信息安全管理与评估竞赛第二阶段题库

2021年职业院校技能大赛高职组“信息安全管理与评估”赛项样题一、赛项时间9:00-12:00/14:00-17:00，共计3小时，含赛题发放、收卷时间。

二、赛项信息三、赛项内容本次大赛，各位选手需要完成两个个阶段的任务，其中第一个阶段需要按裁判组专门提供的U盘中的“XXX-答题模板”提交答案。

第二阶段请根据现场具体题目要求操作。

选手首先需要在U盘的根目录下建立一个名为“GW xx”的文件夹（xx用具体的工位号替代），赛题第一阶段和第二阶段所完成的“XXX-答题模板”放置在文件夹中。

例如：08工位，则需要在U盘根目录下建立“GW08”文件夹，并在“GW08”文件夹下直接放置第一个阶段的所有“XXX-答题模板”文件。

特别说明：只允许在根目录下的“GWxx”文件夹中体现一次工位信息，不允许在其他文件夹名称或文件名称中再次体现工位信息，否则按作弊处理。

(一)赛项环境设置1.网络拓扑图2.IP地址规划表3.设备初始化信息(二)第一阶段任务书（500分）任务一：网络平台搭建（140分）任务2：网络安全设备配置与防护（360分）DCFW:1.在DCFW上配置，连接LAN接口开启PING,HTTP,HTTPS，telnet功能，连接Internet接口开启PING、HTTPS功能；连接netlog接口为DMZ区域，合理配置策略，让内网用户能通过网络管理netlog;2.DCFW配置 LOG，记录NAT会话， Server IP为172.16.100.10.开启DCFW上snmp服务，Server IP 172.16.100.10 团体字符为public;3.DCFW做相应配置，使用L2TP方式让外网移动办公用户能够实现对内网的访问，用户名密码为DCN2019， VPN地址池参见地址表；合理配置安全策略。

4.出于安全考虑，无线用户移动性较强，无线用户访问 Internet是需要采用实名认证，在防火墙上开启Web认证，账号密码为2019WEB;5.为了合理利用网络出口带宽，需要对内网用户访问Internet进行流量控制，园区总出口带宽为200M，对无线用户用户限制带宽，每天上午9:00到下午6:00每个IP最大下载速率为2Mbps，上传速率为1Mbps；6.配置防火墙 Web 外发信息控制策略，禁止内网无线用户到所有网站的 Web外发信息控制；内网有线用户到外网网站 Web 外发信息控制，禁止外发关键字“攻击”“病毒”，信任值为 5，并记录相关日志。

《信息安全管理与评估》模拟题（A卷）一、填充题1、在安装活动目录之前，要做如下必要工作：规划________________，规划________________和规划________________模式。

2、所谓防火墙指的是一个由设备组合而成、在之间、之间的界面上构造的保护屏障。

3、_____________与_____________的作用是“进不来”和“拿不走”，加密的作用是，即使拿走了也“__________”。

4、 Intranet是指与___________隔离开的一个较小的专用网络空间，是由企业、机构、城市甚至国家采用___________技术（包括TCP/IP、WWW技术等）而建立的一种___________、相对独立的专用网络。

5、路由器的动态路由协议分为______________________和______________________。

6、Microsoft 组策略管理控制台（GPMC）是针对组策略管理的最新解决方案，该控制台由一个新的Microsoft 管理控制台（MMC）管理单元和一组编写脚本的___________组成。

7、从备份介质进行活动目录恢复有两种方式可以选择：______________和______________。

8、 MIB（管理信息库）位于相应的Agent之上，存入_______________的网络信息。

9、电磁泄漏的防护技术共有3种：_____________、_____________和电磁干扰器。

二、单选题1、Visa和 MasterCard两大信用卡组织制定了（）协议，为网上信用卡支付提供了全球性的标准。

A、IPSecB、SSLC、SETD、HTTPD2、活动目录架构中包括了两种类型的定义，如下那个名称是不正确的（）：A、组对象B、属性C、分类D、元数据3、所有的被管理对象包含在管理信息库（MIB）中，MIB实际上就是一个有关对象的数据库。

图中DCRS的11-15接口；DCWAF的0、1接口；DCST的0-4接口已经连接完毕，不需要学生进行连接，比赛途中不得其进行改动，不得使DCST重启、关机、断电，否则扣除考试分值。

2.IP地址规划地址表中的X代表本组组编号，如：一组组编号为6，DCR的1接口ip192.6.0.1DCR 3接口192.X.0.1/24（6）同时限制PCC的IP下载速度为1M，并限制PCC的会话数为100条。

