下载文档原格式
全国职业院校技能大赛(高职组)信息安全管理与评估竞赛大纲信息安全管理与评估赛项专家组2012年5月目录一.竞赛说明 (1)二.竞赛大纲 (2)2.1信息安全基础知识 (2)2.2基本操作知识 (3)2.3网络知识 (3)2.4Windows服务器知识 (4)2.5Linux系统知识 (4)2.6Web系统知识 (5)2.7数据库知识 (5)2.8扫描探测知识 (6)2.9破解验证技术 (6)2.10溢出攻击知识 (6)2.11安全评估知识 (7)2.12安全加固知识 (7)三.工具类型 (8)四.竞赛环境 (9)一. 竞赛说明一、信息安全管理与评估赛项将采取在真实环境中动手安装、实际组建网络系统、上机操作的方式进行竞赛,竞赛内容分为三个方面的知识,分别为:“网络系统组建与管理”、“网络系统加固与评估”及“信息安全攻防对抗”。
二、竞赛大纲中对专业知识的要求分为掌握、熟悉、了解。
掌握即要求能解决实际工作问题;熟悉即要求对有关信息安全的知识有深刻理解,了解即要求具有信息安全有关的广泛知识。
三、只能以院校参赛队为单位参加本次信息安全管理与评估的相关赛事,每个院校参赛队由3名在籍选手组成,可配2名指导教师。
二. 竞赛大纲竞赛大纲分为四个部分:●应知应会的基础知识:●网络系统组建;●网络系统加固与评估:●信息安全攻防对抗:2.1 信息安全基础知识1、了解信息安全基本概念2、了解网络安全主要概念及意义3、了解安全隐患的产生原因、类型区别(被动攻击,主动攻击等)4、了解安全分类(技术缺陷,配置缺陷,策略缺陷,人为缺陷等)5、了解网络安全的实现目标和主要技术措施6、了解信息安全的主要表现形式(蠕虫或病毒扩散,垃圾邮件泛滥,黑客行为,信息系统脆弱性,有害信息的恶意传播)7、了解信息安全的基本属性(机密性,完整性,可用性,真实性,可控性);8、了解建立安全网络的基本策略(确知系统弱点,限制访问,达到持续的安全,物理安全,边界安全,防火墙,Web和文件服务器,存取控制,变更管理,加密,入侵检测系统);9、了解信息加密的基本概念;10、了解基础的密码学理论(对称与非对称算法,认证证书PKI密钥和证书,生命周期管理等);11、了解多因素验证系统(口令、智能卡的组合验证方法);12、掌握数字证书的基本原理(了解电子加密和解密概念,熟悉CA认证的可信度等);13、理解等级保护相关知识,会对网络系统进行审计、整改,并出具评估报告。
全国职业院校技能大赛信息安全管理与评估信息安全管理与评估是当今社会中非常重要的一项技能。
全国职业院校技能大赛为了培养优秀的信息安全管理专业人才,将此项技能列为比赛项目之一。
以下是信息安全管理与评估的相关内容。
信息安全管理是一项系统性的工作,其主要目的是保护信息系统中的数据、软件和硬件安全。
信息安全管理在现代社会中起着至关重要的作用。
它不仅能保护个人隐私和商业机密,还能保证政府机构、科研机构和各种组织机构的信息安全。
信息安全评估是评估信息系统和网络安全问题的过程。
信息安全评估通常包括三个方面:风险评估、安全检查和安全整改。
风险评估是通过分析系统存在的威胁和漏洞的潜在影响来确定安全等级和控制措施。
安全检查是检查系统是否存在漏洞和安全隐患的方法。
安全整改是解决信息安全问题的过程。
了解信息安全管理与评估的基本概念是参加比赛的关键。
此外,选手们需要了解信息安全管理和评估的主要技术。
例如,安全管理系统、应急响应计划、网络防护、加密和虚拟专用网络。
还需要掌握一些基本的安全工具,如端口扫描器、漏洞扫描器、攻击模拟器和入侵检测系统。
在比赛中,选手需要运用自己的技能和知识来防范和应对各种网络攻击。
此外,还需要解决网络安全问题,并找到最佳解决方案。
选手们还需要能够在有限的时间内快速定位并修复安全漏洞。
在以上的基础上,选手们还需要具备团队合作精神和沟通能力,因为信息安全管理和评估是一个团队工作。
选手们需要相互配合、协作,才能完成整个系统的安全管理和评估工作。
总之,信息安全管理与评估是一项非常重要的技能,在日益发展的信息化社会中至关重要。
通过参加全国职业院校技能大赛,在实际操作中提升自己的技能和水平,将有助于选手们打下坚实的信息安全管理与评估基础,成为优秀的信息安全管理专业人才。
附件1:2012年全国职业院校技能大赛方案一、大赛名称:2012年全国职业院校技能大赛二、比赛时间:2012年6月三、比赛地点:主赛场——天津分赛区——河北、山西、吉林、江苏、浙江、安徽、山东、河南、广东、贵州四、主办单位:教育部、天津市人民政府、工业和信息化部、财政部、人力资源和社会保障部、住房和城乡建设部、交通运输部、农业部、文化部、卫生部、国务院国有资产监督管理委员会、国家旅游局、国家中医药管理局、国务院扶贫办、中华全国总工会、共青团中央、中华职业教育社、中国职业技术教育学会、中华全国供销合作总社、中国机械工业联合会、中国有色金属工业协会、中国石油和化学工业联合会、中国物流与采购联合会等部门。
五、比赛分组:中职组、高职组六、比赛项目:共18个专业大类,96个分赛项。
其中,中职组16个大类,60个赛项;高职组18个大类,36个赛项。
七、大赛具体报名通知及各赛项规程由大赛执委会另发。
八、报名资格报名以省(自治区、直辖市、新疆生产建设兵团、计划单列市)为单位组队。
团体赛不得跨校组队。
计划单列市报名仅限中职项目。
本科院校高职学生可以报名参加高职组比赛。
中职参赛选手须为全日制正式学籍的在校生,年龄限制在25周岁以下。
五年制高职学生报名参赛的,一至三年级(含三年级)学生参加中职组比赛,四、五年级学生参加高职组比赛。
参加团体比赛的队伍和参加个人赛的选手均可指定指导教师,每名指导教师不限于指导一名参赛选手。
九、分赛区组委会名单(一)河北分赛区组委会主任:刘教民河北省教育厅厅长赵俊贵中国石油和化学工业联合会副会长、秘书长副主任:翟海魂河北省教育厅副厅长熊传勤中国化工教育协会会长委员:朱智国河北省教育厅高教处处长佟加安河北省石油和化学工业协会会长阮新中国石油和化学工业联合会人事部主任任耀生中国化工教育协会秘书长沈磊化学工业职业技能鉴定指导中心副主任柴锡庆河北化工医药职业技术学院院长(二)山西分赛区组委会主任:张猛财政部人事教育司副司长、全国财政职业教育教学指导委员会主任委员副主任:王庆阁财政部干部教育中心副主任、全国财政职业教育教学指导委员会副主任委员欧阳宗书财政部会计司副司长王李金山西省教育厅副厅长常国华山西省财政厅总会计师申长平山西财政税务专科学校校长、全国财政职业教育教学指导委员会副主任委员委员:张建刚财政部人事教育司干部教育处处长韩玉国财政部干部教育中心教研处处长李换珍山西省教育厅高教处处长司新山山西省财政厅人事教育处处长李高伟四川财经职业学院院长闫平陕西财经职业技术学院院长赵水根河南财政税务