Учебная дисциплина «Безопасность мобильных приложений

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ
РОССИЙСКОЙ ФЕДЕРАЦИИ
Федеральное государственное бюджетное образовательное учреждение
высшего профессионального образования
«ТЮМЕНСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ»
Институт математики и компьютерных наук
Кафедра информационной безопасности
Сироткин А.М.
РАЗРАБОТКА БЕЗОПАСНЫХ МОБИЛЬНЫХ ПРИЛОЖЕНИЙ
Учебно-методический комплекс. Рабочая программа
для студентов направления 10.03.01 Информационная безопасность,
профиль подготовки «Безопасность распределенных систем»
очной формы обучения
Тюменский государственный университет
2014
1
А.М.Сироткин Разработка безопасных мобильных приложений. Учебно-методический
комплекс. Рабочая программа для студентов направления 10.03.01 Информационная
безопасность, профиль подготовки «Безопасность распределенных систем» очной формы
обучения. Тюмень, 2014, 26 стр.
Рабочая программа составлена в соответствии с требованиями ФГОС ВПО с учетом
рекомендаций и ПрОП ВПО по направлению и профилю подготовки.
Рабочая программа дисциплины опубликована на сайте ТюмГУ: Разработка безопасных
мобильных приложений [электронный ресурс] / Режим доступа: http://www.umk3.utmn.ru,
свободный.
Рекомендовано к изданию кафедрой информационной безопасности. Утверждено
директором института математики и компьютерных наук Тюменского государственного
университета.
ОТВЕТСТВЕННЫЙ РЕДАКТОР: А.А. Захаров, д-р техн. наук, проф., заведующий
кафедрой информационной безопасности ТюмГУ.
© Тюменский государственный университет, 2014.
© Сироткин А.М., 2014.
2
1.
1.1.
Пояснительная записка
Цели и задачи дисциплины
Учебная дисциплина «Безопасность мобильных приложений» обеспечивает
приобретение знаний и умений в соответствии с государственным образовательным
стандартом, содействует формированию мировоззрения и системного мышления.
Основной целью дисциплины «Безопасность мобильных приложений» является
изложение основных аспектов безопасности мобильных приложений.
Задачи дисциплины «Безопасность мобильных приложений» - обеспечить
освоение основ:

свойств, характеризующих защищенность технологии виртуализации;

основных механизмов, применяемых для обеспечения выполнения того или
иного свойства безопасности протокола;

основных уязвимостей протоколов.
1.2.Место дисциплины в структуре образовательной программы
Дисциплина «Безопасность мобильных приложений» относится к дисциплинам по
выбору профессионального цикла. Изучение её базируется на знаниях предметов
“Математическая логика и теория алгоритмов”, “Методы программирования”.
Дисциплина «Безопасность мобильных приложений» преподается в 7 семестре,
обеспечиваемых дисциплин нет. Знания, умения и навыки, полученные в ходе ее
изучения, используются для выполнения выпускной квалификационной работы.
1.3. Компетенции обучающегося, формируемые в результате освоения данной
образовательной программы.
В результате
компетенциями:
освоения
ОП
выпускник
должен
обладать
следующими
профессиональными (ПК):
 способностью использовать языки и системы программирования,
инструментальные средства для решения различных профессиональных,
исследовательских и прикладных задач (ПК-9);
 способностью проводить анализ и формализацию поставленных задач в области
компьютерной безопасности (ПК-20);
 способностью оценивать степень надежности выбранных механизмов обеспечения
безопасности для решения поставленной задачи (ПК-25).
1.4. Перечень планируемых результатов обучения по дисциплине (модулю):
знать:
 содержание основных понятий по безопасности операционных систем;
 понятие безопасности информационных систем в нормативных документах.
уметь:
 работать с интерфейсом операционных систем;
3
 применять действующую законодательную базу в области информационной
безопасности.
владеть:
 навыками установки и настройки современных ОС;
 навыками администрирования систем хранения данных;
 средствами разработки приложений для ОС Android.
4
2. Структура и трудоемкость дисциплины.
Семестр 7. Форма промежуточной аттестации зачёт. Общая трудоемкость
дисциплины составляет 2 зачетные единицы, 72 академических часа, из них 55,7 часа,
выделенных на контактную работу с преподавателем (18 часов лекций, 36-лабораторных
занятий, 1,7 – иные виды работ), 16,3 часов, выделенных на самостоятельную работу.
3. Тематический план
Таблица 3.
