2019年辽宁省职业院校技能大赛中职组(共28页).doc

《2019年辽宁省职业院校技能大赛中职组(共28页).doc》由会员分享，可在线阅读，更多相关《2019年辽宁省职业院校技能大赛中职组(共28页).doc（28页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、精选优质文档-倾情为你奉上2019年辽宁省职业院校技能大赛（中职组）网络空间安全赛项规程一、赛项名称赛项编号：LNZZ赛项名称：网络空间安全赛项组别：中职赛项归属产业：电子信息产业二、竞赛目的通过竞赛，检验参赛选手对网络、服务器系统等网络空间中各个信息系统的安全防护能力，以及分析、处理现场问题的能力。通过本赛项的训练和比赛，培养更多学生掌握网络安全知识与技能，发展成为国家信息安全领域的技术技能人才。引导中等职业学校关注网络安全技术发展趋势和产业应用方向，促进网络信息安全专业建设与教学改革。赛项紧密结合新一代信息产业发展对网络安全应用型人才的需求，促进产教互动、校企融合，增强中职学校学生的新技术

2、学习能力和就业竞争力，助力新一代信息技术产业快速发展。三、竞赛内容重点考核参赛选手网络系统安全策略部署、信息保护、网络安全运维管理的综合实践能力，具体包括：1.参赛选手能够在赛项提供的服务器上配置各种协议和服务，实现网络系统的运行，并根据网络业务需求配置各种安全策略，以满足应用需求。2.参赛选手能够根据大赛提供的赛项要求，实施网络空间安全防护操作。3.参赛选手能够根据网络实际运行中面临的安全威胁，确定安全策略并部署实施，防范并制止网络恶意入侵和攻击行为。4. 参赛选手通过分组混合对抗的形式，能够实时防护自己服务器，抵御外界的攻击，同时能够对目标进行渗透和攻击。5.竞赛总时长为3个小时，各竞赛阶

3、段安排如下：序号内容模块具体内容说明第一阶段单兵模式系统渗透测试密码学和VPN密码学、IPSec VPN、IKE：PreShared Key（预共享密钥认证）、IKE：PKI（公钥架构认证）、SSL VPN等。操作系统渗透测试及加固Windows操作系统渗透测试及加固、Linux操作系统渗透测试及加固等。Web应用渗透测试及加固SQL Injection（SQL注入）漏洞渗透测试及加固、Command Injection（命令注入）漏洞渗透测试及加固、File Upload（文件上传）漏洞渗透测试及加固、Directory Traversing（目录穿越）漏洞渗透测试及加固、XSS（Cross

4、 Site Script）漏洞渗透测试及加固、CSRF（Cross Site Request Forgeries）漏洞渗透测试及加固、Session Hijacking（会话劫持）漏洞渗透测试及加固网络安全数据分析能够利用日志收集和分析工具对网络流量收集监控，维护网络安全。常用渗透扫描工具使用与脚本语言应用能够利用如Nmap、Nessus、metasploit等常用渗透扫描工具进行信息收集及系统渗透；熟悉shell，Python等脚本语言的应用。第二阶段攻防对抗参赛队之间进行对抗演练Windows/Linux操作系统安全攻防、Web应用/数据库安全攻防等。6.竞赛分值权重和时间安排序号内容模块

5、分值权重阶段时间第一阶段单兵模式系统渗透测试70%100分钟备战阶段攻防对抗准备工作0%20分钟第二阶段攻防对抗30%60分钟四、竞赛方式本赛项为团体赛，以院校为单位组队参赛，不得跨校组队。每个参赛队由2名选手组成，每个参赛队限报2名指导教师。五、竞赛流程（一）竞赛流程图（二）竞赛时间表比赛限定在1天内进行，比赛场次为1场，赛项竞赛时间为3小时，时间为9:00-12:00，具体安排如下：日期时间事项参加人员地点赛前1日09:00-12:00参赛队报到，安排住宿，领取资料工作人员、参赛队住宿酒店09:00-12:00裁判工作会议裁判长、裁判员、监督组会议室13:00-14:30领队会各参赛队领队

6、、裁判长会议室15:00-16:00参观赛场各参赛队领队竞赛场地16:00检查封闭赛场裁判长、监督组竞赛场地16:00返回酒店参赛领队竞赛场地竞赛当天07:30裁判就位裁判竞赛场地07:30-08:00选手抽签，一次加密参赛选手、裁判竞赛场地08:00-08:30选手抽签，二次加密及入场参赛选手、裁判竞赛场地08:30-08:40参赛选手就位，宣读考场纪律参赛选手、裁判竞赛场地08:40-09:00设备检查、第一阶段赛题发放参赛选手、裁判竞赛场地09:00-10:40第一阶段比赛时间参赛选手、裁判竞赛场地10:40-11:00第二阶段赛题发放、攻防准备参赛选手、裁判竞赛场地11:00-12:0