(10%)（7）网络内有一台网站服务器，通过waf，进行网页防篡改设置。

(10%)（8）同时在waf上进行目录遍历防护措施。

(10%)（9）当PCB想要访问PCA时，必须通过DCR-DCFW1-DCRS这条线路。

(15%)（10）当PCB通过DCFW1时，设置WEB认证，PCB必须通过web认证后才能够访问PCA。

(10%)（11）网络内运行OSPF动态路由协议，使其全网互通。

(10%)第二部分系统加固(300分)（注意：本阶段将答案填写至“系统加固.doc”文档中，并保存至“提交专用U盘”中的“系统加固”目录中，该文件电子模板在参赛机中）1. 加固系统（60%）（1）要求设置交互式登陆不需要按CTRL+ALT+DEL（6%）截图说明：（2）要求用户设置安全策略，不允许SAM帐户的匿名枚举（6%）截图说明：（3）要求用户设置安全策略，不允许SAM帐户的和共享的匿名枚举（6%）截图说明：（4）停止并禁用Task Schedule服务（6%）截图说明：（5）停止并禁用Remote Registry服务（6%）截图说明：（6）停止并禁用Print spooler服务（6%）截图说明：（7）开启审核对象访问，成功与失败（6%）截图说明：（8）开启审核目录服务访问，成功与失败（6%）截图说明：（9）开启审核特权使用，成功与失败（6%）截图说明：（10）开启审核系统事件，成功与失败（6%）截图说明：2.加固WEB服务(40%)（注意：本阶段填写并提交电子版《加固WEB服务》，该文件电子模板在参赛机中）（1）将网站移植到E分区截图说明：（2）将原有网站停止，建立新的站点test，并能够正常浏览截图说明：（3）更改IIS日志路径到E:\weblogfile目录下截图说明：（4）通过“TCP/IP”筛选，限制只开放80、3389端口截图说明：第三部分：安全评估(300分)（注意：本阶段将答案填写至相关文档中，并保存至“提交专用U盘”中的“安全评估”目录中，该文件电子模板在参赛机中）作为一名成熟的安全工程师，在工作过程中发现你所控制的服务器问题非常大，为了能够让上级重视这个问题，你必须向上级反映。

职业院校技能大赛高职组信息安全管理与评估竞赛试题信息安全管理与评估竞赛试题第一部分：选择题1.下列哪项内容不属于信息安全管理中的基本要素？A.风险评估B.安全意识培养C.物理安全D.防病毒软件2.下列哪项操作不会增强信息系统的安全性？A.设置防火墙B.定期更新操作系统C.加强员工安全意识D.购买更多软件工具3.下列哪项操作不是常见的鉴别网络攻击的方法？A.黑名单阻止攻击B.系统安全日志记录C.文件权限管理D.源地址验证4.下列哪项不是数据库管理中的安全性问题？A.数据冗余B.授权管理C.加密算法选择D.数据备份与恢复5.关于虚拟化技术，下列说法正确的是？A.虚拟化技术无法提高系统的可靠性B.虚拟化技术可以提高系统的效率C.虚拟化技术只适用于小型网络环境D.虚拟化技术会使系统的安全性降低第二部分：填空题1.信息安全威胁的种类主要包括：_________、木马、病毒等。

2.常见的社会工程学攻击手段包括____________、伪装信件、钓鱼等。

3.信息安全管理中的“CIA”三个字母分别代表__________、保密性、完整性、可用性。

4.评估网络风险时，需要对风险的__________、风险等级、实施方案等进行评估。

5.防范内部威胁的方法包括加强_________、构建有效的监控机制等。

第三部分：问答题1.简述信息安全管理中的“风险评估”和“风险管理”概念，以及它们在信息安全管理体系中的作用。

2.简述虚拟化技术的概念、工作原理以及在信息系统安全领域中的应用。

3.现代信息系统中常常存在着大量的安全漏洞，为了防范这些安全漏洞，我们可以采取哪些常用的安全措施？第四部分：实操题1.编写一个简单的Python脚本，实现以下功能：从一个文本文件中读取若干行字符串，对这些字符串进行加密处理，然后将结果重新写回同一个文本文件中。

