Закреплена за кафедрой | Кафедра информационной безопасности |
---|---|
Направление подготовки | 10.03.01. Информационная безопасность |
Профиль | Безопасность автоматизированных систем (в сфере профессиональной деятельности) |
Форма обучения | Очная |
Общая трудоемкость | 3 ЗЕТ |
Учебный план | 10_03_01_ИБ-4-2020 |
|
|
Распределение часов по семестрам
Курс (семестр) | 3 (5) | Итого | ||
---|---|---|---|---|
Недель | 19 | |||
Вид занятий | УП | РПД | УП | РПД |
Лекции | 18 | 18 | 18 | 18 |
Лабораторные | 36 | 36 | 36 | 36 |
Сам. работа | 27 | 27 | 27 | 27 |
Часы на контроль | 27 | 27 | 27 | 27 |
Итого | 108 | 108 | 108 | 108 |
Визирование РПД для исполнения в очередном учебном году
Рабочая программа пересмотрена, обсуждена и одобрена для
исполнения в 2020-2021 учебном году на заседании
кафедры
Кафедра информационной безопасности
Протокол от 08.06.2020 г. № 10-2019/20
Заведующий кафедрой д.ф.-м.н., профессор Поляков В.В.
1.1. | Учебный курс «Безопасность WEB-технологий» направлен на достижение следующих целей и подготовку профессиональных специалистов и их деятельность связанную с разработкой, эксплуатацией и обслуживанием серверов, серверного программного обеспечения и интернет-сайтов размещенных в сети Интернет. Для решения цели поставлены следующие задачи: овладение основами Интернет-технологий; изучение принципов установки, настройки и эксплуатации ПО серверных систем размещенных в сети Интернет; разработка безопасных приложений для интернет-сайтов и оценка безопасности готовых программных решений для построения интернет-сайтов способы защиты от взлома и обеспечение безопасности работающих интернет-сайтов и серверов размещенных в сети Интернет. |
---|
Цикл (раздел) ООП: Б1.В.01 |
ПК-2 | способностью применять программные средства системного, прикладного и специального назначения, инструментальные средства, языки и системы программирования для решения профессиональных задач |
ПК-8 | способностью оформлять рабочую техническую документацию с учетом действующих нормативных и методических документов |
ПК-15 | способностью организовывать технологический процесс защиты информации ограниченного доступа в соответствии с нормативными правовыми актами и нормативными методическими документами Федеральной службы безопасности Российской Федерации, Федеральной службы по техническому и экспортному контролю |
В результате освоения дисциплины обучающийся должен | |
3.1. | Знать: |
---|---|
3.1.1. | О структуре, устройстве и функционировании сети Интернет; Об архитектуре и работе серверных операционных систем; О работе веб-сайтов в сети Интернет. |
3.2. | Уметь: |
3.2.1. | Программировать на языке Cи, Си++, JavaScipt Знать язык гипертекстовой разметки HTML Знать устройство, архитектуру, принципы работы семейства операционных систем на базе ОС Linux. |
3.3. | Иметь навыки и (или) опыт деятельности (владеть): |
3.3.1. | Свободного использования компьютерной техники и сети Интернет; Программирования на нескольких языках, основой которых является языки Си и Java; Обеспечения безопасности компьютерной техники и серверных операционных систем; Использования операционной системы Ubuntu 12.1 Linux. |
Код занятия | Наименование разделов и тем | Вид занятия | Семестр | Часов | Компетенции | Литература |
---|---|---|---|---|---|---|
Раздел 1. Основы безопасности WEB-технологий | ||||||
1.1. | Вводная тема в которой рассказывается об основах построения сети Интернет, создании сети серверов и создании интенет-сайтов. Технологиях получения и безопасной передачи информации в сети Интернет. Принципах безопасного использования интернет-сервисов и интернет-сайтов. | Лекции | 5 | 2 | ПК-2 | Л2.1, Л1.1, Л2.2 |
1.2. | Установка и настройка LAMP | Лабораторные | 5 | 6 | ПК-2 | Л2.1, Л1.1, Л2.2 |
