1、2019 年辽宁省职业院校技能大赛(高职组)信息安全管理与评估赛项规程一、赛项名称赛项编号:LNGZ201924赛项名称:信息安全管理与评估赛项组别:高职组赛项归属产业:第三产业-信息传输、计算机服务和软件业二、竞赛目的(一)检验教学成果2019 年信息安全管理与评估大赛是延续历届赛项的竞赛内容,通过赛项检验参赛选手安全网络组建、按照等保要求加固网络系统、安全架构、渗透测试、攻防实战等技术能力,检验参赛队计划组织和团队协作等综合职业素养,强调学生创新能力和实践能力培养,提升学生职业能力和就业质量。(二)强化专业建设针对国家“十二五”期间互联网+、电子政务、智慧城镇和教育信息化等领域信息安全岗位
2、人才急需,按照高等职业教育电子信息类专业指导规范 II 的信息安全与管理专业标准建设框架,通过赛项丰富完善信息安全与管理专业课程体系建设,使人才培养更贴近岗位实际,提升专业培养服务社会和行业发展的能力。该赛项内容覆盖信息安全与管理专业“信息安全技术与实施” 、“信息安全产品配置与应用” 、 “网络设备配置与管理” 、 “网络攻防实训” 、 “系统运行安全与维护” 、 “操作系统安全配置” 、 “Web 渗透测试技术”等专业核心课程内容。(三)促进产教合作赛项基于信息安全领域主流技术和现行业务流程设计,信息安全行业专家与院校教育专家紧密合作,赛前完成竞赛内容向教学改革的成果转化,实现以赛促教、以
3、赛促学、以赛促改的教产融合的赛事创新。三、竞赛内容重点考核参赛选手安全网络组建、网络系统安全策略部署、按照等级保护要求进行系统加固与信息保护、网络安全运维管理等综合实践能力,具体包括:(一) 参赛选手能够根据大赛提供的赛项要求,设计信息安全防护方案,并且能够提供详细的信息安全防护设备拓扑图。(二) 参赛选手能够根据业务需求和实际的工程应用环境,实现网络设备、安全设备、服务器的连接,通过调试,实现设备互联互通。(三) 参赛选手能够在赛项提供的网络设备及服务器上配置各种协议和服务,实现网络系统的运行,并根据网络业务需求配置各种安全策略,组建网络以满足应用需求。(四) 参赛选手能够根据网络实际运行中
4、面临的安全威胁,按照等级要求指定安全策略并部署实施,实现系统的加固,防范并解决网络恶意入侵和攻击行为。(五) 参赛选手能够按照要求准确撰写工作总结。(六) 以参赛队为单位进行分组对抗,在防护本参赛队服务器的同时,渗透其他参赛队的服务器,服务器被渗透的参赛队将被扣除相应分数。比赛结果通过大屏幕等形式在休息区实时展示。(七) 竞赛共分三个阶段,各阶段重点内容如下:序号 内容模块 具体内容 说明网络规划 VLSM、CIDR 等;网络平台搭建 基础网络 VLAN、WLAN、STP、SVI、RIPV2、OSPF 等;访问控制保护网络应用安全,实现防DOS、DDOS 攻击、实现包过滤、应用层代理、状态化包
5、过滤、URL 过滤、基于 IP、协议、应用、用户角色、自定义数据流和时间等方式的带宽控制,QOS 策略等;密码学和 VPN密码学基本理论L2L IPSec VPNGRE Over IPSecL2TP Over IPSecIKE:PSKIKE:PKISSL VPN 等;第一阶段 网络安全设备配置与防护数据分析 能够利用日志系统对网络内的数据进行日志分析,把控网络安全等;网络渗透测试及其加固技术MAC 渗透测试及其加固DHCP 渗透测试及其加固ARP 渗透测试及其加固STP 渗透测试及其加固VLAN 渗透测试及其加固路由协议(RIPV2、OSPF)渗透测试及其加固操作系统渗透测试及其加固Windo
6、ws、Linux 操作系统服务缓冲区溢出渗透测试及其加固第二阶段系统安全攻防及运维安全管控Web 应用和数据库渗透测试及其加固技术SQL Injection(SQL 注入)漏洞渗透测试及其安全编程Command Injection(命令注入)漏洞渗透测试及其安全编程File Upload(文件上传)漏洞渗透测试及其安全编程Directory Traversing(目录穿越)漏洞渗透测试及其安全编程XSS(Cross Site Script)漏洞渗透测试及其安全编程CSRF(Cross Site Request Forgeries)漏洞渗透测试及其安全编程Cookie Stole(Cookie
