竞赛方式-辽宁职业院校技能大赛.DOCVIP

2019年辽宁省职业院校技能大赛(高职组) 信息安全管理与评估赛项规程 一、赛项名称 赛项编号：LNGZ201924 赛项名称：信息安全管理与评估 赛项组别：高职组 赛项归属产业：第三产业-信息传输、计算机服务和软件业 二、竞赛目的 （一）检验教学成果 2019年信息安全管理与评估大赛是延续历届赛项的竞赛内容，通过赛项检验参赛选手安全网络组建、按照等保要求加固网络系统、安全架构、渗透测试、攻防实战等技术能力，检验参赛队计划组织和团队协作等综合职业素养，强调学生创新能力和实践能力培养，提升学生职业能力和就业质量。 （二）强化专业建设 针对国家“十二五”期间互联网+、电子政务、智慧城镇和教育信息化等领域信息安全岗位人才急需，按照《高等职业教育电子信息类专业指导规范II》的信息安全与管理专业标准建设框架，通过赛项丰富完善信息安全与管理专业课程体系建设，使人才培养更贴近岗位实际，提升专业培养服务社会和行业发展的能力。 该赛项内容覆盖信息安全与管理专业“信息安全技术与实施”、“信息安全产品配置与应用”、“网络设备配置与管理”、“网络攻防实训”、“系统运行安全与维护”、“操作系统安全配置”、“Web渗透测试技术”等专业核心课程内容。 （三）促进产教合作 赛项基于信息安全领域主流技术和现行业务流程设计，信息安全行业专家与院校教育专家紧密合作，赛前完成竞赛内容向教学改革的成果转化，实现以赛促教、以赛促学、以赛促改的教产融合的赛事创新。 三、竞赛内容 重点考核参赛选手安全网络组建、网络系统安全策略部署、按照等级保护要求进行系统加固与信息保护、网络安全运维管理等综合实践能力，具体包括： 参赛选手能够根据大赛提供的赛项要求，设计信息安全防护方案，并且能够提供详细的信息安全防护设备拓扑图。 参赛选手能够根据业务需求和实际的工程应用环境，实现网络设备、安全设备、服务器的连接，通过调试，实现设备互联互通。 参赛选手能够在赛项提供的网络设备及服务器上配置各种协议和服务，实现网络系统的运行，并根据网络业务需求配置各种安全策略，组建网络以满足应用需求。 参赛选手能够根据网络实际运行中面临的安全威胁，按照等级要求指定安全策略并部署实施，实现系统的加固，防范并解决网络恶意入侵和攻击行为。 参赛选手能够按照要求准确撰写工作总结。 以参赛队为单位进行分组对抗，在防护本参赛队服务器的同时，渗透其他参赛队的服务器，服务器被渗透的参赛队将被扣除相应分数。比赛结果通过大屏幕等形式在休息区实时展示。 竞赛共分三个阶段，各阶段重点内容如下： 序号 内容模块 具体内容 说明 第一阶段 网络平台搭建 网络规划 VLSM、CIDR等； 基础网络 VLAN、WLAN、STP、SVI、RIPV2、OSPF等； 网络安全设备配置与防护 访问控制 保护网络应用安全，实现防DOS、DDOS攻击、实现包过滤、应用层代理、状态化包过滤、URL过滤、基于IP、协议、应用、用户角色、自定义数据流和时间等方式的带宽控制，QOS策略等； 密码学和VPN 密码学基本理论 L2L IPSec VPN GRE Over IPSec L2TP Over IPSec IKE：PSK IKE：PKI SSL VPN等； 数据分析 能够利用日志系统对网络内的数据进行日志分析，把控网络安全等； 第二阶段 系统安全攻防及运维安全管控 网络渗透测试及其加固技术 MAC渗透测试及其加固 DHCP渗透测试及其加固 ARP渗透测试及其加固 STP渗透测试及其加固 VLAN渗透测试及其加固 路由协议(RIPV2、OSPF)渗透测试及其加固 操作系统渗透测试及其加固 Windows、Linux操作系统服务缓冲区溢出渗透测试及其加固 Web应用和数据库渗透测试及其加固技术 SQL Injection（SQL注入）漏洞渗透测试及其安全编程 Command Injection（命令注入）漏洞渗透测试及其安全编程 File Upload（文件上传）漏洞渗透测试及其安全编程 Directory Traversing（目录穿越）漏洞渗透测试及其安全编程 XSS（Cross Site Script）漏洞渗透测试及其安全编程 CSRF（Cross Site Request Forgeries）漏洞渗透测试及其安全编程 Cookie Stole（Cookie盗用）漏洞渗透测试及其安全编程 Session Hijacking（会话劫持）漏洞渗透测试及其安全编程 配置WAF（Web应用防火墙）加固Web应用等； 第三阶段 分组对抗 参赛队之间进行对抗演练 网络协议安全攻防 Windows/Linux操作系统安全攻防 Web应用/数据库安全攻防等； 竞赛分值权重和时间分布 序号 内容模块 竞赛时间 第一阶段 权重30% 网络平台搭建 权重9% 300分钟 网络