某职业院校技能大赛信息安全管理与评估赛项规程(DOCX 38页).docxVIP

2017年全国职业院校技能大赛高职组 “信息安全管理与评估”赛项规程 一、赛项名称 赛项编号：GZ-2017028 赛项名称：信息安全管理与评估 英语翻译：Information Security Management and Evaluation 赛项组别：高职 赛项归属产业：电子信息产业 二、竞赛目的 通过赛项检验参赛选手网络组建、安全架构和网络安全运维管控等方面的技术技能，检验参赛队组织和团队协作等综合职业素养，培养学生创新能力和实践动手能力，提升学生职业能力和就业竞争力。通过大赛引领专业教学改革，丰富完善学习领域课程建设，使人才培养更贴近岗位实际，实现以赛促教、以赛促学、以赛促改的产教结合格局，提升专业培养服务社会和行业发展的能力，为国家信息安全行业培养选拔技术技能型人才。 三、竞赛内容 重点考核参赛选手安全网络组建、网络系统安全策略部署、信息保护、网络安全运维管理的综合实践能力，具体包括： 参赛选手能够根据大赛提供的赛项要求，设计信息安全防护方案，并且能够提供详细的信息安全防护设备拓扑图。 参赛选手能够根据业务需求和实际的工程应用环境，实现网络设备、安全设备、服务器的连接，通过调试，实现设备互联互通。 参赛选手能够在赛项提供的网络设备及服务器上配置各种协议和服务，实现网络系统的运行，并根据网络业务需求配置各种安全策略，以满足应用需求。 参赛选手能够根据网络实际运行中面临的安全威胁，指定安全策略并部署实施，防范并解决网络恶意入侵和攻击行为。 参赛选手能够按照要求准确撰写工作总结。 以参赛队为单位进行分组对抗，在防护本参赛队服务器的同时，渗透其他参赛队的服务器，服务器被渗透的参赛队立即下线，该参赛队比赛结束，选手出场。比赛结果通过大屏幕等形式在休息区实时展示。 各竞赛阶段重点内容如下： 序号 内容模块 具体内容 说明 第一阶段 网络平台搭建 网络规划 VLSM、CIDR等； 基础网络 VLAN、WLAN、STP、SVI、RIPV2、OSPF等； 网络安全设备配置与防护 访问控制 保护网络应用安全，实现防DOS、DDOS攻击、实现包过滤、应用层代理、状态化包过滤、URL过滤、基于IP、协议、应用、用户角色、自定义数据流和时间等方式的带宽控制，QOS策略等； 密码学和VPN 密码学基本理论 L2L IPSec VPN GRE Over IPSec L2TP Over IPSec IKE：PSK IKE：PKI SSL VPN等； 数据分析 能够利用日志系统对网络内的数据进行日志分析，把控网络安全等； 第二阶段 系统安全攻防及运维安全管控 网络渗透测试及其加固技术 MAC渗透测试及其加固 DHCP渗透测试及其加固 ARP渗透测试及其加固 STP渗透测试及其加固 VLAN渗透测试及其加固 路由协议(RIPV2、OSPF)渗透测试及其加固 操作系统渗透测试及其加固 Windows、Linux操作系统服务缓冲区溢出渗透测试及其加固 Web应用和数据库渗透测试及其加固技术 SQL Injection（SQL注入）漏洞渗透测试及其安全编程 Command Injection（命令注入）漏洞渗透测试及其安全编程 File Upload（文件上传）漏洞渗透测试及其安全编程 Directory Traversing（目录穿越）漏洞渗透测试及其安全编程 XSS（Cross Site Script）漏洞渗透测试及其安全编程 CSRF（Cross Site Request Forgeries）漏洞渗透测试及其安全编程 Cookie Stole（Cookie盗用）漏洞渗透测试及其安全编程 Session Hijacking（会话劫持）漏洞渗透测试及其安全编程 配置WAF（Web应用防火墙）加固Web应用等； 第三阶段 分组对抗 参赛队之间进行对抗演练 网络协议安全攻防 Windows/Linux操作系统安全攻防 Web应用/数据库安全攻防等； 8.竞赛分值权重和时间分布 序号 内容模块 竞赛时间 第一阶段 权重30% 网络平台搭建 权重9% 300分钟 网络安全设备配置与防护 权重21% 第二阶段 权重30% 系统安全攻防及运维安全管控 权重30% 第三阶段 权重40% 分组对抗 权重40% 60分钟 四、竞赛方式 1.本赛项为团体赛，以院校为单位组队参赛，不得跨校组队，同一学校相同项目报名参赛队不超过1支。每支参赛队由3名选手（设队长1名）和不超过2名指导教师组成。 2.赛项拟邀请香港、澳门、台湾等地区和境外代表队参赛或观摩交流，但参赛成绩不计入总体排名。 五、竞赛流程 （一）竞赛流程图 （二）竞赛时间表 比赛限定在1天内进行，比赛场次为1场，赛项竞赛时间为6小时，时间为9:00-15:00，具体安排如下： 日期 时