2020年江西省职业院校技能大赛高职组“信息安全管理与评估”赛项任务书样题

全国职业院校技能大赛信息安全管理与评估信息安全管理与评估是当今社会中非常重要的一项技能。

全国职业院校技能大赛为了培养优秀的信息安全管理专业人才，将此项技能列为比赛项目之一。

以下是信息安全管理与评估的相关内容。

信息安全管理是一项系统性的工作，其主要目的是保护信息系统中的数据、软件和硬件安全。

信息安全管理在现代社会中起着至关重要的作用。

它不仅能保护个人隐私和商业机密，还能保证政府机构、科研机构和各种组织机构的信息安全。

信息安全评估是评估信息系统和网络安全问题的过程。

信息安全评估通常包括三个方面：风险评估、安全检查和安全整改。

风险评估是通过分析系统存在的威胁和漏洞的潜在影响来确定安全等级和控制措施。

安全检查是检查系统是否存在漏洞和安全隐患的方法。

安全整改是解决信息安全问题的过程。

了解信息安全管理与评估的基本概念是参加比赛的关键。

此外，选手们需要了解信息安全管理和评估的主要技术。

例如，安全管理系统、应急响应计划、网络防护、加密和虚拟专用网络。

还需要掌握一些基本的安全工具，如端口扫描器、漏洞扫描器、攻击模拟器和入侵检测系统。

在比赛中，选手需要运用自己的技能和知识来防范和应对各种网络攻击。

此外，还需要解决网络安全问题，并找到最佳解决方案。

选手们还需要能够在有限的时间内快速定位并修复安全漏洞。

在以上的基础上，选手们还需要具备团队合作精神和沟通能力，因为信息安全管理和评估是一个团队工作。

选手们需要相互配合、协作，才能完成整个系统的安全管理和评估工作。

总之，信息安全管理与评估是一项非常重要的技能，在日益发展的信息化社会中至关重要。

通过参加全国职业院校技能大赛，在实际操作中提升自己的技能和水平，将有助于选手们打下坚实的信息安全管理与评估基础，成为优秀的信息安全管理专业人才。

职业院校技能大赛高职组信息安全管理与评估竞赛试题信息安全管理与评估竞赛试题第一部分：选择题1.下列哪项内容不属于信息安全管理中的基本要素？A.风险评估B.安全意识培养C.物理安全D.防病毒软件2.下列哪项操作不会增强信息系统的安全性？A.设置防火墙B.定期更新操作系统C.加强员工安全意识D.购买更多软件工具3.下列哪项操作不是常见的鉴别网络攻击的方法？A.黑名单阻止攻击B.系统安全日志记录C.文件权限管理D.源地址验证4.下列哪项不是数据库管理中的安全性问题？A.数据冗余B.授权管理C.加密算法选择D.数据备份与恢复5.关于虚拟化技术，下列说法正确的是？A.虚拟化技术无法提高系统的可靠性B.虚拟化技术可以提高系统的效率C.虚拟化技术只适用于小型网络环境D.虚拟化技术会使系统的安全性降低第二部分：填空题1.信息安全威胁的种类主要包括：_________、木马、病毒等。

2.常见的社会工程学攻击手段包括____________、伪装信件、钓鱼等。

3.信息安全管理中的“CIA”三个字母分别代表__________、保密性、完整性、可用性。

4.评估网络风险时，需要对风险的__________、风险等级、实施方案等进行评估。

5.防范内部威胁的方法包括加强_________、构建有效的监控机制等。

第三部分：问答题1.简述信息安全管理中的“风险评估”和“风险管理”概念，以及它们在信息安全管理体系中的作用。

2.简述虚拟化技术的概念、工作原理以及在信息系统安全领域中的应用。

3.现代信息系统中常常存在着大量的安全漏洞，为了防范这些安全漏洞，我们可以采取哪些常用的安全措施？第四部分：实操题1.编写一个简单的Python脚本，实现以下功能：从一个文本文件中读取若干行字符串，对这些字符串进行加密处理，然后将结果重新写回同一个文本文件中。

2.请设计一个基于Web的系统，该系统可以实现用户的注册、登录、注销等功能，并且可以根据用户权限不同，显示不同的信息和功能模块。

信息安全管理与评估赛项赛高职
信息安全管理与评估赛项是高职组比赛之一，旨在检验参赛选手在网络安全、安全架构、渗透测试、攻防实战等方面的技术技能，以及参赛队的组织和团队协作等综合职业素养。

