2012全国职业院校技能大赛(高职组)信息安全管理与评估赛项考核大纲
2012全国职业院校技能大赛(高职组)信息安全管理与评估赛项考核大纲
全国职业院校技能大赛(高职组)信息安全管理与评估竞赛大纲信息安全管理与评估赛项专家组2012年5月目录一.竞赛说明 (1)二.竞赛大纲 (2)2.1信息安全基础知识 (2)2.2基本操作知识 (3)2.3网络知识 (3)2.4Windows服务器知识 (4)2.5Linux系统知识 (4)2.6Web系统知识 (5)2.7数据库知识 (5)2.8扫描探测知识 (6)2.9破解验证技术 (6)2.10溢出攻击知识 (6)2.11安全评估知识 (7)2.12安全加固知识 (7)三.工具类型 (8)四.竞赛环境 (9)一. 竞赛说明一、信息安全管理与评估赛项将采取在真实环境中动手安装、实际组建网络系统、上机操作的方式进行竞赛,竞赛内容分为三个方面的知识,分别为:“网络系统组建与管理”、“网络系统加固与评估”及“信息安全攻防对抗”。
二、竞赛大纲中对专业知识的要求分为掌握、熟悉、了解。
掌握即要求能解决实际工作问题;熟悉即要求对有关信息安全的知识有深刻理解,了解即要求具有信息安全有关的广泛知识。
三、只能以院校参赛队为单位参加本次信息安全管理与评估的相关赛事,每个院校参赛队由3名在籍选手组成,可配2名指导教师。
二. 竞赛大纲竞赛大纲分为四个部分:●应知应会的基础知识:●网络系统组建;●网络系统加固与评估:●信息安全攻防对抗:2.1 信息安全基础知识1、了解信息安全基本概念2、了解网络安全主要概念及意义3、了解安全隐患的产生原因、类型区别(被动攻击,主动攻击等)4、了解安全分类(技术缺陷,配置缺陷,策略缺陷,人为缺陷等)5、了解网络安全的实现目标和主要技术措施6、了解信息安全的主要表现形式(蠕虫或病毒扩散,垃圾邮件泛滥,黑客行为,信息系统脆弱性,有害信息的恶意传播)7、了解信息安全的基本属性(机密性,完整性,可用性,真实性,可控性);8、了解建立安全网络的基本策略(确知系统弱点,限制访问,达到持续的安全,物理安全,边界安全,防火墙,Web和文件服务器,存取控制,变更管理,加密,入侵检测系统);9、了解信息加密的基本概念;10、了解基础的密码学理论(对称与非对称算法,认证证书PKI密钥和证书,生命周期管理等);11、了解多因素验证系统(口令、智能卡的组合验证方法);12、掌握数字证书的基本原理(了解电子加密和解密概念,熟悉CA认证的可信度等);13、理解等级保护相关知识,会对网络系统进行审计、整改,并出具评估报告。
2012年全国职业院校技能大赛方案
1 2 3 4
中职 中职 中职 中职
5 中职 6 中职 7 中职 8 中职 9 中职 10 中职 11 中职 12 中职
13 中职 14 中职
15 中职
16 中职
17 中职
18 中职
19 中职 20 中职
40 39 32 27 32 32 40 37 62 48 32 39 51 28 28 27 37 74 37 37 37 37 37 74 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37 37
附件2:
序 组别 号 赛项名称 酒店服务 光伏发电设备安装与调试 手工制茶 化工仪表自动化 1.化工生产技术 2.化工设备维修 工业分析检验 电梯维修保养 职业英语技能 企业网搭建与应用(锐捷) 企业网搭建与应用(神码) 中药传统技能 机器人技术应用 1.综采电气维修 2.采掘机电维修 3.煤矿瓦斯检查 会计技能 工程测量 1.电子产品装配与调试 2.机电一体化设备组装与调 3.电气安装与维修 4.单片机控制装置安装与调 5.制冷与空调设备组装与调 1.二级维护和车轮定位 2.汽车维修基本技能 3.车身修复(钣金) 4.车身涂装(涂漆) 5.汽车空调维修 1.标准卷杠 2.男士无缝推剪 3.女士短发修剪 4.新娘化妆•盘发造型 5.晚宴化妆 1.种子质量检测 2.艺术插花 3.农机维修 1.烹饪热菜 2.烹饪面点 3.烹饪冷拼 4.烹饪果蔬雕刻 服装设计与制作