7、0第二阶段比赛时间参赛选手、裁判竞赛场地12:00比赛正式结束参赛选手、裁判竞赛场地12:30-15:30成绩核查、解密、确认裁判长、监督竞赛场地15:30-16:30闭幕式领导、嘉宾、裁判、各参赛队会议室六、竞赛赛卷（一）赛项组委会专家组下设的命题组负责本赛项命题工作。（二）本赛项赛卷公开，竞赛赛卷距大赛开始日前一个月公开。（三）本赛项通过辽宁省职业院校技能大赛指定的网络信息发布平台公布竞赛赛卷。赛卷样题见附件。七、竞赛规则（一）报名资格参赛选手须为2019年度在籍全日制中等职业学校学生；五年制全日制高职一至三年级（含三年级）在籍学生可参加比赛。参赛选手不限性别，年龄须不超过21周岁，年龄计

8、算的截止时间以2019年5月1日为准。（二）竞赛工位通过抽签决定，竞赛期间参赛选手不得离开竞赛工位。（三）竞赛所需的硬件设备、系统软件和辅助工具由组委会统一安排，参赛选手不得自带硬件设备、软件、移动存储、辅助工具、移动通信等进入竞赛现场。（四）参赛选手自行决定工作程序和时间安排。（五）参赛选手在赛前10分钟进入竞赛工位并领取竞赛任务，竞赛正式开始后方可展开相关工作。（六）竞赛过程中，选手须严格遵守操作规程，确保人身及设备安全，并接受裁判员的监督和警示。若因选手因素造成设备故障或损坏，无法继续竞赛，裁判长有权决定终止该队竞赛；若因非参赛选手个人因素造成设备故障，由裁判长视具体情况做出裁决。（七）

9、竞赛结束（或提前完成）后，参赛选手要确认已成功提交所有竞赛文档，裁判员与参赛选手一起签字确认，参赛选手在确认后不得再进行任何操作。（八）最终竞赛成绩经复核无误及裁判长、监督长签字确认后，在指定地点，以纸质形式向全体参赛队进行公布。（九）本赛项各参赛队最终成绩由承办单位信息员录入赛务管理系统。承办单位信息员对成绩数据审核后，将赛务系统中录入的成绩导出打印，经赛项裁判长审核无误后签字。承办单位信息员将裁判长确认的电子版赛项成绩信息上传赛务管理系统，同时将裁判长签字的纸质打印成绩单报送大赛组委会。（十）赛项结束后专家工作组根据裁判判分情况，分析参赛选手在比赛过程中对各个知识点、技术的掌握程度，并将分

10、析报告报备大赛组委会办公室，组委会办公室根据实际情况适时公布。（十一）赛项每个比赛环节裁判判分的原始材料和最终成绩等结果性材料经监督组人员和裁判长签字后装袋密封留档，并由赛项承办院校封存，委派专人妥善保管。八、竞赛环境1.竞赛场地。竞赛现场设置竞赛区、裁判区、服务区、技术支持区。现场保证良好的采光、照明和通风；提供稳定的水、电和供电应急设备。同时提供所有指导教师休息室1间。2.竞赛设备。竞赛设备由组委会和承办校负责提供和保障，竞赛区按照参赛队数量准备比赛所需的软硬件平台，为参赛队提供标准竞赛设备。3.竞赛工位。竞赛现场各个工作区配备单相220V/3A以上交流电源。每个比赛工位上标明编号。每个比

11、赛间配有工作台，用于摆放计算机和其它调试设备工具等。配备2把工作椅（凳）。4.技术支持区为参赛选手比赛提供网络环境部署和网络安全防范。5.服务区提供医疗等服务保障。6.竞赛工位隔离和抗干扰。竞赛工位之间标有隔离线。九、技术规范该赛项涉及的信息网络安全工程在设计、组建过程中，主要有以下7项国家标准，参赛选手在实施竞赛项目中要求遵循如下规范：序号标准号中文标准名称1GB 17859-1999计算机信息系统安全保护等级划分准则2GB/T 20271-2006信息安全技术信息系统通用安全技术要求3GB/T 20270-2006信息安全技术网络基础安全技术要求4GB/T 20272-2006信息安全技术

