2012年职业技能大赛信息安全信息安全等级保护知识

全国职业院校技能大赛（高职组）信息安全管理与评估竞赛大纲信息安全管理与评估赛项专家组2012年5月目录一.竞赛说明 (1)二.竞赛大纲 (2)2.1信息安全基础知识 (2)2.2基本操作知识 (3)2.3网络知识 (3)2.4Windows服务器知识 (4)2.5Linux系统知识 (4)2.6Web系统知识 (5)2.7数据库知识 (5)2.8扫描探测知识 (6)2.9破解验证技术 (6)2.10溢出攻击知识 (6)2.11安全评估知识 (7)2.12安全加固知识 (7)三.工具类型 (8)四.竞赛环境 (9)一. 竞赛说明一、信息安全管理与评估赛项将采取在真实环境中动手安装、实际组建网络系统、上机操作的方式进行竞赛，竞赛内容分为三个方面的知识，分别为：“网络系统组建与管理”、“网络系统加固与评估”及“信息安全攻防对抗”。

二、竞赛大纲中对专业知识的要求分为掌握、熟悉、了解。

掌握即要求能解决实际工作问题；熟悉即要求对有关信息安全的知识有深刻理解，了解即要求具有信息安全有关的广泛知识。

三、只能以院校参赛队为单位参加本次信息安全管理与评估的相关赛事，每个院校参赛队由3名在籍选手组成，可配2名指导教师。

二. 竞赛大纲竞赛大纲分为四个部分：●应知应会的基础知识：●网络系统组建；●网络系统加固与评估：●信息安全攻防对抗：2.1 信息安全基础知识1、了解信息安全基本概念2、了解网络安全主要概念及意义3、了解安全隐患的产生原因、类型区别（被动攻击，主动攻击等）4、了解安全分类（技术缺陷，配置缺陷，策略缺陷，人为缺陷等）5、了解网络安全的实现目标和主要技术措施6、了解信息安全的主要表现形式（蠕虫或病毒扩散，垃圾邮件泛滥，黑客行为，信息系统脆弱性，有害信息的恶意传播）7、了解信息安全的基本属性（机密性，完整性，可用性，真实性，可控性）；8、了解建立安全网络的基本策略（确知系统弱点，限制访问，达到持续的安全，物理安全，边界安全，防火墙，Web和文件服务器，存取控制，变更管理，加密，入侵检测系统）；9、了解信息加密的基本概念；10、了解基础的密码学理论（对称与非对称算法，认证证书PKI密钥和证书，生命周期管理等）；11、了解多因素验证系统（口令、智能卡的组合验证方法）；12、掌握数字证书的基本原理（了解电子加密和解密概念，熟悉CA认证的可信度等）；13、理解等级保护相关知识，会对网络系统进行审计、整改，并出具评估报告。

安全模拟题B一．竞赛项目背景XX集团是一家从事高科技产品研发、生产和销售的大型企业，总公司和分公司通过网络互连，随着业务的发展，公司原有网络已经不能满足高效企业管理的需要，公司经常遭到来自互联网络的攻击或入侵，网络安全对生产和经营的影响也越来越明显。

为了满足业务的需要，公司决定构建一个高速、稳定、安全的适应企业现代化办公需求的高性能网络。

二．网络拓扑三．网络系统搭建（20分）1、选择正确的线缆，并按照拓扑结构图将设备互联；2、按照要求配置正确的IP地址3、配置Hostname为拓扑图上各设备名称4、在S1上划分VLAN，将PC1加入VLAN 10，并将以太网口1-10加入到该VLAN ；将PC2加入VLAN 20，并将以太网口11-20加入到该VLAN；5、在S2上划分VLAN，将Server1加入VLAN 30，并将以太网口1-10加入到该VLAN ；将Server2加入VLAN 20，并将以太网口11-20加入到该VLAN；6、R1与R2之间使用OSPF使网络连通；7、使用NAT来发布Server1上的FTP和WEB服务器。

