2024年北京市职业院校技能大赛信息安全管理与评估赛项规程与样题

2024年北京市职业院校技能大赛

竞赛项目方案

一、赛项名称

（一）赛项名称

    赛项编号：GZ032

    赛项名称：信息安全管理与评估

赛项组别：高职

（二）赛项所属产业类型

   电子信息

培训、环境、资料、考证
公众号：Geek极安云科
网络安全：624032112
网络系统管理：223627079 
网络建设与运维：870959784 


极安云科专注于技能提升，赋能
2024年广东省高校的技能提升，受赋能的客户院校均获奖！
2024年江苏省赛一二等奖前13名中，我们赋能客户占五支队伍！
2024年湖南省赛赋能三所院校均获奖！
2024年山东省赛赋能两所院校均获奖！
2024年湖北省赛赋能参赛院校九支队伍，共计斩获一等奖2项、三等奖7项!

（三）赛项归属专业大类

  本竞赛适用于以下专业：

高职专科信息安全技术应用专业（专业代码：510207）；高职本科信息安全与管理专业（专业代码：310207）；高职专科区块链技术应用专业（专业代码：510212）；高职专科密码技术应用专业（专业代码：510216）；  

高职专科计算机网络技术专业（专业代码：510202）；高职专科计算机应用技术专业（专业代码：510201）；高职专科工业互联网技术专业（专业代码：510211）；高职本科网络工程技术（专业代码：310202）。

二、赛项申报专家组

姓名	单位	专业	职务/职称	年龄	手机号码	邮箱
纪兆华	北京信息职业技术学院	计算机	副校长/教授	51	18801063738	jizh@bitc.edu.cn
孙奇	北京信息职业技术学院	计算机	二级学院副院长/副教授	42	13683263356	sunq@bitc.edu.cn
徐振华	北京信息职业技术学院	计算机	教师/副教授	42	13810404216	xuzh@ bitc.edu.cn
卢海	北京信息职业技术学院	计算机	教师/工程师	51	13683399084	luh@ bitc.edu.cn
包楠	北京神州数码有限公司	计算机	技术总监	39	15901485585	75748697@qq.com

三、赛项目的

（一）引领教学改革

本赛项对接世界技能大赛网络安全项目的技术标准，通过竞赛让参赛选手熟悉世界技能大赛网络安全项目的职业标准规范，检验参赛选手网络组建和安全运维、安全审计、网络安全应急响应、数字取证调查、应用程序安全和网络攻防渗透能力，检验参赛队计划组织和团队协作等综合职业素养，强调学生创新能力和实践能力培养，提升学生职业能力和就业质量。

（二）强化专业建设

该赛项衔接国家信息安全技术应用高职专业标准，竞赛内容覆盖“信息安全技术与实施”、“信息安全产品配置与应用”、“网络安全系统集成”、“网络攻防实训”、“网络安全运行与维护”、“操作系统安全配置”、“Web 渗透测试技术”等专业核心课程内容。

（三）促进产教合作

赛项基于信息安全领域主流技术和现行业务流程设计，信息安全行业专家与院校教育专家紧密合作，赛前完成竞赛内容向教学改革的成果转化，实现以赛促教、以赛促学、以赛促改、以赛促建的教产融合的赛事创新。

四、竞赛内容

重点考核参赛选手网络组建和安全运维、安全审计、网络安全应急响应、数字取证调查、应用程序安全和网络攻防渗透等综合实践能力，具体包括：

（一）参赛选手能够根据大赛提供的赛项要求，设计信息安全防护方案，并且能够提供详细的信息安全防护设备拓扑图。

（二）参赛选手能够根据业务需求和实际的工程应用环境，实现网络设备、安全设备、服务器的连接，通过调试，实现设备互联互通。

（三）参赛选手能够在赛项提供的网络设备及服务器上配置各种协议和服务，实现网络系统的运行，并根据网络业务需求配置各种安全策略，组建网络以满足应用需求。

（四）参赛选手能够根据企业所发现的安全事件，展开网络安全事件的调查、分析和取证工作，收集、保存、处理、分析和提供与计算机相关的证据，审计黑客的入侵行为，恢复被黑客破坏的文件。

（五）参赛选手可以利用一系列网络安全攻击渗透工具对所提供的网络安全攻击靶场环境进行综合分析、挖掘和渗透。

（六）竞赛分值权重和时间分布

序号	内容模块	竞赛时间
第一阶段 权重 55%	网络平台搭建与设备安全防护	竞赛第一天上午（120 分钟）
第二阶段 权重 45%	夺旗挑战 CTF（网络安全渗透）	竞赛第一天上午（90 分钟）

五、竞赛方式

选手构成本赛项为团体赛，每支参赛队由 3 名选手组成，必须为在籍高职院校学生。其中，参赛选手年龄须不超过 25 周岁(年龄计算的截止时间以2024 年 5 月 1 日为准)，其性别和年级不限。指导教师须为本校专职教师，每参赛队可配置 2 位以内的指导老师。

六、竞赛流程

（一）竞赛流程图

 

（二）竞赛时间表

比赛限定在1天内进行，赛项竞赛时间为3.5小时，时间为9:00-13:30，具体安排如下：

日程安排
07:30	裁判进入裁判室
08:00-08:30	选手抽签，一次加密
08:30-08:50	选手抽签，二次加密及入场
08:50-09:00	参赛代表队就位，宣读考场纪律
09:00-09:15	第一阶段赛题发放时间
09:15-11:30	第一阶段正式比赛时间
11:35-11:45	第一阶段比赛结果提交时间，三次加密
11:45-11:50	第二阶段赛题发放时间
11:50-13:20	第二阶段正式比赛时间
13:30	比赛正式结束

