4963

МИНОБРНАУКИ РОССИИ

Федеральное государственное бюджетное образовательное учреждение высшего образования

«Нижегородский государственный архитектурно-строительный университет»

Родионова С.В.

СИСТЕМЫ АНАЛИЗА КОНФИГУРАЦИИ WEBПРИЛОЖЕНИЙ

Учебно-методическое пособие по подготовке к лекциям, практическим занятиям

(включая рекомендации по организации самостоятельной работы),

для обучающихся по дисциплине «Системы анализа конфигурации web-приложений» по направлению подготовки 09.04.03 Прикладная информатика

направленность (профиль) Прикладная информатика в аналитической экономике

Нижний Новгород

2022

УДК 004.9

Родионова С.В. / Системы анализа конфигурации web-приложений: учебно-методическое пособие / С.В. Родионова; Нижегородский государственный архитектурно-строительный университет – Нижний Новгород: ННГАСУ, 2022. – 14 с.– Текст: электронный.

В настоящем учебно-методическом пособии по дисциплине «Системы анализа конфигурации webприложений» даются конкретные рекомендации учащимся для освоения как основного, так и дополнительного материала дисциплины и тем самым способствующие достижению целей, обозначенных в учебной программе дисциплины. Цель учебно-методического пособия — это помощь в усвоении лекций, в подготовке к практическим занятиям, а также в написании курсовой работы.

Учебно-методическое пособие предназначено для обучающихся в ННГАСУ по дисциплине «Системы анализа конфигурации web-приложений» по направлению подготовки 09.04.03 Прикладная информатика, направленность (профиль) Прикладная информатика в аналитической экономике.

© С.В. Родионова, 2022

© ННГАСУ, 2022

2

Оглавление

3

1. Общие положения

1.1 Цели изучения дисциплины и результаты обучения

Основными целями освоения учебной дисциплины «Системы анализа конфигурации web-

приложений» является достижение результатов обучения, предусмотренных установленным в ОПОП индикаторами достижения компетенций. В процессе освоения дисциплины студент должен

Знать:

определение уязвимостей текущей конфигурации Web-приложения;

Уметь:

-проводить оценку уровня защищённости Web-приложения;

- проводить анализ адекватности механизмов безопасности Web-приложения;

-осуществлять выбор мероприятий, повышающих уровень защищённости Web-приложения.

Данная дисциплина позволит студентам не только систематизировать полученные теоретические

знания, укрепить исследовательские навыки, но и даст возможность ориентироваться в новом

предметном поле прикладной информатики.

1.2 Содержание дисциплины

Материал дисциплины сгруппирован по следующим разделам:

1. Понятие защищённости Web-приложения

Определение защищённости. Факторы защищённости. Понятие уязвимости и бреши по CVE. Основные уязвимости Web-приложения по OWASP.

4

2. Нормативная база для оценки защищённости

Три части общих критериев ISO 15408. 10 ключевых средств контроля ISO 17799. Состав РД Гостехкомиссии. Классы защищённости.

3. Методика анализа защищённости

Состав методов типовой методики анализа защищённости. Состав исходных данных для анализа. Дополнительная документация. Проектная документация. Анализ конфигурации средств защиты внешнего периметра. Методы тестирования системы защиты.

4. Средства анализа защищённости

Средства анализа параметров защиты. Сетевые сканеры. Средства контроля защищенности системного уровня.

1.3Вспомогательная литература для изучения дисциплины

1.Буренин С. Н.. Web-программирование и базы данных : Учебный практикум. / Буренин С. Н. ; Буренин С. Н.. – Московский гуманитарный университет, 2014. – URL: URL: http://www.iprbookshop.ru/39683.html. – ISBN ISBN 978-5-906768-17-9.

2.Зольников Дмитрий Станиславович. PHP 5 : как самостоятельно создать сайт любой сложности. / Зольников Дмитрий Станиславович ; Москва : НТ Пресс, 2006. – 259 с. – ISBN ISBN 5-477-00377-4.

3.Тузовский А. Ф.. Проектирование и разработка web-приложений : Учебное пособие. / Тузовский А. Ф. ; Тузовский А. Ф.. – Томск : Томский политехнический университет, 2014. – 219 с. – URL: URL: http://www.iprbookshop.ru/34702.html.

4.Основы web-технологий : учебное пособие. / Храмцов, П. Б., Брик, С. А., Русак, А. М., Сурин, А. И. ; П. Б. Храмцов, С. А. Брик, А. М. Русак, А. И. Сурин. – Москва : Интернет-Университет Информационных Технологий (ИНТУИТ), Ай Пи Ар Медиа, 2020. – 374 с. – URL: URL: http://www.iprbookshop.ru/97560.html. – ISBN ISBN 978-5-4497-0673-7.

5

2. Методические указания по подготовке к лекциям

2.1 Общие рекомендации по работе на лекциях

Лекция является главным звеном дидактического цикла обучения. Ее цель — формирование основы для последующего усвоения учебного материала. В ходе лекции преподаватель в устной форме,

а также с помощью презентаций передает обучаемым знания по основным, фундаментальным вопросам изучаемой дисциплины.

