政策法规
2021 年全国行业职业技能竞赛网络与信息安全管理员(信息安全与
2021 年全国行业职业技能竞赛
全国电子信息行业新技术应用职业技能竞赛
河北省选拔赛
网络与信息安全管理员(信息安全与数据恢复方向)
赛项指南Instruction
指导单位:人力资源和社会保障部
工业和信息化部
主办单位:河北省信息协会
河北省职业技能鉴定指导中心
承办单位:石家庄铁路职业技术学院
合作单位:北京金诺恒信科技发展有限公司、聚焦职教
河北•石家庄
2021年10月
目 录
第一部分 竞赛日程
第二部分 竞赛规程
一、 赛项描述
二、 竞赛题目
三、 评判方式
四、 大赛的基础设施
五、 大赛竞赛流程
第三部分 人员须知
一、 参赛队须知
二、 指导教师须知
三、 参赛选手须知
四、 工作人员须知
第四部分 服务指南
一、报到时间及地点
二、用餐
三、乘车路线
第五部分 疫情防控
第一部分 竞赛日程
日期 | 时间 | 事项 | 参加人员 | 地点 |
10月22日 | 16:00 | 领队会,选手熟悉赛场 | 各参赛队领队、 裁判长、仲裁长 | 12楼会议室 |
10月23日 | 8:00-8:15 | 选手抽签,一次加密 | 参赛选手、加密裁判 | 竞赛场地 |
8:15-8:30 | 选手抽签,二次加密 | 参赛选手、加密裁判 | 竞赛场地 | |
8:30-9:00 | 参赛选手入场就位,宣读考场纪律设备检查,赛题发放 | 参赛选手、现场裁判 | 竞赛场地 | |
9:00-10:00 | 第一阶段比赛 | 参赛选手、现场裁判 | 竞赛场地 | |
10:00-10:05 | 比赛切换 | 参赛选手、现场裁判 | 竞赛场地 | |
10:05-13:05 | 第二、三阶段比赛 | 参赛选手、现场裁判 | 竞赛场地 | |
13:05-13:20 | 参赛选手退场 | 参赛选手 | 竞赛场地 | |
10月23日 | 16:00 | 闭赛式 | 领导、嘉宾、专家组长、裁判长、各参赛队 | 会议室 |
第二部分 竞赛规程
一、 赛项描述
(一)技术基本描述
赛项设计符合国家战略产业发展需求和信息安全技术的发展趋势以及行业部署,重点电子信息产业实施过程中的信息及数据安全。赛项以信息安全为主题,引入数据传输安全、系统安全和数据安全技术,符合国家信息产业发展要求。通过任务驱动方式,重点考核参赛选手对数据分析、监管与保护等信息安全的技术,旨在培养相关专业人员胜任信息安全核心岗位的能力。
竞赛共分3个阶段,各竞赛阶段内容安排如下:
序号 | 内容模块 | 具体内容 | 说明 |
第一阶段 | 理论 | 信息安全与数据恢 复理论答题 | 理论考试系统将从题库中随机抽题组成试卷,试卷共 100 道单选题。 |
第二阶段 | 单兵模式 系统渗透 测试 | 密码学和 VPN | 密码学、VPN 和 PKI(公钥基础设施) |
操作系统渗透测试及加固 | Windows 操作系统渗透测试及加固、Linux 操作系统渗透测试及加固等 | ||
Web 应用渗透测试及加固 | SQL Injection(SQL 注入)漏洞渗透测试及加固、Command Injection(命令注入)漏洞渗透测试及加固、FileUpload(文件上传)漏洞渗透测试及加固、Directory Traversing(目录穿越)漏洞渗透测试及加固、XSS(Cross Site Script)漏洞渗透测试及加固、CSRF(Cross Site Request Forgeries)漏洞 渗 透 测 试 及 加 固 、 Session Hijacking(会话劫持)漏洞渗透测试及加固 | ||
网络安全数据分析 | 能够利用日志收集和分析工具对网络流量收集监控,维护网络安全 | ||