2.请设计一个基于Web的系统，该系统可以实现用户的注册、登录、注销等功能，并且可以根据用户权限不同，显示不同的信息和功能模块。

信息安全管理员大赛模拟试题（含答案）一、单选题1. 信息安全等级保护工作直接作用的具体的信息和信息系统称为 [单选题] *A、客体B、客观方面C、等级保护对象(正确答案)D、系统服务2. 下面哪个安全评估机构为我国自己的计算机安全评估机构? [单选题] *CCTCSECCNISTECITSEC(正确答案)3. 信息系统安全等级保护实施的基本过程包括系统定级、（）、安全实施、安全运维、系统终止 [单选题] *风险评估安全规划(正确答案)安全加固安全应急4. 对客体造成侵害的客观外在表现，包括侵害方式和侵害结果等，称为 [单选题] *客观方面(正确答案)等级保护对象系统服务5. 信息系统为支撑其所承载业务而提供的程序化过程，称为 [单选题] *客体客观方面等级保护对象系统服务(正确答案)6. 从业务信息安全角度反映的信息系统安全保护等级称 [单选题] *安全等级保护信息系统等级保护系统服务安全保护等级业务信息安全保护等级(正确答案)7. 从系统服务安全角度反映的信息系统安全保护等级称 [单选题] *安全等级保护信息系统等级保护系统服务安全保护等级(正确答案)业务信息安全保护等级8. 对公民、法人和其他组织的合法权益造成一般损害，定义为几级 [单选题] *第一级(正确答案)第三级第四级9. 对公民、法人和其他组织的合法权益造成特别严重损害，定义为几级 [单选题] *第一级第二级(正确答案)第三级第四级10. 二级信息系统保护要求的组合包括: S1A2G2，S2A2G2，（） [单选题] *S2A1G2(正确答案)S1A2G3S2A2G3S2A3G211. 基本要求的选择和使用中，定级结果为S3A2，保护类型应该是 [单选题] *S3A2G1S3A2G2S3A2G3(正确答案)S3A2G412. 每个级别的信息系统按照（）进行保护后，信息系统具有相应等级的基本安全保护能力，达到一种基本的安全状态 [单选题] *基本要求(正确答案)测评准则实施指南13. 下列选项中，不属于审核准备工作内容的是 [单选题] *编制审核计划加强安全意识教育(正确答案)收集并审核有关文件准备审核工作文件——编写检查表14. 在信息资产管理中，标准信息系统的因特网组件不包括 [单选题] *服务器网络设备（路由器、集线器、交换机）保护设备（防火墙、代理服务器）电源(正确答案)15. 在信息资产管理中，标准信息系统的组成部分不包括 [单选题] *硬件软件解决方案(正确答案)数据和信息16. 下列关于体系审核的描述中，错误的是 [单选题] *体系审核应对体系范围内所有安全领域进行全面系统地审核应由与被审核对象无直接责任的人员来实施组织机构要对审核过程本身进行安全控制对不符合项的纠正措施无须跟踪审查(正确答案)17. IATF将信息系统的信息保障技术层面划分为四个技术框架焦点域。

信息安全管理与评估《信息安全管理与评估》1. 引言1.1 什么是信息安全管理信息安全管理是指保护组织中包括信息、系统、网络和应用程序等数据安全的管理活动。

它涵盖了所有可能涉及信息安全的人、过程和技术。

它不仅可以帮助组织识别并解决安全问题，还可以帮助组织建立信息安全政策和标准，并以适当的方式运行安全活动。

1.2 信息安全管理的重要性信息安全管理提供了组织防范和抵御信息安全威胁所需的基础架构。

它努力保护组织的数据、应用程序和IT设施。

它还可以帮助组织控制事故的发生，并以正确的方式处理突发情况。

2. 信息安全管理的要素2.1 信息安全政策信息安全政策是组织首先制定的安全控制，集中安全控制的力量以达到最佳效果。

它为信息安全管理提供了一个可用于指导其他安全控制活动的基础，如安全管理程序、安全监控、安全报告和安全审计。

2.2 信息安全体系信息安全体系是一系列的安全过程，以支持组织信息安全政策。

它包括安全管理程序、安全监控、安全审计、安全技术和安全服务。

它们共同协作，以实现政策，消除漏洞，减少安全威胁，并加强组织的安全控制。

2.3 信息安全技术信息安全技术是通过软件、硬件和过程来实现的。

它们可以支持或取代组织的安全政策和安全体系，以提供保护组织的数据、应用程序和IT设施的有效技术支持。

3. 信息安全管理和评估3.1 信息安全管理信息安全管理包括定义安全政策，建立安全体系，获取和安装安全技术，检测和响应安全事件，审计和报告，并确保政策、过程和技术的一致性。

3.2 信息安全评估信息安全评估是指确定组织如何达到他们定义的安全目标的过程。

它是通过识别组织的安全控制，评估它们的有效性和效果，并识别可能存在的安全漏洞来完成的。

最后，它将提供组织管理者以改善或更新现有控制的建议，以实现组织的安全目标。

全国职业院校技能大赛高等职业教育组信息安全管理与评估任务书模块二网络安全事件响应、数字取证调查、应用程序安全一、比赛时间及注意事项本阶段比赛时长为180分钟，时间为13:30-16:30。

【注意事项】(1)比赛结束，不得关机；(2)选手首先需要在U盘的根目录下建立一个名为“AGWxx”的文件夹(XX用具体的工位号替代)，请将赛题第二阶段所完成的“信息安全管理与评估竞赛答题卡-模块二”答题文档，放置在“AGWxx”文件夹中。

例如：08工位，则需要在U盘根目录下建立“AGW08”文件夹，请将第二阶段所完成的“信息安全管理与评估竞赛答题卡-模块二''答题文档，放置在“AGW08”文件夹中。

(3)请不要修改实体机的配置和虚拟机本身的硬件参数。

二、所需软硬件设备和材料所有测试项目都可由参赛选手根据基础设施列表中指定的设备和软件完成。

三、评分方案本阶段总分数为300分。

四、项目和任务描述随着网络和信息化水平的不断发展，网络安全事件也层出不穷，网络恶意代码传播、信息窃取、信息篡改、远程控制等各种网络攻击行为已严重威胁到信息系统的机密性、完整性和可用性。

