全国职业院校技能大赛高职组“信息安全管理与评估”赛项任务书

全国职业院校技能大赛（高职组）信息安全管理与评估竞赛大纲信息安全管理与评估赛项专家组2012年5月目录一.竞赛说明 (1)二.竞赛大纲 (2)2.1信息安全基础知识 (2)2.2基本操作知识 (3)2.3网络知识 (3)2.4Windows服务器知识 (4)2.5Linux系统知识 (4)2.6Web系统知识 (5)2.7数据库知识 (5)2.8扫描探测知识 (6)2.9破解验证技术 (6)2.10溢出攻击知识 (6)2.11安全评估知识 (7)2.12安全加固知识 (7)三.工具类型 (8)四.竞赛环境 (9)一. 竞赛说明一、信息安全管理与评估赛项将采取在真实环境中动手安装、实际组建网络系统、上机操作的方式进行竞赛，竞赛内容分为三个方面的知识，分别为：“网络系统组建与管理”、“网络系统加固与评估”及“信息安全攻防对抗”。

二、竞赛大纲中对专业知识的要求分为掌握、熟悉、了解。

掌握即要求能解决实际工作问题；熟悉即要求对有关信息安全的知识有深刻理解，了解即要求具有信息安全有关的广泛知识。

三、只能以院校参赛队为单位参加本次信息安全管理与评估的相关赛事，每个院校参赛队由3名在籍选手组成，可配2名指导教师。

二. 竞赛大纲竞赛大纲分为四个部分：●应知应会的基础知识：●网络系统组建；●网络系统加固与评估：●信息安全攻防对抗：2.1 信息安全基础知识1、了解信息安全基本概念2、了解网络安全主要概念及意义3、了解安全隐患的产生原因、类型区别（被动攻击，主动攻击等）4、了解安全分类（技术缺陷，配置缺陷，策略缺陷，人为缺陷等）5、了解网络安全的实现目标和主要技术措施6、了解信息安全的主要表现形式（蠕虫或病毒扩散，垃圾邮件泛滥，黑客行为，信息系统脆弱性，有害信息的恶意传播）7、了解信息安全的基本属性（机密性，完整性，可用性，真实性，可控性）；8、了解建立安全网络的基本策略（确知系统弱点，限制访问，达到持续的安全，物理安全，边界安全，防火墙，Web和文件服务器，存取控制，变更管理，加密，入侵检测系统）；9、了解信息加密的基本概念；10、了解基础的密码学理论（对称与非对称算法，认证证书PKI密钥和证书，生命周期管理等）；11、了解多因素验证系统（口令、智能卡的组合验证方法）；12、掌握数字证书的基本原理（了解电子加密和解密概念，熟悉CA认证的可信度等）；13、理解等级保护相关知识，会对网络系统进行审计、整改，并出具评估报告。

2019年山东省职业院校技能大赛
高职组“信息安全管理与评估”赛项规程
一、赛项名称
赛项名称：信息安全管理与评估
赛项组别：高职组
二、竞赛目的
通过赛项检验参赛选手网络组建、安全架构和网络安全运维管控等方面的技术技能，检验参赛队组织和团队协作等综合职业素养，培养学生创新能力和实践动手能力，提升学生职业能力和就业竞争力。

通过大赛引领专业教学改革，丰富完善学习领域课程建设，使人才培养更贴近岗位实际，实现以赛促教、以赛促学、以赛促改的产教结合格局，提升专业培养服务社会和行业发展的能力，为国家信息安全行业培养选拔技术技能型人才。

三、竞赛内容
重点考核参赛选手安全网络组建、网络系统安全策略部署、信息保护、网络安全运维管理的综合实践能力，具体包括：
1.参赛选手能够根据大赛提供的赛项要求，设计信息安全防护方案，并且能够提供详细的信息安全防护设备拓扑图。

