江苏信息安全技能竞赛关于竞赛命题有关事项的说明.DOC

江苏省第二届信息安全技能竞赛关于竞赛命题有关事项的说明 一、命题范围?业余组： ??? 初赛部分：高等院校信息安全专业课程（密码学、网络程序设计、网络安全、计算机病毒、信息隐藏技术、Linux原理与应用、Windows原理与应用、信息安全法律法规、计算机安全保密）、TCP/IP协议安全、Windows系统安全、Linux系统安全、Web安全、网络安全技术、数据库系统安全。 ??? 决赛部分：Web安全（包括基于MySQL和MS SQL Server的SQL注入、XSS存储型跨站、XPATH注入、社会工程弱口令、访问授权绕过、Webshell上传技术）、密码及密文分析、基于ASP与PHP的开源代码白盒分析与渗透测试、FTP目录穿越与提权、Windows与Linux账号提权、数据库弱口令暴力破解与远程控制等。 专业组： ??? 初赛部分：Windows系统安全（账号安全、NTFS文件系统安全、组策略、活动目录安全技术和日志分析技术）、Linux系统安全、Web安全（包括SQL注入、XSS存储型跨站、XPATH注入、社会工程弱口令、访问授权绕过、表单劫持提交、Webshell技术）、网络安全技术、数据库系统安全（包括Oracle安全、MySQL安全保护策略、MS SQL Server防护策略）、风险评估技术、等级保护国家标准和测评技术。 ??? 决赛部分：最近几年信息安全常见漏洞、主流服务器操作系统安全、主流数据库系统安全、常见网络设备（交换机、路由器等）安全、常见安全设备（防火墙、入侵检测、安全审计等）安全等。 党政机关组： ??? 初赛部分：信息安全技术基础知识（密码技术、访问控制与审计、恶意程序防范、网络攻击防范、备份恢复技术），国内外信息安全形势、我省信息安全保障体系建设情况、政府信息系统安全管理工作、信息安全事件应急响应与处置、信息安全产品选择与使用知识、个人信息安全防护策略与方法等。 ??? 决赛部分：同初赛部分知识范围，决赛题目将更加贴近日常工作场景、案例情况与项目管理经验。 ??? 题型：单选题、多选题、填空题 ?? ?样题1（业余组）：在日常邮件传输中，很多商业机密文件都需要进行邮件签名，收件方通过验证签名来确定该邮件是否是真实的发件方所发送，对于邮件签名，下列说法中错误的是： ?? ?A要验证签名，收件方可以让发件方用明文的方式将发件方的公钥发送。 ??? B要验证签名，收件方必须让发件方用密文的方式将发件方的私钥发送过来 ?? ?C数字签名，主要是利用发件方的私钥加密邮件，发件方再将自己的公钥通过网络传输给收件方用以做签名验证 ?? ?D数字签名，发件方的私钥用以加密MD5散列值 ?? ?样题2（专业组）：在一次渗透测试中，需要渗透一台Windows 2003 Enterprise Server服务器，经过初期操作，发现其默认的系统管理员账号administrator口令是123456，经过端口扫描发现：目标系统仅开放了TCP 135、TCP 139、TCP 445三个端口，默认共享全部关闭，仅存在一个只读共享目录；该系统补丁打全，没有系统自身漏洞。现在要远程执行该服务器的指令，应该通过什么方法实现？ ? ??A通过TCP 445端口上传木马文件并利用SMB运行，再通过木马远程执行系统指令 ? ??B利用WMI远程执行系统指令 ? ??C通过TCP 139端口上传木马文件并利用SMB运行，再通过木马远程执行系统指令 ?? ?D通过TCP 135端口制造远程缓冲区溢出攻击来执行系统指令 ?? ?样题3：基于 的入侵检测产品部署在信息系统的内部网络接口或重要网络节点处，对网络通信的所有数据报文进行特征分析（ ） ?? ?A操作系统 ? ??B数据包 ? ??C主机 ? ??D网络 ? ??样题4：下列关于我国涉及网络信息安全的法律说法正确的是（ ） ? ??A 在1979年的刑法中已经包含相关的计算机犯罪的罪名 ? ??B 《关于维护互联网安全的决定》是我国目前为止直接规范网络信息安全的效力最高的法律文件 ?? ?C 2003年全国人大常委会审核通过了《中华人民共和国电子签名法》 ?? ?D 《中华人民共和国电子签名法》的实施年份是2004年 ?? ?GB/T 20269-2006 信息安全技术 信息系统安全管理要求 ?? ?GB/T 20271-2006 信息安全技术 信息系统安全通用技术要求 ?? ?GB/T 20984-2007 信息安全技术 信息安全风险评估规范 ?? ?GB/Z 20986-2007 信息安全技术 信息安全事件分类分级指南 ??? GB/T 24363-2007 信息安全技术 信息安全应急响应计划规范 ??? GB/T 20988-2007 信息安全技术 信息系统灾难恢复规范 ??? G