12、操作系统安全技术要求5GB/T 20273-2006信息安全技术数据库管理系统安全技术要求6GA/T 671-2006信息安全技术终端计算机系统安全等级技术要求7GB/T 20269-2006信息安全技术信息系统安全管理要求十、技术平台（一）比赛器材序号设备名称数量设备型号1网络空间安全技能评测平台1中科软磐云PY-B7磐云PY-B7为1U设备，标配2个千兆以太口，Intel处理器，大于等于16G 内存，SSD +SATA硬盘。可扩展多种虚拟化平台，支持多用户并发在线比赛，根据不同的实战任务下发进行自动调度靶机虚拟化模板，为学员提供单兵闯关、分组混战等实际对战模式，提供超过20种不同级别70个

13、的攻防题目。整个过程全自动评判，自定义动画态势展示，成绩详细分析，多端口监控，全程加密。包含2017年网络空间安全国赛和省赛部分样题场景。2PC机2CPU 主频=3.2GHZ,=四核四线程；内存=8G；硬盘=500G；支持硬件虚拟化。（二）软件技术平台：比赛的操作系统为Windows和Linux系统，涉及如下版本：1）物理机安装操作系统：微软 Windows 7(64位中文版)试用版。2）虚拟机安装操作系统：Windows系统：Windows XP、Windows 7、Windows2003 Server、Windows2008 Server，每道赛题版本根据命题确定。Linux系统：Ubun

14、tu（BT5）、Debian（Kali）、CentOS，每道赛题版本根据命题确定。3）其他主要应用软件为: VMware workstation 12 pro 免费版Putty 0.67.0.0 中文版Python 3Chrome 浏览器 62.0RealVNC 客户端 4.6JDK（Java Development Kit）7.0十一、成绩评定（一）裁判工作原则按照辽宁省职业院校技能大赛相关文件建立辽宁省职业院校技能大赛赛项裁判库，裁判长由赛项组委会聘任。赛前建立健全裁判组。裁判组为裁判长负责制，并设有专职督导人员1-2名，负责比赛过程全程监督，防止营私舞弊。本赛项裁判人数将根据比赛规模确定

15、。因为本赛项全部分数由计算机自动评分，因此只需进行两次加密，加密后参赛选手中途不得擅自离开赛场。分别由2组加密裁判组织实施加密工作，管理加密结果。监督员全程监督加密过程。第一组加密裁判，组织参赛选手进行第一次抽签，产生参赛编号，替换选手参赛证等个人身份信息，填写一次加密记录表连同选手参赛证等个人身份信息证件，装入一次加密结果密封袋中单独保管。第二组加密裁判，组织参赛选手进行第二次抽签，确定赛位号，替换选手参赛编号，填写二次加密记录表连同选手参赛编号，装入二次加密结果密封袋中单独保管。所有加密结果密封袋的封条均需相应加密裁判和监督人员签字。密封袋在监督人员监督下由加密裁判放置于保密室的保险柜中保

16、存。 （二）裁判评分方法裁判组监督现场机考评分，由裁判长负责竞赛全过程。竞赛现场派驻监督员、裁判员、技术支持队伍等，分工明确。裁判员负责与参赛选手的交流沟通及试卷等材料的收发，负责设备问题确认和现场执裁；技术支持工程师负责所有工位设备应急，负责执行裁判确认后的设备应急处理。 （三）成绩产生办法1.评分阶段：竞赛阶段阶段名称任务阶段评分方式第一阶段权重70%单兵模式系统渗透测试（本阶段由多个任务组成）任务1机考评分任务2机考评分机考评分任务N机考评分第二阶段权重30%分组对抗系统攻防演练机考评分选手向考评服务器中提交每道赛题唯一的“KEY”值或“FLAG”值，所有得分由计算机自动评判，参赛队的得

17、分等于队中两位参赛选手的得分总和。2.第一阶段评分规则第一阶段总分为700分,分为N个任务，每道题的具体分值在赛题中标明；系统自动评分和排名，公开显示在外接大屏幕上。3.第二阶段评分规则第二阶段总分为300分，初始分为100分；每提交1次对手靶机的FLAG值得分，每当被对手提交1次自身靶机的FLAG值扣分，每个对手靶机的FLAG值只能提交一次，得分和扣分的具体分值在赛题中标明。系统自动启动违规检测，如有如下违规行为，系统均给予自动扣分： 发现FLAG异常（譬如：删除、修改、杀进程等）； 关闭赛卷中要求开启的端口； 自行改动攻防阶段靶机的IP参数； 靶机关闭。十二、奖项设定本赛项为团队赛，依照实