常用渗透扫描工具使用与脚本语言应用 | 能够利用如 Nmap、Nessus、metasploit等常用渗透扫描工具进行信息收集及系统渗透; 熟悉 shell,Python 等脚本语言的应用 | ||
数据安全 | 数据恢复 | 能够利用数据恢复工具对已发生的数据灾难进行数据恢复 | |
第三阶段 | 攻防对抗 | 参赛队之间进行对抗演练 | Windows/Linux 操作系统安全攻防、Web应用/数据库安全攻防等 |
(二)技术能力要求
参赛选手应具备以下技术能力:
(1)能够在赛项提供的服务器上配置各种协议和服务,实现网络系统的运行,并根据网络业务需求配置各种安全策略,以满足应用需求;
(2)能够根据赛项要求,实施网络安全防护操作;
(3)能够根据网络实际运行中面临的安全威胁,确定安全策略并部署实施,防范并制止网络恶意入侵和攻击行为;
(4)能够根据赛项要求进行数据灾难备份策略的部署实施;
(5)能够根据赛项要求进行灾难数据的及时恢复;
(6)能够通过分组混合对抗的形式,实时防护自己服务器,抵御外界的攻击,同时能够对目标进行渗透测试。
(三)基本知识要求
(1)操作系统安全检测与防护
了解操作系统(Windows、Linux、Unix 等)的常规安全防护技术。能熟练利用系统日志、应用程序日志等溯源攻击途径;掌握系统账号、文件系统、网络参数、服务、日志审计等方面的安全检测与安全加固方法。
(2)数据库安全检测与防护
了解数据库(SQL SERVER、Mysql、Oracle、MongoDB)的库表管理、权限控制等数据库管理方式。熟悉数据库入侵防御、访问控制、身份认证、数据加密等其他安全措施,深入了解数据库的客户端程序管理、应用系统访问、客户端访问控制、重要操作审计等。
(3)网络攻击与防护
熟悉网络层攻击原理及防护方法。能运用相关工具及技术手段发现并阻断网络层攻击、验证无线网络 WEP、WPA 和 WPA2 的密码强度。其中常见网络层攻击包括:中间人攻击、DHCP 攻击、DDOS 攻击、无线 DDOS 攻击、无线 WAPjack 攻击等。
(4)Web 应用安全
了解常见 Web 环境(ASPX、PHP、JSP)的搭建方法以及安全配置方法。熟悉中间件和 Web 应用的安全检测与防护方法,漏洞包括:权限绕过、弱口令、注入、跨站、文件包含、文件上传、命令执行、任意文件读取和下载等。
(5)渗透测试技术
掌握常规的渗透测试技术。熟悉使用各种常见渗透测试工具,渗透测试技术包括:踩点扫描探测、信息收集、暴力破解、常规漏洞利用、Web 权限获取、提权、溢出攻击等。
(6)应急响应与数据恢复
掌握应急响应和数据恢复的流程和相关技术。包括:入侵取证分析、反取证技术、日志审计分析、日志删除恢复、文件删除恢复、硬盘格式化数据恢复等。
(7)代码安全
了解常见编程环境(C、JAVA、PHP、JSP)的构建以及语言的编写,熟悉缓冲区溢出、拒绝服务等编码防御技术,掌握代码审计和代码加固技术,避免出现常见安全漏洞,常见漏洞至少包括:缓冲区溢出、拒绝服务、远程命令执行、注入、跨站。
(8)恶意代码与逆向
熟悉操作系统中恶意代码的识别方法及防护措施。能运用相关工具及技术手段发现、隔离、清除常见恶意代码,其中常见恶意代码包括:注册表级后门、Rootkit、远程控制木马、键盘记录木马、网页木马、Webshell 等;并能对常见恶意代码进行逆向分析及源定位。
(9)移动应用安全
了解移动智能终端操作系统、移动应用软件的常规安全漏洞检测和防护技术。熟悉了解移动互联网恶意程序相关监测与处置机制,掌握移动应用的逆向分析和代码审计技术、移动应用的安全防护方法等。
(10)新技术应用安全