高等专科学校校长何桑江西财经职业学院党委书记赵丽生山西财政税务专科学校副校长姜韵宜北京财贸职业学院副院长程淮中江苏财经职业技术学院副院长(三)吉林分赛区组委会主任:王化文吉林省人民政府副省长副主任:李建华吉林省政府副秘书长卢连大吉林省教育厅厅长吴兰长春市委常委长春市人民政府副市长委员:刘勇兵吉林省教育厅副厅长高壮吉林省财政厅副厅长崔力夫吉林省人力资源和社会保障厅副厅长马军吉林省工业和信息化厅副厅长冷曦晨吉林省交通运输厅副巡视员潘力捷吉林省总工会党组副书记、副主席卢福建长春市人民政府副秘书长马军长春市教育局局长李长明长春市西新经济技术开发区管委会主任王树彬长春职业技术学院院长魏崴长春汽车工业高等专科学校校长(四)江苏分赛区组委会主任:曹卫星江苏省人民政府副省长副主任:沈健江苏省教育厅厅长委员:丁晓昌江苏省教育厅副厅长杨湘宁江苏省教育厅副厅长蔡恒江苏省农业委员会副主任许仲梓南京市人民政府副市长居丽琴常州市人民政府副市长杨展里南通市人民政府副市长董玉海扬州市人民政府副市长(五)浙江分赛区组委会主任:刘希平浙江省教育工委书记、教育厅厅长副主任:汪晓村浙江省教育工委副书记、教育厅副厅长委员:瞿建浙江省供销合作社副主任吴玉妹浙江机电集团股份有限公司党委副书记李曙明浙江经贸职业技术学院院长管平浙江机电职业技术学院院长(六)安徽赛区组委会主任:谢广祥安徽省人民政府副省长赵岸青中国煤炭工业协会副会长副主任:邱江中国煤炭教育协会理事长张宏干煤炭工业职业技能鉴定指导中心主任程艺安徽省委教育工委书记、省教育厅厅长桂来保安徽煤矿安全监察局党组书记、局长任予赞安徽省人力资源和社会保障厅副厅长张海阁安徽省经济和信息化委员会副主任、煤炭办主任徐安崑安徽省煤炭工业协会会长王明胜淮北矿业集团公司董事长、党委书记张国建淮北矿业集团公司副董事长、党委副书记、总经理王莉莉安徽省淮北市人民政府副市长李伟淮北矿业集团公司副总经理委员:储常连安徽省教育厅高教处处长燕贵忠安徽省教育厅职成处处长张大鸣安徽省人社厅职业能力建设处处长李桂林安徽省经济和信息化委员会煤炭办副主任赵焕忠安徽省煤矿安全监察局培训处处长岳君芝淮北市教育局局长徐福信淮北市人社局局长许起和淮北矿业集团公司劳动工资部部长陈建民北京工业职业技术学院院长任文杰平顶山工业职业技术学院院长葛侃安徽矿业职业技术学院党委书记、院长贾涛徐州机电工程高等职业技术学校校长秘书长:葛侃(兼)(七)山东分赛区组委会主任:孙伟山东省委常委、副省长副主任:齐涛山东省教育厅厅长姜在旸国家中医药管理局人教司司长魏洪涛国家旅游局人事司司长刘奇山东省卫生厅厅长于冲山东省旅游局局长委员:宋承祥山东省教育厅副厅长徐曙光山东省教育厅总督学武继彪山东省中医药管理局局长梁文生山东省旅游局巡视员张广波烟台市人民政府副市长王桂英潍坊市人民政府副市长周杰国家中医药管理局人教司综合协调处处长王晓霞国家旅游局人教处处长宋伯宁山东省教育厅高教处处长邢顺峰山东省教育厅职成教处处长王辉山东省卫生厅科教与国际合作处处长董树山山东省卫生厅中医药综合处处长孙蕾山东省旅游局监督管理处处长张国华潍坊市教育局局长金鲁明山东中医药高等专科学校党委书记狄保荣山东旅游职业学院党委书记于建平山东省潍坊商业学校校长(八)河南分赛区组委会主任:王艳玲河南省教育厅厅长执行主任:訾新建河南省教育厅副厅长副主任:张振强河南省南阳市副市长闫恒河南省国防科技工业局副局长苗前军中国全球定位系统应用协会常务副会长兼秘书长吴卫东国家测绘地理信息局职业技能鉴定中心副主任委员:梁卫鸣中国测绘学会科普处处长韩小爱河南省教育厅高教处处长禄丰年河南省测绘局副局长宋新龙河南省测绘院院长赵文亮教育部高职高专测绘类专业教学指导委员会主任李生平河南工业职业技术学院院长(九)广东分赛区组委会主任:罗伟其广东省教育厅厅长杨荣森广东省旅游局局长江凌广东省清远市市长副主任:魏中林广东省教育厅副厅长叶小山广东省教育厅副厅长余昌国国家旅游局人事司副司长王志红广东省旅游局副局长陈建华广东省清远市副市长成员:邵子铀广东省教育厅高中与中职教育处处长郑文广东省教育厅高等教育处处长韩玉灵全国旅游职业教育教学指导委员会秘书长徐国元佛山市顺德区政务委员、顺德区教育局局长林海龙广东省清远市教育局局长夏伟顺德职业技术学院院长冒超球广东省旅游职业技术学校校长谭志平清远市职业技术学校校长吴锋广东省顺德区胡锦超职业技术学校(十)贵州分赛区组委会主任: 霍健康贵州省教育厅党组书记、厅长张达伟贵州省供销社党组书记、主任副主任: 蔡志君贵州省教育厅副厅长委员:罗小平贵州省教育厅职成处处长冯霞贵州省供销社人事教育处处长杨吉泉贵州省茶技术茶文化学校校长方昌国贵州省贵定县政协主席十、赛项简介与组队要求“2012年全国职业院校技能大赛”赛项简介与组队要求910111213141516本文整理:/作者:教育部17。
职业院校技能大赛高职组信息安全管理与评估竞赛试题信息安全管理与评估竞赛试题第一部分:选择题1.下列哪项内容不属于信息安全管理中的基本要素?A.风险评估B.安全意识培养C.物理安全D.防病毒软件2.下列哪项操作不会增强信息系统的安全性?A.设置防火墙B.定期更新操作系统C.加强员工安全意识D.购买更多软件工具3.下列哪项操作不是常见的鉴别网络攻击的方法?A.黑名单阻止攻击B.系统安全日志记录C.文件权限管理D.源地址验证4.下列哪项不是数据库管理中的安全性问题?A.数据冗余B.授权管理C.加密算法选择D.数据备份与恢复5.关于虚拟化技术,下列说法正确的是?A.虚拟化技术无法提高系统的可靠性B.虚拟化技术可以提高系统的效率C.虚拟化技术只适用于小型网络环境D.虚拟化技术会使系统的安全性降低第二部分:填空题1.信息安全威胁的种类主要包括:_________、木马、病毒等。
2.常见的社会工程学攻击手段包括____________、伪装信件、钓鱼等。
3.信息安全管理中的“CIA”三个字母分别代表__________、保密性、完整性、可用性。
4.评估网络风险时,需要对风险的__________、风险等级、实施方案等进行评估。
5.防范内部威胁的方法包括加强_________、构建有效的监控机制等。
第三部分:问答题1.简述信息安全管理中的“风险评估”和“风险管理”概念,以及它们在信息安全管理体系中的作用。
2.简述虚拟化技术的概念、工作原理以及在信息系统安全领域中的应用。
3.现代信息系统中常常存在着大量的安全漏洞,为了防范这些安全漏洞,我们可以采取哪些常用的安全措施?第四部分:实操题1.编写一个简单的Python脚本,实现以下功能:从一个文本文件中读取若干行字符串,对这些字符串进行加密处理,然后将结果重新写回同一个文本文件中。
2.请设计一个基于Web的系统,该系统可以实现用户的注册、登录、注销等功能,并且可以根据用户权限不同,显示不同的信息和功能模块。