18、际参赛队数量确定奖项：一等奖占参赛队总数的10%，二等奖占参赛队总数的20%，三等奖占参赛队总数的30%。 获得奖项参赛队的指导教师获“优秀指导教师奖”，授予荣誉证书。十三、赛项安全赛事安全是辽宁省职业院校技能大赛一切工作顺利开展的先决条件，是本赛项筹备和运行工作必须考虑的核心问题。（一） 组织机构赛项组委会组织专门机构负责赛区内赛项的安全工作，建立公安、消防、司法行政、交通、卫生、食品、质检等相关部门协调机制保证比赛安全。制定相应安全管理的规范、流程和突发事件应急预案，及时处置突发事件，全过程保证比赛筹备和实施工作安全。（二） 赛项设计1. 比赛内容涉及的器材、设备应符合国家有关安全规定。赛

19、项专家组应充分考虑比赛内容和所用器材、耗材可能存在的危险因素，通过完善设计规避风险，采取有效防范措施保证选手备赛和比赛安全。危险提示和防范措施应在赛项技术文件中加以明确。2. 赛项技术文件应包含国家（或行业）有关职业岗位安全的规范、条例和资格证书要求等内容。3. 赛项组委会须在赛前对本赛项全体裁判员进行裁判培训和安全培训，对服务人员进行安全培训。源于实际生产过程的赛项，须根据中华人民共和国劳动法等法律法规，建立完善的安全事故防范制度，并在赛前对选手进行培训，避免发生人身伤害事故。4. 赛项组委会须制定专门方案保证比赛命题、赛题保管和评判过程的安全。（三） 比赛环境1. 环境安全保障赛场组织与管

20、理员应制定安保须知、安全隐患规避方法及突发事件预案，设立紧急疏散路线及通道等，确保比赛期间所有进入竞赛地点的车辆、人员需凭证入内；严禁携带易燃易爆物、管制刀具等危险品及比赛严令禁止的其他物品进入场地；对于紧急发生的拥挤、踩踏、地震、火灾等进行紧急有效的处置。2. 信息安全保障安装UPS：采用UPS防止现场因突然断电导致的系统数据丢失。额定功率：3KVA；后备时间：2小时；输出电压：230V5%V；市电采用双路供电。3. 操作安全保障赛前要对选手进行计算机、网络设备、工具等操作的安全培训，进行安全操作的宣讲，确认每个队员能够安全操作设备后方可进行比赛。裁判员在比赛前，宣读安全注意事项，强调用火、

21、用电安全规则。整个大赛过程邀请当地公安系统、卫生系统和保险系统协助支持。参赛选手旅途及竞赛过程中的安全保障由各省市负责。4. 赛项组委会须在赛前组织专人对比赛现场、住宿场所和交通保障进行考察，并对安全工作提出明确要求。赛场的布置，赛场内的器材、设备，应符合国家有关安全规定。如有必要，也可进行赛场仿真模拟测试，以发现可能出现的问题。承办单位赛前须按照赛项组委会要求排除安全隐患。5. 赛场周围要设立警戒线，防止无关人员进入发生意外事件。比赛现场内应参照相关职业岗位的要求为选手提供必要的劳动保护。在具有危险性的操作环节，裁判员要严防选手出现错误操作。6. 承办单位应提供保证应急预案实施的条件。对于内

22、容涉及高空作业、可能有坠物、大用电量、易发生火灾等情况的赛项，必须明确制度和预案，并配备急救人员与设施。7. 赛项组委会须会同承办单位制定开放赛场和体验区的人员疏导方案。赛场环境中存在人员密集、车流人流交错的区域，除了设置齐全的指示标志外，须增加引导人员，并开辟备用通道。8. 大赛期间，赛项承办单位须在赛场管理的关键岗位，增加力量，建立安全管理日志。9. 参赛选手进入赛位、赛事裁判工作人员进入工作场所，严禁携带通讯、摄录设备，禁止携带记录用具。如确有需要，由赛场统一配置、统一管理。赛项可根据需要配置安检设备对进入赛场重要部位的人员进行安检。（四） 生活条件1. 比赛期间，原则上由赛事承办单位统

