Богданович , Вакульчик Ольга Витальевна ДИСТАНЦИОННЫМ МОНИТОРИНГ СОБЫТИИ, ВЫЗЫВАЮЩИХ СНИЖЕНИЕ ПРОИЗВОДИТЕЛЬНОСТИ ИНФОРМАЦИОННЫХ И ИНФОРМАЦИОННО-ПОИСКОВЫХ СИСТЕМ // Наукоемкие технологии в космических исследованиях Земли. 2023. №4. URL: https://cyberleninka.ru/article/n/distantsionnym-monitoring-sobytii-vyzyvayuschih-snizhenie-proizvoditelnosti-informatsionnyh-i-informatsionno-poiskovyh-sistem (25.03.2025).
12. Заводцев И.В., Помещиков М.С., Стажинский Я.С. Задачи разработки систем мониторинга событий информационной безопасности // Перспективы развития информационных технологий. 2011. №4. URL: https://cyberleninka.ru/article/n/zadachi-razrabotki-sistem-monitoringa-sobytiy-informatsionnoy-bezopasnosti (11.12.2024).
13. Жубанышбай Д.Б. ИССЛЕДОВАНИЕ МЕТОДОВ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОТ SQL-АТАК // Вестник науки. 2024. №10 (79). URL: https://cyberleninka.ru/article/n/issledovanie-metodov-obespecheniya-informatsionnoy-bezopasnosti-ot-sql-atak (09.12.2024).
14. Радеева А.А., Харламова У.Д. ИНТЕГРАЦИЯ БАЗ ДАННЫХ В БИЗНЕС-АНАЛИЗ: СТРАТЕГИИ И МЕТОДЫ // Вестник науки. 2023. №10 (67). URL: https://cyberleninka.ru/article/n/integratsiya-baz-dannyh-v-biznes-analiz-strategii-i-metody (13.01.2025).
15. Красочкин С.Г. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ БАЗ ДАННЫХ // Международный журнал гуманитарных и естественных наук. 2022. №7-1. URL: https://cyberleninka.ru/article/n/informatsionnaya-bezopasnost-baz-dannyh (25.12.2024).
16. Бондаренко Е.С. Исследование уязвимости баз данных от SQL-инъекций с использованием веб-приложения WebGoat // Контентус. 2016. №8 (49). URL: https://cyberleninka.ru/article/n/issledovanie-uyazvimosti-baz-dannyh-ot-sql-inektsiy-s-ispolzovaniem-veb-prilozheniya-webgoat (14.12.2024).
17. Бороздина Анна Георгиевна К вопросу об использовании искусственного интеллекта в обеспечении сохранности баз данных и электронных документов // Вестник ВНИИДАД. 2023. №2. URL: https://cyberleninka.ru/article/n/k-voprosu-ob-ispolzovanii-iskusstvennogo-intellekta-v-obespechenii-sohrannosti-baz-dannyh-i-elektronnyh-dokumentov (09.06.2025).
18. С.Б. Сергиенко, Е.В. Филюшина МЕТОДИКИ ШИФРОВАНИЯ БАЗ ДАННЫХ // Актуальные проблемы авиации и космонавтики. 2020. URL: https://cyberleninka.ru/article/n/metodiki-shifrovaniya-baz-dannyh (18.02.2025).
19. Кучкин Владислав Павлович МЕТОДЫ ЗАЩИТЫ БАЗ ДАННЫХ // Проблемы науки. 2021. №4 (63). URL: https://cyberleninka.ru/article/n/metody-zaschity-baz-dannyh (18.12.2024).
20. Никитин Дмитрий Игоревич, Суворов Константин Игоревич Метод защиты баз данных на основе SQL внедрения и сриптинга // European science. 2017. №6 (28). URL: https://cyberleninka.ru/article/n/metod-zaschity-baz-dannyh-na-osnove-sql-vnedreniya-i-sriptinga (09.12.2024).
21. Соколин Демьян Дмитриевич, Тимохович Александр Степанович Методы комплексного обеспечения безопасности SQL-сервера от атак типа SQL-инъекции // Academy. 2017. №3 (18). URL: https://cyberleninka.ru/article/n/metody-kompleksnogo-obespecheniya-bezopasnosti-sql-servera-ot-atak-tipa-sql-inektsii (09.12.2024).