通过比赛，可以培养学生的创新能力和实践动手能力，提升他们的职业能力和就业竞争力。

比赛通常包括以下几个环节：
1. 网络组建：参赛选手需要根据业务需求和实际工程应用环境，实现网络设备、安全设备、服务器的连接，通过调试实现设备互联互通。

2. 安全架构设计：选手需要设计并实现一个安全架构，以确保网络系统的安全。

这可能包括防火墙、入侵检测系统、加密技术等的使用。

3. 渗透测试：选手需要通过模拟黑客攻击的方式，测试网络系统的安全性。

他们需要找出网络系统中的漏洞并利用这些漏洞进行攻击。

4. 攻防实战：在这个环节中，选手需要应对真实的网络攻击，并采取相应的措施来防御和恢复。

这可能包括日志分析、入侵检测、应急响应等。

通过这些环节的比赛，可以全面检验选手的技术技能和职业素养。

同时，比赛还可以促进专业教学改革，提升人才培养质量，为国家信息安全行业培养选拔技术技能型人才。

“信息安全管理与评估”项目竞赛样题题目： XX公司网络系统安全评估及安全整改内容目录一、竞赛任务 (2)二、竞赛时间 (2)三、任务要求与技术参数 (3)第一阶段：网络搭建、风险评估与网络改造 (3)任务一：网络搭建 (3)任务二：系统安全管理 (6)任务三：系统安全评估与整改 (9)第二阶段：网络渗透与防护 (10)任务四：网络渗透与防护 (10)任务五：撰写《信息安全管理与评估竞赛工作报告》 (11)四、技术文件等电子文档提交要求 (11)五、评分标准..................................... 错误!未定义书签。

六、附件 (13)附件一：《网络审计报告》模板 (14)附件二《系统风险评估报告》模板 (18)附件三《系统整改方案》模板 (22)2012年全国职业院校技能大赛高职组“信息安全管理与评估”项目竞赛样题题目： XX公司网络系统安全评估及安全整改一、竞赛任务根据应用需求对XX公司进行基础网络的搭建和网络的安全管理，并能对网络系统进行安全评估和安全改造；完成网络系统的渗透测试和系统加固，并撰写网络安全工作报告。

具体任务内容如下：1.根据网络功能需求，完成XX公司基础网络的搭建与配置2.完成XX公司WINDOWS服务器和相关应用服务的配置3.完成XX公司LINUX服务器和相关应用服务的配置4.完成XX公司网络的安全加固5.按照等级保护标准对XX公司网络安全进行定级6.按照等级保护标准对XX公司网络进行审计和风险评估，并完成审计和评估报告7.按照等级保护标准要求对XX公司网络进行整改，并完成整改方案8.完成对服务器的渗透测试和系统加固9.撰写《信息安全管理与评估竞赛工作报告》（简称《竞赛工作报告》）二、竞赛时间竞赛时间共为6小时。

三、任务要求与技术参数第一阶段：网络搭建、风险评估与网络改造本阶段需要完成三个任务：任务一：网络搭建；任务二：系统安全管理；任务三：系统审计、评估与整改。

2020年江西省职业院校技能大赛高职组“大数据技术与应用”赛项试题（样卷）赛题说明一、竞赛内容分布二、竞赛时长竞赛时长为4个小时。

三、竞赛注意事项1.竞赛所需的硬件、软件和辅助工具由组委会统一布置，选手不得私自携带任何软件、移动存储、辅助工具、移动通信等进入赛场； 2•请根据大赛所提供的比赛环境，检查所列的软件及工具组件清单是否齐全，计算机设备是否能正常使用；3.比赛完成后，比赛设备、软件和赛题请保留在座位上，禁止将比赛所用的所有物品（包括试卷和草纸）带离赛场；4.裁判以各参赛队提交的竞赛结果文档为主要评分依据。

所有提交的文档必须按照赛题所规定的命名规则命名，不得以任何形式体现参赛院校、赛位号等信息；5.本次比赛采用统一网络环境比赛，请不要随意更改客户端的网络地址信息，对于更改客户端信息造成的问题，由参赛选手自行承担比赛损失；6.请不要恶意破坏竞赛环境，对于恶意破坏竞赛环境的参赛者，组委会根据其行为予以处罚直至取消比赛资格；7.比赛中出现各种问题及时向监考裁判举手示意，不要影响其他参赛队比赛。