8、防火墙为透明模式9、路由器之间采用GRE VPN方式实现互访。

四．网络安全加固（30分）1、所有交换机关闭TELNET远程管理，开启SSH远程管理。

用户名admin 密码admin。

不许设置enable密码，开启所有网络设备的日志功能，并在PC2 上架设日志服务器。

2、交换机端口进行安全管控，不许为授权PC 随意接入网络。

3、在防火墙处设置进站流量为10兆，出站流量为100兆。

4、SERVER1服务器安装并开启FTP、WEB服务，并对FTP上传文件、WEB站点访问进行严格管理，（截图编写SERVER1服务器WEB安全配置手册）。

●设置用户：创建组wwwuser，ftpuser，创建wwwuser组用户www_list；ftpuser组用户ftp_list。

●设置目录的权限：web网站放在D:\hnjnds文件夹下，允许www_list，用户对该网站拥有修改、读取和运行、列出文件夹目录、读取、写入访问权限，允许ftp_list用户完全控制访问权限。

2012年北京市职业院校技能大赛高职组“信息安全管理与评估”项目竞赛文件大赛组委会2012年4月第一部分：竞赛规程一、竞赛项目名称信息安全管理与评估二、竞赛时间2012年5月12日三、竞赛目的以实际项目为载体，围绕信息安全技术应用领域的先进技术、主流产品，考查选手面向应用的网络安全能力、组织管理能力、工作计划性和团队协作精神等。

以赛促教，以赛促改，促进计算机信息安全技术专业、计算机网络技术专业的教学内容与教育方法改革，深化校企合作，引导教学改革和专业方向调整，展示学生的实践能力，促进社会对面向应用网络信息安全工程相关岗位的了解，提高社会认可度和学生的就业质量。

具体内容体现如下：✓使学生了解并学习我国安全等级保护标准✓通过多学科、跨专业的形式，培养学生的协同工作能力✓使学生在进入岗位前就建立正确客观的信息安全意识✓提高学生在信息安全管理方面的能力与技巧✓推动工学结合，提高学生对网络进行安全评估的能力✓提高老师在信息安全专业的技能✓促进院校对信息安全专业建设四、竞赛内容与规则（一）竞赛内容本竞赛重点考查参赛学生网络信息安全的实践技能，具体包括：1.参赛选手能够根据业务需求和实际的工程应用环境，实现网络设备、安全设备、服务器的连接，并对设备进行连通性调试；2.参赛选手能够在路由器、交换机、防火墙、服务器等设备上配置各种协议，实现网络的运行，并根据网络业务需求配置各种策略，以满足应用需求；3.参赛选手通过网络评估技术对信息网络中常见的路由器、防火墙、VPN、负载均衡等各类网络设备实施安全管理与评估；4.参赛选手通过主机评估技术对信息系统中常见的Windows主机、Unix主机、Linux主机等各类主机系统实施安全管理与评估；5.参赛选手通过数据库评估技术对目前常见的文档型数据库和关系型数据库等各类数据库实施安全管理与评估；6.参赛选手通过应用系统评估技术对web应用、文件应用、音视频应用、邮件应用等各类应用系统实施安全管理与评估。

信息安全题及答案第一章概述一、判断题1. 信息网络的物理安全要从环境安全和设备安全两个角度来考虑。

√2. 计算机场地可以选择在公共区域人流量比较大的地方。

×3. 计算机场地可以选择在化工厂生产车间附近。

×4. 计算机场地在正常情况下温度保持在18~28 摄氏度。

√5. 机房供电线路和动力、照明用电可以用同一线路。

×6. 只要手干净就可以直接触摸或者擦拔电路组件，不必有进一步的措施。

×7. 备用电路板或者元器件、图纸文件必须存放在防静电屏蔽袋内，使用时要远离静电敏感器件。

√8. 屏蔽室是一个导电的金属材料制成的大型六面体，能够抑制和阻挡电磁波在空气中传播。

√9. 屏蔽室的拼接、焊接工艺对电磁防护没有影响。

×10. 由于传输的内容不同，电力线可以与网络线同槽铺设。

×11. 接地线在穿越墙壁、楼板和地坪时应套钢管或其他非金属的保护套管，钢管应与接地线做电气连通.√12. 新添设备时应该先给设备或者部件做上明显标记，最好是明显的无法除去的标记,以防更换和方便查找赃物。