1.3. | Вводная тема в которой рассказывается об основах построения сети Интернет, создании сети серверов и создании интернет-сайтов. Технологиях получения и безопасной передачи информации в сети Интернет. Принципах безопасного использования интернет-сервисов и интернет-сайтов. | Сам. работа | 5 | 4 | ПК-2 | Л2.1, Л1.1, Л2.2 |
Раздел 2. Выбор серверного оборудования и ПО для веб-сервера | ||||||
2.1. | Какое серверное оборудования выбрать для безопасной и стабильной работы веб-сервера. Какие физические ресурсы необходимы веб-серверу и как рассчитать физические ресурсы сервера, что влияет на его загрузку. Выбор операционной системы сервера и дополнительного программного обеспечения необходимого для работы интернет-сайта или сайтов, которые будут размещены на веб-сервере | Лекции | 5 | 2 | ПК-2 | Л2.1, Л1.1, Л2.2 |
2.2. | Разработка серверных скриптов и сценариев на языке PHP с использование базы данных MySQL | Лабораторные | 5 | 6 | ПК-2 | Л2.1, Л1.1, Л2.2 |
2.3. | Какое серверное оборудования выбрать для безопасной и стабильной работы веб-сервера. Какие физические ресурсы необходимы веб-серверу и как рассчитать физические ресурсы сервера, что влияет на его загрузку. Выбор операционной системы сервера и дополнительного программного обеспечения необходимого для работы интернет-сайта или сайтов, которые будут размещены на веб-сервере | Сам. работа | 5 | 4 | ПК-2 | Л2.1, Л1.1, Л2.2 |
Раздел 3. Защищенные и незащищенные сетевые протоколы и ПО для передачи данных в сети Интернет | ||||||
3.1. | Какие протоколы используются в сети Интернет для передачи данных. Как и каким образом происходит передача данных. Методы передачи данных. Защищенные и незащищенные протоколы передачи данных и их использование | Лекции | 5 | 4 | ПК-8 | Л2.1, Л1.1, Л2.2 |
3.2. | Разработка полнофункционального ПО для работы и управления интернет-сайтом | Лабораторные | 5 | 6 | ПК-8 | Л2.1, Л1.1, Л2.2 |
3.3. | Какие протоколы используются в сети Интернет для передачи данных. Как и каким образом происходит передача данных. Методы передачи данных. Защищенные и незащищенные протоколы передачи данных и их использование | Сам. работа | 5 | 4 | ПК-2 | Л2.1, Л1.1, Л2.2 |
Раздел 4. Выбор средств разработки и языков программирования для разработки интернет-сайтов | ||||||
4.1. | Какие языки программирования используются для разработки интернет-сайтов. Какие языки лучше использовать и почему. Языки разработки сайтов с точки зрения внутренних возможностей и организации безопасности | Лекции | 5 | 2 | Л2.1, Л1.1, Л2.2 | |
4.2. | Исследование и проверка сайта и настроенного ПО на уязвимости | Лабораторные | 5 | 6 | Л2.1, Л1.1, Л2.2 | |
4.3. | Какие языки программирования используются для разработки интернет-сайтов. Какие языки лучше использовать и почему. Языки разработки сайтов с точки зрения внутренних возможностей и организации безопасности | Сам. работа | 5 | 5 | ПК-2 | Л2.1, Л1.1, Л2.2 |
Раздел 5. Безопасность и защита сервера в сети интернет | ||||||
5.1. | Методы и способы защиты сервера в сети Интернет. Выбор программного обеспечения для защиты веб-сервера. Анализ лог-файлов. Установка необходимого дополнительного программного обеспечения | Лекции | 5 | 4 | Л2.1, Л1.1, Л2.2 | |
5.2. | Защита интернет-сайта от угроз | Лабораторные | 5 | 6 | Л2.1, Л1.1, Л2.2 | |
5.3. | Методы и способы защиты сервера в сети Интернет. Выбор программного обеспечения для защиты веб-сервера. Анализ лог-файлов. Установка необходимого дополнительного программного обеспечения | Сам. работа | 5 | 5 | ПК-2 | Л2.1, Л1.1, Л2.2 |
Раздел 6. Виды интернет угроз и способы защиты от них | ||||||
6.1. | Основные методики и способы взлома, которые используют злоумышленники для получения доступа к веб-серверу, веб-сайту. Как действуют. Какие уязвимые места находят. Какие способы взлома и методы использую чтобы взломать сайт или вывести веб-сервер из строя | Лекции | 5 | 4 | Л2.1, Л1.1, Л2.2 | |
6.2. | Использование и настройка дополнительного ПО для мониторинга и безопасной работы веб-сервера и веб-сайтов | Лабораторные | 5 | 6 | Л2.1, Л1.1, Л2.2 | |