备注：参赛选手午餐时间由大赛组委会统一安排，就餐时间计入比赛时间。

（三）竞赛内容分布

序号	内容模块	具体内容	说明
第一阶段	网络平台搭建	网络规划	VLSM、CIDR等；
		基础网络	VLAN、WLAN、STP、SVI、RIPV2、OSPF等；
	网络安全设备配置与防护	访问控制	保护网络应用安全，实现防DOS、DDOS攻击、实现包过滤、应用层代理、状态化包过滤、URL过滤、基于IP、协议、应用、用户角色、自定义数据流和时间等方式的带宽控制，QOS策略等；
		密码学和VPN	密码学基本理论 L2L IPSec VPN GRE Over IPSec L2TP Over IPSec IKE：PSK IKE：PKI SSL VPN等；
		数据分析	能够利用日志系统对网络内的数据进行日志分析，把控网络安全等；
第二阶段	夺旗挑战 CTF（网络安全渗透）	网络渗透测试及其加固技术	使用渗透测试技术利用 SQL 注入、文件上传、命令执行、栈溢出、缓冲区溢出等漏洞对目标靶机进行渗透测试；通过信息收集、逆向文件分析、二进制漏洞利用、应用服务漏洞利用、操作系统漏洞利用、密码学分析及一些杂项信息分析等信息安全技术获取靶机内的关键内容。满分 35 分；机考评分

七、竞赛赛卷

本赛项为统一出题，由竞赛组委会聘请企业相关专家进行出题，采取AB卷形式，最终审核确认、打印、封存。正式赛题密封存放在承办院校保密室中。保密室全程监控，并安排专人把守。

正式比赛试卷在比赛当天前 1 小时，由两名裁判及比赛监督员将当天的竞赛试卷从保密室监护运往赛场。由裁判长在监督仲裁组组长监督下，从当天的2套正式赛题中随机抽取一套竞赛试题。

八、竞赛规则

（一）参赛队及参赛选手资格。参赛选手须为高职院校全日制在籍注册学生、本科院校中高职类全日制（一至三年级）在籍注册学生、五年制高职（四、五年级）在籍注册学生。参赛选手年龄须不超过 25 周岁(年龄计算的截止时间以2024年 5 月 1 日为准)。凡在往届全国职业院校技能大赛中获本赛项高职组一等奖的选手，不能再报名参赛。

（二）竞赛工位通过抽签决定，竞赛期间参赛选手不得离开竞赛工位。

（三）竞赛所需的硬件设备、系统软件和辅助工具由赛项执委会统一安排，参赛选手不得自带硬件设备、软件、移动存储、辅助工具、移动通信等进入竞赛现场。

（四）参赛队自行决定选手分工、工作程序和时间安排。

（五）参赛队在赛前 10 分钟进入竞赛工位并领取竞赛任务，竞赛正式开始后方可展开相关工作。

（六）竞赛过程中，选手须严格遵守操作规程，确保人身及设备安全，并接受裁判员的监督和警示。若因选手因素造成设备故障或损坏，无法继续竞赛，裁判长有权决定终止该队竞赛；若因非参赛选手个人因素造成设备故障，由裁判长视具体情况做出裁决。

（七）竞赛结束（或提前完成）后，参赛队要确认已成功提交所有竞赛文档，裁判员与参赛队队长一起签字确认，参赛队在确认后不得再进行任何操作。

（八）最终竞赛成绩经复核无误及裁判长、监督仲裁长签字确认后，在指定地点，以纸质形式向全体参赛队进行公布，并在闭赛式上予以宣布。

（九）本赛项各参赛队最终成绩由承办单位信息员录入赛务管理系统。承办单位信息员对成绩数据审核后，将赛务管理系统中录入的成绩导出打印，经赛项裁判长审核无误后签字。承办单位信息员将裁判长确认的电子版赛项成绩信息上传赛务管理系统，同时将裁判长签字的纸质打印成绩单报送大赛执委会。

（十）赛项结束后专家工作组根据裁判判分情况，分析参赛选手在比赛过程中对各个知识点、技术的掌握程度，并将分析报告报备大赛执委会办公室，执委会办公室根据实际情况适时公布。

（十一）赛项每个比赛环节裁判判分的原始材料和最终成绩等结果性材料经监督仲裁组人员和裁判长签字后装袋密封留档，并由赛项承办院校封存，委派专人妥善保管。

九、竞赛环境

竞赛工位内设有操作平台，每工位配备 220V 电源，工位内的电缆线应符合安全要求。每个竞赛工位面积≥6 ㎡，确保参赛队之间互不干扰。竞赛工位标明工位号，并配备竞赛平台和技术工作要求的软、硬件。环境标准要求保证赛场采光(大于 500lux)、照明和通风良好；每支参赛队提供一个垃圾箱。除了竞赛工位之外，同时设计了成果展示区、体验区、观摩区、服务区等。成果展示区主要展示大赛配套教材、资源包等内容；体验区主要展示竞赛设备以及相关新技术、新产品；观摩区主要展示信息安全攻击渗透的实时进度；服务区提供医疗等服务保障。

十、技术规范

该赛项涉及的信息网络安全工程在设计、组建过程中，主要有以下7项国家标准，参赛队在实施竞赛项目中要求遵循如下规范：

序号	标准号	中文标准名称
1	GB 17859-2019	《计算机信息系统安全保护等级划分准则》
2	GB/T 20271-2016	《信息安全技术信息系统通用安全技术要求》
3	GB/T 20270-2016	《信息安全技术网络基础安全技术要求》
4	GB/T 20272-2016	《信息安全技术操作系统安全技术要求》
5	GB/T 20273-2016	《信息安全技术数据库管理系统安全技术要求》
6	GA/T 671-2006	《信息安全技术终端计算机系统安全等级技术要求》
7	GB/T 20269-2006	《信息安全技术信息系统安全管理要求》

十一、技术平台

（一）竞赛软件

竞赛组委会提供个人计算机（安装Windows操作系统），用以组建局域网和广域网，并安装Office等常用应用软件。

序号	软件	介绍
1	Windows	操作系统
2	Microsoft Office	文档编辑工具
3	TFTP服务器	设备配置文件上传、下载工具
4	超级终端	设备调试连接工具

竞赛组委会提供服务器环境，按照大赛要求提供网络服务。

序号	软件	介绍
1	Windows 7\Windows XP	服务器操作系统
2	Windows Server 2003\2008	服务器操作系统
3	Linux AS4\AS5	服务器操作系统
4	Linux CentOS	服务器操作系统

