2016年江苏省高等职业院校技能大赛-信息安全评估赛项试题课件

2019年江苏省高等职业院校技能大赛信息安全管理与评估赛项竞赛规程一、赛项名称信息安全管理与评估二、竞赛目的（一）检验教学成果赛项旨在考察参赛选手在企业真实项目环境下安全网络搭建、按照等保要求加固网络、安全架构、渗透测试、攻防实战等信息安全领域的核心技术能力，检验参赛队计划组织和团队协作等综合职业素养，强调学生创新能力和实践能力培养，提升学生职业能力和就业质量。

通过大赛引领专业教学改革，丰富完善学习领域课程建设，使人才培养更贴近岗位实际，实现以赛促教、以赛促学、以赛促改的产教结合格局，提升专业培养服务社会和行业发展的能力，为国家信息安全行业培养选拔技术技能型人才。

（二）强化专业建设针对国家“十三五”期间互联网+、电子政务、智慧城镇和教育信息化等领域信息安全岗位人才急需，按照《高等职业教育电子信息类专业指导规范II》的信息安全与管理专业建设标准，通过赛项丰富完善学习领域课程建设，使人才培养更贴近岗位实际，提升专业培养服务社会和行业发展的能力。

该赛项内容覆盖信息安全与管理专业“信息安全技术与实施”、“信息安全产品配置与应用”、“网络设备配置与管理”、“网络攻防实训”、“系统运行安全与维护”、“操作系统安全配置”、“操作系统安全”等专业核心课程内容。

（三）促进产教合作赛项设计紧密结合产业发展对人才需求的标准，内容基于信息安全领域主流技术和现行业务流程设计。

通过信息安全行业专家与院校教育专家紧密合作，搭建校企合作平台，深化产教融合。

赛后完成竞赛内容向教学改革的成果转化，实现以赛促教、以赛促学、以赛促改的教产合作赛事创新。

三、竞赛内容竞赛内容对应相关职业岗位或岗位群、体现专业核心能力与核心知识、涵盖丰富的专业知识与专业技能点，具体包括：1.参赛选手能够根据大赛提供的赛项要求，设计信息安全防护方案，并且能够提供详细的信息安全防护设备拓扑图。

2.参赛选手能够根据业务需求和实际的工程应用环境，实现网络设备、安全设备、服务器的连接，通过调试，实现设备互联互通。

2016年下半年江苏省信息安全员考试试卷一、单项选择题（共25题，每题2分，每题的备选项中，只有 1 个事最符合题意）1、加强安全技术措施实施情况的检查时，__应经常深入工地检查安全技术措施的实施情况，及时纠正违反安全技术措施的行为。

A．班组长B．技术负责人C．安全技术人员D．工地负责人E．工长2、铲运机下坡时__。

A．不得转弯B．不得在档位上滑行C．应低速行驶D．不得制动E．不得空挡滑行3、下列选项中，关于单斗挖掘机的操作要点，叙述正确的有__。

A．遇较大的坚硬石块或障碍物时，应清除后方可开挖，不得用铲斗破碎石块、冻土，或用单边斗齿硬啃B．作业时，应待机身停稳后再挖土，当铲斗未离开工作面时，不得作回转、行走等动作C．向运土车辆装车时，宜降低挖铲斗，减小卸落高度，不得偏装或砸坏车厢D．作业中不得打开压力表开关，且不得将工况选择阀的操纵手柄放在高速挡位置E．作业中，当发现挖掘力突然变化，应调整分配阀压力4、下列选项牛，属于建筑施工中常见的垂直运输机械设备的是__。

A．塔式起重机B．搅拌机C．施工升降机D．打桩机E．龙门架及井架物料提升机5、相线、N线、PE线的颜色标记必须符合的规定有__。

A．相线L1(Ａ)的绝缘颜色为红色B．相线L2(Ｂ)的绝缘颜色为绿色C．相线L3(Ｃ)的绝缘颜色为黄色D．N线的绝缘颜色为淡蓝色E．PE线的绝缘颜色为绿/黄双色6、使用圆盘锯锯短料时，料长不得小于锯片直径的__，料高不得大于锯片直径的1/3。