23、一安排参赛选手和指导教师食宿。承办单位须尊重少数民族的信仰及文化，根据国家相关的民族政策，安排好少数民族选手和教师的饮食起居。2. 比赛期间安排的住宿地应具有宾馆/住宿经营许可资质。以学校宿舍作为住宿地的，大赛期间的住宿、卫生、饮食安全等由赛项组委会和提供宿舍的学校共同负责。3. 大赛期间组织的参观和观摩活动，由赛区组委会负责。赛项组委会和承办单位须保证比赛期间选手、指导教师和裁判员、工作人员的交通安全。4. 各赛项的安全管理，除了采取必要的安全隔离措施外，应严格遵守国家相关法律法规，保护个人隐私和人身自由。（五） 组队责任1. 各市在组织参赛时，须安排为参赛选手购买大赛期间的人身意外伤害保险

24、。2. 各市须制定相关管理制度，并对所有选手、指导教师进行安全教育。3. 各参赛选手领队须加强参赛人员的安全管理，实现与赛场安全管理的对接。（六） 应急处理比赛期间发生意外事故，发现者应第一时间报告赛项组委会，同时采取措施避免事态扩大。赛项组委会应立即启动预案予以解决。出现重大安全问题的赛项可以停赛，是否停赛由赛区组委会决定。（七） 处罚措施1. 赛项出现重大安全事故的，停止承办单位的赛项承办资格。2. 因参赛选手原因造成重大安全事故的，取消其参赛资格。3. 参赛选手有发生重大安全事故隐患，经赛场工作人员提示、警告无效的，可取消其继续比赛的资格。4. 赛事工作人员违规的，按照相应的制度追究责任

25、。情节恶劣并造成重大安全事故的，由司法机关追究相应法律责任。十四、竞赛须知（一）参赛队须知1.参赛队应该参加赛项承办单位组织的闭赛式等各项赛事活动。2.在赛事期间，领队及参赛队其他成员不得私自接触裁判，凡发现有弄虚作假者，取消其参赛资格，成绩无效。3.所有参赛人员须按照赛项规程要求按照完成赛项评价工作。4.对于有碍比赛公正和比赛正常进行的参赛队，视其情节轻重，给予警告、取消比赛成绩、通报批评等处理。5.若在比赛中发现新的网络安全漏洞，应及时向网信部门和公安部门报告并通知产品提供方，不得擅自透露、转让、公布漏洞隐患的技术细节和利用方法、工具等。（二）参赛领队须知1.由各市教育行政部门确定赛项领队

26、1人，赛项领队应该由参赛院校中层以上管理人员或教育行政部门人员担任，熟悉赛项流程，具备管理与组织协调能力。2.领队应按时参加赛前领队会议，不得无故缺席。3.领队负责组织本市参赛队参加各项赛事活动。4.领队应积极做好本市参赛队的服务工作，协调各参赛队与赛项组织机构、承办院校的对接。5.参赛队认为存在不符合竞赛规定的设备、工具、软件，有失公正的评判、奖励，以及工作人员的违规行为等情况时，须由领队向赛项仲裁组提交书面申诉材料。各参赛队领队应带头服从和执行申诉的最终仲裁结果，并要求指导教师、选手服从和执行。（三）指导教师须知1.指导教师应该根据专业教学计划和赛项规程合理制定训练方案，认真指导选手训练，

27、培养选手的综合职业能力和良好的职业素养，克服功利化思想，避免为赛而学、以赛代学。2.指导老师应及时查看大赛专用网页有关赛项的通知和内容，认真研究和掌握本赛项竞赛的规程、技术规范和赛场要求，指导选手做好赛前的一切技术准备和竞赛准备。3.指导教师应该根据赛项规程要求做好参赛选手保险办理工作，并积极做好选手的安全教育。4.指导教师参加赛项观摩等活动，不得违反赛项规定进入赛场，干扰比赛正常进行。（四）参赛选手须知1. 各参赛选手要发扬良好道德风尚，听从指挥，服从裁判，不弄虚作假。如发现弄虚作假者，取消参赛资格，名次无效。2参赛选手应按有关要求如实填报个人信息，否则取消竞赛资格。3参赛选手应按照规定时间

28、抵达赛场，凭统一印制的参赛证、有效身份证件检录，按要求入场，不得迟到早退。请勿携带任何电子设备及其他资料、用品进入赛场。4参加选手应认真学习领会本次竞赛相关文件，自觉遵守大赛纪律，服从指挥，听从安排，文明参赛。5参赛选手应增强角色意识，科学合理做好时间分配。6. 参赛选手应按有关要求在指定位置就坐。7.参赛选手须在确认竞赛内容和现场设备等无误后开始竞赛。在竞赛过程中，确因计算机软件或硬件故障，致使操作无法继续的，经项目裁判长确认，予以启用备用计算机。8. 各参赛选手必须按规范要求操作竞赛设备。一旦出现较严重的安全事故，经总裁判长批准后将立即取消其参赛资格。9.参赛选手需详细阅读赛题中竞赛文档命