√13.TEMPEST 技术，是指在设计和生产计算机设备时，就对可能产生电磁辐射的元器件、集成电路、连接线、显示器等采取防辐射措施于从而达到减少计算机信息泄露的最终目的。

√14. 机房内的环境对粉尘含量没有要求。

×15. 防电磁辐射的干扰技术，是指把干扰器发射出来的电磁波和计算机辐射出来的电磁波混合在一起，以掩盖原泄露信息的内容和特征等，使窃密者即使截获这一混合信号也无法提取其中的信息。

√16. 有很高使用价值或很高机密程度的重要数据应采用加密等方法进行保护。

√17. 纸介质资料废弃应用碎纸机粉碎或焚毁。

√二、单选题1. 以下不符合防静电要求的是A. 穿合适的防静电衣服和防静电鞋B. 在机房内直接更衣梳理C. 用表面光滑平整的办公家具D. 经常用湿拖布拖地2. 布置电子信息系统信号线缆的路由走向时，以下做法错误的是A. 可以随意弯折B. 转弯时，弯曲半径应大于导线直径的10 倍C. 尽量直线、平整D. 尽量减小由线缆自身形成的感应环路面积3. 对电磁兼容性(Electromagnetic Compatibility, 简称EMC) 标准的描述正确的是A. 同一个国家的是恒定不变的B. 不是强制的C. 各个国家不相同D. 以上均错误4. 物理安全的管理应做到A. 所有相关人员都必须进行相应的培训，明确个人工作职责B. 制定严格的值班和考勤制度，安排人员定期检查各种设备的运行情况C. 在重要场所的迸出口安装监视器，并对进出情况进行录像D. 以上均正确三、多选题1. 场地安全要考虑的因素有A. 场地选址B. 场地防火C. 场地防水防潮D. 场地温度控制E. 场地电源供应2. 火灾自动报警、自动灭火系统部署应注意A. 避开可能招致电磁干扰的区域或设备B. 具有不间断的专用消防电源C. 留备用电源D. 具有自动和子动两种触发装置3. 为了减小雷电损失，可以采取的措施有A. 机房内应设等电位连接网络B. 部署UPSC. 设置安全防护地与屏蔽地D. 根据雷击在不同区域的电磁脉冲强度划分，不同的区域界面进行等电位连接E. 信号处理电路4. 会导致电磁泄露的有A. 显示器B. 开关电路及接地系统C. 计算机系统的电源线D. 机房内的电话线E. 信号处理电路5. 磁介质的报废处理，应采用A. 直接丢弃B.砸碎丢弃C. 反复多次擦写D.内置电磁辐射干扰器6. 静电的危害有A. 导致磁盘读写错误，损坏磁头，引起计算机误动作B. 造成电路击穿或者毁坏C. 电击，影响工作人员身心健康D. 吸附灰尘7. 防止设备电磁辐射可以采用的措施有A. 屏蔽机B. 滤波C. 尽量采用低辐射材料和设备、D.内置电磁辐射干扰器四、问答题1. 物理安全包含哪些内容?2. 解释环境安全与设备安全的联系与不同。

信息安全等级保护1. 信息安全等级保护信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作，在中国、美国等很多国家都存在的一种信息安全领域的工作。

在中国，信息安全等级保护广义上为涉及到该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作；狭义上称为的一般指信息系统安全等级保护，是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中发生的信息安全事件分等级响应、处置的综合性工作。