（二）竞赛设备清单

序号	类型	型号	数量	说明
1	三层交换机	神州数码DCRS-5650-28	1	沿用2015年设备
2	防火墙	神州数码DCFW-1800S-H-V2	1	沿用2015年设备
3	堡垒服务器	神州数码DCST-6000B	1	沿用2015年设备
4	web应用防火墙	神州数码DCFW-1800-WAF-LAB	1	沿用2015年设备
5	网络日志系统	神州数码DCBI-NetLog-LAB	1	沿用2015年设备
6	网络流控系统	神州数码DCFS-LAB	1	沿用2015年设备
7	PC机	多核CPU，主频1G、内存2G或以上	3	沿用2015年设备

十二、成绩评定

（一）裁判工作原则

按照《全国职业院校技能大赛专家和裁判工作管理办法》建立全国职业院校技能大赛赛项裁判库，裁判长由赛项执委会向大赛执委会推荐，由大赛执委会聘任。赛前建立健全裁判组。裁判组为裁判长负责制，划分裁判小组（2人为一组），并设有专职督导人员1-2名，负责比赛过程全程监督，防止营私舞弊。本赛项计划需要裁判26名。分为加密裁判、现场裁判和评分裁判。

赛项需进行三次加密，加密后参赛选手中途不得擅自离开赛场。分别由3组加密裁判组织实施加密工作，管理加密结果。监督员全程监督加密过程。

第一组加密裁判，组织参赛选手进行第一次抽签，产生参赛编号，替换选手参赛证等个人身份信息，填写一次加密记录表连同选手参赛证等个人身份信息证件，装入一次加密结果密封袋中单独保管。

第二组加密裁判，组织参赛选手进行第二次抽签，确定赛位号，替换选手参赛编号，填写二次加密记录表连同选手参赛编号，装入二次加密结果密封袋中单独保管。

第三组加密裁判对提交的竞赛文档进行加密。确定竞赛文档号，替换赛位号，填写三次加密记录表，装入三次加密结果密封袋中单独保管。

所有加密结果密封袋的封条均需相应加密裁判和监督人员签字。密封袋在监督人员监督下由加密裁判放置于保密室的保险柜中保存。 

（二）裁判评分方法

裁判组负责竞赛机考评分和结果性评分，由裁判长负责竞赛全过程；裁判员提前报到，报到后所有裁判的手机全部上缴裁判长统一保管，评分结束返回，保证竞赛的公正与公平。

竞赛现场有监督员、裁判员、监考员、技术支持队伍等组成，分工明确。根据现场环境，每位监考员负责2-3组参赛队，5-6名技术支持工程师负责所有工位设备应急。监考员负责与参赛队伍的交流沟通及试卷等材料的收发，裁判员负责设备问题确认和现场执裁，技术支持负责执行裁判确认后的设备应急处理。

（三）成绩产生办法

裁判员执裁过程中，各模块由分组裁判员进行背对背评分，由小组长负责裁定成绩一致方提交到成绩统计组，统计组再次核对每小题的得分，并汇总产生每套竞赛文档号的对应成绩。

裁判长在竞赛结束18小时内提交竞赛文档号对应的评分结果，经复核无误，由裁判长、监督人员和仲裁人员签字确认后公布。

裁判长正式提交竞赛文档号对应的评分结果并复核无误后，加密裁判在监督人员监督下对加密结果进行逐层解密，形成成绩一览表，成绩表由裁判长、监督员签字确认。

竞赛评分严格按照公平、公正、公开的原则，评分标准注重考查参赛选手以下各方面的能力和水平：

序号	内容模块	评分载体	分值	评分方式
第一阶段 权重55%	网络平台搭建 权重15%	网络规划文档	7%	结果评分-客观
		三层交换机配置文件	8%	结果评分-客观
	网络安全设备配置与防护 权重40%	防火墙路由、安全策略、NAT、VPN 等配置和测试；网络日志系统网络检测、统计、告警等配置；web 应用防火墙防护策略、过滤策略、告警等配置；无线管理、无线网络设置、安全策略等配置和测试；三层交换机路由、	40%	结果评分-客观
第三阶段 权重45%	CTF夺旗 权重45%	获得一个成果，加一分	45%	机考评分

参赛选手应体现团队风貌、团队协作与沟通、组织与管理能力和工作计划能力等，并注意相关文档的准确性与规范性。

竞赛过程中，参赛选手如有不服从裁判判决、扰乱赛场秩序、舞弊等不文明行为，由裁判组按照规定扣减相应分数，情节严重的取消竞赛资格。选手有下列情形，需从比赛成绩中扣分：

1. 违反比赛规定，提前进行操作或比赛终止后仍继续操作的，由现场裁判负责记录并酌情扣1-5分。

2. 在竞赛过程中，违反操作规程，影响其他选手比赛的，未造成设备损坏的参赛队，扣5-10分。

3. 在竞赛过程中，造成设备损坏或影响他人比赛、情节严重的报竞赛执委会批准，终止该参赛队的比赛，竞赛成绩以0分计算。

（四）成绩复核与公布

1. 为保障成绩评判的准确性，监督组将对赛项总成绩排名前30%的所有参赛队伍（选手）的成绩进行复核；对其余成绩进行抽检复核，抽检覆盖率不得低于15%。如发现成绩错误以书面方式及时告知裁判长，由裁判长更正成绩并签字确认。复核、抽检错误率超过5%的，裁判组将对所有成绩进行复核。

2．竞赛成绩以复核无误后，经项目裁判长、总裁判长、仲裁人员审核签字后确定。竞赛成绩通过赛场显示屏和网络直播等方式进行实时公布。同时，在赛场及赛场外张贴纸质成绩。若有异议，经过规定程序仲裁后，按照仲裁结果公布比赛成绩。

十三、赛项安全

赛事安全是职业院校技能大赛一切工作顺利开展的先决条件，是本赛项筹备和运行工作必须考虑的核心问题。

 （一）组织机构

 赛项执委会组织专门机构负责赛区内赛项的安全工作，建立公安、消防、司法行政、交通、卫生、食品、质检等相关部门协调机制保证比赛安全，制定应急预案，及时处置突发事件。制定相应安全管理的规范、流程和突发事件应急预案，全过程保证比赛筹备和实施工作安全。