2.参赛选手能够根据业务需求和实际的工程应用环境，实现网络设备、安全设备、服务器的连接，通过调试，实现设备互联互通。

3.参赛选手能够在赛项提供的网络设备及服务器上配置各种协议和服务，实现网络系统的运行，并根据网络业务需求配置各种安全策略，以满足应用需求。

4.参赛选手能够根据网络实际运行中面临的安全威胁，指定安全策略并部署实施，防范并解决网络恶意入侵和攻击行为。

5.参赛选手能够按照要求准确撰写工作总结。

以参赛队为单位进行分组对抗，在防护本参赛队服务器的同时，渗透其他参赛队的服务器，服务器被渗透的参赛队立即下线，该参赛队比赛结束，选手出场。

比赛结果通过大屏幕等形式在休息区实时展示。

各竞赛阶段重点内容如下：。

全国职业院校技能大赛信息安全管理与评估信息安全管理与评估是当今社会中非常重要的一项技能。

全国职业院校技能大赛为了培养优秀的信息安全管理专业人才，将此项技能列为比赛项目之一。

以下是信息安全管理与评估的相关内容。

信息安全管理是一项系统性的工作，其主要目的是保护信息系统中的数据、软件和硬件安全。

信息安全管理在现代社会中起着至关重要的作用。

它不仅能保护个人隐私和商业机密，还能保证政府机构、科研机构和各种组织机构的信息安全。

信息安全评估是评估信息系统和网络安全问题的过程。

信息安全评估通常包括三个方面：风险评估、安全检查和安全整改。

风险评估是通过分析系统存在的威胁和漏洞的潜在影响来确定安全等级和控制措施。

安全检查是检查系统是否存在漏洞和安全隐患的方法。

安全整改是解决信息安全问题的过程。

了解信息安全管理与评估的基本概念是参加比赛的关键。

此外，选手们需要了解信息安全管理和评估的主要技术。

例如，安全管理系统、应急响应计划、网络防护、加密和虚拟专用网络。

还需要掌握一些基本的安全工具，如端口扫描器、漏洞扫描器、攻击模拟器和入侵检测系统。

在比赛中，选手需要运用自己的技能和知识来防范和应对各种网络攻击。

此外，还需要解决网络安全问题，并找到最佳解决方案。

选手们还需要能够在有限的时间内快速定位并修复安全漏洞。

在以上的基础上，选手们还需要具备团队合作精神和沟通能力，因为信息安全管理和评估是一个团队工作。

选手们需要相互配合、协作，才能完成整个系统的安全管理和评估工作。

总之，信息安全管理与评估是一项非常重要的技能，在日益发展的信息化社会中至关重要。

通过参加全国职业院校技能大赛，在实际操作中提升自己的技能和水平，将有助于选手们打下坚实的信息安全管理与评估基础，成为优秀的信息安全管理专业人才。

2021年XX省职业院校技能大赛高职组“信息平安管理与评估〞赛项任务书样题一、赛项时间9:00-12:00，共计3小时，含赛题发放、收卷及午餐时间。

二、赛项信息三、赛项内容本次大赛，各位选手需要完成三个阶段的任务，其中第一个阶段需要提交任务“操作文档〞，“操作文档〞需要存放在裁判组专门提供的U盘中。

第二、三阶段请根据现场具体题目要求操作。

选手首先需要在U盘的根目录下建立一个名为“工位〞的文件夹〔用具体的工位号替代〕，赛题第一阶段完成任务操作的文档放置在文件夹中。

例如：08工位，那么需要在U盘根目录下建立“08工位〞文件夹，并在“08工位〞文件夹下直接放置第一个阶段的操作文档文件。

特别说明：只允许在根目录下的“08工位〞文件夹中表达一次工位信息，不允许在其他文件夹名称或文件名称中再次表达工位信息，否那么按作弊处理。

(一)赛项环境设置1.赛项环境设置包含了三个竞赛阶段的根底信息：网络拓扑图、I2.aysql集成环境任务内容：从hacerysql效劳任务内容：1.访问DCST中的MYSQLserver，在/var/log目录下创立文件，并修改mysql效劳配置文件，使其能够记录所有的访问记录，对操作步骤进行截图。