信息安全管理与评估赛项赛高职
信息安全管理与评估赛项是高职组比赛之一,旨在检验参赛选手在网络安全、安全架构、渗透测试、攻防实战等方面的技术技能,以及参赛队的组织和团队协作等综合职业素养。
通过比赛,可以培养学生的创新能力和实践动手能力,提升他们的职业能力和就业竞争力。
比赛通常包括以下几个环节:
1. 网络组建:参赛选手需要根据业务需求和实际工程应用环境,实现网络设备、安全设备、服务器的连接,通过调试实现设备互联互通。
2. 安全架构设计:选手需要设计并实现一个安全架构,以确保网络系统的安全。
这可能包括防火墙、入侵检测系统、加密技术等的使用。
3. 渗透测试:选手需要通过模拟黑客攻击的方式,测试网络系统的安全性。
他们需要找出网络系统中的漏洞并利用这些漏洞进行攻击。
4. 攻防实战:在这个环节中,选手需要应对真实的网络攻击,并采取相应的措施来防御和恢复。
这可能包括日志分析、入侵检测、应急响应等。
通过这些环节的比赛,可以全面检验选手的技术技能和职业素养。
同时,比赛还可以促进专业教学改革,提升人才培养质量,为国家信息安全行业培养选拔技术技能型人才。
“2012年全国职业院校技能大赛”高职组计算机网络应用赛项规程一、竞赛名称1计算机网络应用二、竞赛目的通过竞赛,检验参赛选手的计算机网络的拓扑规划能力、IP地址规划能力、设备配置与连接能力、服务的搭建与调试能力、故障排除和验证能力、应用的接入与测试能力、中英文技术文档阅读和应用能力、工程现场问题的分析和处理能力、组织管理与团队协调能力、质量管理和成本控制意识。
引导高职院校关注绿色、安全、智能的计算机网络技术发展趋势和产业应用方向,引导教师在教学模式和学生评价模式的改革,引导院校、教师、企业促进教产互动、校企合作,提升高职计算机类专业学生能力素质与企业用人标准的吻合度。
三、竞赛方式与内容竞赛以实际工程项目为基础,面向岗位技能,突出工程应用,体现新技术的应用。
(一)竞赛形式竞赛以团队方式进行,每支参赛队由3名选手组成,须为同校在籍学生,其中队长1名,性别和年级不限,可配2名指导教师。
比赛将通过下列两种方式进行:1. 在模拟软件上完成计算机网络规划、配置和故障排除Cisco Packet Tracer模拟软件具有同时模拟大量网络设备的功能,利用Cisco Packet Tracer在有限的时间内考察学生对知识的掌握及对较大规模网络运维的全局认知和把握能力。
参赛学生将在模拟软件上完成规定需求网络的拓扑规划、IP地址规划、IP路由规划、语音和无线设备的配置、VPN及安全配置、连通性验证和故障排除等工作。
2. 在真实设备上完成计算机网络搭建和调试在真实设备上完成符合特定需求的绿色、安全、智能的计算机网络和综合布线系统及传感网的构建,并排查在构建过程中可能出现的错误。
在操作系统(Windows/Linux)上完成安全配置和应用管理。
最后以设备配置文件、提交的文档和竞赛作品作为最终评分依据。
(二)竞赛内容参赛队根据给定项目需求,完成一定规模的绿色、安全、智能的计算机网络的拓扑规划、IP地址规划、设备配置与连接、服务的搭建与调试、故障排除和应用的接入与测试等。
全国职业院校技能大赛高职组“信息安全管理制度与评估”项目竞赛规程一、竞赛概况1.本竞赛旨在提高职业院校高职组学生的信息安全管理制度与评估的实践能力,促进信息安全管理水平的提升。
2.参赛者应具备一定的信息安全管理知识和实践能力,且须为在校的高职组学生。
3.竞赛形式为团队赛,每支队伍由3-5名队员组成。
4.竞赛内容包括信息安全管理制度的编制和应用、信息安全评估的技术和方法、信息安全风险管理等方面的综合能力。
二、竞赛流程1.选拔赛:各地区根据实际情况开展选拔赛,选拔出具备一定实力的队伍参加全国总决赛。
2.总决赛:总决赛采用线下形式进行,分为项目报告、现场演示和答辩三个环节。
a.项目报告:参赛队伍需以PPT形式,详细介绍其所编制的信息安全管理制度和评估方案,包括制定目标和原则、流程和组织、应用和监控等。
b.现场演示:参赛队伍需进行实际的信息安全管理制度和评估操作演示,展示其技术和方法的实际运用。
c.答辩环节:评委对参赛队伍的制度和评估方案进行提问并评分,参赛队伍需要做到扎实的理论知识、清晰的表达能力及技能操作的熟练度。
3.评分体系:根据项目报告、现场演示和答辩三个环节的表现,最终综合评分确定比赛名次。
三、竞赛要求1.参赛队伍需在规定时间内完成信息安全管理制度和评估方案的编制和准备,并按时提交相关材料。
2.参赛队伍需准备充足的演示工具和设备,确保现场演示环节的顺利进行。
3.参赛队伍需具备团队合作精神,发挥每位队员的优势,形成整体实力更强的竞赛团队。
4.参赛队伍需严守竞赛纪律,不得使用任何作弊手段。
一经发现,将取消竞赛资格。
5.竞赛组委会将提供必要的竞赛材料和场地设备,但不提供任何资金支持。
四、奖项设置1.总决赛设冠军、亚军、季军和优胜奖。
2.颁发奖项时将考虑参赛队伍的综合表现,包括制度和评估方案的完整性和创新性、现场演示的流利度和技术操作的熟练度、答辩的深度和准确度等。
3.获奖队伍将获得奖金、荣誉证书等奖励,并被相关单位推荐参加国家级技能大赛。
全国职业院校技能大赛(高职组)信息安全管理与评估一、介绍全国职业院校技能大赛(高职组)信息安全管理与评估全国职业院校技能大赛(高职组)信息安全管理与评估是一项旨在促进我国职业院校信息安全教育和人才培养的比赛。
这项比赛旨在提高学生信息安全管理与评估技能,培养学生在信息安全领域的专业素养和创新能力,同时也为学生提供了一个展示自己技能的舞台。
二、信息安全管理与评估的重要性信息安全管理与评估是信息安全领域的重要内容,它涉及到对信息系统、网络等资产进行保护、评估和管理。
在当前数字化快速发展的时代,信息安全问题备受关注,各种形式的网络攻击层出不穷,因此信息安全管理与评估显得尤为重要。
职业院校学生要具备一定的信息安全意识和技能,未来才能更好地投身信息安全领域,为社会供给更多专业的信息安全服务。
三、全国职业院校技能大赛(高职组)信息安全管理与评估的意义参加全国职业院校技能大赛(高职组)信息安全管理与评估不仅仅是为了获得荣誉和奖励,更重要的是比赛本身对学生的能力提升和专业素养的培养。
比赛是一个锻炼学生技能、磨炼意志的舞台,通过比赛,学生可以在实际操作中加深对信息安全管理与评估的理解,提高解决实际问题的能力,培养自己的创新思维和团队合作精神。
四、对全国职业院校技能大赛(高职组)信息安全管理与评估的个人观点作为一名信息安全管理与评估的实践者,我个人认为全国职业院校技能大赛(高职组)信息安全管理与评估是一项非常有意义的比赛,它为学生提供了一个展示自己技能、提升自己专业素养的评台。
比赛不仅能锻炼学生实际操作能力,更能提高学生的信息安全意识和综合素质。