序 组别 号
赛项名称 建筑设备安装与调控(给排 水) 计算机辅助设计(建筑CAD) 1.现代物流中心作业团体 2.现代物流叉车 3.现代物流单证 电子商务技术 计算机辅助设计(工业产品 CAD) 护理技能 1.车加工技术 2.焊接技术 3.数控车加工技术 4.数控铣加工技术 5.数控综合加工技术 6.机械装配技术 7.数控车床装调与维修技术 会计技能 测绘测量 电子产品设计与制作(基于 FPGA技术) 电子产品检测与维修(芯片 级) 汽车检测与维修 汽车营销 中餐主题宴会设计 风光互补发电系统安装与调 1.植物组织培养 2.园林景观设计 3.新城疫抗体测定 4.农机维修 农产品质量安全检测 烹饪 服装设计 报关技能 化工仪表自动化 1.化工生产技术 2.化工设备维修 工业分析检验 智能电梯装调与维护 英语口语 物联网技术应用
全国职业院校技能大赛信息安全管理与评估
全国职业院校技能大赛信息安全管理与评估信息安全管理与评估是当今社会中非常重要的一项技能。
全国职业院校技能大赛为了培养优秀的信息安全管理专业人才,将此项技能列为比赛项目之一。
以下是信息安全管理与评估的相关内容。
信息安全管理是一项系统性的工作,其主要目的是保护信息系统中的数据、软件和硬件安全。
信息安全管理在现代社会中起着至关重要的作用。
它不仅能保护个人隐私和商业机密,还能保证政府机构、科研机构和各种组织机构的信息安全。
信息安全评估是评估信息系统和网络安全问题的过程。
信息安全评估通常包括三个方面:风险评估、安全检查和安全整改。
风险评估是通过分析系统存在的威胁和漏洞的潜在影响来确定安全等级和控制措施。
安全检查是检查系统是否存在漏洞和安全隐患的方法。
安全整改是解决信息安全问题的过程。
了解信息安全管理与评估的基本概念是参加比赛的关键。
此外,选手们需要了解信息安全管理和评估的主要技术。
例如,安全管理系统、应急响应计划、网络防护、加密和虚拟专用网络。
还需要掌握一些基本的安全工具,如端口扫描器、漏洞扫描器、攻击模拟器和入侵检测系统。
在比赛中,选手需要运用自己的技能和知识来防范和应对各种网络攻击。
此外,还需要解决网络安全问题,并找到最佳解决方案。
选手们还需要能够在有限的时间内快速定位并修复安全漏洞。
在以上的基础上,选手们还需要具备团队合作精神和沟通能力,因为信息安全管理和评估是一个团队工作。
选手们需要相互配合、协作,才能完成整个系统的安全管理和评估工作。
总之,信息安全管理与评估是一项非常重要的技能,在日益发展的信息化社会中至关重要。
通过参加全国职业院校技能大赛,在实际操作中提升自己的技能和水平,将有助于选手们打下坚实的信息安全管理与评估基础,成为优秀的信息安全管理专业人才。
2012年全国职业院校技能大赛方案
附件1:2012年全国职业院校技能大赛方案一、大赛名称:2012年全国职业院校技能大赛二、比赛时间:2012年6月三、比赛地点:主赛场——天津分赛区——河北、山西、吉林、江苏、浙江、安徽、山东、河南、广东、贵州四、主办单位:教育部、天津市人民政府、工业和信息化部、财政部、人力资源和社会保障部、住房和城乡建设部、交通运输部、农业部、文化部、卫生部、国务院国有资产监督管理委员会、国家旅游局、国家中医药管理局、国务院扶贫办、中华全国总工会、共青团中央、中华职业教育社、中国职业技术教育学会、中华全国供销合作总社、中国机械工业联合会、中国有色金属工业协会、中国石油和化学工业联合会、中国物流与采购联合会等部门。
五、比赛分组:中职组、高职组六、比赛项目:共18个专业大类,96个分赛项。
其中,中职组16个大类,60个赛项;高职组18个大类,36个赛项。
七、大赛具体报名通知及各赛项规程由大赛执委会另发。
八、报名资格报名以省(自治区、直辖市、新疆生产建设兵团、计划单列市)为单位组队。
团体赛不得跨校组队。
计划单列市报名仅限中职项目。
本科院校高职学生可以报名参加高职组比赛。
中职参赛选手须为全日制正式学籍的在校生,年龄限制在25周岁以下。
五年制高职学生报名参赛的,一至三年级(含三年级)学生参加中职组比赛,四、五年级学生参加高职组比赛。