6.3. | Основные методики и способы взлома, которые используют злоумышленники для получения доступа к веб-серверу, веб-сайту. Как действуют. Какие уязвимые места находят. Какие способы взлома и методы использую чтобы взломать сайт или вывести веб-сервер из строя | Сам. работа | 5 | 5 | ПК-2 | Л2.1, Л1.1, Л2.2 |
Раздел 7. Экзамен | ||||||
7.1. | Экзамен | 5 | 27 | ПК-2 | Л2.1, Л1.1, Л2.2 |
5.1. Контрольные вопросы и задания для проведения текущего контроля и промежуточной аттестации по итогам освоения дисциплины |
1. Какие серверные ОС системы Вы знаете, чем они отличаются от Desktop ОС? 2. Какие серверные ОС чаще всего используют в сети Интернет? Почему? Назовите 5 самых популярных? 3. Что такое LAMP? Из каких пакетов состоит LAMP? Для чего нужны эти пакеты? 4. Что такое вебсервер Apache? Что такое вебсервер Nginx? В чем их различия, преимущества и недостатки? 5. Что такое модуль веб-сервера? Зачем они нужны? Какие бывают? Приведите примеры самых распространенных и часто используемых модулей в Apache и Nginx? 6. Что такое виртуальные хосты в вебсерверах Apache и Nginx? За что они отвечают? Как настраиваются виртуальные хосты в Apache и Nginx? 7. Для чего ставят 2 вебсервера Apache+Nginx? Объясните как работает связка Apache+Nginx? Расскажите о преимуществах данной модели? 8. Что такое «хостинг»? Какие виды хостингов Вы знаете? В чем их принципиальные различия? Расскажите про «подводные камни»? 9. Что такое доменное имя? Что Вы знаете про доменные имена? Что такое DNS? Что такое DNS-сервер? Зачем нужны DNS сервера, как они настраиваются? 10. Что такое TCP/IP, как он работает, расскажите? 11. Что такое HTTP и HTTPS, как они работают? Что такое ssl сертификаты? Зачем они нужны? 12. Каким образом происходит разграничение прав между пользователями в Linux? Для чего это необходимо? Как добавлять удалять группы и пользователей в Linux? Как изменять права на фалы и папки в Linux? 13. Как посмотреть количество запущенных процессов в Linux? 14. Что такое HTML, HTML5, CSS, PHP, JavaScript, jQuery? В чем принципиальные различия между PHP и JavaScript ? 15. Что такое MySQL? Для чего нужен MySQL? Как работает MySQL? Что такое phpMyAdmin? Для чего нужен phpMyAdmin? 16. Что такое Plesk? Для чего нужен Plesk? Какие платные и бесплатные альтернативы Plesk Вы знаете? Их преимущества и недостатки? 17. Как происходят кражи паролей в сети Интернет? Способы защиты? 18. Вид взлома «Взлом электронной почты». Как происходят кражи паролей? Способы защиты? 19. Кража FTP-паролей. Как происходят кражи паролей? Способы защиты? 20. Вид взлома «Загрузка файлов». Как используют злоумышленники? Способы защиты? 21. Вид взлома «Register Globals». Как используют злоумышленники? Способы защиты? 22. JavaScript-инъекции. XSS. XSS и BB-коды. XSS и HTML. XSS и UTF. Как используют злоумышленники? Способы защиты? 23. CSRF: совершение действия от имени пользователя. Как используют злоумышленники? Способы защиты? 24. Отправка email с сайта. Как используют злоумышленники? Способы защиты? 25. SQL-инъекции. Как используют злоумышленники? Способы защиты? 26. Отключение кук (cookie). Как используют злоумышленники? Способы защиты? 27. Переполнение буфера, дыры в серверном ПО. Как используют злоумышленники? Способы защиты? 28. Что такое DDoS-атака. Виды DDoS-атак. Обнаружение DDoS-атак. Как используют злоумышленники? Способы защиты? 29. Какие антивирусы для организации безопасности веб-серверов Вы знаете? Назовите их. 30. Зачем нужны сканеры уязвимостей веб-сервера или сайта. Какие Вы знаете? Какие функции они Выполняют? 31. Что такое сканеры SQL-инъекций? Как они работают? Для чего они нужны? 32. Что такое сканеры XSS инъекций. Как они работают? Для чего они нужны? 33. Какое ПО для организации защиты от DDOS-атак Вы знаете? По какому принципу оно работает? 34. Какое ПО для организации защиты от SQL-инъекций Вы знаете? По какому принципу оно работает? |