通过比赛,学生们可以学习到更多的专业知识,培养团队协作能力,增强抗压能力,为将来的发展奠定坚实的基础。
五、总结全国职业院校技能大赛(高职组)信息安全管理与评估是一场具有挑战性和意义的比赛,它不仅考验学生的专业技能,更能够培养学生综合素质。
通过参加比赛,学生能够不断学习提升,展现自己的实力,为未来的职业生涯打下坚实的基础。
2012年全国职业院校信息化教学大赛方案一、大赛名称2012年“神州数码杯”全国职业院校信息化教学大赛。
二、比赛时间和地点1.比赛时间:2012年11月3~5日。
11月2日报到。
2.比赛地点:江苏省南京高等职业技术学校。
三、比赛项目2.高职组。
(1)多媒体教学软件比赛;(2)信息化教学设计比赛;(3)网络课程比赛。
四、赛项要求1.多媒体教学软件比赛。
此项目考察参赛教师对教学软件的教学设计和应用能力,媒体的选择及其表现能力,以及教学过程中软件的使用效果。
参赛软件应根据教学目标、教学内容和教学策略设计,遵循现代教学理念和学习理论,适应不同教学环境和生源特点,满足教学需求。
(1)参赛软件应针对一个相对完整的教学单元或一门课程、一个职业岗位进行开发,可为仿真实训软件、多媒体教学课件、自主学习软件等。
(2)参赛软件应体现职业教育“做中教、做中学”的教学特色,充分发挥信息技术对教学的支撑作用,能实现助教、助学、仿真实训、考核等功能,明显改进教学与实训效果。
软件选题应具有必要性和不可替代性。
(3)参赛软件开发平台和制作工具不限,软件风格、形式不限,可为单机版或网络版,能够脱离平台运行。
(4)参赛软件应由参赛教师自主研制或参与研制,鼓励团队合作,多方参与。
可以个人、团体或单位的名义报名,团体成员不超过5人,单位报名不列个人姓名,参赛者应拥有参赛软件的版权。
2.信息化教学设计比赛。
此项目考察教师按照现代教学理念,科学、合理、巧妙地安排教学过程的各个环节和要素,充分利用信息技术和数字化资源,系统优化教学过程的能力。
(1)教学设计应基于现代教育思想和教学理念,充分利用信息技术、数字化资源和信息化环境,在教师角色、教学内容、教学方法、互动方式、考核与评价等方面有所创新,促进学生自主学习,有利于学习兴趣的提高和学习效果的改善。
(2)教学设计可以选择课堂教学、实训教学及网络教学等多种形式,针对1~2课时或一个教学单元的教学内容进行设计,教学设计应是参赛教师的原创。
2012年全国职业院校技能大赛中职组光伏发电设备安装与调试竞赛项目规程1.赛项名称光伏发电设备安装与调试2. 赛项指导思想和基本原则1. 赛项指导思想赛项内容面向新能源产业发展,通过技能竞赛,展示职业院校新能源专业人才培养的特点,引领职业院校新能源技术应用相关专业教学改革,促进职业院校学生的创新意识、实践能力和技术综合应用能力的培养。
以赛促教、以赛促学。
2. 基本原则赛项遵循公平、公正、公开、科学、规范的原则。
赛项与教学改革相结合,以技能竞赛为平台,展现新能源产业发展对技能人才的需要。
赛项侧重专业知识运用与操作能力考核,以团队形式竞赛,展示团队合作精神和选手素质。
3. 竞赛目的通过技能竞赛,促进高职院校紧贴新能源产业发展与需求,培养新能源产业发展需要的高技能人才。
推动高职院校新能源技术应用专业及相关专业的建设,展示高职院校新能源技术应用专业及相关的教学改革和实践成果。
提升高职院校学生的综合素质、团队合作精神。
展示高职院校学生的创新能力。
通过技能竞赛,积极推进高职院校与企业的深入合作,探索培养新能源产业光伏发电系统和风力发电系统的安装、调试和维护的高素质技能型人才的新途径和新方法。
4. 比赛内容与规则4.1 比赛内容比赛内容涉及光伏供电装置、光伏供电系统、逆变与负载系统、监控系统的安装、接线、调试和分析:(1)光伏供电装置的安装与接线;(2)光伏供电系统部分器件的安装、接线与调试;(3)光伏电池方阵输出特性测试;(4)蓄电池组充放电参数的测试;(5)逆变与负载系统部分器件的安装、接线与调试;(6)逆变器相关参数测试、逆变器输出参数测试;(7)相关电路模块的焊接;(8)监控系统与各单元的通信;(9)监控系统组态界面的操作;1. 光伏供电装置根据大赛任务书要求,将大赛提供的光伏电池组件、投射灯、光线传感器、水平和俯仰方向运动机构、减速箱、交流电机、摆杆支架等器件与设备,组装成光伏供电装置。
要求:(1)4块光伏电池组件完成并联连接,组成光伏电池方阵。
关于开展2012年全国职业院校技能大赛赛项培训的申请院领导、教务处:为迎接2012全国职业院校技能大赛,做好赛前的准备工作,根据赛项规程的具体要求,结合我系的实际情况,现已制定“电子产品检测与维修(芯片级)”竞赛方案(见附件1)和“信息安全管理与评估”竞赛项目的培训方案(见附件2),同时将组织教师并聘请企业技术人员对选手进行赛前强化训练,两个竞赛项目分别40课时,共计80课时。
培训期间的经费预算:1.“电子产品检测与维修(芯片级)”经费5300元(见附件1)2.“信息安全管理与评估”经费5800元(见附件3)以上申请妥否,请领导审批。
信息技术系 2012年5月30日附件12012年全国职业院校技能大赛“电子产品检测与维修(芯片级)”赛项竞赛培训方案为迎接2012年全国职业院校技能大赛,做好赛前的准备工作,根据大赛的具体要求,结合我院计算机网络技术专业教学的实际情况,特制定以下赛前培训方案:一、培训对象2012年全国芯片级检测维修与信息服务大赛参赛队员;另外从2010级和2011级挑选学生作为后备力量。
二、培训内容根据大赛的要求,培训的主要内容分为四大模块:(一)常用仪器仪表与电子元器件检测;(二)电子技术基础;(三)使用大赛设备进行检测与维修;(四)检测维修文档。
三、培训方式参考历年竞赛范围,提取相关知识点,进行有针对性的讲授,主要以实际操作训练为主,学和练相结合。
四、具体培训计划1、培训时间:6月5日至6月25日。
2、培训内容及时间安排培训内容根据大赛公布的考核范围可进行适当调整,校内教师培训课酬共计40课时。