四、竞赛结果文件的提交按照题目要求，提交符合模板的WORD文件以及对应的PDF文件（利用0ffice Word另存为pdf文件方式生成pdf文件）和代码文件。

五、任务说明近年来随着IT产业的加速发展，全国各地对IT类的人才需求也越来越多“ABC公司"为了明确今后IT产业人才培养方向，在多地进行IT 公司岗位情况调研分析。

你所在的小组将承担模拟调研分析的任务，通过在招聘网站进行招聘信息的爬取，获取到公司名称、工作地点、岗位名称、招聘要求、招聘人数等信息，并通过对数据的清洗和分析，得出各地域招聘人数，“大数据”相关职位招聘数量，以绘制雷达图展示各地平均薪资情况。

为完成该项任务，你所在的小组计划选用在业界广泛应用的"Python和JAVA”语言，作为整个项目的基础语言，并综合利用requests 模块、MapReduceMySQL、Flask 开源框架、Jinja2 模板引擎和ECharts组件提髙开发效率并实现项目要求，由于本次为模拟任务，总数据量不会过大，项目组计划使用分布式节点Hadoop模式, 本次项目环境搭建采用服务器集群方式，配置了小规模的技术演示环境，通过在招聘网站上爬取到的相关信息，使用requests模块.Hive. Python、JAVA 等手段对数据进行爬取、清洗、整理、计算、表达、分析，力求实现对IT人才就业信息拥有更清晰的掌握。

全国职业院校技能大赛高等职业教育组信息安全管理与评估任务书模块二网络安全事件响应、数字取证调查、应用程序安全一、比赛时间及注意事项本阶段比赛时长为180分钟，时间为13:30-16:30。

【注意事项】(1)比赛结束，不得关机；(2)选手首先需要在U盘的根目录下建立一个名为“AGWxx”的文件夹(XX用具体的工位号替代)，请将赛题第二阶段所完成的“信息安全管理与评估竞赛答题卡-模块二”答题文档，放置在“AGWxx”文件夹中。

例如：08工位，则需要在U盘根目录下建立“AGW08”文件夹，请将第二阶段所完成的“信息安全管理与评估竞赛答题卡-模块二''答题文档，放置在“AGW08”文件夹中。

(3)请不要修改实体机的配置和虚拟机本身的硬件参数。

二、所需软硬件设备和材料所有测试项目都可由参赛选手根据基础设施列表中指定的设备和软件完成。

三、评分方案本阶段总分数为300分。

四、项目和任务描述随着网络和信息化水平的不断发展，网络安全事件也层出不穷，网络恶意代码传播、信息窃取、信息篡改、远程控制等各种网络攻击行为已严重威胁到信息系统的机密性、完整性和可用性。

因此，对抗网络攻击，组织安全事件应急响应，采集电子证据等技术工作是网络安全防护的重要部分。

现在，A集团已遭受来自不明组织的非法恶意攻击，您的团队需要帮助A集团追踪此网络攻击来源，分析恶意攻击攻击行为的证据线索，找出操作系统和应用程序中的漏洞或者恶意代码,帮助其巩固网络安全防线。

本模块主要分为以下三个部分:•网络安全事件响应•数字取证调查•应用程序安全五、工作任务第一部分网络安全事件响应任务hCentoS服务器应急响应(70分)A集团的应用服务器被黑客入侵，该服务器的Web应用系统被上传恶意软件,系统文件被恶意软件破坏，您的团队需要帮助该公司追踪此网络攻击的来源，在服务器上进行全面的检查，包括日志信息、进程信息、系统文件、恶意文件等,从而分析黑客的攻击行为，发现系统中的漏洞，并对发现的漏洞进行修复。

心之所向,所向披靡竞赛项目设计应适应国家产业结构调整与社会发展需要 ,展示知识经济时代高技能人材培养的特点,聚焦信息安全技术应用领域岗位的主要技能。

在《中华人民 XX 国国民经济和社会发展第十二个五年规划纲要》中已明确指出：✓推动并实行工学结合、校企合作、顶岗实习的职业教育培养模式,提高学生就业的技能和本领✓健全网络与信息安全法律法规,完善信息安全标准体系和认证认可体系✓实施信息安全等级保护、风险评估等制度✓加强信息网络监测、管控能力建设,确保基础信息网络和重点信息系统安全✓加强互联网管理,确保国家网络与信息安全因此,信息安全将成为我国信息化发展战略中重要的组成部份 ,而安全评估又是该部份中的重要内容。