参加团体比赛的队伍和参加个人赛的选手均可指定指导教师,每名指导教师不限于指导一名参赛选手。
九、分赛区组委会名单(一)河北分赛区组委会主任:刘教民河北省教育厅厅长赵俊贵中国石油和化学工业联合会副会长、秘书长副主任:翟海魂河北省教育厅副厅长熊传勤中国化工教育协会会长委员:朱智国河北省教育厅高教处处长佟加安河北省石油和化学工业协会会长阮新中国石油和化学工业联合会人事部主任任耀生中国化工教育协会秘书长沈磊化学工业职业技能鉴定指导中心副主任柴锡庆河北化工医药职业技术学院院长(二)山西分赛区组委会主任:张猛财政部人事教育司副司长、全国财政职业教育教学指导委员会主任委员副主任:王庆阁财政部干部教育中心副主任、全国财政职业教育教学指导委员会副主任委员欧阳宗书财政部会计司副司长王李金山西省教育厅副厅长常国华山西省财政厅总会计师申长平山西财政税务专科学校校长、全国财政职业教育教学指导委员会副主任委员委员:张建刚财政部人事教育司干部教育处处长韩玉国财政部干部教育中心教研处处长李换珍山西省教育厅高教处处长司新山山西省财政厅人事教育处处长李高伟四川财经职业学院院长闫平陕西财经职业技术学院院长赵水根河南财政税务高等专科学校校长何桑江西财经职业学院党委书记赵丽生山西财政税务专科学校副校长姜韵宜北京财贸职业学院副院长程淮中江苏财经职业技术学院副院长(三)吉林分赛区组委会主任:王化文吉林省人民政府副省长副主任:李建华吉林省政府副秘书长卢连大吉林省教育厅厅长吴兰长春市委常委长春市人民政府副市长委员:刘勇兵吉林省教育厅副厅长高壮吉林省财政厅副厅长崔力夫吉林省人力资源和社会保障厅副厅长马军吉林省工业和信息化厅副厅长冷曦晨吉林省交通运输厅副巡视员潘力捷吉林省总工会党组副书记、副主席卢福建长春市人民政府副秘书长马军长春市教育局局长李长明长春市西新经济技术开发区管委会主任王树彬长春职业技术学院院长魏崴长春汽车工业高等专科学校校长(四)江苏分赛区组委会主任:曹卫星江苏省人民政府副省长副主任:沈健江苏省教育厅厅长委员:丁晓昌江苏省教育厅副厅长杨湘宁江苏省教育厅副厅长蔡恒江苏省农业委员会副主任许仲梓南京市人民政府副市长居丽琴常州市人民政府副市长杨展里南通市人民政府副市长董玉海扬州市人民政府副市长(五)浙江分赛区组委会主任:刘希平浙江省教育工委书记、教育厅厅长副主任:汪晓村浙江省教育工委副书记、教育厅副厅长委员:瞿建浙江省供销合作社副主任吴玉妹浙江机电集团股份有限公司党委副书记李曙明浙江经贸职业技术学院院长管平浙江机电职业技术学院院长(六)安徽赛区组委会主任:谢广祥安徽省人民政府副省长赵岸青中国煤炭工业协会副会长副主任:邱江中国煤炭教育协会理事长张宏干煤炭工业职业技能鉴定指导中心主任程艺安徽省委教育工委书记、省教育厅厅长桂来保安徽煤矿安全监察局党组书记、局长任予赞安徽省人力资源和社会保障厅副厅长张海阁安徽省经济和信息化委员会副主任、煤炭办主任徐安崑安徽省煤炭工业协会会长王明胜淮北矿业集团公司董事长、党委书记张国建淮北矿业集团公司副董事长、党委副书记、总经理王莉莉安徽省淮北市人民政府副市长李伟淮北矿业集团公司副总经理委员:储常连安徽省教育厅高教处处长燕贵忠安徽省教育厅职成处处长张大鸣安徽省人社厅职业能力建设处处长李桂林安徽省经济和信息化委员会煤炭办副主任赵焕忠安徽省煤矿安全监察局培训处处长岳君芝淮北市教育局局长徐福信淮北市人社局局长许起和淮北矿业集团公司劳动工资部部长陈建民北京工业职业技术学院院长任文杰平顶山工业职业技术学院院长葛侃安徽矿业职业技术学院党委书记、院长贾涛徐州机电工程高等职业技术学校校长秘书长:葛侃(兼)(七)山东分赛区组委会主任:孙伟山东省委常委、副省长副主任:齐涛山东省教育厅厅长姜在旸国家中医药管理局人教司司长魏洪涛国家旅游局人事司司长刘奇山东省卫生厅厅长于冲山东省旅游局局长委员:宋承祥山东省教育厅副厅长徐曙光山东省教育厅总督学武继彪山东省中医药管理局局长梁文生山东省旅游局巡视员张广波烟台市人民政府副市长王桂英潍坊市人民政府副市长周杰国家中医药管理局人教司综合协调处处长王晓霞国家旅游局人教处处长宋伯宁山东省教育厅高教处