2.进入mysql数据库，找到可以从任何Iysql管理员的名称，将默认管理员root改为admin，并将操作过程进行截图。

3.禁止mysql对本地文件进行存取，对mysql的配置文件进行修改，将修改局部进行截图。

任务3：文件包含漏洞攻防〔2021〕任务环境说明：DCST：攻击机场景：fiysql集成环境〔ysql集成环境任务内容：1.用fipc访问DCST中的fiserver，验证其存在本地文件包含漏洞，使页面包含C盘里面的文件，并对页面回显内容截图。

2.查看页面代码，找到存在文件包含漏洞的代码，标记并截图。

3.在fipc上然后利用远程文件包含漏洞，向windows效劳器上写入文件名为的一句话木马，将fipc上创立的文件内容及结果进行截图。

2017年全国职业院校技能大赛高职组“信息安全管理与评估”赛项任务书一、赛项时间9:00-15:00，共计6小时，含赛题发放、收卷及午餐时间。

二、赛项信息三、赛项内容本次大赛，各位选手需要完成三个阶段的任务，其中第一个阶段需要提交任务“操作文档”，“操作文档”需要存放在裁判组专门提供的U盘中。

第二、三阶段请根据现场具体题目要求操作。

选手首先需要在U盘的根目录下建立一个名为“xx工位”的文件夹（xx用具体的工位号替代），赛题第一阶段完成任务操作的文档放置在文件夹中。

例如：08工位，则需要在U盘根目录下建立“08工位”文件夹，并在“08工位”文件夹下直接放置第一个阶段的操作文档文件。

特别说明：只允许在根目录下的“08工位”文件夹中体现一次工位信息，不允许在其他文件夹名称或文件名称中再次体现工位信息，否则按作弊处理。

(一)赛项环境设置赛项环境设置包含了三个竞赛阶段的基础信息：网络拓扑图、IP地址规划表、设备初始化信息。

1.网络拓扑图PC环境说明：PC-1（须使用物理机中的虚拟机）：物理机操作系统：Windows7 64位旗舰版VMware Workstation 12 Pro虚拟机操作系统：WindowsXP虚拟机安装服务/工具1：Microsoft Internet Explorer 6.0虚拟机安装服务/工具2：Ethereal0.10.10.0虚拟机安装服务/工具3：HttpWatch Professional Edition虚拟机网卡与物理机网卡之间的关系：Bridge（桥接）PC-2（须使用物理机中的虚拟机）：物理机操作系统：Windows7 64位旗舰版VMware Workstation 12 Pro虚拟机操作系统：WindowsXP虚拟机安装服务/工具1：Microsoft Internet Explorer 6.0虚拟机安装服务/工具2：Ethereal0.10.10.0虚拟机安装服务/工具3：HttpWatch Professional Edition虚拟机网卡与物理机网卡之间的关系：Bridge（桥接）PC-3（须使用物理机中的虚拟机）：物理机操作系统：Windows7 64位旗舰版VMware Workstation 12 Pro虚拟机操作系统：Kali Linux（Debian7 64Bit）虚拟机安装服务/工具：Metasploit Framework虚拟机网卡与物理机网卡之间的关系：Bridge（桥接）2.IP地址规划表3.设备初始化信息(二)第一阶段任务书（300分）任务1：网络平台搭建（60分）任务2：网络安全设备配置与防护（240分）DCFW:1.