A．1.5倍B．2.5倍C．2.0倍D．3.0倍7、塔式起重机提升重物做水平移动时，应高出其跨越的障碍物__。

A．0.3m以上B．0.4m以上C．0.5m以上D．0.6m以上8、喷灯加油不能过满，加到灯体容积的__即可。

A．1/3B．2/3C．3/4D．1/29、给触电者做口对口人工呼吸时，应注意的事项有__。

A．施行人工呼吸前，应快速将触电者身上妨碍呼吸的衣领、上衣、裤带等解开，使胸部能自由扩张B．触电者头高足低位，并使其头部充分后仰，使鼻孔朝上C．取出触电者口腔内妨碍呼吸的异物，以免阻塞呼吸道D．触电者采取仰卧位，并使其头部充分后仰，使鼻孔朝上E．患者如果舌根下陷，应把它拉出来，以利呼吸道畅通10、下列选项中，关于振动压路机的安全操作要点，叙述正确的有__。

“信息安全技术应用”赛项竞赛试题（样题）“信息安全技术应用”赛项专家组目录竞赛试题（样题） (1)一、竞赛内容及评分标准 (3)1.1竞赛内容及评分 (3)1.2评分方法 (3)二、具体竞赛要求 (4)2.1第一阶段：网络与安全部署 (4)2.1.1 网络环境搭建和网络安全部署 (4)2.1.2 主机系统加固部分 (6)2.2.3 安全评估（裁判组） (8)2.2第二阶段：场内分组攻防 (9)2.3第三阶段：防守场外渗透测试 (11)2.4文档部分评判标准 (12)2.4.1电子文件的存放位置 (12)2.4.2电子文件的命名规则 (12)2.4.3考评内容 (13)2.5团队风貌与协作评判标准 (13)一、竞赛内容及评分标准1.1竞赛内容及评分本次竞赛内容分为四个部分，每个部分的考试要求及评分标准如下：第一部分：网络基础连接与配置部分（占30%）竞赛内容包括：按照组委会提供的网络拓扑图（见附件一）及IP地址规划（见附件二）所有网络设备网线连接，基本配置，实现网络互联；第二部分：网络信息安全部分（占55%）竞赛内容包括：网络安全控制，系统加固、渗透测试及网络攻防；第三部分：文档部分（占10%）竞赛内容包括：按照相关文档规范制作本次竞赛的施工文档，放置在指定目录；第四部分：团队风貌（占5%）竞赛内容包括：团队风貌、团队协作与沟通、组织与管理能力和工作计划性等。

1.2评分方法竞赛评分严格按照公平、公正、公开的原则，评分方法如下：●参赛队成绩由裁判委员会统一评定；●采取分步得分、错误不传递、累计总分的积分方式，分别计算环节得分，不计参赛选手个人得分；●在竞赛过程中，参赛选手如有不服从裁判判决、扰乱赛场秩序、舞弊等不文明行为的，由裁判长按照规定扣减相应分数，情节严重的取消比赛资格，比赛成绩记0分；竞赛评分细则按照本竞赛规程在竞赛开始7天之前由执行委员会制定。

二、具体竞赛要求竞赛范围分为三个阶段进行：阶段序号步骤第一阶段：网络与安全部署1 网络环境搭建2 网络安全部署3 系统加固第二阶段：场内攻防对抗 4 场内分组攻防第三阶段：场外攻防对抗 5 防守场外渗透测试2.1 第一阶段：网络与安全部署2.1.1 网络环境搭建和网络安全部署拓扑图（见附件一），IP地址规划（见附件二）及竞赛要求说明如下：场景描述：某公司通过防火墙与互联网相连，为保证公司内部网络和互联网络之间能够相互通信，要求完成一系列安全方面措施，现进行网络的搭建与配置。