22. Чепурина Ю.А., Ольхов В.В. МЕТОДЫ КРИПТОГРАФИЧЕСКОЙ ЗАЩИТ ИНФОРМАЦИИ В РЕЛЯЦИОННЫХ СУБД // Инновационная наука. 2021. №1. URL: https://cyberleninka.ru/article/n/metody-kriptograficheskoy-zaschit-informatsii-v-relyatsionnyh-subd (25.12.2024).
23. Абрамова А.Г. Новые технологии и их значение в защите персональных данных (Интернет вещей, Искусственный интеллект) // Вестник Российско-Армянского (Славянского) университета (серия: гуманитарные и общественные науки). 2024. №2. URL: https://cyberleninka.ru/article/n/novye-tehnologii-i-ih-znachenie-v-zaschite-personalnyh-dannyh-internet-veschey-iskusstvennyy-intellekt (28.12.2024).
24. Н.В. Евглевская, А.А. Казанцев ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ СЛОЖНЫХ СИСТЕМ С ИНТЕГРАЦИЕЙ БОЛЬШИХ ЯЗЫКОВЫХ МОДЕЛЕЙ: АНАЛИЗ УГРОЗ И МЕТОДОВ ЗАЩИТЫ // Экономика и качество систем связи. 2024. №4 (34). URL: https://cyberleninka.ru/article/n/obespechenie-bezopasnosti-slozhnyh-sistem-s-integratsiey-bolshih-yazykovyh-modeley-analiz-ugroz-i-metodov-zaschity (15.12.2024).
25. Грызунов Виталий Владимирович, Крюков Александр Сергеевич, Шестаков Александр Викторович, Зикратов Игорь Алексеевич Обеспечение информационной безопасности интегрируемых информационных систем на базе доверия // Труды учебных заведений связи. 2024. №4. URL: https://cyberleninka.ru/article/n/obespechenie-informatsionnoy-bezopasnosti-integriruemyh-informatsionnyh-sistem-na-baze-doveriya (12.01.2025).
26. Гилязова Л.М., Русак С.Н. ОБЗОР И АНАЛИЗ МЕТОДОВ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ В РАЗЛИЧНЫХ СУБД // Инновационная наука. 2023. №10-2. URL: https://cyberleninka.ru/article/n/obzor-i-analiz-metodov-obespecheniya-bezopasnosti-v-razlichnyh-subd (14.12.2024).
27. Асият Каплановна Доргушаова , Виталий Анатольевич Довгаль , Наталья Шумафовна Козлова , Роман Сергеевич Козлов Обзор использования технологий машинного обучения в обеспечении информационной безопасности данных: настоящее и будущее // Вестник Адыгейского государственного университета. Серия 4: Естественно-математические и технические науки. 2024. №1 (336). URL: https://cyberleninka.ru/article/n/obzor-ispolzovaniya-tehnologiy-mashinnogo-obucheniya-v-obespechenii-informatsionnoy-bezopasnosti-dannyh-nastoyaschee-i-buduschee (10.12.2024).
28. Е.А. Зайкова , Е.П. Моргунов ОБЗОР СУЩЕСТВУЮЩИХ СРЕДСТВ РЕЗЕРВНОГО КОПИРОВАНИЯ БАЗЫ ДАННЫХ В СУБД POSTGRESQL // Актуальные проблемы авиации и космонавтики. 2021. URL: https://cyberleninka.ru/article/n/obzor-suschestvuyuschih-sredstv-rezervnogo-kopirovaniya-bazy-dannyh-v-subd-postgresql (10.12.2024).
29. Чумбуридзе Я.А. ОСНОВНЫЕ МЕТОДЫ РЕЗЕРВНОГО КОПИРОВАНИЯ ДЛЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ // Международный журнал гуманитарных и естественных наук. 2023. №3-2 (78). URL: https://cyberleninka.ru/article/n/osnovnye-metody-rezervnogo-kopirovaniya-dlya-obespecheniya-bezopasnosti-informatsii (10.12.2024).
30. О. Т. Данилова, Р. М. Абельдинов ПРАКТИЧЕСКОЕ ПРИМЕНЕНИЕ SIEM-МОДЕЛИ НА БАЗЕ ПЛАТФОРМЫ ELASTIC STACK ДЛЯ МОНИТОРИНГА СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ // Динамика систем, механизмов и машин. 2024. №1. URL: https://cyberleninka.ru/article/n/prakticheskoe-primenenie-siem-modeli-na-baze-platformy-elastic-stack-dlya-monitoringa-sistemy-informatsionnoy-bezopasnosti (23.07.2025).