在总公司的DCFW上配置，连接LAN接口开启PING,HTTP,HTTPS功能，连接Internet接口开启PING、HTTPS功能；并且新增一个用户，用户名dcn2017，密码dcn2017，该用户只有读-执行权限；2.DCFW配置NTP 和 LOG， Server IP为X.X.X.X，NTP认证密码为Dcn2017；3.DCFW连接LAN的接口配置二层防护，ARP Flood超过500个每秒时丢弃超出的ARP包，ARP扫描攻击超过300个每秒时弃超出的ARP包；配置静态ARP绑定，MAC地址880B.0A0B.0C0D与IP地址X.X.X.X绑定；4.DCFW连接Internet的区域上配置以下攻击防护：FW1，FW2攻击防护启以下Flood防护：ICMP洪水攻击防护，警戒值2000，动作丢弃；UDP供水攻击防护，警戒值1500，动作丢弃；SYN洪水攻击防护，警戒值5000，动作丢弃；开启以下DOS防护：Ping of Death攻击防护；Teardrop攻击防护；IP选项，动作丢弃；ICMP大包攻击防护，警戒值2048，动作丢弃；5.限制LAN到Internet流媒体RTSP应用会话数，在周一至周五8:00-17:00每5秒钟会话建立不可超过20；6.DCFW上配置NAT功能，使PC2能够通过WEB方式正常管理到WAF，端口号使用10666;）7.总公司DCFW配置SSLVPN，建立用户dcn01，密码dcn01，要求连接Internet PC2可以拨入，配置下载客户端端口为9999，数据连接端口为9998，SSLVPN地址池参见地址表；8.DCFW加强访问Internet安全性，禁止从HTTP打开和下载可执行文件和批处理文件；9.DCFW配置禁止所有人在周一至周五工作时间9：00-18：00访问京东和淘宝;相同时间段禁止访问中含有“娱乐”、“新闻”的WEB页面；10.DCFW上配置ZONE和放行策略，连接Internet接口为“Untrust”区域，连接DCRS接口为“Trust”区域，连接SSL VPN接口为“VPN HUB”区域，要求配置相应的最严格安全策略；）DCBI:11.在公司总部的DCBI上配置，设备部署方式为旁路模式，并配置监控接口与管理接口;增加非admin账户DCN2017，密码dcn2017，该账户仅用于用户查询设备的系统状态和统计报表;12.在公司总部的DCBI上配置，监控周一至周五9：00-18：00 PC-1所在网段用户访问的URL中包含xunlei的HTTP访问记录，并且邮件发送告警;13.在公司总部的DCBI上配置，监控PC-1所在网段用户周一至周五9：00-18：00的即时聊天记录;14.公司总部LAN中用户访问网页中带有“MP3”、“MKV”、“RMVB”需要被DCBI记录；邮件内容中带有“银行账号”记录并发送邮件告警；15.DCBI监控LAN中用户访问网络游戏，包括“QQ游戏”、“魔兽世界”并作记录；16.DCBI配置应用及应用组“快播视频”，UDP协议端口号范围23456-23654，在周一至周五9：00-18：00监控LAN中所有用户的“快播视频”访问记录；17.DCBI上开启邮件告警，邮件服务器地址为X.X.X.X，端口号25,告警所用邮箱用户名dcnadmin,密码Dcn2017;当DCBI磁盘使用率超过75%时发送一次报警；WAF:18.在公司总部的WAF上配置，编辑防护策略，定义HTTP请求体的最大长度为512，防止缓冲区溢出攻击；19.在公司总部的WAF上配置，防止某源IP地址在短时间内发送大量的恶意请求，影响公司网站正常服务。

2019年山东省职业院校技能大赛高职组“信息安全管理与评估”赛项任务书第二阶段题库任务1：Web渗透测试任务环境说明：DCST:攻击机场景：hackerpc攻击机场景操作系统：WindowsXP攻击机场景安装服务/工具1：sqlmap攻击机场景安装服务/工具2：burpsuite攻击机场景安装服务/工具3：firefox浏览器及hackbar插件攻击机场景安装服务/工具4：中国菜刀服务器场景：WEB2017服务器场景操作系统：Microsoft Windows Server 2003服务器场景安装服务：apache2.4+php5.4+mysql集成环境任务内容：1.从hackerpc访问DCST中的WEB2017服务器的web页面（访问靶机，在登录界面连按五次shift可获取靶机IP），找到注入点并进行sql注入攻击，获取藏在数据库中的flag，并对结果进行截图。