了解云计算和大数据的基本概念及特征,熟悉云计算和大数据技术带来的安全问题。包括:虚拟机安全、应用程序安全、数据安全;掌握如何使用大数据分析安全事件以及大数据平台本身安全漏洞和隐患的发现。
了解物联网的基本概念及工作协议和频段,掌握物联网硬件、固件和软件安全漏洞检测和发现;掌握 ID/IC 卡安全漏洞检测和发现、智能卡常见加解密算法、多级秘钥离散机制、随机挑战响应机制和静态/动态数据验证。
(四)职业素养与安全要求
严格遵循相关职业素养要求及安全规范,安全文明参赛;操作规范;工具摆放整齐;着装规范;资料归档完整等。
二、 竞赛题目
(一)竞赛形式
本赛项由理论知识竞赛和实际操作竞赛两部分组成。理论知识竞赛和实际操作竞赛的总成绩为 100 分,其中理论知识竞赛占总成绩的 20%,时长为 60 分钟;实际操作竞赛占总成绩的 80%,时长为180 分钟,竞赛总共时长 240 分钟。
(二)命题标准
大赛组委会专家工作组组织有关专家参照现行相关国家职业标准,结合企业生产实际和技术发展状况,借鉴世界技能大赛命题内容和考核评价方法组织统一命题。
三、 评判方式
(一)评判流程
选手向考评服务器中提交每道赛题唯一的“KEY”值或“FLAG”值,所有得分由计算机自动评判,参赛队的得分等于队中两位参赛选手的得分总和。裁判组监督现场机考评分,由裁判长负责竞赛全过程。
(二)评判方法
第一阶段评分规则
第一阶段总分为 200 分,包含了 100 个单选题,每道题的分值为2 分,答对得分,答错不得分。
第二阶段评分规则
第二阶段总分为 560 分,分为 N 个任务,每道题的具体分值在赛题中标明,答对得分,答错不得分。
第三阶段评分规则
第三阶段总分为 240 分,初始分为 100 分;每提交 1 次对手靶机的 FLAG 值得分,每当被对手提交 1 次自身靶机的 FLAG 值扣分,每个对手靶机的 FLAG 值只能提交一次,得分和扣分的具体分值在赛题中标明。
(三)成绩复核
为保障成绩评判的准确性,监督仲裁组将对赛项总成绩排名前30%的所有参赛选手的成绩进行复核;对其余成绩进行抽检复核,抽检覆盖率不得低于 15%。如发现成绩错误以书面方式及时告知裁判长,由裁判长更正成绩并签字确认。复核、抽检错误率超过 5%的,裁判组将对所有成绩进行复核。
(四)最终成绩
赛项最终得分按 100 分制计分。最终成绩经复核无误,由裁判长、监督仲裁人员签字确认后公布。竞赛结束后 24 小时内公布最终成绩。
(五)成绩排序和奖项设定
第一、名次排序方法
名次的排序根据选手竞赛总分评定结果从高到低依次排定;各组选手如果竞赛总分相同者,按实操得分高者优先,若实操得分相同时,按照实操得分高者优先。
第二、奖项设定
l 赛项按组队要求,设团体一、二、三等奖。按照竞赛总成绩由大到小排序,以参赛队总数为基数,一、二、三等奖获奖比例分别为 10%、20%、30%(小数点后四舍五入),获奖选手颁发奖牌、奖杯和荣誉证书;
l 竞赛另设突出贡献奖、优秀工作者、优秀组织奖、特别支持奖、优秀裁判员等若干奖项,由竞赛组委会颁发奖牌或荣誉证书。
l 各企业(集团)和院校可参照本通知奖励政策制定本单位奖励办法。
四、 大赛的基础设施
(一)竞赛平台条件
比赛的应用系统环境主要以 Windows 和 Linux 系统为主,涉及如下版本:
(1)物理机安装操作系统: Windows 7(64 位)中文试用版。
(2)虚拟机安装操作系统:Windows 系统(试用版):Windows XP、Windows 7、Windows2003 Server、Windows2008 Server(根据命题确定)、 Linux 系统:Ubuntu、Debian、CentOS(根据命题确定)。
(3)其他主要应用软件为:
VMware workstation 免费版
Putty