信息安全管理与评估通过竞赛,展示信息安全技术专业、计算机网络技术专业的学生面向应用的实践能力,同时检验学生从网络组建、网络配置与应用到网络安全与信息安全的关键技能和职业素质,进一步促进信息安全技术专业、计算机网络技术专业的教学内容与教育方法改革 ,深化校企合作,引导教学改革和专业方向调整 ,具体内容体现如下：✓使学生了解并学习我国安全等级保护标准✓通过多学科、跨专业的形式,培养学生的协同工作能力✓通过笔试考察选手职业道德,促进教学在道德文化方面的建设✓使学生在进入岗位前就建立正确客观的信息安全意识✓提高学生在信息安全管理方面的能力与技巧✓推动工学结合,提高学生对网络进行安全评估的能力✓促进院校对信息安全专业建设✓提高老师在信息安全专业的技能✓促进信息安全专业教材的编写✓促进我国信息安全高技能人材培养和储备✓保障我国信息化快速、持续、健康和安全发展高职信息安全技术专业毕业生的培养目标是能从事网络安全管理、信息安全监查、安全评估、等级保护评测等核心职业能力,毕业生的主要工作岗位包括公安局信息监查、网站安全、病毒查杀机构等单位、运营商、企业的技术安全维护员、各个重要政府部门的网络安全监测等。

按照20XX 全国职业院校技能竞赛的指导思想和竞赛原则,本赛项重点考核参赛选手进行网络组建、网络系统安全策略部署、信息保护、按照等级保护标准进行网络安全评估的综合实践能力, 具体包括：1.参赛选手通过网络评估技术对信息网络中常见的交换机、路由器、防火墙、 VPN、负载均衡等各类网络设备实施安全管理与评估；2.参赛选手通过主机评估技术对信息系统中常见的 Windows 主机、 Unix 主机、 Linux 主机等各类主机系统实施安全管理与评估；3.参赛选手通过数据库评估技术对目前常见的文档型数据库和关系型数据库等各类数据库实施安全管理与评估；4.参赛选手通过应用系统评估技术对 web 应用、文件应用、音视频应用、邮件应用等各类应用系统实施安全管理与评估。

理论技能与职业素养（100分）2023年全国职业院校技能大赛（高等职业教育组）“信息安全管理与评估”理论技能【注意事项】1.理论测试前请仔细阅读测试系统使用说明文档，按提供的账号和密码登录测试系统进行测试，账号只限1人登录。

2.该部分答题时长包含在第三阶段比赛时长内，请在临近竞赛结束前提交。

3.参赛团队可根据自身情况，可选择1-3名参赛选手进行作答，团队内部可以交流，但不得影响其他参赛队。

一、单选题（每题2分，共35题，共70分）1、应急事件响应和恢复措施的目标是（ B ）。

A、保证信息安全B、最小化事件的影响C、找出事件的责任人D、加强组织内部的监管2、下列数据类型不属于静态数据提取的数据类型（ C ）。

A、系统日志B、系统进程C、网络数据包D、文件元数据3、安全评估的方法不包括（ C ）。

A、风险评估B、威胁建模C、减少漏洞D、渗透测试4、以下不属于入侵监测系统的是（ C ）。

A、AAFID系统B、SNORT系统C、IETF系统D、NETEYE系统5、通过TCP序号猜测，攻击者可以实施下列哪一种攻击？（ D ）A、端口扫描攻击B、ARP欺骗攻击C、网络监听攻击D、TCP会话劫持攻击6、下面不是数据库的基本安全机制的是（ D ）。

A、用户认证B、用户授权C、审计功能D、电磁屏蔽7、假设创建了名为f的实例，如何在f中调用类的add_food函数？（ D ）A、f(add_food())B、f.[add_food()]C、f.add_foodD、f.add_food()8、aspx 的网站配置文件一般存放在哪个文件里？（ C ）A、conn.aspB、config.phpC、web.configD、index.aspx9、一个基于特征的IDS应用程序需要下列选项中的哪一项来对一个攻击做出反应？（ B ）A、正确配置的DNSB、正确配置的规则C、特征库D、日志10、完成数据库应用系统的设计并进行实施后，数据库系统进入运行维护阶段。