（二）赛项设计

1. 比赛内容涉及的器材、设备均符合国家有关安全规定。赛项专家组充分考虑了比赛内容和所用器材、耗材可能存在的危险因素，通过完善设计规避风险，采取有效防范措施保证选手备赛和比赛安全。危险提示和防范措施将在赛项技术文件中加以明确。

2. 赛项技术文件包含国家（或行业）有关职业岗位安全的规范、条例和资格证书要求等内容。

3. 赛项执委会将在赛前对本赛项全体裁判员进行裁判培训和安全培训，对服务人员进行安全培训。该赛项源于实际安全网络组建与运维的生产过程，根据《中华人民共和国劳动法》等法律法规，建立了完善的安全事故防范制度，并在赛前对选手进行培训，避免发生人身伤害事故。

4. 赛项执委会将制定专门方案保证比赛命题、赛题保管和评判过程的安全。

十四、竞赛须知

（一）参赛队须知

1.参赛队应该参加赛项承办单位组织的闭赛式等各项赛事活动。

2.在赛事期间，领队及参赛队其他成员不得私自接触裁判，凡发现有弄虚作假者，取消其参赛资格，成绩无效。

3.所有参赛人员须按照赛项规程要求按照完成赛项评价工作。

4. 对于有碍比赛公正和比赛正常进行的参赛队，视其情节轻重，按照《全国职业院校技能大赛奖惩办法》给予警告、取消比赛成绩、通报批评等处理。

（二）参赛领队须知

1.个参赛院校确定赛项领队1人，熟悉赛项流程，具备管理与组织协调能力。

2.领队应按时参加赛前领队会议，不得无故缺席。

3.领队负责组织本省参赛队参加各项赛事活动。

4.领队应积极做好本省参赛队的服务工作，协调各参赛队与赛项组织机构、承办院校的对接。

5.参赛队认为存在不符合竞赛规定的设备、工具、软件，有失公正的评判、奖励，以及工作人员的违规行为等情况时，须由领队向赛项仲裁组提交书面申诉材料。各参赛队领队应带头服从和执行申诉的最终仲裁结果，并要求指导教师、选手服从和执行。

（三）指导教师须知

1.指导教师应该根据专业教学计划和赛项规程合理制定训练方案，认真指导 选手训练，培养选手的综合职业能力和良好的职业素养，克服功利化思想，避免为赛而学、以赛代学。

2.指导老师应及时查看大赛专用网页有关赛项的通知和内容，认真研究和掌握本赛项竞赛的规程、技术规范和赛场要求，指导选手做好赛前的一切技术准备和竞赛准备。

3.指导教师应该根据赛项规程要求做好参赛选手保险办理工作，并积极做好选手的安全教育。

（四）参赛选手须知

1.参赛选手应按有关要求如实填报个人信息，否则取消竞赛资格。

2.参赛选手需持统一印制的参赛证和有效身份证件参加竞赛。

3.参加选手应认真学习领会本次竞赛相关文件，自觉遵守大赛纪律，服从指挥，听从安排，文明参赛。

4.参加选手请勿携带任何电子设备及其他资料、用品进入赛场。

5.参赛选手应按照规定时间抵达赛场，凭参赛证、身份证件检录，按要求入场，不得迟到早退。

6.参赛选手应增强角色意识，科学合理分工与合作。

7.参赛选手应按有关要求在指定位置就坐。

8.参赛选手须在确认竞赛内容和现场设备等无误后开始竞赛。在竞赛过程中，确因计算机软件或硬件故障，致使操作无法继续的，经项目裁判长确认，予以启用备用计算机。

（五）工作人员须知

1.树立服务观念，一切为选手着想，以高度负责的精神、严肃认真的态度和严谨细致的作风，在赛项执委会的领导下，按照各自职责分工和要求认真做好岗位工作。

2.所有工作人员必须佩带证件，忠于职守，秉公办理，保守秘密。

3.注意文明礼貌，保持良好形象，熟悉赛项指南。

4.自觉遵守赛项纪律和规则，服从调配和分工，确保竞赛工作的顺利进行。

5.提前 30 分钟到达赛场，严守工作岗位，不迟到，不早退，不得无故离岗，特殊情况需向工作组组长请假。

6.熟悉竞赛规程，严格按照工作程序和有关规定办事，遇突发事件，按照应急预案，组织指挥人员疏散，确保人员安全。

十五、申诉与仲裁

各参赛队对不符合大赛和赛项规程规定的仪器、设备、工装、材料、物件、计算机软硬件、竞赛使用工具、用品，竞赛执裁、赛场管理，以及工作人员的不规范行为等，可向赛项监督仲裁组提出申诉。申诉主体为参赛队领队。参赛队领队可在比赛结束后（选手赛场比赛内容全部完成）2 小时之内向监督仲裁组提出书面申诉。

书面申诉应对申诉事件的现象、发生时间、涉及人员、申诉依据等进行充分、实事求是的叙述，并由领队亲笔签名。非书面申诉不予受理。赛项监督仲裁工作组在接到申诉报告后的 2 小时内组织复议，并及时将复议结果以书面形式告知申诉方。申诉方对复议结果仍有异议，可由省（市）领队向赛区监督仲裁委员会提出申诉。赛区监督仲裁委员会的仲裁结果为最终结果。仲裁结果由申诉人签收，不能代收，如在约定时间和地点申诉人离开，视为自行放弃申诉。

申诉方可随时提出放弃申诉，不得以任何理由采取过激行为扰乱赛场秩序。

十六、竞赛直播

本赛项赛前对赛题保密、设备安装调试、软件安装等关键环节进行实况摄录。竞赛过程采用全程摄录的形式，对比赛的开闭幕式、比赛过程实况转播、手工评卷过程进行摄录。

十七、赛场预案

1.竞赛过程中出现设备掉电、故障等意外时，现场裁判需及时确认情况，安排技术支持人员进行处理，现场裁判登记细情况，填写补时登记表，报裁判长批准后，可安排延长补足相应选手的比赛时间。