Лабораторные
занятия
Самостоятель
ная работа
Итого часов по теме
Из них в интерактивной
форме
Итого количество
баллов
5
6
7
8
9
0-1
1
2
1
4
1
2-3
2
2
2
6
1
3
6
Модуль 2
2
6
3
6
8
18
1
3
7-8
2
6
2
10
1
9-10
2
4
2
8
1
2
6
Модуль 3
4
14
2
6
8
26
1
3
Тема
2
1
Введение в администрирование
VMware.
Администрирование систем
хранения данных (СХД).
Конфигурирование сети.
Всего*:
2
3
Мониторинг
производительности.
5. Отказоустойчивость и защита
данных.
6. Регулярное обслуживание.
Всего*:
4-6
4
7.
8
9
Введение в разработку
приложений для Android.
Создание пользовательского
интерфейса.
Базы и Источники данных.
Всего*:
Итого (часов, баллов) за
семестр*:
Из них в интерактивной
форме
Лекции
недели семестра
3
4
Модуль 1
№
1
Виды учебной
работы и
самостоятельная
работа, в час.
11-12
13-15
2
5
2
9
1
16-17
2
5
2
9
1
18
2
6
6
16
2
6
10
28
2
4
18
36
18
72
10
*- с учетом иных видов работы
4. Виды и формы оценочных средств в период текущего контроля
5
0-7
0-9
0-15
0-31
0-9
0-9
0-14
0-32
0-9
0-12
0-16
0-37
0-100
Таблица 4.
Виды и формы оценочных средств в период текущего контроля
№ темы
Модуль 1
1.
2.
3.
Всего
Модуль 2
4.
5.
6.
Всего
Модуль 3
7.
8.
9.
Всего
Итого
Устный опрос
Информационные системы
и технологии
Итого
количество
баллов
колоквиумы
собеседование
ответ на
семинаре
Лабораторная
работа на
компьютере
0-5
0-1
0-2
0-2
0-1
0-2
0-3
0-5
0-5
0-5
0-7
0-9
0-15
0-31
0-5
0-2
0-2
0-2
0-2
0-2
0-2
0-5
0-5
0-5
0-9
0-9
0-14
0-32
0-5
0-2
0-1
0-1
0-2
0-1
0-1
0-5
0-10
0-9
0-9
0-12
0-16
0-37
0-100
5. Содержание дисциплины.
Модуль 1. Введение.
1. Введение в администрирование VMware. Общие принципы работы виртуальной
машины.
2. Администрирование систем хранения данных (СХД). Работа с разделами Virtual
Machine File Systems (VMFS). Storage VMotion.
3. Конфигурирование сети. Настройка и безопасность виртуальных сетей.
Настройка программного адаптера iSCSI. Настройка брендмауэра Service Console.
Модуль 2. Мониторинг и обслуживание.
4. Мониторинг производительности. Анализ и интерпретация показаний утилиты
esxtop и графических средств. Создание и настройка кластера VMware Distributed
Resources Scheduler (DRS).
5. Отказоустойчивость и защита данных. Расширенная настройка кластера VMware
High Availibility (HA). Резервное копирование и восстановление виртуальных
машин с помощью VMware Consolidated Backup.
6. Регулярное обслуживание. Настройка и установка обновлений с использованием
VMware Update Manager.
Модуль 3. ОС Android.
7. Введение в разработку приложений для Android. Средства разработки.
Манифест приложения. Отделение ресурсов от кода программы. Приоритеты
приложений и состояние процессов.
6
8. Создание пользовательского интерфейса. Основы пользовательского интерфейса
в Android. Менеджер компоновки. Адаптеры. Намерения. Использование ресурсов
интернета.
9. Базы и Источники данных. AQLite. ContentValues. Создание и использование
Источников данных. Добавление поддержки поиска в приложение.
6. Планы семинарских занятий.
Не предусмотрены.
7. Темы лабораторных работ (Лабораторный практикум).
Модуль 1. Введение.
Тема 1: Изучение механизма безопасности ОС UNIX и средств усиления защиты
данной ОС.
1. Изучение концепции безопасности UNIX. Изучение системных команд. Сценарии.
Тема 2: Базовые принципы функционирования подсистемы контроля доступа,
реализованной в ОС Windows.
2. Изучение базовых принципов функционирования подсистемы контроля доступа,
реализованной в ОС Windows.
Тема 3: Изучение безопасности сетевых сервисов ОС.
3. Изучение Linux OpenSSH.
Модуль 2. Мониторинг и обслуживание.
Тема 4: Изучение вопросов обеспечения безопасности Web-серверов.
4. Создание
плана
защиты
Web-сервера.
Модернизация
программного
обеспечения.Удаление лишних приложений. Настройка внешнего firewall.
Тема 5: Изучение принципов безопасности в сети Интернет с использованием
механизма сертификатов.