具体如下表:指导序号日期时间地点培训内容教师1 2012-6-7 8:10-09:50实训楼411常用仪器仪表使用,电子器件识别与检测(场效应管,集成电路,电容等),焊接基本功练习黄斌、海南科技职业技术学院姚旭东10:00-11:3014:1-15:5016:00-17:3018:30-22:002 2012-6-8 8:10-09:50实训楼411电子技术(运算放大电路,功率放大电路,函数信号发生器,信号处理电路)黄斌海南科技职业技术学院姚旭东10:00-11:3014:1-15:5016:00-17:3018:30-22:003 2012-6-9 8:10-09:50实训楼411CPU故障检测(检测复位电路、时钟电路、就绪电路、BIOS芯片)李健海南信桥公司许培成10:00-11:3014:1-15:5016:00-17:3018:30-22:004 2012-6-10 8:10-09:50实训楼411CPU故障检测(检测复位电路、时钟电路、就绪电路、BIOS芯片)李健海南信桥公司许培成10:00-11:3014:1-15:5016:00-17:3018:30-22:005 2012-6-11 8:10-09:50实训楼411CPU故障检测(检测复位电路、时钟电路、就绪电路、BIOS芯片)李健、黄斌10:00-11:3014:1-15:5016:00-17:3018:30-22:006 2012-6-12 8:10-09:50实训楼411总线故障检测(检测CPU总线、存储器总线、IO通道总线、外围接口总线、定时器、数据收发逻辑电路、内存刷新电路等元件及线路故障)黄斌海南信桥公司洪世轩10:00-11:3014:1-15:5016:00-17:3018:30-22:007 2012-6-13 8:10-09:50实训楼411总线故障检测(检测CPU总线、存储器总线、IO通道总线、外围接口总线、定时器、李健海南信桥公司洪世轩10:00-11:3014:1-15:50 数据收发逻辑电路、内存刷新电路等元件及线路故障)16:00-17:3018:30-22:008 2012-6-14 8:10-09:50实训楼411中断控制器电路检测(芯片电路故障检测)李健中盈创信公司聂效民10:00-11:3014:1-15:5016:00-17:3018:30-22:009 2012-6-15 8:10-09:50实训楼411中断控制器电路检测(芯片电路故障检测)黄斌中盈创信公司聂效民10:00-11:3014:1-15:5016:00-17:3018:30-22:0010 2012-6-16 8:10-09:50实训楼411定时器电路检测(芯片故障检测、控制器模块电路检测)李健中盈创信公司聂效民10:00-11:3014:1-15:5016:00-17:3018:30-22:0011 2012-6-17 8:10-09:50实训楼411定时器电路检测(芯片故障检测、控制器模块电路检测)黄斌中盈创信公司聂效民10:00-11:3014:1-15:5016:00-17:3018:30-22:0012 2012-6-18 8:10-09:50实训楼411键盘控制器模块检测(芯片故障检测)李健、黄斌10:00-11:3014:1-15:5016:00-17:3018:30-22:0013 2012-6-19 8:10-09:50实训楼411键盘控制器模块检测(芯片故障检测)李健、黄斌10:00-11:3014:1-15:5016:00-17:3018:30-22:0014 2012-6-20 8:10-09:50实训楼411时钟及CMOS RAM模块故障检测(检测电池及芯片)李健、黄斌10:00-11:3014:1-15:5016:00-17:3018:30-22:0015 2012-6-21 8:10-09:50 实训楼411时钟及CMOS RAM模块故障检测(检测电池及李健、黄斌10:00-11:3014:1-15:50 芯片) 16:00-17:3018:30-22:0016 2012-6-22 8:10-09:50实训楼411内存控制模块电路故障检测(检测插槽及内存)李健、黄斌10:00-11:3014:1-15:5016:00-17:3018:30-22:0017 2012-6-23 8:10-09:50实训楼411内存控制模块电路故障检测(检测插槽及内存)李健、黄斌10:00-11:3014:1-15:5016:00-17:3018:30-22:0018 2012-6-24 8:10-09:50实训楼411检测维修报告书李健、黄斌10:00-11:3014:10-15:5016:00-17:3018:30-22:0019 2012-6-25 8:10-09:50实训楼411总机调试李健、黄斌10:00-11:3014:10-15:5016:00-17:3018:30-22:00五、经费序号名称价格备注1 资料费(打印复印)800元1、《芯片级维修从入门到精通》教程2、《芯片级维修技术指标》3、大赛设备技术文档4、电子技术基础相关资料5、其他资料以上资料各6份2 专家指导费2400元1、海南职业技术学院姚旭东 2天共400元2、海南信桥公司许培成 2天共400元3、海南信桥公司洪世轩 2天共400元4、北京中盈创信公司聂效民 4天共1200元3 交通费500元1、4名学生来回海口交通费2、教师到企业调研交通费4 耗材费3000元1、中盈创信芯片级维修功能板(SOL-STM-PCSTART系列) 100元/块,共3块。
全国职业院校技能⼤赛⾼职组“信息安全管理与评估”赛项任务书2017年全国职业院校技能⼤赛⾼职组“信息安全管理与评估”赛项任务书⼀、赛项时间9:00-15:00,共计6⼩时,含赛题发放、收卷及午餐时间。
⼆、赛项信息三、赛项内容本次⼤赛,各位选⼿需要完成三个阶段的任务,其中第⼀个阶段需要提交任务“操作⽂档”,“操作⽂档”需要存放在裁判组专门提供的U盘中。
第⼆、三阶段请根据现场具体题⽬要求操作。
选⼿⾸先需要在U盘的根⽬录下建⽴⼀个名为“xx⼯位”的⽂件夹(xx⽤具体的⼯位号替代),赛题第⼀阶段完成任务操作的⽂档放置在⽂件夹中。
例如:08⼯位,则需要在U盘根⽬录下建⽴“08⼯位”⽂件夹,并在“08⼯位”⽂件夹下直接放置第⼀个阶段的操作⽂档⽂件。
特别说明:只允许在根⽬录下的“08⼯位”⽂件夹中体现⼀次⼯位信息,不允许在其他⽂件夹名称或⽂件名称中再次体现⼯位信息,否则按作弊处理。
(⼀)赛项环境设置赛项环境设置包含了三个竞赛阶段的基础信息:⽹络拓扑图、IP地址规划表、设备初始化信息。