2.预留充足备用 PC 和设备，当出现设备掉电、故障等意外时经现场裁判确认后由赛场技术支持人员予以更换。

3.赛项出现重大突发事件和重大安全问题，经赛项执委会和专家组同意，暂停比赛，由涉及人员有关领导，如裁判长、领队、技术支持公司负责人、执委会领导和承办校负责人协调处理解决；如若不能处理，中止比赛，是否停赛由赛区执委会决定。事后，赛区执委会应向大赛执委会报告详细情况。

4.比赛期间发生意外伤害、意外疾病等重大事故，裁判长立即中止相关人员比赛，第一时间由承办校医疗站校医抢救，严重呼叫 120 送往医院。

十八 赛项成果转化

 参照《全国职业院校技能大赛赛项资源转化工作办法》的有关要求，提供赛项竞赛全过程的各类资源，于赛后 30 日内向大赛办提交资源转化方案，半年内完成资源转化工作，形成符合行业标准、契合课程标准、突出技能特色、展现竞赛优势，满足职业教育教学需求、体现先进教学模式、反映职业教育先进水平的赛项资源转化成果。本赛项教学资源转化建设计划如下表所示。

 教学资源转化建设计划

资源名称			表现形式	资源 数量	资源要求	完成时间
基 本资 源	风采展示	赛项宣传片	视频	1个	10 分钟以上	赛后1个月内
	技能概要	技能介绍 技能要点 评价指标	文本文档	3份	覆盖信息安全技术应用专业主要岗位	赛后3个月内
	教学资源	实训课程方案	文本 文档	1套	岗位工程师的技能训练	赛后3个月内
拓展资源	案例库		文本文档和操作数据	5套	包含网络设计案例及操作数据	赛后6个月内
	优秀选手访谈		视频	1个	每个视频 10 分钟以上	赛后3个 月内
	试题解析		文本文档/操作数据	1个	对主要技术点进行技术解析	赛后6个月内

十九、竞赛样题

北京市职业院校技能大赛

高职组

信息安全管理与评估

样题

模块一

网络平台搭建与设备安全防护

 

• 赛项时间

共计180分钟。

• 赛项信息

竞赛阶段	任务阶段	竞赛任务	竞赛时间	分值
第一阶段 网络平台搭建与设备安全防护	任务1	网络平台搭建	XX:XX- XX:XX	50
	任务2	网络安全设备配置与防护		250

• 赛项内容

本次大赛，各位选手需要完成三个阶段的任务，其中第一个阶段需要按裁判组专门提供的U盘中的“XXX-答题模板”提交答案。第二阶段请根据现场具体题目要求操作。

选手首先需要在U盘的根目录下建立一个名为“GWxx”的文件夹（xx用具体的工位号替代），赛题第一阶段所完成的“XXX-答题模板”放置在文件夹中。

例如：08工位，则需要在U盘根目录下建立“GW08”文件夹，并在“GW08”文件夹下直接放置第一个阶段的所有“XXX-答题模板”文件。

特别说明：只允许在根目录下的“GWxx”文件夹中体现一次工位信息，不允许在其他文件夹名称或文件名称中再次体现工位信息，否则按作弊处理。

• 赛项环境设置

某集团公司原在北京建立了总部，在南京设立了分公司。总部设有销售、产品、财务、信息技术4个部门，分公司设有销售、产品、财务3个部门，统一进行IP及业务资源的规划和分配，全网采用OSPF动态路由协议和静态路由协议进行互连互通。公司规模在2023年快速发展，业务数据量和公司访问量增长巨大。为了更好管理数据，提供服务，集团决定建立自己的中型数据中心及业务服务平台，以达到快速、可靠交换数据，以及增强业务部署弹性的目的。集团、分公司的网络结构详见拓扑图。其中总公司使用一台SW交换机用于总部核心和终端高速接入，采用一台BC作为总公司因特网出口；分公司采用一台FW防火墙作为因特网出口设备，一台AC作为分公司核心，同时作为集团有线无线智能一体化控制器，通过与AP高性能企业级AP配合实现集团无线覆盖，总部有一台WEB服务器，为了安全考虑总公司部署了一台WAF对服务器进行web防护。在2023年公司进行IPV6网络改造，内部网络采用双栈模式。Ipv6 网络采用ospf V3实现互通。