2014年江苏省高职技能大赛“信息安全及云安全”赛项比赛样题第一部分：赛题基础信息1、拓扑图2、IP地址规划表3、设备初始化信息第二部分：比赛试题任务一：安全网络组建（1000分）提示：按照赛题要求，将每道题答案以文字说明加配置截图方式填写到赛题答卷中。

DCRS需提交整机配置文件。

赛题答卷模板存放在‘提交专用U盘’根目录中。

1、根据拓扑图正确连接设备2、根据大赛规划设置IP地址与VLAN等基本信息。

3、要求中心防火墙和分支防火墙实现IPSEC VPN，使中心网段192.168.1.0/24段和分支网段192.168.2.0/24能通过IPSEC互通。

4、中心端防火墙要保证中心端内网192.168.1.0/24能够访问外网，即内网192.168.1.0段的机器能够访问1.1.1.2即可；5、中心端服务器192.168.1.10/24是一台web服务器，需要映射到外网，同时要保证内网和外网否能通过1.1.1.3的公网地址访问该服务器；6、为保证内网终端安全，要求内网所有用户的MAC地址与接入交换机接口进行绑定；7、进一步保证内网安全，在接入层交换机的1-8接口配置端口隔离。

8、由于内部人员总是下载数据，所以将内部的PCB进行流量限制,流量限制在5M/s。

在内网接入层交换机上配置。

9、在中心端防火墙上为防止内网用户占用带宽较高，针对内网P2P下载限制流量到10M；10、为提交中心端内网用户上班效率，要求中心端防火墙禁止使用IM等。

任务二：渗透测试及安全防护A、网站防护任务（700分）提示：WEB服务器为DCST-N10设备的ETH0接口。

按照赛题要求，将每道题答案以文字说明加配置截图方式填写到赛题答卷中。

赛题答卷模板存放在本地计算机‘提交专用U盘’根目录中。

为避免产生环路而造成的比赛时间耽误，请勿将WEB服务器与系统服务器同时连接交换机。

作为公司的网络管理者，你发现你所在的公司网站极不安全，在一次次的检测中，发现有一名不法者以SQL注入等方式入侵了你公司的网站，为此你要做出正确的部署，以保护网站的安全。

2016年江苏省高等职业院校技能大赛-信息安全评估赛项试题2016年江苏省高等职业院校技能大赛“信息安全管理与评估”赛项样题一、竞赛内容分布第一阶段：平台搭建与配置第二阶段：信息安全基础知识第三阶段：信息安全综合应用二、竞赛时间竞赛时间为3个小时三、竞赛注意事项1. 竞赛所需的硬件、软件和辅助工具由组委会统一布置，选手不得私自携带任何软件、移动存储、辅助工具、移动通信等进入赛场。

2. 请根据大赛所提供的比赛环境，检查所列的硬件设备、软件清单、材料清单是否齐全，计算机设备是否能正常使用。

3. 操作过程中，需要及时保存设备配置。

比赛结束后，所有设备保持运行状态，不要拆动硬件连接。

4. 比赛完成后，比赛设备、软件和赛题请保留在座位上，禁止将比赛所用的所有物品（包括试卷和草纸）带离赛场。

5. 裁判以各参赛队提交的竞赛结果文档为主要评分依据。

所有提交的文档必须按照赛题所规定的命名规则命名。

四、竞赛结果文件的提交按照题目要求，提交符合模板的WORD文件。

赛题基础信息你们是某公司的IT运维人员，负责维护公司网络系统安全。

任务是完成网络搭建、网络安全设备配置与防护、系统安全攻防任务，并提交所有文档留存备案，文档需要存放在“指定文件”中。

1、拓扑图2、IP地址规划表第一阶段：平台搭建与配置任务一：网络平台搭建提示：需要提交所有设备配置文件，其中DCRS设备要求提供show run配置文件保存到WORD文档，DCFW、DCFS、DCBI-netlog设备需要提交配置过程截图存入WORD文档，并在截图中加以说明。