29、名的要求，不得在提交的竞赛文档中标识出任何关于参赛选手地名、校名、姓名、参赛编号等信息，否则取消竞赛成绩。10. 竞赛时间终了，选手应全体起立，结束操作，将资料和工具整齐摆放在操作平台上，经工作人员清点后可离开赛场。离开赛场时不得带走任何资料。11.在竞赛期间，未经组委会批准，参赛选手不得接受其他单位和个人进行的与竞赛内容相关的采访。参赛选手不得将竞赛的相关信息私自公布。（五）工作人员须知1. 树立服务观念，一切为选手着想，以高度负责的精神、严肃认真的态度和严谨细致的作风，在赛项组委会的领导下，按照各自职责分工和要求认真做好岗位工作。2. 所有工作人员必须佩带证件，忠于职守，秉公办理，保守秘密

30、。3. 注意文明礼貌，保持良好形象，熟悉赛项指南。4. 自觉遵守赛项纪律和规则，服从调配和分工，确保竞赛工作的顺利进行。5. 提前30分钟到达赛场，严守工作岗位，不迟到，不早退，不得无故离岗，特殊情况需向工作组组长请假。6. 熟悉竞赛规程，严格按照工作程序和有关规定办事，遇突发事件，按照应急预案，组织指挥人员疏散，确保人员安全。7. 工作人员在竞赛中若有舞弊行为，立即撤销其工作资格，并严肃处理。8. 保持通讯畅通，服从统一领导，严格遵守竞赛纪律，加强协作配合，提高工作效率。十五、申诉与仲裁各参赛队对不符合大赛和赛项规程规定的仪器、设备、工装、材料、物件、计算机软硬件、竞赛使用工具、用品，竞赛执

31、裁、赛场管理，以及工作人员的不规范行为等，可向赛项仲裁组提出申诉。申诉主体为参赛队领队。参赛队领队可在比赛结束后（选手赛场比赛内容全部完成）1小时之内向仲裁组提出书面申诉。 书面申诉应对申诉事件的现象、发生时间、涉及人员、申诉依据等进行充分、实事求是的叙述，并由领队亲笔签名。非书面申诉不予受理。 赛项仲裁工作组在接到申诉报告后的1小时内组织复议，并及时将复议结果以书面形式告知申诉方。申诉方对复议结果仍有异议，可由领队向赛区仲裁委员会提出申诉。赛区仲裁委员会的仲裁结果为最终结果。仲裁结果由申诉人签收，不能代收，如在约定时间和地点申诉人离开，视为自行放弃申诉。申诉方可随时提出放弃申诉，不得以任何理

32、由采取过激行为扰乱赛场秩序。十六、竞赛观摩本赛项将会设计观摩区，使用大屏幕实时显示第一阶段和第二阶段网络空间攻防及对战的进度。竞赛环境依据竞赛需求和职业特点设计，在竞赛不被干扰的前提下安全开放部分赛场。观摩人员需佩戴观摩证件在工作人员带领下沿指定路线、在指定区域内到现场观赛。十七、竞赛直播本赛项赛前对赛题保密、设备安装调试、软件安装等关键环节进行实况摄录。竞赛过程采用全程摄录的形式，对比赛的开闭幕式、比赛过程实况转播、手工评卷过程进行摄录。本赛项在赛后将制作大赛制作优秀选手采访、优秀指导教师采访、裁判专家点评和企业人士采访视频资料。十八、资源转化赛后内向大赛组委会办公室提交大赛成果资源转化方案

33、如下表，半年内完成资源转化工作。资源名称表现形式资源数量资源要求完成时间基本资源风采展示赛项宣传片视频115分钟以上赛后30天风采展示片视频110分钟以上赛后30天技能概要技能介绍技能要点评价指标文本资料3电子版资料赛后60天教学资源专业教材文本资料1电子教材赛后180天技能训练指导书文本资料1电子教材赛后180天大赛作品集文本资料1电子版资料赛后180天技能操作规程文本资料1电子版资料赛后180天拓展资源案例库文本资料1电子版资料赛后60天素材资源库仿真课件1电子版资料赛后180天试题库文本资料1电子版资料赛后60天优秀选手访谈视频110分钟以上赛后60天附件：样题中职组“网络空间安全”赛项