1. 1. 网络拓扑图

1. 1. IP地址规划表

设备名称	接口	IP地址	对端设备	接口
防火墙 FW	ETH0/1-2	20.1.0.1/30（trust1安全域）	SW	eth1/0/1-2
		20.1.1.1/30（untrust1安全域）	SW
		222.22.1.1/29（untrust）	SW
	ETH0/3	20.10.28.1/24(DMZ)	WAF
	Eth0/4-5	20.1.0.13/30 2001:da8:192:168:10:1::1/96	AC	Eth1/0/21-22
	Loopback1	20.0.0.254/32（trust） Router-id
	L2TP Pool	192.168.10.1/26 可用IP数量为20	L2tp VPN地址池
三层 交换机 SW	ETH1/0/4	财务专线 VPN CW	AC	ETH1/0/4
	ETH1/0/5	trunk	AC	ETH1/0/5
	ETH1/0/6	trunk	AC	ETH1/0/6
	VLAN21 ETH1/0/1-2	20.1.0.2/30	FW	Eth1/0/1-2
	VLAN22 ETH1/0/1-2	20.1.1.2/30	FW	Eth1/0/1-2
	VLAN 222 ETH1/0/1-2	222.22.1.2/29	FW	Eth1/0/1-2
	VLAN 24 ETH1/0/24	223.23.1.2/29	BC	Eth 5
	Vlan 25 Eth 1/0/3	20.1.0.9/30 Ipv6:2001:da8:20:1:0::1/96	BC	Eth 1
	VLAN 30 ETH1/0/4	20.1.0.5/30	AC 1/0/4	Vlan name CW
	VLAN 31 Eth1/0/10-12 10口配置Loopback	20.1.3.1/25		Vlan name CW
	VLAN 40 ETH1/0/8-9	192.168.40.1/24 IPV6 2001:DA8:192:168:40::1/96		Vlan name 销售
	VLAN 50 ETH1/0/13-14	192.168.50.1/24 IPV6 2001:DA8:192:168:50::1/96	PC3	Vlan name 产品
	Vlan 60 Eth1/0/15-16	192.168.60.1/24 IPV6 2001:DA8:192:168:60::1/96		Vlan name 信息
	VLAN 100 ETH 1/0/20	需设定		Vlan name AP-Manage
	Loopback1	20.0.0.253/32(router-id)
无线 控制器 AC	VLAN 30 ETH1/0/4	20.1.0.6/30	SW	Vlan name TO-CW
	VLAN 10	Ipv4:需设定 2001:da8:172:16:1::1/96	无线1	Vlan name WIFI-vlan10
	VLAN 20	Ipv4:需设定 2001:da8:172:16:2::1/96	无线2	Vlan name WIFI-vlan20
	VLAN 31	20.1.3.129/25		Vlan name CW
	VLAN 140 ETH1/0/5	172.16.40.1/24	SW 1/0/5	Vlan name 销售
	Vlan 150 Eth1/0/13-14	172.16.50.1/24 IPV6 2001:DA8:172:16:60::1/96		Vlan name 产品
	Vlan 60 Eth1/0/15-18	192.168.60.2/24 IPV6 2001:DA8:192:168:60::2/96		Vlan name 信息
	Vlan 70 Eth1/0/21-22	20.1.0.14/30 2001:da8:192:168:10:1::1/96	FW	Eth1/0/4-5
	Loopback1	20.1.1.254/24(router-id)
日志 服务器 BC	Eth1	20.1.0.10/30 Ipv6:2001:da8:20:1:0::2/96	SW	Eth1/0/3
	Eth5	223.23.1.1/29	SW
	eth3	192.168.28.1/24	WAF
	PPTP-pool	192.168.10.129/26（10个地址）
WEB应用防火墙WAF	ETH2	192.168.28.2/24	SERVER
	ETH3		FW
AP	Eth1		SW（20口）
SERVER	网卡	192.168.28.10/24

• 第一阶段任务书

任务1：网络平台搭建 （50分）

题号	网络需求
1	根据网络拓扑图所示，按照IP地址参数表，对FW的名称、各接口IP地址进行配置。
2	根据网络拓扑图所示，按照IP地址参数表，对SW的名称进行配置，创建VLAN并将相应接口划入VLAN。
3	根据网络拓扑图所示，按照IP地址参数表，对AC的各接口IP地址进行配置。
4	根据网络拓扑图所示，按照IP地址参数表，对BC的名称、各接口IP地址进行配置。
5	按照IP 地址规划表，对WEB 应用防火墙的名称、各接口IP 地址进行配置。

任务2：网络安全设备配置与防护（250分）

1. 北京总公司和南京分公司有两条裸纤采用了骨干链路配置，做必要的配置，只允许必要的vlan通过，不允许其他vlan信息通过包含vlan1。
2. SW和AC开启telnet登录功能，telnet登录账户仅包含“***2023”，密码为明文“***2023”，采用telnet方式登录设备时需要输入enable密码，密码设置为明文“12345” 。
3. 北京总公司和南京分公司租用了运营商三条裸光纤，实现内部办公互通。一条裸光纤承载公司财务部门业务，另外两条裸光纤承载其他内部有业务。使用相关技术实现总公司财务段路由表与公司其它业务网段路由表隔离，财务业务位于VPN 实例名称CW 内，总公司财务和分公司财务能够通信，财务部门总公司和分公司之间采用RIP路由实现互相访问。
4. SW和AC之间启用MSTP，实现网络二层负载均衡和冗余备份，要求如下：无线用户关联实例 1，信息部门关联实例2，名称为SKILLS，修订版本为1，设置AC为根交换机，走5口链路转发、信息部门通过6口链路转发，同时实现链路备份。除了骨干接口，关闭其他接口生成树协议。
5. 总公司产品部门启用端口安全功能，最大安全MAC地址数为20，当超过设定MAC地址数量的最大值，不学习新的MAC、丢弃数据包、发 snmp trap、同时在syslog日志中记录，端口的老化定时器到期后，在老化周期中没有流量的部分表项老化，有流量的部分依旧保留，恢复时间为10分钟；禁止采用访问控制列表，只允许IP主机位为20-50的数据包进行转发；禁止配置访问控制列表，实现端口间二层流量无法互通，组名称FW。
6. 由于总公司出口带宽有限，需要在交换机上对总公司销售部门访问因特网http服务做流量控制，访问http流量最大带宽限制为20M比特/秒，突发值设为4M字节，超过带宽的该网段内的报文一律丢弃。
7. 在SW上配置将8端口收到的源IP为10.0.41.111的帧重定向到9端口，即从8端口收到的源IP为10.0.41.111的帧通过9端口转发出去。
8. 总公司SW交换机模拟因特网交换机，通过某种技术实现本地路由和因特网路由进行隔离，因特网路由实例名internet。
9. 对SW上VLAN60开启以下安全机制：