7、盗用)漏洞渗透测试及其安全编程Session Hijacking(会话劫持)漏洞渗透测试及其安全编程配置 WAF(Web 应用防火墙)加固Web 应用等;第三阶段 分组对抗参赛队之间进行对抗演练网络协议安全攻防Windows/Linux 操作系统安全攻防Web 应用/数据库安全攻防等;(八) 竞赛分值权重和时间分布序号 内容模块 竞赛时间网络平台搭建权重 9%第一阶段权重 30% 网络安全设备配置与防护权重 21%第二阶段权重 40%系统安全攻防及运维安全管控权重 40%300 分钟第三阶段权重 30%分组对抗权重 30% 60 分钟四、 竞赛方式本赛项为团体赛,以院校为单位组队参赛,不得跨校
8、组队,每支参赛队由 3 名选手(设队长 1 名)和不超过 2 名指导教师组成。五、竞赛流程(一) 竞赛流程图(二) 竞赛时间表比赛限定在 1 天内进行,比赛场次为 1 场,赛项竞赛时间为 6小时,时间为 9:00-15:00,具体安排如下:日期 时间 事项 参加人员 地点09:00-11:00 参赛队报到,安排住宿, 领取资料,裁判报到 工作人员、参 赛队 住宿酒店11:00-12:00 裁判工作会议 裁判长、裁判 员、监督组 会议室13:00-14:30 领队会 各参赛队领队、 裁判长 会议室15:00-16:00 参观赛场 各参赛队领队 竞赛场地16:00 检查封闭赛场 裁判长、监督 组
9、竞赛场地竞赛前 1日16:00 返回酒店 参赛领队 竞赛场地07:30 裁判进入裁判室裁判长、现场裁判竞赛场地08:00-08:30 选手抽签,一次加密参赛选手、现场裁判竞赛场地08:30-08:50选手抽签,二次加密及入场参赛选手、现场裁判竞赛场地08:50-09:00参赛代表队就位,宣读考场纪律,抽取赛题参数表参赛选手、现场裁判竞赛场地09:00-09:15第一阶段和第二阶段赛题发放时间参赛选手、现场裁判竞赛场地09:15-13:30第一阶段和第二阶段正式比赛时间参赛选手、现场裁判竞赛场地13:30-14:00第一阶段与第二阶段比赛结果提交时间,三次加密参赛选手、现场裁判竞赛场地14:00
10、-14:15 第三阶段赛题发放时间参赛选手、现场裁判竞赛场地14:15-15:00 第三阶段正式比赛时间参赛选手、现场裁判竞赛场地15:00 比赛正式结束参赛选手、现场裁判 竞赛场地15:00-评判完毕后成绩汇总报送,成绩公示评分裁判、裁判长、专家、监督竞赛场地和参赛队住宿酒店竞赛当天16:30-17:00 闭幕式领导、嘉宾、裁判、各参赛队、专家组会议室备注:第一阶段和第二阶段赛题在开始比赛时同时发放,并于13:30 统一提交答题成果,交卷完毕后发放第三阶段赛题。参赛选手午餐时间由赛项组委会统一安排,就餐时间计入比赛时间。六、竞赛赛卷(一) 赛项组委会下设的命题专家组负责本赛项命题工作。(二)
11、 本赛项为公开赛卷,竞赛赛卷距大赛开始日 1 月之前公开。(三) 本赛项通过辽宁省职业院校技能大赛指定的网络信息发布平台公布竞赛赛卷。七、竞赛规则(一) 报名资格参赛选手须为 3 名 2019 年度普通高等学校全日制在籍专科学生。本科院校中高职类全日制在籍学生,五年制高职四、五年级学生可报名参加高职组比赛。高职组参赛选手年龄须不超过 25 周岁(当年),年龄计算的截止时间以 2019 年 5 月 1 日为准。凡在往届本赛项全国职业院校技能大赛中获一等奖的学生,不再参加该赛项的比赛。(二) 竞赛工位通过抽签决定,竞赛期间参赛选手不得离开竞赛工位。(三) 竞赛所需的硬件设备、系统软件和辅助工具由赛
12、项执委会统一安排,参赛选手不得自带硬件设备、软件、移动存储、辅助工具、移动通信等进入竞赛现场。(四) 参赛队自行决定选手分工、工作程序和时间安排。(五) 参赛队在赛前 10 分钟进入竞赛工位并领取竞赛任务,竞赛正式开始后方可展开相关工作。(六) 竞赛过程中,选手须严格遵守操作规程,确保人身及设备安全,并接受裁判员的监督和警示。若因选手因素造成设备故障或损坏,无法继续竞赛,裁判长有权决定终止该队竞赛;若因非参赛选手个人因素造成设备故障,由裁判长视具体情况做出裁决。(七) 竞赛结束(或提前完成)后,参赛队要确认已成功提交所有竞赛文档,裁判员与参赛队队长一起签字确认,参赛队在确认后不得再进行任何操作