2.尝试找到网站的后台并进行登录，获取放在后台页面中的flag值，并对结果进行截图。

3.寻找后台存在漏洞的上传点，编写一句话木马并绕过上传，利用一句话木马查看上传目录下的flag文件，并对结果进行截图。

4.利用一句话木马进入服务器后，尝试找到藏在管理员用户开机自启文件夹中的flag文件，并对结果进行截图。

5.该服务器上存在一隐藏用户，尝试从注册表中找到这个隐藏用户，flag值为此用户的用户名，flag格式为flag{隐藏用户的用户名},并对结果进行截图。

任务2：Mysql数据库攻防与加固任务环境说明：DCST：服务器场景：MYSQLserver服务器场景操作系统：Centos 6.5服务器场景安装服务：mysql服务任务内容：1.访问DCST中的MYSQLserver，在/var/log目录下创建access.log文件，并修改mysql服务配置文件，使其能够记录所有的访问记录，对操作步骤进行截图。

2.进入mysql数据库，找到可以从任何IP地址进行访问的用户，对操作过程进行截图。

信息安全管理与评估赛项赛高职
信息安全管理与评估赛项是高职组比赛之一，旨在检验参赛选手在网络安全、安全架构、渗透测试、攻防实战等方面的技术技能，以及参赛队的组织和团队协作等综合职业素养。

通过比赛，可以培养学生的创新能力和实践动手能力，提升他们的职业能力和就业竞争力。

比赛通常包括以下几个环节：
1. 网络组建：参赛选手需要根据业务需求和实际工程应用环境，实现网络设备、安全设备、服务器的连接，通过调试实现设备互联互通。

2. 安全架构设计：选手需要设计并实现一个安全架构，以确保网络系统的安全。

这可能包括防火墙、入侵检测系统、加密技术等的使用。

3. 渗透测试：选手需要通过模拟黑客攻击的方式，测试网络系统的安全性。

他们需要找出网络系统中的漏洞并利用这些漏洞进行攻击。

4. 攻防实战：在这个环节中，选手需要应对真实的网络攻击，并采取相应的措施来防御和恢复。

这可能包括日志分析、入侵检测、应急响应等。

通过这些环节的比赛，可以全面检验选手的技术技能和职业素养。

同时，比赛还可以促进专业教学改革，提升人才培养质量，为国家信息安全行业培养选拔技术技能型人才。

全国职业院校技能大赛高等职业教育组信息安全管理与评估任务书模块二网络安全事件响应、数字取证调查、应用程序安全一、比赛时间及注意事项本阶段比赛时长为180分钟，时间为13:30-16:30。

【注意事项】(1)比赛结束，不得关机；(2)选手首先需要在U盘的根目录下建立一个名为“AGWxx”的文件夹(XX用具体的工位号替代)，请将赛题第二阶段所完成的“信息安全管理与评估竞赛答题卡-模块二”答题文档，放置在“AGWxx”文件夹中。

例如：08工位，则需要在U盘根目录下建立“AGW08”文件夹，请将第二阶段所完成的“信息安全管理与评估竞赛答题卡-模块二''答题文档，放置在“AGW08”文件夹中。

(3)请不要修改实体机的配置和虚拟机本身的硬件参数。

二、所需软硬件设备和材料所有测试项目都可由参赛选手根据基础设施列表中指定的设备和软件完成。

三、评分方案本阶段总分数为300分。

四、项目和任务描述随着网络和信息化水平的不断发展，网络安全事件也层出不穷，网络恶意代码传播、信息窃取、信息篡改、远程控制等各种网络攻击行为已严重威胁到信息系统的机密性、完整性和可用性。

因此，对抗网络攻击，组织安全事件应急响应，采集电子证据等技术工作是网络安全防护的重要部分。

现在，A集团已遭受来自不明组织的非法恶意攻击，您的团队需要帮助A集团追踪此网络攻击来源，分析恶意攻击攻击行为的证据线索，找出操作系统和应用程序中的漏洞或者恶意代码,帮助其巩固网络安全防线。