每个设备提交的答案保存到一个WORD文档。

任务一的连通性测试答案添加在DCRS的文档中。

文档命名格式为：组号-网络拓扑中设备型号。

例：第一组DCFW设备答案提交文档的名称为：01-DCFW.doc 平台搭建要求如下：任务二：网络安全设备配置与防护提示：需要提交DCFW、DCFS、DCBI和ER400设备配置关键步骤截图，并将截图存入WORD文档，在截图中加以说明。

2016年江苏省高等职业院校技能大赛移动互联技术应用赛项竞赛规程一、竞赛项目名称移动互联技术应用二、竞赛目的通过竞赛，促进全省高职移动互联应用技术及相关专业面向行业应用，进一步优化专业课程设置、创新工学结合人才培养模式、深化校企合作体制机制。

考察其引领高职院校移动互联应用技术、移动通讯和移动商务等专业的教学改革及实践，展示高职院校产教合作成果。

考察高职学生的移动互联应用环境下的应用设计、设备安装、通信组网、移动应用软件开发、系统部署与维护等方面的综合知识、技能和职业素养。

同时兼顾考查参赛学生的质量、效率、成本和规范意识，主要包括：团队协作能力、项目组织与实施能力及撰写相关工程文档的综合实践能力等。

三、竞赛方式1、比赛以团队方式进行，每个参赛队最多由6人组成，其中领队1人（可由指导教师兼任），选手3人（其中队长1名），指导教师2人。

2、竞赛时间180分钟。

四、竞赛内容和知识点（一）竞赛内容本竞赛重点考查参赛学生移动互联技术应用的实践技能，具体包括：1、移动互联技术应用必备知识的考核。

2、移动互联技术应用项目用户需求分析与项目实施方案的制定。

应用项目范围：移动生活、移动办公、移动医疗、移动服务、移动广告等。

开放性实施方案可由学生根据需求、资源、效果与效率创新设计完成。

3、移动互联应用设备的安装与部署。

从应用组件集成系统中合理选取、组合模块与设备进行设计与部署。

4、移动互联通信系统的搭建与部署。

经济合理地选取移动通信节点、路由器、网关等设备完成通信网络或系统的搭建及部署工作。

移动互联通信系统侧重在终端侧、接入层及传输层的末端，包括： Wi-Fi、Zigbee、蓝牙、RS485等无线与有线通信网络的搭建和开通。

5、智能终端（包括手机和平板）Android编程、部署和系统测试。

6、撰写工作日志和工作报告。

（二）竞赛知识与技能点五、竞赛规则1、竞赛所需的PC机、系统软件和辅助工具由组委会统一布置，选手不得私自携带任何软件、移动存储、辅助工具、移动通信等进入赛场。

全国职业院校技能大赛(高职组)信息安全管理与评估一、介绍全国职业院校技能大赛(高职组)信息安全管理与评估全国职业院校技能大赛(高职组)信息安全管理与评估是一项旨在促进我国职业院校信息安全教育和人才培养的比赛。

这项比赛旨在提高学生信息安全管理与评估技能，培养学生在信息安全领域的专业素养和创新能力，同时也为学生提供了一个展示自己技能的舞台。

二、信息安全管理与评估的重要性信息安全管理与评估是信息安全领域的重要内容，它涉及到对信息系统、网络等资产进行保护、评估和管理。

在当前数字化快速发展的时代，信息安全问题备受关注，各种形式的网络攻击层出不穷，因此信息安全管理与评估显得尤为重要。

职业院校学生要具备一定的信息安全意识和技能，未来才能更好地投身信息安全领域，为社会供给更多专业的信息安全服务。

三、全国职业院校技能大赛(高职组)信息安全管理与评估的意义参加全国职业院校技能大赛(高职组)信息安全管理与评估不仅仅是为了获得荣誉和奖励，更重要的是比赛本身对学生的能力提升和专业素养的培养。