启用环路检测，环路检测的时间间隔为10s，发现环路以后关闭该端口，恢复时间为30分钟； 如私设DHCP服务器关闭该端口;开启防止ARP网关欺骗。

1. 配置使北京公司内网用户通过总公司出口BC访问因特网，分公司内网用户通过分公司出口FW访问因特网，要求总公司销售部门的用户访问因特网的流量往反数据流都要经过防火墙，在通过BC访问因特网;防火墙untrust和trust1开启安全防护，参数采用默认参数。
2. 总部核心交换机上配置 SNMP，引擎 id 分别为 1；创建组 GROUP2023，采用最高安全级别，配置组的读、写视图分别为：SKILLS_R、SKILLS_W；创建认证用户为USER2023，采用aes算法进行加密，密钥为Pass-1234，哈希算法为sha，密钥为Pass-1234；当设备有异常时，需要用本地的环回地址loopback1发送v3 Trap消息至集团网管服务器20.10.11.99、采用最高安全级别；当财务部门对应的用户接口发生UP DOWN事件时，禁止发送trap消息至上述集团网管服务器。
3. 总公司和分公司今年进行IPv6试点，要求总公司和分公司销售部门用户能够通过IPV6相互访问，IPV6业务通过租用裸纤承载。实现分公司和总公司ipv6业务相互访问；FW、AC与SW之间配置动态路由OSPF V3 使总公司和分公司可以通过IPv6通信。
4. 在总公司核心交换机SW配置IPv6地址，开启路由公告功能，路由器公告的生存期为2小时，确保销售部门的IPv6终端可以通过DHCP SERVER 获取IPv6地址，在SW上开启IPV6 dhcp server功能。
5. 在南京分公司上配置IPv6地址，使用相关特性实现销售部的IPv6终端可自动从网关处获得IPv6无状态地址。
6. FW、SW、AC、BC之间配置OSPF area 0 开启基于链路的MD5认证，密钥自定义，SW与AC手动配置 INTERNET 默认路由，让总公司和分公司内网用户能够相互访问包含AC上loopback1地址。
7. 分公司销售部门通过防火墙上的DHCP SERVER获取IP地址，server IP地址为20.0.0.254，地址池范围172.16.40.10-172.16.40.100，dns-server 8.8.8.8。
8. 如果SW的11端口的收包速率超过30000则关闭此端口，恢复时间5分钟；为了更好地提高数据转发的性能，SW交换中的数据包大小指定为1600字节。
9. 为实现对防火墙的安全管理，在防火墙FW的Trust安全域开启PING,HTTP，telnet，SNMP功能，Untrust安全域开启SSH、HTTPS功能。
10. 在分部防火墙上配置，分部VLAN业务用户通过防火墙访问Internet时，转换为公网IP： 182.22.1.1/29；保证每一个源IP 产生的所有会话将被映射到同一个固定的IP 地址，当有流量匹配本地址转换规则时产生日志信息，将匹配的日志发送至20.10.28.10 的UDP 2000 端口。
11. 远程移动办公用户通过专线方式接入分公司网络，在防火墙FW上配置，采用L2TP方式实现仅允许对内网信息部门的访问，端口号使用4455，用户名密码均为ABC2023，地址池参见地址表。
12. 分公司部署了一台AC为了便于远程管理，需要把AC的web映射到外网，让外网通过能通过防火墙外网口地址访问AC的web服务，AC地址为loopback地址。
13. 为了安全考虑，无线用户移动性较强，访问因特网时需要在BC上开启web认证使用https方式，采用本地认证，密码账号都为web2023，同一用户名只能在一个客户端登录，设置超时时间为30分钟。
14. 由于分公司到因特网链路带宽比较低，出口只有200M带宽，需要在防火墙配置iQOS，系统中 P2P 总的流量不能超过 100M ，同时限制每用户最大下载带宽为2M，上传为1M，优先保障HTTP应用，为http预留100M带宽。
15. 为净化上网环境，要求在防火墙FW做相关配置，禁止无线用户周一至周五工作时间9：00-18：00的邮件内容中含有“病毒”、“赌博”的内容，且记录日志。
16. 由于总公司无线是通过分公司的无线控制器统一管理，为了防止专线故障导致无线不能使用，总公司和分公司使用互联网作为总公司无线ap和AC相互访问的备份链路。FW和BC之间通过IPSEC技术实现AP管理段与无线AC之间联通，具体要求为采用预共享密码为 ***2023，IKE 阶段 1 采用 DH 组 1、3DES 和 MD5 加密方，IKE 阶段 2 采用 ESP-3DES，MD5。
17. 总公司用户，通过BC访问因特网，BC采用路由方式，在BC上做相关配置，让总公司内网用户（不包含财务）通过ip：183.23.1.1/29访问因特网。
18. 在BC上配置PPTP vpn 让外网用户能够通过PPTP vpn访问总公司SW上内网地址，用户名为GS2023，密码123456。
19. 为了提高分公司出口带宽，尽可能加大分公司AC和出口FW之间带宽。
20. 在BC上开启IPS策略，对分公司内网用户访问外网数据进行IPS防护，保护服务器、客户端和恶意软件检测，检测到攻击后进行拒绝并记录日志。
21. 对分公司内网用户访问外网数据进行防病毒防护，检查协议类型包含HTTP、FTP、POP3、SMTP，文件类型包含exe、bat、vbs、txt，检测到攻击后进行记录日志并阻断。
22. 总公司出口带宽较低，总带宽只有200M，为了防止内网用户使用p2p迅雷下载占用大量带宽需要限制内部员工使用P2P工具下载的流量，最大上下行带宽都为50M，以免P2P流量占用太多的出口网络带宽, 启用阻断记录。
23. 通过BC设置分公司用户在上班时间周一到周五9:00到18:00禁止玩游戏,并启用阻断记录。
24. 限制总公司内网用户访问因特网web视频和即时通信上传最大带宽为10M，启用阻断记录；
25. BC上开启黑名单告警功能，级别为预警状态，并进行邮件告警和记录日志，发现cpu使用率大于80%，内存使用大于80%时进行邮件告警并记录日志，级别为严重状态。发送邮件地址为123@163.com，接收邮件为133139123456@163.com。
26. 分公司内部有一台网站服务器直连到WAF，地址是192.168.28.10，端口是8080，配置将服务访问日志、WEB防护日志、服务监控日志信息发送syslog日志服务器， IP地址是192.168.28.6，UDP的514端口;
27. 要求能自动识别内网HTTP服务器上的WEB主机，请求方法采用GET、POST方式。
28. 在WAF上针对HTTP服务器进行URL最大个数为10，Cookies最大个数为30，Host最大长度为1024，Accept最大长度64等参数校验设置，设置严重级别为中级，超出校验数值阻断并发送邮件告警。
29. 为防止www.2023skills.com网站资源被其他网站利用，通过WAF对资源链接进行保护，通过Referer方式检测，设置严重级别为中级，一经发现阻断并发送邮件告警。
30. 为更好对服务器192.168.28.10进行防护，防止信息泄露，禁止美国地区访问服务器。
31. 在WAF上配置基础防御功能，建立特征规则“HTTP防御”，开启SQL注入、XSS攻击、信息泄露等防御功能，要求针对这些攻击阻断并保存日志发送邮件告警。
32. 在WAF上配置定期每周六1点对服务器的http://192.168.28.10/进行最大深度的漏洞扫描测试。
33. 为了对分公司用户访问因特网行为进行审计和记录，需要把AC连接防火墙的流量镜像到8口。
34. 由于公司IP地址为统一规划，原有无线网段IP地址为 172.16.0.0/22,为了避免地址浪费需要对ip地址进行重新分配；要求如下：未来公司预计部署ap 150台；办公无线用户vlan 10预计300人，来宾用户vlan20以及不超过50人。
35. BC上配置DHCP，管理VLAN 为VLAN100,为AP 下发管理地址，网段中第一个可用地址为AP 管理地址，最后一个可用地址为网关地址，AP通过DHCP opion 43注册，AC地址为loopback1地址；为无线用户VLAN10,20下发IP 地址，最后一个可用地址为网关；AP上线需要采用MAC地址认证。
36. AC配置dhcpv4和dhcpv6，分别为总公司产品段vlan50分配地址；ipv4地址池名称分别为POOLv4-50，ipv6 地址池名称分别为 POOLv6-50；ipv6地址池用网络前缀表示；排除网关；DNS分别为 114.114.114.114 和 2400:3200::1；为 PC1 保留地址 192.168.50.9 和 2001:da8:192:168:50::9， SW上中继地址为AC loopback1 地址。
37. 在NETWORK下配置SSID，需求如下：