因此，对抗网络攻击，组织安全事件应急响应，采集电子证据等技术工作是网络安全防护的重要部分。

现在，A集团已遭受来自不明组织的非法恶意攻击，您的团队需要帮助A集团追踪此网络攻击来源，分析恶意攻击攻击行为的证据线索，找出操作系统和应用程序中的漏洞或者恶意代码,帮助其巩固网络安全防线。

本模块主要分为以下三个部分:•网络安全事件响应•数字取证调查•应用程序安全五、工作任务第一部分网络安全事件响应任务hCentoS服务器应急响应(70分)A集团的应用服务器被黑客入侵，该服务器的Web应用系统被上传恶意软件,系统文件被恶意软件破坏，您的团队需要帮助该公司追踪此网络攻击的来源，在服务器上进行全面的检查，包括日志信息、进程信息、系统文件、恶意文件等,从而分析黑客的攻击行为，发现系统中的漏洞，并对发现的漏洞进行修复。

信息安全管理与评估信息安全管理与评估是指为了保护信息系统和数据的安全性，对信息系统进行全面管理和评估的过程。

在信息化时代，随着信息技术的发展和应用的普及，信息系统的安全性成为一个重要的问题。

信息系统的安全性主要包括机密性、完整性和可用性三个方面。

信息安全管理是指通过制定和实施相关的安全策略、政策和措施，管理和保护信息系统和数据的安全。

其中，信息安全策略是指明确信息安全目标和原则，确定信息资产分类和管理标准，规定信息安全相关的法律、政策和规程；信息安全政策是指依据信息安全策略，制定适用于组织的信息安全管理规定和措施；信息安全措施是指根据信息安全政策和安全要求，实施技术和管理措施，确保信息系统和数据的安全。

信息安全评估是指对信息系统和数据进行全面的评估和检测，以找出潜在的安全隐患和风险。

信息安全评估的目的是为了发现并解决存在的安全问题，预防信息系统和数据被未经授权的人员访问、修改或破坏。

信息安全评估的内容包括安全政策和规程的合规性审核，系统的漏洞扫描和渗透测试，安全事件的响应和处理等。

信息安全管理与评估的重要性不言而喻。

首先，信息系统和数据的安全是组织信息化和业务运营的基础。

信息系统和数据泄露、篡改或遭受破坏，将会给企业带来巨大的损失和风险。

其次，信息安全管理和评估是法律法规和行业规范的要求。

随着个人信息保护法的颁布和实施，组织必须加强对信息系统和数据的保护，否则将面临严重的法律责任和经济处罚。

再次，信息安全管理和评估是提升组织竞争力和信誉的重要手段。

信息安全问题的发生将会严重影响组织的声誉和形象，在竞争激烈的市场中，良好的信息安全管理和评估将成为组织吸引客户和合作伙伴的重要优势。

综上所述，信息安全管理与评估是组织保护信息系统和数据安全的重要手段。

通过制定和实施相关的安全策略、政策和措施，以及对信息系统和数据进行全面评估和检测，可以有效预防信息安全风险的发生，并保障组织的信息化运作和业务发展的顺利进行。

2019年山东省职业院校技能大赛高职组
“信息安全管理与评估”赛项任务书
第三阶段题库
漏洞列表一：
1. 靶机上的网站存在后门，要求选手进行代码审计，找到相关的漏洞，利用漏洞获取一定权限。

2. 靶机上的网站存在命令执行、文件包含漏洞，要求选手找到命令执行、文件包含的相关漏洞，利用漏洞获取一定权限。

3.操作系统提供的服务存在未授权访问，要求选手利用相关漏洞，获取一定权限。

4. 靶机中存在一些后门，要求选手可以找到后门，并利用预留的后门直接获取flag。

选手通过以上的所有漏洞点，得到其他选手靶机的最高权限，并获取其他选手靶机上的FLAG值进行提交。

漏洞列表二：
1. 靶机上的网站可能存在命令注入的漏洞，要求选手找到命令注
入的相关漏洞，利用漏洞获取一定权限。

2. 靶机上的网站可能存在文件上传漏洞，要求选手找到文件上传
的相关漏洞，利用漏洞获取一定权限
3. 靶机上的网站可能存在文件包含漏洞，要求选手找到文件包含
的相关漏洞，结合其他漏洞获取一定权限并进行提权
4. 操作系统提供的服务可能包含了远程代码执行的漏洞，要求用
户找到包含远程代码执行的服务，并利用此漏洞获取系统权限。