1.⽹络拓扑图PC环境说明:PC-1(须使⽤物理机中的虚拟机):物理机操作系统:Windows7 64位旗舰版VMware Workstation 12 Pro虚拟机操作系统:WindowsXP虚拟机安装服务/⼯具1:Microsoft Internet Explorer虚拟机安装服务/⼯具2:Ethereal 虚拟机安装服务/⼯具3:HttpWatch Professional Edition 虚拟机⽹卡与物理机⽹卡之间的关系:Bridge(桥接)PC-2(须使⽤物理机中的虚拟机):物理机操作系统:Windows7 64位旗舰版VMware Workstation 12 Pro虚拟机操作系统:WindowsXP虚拟机安装服务/⼯具1:Microsoft Internet Explorer虚拟机安装服务/⼯具2:Ethereal 虚拟机安装服务/⼯具3:HttpWatch Professional Edition 虚拟机⽹卡与物理机⽹卡之间的关系:Bridge(桥接)PC-3(须使⽤物理机中的虚拟机):物理机操作系统:Windows7 64位旗舰版VMware Workstation 12 Pro虚拟机操作系统:Kali Linux(Debian7 64Bit)虚拟机安装服务/⼯具:Metasploit Framework虚拟机⽹卡与物理机⽹卡之间的关系:Bridge(桥接)2.IP地址规划表3.设备初始化信息(⼆)第⼀阶段任务书(300分)该阶段需要提交配置或截图⽂档,命名如下表所⽰:任务1:⽹络平台搭建(60分)平台搭建要求如下:任务2:⽹络安全设备配置与防护(240分)DCFW:1.在总公司的DCFW上配置,连接LAN接⼝开启PING,HTTP,HTTPS功能,连接Internet接⼝开启PING、HTTPS功能;并且新增⼀个⽤户,⽤户名dcn2017,密码dcn2017,该⽤户只有读-执⾏权限;2.DCFW配置NTP 和 LOG, Server IP为,NTP认证密码为Dcn2017;3.DCFW连接LAN的接⼝配置⼆层防护,ARP Flood超过500个每秒时丢弃超出的ARP包,ARP扫描攻击超过300个每秒时弃超出的ARP 包;配置静态ARP绑定,MAC地址与IP地址绑定;4.DCFW连接Internet的区域上配置以下攻击防护:FW1,FW2攻击防护启以下Flood防护:ICMP洪⽔攻击防护,警戒值2000,动作丢弃;UDP供⽔攻击防护,警戒值1500,动作丢弃;SYN洪⽔攻击防护,警戒值5000,动作丢弃;开启以下DOS防护:Ping of Death攻击防护;Teardrop攻击防护;IP选项,动作丢弃;ICMP⼤包攻击防护,警戒值2048,动作丢弃;5.限制LAN到Internet流媒体RTSP应⽤会话数,在周⼀⾄周五8:00-17:00每5秒钟会话建⽴不可超过20;6.DCFW上配置NAT功能,使PC2能够通过WEB⽅式正常管理到WAF,端⼝号使⽤10666;)7.总公司DCFW配置SSLVPN,建⽴⽤户dcn01,密码dcn01,要求连接Internet PC2可以拨⼊,配置下载客户端端⼝为9999,数据连接端⼝为9998,SSLVPN地址池参见地址表;8.DCFW加强访问Internet安全性,禁⽌从HTTP打开和下载可执⾏⽂件和批处理⽂件;9.DCFW配置禁⽌所有⼈在周⼀⾄周五⼯作时间9:00-18:00访问京东和淘宝相同时间段禁⽌访问中含有“娱乐”、“新闻”的WEB页⾯;10.DCFW上配置ZONE和放⾏策略,连接Internet接⼝为“Untrust”区域,连接DCRS接⼝为“Trust”区域,连接SSL VPN接⼝为“VPN HUB”区域,要求配置相应的最严格安全策略;)DCBI:11.在公司总部的DCBI上配置,设备部署⽅式为旁路模式,并配置监控接⼝与管理接⼝;增加⾮admin账户DCN2017,密码dcn2017,该账户仅⽤于⽤户查询设备的系统状态和统计报表;12.在公司总部的DCBI上配置,监控周⼀⾄周五9:00-18:00 PC-1所在⽹段⽤户访问的URL中包含xunlei的HTTP访问记录,并且邮件发送告警;13.在公司总部的DCBI上配置,监控PC-1所在⽹段⽤户周⼀⾄周五9:00-18:00的即时聊天记录;14.公司总部LAN中⽤户访问⽹页中带有“MP3”、“MKV”、“RMVB”需要被DCBI记录;邮件内容中带有“银⾏账号”记录并发送邮件告警;15.DCBI监控LAN中⽤户访问⽹络游戏,包括“QQ游戏”、“魔兽世界”并作记录;16.DCBI配置应⽤及应⽤组“快播视频”,UDP协议端⼝号范围23456-23654,在周⼀⾄周五9:00-18:00监控LAN中所有⽤户的“快播视频”访问记录;17.DCBI上开启邮件告警,邮件服务器地址为,端⼝号25,告警所⽤邮箱⽤户名dcnadmin,密码Dcn2017;当DCBI磁盘使⽤率超过75%时发送⼀次报警;WAF:18.在公司总部的WAF上配置,编辑防护策略,定义HTTP请求体的最⼤长度为512,防⽌缓冲区溢出攻击;19.在公司总部的WAF上配置,防⽌某源IP地址在短时间内发送⼤量的恶意请求,影响公司⽹站正常服务。
附件2:2012年全国职业院校技能大赛竞赛项目规程概要申报单位:中国职教学会信息化工作委员会申报日期: 2011年12月20日教育部职业教育与成人教育司制1.赛项名称:2012年全国职业院校技能大赛(高职组)“计算机网络组建与安全维护赛项”2.赛项指导思想与基本原则:赛项依据2010年颁布的《国家中长期教育改革和发展规划纲要(2010-2020年)》,根据高职类院校计算机人才培养需求为出发点,坚持技能竞赛与行业用人、岗位要求、技术进步以及教学改革相结合,引导职业教育办学模式、培养模式、评价模式和教学改革;坚持个人能力与团队协作相结合,突出职业素养展示;坚持技能比赛与素质考察相结合,既考察专业知识,也考核实践技能;3.竞赛目的:计算机网络组建和安全维护赛项以企业级真实案例为主要考查内容,突出工程实战,着重考查选手的操作技能、职业道德、组织管理能力、工作计划性和团队协作精神;引领计算机网络及其相关专业的教育教学改革;展示高职院校网络专业学生风采,提高高职网络专业的社会认可度,促进网络专业的就业水平通过竞赛,促进高职网络专业提高教学质量,特别是促进教学方法、教学模式改进,课程设置优化以及校企合作的深化等。
考察高职学生读懂网络设计方案的能力,网络系统组建、网络配置与应用以及网络管理维护的能力,同时兼顾考查参赛学生的质量、效率、成本和规范意识。
主要包括:团队工作能力、工作计划性与时间管理能力、理解分析网络系统设计的能力、网络综合布线能力、网络设备配置与调试能力、服务器配置与应用能力、网络系统安全配置和防护能力、网络信息安全防护能力、制作工程文件的能力等。
4.比赛内容与规则:比赛内容:(一)竞赛内容大纲从行业应用角度看,计算机网络工程包括网络系统设计、网络组建、网络配置与应用(包括安全配置)、网络管理与维护、故障分析与排查、信息安全保障等四个部分。
从高职计算机网络及相关专业的就业岗位看,高职计算机网络及相关专业毕业生主要从事的工作是网络组建、网络配置与应用、网络管理与维护、信息安全保障等四个领域,按照2012年全国职业技能大赛的指导思想和竞赛原则,本赛项重点考察参赛学生网络工程的实践技能和综合呈现技能,具体包括:①参赛学生能够根据大赛提供的比赛方案,读懂实际的工程项目文档,能够工具项目的方拓扑、项目的应用行业背景进行网络业务需求分析、技术应用环境分析,理解实际的工程应用与业务架构。
全国职业技能大赛信息安全管理与评估全国职业技能大赛是一个展示各行各业职业技能水平的盛会,各个赛项涵盖了各个领域的专业技能。