Python
Chrome 浏览器
(二)赛场设备主要配置清单
序号 | 名称 | 数量 | 设备说明 | 备注 |
1 | 红队协同渗透测试平台V1.0 | 1 | 红队协同渗透测试平台为 1U 设备,标配 2 个千兆以太口,采用英特尔至强系列处理器, 内存大于等于 32G,硬盘采用 SSD 固态硬盘,容量大小≥1T | 赛场设备合作 企业为北京金 诺恒信科技发 展有限公司, 满足赛事要求 的其它产品均 可参赛。 |
2 | 渗透测试管理系统V1.0 | 1 | 信息安全攻防管理系统V1.0可扩展多种虚拟化平台,支持多用户并发在线比赛,根据不同的实战任务下发进行自动调度靶机虚拟化模板,为学员提供单兵闯关、分组混战等实际对战模式。 | |
3 | PC 机 | 2 | CPU 主频>=2.8GHZ,>=四核四线程;内存>=48G;硬盘>=500G;支持硬件虚拟化。 | 多品牌适用 |
(三)选手不得自带工具
竞赛所需的电脑、配套硬件、软件及用的工具仪器由组委会一提供,参赛队选手可以根据竞赛需要自行选择使用,不得自带工具,一经发现将取消参赛成绩。
五、 大赛竞赛流程
(一)竞赛组别
竞赛分为学生组与职工组,凡职业院校(含技工院校)、高校等在籍学生均可报名参加学生组竞赛;凡从事相关专业或职业的企业职工(含院校教师)可报名参加职工组竞赛。
(二)场次安排
根据参赛选手报名人数和设备数量而定,竞赛仅分为学生组、职工组,原则上每组不再分不同场次。
(三)工位抽签
工位抽签在赛前进行。
第三部分 人员须知
一、 参赛队须知
l 参赛队按照大赛赛程安排,凭大赛组委会颁发的参赛证,以及工作证或学生证、身份证等参加竞赛及相关活动。
l 各参赛队按竞赛组委会统一安排参加竞赛前熟悉场地环境的活动,未按时参加视同放弃熟悉场地。
l 各参赛队按组委会统一要求,准时参加赛前领队会。
l 各参赛队在竞赛期间要注意饮食卫生,防止食物中毒。
l 各参赛队在竞赛期间,应保证所有人员的安全,防止交通事故和其它意外事故的发生,为领队、教练(指导教师)和参赛选手购买人身意外保险。
l 各参赛队要发扬良好道德风尚,听从指挥,服从裁判,不弄虚作假。
二、 指导教师须知
l 一支参赛队只能配备一名教练(指导教师)。教练(指导教师)经报名、审核后确定,一经确定不得更换;竞赛开始后,参赛队不得更换教练(指导教师)。如发现弄虚作假者,取消评定优秀教练(指导教师)资格。
l 对申诉的仲裁结果,领队和教练(指导教师)应带头服从和执行,还应说服选手服从和执行。凡恶意申诉,一经查实,组委会将追查相关人员责任。
l 教练(指导教师)应认真研究和掌握本赛项竞赛的技术规则和赛场要求,指导选手做好赛前的一切准备工作。
l 领队和教练(指导教师)应在赛后做好技术总结和工作总结。
三、 参赛选手须知
l 参赛队选手严格遵守赛场规章、操作规程和工艺准则,保证人身及设备安全,接受裁判员的监督和警示,文明竞赛。
l 参赛队选手需同时携带身份证、学生证、参赛证入场,进行检录,抽取顺序号后,须将所有证件交给指导教师,不得带入赛场。参赛队选手凭证进入赛场,在场内操作期间应当始终佩带参赛凭证以备检查。
l 参赛队选手进入赛场,不允许自行携带任何书籍和其他纸质资料(相关技术资料的电子文档由赛项执委会提供),不许携带通讯工具和存储设备(如 U 盘),不许携带任何检测设备和工具。
l 各参赛队选手应在规定的时间段进入赛场熟悉环境,入场后,赛场工作人员与参赛队选手共同确认操作条件及设备状况。
l 竞赛时,在收到开赛信号前不得启动操作,参赛选手按竞赛要求自行决定工作程序和时间安排,在指定赛位上完成竞赛项目,严禁作弊行为。
l 竞赛过程中,因严重操作失误或安全事故不能进行比赛的(例如因操作原因发生短路导致赛场断电的、造成设备不能正常工作的),现场裁判员有权终止该队比赛。