5. 操作系统提供的服务可能包含了缓冲区溢出漏洞，要求用户找
到缓冲区溢出漏洞的服务，并利用此漏洞获取系统权限。

6. 操作系统中可能存在一些系统后门，选手可以找到后门，并利
用预留的后门直接获取到系统权限。

选手通过以上的所有漏洞点，得到其他选手靶机的最高权限，并获取其他选手靶机上的FLAG值进行提交。

心之所向,所向披靡竞赛项目设计应适应国家产业结构调整与社会发展需要 ,展示知识经济时代高技能人材培养的特点,聚焦信息安全技术应用领域岗位的主要技能。

在《中华人民 XX 国国民经济和社会发展第十二个五年规划纲要》中已明确指出：✓推动并实行工学结合、校企合作、顶岗实习的职业教育培养模式,提高学生就业的技能和本领✓健全网络与信息安全法律法规,完善信息安全标准体系和认证认可体系✓实施信息安全等级保护、风险评估等制度✓加强信息网络监测、管控能力建设,确保基础信息网络和重点信息系统安全✓加强互联网管理,确保国家网络与信息安全因此,信息安全将成为我国信息化发展战略中重要的组成部份 ,而安全评估又是该部份中的重要内容。

信息安全管理与评估通过竞赛,展示信息安全技术专业、计算机网络技术专业的学生面向应用的实践能力,同时检验学生从网络组建、网络配置与应用到网络安全与信息安全的关键技能和职业素质,进一步促进信息安全技术专业、计算机网络技术专业的教学内容与教育方法改革 ,深化校企合作,引导教学改革和专业方向调整 ,具体内容体现如下：✓使学生了解并学习我国安全等级保护标准✓通过多学科、跨专业的形式,培养学生的协同工作能力✓通过笔试考察选手职业道德,促进教学在道德文化方面的建设✓使学生在进入岗位前就建立正确客观的信息安全意识✓提高学生在信息安全管理方面的能力与技巧✓推动工学结合,提高学生对网络进行安全评估的能力✓促进院校对信息安全专业建设✓提高老师在信息安全专业的技能✓促进信息安全专业教材的编写✓促进我国信息安全高技能人材培养和储备✓保障我国信息化快速、持续、健康和安全发展高职信息安全技术专业毕业生的培养目标是能从事网络安全管理、信息安全监查、安全评估、等级保护评测等核心职业能力,毕业生的主要工作岗位包括公安局信息监查、网站安全、病毒查杀机构等单位、运营商、企业的技术安全维护员、各个重要政府部门的网络安全监测等。

按照20XX 全国职业院校技能竞赛的指导思想和竞赛原则,本赛项重点考核参赛选手进行网络组建、网络系统安全策略部署、信息保护、按照等级保护标准进行网络安全评估的综合实践能力, 具体包括：1.参赛选手通过网络评估技术对信息网络中常见的交换机、路由器、防火墙、 VPN、负载均衡等各类网络设备实施安全管理与评估；2.参赛选手通过主机评估技术对信息系统中常见的 Windows 主机、 Unix 主机、 Linux 主机等各类主机系统实施安全管理与评估；3.参赛选手通过数据库评估技术对目前常见的文档型数据库和关系型数据库等各类数据库实施安全管理与评估；4.参赛选手通过应用系统评估技术对 web 应用、文件应用、音视频应用、邮件应用等各类应用系统实施安全管理与评估。

2022年网络与信息安全技能竞赛题库208题并附全部答案2022年网络与信息安全技能竞赛题库208一、单项选择题（90道）1、国务院于哪年的6月28日印发了《关于大力推进信息化发展和切实保障信息安全若干意见》（）A、2022B、2022C、2022D、20222、2022年12月28日，由哪个机构通过了关于加强网络信息保护的决定（）A、国务院B、全国人大常委会C、工信部D、国家网络与信息安全协调小组3、下列关于我国涉及网络信息安全的法律说法正确的是（）A、在1979年的刑法中已经包含相关的计算机犯罪的罪名B、《关于维护互联网安全的决定》是我国目前为止直接规范网络信息安全的效力最高的法律文件C、2003年全国人大常委会审核通过了《中华人民共和国电子签名法》D、《中华人民共和国电子签名法》的实施年份是2004年4、我国哪部法律法规对禁止以计算机病毒或者其他方式攻击通信设施，危害网络安全和信息安全等行为作出了详细规定（）A、《中华人民共和国信息安全法》B、《中华人民共和国电信条例》C、《中华人民共和国计算机信息系统安全保护条例》D、《中华人民共和国个人信息保护法》5、我国第一部保护计算机信息系统安全的专门法规是（）A、《计算机信息网络国际联网管理暂行规定》B、《中华人民共和国信息安全法》C、《中华人民共和国电信条例》D、《中华人民共和国计算机信息系统安全保护条例》6、不属于《中华人民共和国保守国家秘密法》中第48条规定的违法行为的选项是（）A、未经他人同意而在互联网上公开他人隐私信息的行为B、通过普通邮政、快递等无保密措施的渠道传递国家秘密载体的行为C、在互联网及其他公共信息网络或者未采取保密措施的有线和无线通信中传递国家秘密的行为D、擅自卸载、修改涉密信息系统的安全技术程序、管理程序的行为7、《中华人民共和国电子签名法》的实施时间是（）A、1994年2月28日B、2004年8月28日C、2005年4月1日D、2005年6月23日8、下列哪部法律法规从法律层面规定了国际联网、互联网络、接入网络等信息技术术语（）A、《计算机信息网络国际联网管理暂行规定》B、《中华人民共和国计算机信息系统安全保护条例》C、《计算机信息网络国际联网管理暂行规定实施办法》D、《中华人民共和国电信条例》10、下列哪个选项不是全国人民代表大会常务委员会在2000年12月颁布实施的《关于维护互联网安全的决定》中规定的犯罪行为（）A、损害互联网运行安全B、扰乱社会主义市场经济秩序和社会管理秩序C、对个人造成精神创伤D、破坏国家安全和社会稳定11、计算机信息系统是由计算机及其相关的和配套的设备、设施(含网络)构成的，按照一定的应用目标和规则对信息进行（）等处理的人机系统。