本文将以全国职业技能大赛中的一项赛项——信息安全管理与评估为主题,探讨信息安全管理与评估在现代社会中的重要性和应用。
信息安全管理与评估是指针对企业、组织机构或个人的信息系统进行安全评估和管理的一项工作。
它旨在保护信息系统的机密性、完整性和可用性,预防信息泄露、数据丢失和黑客攻击等安全事件的发生,确保信息系统的正常运行和信息资产的安全。
信息安全管理与评估的目标是建立一个有效的信息安全管理体系,通过对信息系统进行全面的评估和监控,找出潜在的安全风险,并采取相应的措施进行防范和修复。
在信息化时代,信息安全已成为企业发展和个人生活的重要组成部分,因此信息安全管理与评估的重要性不可忽视。
信息安全管理与评估有助于保护企业的商业机密和核心竞争力。
随着信息技术的快速发展,企业的信息资产越来越丰富,包括客户资料、研发成果、商业计划等重要信息。
这些信息一旦泄露或被篡改,将给企业带来巨大的损失。
通过信息安全管理与评估,企业可以及时发现和修复系统中的漏洞和安全隐患,加强对敏感信息的保护,确保企业的商业秘密不被窃取或滥用。
信息安全管理与评估有助于防范黑客攻击和网络病毒的侵害。
在互联网时代,黑客攻击和网络病毒已成为常见的安全威胁。
黑客可以通过各种手段入侵企业的信息系统,窃取用户信息、破坏系统功能,给企业和用户带来巨大的损失。
信息安全管理与评估可以帮助企业及时发现并修复系统的漏洞,加强系统的防护能力,提高企业的抵御黑客攻击和网络病毒的能力。
信息安全管理与评估有助于加强个人隐私保护。
在互联网时代,个人的隐私信息越来越容易被泄露和滥用,给个人带来了极大的困扰和损失。
通过信息安全管理与评估,个人可以加强对自己个人信息的保护,提高对网络安全的认知和防范能力,减少个人信息被泄露和滥用的风险。
信息安全管理与评估在现代社会中具有重要的意义。
全国职业院校技能大赛(高职组)信息安全管理与评估竞赛大纲信息安全管理与评估赛项专家组2012年5月目录一.竞赛说明 (1)二.竞赛大纲 (2)2.1信息安全基础知识 (2)2.2基本操作知识 (3)2.3网络知识 (3)2.4Windows服务器知识 (4)2.5Linux系统知识 (4)2.6Web系统知识 (5)2.7数据库知识 (5)2.8扫描探测知识 (6)2.9破解验证技术 (6)2.10溢出攻击知识 (6)2.11安全评估知识 (7)2.12安全加固知识 (7)三.工具类型 (8)四.竞赛环境 (9)一. 竞赛说明一、信息安全管理与评估赛项将采取在真实环境中动手安装、实际组建网络系统、上机操作的方式进行竞赛,竞赛内容分为三个方面的知识,分别为:“网络系统组建与管理”、“网络系统加固与评估”及“信息安全攻防对抗”。
二、竞赛大纲中对专业知识的要求分为掌握、熟悉、了解。
掌握即要求能解决实际工作问题;熟悉即要求对有关信息安全的知识有深刻理解,了解即要求具有信息安全有关的广泛知识。
三、只能以院校参赛队为单位参加本次信息安全管理与评估的相关赛事,每个院校参赛队由3名在籍选手组成,可配2名指导教师。
二. 竞赛大纲竞赛大纲分为四个部分:●应知应会的基础知识:●网络系统组建;●网络系统加固与评估:●信息安全攻防对抗:2.1 信息安全基础知识1、了解信息安全基本概念2、了解网络安全主要概念及意义3、了解安全隐患的产生原因、类型区别(被动攻击,主动攻击等)4、了解安全分类(技术缺陷,配置缺陷,策略缺陷,人为缺陷等)5、了解网络安全的实现目标和主要技术措施6、了解信息安全的主要表现形式(蠕虫或病毒扩散,垃圾邮件泛滥,黑客行为,信息系统脆弱性,有害信息的恶意传播)7、了解信息安全的基本属性(机密性,完整性,可用性,真实性,可控性);8、了解建立安全网络的基本策略(确知系统弱点,限制访问,达到持续的安全,物理安全,边界安全,防火墙,Web和文件服务器,存取控制,变更管理,加密,入侵检测系统);9、了解信息加密的基本概念;10、了解基础的密码学理论(对称与非对称算法,认证证书PKI密钥和证书,生命周期管理等);11、了解多因素验证系统(口令、智能卡的组合验证方法);12、掌握数字证书的基本原理(了解电子加密和解密概念,熟悉CA认证的可信度等);13、理解等级保护相关知识,会对网络系统进行审计、整改,并出具评估报告。
2.2 基本操作知识1、熟悉使用IE浏览器访问网站;2、熟悉Microsoft Office办公软件的使用;3、熟悉常用的输入法;4、熟悉windows XP、Windows和Linux等常见操作系统的使用;5、熟悉cmd、telnet、netstat、ping、net等常用命令的使用;6、熟悉ftp命令的使用;7、熟悉http、ftp 等服务及对应端口;8、熟悉常用服务端口,如21、22、23、25、53、80、8080、110、135、137、139、445、443、1433、3306、3389等;2.3 网络知识1、掌握VLAN、VTP、STP、MSTP操作;2、熟悉端口隔离、链路捆绑、端口镜像操作3、熟悉端口安全、AM基本操作;4、熟悉ACL、MAC-ACL、时间ACL等操作5、了解QoS、基于流的重定向基本操作;6、了解DHCP、DHCP Reply操作;7、熟悉路由器及静态路由、RIP、OSPF、BGP、BEIGRP等基本路由协议;8、了解VRRP、路由重分发、策略路由等概念;9、了解广域网NAT等概念及掌握NAT操作;10、了解IPSec VPN、L2TP VPN、PPTP VPN、SSL VPN基本原理并掌握操作;11、熟悉路由器与交换机基本操作,通过TFTP对配置文件进行上传下载、远程登录设置,WEB认证设置操作;12、掌握防火墙基本操作:a) NAT 配置、透明模式配置、混合模式配置;b) DHCP 配置、负载均衡配置、源路由配置、双机热备配置;c) IP-QoS 配置、应用QoS 配置、Web 认证配置、IP-MAC 绑定配置、禁用IM 配置;d) URL 过滤配置、网页内容过滤配置、IPSEC 配置、SSL VPN 配置;13、掌握DCFS基本操作a) 掌握通过行为识别技术,对会话进行探测和控制;b) 掌握通过带宽管理技术,对用户下行或上行速率进行严格管理及控制;c) 掌握通过会话技术,对全局会话进行区分控制;d) 掌握通过审计报表,生成DCFS审计信息并加以分析;14、掌握NETLOG基本操作a) 掌握通过URL分类及访问控制净化互联网访问行为;b) 掌握通过行为识别及审计管理对网络中的应用进行准确追踪;c) 掌握通过上网行为统计功能,基于网络行为生成丰富的统计报告;15、掌握WAF基本操作a) 掌握通过WAF保护服务器;b) 掌握通过WAF监控服务器状态;c) 掌握通过WAF加速服务器浏览速度;d) 掌握通过WAF统计服务器访问流量;2.4 