34、样题一、 竞赛阶段简介竞赛阶段任务阶段竞赛任务竞赛时间分值第一阶段单兵模式系统渗透测试任务1Linux操作系统服务渗透测试及安全加固100分钟250任务2Windows操作系统服务渗透测试及安全加固250任务3Windows操作系统服务端口扫描渗透测试200备战阶段攻防对抗准备工作20分钟0第二阶段分组对抗系统加固：15分钟60分钟300渗透测试：45分钟二、拓扑图三、竞赛任务书（一）第一阶段任务书（700分）根据赛场参数表提供的信息，请使用PC1的谷歌浏览器登录考试平台，登录后点击“闯关关卡”，左侧有本阶段的三个任务列表。点击右侧的“网络靶机”，进入虚机完成任务，找到FLAG值，填入空框内，

35、点击“提交任务”按钮。提示： FLAG中包含的字符是英文字符，注意英文字符大小写区分。虚拟机1：Ubuntu Linux 32bit（用户名：root；密码：toor）；虚拟机1安装工具集：Backtrack5；虚拟机1安装开发环境：Python；虚拟机2：WindowsXP（用户名：administrator；密码：）。任务1.Linux操作系统服务渗透测试及安全加固（250分）任务环境说明： 服务器场景：CentOS5.5（用户名：root；密码：） 服务器场景操作系统：CentOS5.5 服务器场景操作系统安装服务：HTTP 服务器场景操作系统安装服务：FTP 服务器场景操作系统安装服务

36、：SSH 服务器场景操作系统安装开发环境：GCC 服务器场景操作系统安装开发环境：Python1.在服务器场景CentOS5.5上通过Linux命令行开启HTTP服务，并将开启该服务命令字符串作为FLAG值提交；（30分）2.通过PC2中渗透测试平台对服务器场景CentOS5.5进行操作系统扫描渗透测试（使用工具NMAP，使用必须要使用的参数），并将该操作使用命令中必须要使用的参数作为FLAG提交；（30分）3.通过PC2中渗透测试平台对服务器场景CentOS5.5进行操作系统扫描渗透测试（使用工具NMAP，使用必须要使用的参数），并将该操作显示结果“OS Details：”之后的字符串作为F

37、LAG提交；（30分）4.通过PC2中渗透测试平台对服务器场景CentOS5.5进行系统服务及版本号扫描渗透测试（使用工具NMAP，使用必须要使用的参数），并将该操作使用命令中必须要使用的参数作为FLAG提交；（40分）5.通过PC2中渗透测试平台对服务器场景CentOS5.5进行系统服务及版本号扫描渗透测试（使用工具NMAP，使用必须要使用的参数），并将该操作显示结果的HTTP服务版本信息字符串作为FLAG提交；（40分）6.在服务器场景CentOS5.5上通过Linux命令行关闭HTTP服务，并将关闭该服务命令字符串作为FLAG值提交；（40分）7.再次通过PC2中渗透测试平台对服务器场景

38、CentOS5.5进行系统服务及版本号扫描渗透测试（使用工具NMAP，使用必须要使用的参数），并将该操作显示结果的第2项服务的PORT信息字符串作为FLAG提交。（40分）任务2. Windows操作系统服务渗透测试及安全加固（250分）任务环境说明： 服务器场景：WinServ2003（用户名：administrator；密码：空） 服务器场景操作系统：Microsoft Windows2003 Server 服务器场景操作系统安装服务：HTTP 服务器场景操作系统安装服务：CA 服务器场景操作系统安装服务：SQL1.PC2虚拟机操作系统WindowsXP打开Ethereal，验证监听到PC

39、2虚拟机操作系统WindowsXP通过Internet Explorer访问IISServ2003服务器场景的Test.html页面内容，并将Ethereal监听到的Test.html页面内容在Ethereal程序当中的显示结果倒数第2行内容作为FLAG值提交；（70分）2.在PC2虚拟机操作系统WindowsXP和WinServ2003服务器场景之间建立SSL VPN，须通过CA服务颁发证书；IISServ2003服务器的域名为，并将WinServ2003服务器个人证书信息中的“颁发给：”内容作为FLAG值提交；（80分）3.在PC2虚拟机操作系统WindowsXP和WinServ2003服

40、务器场景之间建立SSL VPN，再次打开Ethereal，监听Internet Explorer访问WinServ2003服务器场景流量，验证此时Ethereal无法明文监听到Internet Explorer访问WinServ2003服务器场景的HTTP流量，并将WinServ2003服务器场景通过SSL Record Layer对Internet Explorer请求响应的加密应用层数据长度（Length）值作为FLAG值提交。（100分）任务3. Windows操作系统服务端口扫描渗透测试（200分）任务环境说明： 服务器场景：WinServ2003（用户名：administrator；