信息安全管理与评估第三阶段夺旗挑战CTF（网络安全渗透）第三阶段竞赛项目试题本文件为信息安全管理与评估项目竞赛-第三阶段试题。

根据信息安全管理与评估项目技术文件要求，第三阶段为夺旗挑战CTF（网络安全渗透）。

本次比赛时间为180分钟。

介绍夺旗挑战赛（CTF）的目标是作为一名网络安全专业人员在一个模拟的网络环境中实现网络安全渗透测试工作。

本模块要求参赛者作为攻击方，运用所学的信息收集、漏洞发现、漏洞利用等渗透测试技术完成对网络的渗透测试；并且能够通过各种信息安全相关技术分析获取存在的flag值。

所需的设备、机械、装置和材料所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完成。

评分方案本项目阶段分数为350分。

注意事项通过找到正确的flag值来获取得分，它的格式如下所示：flag{<flag值>}这种格式在某些环境中可能被隐藏或混淆。

所以，注意一些敏感信息并把它找出来。

项目和任务描述在A集团的网络中存在几台服务器，各服务器存在着不同业务服务。

在网络中存在着一定网络安全隐患，请利用你所掌握的渗透测试技术，通过信息收集、漏洞挖掘等渗透测试技术，完成指定项目的渗透测试，在测试中获取flag值。

网络环境参考样例请查看附录A、附录B。

本模块所使用到的渗透测试技术包含但不限于如下技术领域：•信息收集•逆向文件分析•二进制漏洞利用•应用服务漏洞利用•杂项与密码学分析所有设备和服务器的IP地址请查看现场提供的设备列表。

工作任务一、Web1服务器二、Web2服务器三、Web3服务器四、FTP服务器五、Pwn1服务器六、Pwn2服务器附录A图1 网络拓扑结构图附录B服务器IP地址列表。

信息技术竞赛测试试题答卷人____________________ 部门____________________ 职务____________________考题说明：.考题总数200题，其中填空题10道，单选题100道，多选题65道，判断题20道，简答题5道。

考试时间：2小时一、填空题1 . 中国石化的信息系统安全等级保护坚持_____ 、_____ 的原则。

参考答案： 1.自主定级2.自主保护2 . 带分布式奇偶位的条带是目前应用最广的一种磁盘阵列模式，数据与校验位分布在不同的磁盘上，是指哪种RAID方式_____ 。

参考答案： 1.RAID53 . 网路中的服务器主要有_____ 和_____ 两个主要通讯协议，都使用端口号来识别高层的服务。

参考答案： 1.UDP 2.TCP4 . 中国石化电子邮件系统每个用户电子邮箱容量为_____ ，每封邮件大小限制为_____ 。

参考答案： 1.300M2.30M5. 根据《中华人民共和国刑法》第二百八十六条，违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的，处_____ 年以下有期徒刑或拘役；后果特别严重的，处_____ 年以上有期徒刑。

参考答案： 1.五2.五6. 信息安全是_____ 和_____ 的结合体，是一个整体的系统工程。

参考答案： 1.技术2.管理7 . PKI/CA能为网上业务系统，特别是在电子政务和电子商务业务中参与网上业务的各方的相互信任提供安全机制，为网上业务过程中身份认证和访问控制、信息保密性、信息_____ 性和业务操作的_____ 等安全需求提供可靠保障参考答案： 1.完整2.抗抵赖8 . 在某个攻击中，由于系统用户或系统管理员主动泄露，使得攻击者可以访问系统资源的行为被称作_____ 。

参考答案： 1.社会工程9 . 《信息系统安全等级保护基本要求》从第_____ 级开始明确提出了建立信息安全管理制度体系的要求？（）参考答案： 1.310. 在信息系统安全中，风险由_____ 、_____ 因素共同构成的？参考答案： 1.威胁2.脆弱性二、单选题1 . 以下关于VPN说法正确的是：A . VPN指的是用户自己租用线路，和公共网络完全隔离开，安全的通道B . VPN是用户通过公用网络建立的临时的安全的通道C . VPN不能做到信息验证和身份验证D . VPN只能提供身份认证、不能提供加密数据的功能参考答案：B2 . 关于Unix版本的描述中,错误的是( )3 . 在使用RAID0+1方式工作时，至少需要( )块硬盘。