Windows服务器知识1、了解Windows服务器的常用服务;2、了解服务与进程的对应关系;3、掌握Windows server 2003/2008的系统管理;4、掌握Windows server 2003/2008的AD管理;5、掌握Windows server 2003/2008下web、dns、ftp、ras、ca等常用服务配置与管理,6、掌握组策略的配置,通过组策略管理域中的计算机及用户工作环境7、通过系统工具为不同用户分派不同的权限;8、了解系统管理员、普通用户的区别;9、了解操作系统补丁的概念,并为系统打补丁,通过系统工具查看补丁安装情况;10、能够通过控制面板中的选项开启、关闭Windows 2003服务器中的服务;2.5 Linux系统知识1、了解Linux系统目录结构2、了解Linux系统的文件类型;3、熟悉Linux系统基本命令的使用,如cd、pwd、mkdir、top、ps、mount、su等;4、熟悉文本编辑器VI的使用;5、了解系统管理员、普通用户的区别;6、使用用户名和密码通过不同方式登录系统;7、使用命令增加、删除用户和更改密码;8、熟悉inetd、syslogd等服务;9、熟悉Linux文件权限的设置,会使用chmod、chown命令为用户分配权限;10、掌握Linux系统密码文件的存放位置;11、掌握Linux系统下的apache、bind、vsftp等常用服务配置与管理;2.6 Web系统知识1、了解IIS服务、Apache 、Tomcat基本概念;2、掌握IIS服务器、Apache、Tomcat配置及管理;3、掌握网页路径和服务器目录的关系;4、理解html、shtml、htm、shtm语言编写以及asp、php、jsp(语言的)编写;5、程序缺陷:未过滤漏洞利用、文本编辑上传漏洞(编辑器上传漏洞)、IIS6.0上传漏洞、防注入程序绕过、数据库下载;6、流行性跨站漏洞利用xss 等;7、流行性注入漏洞利用asp注入、php注入、jsp注入、html注入、cookie、(url)注入等。
8、掌握常用FTP配置原理,掌握基本的FTP漏洞利用。
9、掌握html、shtml、htm、shtm语言编写以及asp、php、jsp(语言的)编写;2.7 数据库知识1、了解数据库的基本概念和作用;2、了解数据库的常用端口,如1433 、3306;3、了解数据库和web应用服务之间的关系;4、了解默认数据库管理员SA;5、掌握如何查看和修改SA密码;6、熟悉基本SQL命令,如:select、insert、delete、create、drop;7、熟悉Microsoft Sqlserver 数据库SA账号弱口令攻击防范;8、了解MySql数据库配置主动防御方法;9、熟悉Sqlserver,Mysql数据库常见漏洞及漏洞利用方法;10、掌握针对数据库注入攻击方法;2.8 扫描探测知识1、了解信息安全探测基本概念及目标;2、熟悉Ping,traceroute探测方法;3、了解社会工程学信息探测;4、熟悉开放端口扫描方法及工具;5、掌握NMAP、X-Scan、Superscan等扫描工具的使用;2.9 破解验证技术1、掌握暴力破解方法及常用的口令破解工具等2、掌握密码数据字典配置、使用方法3、会使用字典生成工具生成字典,掌握superdic生成字典的方法;4、熟悉操作系统口令破解Windows/Linux/Unix工具,如smbcrack、L0pht;5、数据库口令破解SQL server/MySQL/Oracle/sybase/DB2/Informix,如mysql_pwd_crack;6、数据库配置缺失:用户名SA 密码SA。
7、熟悉应用程序口令破解;a) Tomcat/WebLogic/WebSpere/后台破解;b) WebLogic管理入口破解http://ip:7001/console ;c) WebSphere管理入口http://ip:9060/admin ;d) Tomcat管理入口http://ip/admin或者http://ip/manger/html;2.10 溢出攻击知识1、了解溢出攻击的历史、危害;2、熟悉溢出攻击的原理;3、熟悉常见的溢出攻击漏洞;4、掌握Linux漏洞利用(如CVE-2005-2959,CVE-2006-2451);5、掌握Windows溢出漏洞(如MS06-040,MS08-067等);6、掌握常用的Metasploit 溢出工具的使用;7、掌握常用的Serv-U溢出利用。
2.11 安全评估知识1、了解我国安全等级保护标准,并理解按照等级保护标准对网络系统进行定级及评估2、对windows系统进行评估,按照高中低三档罗列出风险等级;3、对Linux(Red Hat)进行安全评估,按照高中低三档罗列出风险等级:4、对主流服务进行安全评估,找出风险漏洞,采用渗透测试的方式来进行测试;5、对数据库进行安全评估,对常用的Sql Server 、Mysql等流行数据库进行风险评估;6、对基础网络设备(路由、交换)和安全网络设备(FW、Netlog、Waf等)进行风险评估;7、要求掌握针对操作系统、服务器、应用系统、数据库的常用安全评估检查项和安全评估方法。
8、掌握整改方案的撰写并出具评估报告。
2.12 安全加固知识1、熟悉主流操作系统及数据库主要安全选项;2、掌握补丁及防护软件安装方法;3、掌握Windows系统账号添加、删除命令;4、掌握Linux系统账户添加、删除命令;5、掌握Windwos口令修改方法;6、掌握Linux口令修改方法;7、掌握Windows账号及口令策略加固;8、掌握Linux账号及口令策略加固;9、熟悉网络服务安全配置;10、掌握文件系统权限设置;11、掌握日志审核策略;三. 工具类型熟练掌握下列安全工具:1、 WEB攻防类工具:IIS Lockdown tool 、CASI、HDSI、明小子PHP、SQL map、啊D、pangolion、Cain2、端口扫描类工具:superscan3.0 、superscan4.0 、Nmap3、入侵利用工具:一句话后门、Aspxspy 、php(webshell), asp(webshell)菜刀控制端,Lake2(一句话客户端)4、口令破解类:L0pht、SMBcrack、Cain、John the Ripper、X-scan5、远程访问类:mstsc.exe putty.exe6、系统评估类:Nessus、MSAT(微软安全风险工具,包含MBSA)7、溢出类:Metasploit Serv-U 溢出工具8、抓包分析工具:Wireshark9、信息收集类:IIS put scanner工具自备,比赛前一天提供到大赛组委会;禁止使用DoS、DDoS、ARP欺骗、病毒类等恶意攻击类软件,一经发现,立即取消比赛资格。