处长邢顺峰山东省教育厅职成教处处长王辉山东省卫生厅科教与国际合作处处长董树山山东省卫生厅中医药综合处处长孙蕾山东省旅游局监督管理处处长张国华潍坊市教育局局长金鲁明山东中医药高等专科学校党委书记狄保荣山东旅游职业学院党委书记于建平山东省潍坊商业学校校长(八)河南分赛区组委会主任:王艳玲河南省教育厅厅长执行主任:訾新建河南省教育厅副厅长副主任:张振强河南省南阳市副市长闫恒河南省国防科技工业局副局长苗前军中国全球定位系统应用协会常务副会长兼秘书长吴卫东国家测绘地理信息局职业技能鉴定中心副主任委员:梁卫鸣中国测绘学会科普处处长韩小爱河南省教育厅高教处处长禄丰年河南省测绘局副局长宋新龙河南省测绘院院长赵文亮教育部高职高专测绘类专业教学指导委员会主任李生平河南工业职业技术学院院长(九)广东分赛区组委会主任:罗伟其广东省教育厅厅长杨荣森广东省旅游局局长江凌广东省清远市市长副主任:魏中林广东省教育厅副厅长叶小山广东省教育厅副厅长余昌国国家旅游局人事司副司长王志红广东省旅游局副局长陈建华广东省清远市副市长成员:邵子铀广东省教育厅高中与中职教育处处长郑文广东省教育厅高等教育处处长韩玉灵全国旅游职业教育教学指导委员会秘书长徐国元佛山市顺德区政务委员、顺德区教育局局长林海龙广东省清远市教育局局长夏伟顺德职业技术学院院长冒超球广东省旅游职业技术学校校长谭志平清远市职业技术学校校长吴锋广东省顺德区胡锦超职业技术学校(十)贵州分赛区组委会主任: 霍健康贵州省教育厅党组书记、厅长张达伟贵州省供销社党组书记、主任副主任: 蔡志君贵州省教育厅副厅长委员:罗小平贵州省教育厅职成处处长冯霞贵州省供销社人事教育处处长杨吉泉贵州省茶技术茶文化学校校长方昌国贵州省贵定县政协主席十、赛项简介与组队要求“2012年全国职业院校技能大赛”赛项简介与组队要求910111213141516本文整理:/作者:教育部17。
职业院校技能大赛高职组信息安全管理与评估竞赛试题
职业院校技能大赛高职组信息安全管理与评估竞赛试题信息安全管理与评估竞赛试题第一部分:选择题1.下列哪项内容不属于信息安全管理中的基本要素?A.风险评估B.安全意识培养C.物理安全D.防病毒软件2.下列哪项操作不会增强信息系统的安全性?A.设置防火墙B.定期更新操作系统C.加强员工安全意识D.购买更多软件工具3.下列哪项操作不是常见的鉴别网络攻击的方法?A.黑名单阻止攻击B.系统安全日志记录C.文件权限管理D.源地址验证4.下列哪项不是数据库管理中的安全性问题?A.数据冗余B.授权管理C.加密算法选择D.数据备份与恢复5.关于虚拟化技术,下列说法正确的是?A.虚拟化技术无法提高系统的可靠性B.虚拟化技术可以提高系统的效率C.虚拟化技术只适用于小型网络环境D.虚拟化技术会使系统的安全性降低第二部分:填空题1.信息安全威胁的种类主要包括:_________、木马、病毒等。
2.常见的社会工程学攻击手段包括____________、伪装信件、钓鱼等。
3.信息安全管理中的“CIA”三个字母分别代表__________、保密性、完整性、可用性。
4.评估网络风险时,需要对风险的__________、风险等级、实施方案等进行评估。
5.防范内部威胁的方法包括加强_________、构建有效的监控机制等。
第三部分:问答题1.简述信息安全管理中的“风险评估”和“风险管理”概念,以及它们在信息安全管理体系中的作用。
2.简述虚拟化技术的概念、工作原理以及在信息系统安全领域中的应用。
3.现代信息系统中常常存在着大量的安全漏洞,为了防范这些安全漏洞,我们可以采取哪些常用的安全措施?第四部分:实操题1.编写一个简单的Python脚本,实现以下功能:从一个文本文件中读取若干行字符串,对这些字符串进行加密处理,然后将结果重新写回同一个文本文件中。
2.请设计一个基于Web的系统,该系统可以实现用户的注册、登录、注销等功能,并且可以根据用户权限不同,显示不同的信息和功能模块。
信息安全管理与评估赛项赛 高职
信息安全管理与评估赛项赛高职
信息安全管理与评估赛项是高职组比赛之一,旨在检验参赛选手在网络安全、安全架构、渗透测试、攻防实战等方面的技术技能,以及参赛队的组织和团队协作等综合职业素养。