本模块主要分为以下三个部分:•网络安全事件响应•数字取证调查•应用程序安全五、工作任务第一部分网络安全事件响应任务hCentoS服务器应急响应(70分)A集团的应用服务器被黑客入侵，该服务器的Web应用系统被上传恶意软件,系统文件被恶意软件破坏，您的团队需要帮助该公司追踪此网络攻击的来源，在服务器上进行全面的检查，包括日志信息、进程信息、系统文件、恶意文件等,从而分析黑客的攻击行为，发现系统中的漏洞，并对发现的漏洞进行修复。

2018年全国技能大赛高职组信息安全管理与评估
2018年全国技能大赛高职组信息安全管理与评估项目旨在培
养和选拔掌握信息安全管理与评估技能的高等职业院校学生。

该项目要求参赛选手掌握信息安全管理的基本理论知识，具备对信息系统进行风险评估和安全策略制定的能力。

参赛选手需要具备以下技能：
1. 信息安全管理理论知识：了解信息安全管理的基本原理、方法和流程，掌握安全管理体系的建立和运行。

2. 风险评估和安全策略制定：能够进行信息系统的风险评估，包括识别系统中的安全漏洞和威胁，分析风险的可能性和影响，并制定相应的安全策略。

3. 安全事件管理：具备处理安全事件的能力，包括安全事件的监测、报告和响应，能够追踪和恢复受到攻击或侵犯的信息系统。

4. 安全政策和规程制定：能够编制和实施信息安全政策和规程，确保信息系统的安全性和合规性。

5. 安全技术应用：了解常见的信息安全技术，熟悉安全审计、加密和防火墙等安全防护措施的使用和配置。

参赛选手将在比赛中完成一系列与信息安全管理与评估相关的任务，如编写安全管理手册、进行风险评估、制定安全策略和实施安全技术防护等。

评委将根据选手的实际操作能力、解决问题的能力、沟通表达能力和团队合作能力等方面进行综合评判。

通过参加全国技能大赛高职组信息安全管理与评估项目的比赛，
学生将有机会提升自己的信息安全管理能力，并展示自己的专业技能。

2023年全国职业院校技能大赛信息安全管理与评估2023年全国职业院校技能大赛信息安全管理与评估随着信息技术的不断发展和应用，信息安全已成为各行各业都面临的重要挑战。

在这样的背景下，2023年全国职业院校技能大赛中的信息安全管理与评估比赛备受关注。

信息安全管理与评估是一项重要的技能，对于保护个人、组织和国家的信息资产至关重要。

我们来看看信息安全管理与评估的基本概念和原则。

信息安全管理是指通过一系列的措施和方针来保护信息系统中的机密性、完整性和可用性。

评估则是对信息系统或网络进行检测和分析，以发现潜在的安全威胁并采取相应的措施加以规避或解决。

这两者是紧密相关的，信息安全管理与评估的综合能力对于确保信息系统的安全至关重要。

我们需要了解信息安全管理与评估的具体内容和技能要求。

这项技能需要掌握网络安全、数据保护、风险管理、安全政策与流程、脆弱性评估等方面的知识和技能。

参赛选手需要熟练掌握信息安全的基本概念、各种安全技术和工具的应用，以及安全管理和评估的流程和方法。

还需要具备解决实际安全问题的能力和实践经验。

在这样的比赛中，参赛选手将会面临来自各方面的挑战。

他们需要在有限的时间内完成一系列的信息安全管理与评估任务，如风险评估和漏洞检测、安全事件响应和处理、安全策略和制度的建立等。

这要求他们有较强的快速学习和问题解决能力，同时要具备团队合作和沟通协调的能力。

另外，我们也需要了解比赛的评分标准和要求。

在信息安全管理与评估的比赛中，评委会将会根据参赛选手的任务完成情况、解决问题的方法和效果、安全意识和操作规范等方面进行评分。

参赛选手需要做到全面、深入和严谨，做到对问题的全面评估和解决，同时要符合安全管理与评估的相关要求和标准。

总结来说，信息安全管理与评估是一项非常重要的技能，对于保障信息系统和网络的安全至关重要。

在2023年全国职业院校技能大赛中，这项比赛将会对参赛选手提出严格的要求，要求他们具备全面的信息安全管理与评估技能，同时也需要具备较高的综合能力和应变能力。