比赛是一个锻炼学生技能、磨炼意志的舞台，通过比赛，学生可以在实际操作中加深对信息安全管理与评估的理解，提高解决实际问题的能力，培养自己的创新思维和团队合作精神。

四、对全国职业院校技能大赛(高职组)信息安全管理与评估的个人观点作为一名信息安全管理与评估的实践者，我个人认为全国职业院校技能大赛(高职组)信息安全管理与评估是一项非常有意义的比赛，它为学生提供了一个展示自己技能、提升自己专业素养的评台。

比赛不仅能锻炼学生实际操作能力，更能提高学生的信息安全意识和综合素质。

通过比赛，学生们可以学习到更多的专业知识，培养团队协作能力，增强抗压能力，为将来的发展奠定坚实的基础。

五、总结全国职业院校技能大赛(高职组)信息安全管理与评估是一场具有挑战性和意义的比赛，它不仅考验学生的专业技能，更能够培养学生综合素质。

通过参加比赛，学生能够不断学习提升，展现自己的实力，为未来的职业生涯打下坚实的基础。

江苏省高职技能大赛计算机网络应用赛项样题2014年江苏高等职业院校技能大赛计算机网络应用技术赛项样题……………………………………………………………………竞赛说明一、注意事项：1、检查硬件设备、网线、Console线、PC机等的数量是否齐全。

2、赛场已在PC机上安装好windows XP、SecureCRT 5.1.3、华三设备操作手册，请检查电脑设备是否正常。

3、禁止携带和使用移动存储设备、运算器、通信工具及参考资料。

4、操作完成后，不要关闭任何设备，不要拆动硬件的连接，不要对设备随意加密码，试卷留在考场。

5、不要损坏赛场准备的比赛所需要的竞赛设备、竞赛软件和竞赛材料等。

二、竞赛环境：软件环境：三、项目背景某知名外企步入中国，在北京建设了自己的国内总部。

为满足公司经营、管理的需要，现在建立公司信息化网络。

总部办公区设有市场部、财务部、人力资源部、信息技术部等4个部门，并在异地设立了一个分部，为了业务的开展需要合作伙伴访问公司内部服务器。

公司规模在2013年快速发展，业务数据量和公司访问量增长量巨大。

为了更好管理数据，提供服务，公司决定建立自己的小型数据中心，以达到快速、可靠交换数据的目的。

为适应公司业务需求，2014年购入服务器并建立自己的云计算平台。

四、竞赛拓扑：图1 网络拓扑图根据这个企业的建网的需求，某系统集成公司进行网络规划和部署。

为了确保部署成功，前期进行仿真测试。

测试环境包括了3台路由器、3台以太网交换机、2台数据中心交换机、1台服务器、2台PC 机。

请考生根据竞赛要求在网络设备上进行实际操作，完成网络物理连接、IP地址规划、VLAN规划与配置、VPN配置、IRF、路由协议、网络安全与可靠性、云计算平台安装、云计算平台部署等配置任务。

竞赛任务要求一、网络物理连接根据下表和网络拓扑图，将所有网络设备与主机连接起来。

二、网络设备配置1、网络设备基本配置根据下表为网络设备配置主机名：2、虚拟化配置数据中心交换机需要实现虚拟化。

2016年江苏省职业院校技能大赛云计算技术与应用样卷作者：江苏省高等职业院校技能大赛发表时间：2015-12-19 阅读次数：1602016年江苏省职业院校技能大赛（高职组）“云计算技术与应用”样卷第一部分：云平台架构设计赛项系统架构如图1所示，IP地址规划如表1所示。

图1 系统架构图表1 IP地址规划表第二部分：云平台部署和运维场景说明某企业需要搭建内部私有云平台，以实现计算资源的池化弹性管理，企业应用的集中管理，统一安全认证和授权管理。