5. Создание сертификатов.
Модуль 3. ОС Android.
Тема 6: Создание приложения для Android с пользовательским интерфейсом.
6. Создание приложения для Android с пользовательским интерфейсом.
Тема 7: Создание Источника данных.
7. Создание Источника данных.
8. Примерная тематика курсовых работ.
Не предусмотрены.
7
Кол-во
баллов
Введение в
администриро
вание
VMware.
Объем
часов
1
Модуль 1
Работа с учебной
Конспектировани
литературой.
е материала на
Выполнение
лекционных
лабораторной работы,
занятиях.
подготовка к ответу
Неделя
семестра
9. Учебно-методическое обеспечение и планирование самостоятельной работы
студентов.
Таблица 5.
№
Модули и
Виды СРС
темы
обязательные
дополнительные
0-1
1
0-7
2
3.
Администрир
ование систем
хранения
данных
(СХД).
Конфигуриро
вание сети.
Конспектировани
е материала на
лекционных
занятиях.
Конспектировани
е материала на
лекционных
занятиях.
на семинаре и к
собеседованию.
Работа с учебной
литературой.
Выполнение
лабораторной работы,
подготовка к ответу
на семинаре и к
собеседованию.
Работа с учебной
литературой.
Выполнение
лабораторной работы,
подготовка к ответу
на семинаре и к
собеседованию.
2-3
2
0-9
4-6
3
0-15
6
0-31
7-8
2
0-9
9-10
2
0-9
1112
2
0-14
6
0-32
1315
2
0-9
1617
2
0-12
Всего по модулю 1*:
4.
5.
6.
7.
8.
Модуль 2
Мониторинг
Конспектирование
Работа с учебной
производител
материала на
литературой.
ьности.
лекционных
Выполнение
занятиях.
лабораторной работы,
подготовка к ответу
на семинаре и к
собеседованию.
Отказоустойч Конспектирование
Работа с учебной
ивость и
материала на
литературой.
защита
лекционных
Выполнение
данных.
занятиях.
лабораторной работы,
подготовка к ответу
на семинаре и к
собеседованию.
Регулярное
Конспектирование
Работа с учебной
обслуживание
материала на
литературой.
.
лекционных
Выполнение
занятиях.
лабораторной работы,
подготовка к ответу
на семинаре и к
собеседованию.
Всего по модулю 2*:
Модуль 3
Введение в
Конспектировани
Работа с учебной
разработку
е материала на
литературой.
приложений
лекционных
Выполнение
для Android.
занятиях.
лабораторной работы,
подготовка к ответу
на семинаре и к
собеседованию.
Создание
Конспектировани
Работа с учебной
пользовательс
е материала на
литературой.
кого
лекционных
Выполнение
8
9.
интерфейса.
занятиях.
Базы и
Источники
данных.
Конспектировани
е материала на
лекционных
занятиях.
лабораторной работы,
подготовка к ответу
на семинаре и к
собеседованию.
Работа с учебной
литературой.
Выполнение
лабораторной работы,
подготовка к ответу
на семинаре и к
собеседованию.
Всего по модулю 3*:
ИТОГО*:
*- с учетом иных видов работы
18
2
0-16
6
18
0-37
0-100
Проверка качества подготовки в течение семестра предполагает следующие виды
промежуточного контроля:
А) выполнение расчетных работ по индивидуальным;
Б) проведение устных теоретических опросов (коллоквиумов) по одному в каждом
учебном модуле;
Текущий и промежуточный контроль освоения и усвоения материала дисциплины
осуществляется в рамках рейтинговой (100-бальной) системы оценок.
1. Вопросы к коллоквиуму.
Вопросы к коллоквиуму совпадают с вопросами к зачёту, приведенными ниже и
выбранными в соответствии с модулем, в котором проводится коллоквиум.
9
2
3
4
5
6
7
С.6.
ИГА
С.5.
практ
и-ки
8
Языки программирования*
Языки программирования*
Языки программирования*
Теория информации*
Системы управления базами данных*
Методы программирования*
WEB программирование
Теория информации*
Системы управления базами данных*
Физика II
Теория вероятностей и математическая статистика*
Методы программирования*
WEB программирование
Физика II
Сети и системы передачи информации*
Безопасность мобильных приложений
Теория вероятностей и математическая статистика*
Методы программирования*
Основы построения защищенных компьютерных сетей*
Криптографические протоколы*
Параллельное программирование
Защита программ и данных*
Производственная практика*
+
+
+
Учебная практика*
Научно-исследовательская работа*
Выпускная квалификационная работа*
+
ПК-25
ПК-20
Дисциплина
ПК-9
Семестр
10.Фонд оценочных средств для проведения промежуточной аттестации по итогам
освоения дисциплины.