2023信息安全管理与评估国赛题一、赛题背景信息安全作为当今社会的重要议题，受到越来越多的关注和重视。

随着互联网的迅猛发展和智能化技术的不断普及，网络安全问题也日益凸显。

在信息安全管理与评估方面的研究和实践变得尤为重要。

为了提高信息系统的安全性，各国纷纷开展信息安全管理与评估相关的竞赛和活动，以促进领域内的科技创新和人才培养。

二、竞赛目的本次竞赛旨在通过实际案例和情景模拟，考察参赛队伍对信息安全管理与评估理论的掌握程度和实际应用能力，引导学生深入了解信息安全管理与评估领域的前沿技术和发展动态，培养学生的团队合作精神和解决问题的能力，加强学生的实践操作能力，促进学生对信息安全管理与评估领域的兴趣，为信息安全产业输送更多更高素质的人才。

三、竞赛内容1. 网络安全评估参赛队伍需针对给定的网络系统，在进行严密的渗透测试基础上，提出网络安全评估方案，包括对网络结构、安全策略、危机处理等方面的评估和改进建议。

2. 信息系统风险管理参赛队伍需根据案例分析，识别并分析信息系统中存在的风险因素，并提出相应的风险管理措施，包括风险评估、风险控制和风险处理方案。

3. 安全事件响应参赛队伍需在模拟的安全事件中，迅速做出响应并采取有效措施，保护系统不受进一步损害，留下有效的取证信息以便后续分析和追溯，同时对安全事件进行全面的分析和总结。

4. 信息安全管理体系建设参赛队伍需结合企业实际情况，提出信息安全管理体系建设方案，包括安全策略、安全运维、安全意识教育等内容，以保障企业信息安全。

四、竞赛要求1. 竞赛报名时，参赛队伍需提交相关的参赛资料和报名表格。

历年参赛队伍需提交包括往年竞赛成绩在内的相关证明材料，并在此竞赛中表现出色者，获得额外加分。

2. 参赛队伍需通过网络报名，报名截止时间为指定日期，逾期报名者不予受理。

3. 竞赛中，参赛队伍需按时完成指定的竞赛任务，并将相关成果提交给评委进行评分。

迟交者将抠除相应分数。

4. 竞赛中禁止抄袭、抄袭者一经发现即取消竞赛资格，成绩无效，并移交学校有关部门作进一步处理。

附件31：高职电子信息大类信息安全管理与评估赛项技能竞赛规程、评分标准及选手须知一、竞赛内容重点考核参赛选手安全网络组建、网络系统安全策略部署、信息保护、网络安全运维管理的综合实践能力，具体包括：（1）参赛选手根据大赛提供的赛项要求，设计信息安全防护方案，并且能够提供详细的信息安全防护设备拓扑图。

（2）参赛选手根据业务需求和实际的工程应用环境，实现网络设备、安全设备、服务器的连接，通过调试，实现设备互联互通。

（3）参赛选手在赛项提供的网络设备及服务器上配置各种协议和服务，实现网络系统的运行，并根据网络业务需求配置各种安全策略，以满足应用需求。

（4）参赛选手根据网络实际运行中面临的安全威胁，指定安全策略并部署实施，防范并解决网络恶意入侵和攻击行为。

（5）参赛选手按照要求准确撰写工作总结。

二、竞赛方式本赛项为3人团体赛，设队长1名。

三、竞赛时量比赛时量为3小时，比赛过程连续进行。

四、名次确定办法1．评分：竞赛采用结果评判的方式，根据选手提交的最终结果评定选手成绩。

2．名次确定：选手竞赛成绩按照评分标准计分，按照参赛队成绩从高到低排序确定名次。

总分相同时，完成时间较短者名次列前；成绩和完成时间均相同时，操作过程较规范者名次列前。

五、评分标准与评分细则1．评分标准及分值内容技术要求分值评分标准网络平台搭建网络规划技术完成VLSM、CIDR规划设计 5网络规划文档，错误一处扣0.5分基础网络完成VLAN、WLAN、STP、SVI、RIPV2、OSPF等配置；完成无线设置、分配、接入、开通，无线加密、MAC认证及二层漫游等；15配置文件及现场测试，未完成一处扣0.5分网络安全设备配置与防护访问控制保护网络应用安全，实现防DOS、DDOS攻击、实现包过滤、应用层代理、状态化包过滤、URL过滤、基于IP、协议、应用、用户角色、自定义数据流和时间等方式的带宽控制，QOS策略等；20截图文件、现场测试，未完成一处扣0.5分密码学和VPN密码学基本理论应用，完成L2L IPSecVPN、GRE Over IPSec、L2TP Over IPSec、IKE：PSK、IKE：PKI、SSL VPN等配置；数据分析能够利用日志系统对网络内的数据进行日志分析，把控网络安全等；系统安全攻防及运维安全管控网络渗透测试及其加固技术MAC、DHCP、ARP、STP、VLAN、路由协议(RIPV2、OSPF)渗透测试及其加固60截图文件，完成一处渗透得1分，完成一处加固得1分操作系统渗透测试及其加固Windows、Linux操作系统服务缓冲区溢出渗透测试及其加固Web应用和数据库渗透测试及其加固技术SQL Injection、Command Injection、File Upload、Directory Traversing、XSS（Cross Site Script）、CSRF（CrossSite Request Forgeries）、Cookie Stole（Cookie盗用）、Session Hijacking漏洞渗透测试及其安全编程、配置WAF（Web应用防火墙）加固Web应用等；合计1002．评分细则（1）根据竞赛任务和评分标准确定评分细则，设计评分表。