l 比赛期间,参赛队选手连续工作,饮水由赛场统一提供。参赛队选手休息、饮水和如厕时间均计算在比赛时间内。
l 凡在竞赛期间内提前离开的参赛队选手,不得返回赛场。参赛队选手进出赛场不得携带任何与比赛有关的物品。
l 在参赛期间,选手应注意保持工作环境及设备摆放符合生产操作规程。
l 在比赛中如遇非人为因素造成的设备故障,经裁判确认后,可向裁判长申请补足排除故障的时间。
l 结束比赛后,参赛队选手不得再进行任何与比赛有关的操作。须根据现场裁判的指示进行板卡维修结果以及竞赛报告单的提交,在与现场裁判一起签字确认后方可离开赛位。
l 因保密要求,参赛队选手提交的任何文件中不得出现单位名称、参赛者姓名。
l 各参赛队选手需按照大赛要求和赛题要求提交竞赛成果,禁止在竞赛成果上做任何与竞赛无关的记号。
l 参赛选手在比赛过程中,如遇问题,需举手向裁判人员提问。选手之间不得发生任何交流,否则,按作弊处理。
l 比赛结束,选手应立即清理现场,包括竞赛设备及周边卫生并恢复竞赛设备原始状态等。经现场裁判员和现场工作人员确认后方可离开工位。经裁判长统一确认后,选手统一离开赛场。
l 参赛选手在竞赛期间未经组委会的批准,不得接受其他单位和个人进行的与竞赛内容相关的采访;参赛选手不得私自公开比赛相关资料。
四、 工作人员须知
l 工作人员必须服从赛项组委会统一指挥,佩戴工作人员标识,认真履行职责,做好竞赛服务工作。
l 工作人员按照分工准时上岗,不得擅自离岗,应认真履行各自的工作职责,保证竞赛工作的顺利进行。
l 工作人员应在规定的区域内工作,未经许可,不得擅自进入竞赛场地。如需进场,需经过裁判长同意,核准证件,有裁判跟随入场。
l 如遇突发事件,须及时向裁判员报告,同时做好疏导工作,避免重大事故发生。
l 竞赛期间,工作人员不得干涉及个人工作职责之外的事宜,不得利用工作之便,弄虚作假、徇私舞弊。如有上述现象或因工作不负责任的情况,造成竞赛程序无法继续进行,由赛项组委会视情节轻重,给予通报批评或停止工作,并通知其所在单位做出相应处理。
l 各类赛务人员必须统一佩戴由大赛组委会签发的相关证件,着装整齐。
l 除现场裁判员和参赛选手外,其他人员不得进入竞赛区域。赛场安全员、设备和软件技术支持人员、工作人员必须在指定区域等待,未经裁判长允许不得进入竞赛区域,候场选手不得进入赛场。
第四部分 服务指南
一、报到时间及地点
报到时间:2021年10月22日
报到酒店:北方大厦(胜利北街)
酒店地址:河北省石家庄市长安区胜利北街309号
联 系 人:郑华 15227854875
李筱楠 18932746983
报到手续:
(一)领取参赛证件和赛项指南;
(二)登记、安排住宿(食宿费用自理)。
住宿安排:各参赛队在报到酒店入住。
二、用餐
1.各参赛队10月23日早餐统一在住宿酒店用餐。比赛结束后,参赛选手在石家庄铁路职业技术学院学生食堂免费用午餐。
2.各参赛队其他时间用餐自行安排。
三、乘车路线
地铁:石家庄火车站乘地铁2号线直达北方大厦(报道地点,约11公里,票价3元),向东步行300米即可到达石家庄铁路职业技术学院。
五、 省赛沟通群
各参赛队可扫下方二维码加入信息安全与数据恢复赛项河北省赛群,便于及时接收消息和问题咨询。
第五部分 疫情防控
为确保竞赛的顺利举办,石家庄铁路职业技术学院深入贯彻落实教育部、国家卫健委、河北省关于秋冬季新冠肺炎疫情防控各项要求,按照可知可控、精准防控的要求,全面考虑,统筹安排,全力持续做好本次大赛的疫情防控工作。
凡参加本次比赛的参赛选手、指导教师、裁判、工作人员,必须出具以下安全凭证,否则不得参加本次比赛。
(1)48小时以内的核酸检测证明
(2)出行码绿码