13、。(八) 最终竞赛成绩经复核无误及裁判长、监督长签字确认后,在指定地点,以纸质形式向全体参赛队进行公布。(九) 本赛项各参赛队最终成绩由承办单位信息员录入赛务管理系统。承办单位信息员对成绩数据审核后,将赛务系统中录入的成绩导出打印,经赛项裁判长审核无误后签字。承办单位信息员将裁判长确认的电子版赛项成绩信息上传赛务管理系统,同时将裁判长签字的纸质打印成绩单报送大赛组委会。(十) 赛项结束后专家工作组根据裁判判分情况,分析参赛选手在比赛过程中对各个知识点、技术的掌握程度,并将分析报告报备大赛组委会办公室,组委会办公室根据实际情况适时公布。(十一) 赛项每个比赛环节裁判判分的原始材料和最终成绩等结果
14、性材料经监督组人员和裁判长签字后装袋密封留档,并由赛项承办院校封存,委派专人妥善保管。八、竞赛环境竞赛工位内设有操作平台,每工位配备 220V 电源,工位内的电缆线应符合安全要求。每个竞赛工位面积6,确保参赛队之间互不干扰。竞赛工位标明工位号,并配备竞赛平台和技术工作要求的软、硬件。环境标准要求保证赛场采光(大于 500lux)、照明和通风良好;每支参赛队提供一个垃圾箱。除了竞赛工位之外,同时设计了成果展示区、体验区、观摩区、服务区等。成果展示区主要展示大赛配套教材、资源包等内容;体验区主要展示竞赛设备以及相关新技术、新产品;观摩区主要展示信息安全攻防对战的实时进度;服务区提供医疗等服务保障。
15、九、技术规范该赛项涉及的信息网络安全工程在设计、组建过程中,主要有以下 7 项国家标准,参赛队在实施竞赛项目中要求遵循如下规范:序号 标准号 中文标准名称1 GB 17859-1999 计算机信息系统安全保护等级划分准则2 GB/T 20271-2006 信息安全技术信息系统通用安全技术要求3 GB/T 20270-2006 信息安全技术网络基础安全技术要求4 GB/T 20272-2006 信息安全技术操作系统安全技术要求5 GB/T 20273-2006 信息安全技术数据库管理系统安全技术要求6 GA/T 671-2006 信息安全技术终端计算机系统安全等级技术要求7 GB/T 20269
16、-2006 信息安全技术信息系统安全管理要求8 ISO OSI OSI 开放系统互连参考模型9 IEEE 802.1 局域网概述,体系结构,网络管理和性能测量10 IEEE 802.2 逻辑链路控制 LLC11 IEEE 802.3 总线网介质访问控制协议 CSMA/CD 及物理层技术规范12 IEEE 802.6城域网(Metropolitan Area Networks)MAC 介质访问控制协议 DQDB 及其物理层技术规范13 IEEE 802.10 局域网安全技术标准14 IEEE 802.11无线局域网的介质访问控制协议 CSMA/CA 及其物理层技术规范15 BG/T 22239-
17、2008 信息安全技术信息系统安全等级保护基本要求十、技术平台(一) 竞赛软件赛项组委会提供个人计算机(安装 Windows 操作系统) ,用以组建竞赛操作环境,并安装 Office 等常用应用软件。序号 软件 介绍1 Windows 操作系统2 Microsoft Office 文档编辑工具3 VMware 虚拟机运行环境4 超级终端 设备调试连接工具赛项执委会提供渗透测试机和靶机虚拟机环境。序号 软件 介绍1 Windows 7Windows XP Windows 客户机操作系统2 Windows Server 20032008 Windows 服务器操作系统3 UbuntuDebian
18、渗透测试机操作系统4 Linux CentOS Linux 服务器操作系统(二) 竞赛设备清单序号 设备名称 数量 参考型号1 三层虚拟化交换机 1 神州数码 CS6200 交换机2 防火墙 1 神州数码 DCFW-1800E-N30023 堡垒服务器 1 神州数码 DCST-6000B4 WEB 应用防火墙 1 神州数码 DCFW-1800-WAF-LAB5 网络日志系统 1 神州数码 DCBI-NetLog-LAB6 无线交换机 1 神州数码 DCWS-60287 无线接入点 1 神州数码 WL8200-I28 PC 机 3多核 CPU,CPU 主频=3.5GHZ,=四核心八线程,内存=8G,具有串口或者配置 USB 转串口的配置线,支持硬件虚拟化十一、成绩评定(一) 裁判工作原则按照2018 年全国职业院校技能大赛专家和裁判工作管理办法建立辽宁省职业院校技能大赛赛项裁判库,裁判长由赛项组委会聘任。赛前建立健全裁判组。裁判组为裁判长负责制,负责比赛过程