信息安全管理与评估信息安全是企业发展中不可或缺的重要组成部分，随着信息技术的飞速发展，信息安全管理与评估变得愈发重要。

信息安全管理是指通过制定安全策略、规程和措施，保护信息系统中的数据不受未经授权的访问、使用、泄露、破坏、修改和干扰。

而信息安全评估则是对信息系统和信息系统安全管理工作进行全面、客观的评价，以发现安全隐患，提出改进建议，保障信息系统安全稳定运行。

首先，信息安全管理与评估需要建立完善的安全管理体系。

企业应当建立健全的信息安全管理制度，包括明确的安全管理责任、权限和流程，确保信息安全管理工作有序开展。

同时，还需要建立信息安全管理组织架构和相应的岗位设置，明确各级管理人员的安全管理职责，保证信息安全管理工作的高效推进。

其次，信息安全管理与评估需要进行风险评估和风险管理。

企业应当对信息系统进行全面的风险评估，识别各种潜在的安全威胁和漏洞，并制定相应的风险管理策略和措施，加强对可能发生的安全事件的预防和控制，降低信息系统遭受攻击和破坏的风险。

此外，信息安全管理与评估需要加强对员工的安全意识培训和教育。

企业应当定期开展信息安全意识培训，提高员工对信息安全的重视和认识，加强对信息安全政策、规定和操作流程的培训，使员工能够正确、规范地使用信息系统，防范各种安全风险。

最后，信息安全管理与评估需要进行定期的安全检查和评估。

企业应当建立健全的信息安全检查和评估机制，定期对信息系统进行安全检查和评估，及时发现和排除安全隐患，确保信息系统的安全稳定运行。

综上所述，信息安全管理与评估是企业信息化建设中的重要环节，需要建立完善的安全管理体系，进行全面的风险评估和风险管理，加强对员工的安全意识培训和教育，以及定期的安全检查和评估。

只有这样，企业才能有效保障信息系统的安全稳定运行，提高信息安全管理水平，确保企业信息资产的安全和可靠性。

信息安全管理员-初级工试题库及参考答案一、单选题（共43题，每题1分，共43分）1.下面关于数据粒度的描述不正确的是（）。

A、数据越详细,粒度就越小,级别也就越高B、粒度的具体划分将直接影响数据仓库中的数据量以及查询质量C、数据综合度越高,粒度也就越大,级别也就越高D、粒度是指数据仓库小数据单元的详细程度和级别正确答案：C2.软件维护阶段最重要的是对（）的管理A、软件设计B、测试C、变更D、编码正确答案：C3.网络层的主要任务是提供（）。

A、物理连接服务B、进程通信服务C、端-端连接服务D、路径选择服务正确答案：D4.（）全面负责发布管理流程所有具体活动执行，保障所有发布依照预定流程顺利执行。

A、发布主管B、系统主管C、业务主管D、发布经理正确答案：D5.按系统保护（G2）的要求，系统应提供在管理维护状态中运行的能力，管理维护状态只能被（）使用。

A、系统操作员B、领导C、系统管理员D、机房管理员正确答案：C6.物联网中传感器提供商属于物联网产业链中的哪一环节？（）A、不属于物联网产业B、系统集成商C、核心感应器提供商D、网络提供商正确答案：C7.（）是账户使用安全的第一责任人，应保证账户及密码安全。

A、业务部门B、用户C、信息中心D、安监部正确答案：B8.地市供电局业务部门负责软件变更需求的提出，并提交至本单位（）。

A、分管领导B、业务管理员C、系统开发商D、信息管理部门正确答案：D9.进程从就绪状态进入运行状态的原因可能是（）。

A、等待的事件已发生B、时间片用完C、等待某一事件D、被选中占有处理器正确答案：D10.对于危急缺陷或严重缺陷，运维人员发现后15分钟内向相关领导报告，应立即分析缺陷原因，提出解决办法，危急缺陷原则上应在（）内消除。

A、48小时B、72小时C、96小时D、24小时正确答案：D11.发布管理主要角色有：发布经理、（）和发布实施人员。

A、业务主管B、系统主管C、发布主管D、应用主管正确答案：C12.某计算机，在开机半小时后显示器“黑屏”，主机电源指示灯不亮，CPU风扇转动，显示器电源指示灯亮，关机数分钟后再次开机，重复上述故障现象，故障部位可能是（）。