通过比赛,可以培养学生的创新能力和实践动手能力,提升他们的职业能力和就业竞争力。
比赛通常包括以下几个环节:
1. 网络组建:参赛选手需要根据业务需求和实际工程应用环境,实现网络设备、安全设备、服务器的连接,通过调试实现设备互联互通。
2. 安全架构设计:选手需要设计并实现一个安全架构,以确保网络系统的安全。
这可能包括防火墙、入侵检测系统、加密技术等的使用。
3. 渗透测试:选手需要通过模拟黑客攻击的方式,测试网络系统的安全性。
他们需要找出网络系统中的漏洞并利用这些漏洞进行攻击。
4. 攻防实战:在这个环节中,选手需要应对真实的网络攻击,并采取相应的措施来防御和恢复。
这可能包括日志分析、入侵检测、应急响应等。
通过这些环节的比赛,可以全面检验选手的技术技能和职业素养。
同时,比赛还可以促进专业教学改革,提升人才培养质量,为国家信息安全行业培养选拔技术技能型人才。
“2012年全国职业院校技能大赛”拟设赛项说明
3.物流单证:个人赛。包括知识测试和技能操作两个部分。技能操作包含使用物流单证系统,根据业务案例要求进行相关物流单证的填制和处理等。
1.现代物流中心作业:每队限报3名选手(信息员、仓管员、操作员),不超过3名指导教师。
5.制冷与空调设备组装与调试,每队限报2名选手,不超过2名指导教师。
天津
4
ZJY03
交通运输
中职
汽车运用与维修:
1.二级维护和车轮定位
2.汽车维修基本技能
3.车身修复(钣金)
4.车身涂装(涂漆)
5.汽车空调维修
5
包含团体赛和人赛。其中二级维护作业和车轮定位作业为团体赛,其余为个人赛。比赛分为理论测试和实际操作两个部分,实操比赛内容包括:
服装设计与制作
2
包含两项个人赛。
1.女式春夏时尚连衣裙款式设计、立体造型;
2.女式春夏品牌服装CAD板型制作、放码与样衣试制。
每个赛项每队限报3名选手,不超过3名指导教师。
江苏
12
ZSH04
石化
中职
化工仪表自动化
1
包含团体赛和个人赛。按照《化工仪表维修工国家职业标准》高级工要求,分为知识测试和技能操作两个部分。技能操作个人赛包括变送器校验与组态、气动薄膜控制阀安装与电气阀门定位器校验;团体赛为过程控制系统运行调试。
4.数控铣加工技术
5.数控综合加工技术
6.机械装配技术
7.数控车床装调与维修技术
7
包含团体赛和个人赛。其中,数控综合加工技术和数控机床装调与维修技术为团体赛,其余为个人赛。
1.车加工技术:内容包括机械制图、工艺知识、多种材料加工、特殊刀具应用、车床夹具及附件使用等。
2012年全国职业院校技能大赛(高职组)
3、各代表队应自行负责为每位参赛选手购买人身意外保险。决赛报到时各代表队应出示购买的人身意外保险的原件,未能提供购买人身意外保险证明的,大赛全国组委会有权取消其决赛权。
九、未尽事宜以安全督导人员及裁判员提示为准。
四、各参赛队队长为本队的安全负责人,负责本参赛队比赛过程中的安全事宜。各参赛队进入比赛现场后应服从安全巡查人员及赛位裁判的安全指导。各参赛队选手比赛过程中应协调配合,确保比赛过程中不发生人员、设备的安全事故。
五、决赛赛场已提供安全帽,各参赛队应自带防护鞋和护目镜。选手进入工位前,应穿戴好工作服、安全帽(安全帽穿戴需符合相关规定,女选手长发不得外露)、防护鞋,进行机床、工业机器人操作的选手应佩戴护目镜。
附件1:
2018年中国技能大赛——第二届全国智能制造应用技术技能大赛
安全操作规范
2018年中国技能大赛——第二届全国智能制造应用技术技能大赛将于11月中旬在山东济南举行,鉴于本次大赛技术难度高、设备种类多等特殊情况,为保证大赛顺利进行,特制定本安全操作规范。
1、本次大赛由全国组委会技术工作委员会设安全保障组,下辖公用工程安全组、现场安全组、后勤保障安全组。公用工程安全组负责比赛现场的公用工程(如供电、供气)的安全;现场安全组负责决赛过程中的现场安全,包括比赛设备安全部署、参赛队安全操作规范培训、比赛现场安全巡查等;后勤保障安全组负责在决赛过程中的交通、食宿等安全事宜。