10.1 Перечень компетенций с указанием этапов их формирования в процессе освоения
образовательной программы (выдержка из матрицы компетенций):
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
Итоговый междисциплинарный экзамен по специальности*
+
+
+
+
+
+
+
+
+
+
+
*отмечены дисциплины базового цикла.
10
Оценочные
средства
Код
компетенции
Виды
занятий
10.2 Описание показателей и критериев оценивания компетенций на различных
этапах их формирования, описание шкал оценивания:
Таблица 6.
Карта критериев оценивания компетенций
Результаты
Критерии в соответствии с уровнем освоения
обучения в
ОП
целом
минимальный базовый (хор.) повышенный
(удовл.)
76-90 баллов
(отл.)
61-75 баллов
91-100 баллов
Знает:
сложные
классы
и
методы одного
языка
программирова
ния.
Умеет:
применять
сложные
классы
и
методы одного
языка
программирова
ния.
Владеет:
инструменталь
ными
средствами для
решения
профессиональ
ных задач.
11
Знает:
сложные
классы
и
методы
нескольких
языков
программирова
ния.
Умеет:
применять
сложные
классы
и
методы
нескольких
языков
программирова
ния.
Владеет:
инструменталь
ными
средствами для
решения
исследовательс
ких задач.
Расчетная работа, коллоквиум
Знает:
базовые классы
и
методы
одного языка
программирова
ния.
Умеет:
применять
основные
классы
и
методы одного
языка
программирова
ния.
Владеет:
инструменталь
ными
средствами для
решения
прикладных
задач.
Лекции, практические занятия
ПК-9
Знает:
современные
языки
программиров
ания
и
инструменталь
ные средства.
Умеет:
использовать
языки
и
системы
программиров
ания.
Владеет:
инструменталь
ными
средствами
для решения
различных
профессионал
ьных,
исследователь
ских
и
прикладных
задач.
ПК-20
Знает:
классификацию
и
категории
изъянов
защиты.
Умеет:
формулировать
задачу.
Владеет:
навыками по
устранению
найденных
недостатков.
12
Знает:
свойства
безопасности
ОС.
Умеет:
формулировать
решение
задачи.
Владеет:
навыками по
улучшению
безопасности
приложения.
Расчетная работа, коллоквиум
Знает:
политику
безопасности,
формальное
представление
политик.
Умеет:
применять
действующую
законодательну
ю
базу
в
области
информационн
ой
безопасности.
Владеет:
навыками
нахождения
недостатков в
процессе
анализа.
Лекции, практические занятия
Знает:
способы
анализа
безопасности
мобильных
приложений.
Умеет:
формализовать
поставленные
задачи
в
области
безопасности
мобильных
приложений.
Владеет:
навыками
анализа
безопасности
мобильных
приложений.
Знает:
механизмы
защиты сервера
IIS.
Умеет:
защищать
службу DNS.
Владеет:
навыками
составления
модели угроз.
Знает:
способы
защиты
ОС
UNIX на этапе
загрузки.
Умеет:
применять
шифрование
файловых
систем в ОС
UNIX.
Владеет:
навыками
проведения
аудита
безопасности
кода.
Расчетная работа, коллоквиум
Знает:
шифрованную
файловую
систему EFS.
Умеет:
защищать
данные
при
передаче;
использовать
VPN.
Владеет:
навыками
анализа
безопасности
мобильных
приложений.
Лекции, практические занятия
ПК-25
Знает:
механизмы
обеспечения
безопасности
мобильных
приложений.
Умеет:
применять
механизмы
обеспечения
безопасности
мобильных
приложений.
Владеет:
способностью
оценивать
степень
надежности
выбранных
механизмов
обеспечения
безопасности
для решения
поставленной
задачи.
10.3 Типовые контрольные задания или иные материалы, необходимые для оценки
знаний, умений, навыков и (или) опыта деятельности, характеризующей этапы
формирования компетенций в процессе освоения образовательной программы.
Вопросы к зачёту
1. Понятие защищенной информационной системы.
2. Свойства защищенной ОС.
3. Безопасность информационных систем в нормативных документах.
4. Классификация защищенности ОС по международным стандартам.
5. Политика безопасности, формальное представление политик.
6. Классификация изъянов защиты.
7. Категории изъянов защиты в ОС.
8. Понятие доверенного ПО.
9. Свойства безопасности ОС.
10. Шифрованная файловая система EFS.
11. Защита данных при передаче. VPN.
12. Обеспечение безопасности серверных приложений ОС.