国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护，对等级保护工作的实施进行监督、管理。

公安机关负责信息安全等级保护工作的监督、检查、指导。

国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导。

国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导。

涉及其他职能部门管辖范围的事项，由有关职能部门依照国家法律法规的规定进行管理。

国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。

2. 信息安全等级保护工作内容信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。

如图1所示为具体流程。

图12.1 信息安全保护等级划分国家信息安全等级保护坚持自主定级、自主保护的原则。

信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度，信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

《信息安全等级保护信息安全等级保护管理办法》规定：信息系统的安全保护等级分为以下五级：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

2011年福建省职业院校技能大赛高职学生组“信息安全技术应用”项目竞赛规程一、项目名称信息安全技术应用竞赛二、竞赛目的通过竞赛，促进高职计算机类专业面向IT行业应用进一步优化课程设置、改善教学方法、创新培养模式、深化校企合作。

以实际项目为基础，针对计算机网络专业学生的“能力短板”，围绕信息安全技术应用领域的先进技术、主流产品，力求突出面向应用的技能培养；着重考查选手面向应用的网络安全能力、职业道德、组织管理能力、工作计划性和团队协作精神，以赛促教，以赛促改，引领信息安全专业的教育教学改革；通过竞赛展示高职高专信息安全专业学生的面向应用实践能力，促进社会对面向应用网络信息安全工程相关岗位的了解，提高高职高专信息安全专业的社会认可度，提高学生的就业质量和就业水平。

1.注重考察网络系统安全和信息内容安全。

本赛项在内容设计上检验学生从网络组建、网络配置与应用到网络安全与信息安全的关键技能和职业素养，同时兼顾考查学生的质量、效率、成本和规范意识。

主要包括：团队协作能力、工作计划性与时间管理能力、理解分析信息安全系统设计的能力、网络设备配置与调试能力、服务器配置与应用能力、网络系统安全配置和防护能力、网络信息安全防护能力以及制作工程文件的能力等。

2.突出网络工程实践。

本次竞赛将充分体现工学结合的原则，将真实的网络工程项目作为比赛内容，采用行业先进的主流技术、主流产品作为竞赛的技术平台和设备，比赛过程全部按照行业通用规范与标准进行；此外，还将考虑未来三网融合（互联网、通信网、广播电视网）的发展趋势，具有一定前瞻性，为今后竞赛内容进一步扩展与创新打下基础。

三、竞赛方式与内容（一）竞赛方式1、竞赛采取团队竞赛方式，每个参赛队由3名选手组成，选手为2011年在籍高职学生，不分性别、不分年级，其中队长1名。

2、竞赛时间240分钟。

3、竞赛使用的计算机软件全部由竞赛组织方提供，选手不得私自携带任何软件、设计资源和通信工具进入赛场。

2012年安徽省职业院校技能大赛高职组“信息安全管理与评估”项目竞赛规程一、竞赛项目名称信息安全管理与评估二、竞赛目的通过竞赛，展示信息安全技术专业、计算机网络技术专业学生的实践应用能力，检验学生从网络组建、网络配置与应用到网络安全与信息安全的关键技能和职业素养，进一步促进信息安全技术专业、计算机网络技术专业的教学内容与教育方法改革，推动高职教育校企合作、工学结合、顶岗实习等职业教育模式改革，提升学生的就业技能和职业素养。

三、竞赛内容本赛项重点考核参赛选手进行网络组建、网络系统安全策略部署、信息保护、按照等级保护标准进行网络安全评估的综合实践能力，具体包括：1.参赛选手通过网络评估技术对信息网络中常见的路由器、防火墙、VPN、负载均衡等各类网络设备实施安全管理与评估；2.参赛选手通过主机评估技术对信息系统中常见的Windows主机、Unix主机、Linux主机等各类主机系统实施安全管理与评估；3.参赛选手通过数据库评估技术对目前常见的文档型数据库和关系型数据库等各类数据库实施安全管理与评估；4.参赛选手通过应用系统评估技术对web应用、文件应用、音视频应用、邮件应用等各类应用系统实施安全管理与评估；5.参赛选手能够根据国家等级保护标准，对竞赛所设置的环境提供标准的安全评估报告。