31. Афанасьева Дарья Владимировна Применение искусственного интеллекта в обеспечении безопасности данных // Известия Тульского государственного университета. Технические науки. 2020. №2. URL: https://cyberleninka.ru/article/n/primenenie-iskusstvennogo-intellekta-v-obespechenii-bezopasnosti-dannyh (09.12.2024).
32. Линник О.В. Применение средств шифрования и маскирования данных в Microsoft SQL Server для обеспечения информационной безопасности на примере базы данных торговой организации // Символ науки. 2017. №10. URL: https://cyberleninka.ru/article/n/primenenie-sredstv-shifrovaniya-i-maskirovaniya-dannyh-v-microsoft-sql-server-dlya-obespecheniya-informatsionnoy-bezopasnosti-na (18.12.2024).
33. Боровской Игорь Георгиевич, Вагнер Дмитрий Петрович Система автоматического восстановления настольных БД // Доклады Томского государственного университета систем управления и радиоэлектроники. 2009. №2 (20). URL: https://cyberleninka.ru/article/n/sistema-avtomaticheskogo-vosstanovleniya-nastolnyh-bd (24.01.2025).
34. Федотов В.А. СИСТЕМА РЕЗЕРВНОГО КОПИРОВАНИЯ И ВОССТАНОВЛЕНИЯ ДАННЫХ // Форум молодых ученых. 2020. №2 (42). URL: https://cyberleninka.ru/article/n/sistema-rezervnogo-kopirovaniya-i-vosstanovleniya-dannyh (10.12.2024).
35. Черноусов Н.С., Зуев М.С. Системы резервирования данных // Гаудеамус. 2012. №20. URL: https://cyberleninka.ru/article/n/sistemy-rezervirovaniya-dannyh (07.01.2025).
36. Дядюшкин Р.В., Дёмин Е.В., Алферова В.В. СОВРЕМЕННЫЕ МЕТОДЫ И СПОСОБЫ ЗАЩИТЫ В БАЗАХ ДАННЫХ // Форум молодых ученых. 2018. №12-2 (28). URL: https://cyberleninka.ru/article/n/sovremennye-metody-i-sposoby-zaschity-v-bazah-dannyh (07.01.2025).
37. Баранова Елизавета Михайловна, Баранов Андрей Николаевич, Борзенкова Светлана Юрьевна, Васин Кирилл Игоревич, Перезябов Владислав Сергеевич СОВРЕМЕННЫЕ ТЕНДЕНЦИИ ЗАЩИТЫ БАЗ ДАННЫХ ВЕБ-ПРИЛОЖЕНИЙ ОТ SQL ИНЪЕКЦИЙ // Известия Тульского государственного университета. Технические науки. 2023. №12. URL: https://cyberleninka.ru/article/n/sovremennye-tendentsii-zaschity-baz-dannyh-veb-prilozheniy-ot-sql-inektsiy (09.12.2024).
38. Жаксыбай С. М. Управление событиями информационной безопасности с помощью SIEM-системы // Интеллектуальные технологии на транспорте. 2023. №S1 (35-1). URL: https://cyberleninka.ru/article/n/upravlenie-sobytiyami-informatsionnoy-bezopasnosti-s-pomoschyu-siem-sistemy (06.03.2025).
39. Фамильнов Александр Рудольфович Формирование требований по защите информации в интегрированных системах безопасности // Вестник Воронежского института МВД России. 2009. №2. URL: https://cyberleninka.ru/article/n/formirovanie-trebovaniy-po-zaschite-informatsii-v-integrirovannyh-sistemah-bezopasnosti (22.12.2024).
40. Попов Р.С., Ляликова В.Г. ШИФРОВАНИЕ ИНФОРМАЦИИ В БАЗЕ ДАННЫХ // Вестник науки. 2022. №12 (57). URL: https://cyberleninka.ru/article/n/shifrovanie-informatsii-v-baze-dannyh (15.02.2025).
41. Комилов Х.И., Иванищева А.А., Гехаев М.Д. Эффективность гибридных алгоритмов для защиты базы данных // Инновационная наука. 2019. №3. URL: https://cyberleninka.ru/article/n/effektivnost-gibridnyh-algoritmov-dlya-zaschity-bazy-dannyh (16.01.2025).