13. Сервер IIS. Механизмы защиты.
14. Защита службы DNS.
13
15. Защита службы RDS.
16. Защита ОС UNIX на этапе загрузки.
17. Шифрование файловых систем в ОС UNIX.
18. Защищенные терминалы.
19. Аутентификация в ОС, реализация в ОС UNIX.
20. Дискреционный контроль доступа в UNIX-системах.
21. Усиление базовой безопасности ОС UNIX.
22. Средства разработки Android.
23. Из чего состоят приложения Android.
24. Класс Application.
25. Приложение To-Do List.
26. Виджеты Android.
27. Намерения.
28. Широковещательные приёмники.
29. Google App Engine.
30. SQLite.
Задания к практическим занятиям проводятся с использованием раздаточного материала,
оформленного в виде учебно-методических пособий по предмету. Материал содержит
теоретическую базу, задания и примеры для самопроверки.
10.4 Методические материалы, определяющие процедуры оценивания знаний,
умений, навыков и (или) опыта деятельности характеризующих этапы
формирования компетенций.
Зачет получают студенты, заработавшие в семестре более 60 баллов. Студенты,
набравшие менее 60 баллов, сдают зачет по билетам. В билете – 2 вопроса. Для получения
зачёта студентом должно быть сдано минимум 4 практических задания и сделан ответ на 1
вопрос из билета, в общем раскрывающий тему и не содержащий грубых ошибок. Ответ
студента должен показывать, что он знает и понимает смысл и суть описываемой темы и
ее взаимосвязь с другими разделами дисциплины и с другими дисциплинами
специальности. Допуск к зачёту получают студенты, набравшие за курс более 35 баллов.
11. Образовательные технологии.
В учебном процессе используются как традиционные виды учебной активности,
такие как лекционные занятия, конспектирование, так и активные и интерактивные, такие
как совместное обсуждение материала, выполнение лабораторных заданий под
руководством преподавателя и в группах по вариантам.
12. Учебно-методическое и информационное обеспечение дисциплины.
14
12.1 Основная литература:
1. Дмитриев, М.А. Операционная система Android. Учебное пособие [Электронный
ресурс]: учебное пособие /М.А. Дмитриев, А.В. Зуйков, А.А.Кузин, П.Е. Минин,
А.М. Рапетов, А. С. Самойлов, М.И. Фроимсон, В.Б. Холявин, Д.В. Шевченко – М.:
НИЯУ
МИФИ,
2012.
–
64
с.
Режим
доступа:
http://biblioclub.ru/index.php?page=book&id=231690&sr=1/
(дата
обращения:
01.09.2014).
2. Голощапов, А.Л. Google Android: программирование мобильных устройств
[Электронный ресурс]: учебное пособие /А.Л. Голощапов – СПб.: БХВ-Петербург,
2010. – 448 с. - Режим доступа: http://znanium.com/bookread.php?book=351241/ (дата
обращения: 01.09.2014).
12.2 Дополнительная литература:
1. Агапов, А. В. Обработка и обеспечение безопасности электронных данных: О-23
учеб. пособие [Электронный ресурс] /А.В. Агапов, Т.В. Алексеева, А.В. Васильев –
М.: Московский финансово-промышленный университет «Синергия», 2012. – 592
с. – Режим доступа: http://znanium.com/bookread.php?book=451354/ (дата
обращения: 01.09.2014).
12.3 Интернет-ресурсы:
- вузовские электронно-библиотечные системы учебной литературы.
- http://znanium.com.
13. Перечень информационных технологий, используемых при осуществлении
образовательного процесса по дисциплине (модулю), включая перечень
программного обеспечения и информационных справочных систем (при
необходимости).
- MS Word или Open Office Writer;
- CryptoPro;
- операционная система семейства UNIX;
- среды разработки на языках C#, C++, Pascal, Java;
- Android SDK.
14. Технические средства и материально-техническое обеспечение дисциплины.
-компьютерный класс.
15. Методические указания для обучающихся по освоению дисциплины (модуля).
Для подготовки к собеседованиям и коллоквиумам необходимо пользоваться
конспектом лекций и [1,2] из списка основной литературы. Для выполнения лабораторных
работ следует использовать [1] из дополнительной литературы, методички и раздаточный
материал, выдаваемые преподавателем и хранящиеся на кафедре информационной
безопасности. Для получения расширенных и углубленных знаний по тематике
рекомендуется пользоваться ссылками из списка интернет-ресурсов, приведенных в
данном УМК, а также электронными и бумажными номерами научных журналов,
имеющихся в ИБЦ, областной научной библиотеке и сети интернет.
15