六、各参赛队选手在比赛期间应服从裁判执裁并听从安全督导人员的安全操作提示,在参赛过程中操作机床应严格按照机床操作规范进行操作,主轴运转时应确保关闭机床安全门,否则将以违反安全操作规范处理,扣除安全操作分,情节严重者直至取消比赛资格。选手在比赛过程中发生损毁刀具、在线检测测头或加工中加工零件飞出等重大安全事故,直接取消比赛资格。系统自动运行期间,严禁选手进入机器人作业范围内,否则直接取消比赛资格。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
全国职业院校技能大赛(高职组)信息安全管理与评估竞赛大纲信息安全管理与评估赛项专家组2012年5月目录一.竞赛说明 (1)二.竞赛大纲 (2)2.1信息安全基础知识 (2)2.2基本操作知识 (3)2.3网络知识 (3)2.4Windows服务器知识 (4)2.5Linux系统知识 (4)2.6Web系统知识 (5)2.7数据库知识 (5)2.8扫描探测知识 (6)2.9破解验证技术 (6)2.10溢出攻击知识 (6)2.11安全评估知识 (7)2.12安全加固知识 (7)三.工具类型 (8)四.竞赛环境 (9)一. 竞赛说明一、信息安全管理与评估赛项将采取在真实环境中动手安装、实际组建网络系统、上机操作的方式进行竞赛,竞赛内容分为三个方面的知识,分别为:“网络系统组建与管理”、“网络系统加固与评估”及“信息安全攻防对抗”。
二、竞赛大纲中对专业知识的要求分为掌握、熟悉、了解。
掌握即要求能解决实际工作问题;熟悉即要求对有关信息安全的知识有深刻理解,了解即要求具有信息安全有关的广泛知识。
三、只能以院校参赛队为单位参加本次信息安全管理与评估的相关赛事,每个院校参赛队由3名在籍选手组成,可配2名指导教师。
二. 竞赛大纲竞赛大纲分为四个部分:●应知应会的基础知识:●网络系统组建;●网络系统加固与评估:●信息安全攻防对抗:2.1 信息安全基础知识1、了解信息安全基本概念2、了解网络安全主要概念及意义3、了解安全隐患的产生原因、类型区别(被动攻击,主动攻击等)4、了解安全分类(技术缺陷,配置缺陷,策略缺陷,人为缺陷等)5、了解网络安全的实现目标和主要技术措施6、了解信息安全的主要表现形式(蠕虫或病毒扩散,垃圾邮件泛滥,黑客行为,信息系统脆弱性,有害信息的恶意传播)7、了解信息安全的基本属性(机密性,完整性,可用性,真实性,可控性);8、了解建立安全网络的基本策略(确知系统弱点,限制访问,达到持续的安全,物理安全,边界安全,防火墙,Web和文件服务器,存取控制,变更管理,加密,入侵检测系统);9、了解信息加密的基本概念;10、了解基础的密码学理论(对称与非对称算法,认证证书PKI密钥和证书,生命周期管理等);11、了解多因素验证系统(口令、智能卡的组合验证方法);12、掌握数字证书的基本原理(了解电子加密和解密概念,熟悉CA认证的可信度等);13、理解等级保护相关知识,会对网络系统进行审计、整改,并出具评估报告。
2.2 基本操作知识1、熟悉使用IE浏览器访问网站;2、熟悉Microsoft Office办公软件的使用;3、熟悉常用的输入法;4、熟悉windows XP、Windows和Linux等常见操作系统的使用;5、熟悉cmd、telnet、netstat、ping、net等常用命令的使用;6、熟悉ftp命令的使用;7、熟悉http、ftp 等服务及对应端口;8、熟悉常用服务端口,如21、22、23、25、53、80、8080、110、135、137、139、445、443、1433、3306、3389等;2.3 网络知识1、掌握VLAN、VTP、STP、MSTP操作;2、熟悉端口隔离、链路捆绑、端口镜像操作3、熟悉端口安全、AM基本操作;4、熟悉ACL、MAC-ACL、时间ACL等操作5、了解QoS、基于流的重定向基本操作;6、了解DHCP、DHCP Reply操作;7、熟悉路由器及静态路由、RIP、OSPF、BGP、BEIGRP等基本路由协议;8、了解VRRP、路由重分发、策略路由等概念;9、了解广域网NAT等概念及掌握NAT操作;10、了解IPSec