5.2. Темы письменных работ для проведения текущего контроля (эссе, рефераты, курсовые работы и др.) |
В Приложении |
5.3. Фонд оценочных средств для проведения промежуточной аттестации |
В Приложении |
6.1. Рекомендуемая литература | ||||
6.1.1. Основная литература | ||||
Авторы | Заглавие | Издательство, год | Эл. адрес | |
Л1.1 | Локхарт Дж. | Современный PHP. Новые возможности и передовой опыт: | ДМК Пресс, 2016 // ЭБС издательство Лань | e.lanbook.com |
6.1.2. Дополнительная литература | ||||
Авторы | Заглавие | Издательство, год | Эл. адрес | |
Л2.1 | Фостер Дж. | Защита от взлома: сокеты, эксплойты, shell-код : | Издательство "ДМК Пресс", 2008 // ЭБС "Лань" | e.lanbook.com |
Л2.2 | Медведовский И.Д., Семьянов П.В., Леонов Д.Г. | Атака на Internet: | ДМК Пресс, 2006 // ЭБС "Лань" | e.lanbook.com |
6.2. Перечень ресурсов информационно-телекоммуникационной сети "Интернет" | ||||
Название | Эл. адрес | |||
Э1 | www.google.ru | |||
Э2 | www.ubuntu.com | |||
Э3 | ubuntu.ru | |||
Э4 | commons.apache.org | |||
Э5 | nginx.ru | |||
Э6 | www.mysql.com | |||
Э7 | stackoverflow.com | |||
Э8 | htmlbook.ru | |||
Э9 | php.net | |||
Э10 | php.ru | |||
Э11 | www.mysql.ru | |||
Э12 | www.mysql.com | |||
Э13 | курс на Moodle | portal.edu.asu.ru | ||
6.3. Перечень программного обеспечения | ||||
Microsoft Office Microsoft Windows 7-Zip AcrobatReader | ||||
6.4. Перечень информационных справочных систем | ||||
Профессиональные базы данных: 1. Электронная база данных «Scopus» (http://www.scopus.com); 2. Электронная библиотечная система Алтайского государственного университета (http://elibrary.asu.ru/); 3. Научная электронная библиотека elibrary (http://elibrary.ru) https://www.google.ru https://www.ubuntu.com/ http://ubuntu.ru/ https://commons.apache.org/ https://nginx.ru/ru/ https://www.mysql.com/ https://stackoverflow.com/ http://htmlbook.ru/ http://php.net/docs.php https://php.ru/manual/ http://www.mysql.ru http://www.mysql.com |
Аудитория | Назначение | Оборудование |
---|---|---|
408К | лаборатория программно-аппаратных средств обеспечения информационной безопасности; лаборатория криптографических методов защиты информации - учебная аудитория для проведения занятий семинарского типа (лабораторных и(или) практических); проведения групповых и индивидуальных консультаций, текущего контроля и промежуточной аттестации | Учебная мебель на 15 посадочных мест; рабочее место преподавателя; компью-теры: модель Компьютер Парус 945 MSI PDualCore E2140/512Mb+1024/HDD80Gb/DVD-ROM/LCD17" LG/KM - 11 единиц; мо-ниторы: марка Samsung - 3 единицы; системный блок CTR Office Celeron 2533 MHz - 3 шт.; Аппаратные средства аутентификации пользователя: элек-тронные ключи Guardant Code (4 шт.); электронный ключ Guardant Time (1 шт.); электронные ключи Guardant Stealth (3 шт.); электронные ключи Alad-din eToken PRO (10 шт.). Программно-аппаратные комплексы защиты инфор-мации: Программно-аппаратный ком-плекс «Соболь» Версия 3.0 RU.403008570.501410.001; Программно-аппаратный комплекс «Соболь» Версия 2.1 УВАЛ 00030-58-01; система защиты информации «Secret Net 2000» версии 4.0 (автономный вариант). Комплекс проекционного оборудования для препо-давателя - проектор мультимедийный "Optoma W402", проектор мультимедиа "BenQ MP626 DLP". |
001вК | склад экспериментальной мастерской - помещение для хранения и профилактического обслуживания учебного оборудования | Акустический прибор 01021; виброизмеритель 00032; вольтметр Q1202 Э-500; вольтметр универсальный В7-34А; камера ВФУ -1; компьютер Турбо 86М; масспектрометр МРС -1; осциллограф ЕО -213- 2 ед.; осциллограф С1-91; осциллограф С7-19; программатор С-815; самописец 02060 – 2 ед.; стабилизатор 3218; терц-октавный фильтр 01023; шкаф вытяжной; шумомер 00026; анализатор АС-817; блок 23 Г-51; блок питания "Статрон" – 2 ед.; блок питания Ф 5075; вакуумный агрегат; весы; вольтметр