竞赛考核点分布见下表：四、竞赛规则1.竞赛采取团队竞赛方式进行，每校可报1-2支参赛队，每支参赛队由3名同校在籍学生组成，并指定队长1名。

参赛选手为2012年在籍的高职高专学生，性别不限，每个参赛队可配指导教师2名。

最终每个院校代表队数视预报名情况确定。

2.竞赛时间240分钟。

3.竞赛所需的PC机设备、系统软件和辅助工具由组委会统一布置，堡垒主机等竞赛所需网络设备由各参赛队自带，选手不得自带任何软件、移动存储、辅助工具、移动通信等进入竞赛现场。

4.参赛选手须提前20分钟入场，入场必须出示学生证和身份证。

按抽签结果进入相应竞赛工位并领取竞赛任务，竞赛正式开始后方可展开相关工作。

附件6：2012年山东省职业院校技能大赛高职组“计算机网络组建与信息安全技术”项目竞赛规程一、竞赛项目名称计算机网络组建与信息安全技术二、竞赛目的竞赛设计适应国家产业结构调整与社会发展需要，展示知识经济时代高技能人才培养的特点；聚焦计算机网络组建和安全维护技术应用领域岗位的主要技能。

竞赛内容以计算机网络组建和信息安全技术为核心，着重考查参赛选手在模拟真实的工作环境与条件下实现对网络组建与安全维护的实施能力，软件安装（或固件升级）能力，设备调试能力，以及网络构架设计改进的能力，包括各种服务器的安装与配置，现场问题的分析与处理、团队协作和创新能力、质量管理与成本控制、安全、环保等意识；引导高职院校关注网络构建与安全维护的高速发展趋势与技术应用方向，指导和推动计算机应用专业开展教学改革，加快计算机应用专业高素质技能型人才的培养，适应国家产业结构调整和产业发展对计算机应用技术人才的需求，增强技能型人才的就业竞争力。

竞赛的设计面向计算机网络组建和信息安全技术应用领域的主要岗位及其所需技能，突出计算机网络组建和安全维护技术领域的应用，体现面向应用计算机网络组建和安全维护领域的先进技术。

三、竞赛方式和内容（一）竞赛方式竞赛采取团队比赛方式，每支参赛队由3名选手组成，选手为参赛校2012年在籍全日制高职高专学生，男女不限。

每队可配指导教师1-2名。

（二）竞赛方案1．企业网络搭建及应用（3人团体项目）。

2．利用大赛提供的3台计算机、3台路由器、3台三层交换机、1台安全设备、一台POE交换机、一台无线AP，按大赛要求组建网络。

3．比赛时间为5个小时，连续进行。

网络线缆制作与连接、服务器的安装与配置、网络设备调试、网络测试验收、清洁整理等时间计算在内。

4．参赛队根据给定竞赛任务，按照大赛组委会提供的竞赛题目要求，在规定时间和指定场地内，根据规定的网络模型和技术要求，完成设备连接，完成配置、验收测试。

5．参赛选手利用软硬件环境组建星型网络，对网络进行配置；安装Windows和Linux操作系统，并按比赛要求进行相应设置。

职业技能竞赛—网络与信息安全管理员理论题库（附参考答案）一、选择题（每题5分，共25分）1. 以下哪个不属于信息安全风险评估的步骤？A. 资产识别B. 威胁识别C. 漏洞识别D. 风险处理答案：D2. 以下哪种加密算法是非对称加密算法？A. DESB. RSAC. AESD. 3DES答案：B3. 以下哪个不属于防火墙的类型？A. 硬件防火墙B. 软件防火墙C. 虚拟防火墙D. 代理防火墙答案：C4. 以下哪种攻击方式是通过发送大量请求来使目标系统瘫痪？A. 钓鱼攻击B. 拒绝服务攻击（DoS）C. 信息窃取攻击D. 恶意软件攻击答案：B5. 以下哪个不属于信息安全的三大基本要素？A. 保密性B. 完整性C. 可用性D. 不可否认性答案：D二、判断题（每题5分，共25分）1. 信息安全风险评估的目的是为了识别和处理风险，保障信息系统的安全。