需完成云平台架构的设计、系统部署，云存储网盘web开发及客户端开发。

试根据用户需求，完成以下任务。

任务一、IaaS平台系统准备（6分）1.环境配置(2分)配置云平台IaaS各节点的系统参数：(1)控制节点主机名：controller；计算节点主机名：compute；使用hostname命令进行信息查询。

提交查询信息到答题框。

(2)根据部署图配置ip；使用ifconfig命令查询控制节点和计算节点所有网卡ip信息。

提交查询信息到答题框。

(3)修改hosts文件，映射各节点管理ip与主机名；使用cat命令查询计算节点中的对应关系。

查询信息提交到答题框。

(4)各个节点的selinux设为permissive，使用getenforce命令进行查询。

提交查询信息到答题框。

2.FTP配置(1分)把软件包拷贝到控制节点/opt/路径下，清空控制节点yum源文件夹中的已有配置，配置控制节点使用本地yum源，配置文件为，安装并配置ftp服务，计算节点yum源文件配置使用控制节点的ftp；使用yum upgrade命令更新系统软件包。

使用cat命令查看计算节点的文件。

提交查询信息到答题框。

3.NTP配置(1分)在各节点安装ntp服务，在控制节点上使用文件/etc/ntp.conf配置ntp服务，在计算节点时钟同步到控制节点。

将计算节点同步控制节点的结果提交到答题框。

4.数据库与消息服务安装(1分)在控制节点安装qpid消息服务。

信息安全管理与评估技能大赛赛题1. 介绍赛题在信息安全领域，信息安全管理与评估技能大赛一直是备受关注的赛事之一。

该赛事旨在检验参赛选手在信息安全管理、信息安全评估等方面的技能和实践能力，通过解决赛题来提高对信息安全管理与评估的理解和实际操作能力。

2. 赛题内容与要求赛题往往涉及信息安全管理与评估的各个方面，包括但不限于：•组织信息安全管理体系的构建与运行•风险评估与风险管理•安全策略与安全控制•合规性评估与合规性管理•安全意识教育与培训•事件应急响应与处理•安全制度与流程的优化与改进选手需根据赛题要求，结合相关理论和实践知识，提出合理的解决方案并进行实施，同时要求对解决方案进行全面评估和总结。

3. 深度评估3.1 组织信息安全管理体系的构建与运行在赛题中，可能会涉及到如何构建一个完整的信息安全管理体系，包括信息资产管理、风险管理、安全策略与流程等内容。

选手需要深入分析各项管理制度的设立与实施，以及在具体情境下的应用。

3.2 风险评估与风险管理风险评估与风险管理是信息安全管理的重要组成部分，选手需要深度评估在赛题所涉及的风险评估与风险管理方法与实践，包括风险识别、风险分析、风险评估、风险应对等方面。

3.3 安全意识教育与培训在信息安全管理中，安全意识教育与培训是至关重要的环节。

选手需要深入挖掘赛题中安全意识教育与培训的内容与技巧，提出针对性的解决方案。

4. 广度评估4.1 安全策略与安全控制安全策略与安全控制是信息安全管理与评估的核心内容之一，选手需要全面评估赛题中安全策略与安全控制的合理性与有效性，同时考虑其在实际环境中的落地与推广。