NETWORK 1下设置SSID ***2023，VLAN10，加密模式为wpa-personal,其口令为20232023。

1. NETWORK 2下设置SSID GUEST，VLAN20不进行认证加密,做相应配置隐藏该SSID； NETWORK 2开启内置portal+本地认证的认证方式，账号为test密码为test2023。
2. 配置SSID GUEST每天早上0点到6点禁止终端接入; GUSET最多接入10个用户，并对GUEST网络进行流控，上行1M，下行2M；配置所有无线接入用户相互隔离。
3. 配置当AP上线，如果AC中储存的Image版本和AP的Image版本号不同时，会触发AP自动升级；配置AP发送向无线终端表明AP存在的帧时间间隔为2秒；配置AP失败状态超时时间及探测到的客户端状态超时时间都为2小时；配置AP在脱离AC管理时依然可以正常工作。
4. 为防止外部人员蹭网，现需在设置信号值低于50%的终端禁止连接无线信号；为防止非法AP假冒合法SSID，开启AP威胁检测功能。

北京市职业院校技能大赛

高职组

信息安全管理与评估

模块二

网络安全渗透（CTF）

竞赛项目赛题

本文件为信息安全管理与评估项目竞赛-第二阶段样题，内容包括：网络安全渗透、CTF。

本次比赛时间为180分钟。

介绍

网络安全渗透的目标是作为一名网络安全专业人员在一个模拟的网络环境中实现网络安全渗透测试工作。

本模块要求参赛者作为攻击方，运用所学的信息收集、漏洞发现、漏洞利用等技术完成对网络的渗透测试；并且能够通过各种信息安全相关技术分析获取存在的flag值。

所需的设施设备和材料

所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完成。

评分方案

本测试项目模块分数为400分。

项目和任务描述

在A集团的网络中存在几台服务器，各服务器存在着不同业务服务。在网络中存在着一定网络安全隐患，请通过信息收集、漏洞挖掘等渗透测试技术，完成指定项目的渗透测试，在测试中获取flag值。网络环境参考样例请查看附录A。

本模块所使用到的渗透测试技术包含但不限于如下技术领域：

• 数据库攻击

• 枚举攻击

• 权限提升攻击

• 基于应用系统的攻击

• 基于操作系统的攻击

• 逆向分析

• 密码学分析

• 隐写分析

所有设备和服务器的IP地址请查看现场提供的设备列表。

特别提醒

通过找到正确的flag值来获取得分，flag统一格式如下所示：

flag{<flag值 >}

这种格式在某些环境中可能被隐藏甚至混淆。所以，注意一些敏感信息并利用工具把它找出来。

注：部分flag可能非统一格式，若存在此情况将会在题目描述中明确指出flag格式，请注意审题。

工作任务

• 人力资源管理系统（60分）

任务编号	任务描述	答案	分值
任务一	请对人力资源管理系统进行黑盒测试，利用漏洞找到flag1，并将flag1提交。flag1格式flag1{<flag值>}
任务二	请对人力资源管理系统进行黑盒测试，利用漏洞找到flag2，并将flag2提交。flag2格式flag2{<flag值>}
任务三	请对人力资源管理系统进行黑盒测试，利用漏洞找到flag3，并将flag3提交。flag3格式flag3{<flag值>}

• 邮件系统（40分）
• FTP服务器（180分）
• 认证服务器（30分）
• 运维服务器（50分）

任务编号	任务描述	答案	分值
任务四	请对邮件系统进行黑盒测试，利用漏洞找到flag1，并将flag1提交。flag1格式flag1{<flag值>}
任务五	请对邮件系统进行黑盒测试，利用漏洞找到flag2，并将flag2提交。flag2格式flag2{<flag值>}

任务编号	任务描述	答案	分值
任务六	请获取FTP服务器上task6目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{<flag值>}
任务七	请获取FTP服务器上task7目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{<flag值>}
任务八	请获取FTP服务器上task8目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{<flag值>}
任务九	请获取FTP服务器上task9目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{<flag值>}
任务十	请获取FTP服务器上task10目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{<flag值>}
任务十一	请获取FTP服务器上task11目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{<flag值>}
任务十二	请获取FTP服务器上task12目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{<flag值>}
任务十三	请获取FTP服务器上task13目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{<flag值>}

任务编号	任务描述	答案	分值
任务十四	认证服务器10000端口存在漏洞，获取FTP服务器上task14目录下的文件进行分析，请利用漏洞找到flag，并将flag提交。flag格式flag{<flag值>}

任务编号	任务描述	答案	分值
任务十五	运维服务器10001端口存在漏洞，获取FTP服务器上task15目录下的文件进行分析，请利用漏洞找到flag，并将flag提交。flag格式flag{<flag值>}

附录A

图1 网络拓扑结构图