VPN、L2TP VPN、PPTP VPN、SSL VPN基本原理并掌握操作;11、熟悉路由器与交换机基本操作,通过TFTP对配置文件进行上传下载、远程登录设置,WEB认证设置操作;12、掌握防火墙基本操作:a) NAT 配置、透明模式配置、混合模式配置;b) DHCP 配置、负载均衡配置、源路由配置、双机热备配置;c) IP-QoS 配置、应用QoS 配置、Web 认证配置、IP-MAC 绑定配置、禁用IM 配置;d) URL 过滤配置、网页内容过滤配置、IPSEC 配置、SSL VPN 配置;13、掌握DCFS基本操作a) 掌握通过行为识别技术,对会话进行探测和控制;b) 掌握通过带宽管理技术,对用户下行或上行速率进行严格管理及控制;c) 掌握通过会话技术,对全局会话进行区分控制;d) 掌握通过审计报表,生成DCFS审计信息并加以分析;14、掌握NETLOG基本操作a) 掌握通过URL分类及访问控制净化互联网访问行为;b) 掌握通过行为识别及审计管理对网络中的应用进行准确追踪;c) 掌握通过上网行为统计功能,基于网络行为生成丰富的统计报告;15、掌握WAF基本操作a) 掌握通过WAF保护服务器;b) 掌握通过WAF监控服务器状态;c) 掌握通过WAF加速服务器浏览速度;d) 掌握通过WAF统计服务器访问流量;2.4 Windows服务器知识1、了解Windows服务器的常用服务;2、了解服务与进程的对应关系;3、掌握Windows server 2003/2008的系统管理;4、掌握Windows server 2003/2008的AD管理;5、掌握Windows server 2003/2008下web、dns、ftp、ras、ca等常用服务配置与管理,6、掌握组策略的配置,通过组策略管理域中的计算机及用户工作环境7、通过系统工具为不同用户分派不同的权限;8、了解系统管理员、普通用户的区别;9、了解操作系统补丁的概念,并为系统打补丁,通过系统工具查看补丁安装情况;10、能够通过控制面板中的选项开启、关闭Windows 2003服务器中的服务;2.5 Linux系统知识1、了解Linux系统目录结构2、了解Linux系统的文件类型;3、熟悉Linux系统基本命令的使用,如cd、pwd、mkdir、top、ps、mount、su等;4、熟悉文本编辑器VI的使用;5、了解系统管理员、普通用户的区别;6、使用用户名和密码通过不同方式登录系统;7、使用命令增加、删除用户和更改密码;8、熟悉inetd、syslogd等服务;9、熟悉Linux文件权限的设置,会使用chmod、chown命令为用户分配权限;10、掌握Linux系统密码文件的存放位置;11、掌握Linux系统下的apache、bind、vsftp等常用服务配置与管理;2.6 Web系统知识1、了解IIS服务、Apache 、Tomcat基本概念;2、掌握IIS服务器、Apache、Tomcat配置及管理;3、掌握网页路径和服务器目录的关系;4、理解html、shtml、htm、shtm语言编写以及asp、php、jsp(语言的)编写;5、程序缺陷:未过滤漏洞利用、文本编辑上传漏洞(编辑器上传漏洞)、IIS6.0上传漏洞、防注入程序绕过、数据库下载;6、流行性跨站漏洞利用xss 等;7、流行性注入漏洞利用asp注入、php注入、jsp注入、html注入、cookie、(url)注入等。
8、掌握常用FTP配置原理,掌握基本的FTP漏洞利用。