4.2 事件应急响应与处理在实际运营中，安全事件的应急响应与处理显得至关重要。

赛题中可能涉及到不同类型的安全事件，选手需要对应急响应与处理的方法与流程进行全面评估。

5. 结论与观点在信息安全管理与评估技能大赛赛题中，深度评估与广度评估同样重要。

只有在深入理解赛题内容、结合实际情境进行全面评估的基础上，选手才能提出更为全面、深刻的解决方案并进行有效实施。

任务1：SQL注入攻防（55分）1.Web访问DCST中的WebServ2003服务器，进入login.php页面，分析该页面源程序，找到提交的变量名，并截图；（5分）找到源程序：（2分）页面标题：<title>Login Page</title>找到提交的变量名（3分）提供以下变量：name="usernm"name="passwd"2.对该任务题目1页面注入点进行SQL注入渗透测试，使该Web站点可通过任意用户名登录，并将测试过程截图；（5分）构造注入语句：username：任意用户名password：含：or X=’X（X为任意值）（3分）同时包含截图：1、通过任意用户名登录（截图）2、登录成功页面（截图）（2分）3.进入DCST中的WebServ2003服务器的C:\AppServ\www目录，找到loginAuth.php程序，使用EditPlus工具分析并修改PHP 源程序，使之可以抵御SQL注入，并将修改后的PHP源程序截图；（10分）（10分）包含语句：1、select password from users where username=’$username’2、if($obj->password==$password)4.再次对该任务题目1页面注入点进行渗透测试，验证此次利用该注入点对该DCST中的WebServ2003服务器进行SQL注入渗透测试无效，并将验证过程截图；（5分）同时包含截图：1、通过任意用户名登录（截图）2、登陆后，页面出现用户名不存在提示；（截图）（5分）5.Web继续访问DCST中的WebServ2003服务器，"/"->"EmployeeInformation Query"，分析该页面源程序，找到提交的变量名，并截图；（5分）找到源程序：（2分）找到的源程序含有页面标题：<title>Query</title>找到提交的变量名（3分）name="usernm"6.对该任务题目5页面注入点进行渗透测试，根据输入“%”以及“_”的返回结果确定是注入点，并将测试过程截图；（5分）（2分）输入“%”，返回所有用户信息（截图）输入“_”，返回所有用户信息（截图）（3分）7.通过对该任务题目5页面注入点进行SQL注入渗透测试，删除DCST中的WebServ2003服务器的C:\目录下的1.txt文档，并将注入代码及测试过程截图；（5分）构造注入语句：‘exec ‘del c:\1.txt’--（5分）8.进入DCST中的WebServ2003服务器的C:\AppServ\www目录，找到QueryCtrl.php程序，使用EditPlus工具分析并修改PHP 源程序，使之可以抵御SQL注入渗透测试，并将修改后的PHP 源程序截图；（10分）截图：在服务器场景QueryCtrl.php源程序语句：$keyWord=$_REQUEST[‘usernm’]之后加入：（10分）9.再次对该任务题目5页面注入点进行渗透测试，验证此次利用注入点对该WebServer进行SQL注入渗透测试无效，并将验证过程截图。

职业院校技能大赛中职组《网络安全》赛项样题一、竞赛项目简介“网络安全”竞赛共分A.基础设施设置与安全加固；B.网络安全事件响应、数字取证调查和应用安全；C.CTF夺旗-攻击；D.CTF夺旗-防御等四个模块。

竞赛时间安排和分值权重见表1。

二、竞赛注意事项1.竞赛期间禁止携带和使用移动存储设备、计算器、通信工具及参考资料。

2.请根据大赛所提供的竞赛环境，检查所列的硬件设备、软件清单、材料清单是否齐全，计算机设备是否能正常使用。

3.在进行任何操作之前，请阅读每个部分的所有任务。

各任务之间可能存在一定关联。

4.操作过程中需要及时按照答题要求保存相关结果。

竞赛结束后,所有设备保持运行状态，评判以最后提交的成果为最终依据。

5.竞赛完成后，竞赛设备、软件和赛题请保留在座位上，禁止将竞赛所用的所有物品(包括试卷等)带离赛场。

6.禁止在提交资料上填写与竞赛无关的标记，如违反规定，可视为O分。

模块A基础设施设置与安全加固(本模块共200分)一、项目和任务描述假定你是某企业的网络安全工程师，对于企业的服务器系统，根据任务要求确保各服务正常运行，并通过综合运用登录和密码策略、数据库安全策略、流量完整性保护策略、事件监控策略、防火墙策略等多种安全策略来提升服务器系统的网络安全防御能力。