Назначение лекции состоит в том, чтобы доходчиво изложить основные положения изучаемой дисциплины, ориентировать на наиболее важные вопросы учебной дисциплины и оказать помощь в овладении необходимых знаний и применения их на практике.

Личное общение на лекции преподавателя со студентами предоставляет большие возможности для реализации образовательных и воспитательных целей.

При подготовке к лекционным занятиям студенты должны ознакомиться с презентаций,

предлагаемой преподавателем, отметить непонятные термины и положения, подготовить вопросы с целью уточнения правильности понимания. Рекомендуется приходить на лекцию подготовленным, так как в этом случае лекция может быть проведена в интерактивном режиме, что способствует повышению эффективности лекционных занятий.

2.2Общие рекомендации при работе с конспектом лекций

Входе лекционных занятий необходимо вести конспектирование учебного материала. Конспект помогает внимательно слушать, лучше запоминать в процессе осмысленного записывания,

обеспечивает наличие опорных материалов при подготовке к семинару, зачету, экзамену.

Полезно оставить в рабочих конспектах поля, на которых делать пометки из рекомендованной литературы, дополняющие материал прослушанной лекции, а также подчеркивающие особую важность тех или иных теоретических положений.

В случае неясности по тем или иным вопросам необходимо задавать преподавателю уточняющие

6

вопросы. Следует ясно понимать, что отсутствие вопросов без обсуждения означает в большинстве

случаев неусвоенность материала дисциплины.

2.3Контрольные вопросы

1.Составить требования к конфигурации Web-приложения.

2.Пример анализа Web-приложения по стандарту ISO 17799.

3.Определить соответствие Web-приложения классу защищённости по РД Гостехкомиссии.

4.Провести анализ конфигурации приложения на базе Apache-PHP.

7

3. Методические указания по подготовке к практическим занятиям

3.1Общие рекомендации по подготовке к практическим занятиям

Входе подготовки к практическим занятиям необходимо изучать основную литературу, знакомиться с дополнительной литературой, а также с новыми публикациями в периодических изданиях: журналах, газетах и т.д. При этом необходимо учесть рекомендации преподавателя и требования учебной программы.

Всоответствии с этими рекомендациями и подготовкой полезно дорабатывать свои конспекты лекции, делая в нем соответствующие записи из литературы, рекомендованной преподавателем и предусмотренной учебной программой. Целесообразно также подготовить тезисы для возможного выступлений по всем учебным вопросам, выносимым на занятие.

При подготовке к практическим занятиям можно также подготовить краткие конспекты по вопросам темы. Очень эффективным приемом является составление схем и презентаций.

Готовясь к докладу или реферативному сообщению, желательно обращаться за методической помощью к преподавателю. Составить план-конспект своего выступления. Продумать примеры с целью обеспечения тесной связи изучаемой теории с реальной жизнью. Своевременное и качественное выполнение самостоятельной работы базируется на соблюдении настоящих рекомендаций и изучении рекомендованной литературы. Студент может дополнить список использованной литературы современными источниками, не представленными в списке рекомендованной литературы, и в дальнейшем использовать собственные подготовленные учебные материалы при написании курсовых и дипломных работ.

3.2Примеры задач для практических занятий

1.Системы автоматической настройки конфигурации веб сервера

2.Системы автоматической настройки конфигурации php интерпретатора

3.Задачи на анализ защиты периметра.

8

4. Методические указания по организации самостоятельной работы

4.1 Общие рекомендации для самостоятельной работы

Самостоятельная работа студентов является основным способом овладения учебным материалом в свободное от обязательных учебных занятий время.

Целями самостоятельной работы студентов являются:

-систематизация и закрепление полученных теоретических знаний и умений студентов;

-углубление и расширение теоретических знаний;

-формирование умений использовать нормативную, правовую, справочную документацию и специальную литературу;

-развитие познавательных способностей и активности студентов:

-формирования самостоятельности мышления, способностей к саморазвитию, самосовершенствованию и самореализации.

Запланированная в учебном плане самостоятельная работа студента рассматривается как связанная либо с конкретной темой изучаемой дисциплины, либо с подготовкой к курсовой, дипломной работе, а также к защите ВКР. В данном разделе рассматривается только самостоятельная работа первого вида.

Самостоятельная работа выполняется в два этапа: планирование и реализация.

Планирование самостоятельной работы включает:

-уяснение задания на самостоятельную работу;

-подбор рекомендованной литературы;

-составление плана работы, в котором определяются основные пункты предстоящей подготовки.

Составление плана дисциплинирует и повышает организованность в работе.

На втором этапе реализуется составленный план. Реализация включает в себя:

-изучение рекомендованной литературы;

-составление плана (конспекта) по изучаемому материалу (вопросу);

-взаимное обсуждение материала.

9