9、掌握html、shtml、htm、shtm语言编写以及asp、php、jsp(语言的)编写;2.7 数据库知识1、了解数据库的基本概念和作用;2、了解数据库的常用端口,如1433 、3306;3、了解数据库和web应用服务之间的关系;4、了解默认数据库管理员SA;5、掌握如何查看和修改SA密码;6、熟悉基本SQL命令,如:select、insert、delete、create、drop;7、熟悉Microsoft Sqlserver 数据库SA账号弱口令攻击防范;8、了解MySql数据库配置主动防御方法;9、熟悉Sqlserver,Mysql数据库常见漏洞及漏洞利用方法;10、掌握针对数据库注入攻击方法;2.8 扫描探测知识1、了解信息安全探测基本概念及目标;2、熟悉Ping,traceroute探测方法;3、了解社会工程学信息探测;4、熟悉开放端口扫描方法及工具;5、掌握NMAP、X-Scan、Superscan等扫描工具的使用;2.9 破解验证技术1、掌握暴力破解方法及常用的口令破解工具等2、掌握密码数据字典配置、使用方法3、会使用字典生成工具生成字典,掌握superdic生成字典的方法;4、熟悉操作系统口令破解Windows/Linux/Unix工具,如smbcrack、L0pht;5、数据库口令破解SQL server/MySQL/Oracle/sybase/DB2/Informix,如mysql_pwd_crack;6、数据库配置缺失:用户名SA 密码SA。
7、熟悉应用程序口令破解;a) Tomcat/WebLogic/WebSpere/后台破解;b) WebLogic管理入口破解http://ip:7001/console ;c) WebSphere管理入口http://ip:9060/admin ;d) Tomcat管理入口http://ip/admin或者http://ip/manger/html;2.10 溢出攻击知识1、了解溢出攻击的历史、危害;2、熟悉溢出攻击的原理;3、熟悉常见的溢出攻击漏洞;4、掌握Linux漏洞利用(如CVE-2005-2959,CVE-2006-2451);5、掌握Windows溢出漏洞(如MS06-040,MS08-067等);6、掌握常用的Metasploit 溢出工具的使用;7、掌握常用的Serv-U溢出利用。
2.11 安全评估知识1、了解我国安全等级保护标准,并理解按照等级保护标准对网络系统进行定级及评估2、对windows系统进行评估,按照高中低三档罗列出风险等级;3、对Linux(Red Hat)进行安全评估,按照高中低三档罗列出风险等级:4、对主流服务进行安全评估,找出风险漏洞,采用渗透测试的方式来进行测试;5、对数据库进行安全评估,对常用的Sql Server 、Mysql等流行数据库进行风险评估;6、对基础网络设备(路由、交换)和安全网络设备(FW、Netlog、Waf等)进行风险评估;7、要求掌握针对操作系统、服务器、应用系统、数据库的常用安全评估检查项和安全评估方法。
8、掌握整改方案的撰写并出具评估报告。
2.12 安全加固知识1、熟悉主流操作系统及数据库主要安全选项;2、掌握补丁及防护软件安装方法;3、掌握Windows系统账号添加、删除命令;4、掌握Linux系统账户添加、删除命令;5、掌握Windwos口令修改方法;6、掌握Linux口令修改方法;7、掌握Windows账号及口令策略加固;8、掌握Linux账号及口令策略加固;9、熟悉网络服务安全配置;10、掌握文件系统权限设置;11、掌握日志审核策略;三. 工具类型熟练掌握下列安全工具:1、 WEB攻防类工具:IIS Lockdown tool 、CASI、HDSI、明小子PHP、SQL map、啊D、pangolion、Cain2、端口扫描类工具:superscan3.0 、superscan4.0 、Nmap3、入侵利用工具:一句话后门、Aspxspy 、php(webshell), asp(webshell)菜刀控制端,Lake2(一句话客户端)4、口令破解类:L0pht、SMBcrack、Cain、John the Ripper、X-scan5、远程访问类:mstsc.exe putty.exe6、系统评估类:Nessus、MSAT(微软安全风险工具,包含MBSA)7、溢出类:Metasploit Serv-U 溢出工具8、抓包分析工具:Wireshark9、信息收集类:IIS put scanner工具自备,比赛前一天提供到大赛组委会;禁止使用DoS、DDoS、ARP欺骗、病毒类等恶意攻击类软件,一经发现,立即取消比赛资格。