本模块要求对具体任务的操作截图并加以相应的文字说明，并以Word文档的形式书写，以PDF格式保存，并以赛位号作为文件名.二、服务器环境说明IDS：入侵检测系统服务器(Snort),操作系统为Linux1.OG：日志服务器(SPIUnk),操作系统为LinuxWeb：IIS服务器，操作系统为WindowsData：数据库服务器(MySq1),操作系统为LinUX三、具体任务任务一登录安全加固1.密码策略(IDS,LOG,Web,Data)a.最小密码长度不少于12个字符；2.登录策略(IDS,LOG,Web,Data)a.在用户登录系统时，应该有"Forauthorizedusersonly”提示信息；3.用户权限分配(WEB)a.禁止来宾账户登录和访问；任务二数据库加固(Data)1.以普通帐户安全运行mysqld,禁止mysql以管理员帐号权限运行；4.删除默认数据库(test)；任务三Web安全加固(Web)1.删除默认站点；5.限制目录执行权限,对图片或者上传目录设置执行权限为无;任务四流量完整性保护(Web,Data)1.HTTP重定向HTTPS,仅使用HTTPS协议访问网站(Web)；6.防止密码被窃取，仅使用证书登录SSH(Data)o任务五事件监控7.Web服务器开启审核策略：登录事件成功/失败；特权使用成功；策略更改成功/失败；进程跟踪成功/失败；模块B网络安全事件、数字取证调查和应用安全(本模块共400分)一、项目和任务描述：假定你是某网络安全技术支持团队成员，某企业的服务器系统被黑客攻击，你的团队前来帮助企业进行调查并追踪本次网络攻击的源头，分析黑客的攻击方式，发现系统漏洞，提交网络安全事件响应报告，修复系统漏洞，删除黑客在系统中创建的后门，并帮助系统恢复正常运行。

2021年江苏省职业院校技能大赛中职赛项规程一、赛项名称赛项编号：JSZ202124赛项名称：网络信息安全赛项组别：中职组、教师组赛项归属专业大类：信息技术类二、竞赛目的网络信息安全已经上升到国家安全的战略高度，得到社会各界的广泛重视，信息安全产业发展进入快车道。

通过本竞赛，可检验参赛学生对网络、服务器系统等网络空间中各个信息系统的安全防护能力，以及分析、处理现场问题的能力，培养更多学生掌握网络安全知识与技能，发展成为国家信息安全领域的技术技能人才。

通过本竞赛，可以引导中等职业学校熟悉网络安全技术发展趋势和产业应用方向，促进网络信息安全专业建设与教学改革。

本赛项紧密结合新一代信息产业发展对网络信息安全应用型人才的需求，促进校企合作、产教融合，增强中职学校教师培养学生的新技术学习能力和就业竞争力，助力新一代信息技术产业快速发展，实现“以赛促学、以赛促教、以赛促改、以赛促创”。

三、竞赛内容竞赛内容注重考核网络安全设计、安全策略配置、系统渗透测试以及信息安全攻防等方面，还原实际工作场景，基于工作过程的竞赛任务书设计，考察选手网络信息安全的综合技能和素质。

竞赛内容分为理论知识、技能操作两个部分。

（一）理论知识竞赛内容理论知识竞赛采取计算机答题方式进行，题型为单选题、多选题和判断题，内容为技能竞赛相关的理论知识（含密码学、VPN、操作系统加固、WEB渗透、网络数据安全、网络设备安全控制等），时间1小时。

（二）技能操作竞赛内容技能操作竞赛以现场实际操作的方式进行。

选手在规定时间内，根据竞赛时发给的工作任务书完成相应任务，时间3小时。

竞赛技能点及比例见下表。

四、竞赛方式本赛项分为中职组和教师组两个类别，中职组为团体竞赛项目，教师组为个人竞赛项目。

中职组以院校为单位组队参赛，不得跨校组队，同一学校报名参赛队不超过1支，每个参赛队限报2名指导教师。

（一）中职组1.每支参赛队由2名选手组成，其中队长1名。

2.指导教师须为本校专兼职教师，竞赛期间不允许指导教师进入赛场进行现场指导。