VM -70; вольтметр В7-15; вольтметр В7-16; вольтметр ВУ-15; генератор Г-5-6А; генератор Г4-76А; генератор Г4-79; генератор Г5-48; датчик колебаний КВ -11/01; датчик колебаний КР -45/01; делитель Ф5093; измеритель ИМП -2; измеритель параметров Л2-12; интерферометр ИТ 51-30; источник "Агат" – 3 ед.; источник питания; источник питания 3222; источник питания ЭСВ -4; лабораторная установка для настройки газовых лазеров; лазер ЛГИ -21; М-кальк-р МК-44; М-калькул-р "Электроника"; магазин сопротивления Р4075; магазин сопротивления Р4077; микроскоп МБС -9; модулятор МДЕ; монохроматор СДМС -97; мост переменного тока Р5066; набор цветных стекол; насос вакумный; насос вакуумный ВН-01; осциллограф С1-31; осциллограф С1-67; осциллограф С1-70; осциллограф С1-81; осциллоскоп ЕО -174В – 2 ед.; пентакта L-100; пирометр "Промень"; пистонфон 05001; преобразователь В9-1; прибор УЗДН -2Т; скамья оптическая СО 1м; спектограф ДФС -452; спектограф ИСП -51; стабилизатор 1202; стабилизатор 3217 – 4 ед.; стабилизатор 3218; стабилизатор 3222 – 3 ед.; станок токарный ТВ-4; усилитель мощности ЛВ -103 – 4 ед.; усилитель У5-9; центрифуга ВЛ-15; частотомер Ч3-54А; шкаф металлический; эл.двигатель; электродинамический калибратор 11032 |
106Л | помещение для хранения и профилактического обслуживания учебного оборудования | Стеллажи – 3 шт. осциллограф, паяльная станция, источник тока, переносные ноутбуки |
Учебная аудитория | для проведения занятий лекционного типа, занятий семинарского типа (лабораторных и(или) практических), групповых и индивидуальных консультаций, текущего контроля и промежуточной аттестации, курсового проектирования (выполнения курсовых работ), проведения практик | Стандартное оборудование (учебная мебель для обучающихся, рабочее место преподавателя, доска, мультимедийное оборудование стационарное или переносное) |
Помещение для самостоятельной работы | помещение для самостоятельной работы обучающихся | Компьютеры, ноутбуки с подключением к информационно-телекоммуникационной сети «Интернет», доступом в электронную информационно-образовательную среду АлтГУ |
Рекомендации по подготовке к лекционным занятиям - перед очередной лекцией необходимо просмотреть по конспекту материал предыдущей лекции. - бегло ознакомиться с содержанием очередной лекции по основным источникам литературы в соответствии с рабочей программой дисциплины; - обратить особое внимание на сущность и графическое сопровождение основных рассматриваемых теоретических положений. Рекомендации по подготовке к лабораторным работам - руководствоваться графиком лабораторных работ РПД; - накануне перед очередной работой необходимо по конспекту или в методических указаниях к работе просмотреть теоретический материал работы; - на лабораторном занятии, выполнив разработку алгоритма и реализовав задание на языке высокого уровня, необходимо проанализировать окончательные результаты и убедится в их достоверности; - обратить внимание на оформление отчета, в котором должны присутствовать: цель работы, описание алгоритма, журнал опытных данных, реализация в опыте, цели работы, необходимые графические зависимости (при их наличии) и их анализ, результаты работы и выводы; - при подготовке к отчету руководствоваться вопросами, приведенными в методических указаниях к данной работе, тренажерами программ на ЭВМ по отчету работ и компьютерным учебником. Рекомендации по подготовке к самостоятельной работе - руководствоваться графиком самостоятельной работы; - выполнять все плановые задания, выдаваемые преподавателем для самостоятельного выполнения, и разбирать на семинарах и консультациях неясные вопросы; - подготовку к экзамену необходимо проводить по экзаменационным теоретическим вопросам - при подготовке к экзамену параллельно прорабатываете соответствующие теоретические и практические разделы курса, все неясные моменты фиксируйте и выносите на плановую консультацию. |