（正确）2. 对称加密算法和非对称加密算法都是基于密钥来进行加密和解密的。

（正确）3. 入侵检测系统（IDS）可以防止网络攻击。

（错误）4. 虚拟专用网络（VPN）是一种基于加密技术的远程访问方式。

（正确）5. 信息安全的核心是技术，与管理无关。

（错误）三、简答题（每题10分，共30分）1. 请简述信息安全的五大目标。

答案：信息安全的五大目标包括保密性、完整性、可用性、不可否认性和可审查性。

保密性是指确保信息不被未授权的访问者获取；完整性是指确保信息在传输和存储过程中不被篡改；可用性是指确保信息在需要时能够被授权用户访问；不可否认性是指确保行为者不能否认其行为；可审查性是指确保行为者的行为可以被追溯和审查。

2. 请简述防火墙的基本工作原理。

答案：防火墙是一种网络安全设备，其基本工作原理是通过建立一条缓冲区来隔离内部网络和外部网络（如互联网），并对进出网络的数据包进行检查和过滤。

防火墙根据预先设定的安全策略，允许符合策略的数据包通过，同时阻止或丢弃不符合策略的数据包，从而保护内部网络的安全。

一、单选题（题数：32，共64.0 分）1 信息安全等级保护工作直接作用的具体的信息和信息系统称为（2.0分）2.0 分A、客体B、客观方面C、等级保护对象D、系统服务正确答案：B2 根据等级保护相关管理文件,信息系统的安全保护等级分为几个级别: （2.0分）A、 3B、 4C、 5D、 6正确答案：C3 根据《信息安全等级保护管理办法》,( )应当依照相关规和标准督促、检查、指导本行业、本部门或本地区信息系统运营、使用单位的信息安全等级保护工作。

（2.0分）A.公安机关B.国家工作部门C.国家密码管理部门D.信息系统的主管部门正确答案：D4 对社会秩序、公共利益造成特别严重损害,定义为几级（2.0分）A、第一级B、第二级C、第三级D、第四级正确答案：D5 对国家安全造成特别严重损害,定义为几级（2.0分）A、第二级B、第三级C、第四级D、第五级正确答案：D6 信息系统建设完成后,( )的信息系统的运营使用单位应当选择符合国家规定的测评机构进行测评合格方可投入使用。

（2.0分）A.二级及以上B.三级及以上C.四级及以上D.五级正确答案：B7 计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由( )合同有关部门制定。

（2.0分）A、教育部B、国防部C、安全部D、公安部正确答案：B8 1999年,我国发布的第一个信息安全等级保护的国家标准GB 17859 —1999,提出将信息系统的安全等级划分为______个等级,并提出每个级别的安全功能要求。

（2.0分）A、7B、8C、 6D、 5正确答案：D9 信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益,在等义中应定义为第几级（2.0分）A、第一级B、第二级C、第三级D、第四级正确答案：A10 《信息系统安全等级保护实施指南》将______作为实施等级保护的第一项重要容。

（2.0分）A、安全定级B、安全评估C、安全规划D、安全实施正确答案：A11 安全建设整改无论是安全管理建设整改还是安全技术建设整改,使用的和新标准是( ) （2.0分）A、《计算机信息安全保护等级划分准则》B、《信息系统安全等级保护基本要求》C、《中华人民国计算机信息系统安全保护条例》D、《信息安全等级保护管理办法》正确答案：B12 从系统服务安全角度反映的信息系统安全保护等级称（2.0分）A、安全等级保护B、信息系统等级保护C、系统服务安全保护等级D、业务信息安全保护等级正确答案：C13 对拟确定为( )以上信息系统的,运营、使用单位或者主管部门应当请国家信息安全保护等级专家评审委员会评审。