41、密码：空） 服务器场景操作系统：Microsoft Windows2003 Server 服务器场景操作系统安装服务：HTTP 服务器场景操作系统安装服务：CA 服务器场景操作系统安装服务：SQL1.进入PC2虚拟机操作系统：Ubuntu Linux 32bit中的/root目录，完善该目录下的tcpportscan.py文件，对目标HTTP服务器应用程序工作传输协议、端口号进行扫描判断，填写该文件当中空缺的FLAG1字符串，将该字符串作为FLAG值（形式：FLAG1字符串）提交；（20分）2.进入虚拟机操作系统：Ubuntu Linux 32bit中的/root目录，完善该目录下的tcppo

42、rtscan.py文件，对目标HTTP服务器应用程序工作传输协议、端口号进行扫描判断，填写该文件当中空缺的FLAG2字符串，将该字符串作为FLAG值（形式：FLAG2字符串）提交；（20分）3.进入虚拟机操作系统：Ubuntu Linux 32bit中的/root目录，完善该目录下的tcpportscan.py文件，对目标HTTP服务器应用程序工作传输协议、端口号进行扫描判断，填写该文件当中空缺的FLAG3字符串，将该字符串作为FLAG值（形式：FLAG3字符串）提交；（20分）4.进入虚拟机操作系统：Ubuntu Linux 32bit中的/root目录，完善该目录下的tcpportscan

43、.py文件，对目标HTTP服务器应用程序工作传输协议、端口号进行扫描判断，填写该文件当中空缺的FLAG4字符串，将该字符串作为FLAG值（形式：FLAG4字符串）提交；（20分）5.进入虚拟机操作系统：Ubuntu Linux 32bit中的/root目录，完善该目录下的tcpportscan.py文件，对目标HTTP服务器应用程序工作传输协议、端口号进行扫描判断，填写该文件当中空缺的FLAG5字符串，将该字符串作为FLAG值（形式：FLAG5字符串）提交；（30分）6.进入虚拟机操作系统：Ubuntu Linux 32bit中的/root目录，完善该目录下的tcpportscan.py文件，

44、对目标HTTP服务器应用程序工作传输协议、端口号进行扫描判断，填写该文件当中空缺的FLAG6字符串，将该字符串作为FLAG值（形式：FLAG6字符串）提交；（30分）7.进入虚拟机操作系统：Ubuntu Linux 32bit中的/root目录，完善该目录下的tcpportscan.py文件，对目标HTTP服务器应用程序工作传输协议、端口号进行扫描判断，填写该文件当中空缺的FLAG7字符串，将该字符串作为FLAG值（形式：FLAG7字符串）提交；（30分）8.在虚拟机操作系统：Ubuntu Linux 32bit下执行tcpportscan.py文件，对目标HTTP服务器应用程序工作传输协议、

45、端口号进行扫描判断，将该文件执行后的显示结果中，包含TCP 80端口行的全部字符作为FLAG值提交。（30分）（二）第二阶段任务书（300分）假定各位选手是某电子商务企业的信息安全工程师，负责企业某服务器的安全防护，该服务器可能存在着各种问题和漏洞。你需要尽快对该服务器进行安全加固，15分钟之后将会有其它参赛队选手对这台服务器进行渗透。根据赛场参数表提供的第二阶段的信息，请使用PC1的谷歌浏览器登录考试平台。提示1：服务器中的漏洞可能是常规漏洞也可能是系统漏洞；提示2：加固全部漏洞；提示3：对其它参赛队服务器进行渗透，取得FLAG值并提交到自动评分系统；提示4：十五分钟之后，各位选手才可以进入

46、渗透测试环节。渗透测试环节中，各位选手可以继续加固服务器，也可以选择攻击其他选手的服务器。靶机环境说明： 服务器场景：CentOS5.5（用户名：root；密码：） 服务器场景操作系统：CentOS5.5 服务器场景操作系统安装服务：HTTP 服务器场景操作系统安装服务：FTP 服务器场景操作系统安装服务：SSH 服务器场景操作系统安装服务：SQL 服务器场景操作系统安装开发环境：GCC 服务器场景操作系统安装开发环境：Python 服务器场景操作系统安装开发环境：PHP可能的漏洞列表如下：1.靶机上的网站可能存在命令注入的漏洞，要求选手找到命令注入的相关漏洞，利用此漏洞获取一定权限;2.靶机上的