全国职业院校技能大赛网络空间安全申报方案.docx

全国职业院校技能大赛网络空间安全申报方案.docx

《全国职业院校技能大赛网络空间安全申报方案.docx》由会员分享，可在线阅读，更多相关《全国职业院校技能大赛网络空间安全申报方案.docx（35页珍藏版）》请在冰豆网上搜索。

全国职业院校技能大赛网络空间安全申报方案

2017年全国职业院校技能大赛

竞赛项目方案申报书

赛项名称：

网络空间安全

赛项组别：

中职组■高职组□

专业大类：

信息技术类

方案设计专家组组长：

杨诚

专家组组长手机：

方案申报单位（盖章）：

中国职业技术教育学会创业教育专业委员会

方案申报负责人：

邓志良

联系手机：

邮箱号码：

通讯地址：

中国江苏常州科教城鸣新中路22号

邮政编码：

213164

申报日期：

2016年9月8日

2017年全国职业院校技能大赛

竞赛项目方案

一、赛项名称

（一）赛项名称

网络空间安全

（二）压题彩照

（三）赛项归属产业类型

第三产业-信息传输、计算机服务和软件业

（四）赛项归属专业大类

09信息技术类

090500计算机网络专业

090100计算机应用专业

090600网站建设与管理专业

二、赛项申报专家组

姓名

单位

专业

职务/职称

年龄

手机号码

邮箱

杨诚

常州信息职业技术学院

计算机应用技术

分院院长

41

郝志宇

中科院信息工程研究所（信息安全国家重点实验室）

网络空间安全

研究员

36

张昕

中关村移动互联网产业联盟

移动互联网

副秘书长

42

zhang.

孙波

北京师范大学信息科学学院

软件工程

副院长/教授

49

杜春来

北京工业大学

信息安全

副教授

36

杨毅

北京市求实职业学校

信息技术

副校长/高级讲师

45

蔡铁

深圳信息职业技术学院计算机学院

计算机

副院长/教授

39

龙翔

湖北生物科技职业学院信息传媒学院

信息传媒技术

院长/副教授

43

郭永辉

奇虎360科技有限公司

信息安全

企业安全技术经理

36

g

胡光永

南京工业职业技术学院

软件技术

分院院长

42

何伟

江苏君立华域信息安全技术有限公司

信息安全

副总经理

45

@

三、赛项目的

没有网络安全就没有国家安全，网络空间安全已经上升到国家安全战略高度。

当今世界，信息技术革命日新月异，对国际政治、经济、文化、社会、军事等领域发展产生了深刻影响。

信息化和经济全球化相互促进，互联网已经融入社会生活方方面面，深刻改变了人们的生产和生活方式。

我国正处在这个大潮之中，受到的影响越来越深。

我国互联网和信息化工作取得了显著发展成就，网络走入千家万户，网民数量世界第一，我国已成为网络大国。

与此相对应的是，我国网络空间安全问题频出，损失巨大。

中国是网络攻击的主要受害国。

侵犯个人隐私、损害公民合法权益等违法行为时有发生。

2014年，中央网络安全和信息化领导小组宣告成立，表明加强网络安全和信息化建设已经摆在国家发展战略的重要位置。

全国职业院校技能大赛举办9年以来，赛项设置一直强调与产业结构升级和高新技术发展同步，从2011年开始，高职组已经开设了信息安全赛项，到2016年已经成功举办了5届，并且成为了2017-2020的规划赛项，对于高职信息安全与管理专业建设起到了很好的促进作用。

网络空间安全中所包含的技术技能难度也有不同的类别，适合中职学生学习和竞赛的技能点也很多，在2010年修订的中等职业学校专业目录中，“计算机网络技术”专业（专业代码090500）新增了“网络与信息安全”的专业方向，“网站建设与管理”专业（专业代码090600）新增了“网站建设与信息安全”的专业方向。

因此申报增设中职组“网络空间安全”赛项，做好中高职专业衔接，加强中职信息技术类专业学生的信息安全技能和素质，提高择业竞争能力。

赛项紧密结合新一代信息产业发展对网络安全应用型人才的需求，通过竞赛，检验参赛选手对网络、服务器系统等网络空间中各个信息系统的安全防护能力，以及分析、处理现场问题的解决能力，引导中等职业学校关注网络安全技术发展趋势和产业应用方向，促进教产互动、校企融合，增强中职学校学生的新技术学习能力和就业竞争力，为新一代信息技术产业培养应用型人才。

通过本赛项的训练和比赛，选手未来可以胜任的工作岗位有：

网络管理员、服务器系统工程师、网络安全工程师、网络安全测试工程师、网络运维工程师等相关应用型工程师岗位。

四、赛项设计原则

（一）坚持公开、公平、公正；

为保证竞赛公平、公开、公正，本赛项将在国赛开始日2月之前公开赛题。

赛题以赛项专家组、国家示范校、行业专家、企业专家为班底成立题库开发团队，参照行业规范，工作内容，设计技能操作以及高职信息安全赛项内容进行分析整理，确定适合中职学生的赛题。

在赛制设计中，本赛项90%的分数由计算机评测系统自动评分，大屏幕实时滚动并显示得分情况，最大程度保证赛项公开透明。

目前，自动评分的技术难点已经解决，完全有信心可以用于本赛项。

（二）赛项关联职业岗位面广、人才需求量大、职业院校开设专业点多；

中职计算机网络毕业生主要从事系统集成、系统应用、网络工程、网络安全及售后技术支持等五个岗位，而且目前大多数中职学校都开办了计算机及网络类专业，尤其是经济发达地区，人才需求量大。

大部分信息技术类专业已经多年没有更新，教学内容陈旧，跟不上现代信息产业的发展。

网络空间安全作为信息技术类最热门的技术方向之一，在各个领域有着广泛的人才需求：

手机安全、电子商务安全、物流安全等，更不用说传统的金融安全、电信安全等。

不同的行业对于网络空间安全要求的程度不同，应用环境不同，所以本科、高职、中职的信息安全毕业生都有不同的职业空间。

赛项涉及的专业点也较多，在信息技术类专业中，非常匹配的专业就有：

090500计算机网络专业、090100计算机应用专业、090600网站建设与管理专业。

还有几个专业譬如：

090700网络安防系统安装与维护、090800软件与信息服务、090900客户信息服务等专业，现在也需要有信息安全的必要技能才能更好地就业。

因此网络空间安全是一个具有广泛参与度的赛项。

（三）竞赛内容对应相关职业岗位或岗位群、体现专业核心能力与核心知识、涵盖丰富的专业知识与专业技能点；

赛项设计面对的岗位很多，包括：

3-01-02-05计算机操作员，2-02-13-03计算机网络技术人员，X6-08-04-16网络设备调试员，X2-02-13-05计算机网络管理员，X2-12-02-05网络编辑员，X2-02-13-09网络课件设计师，X2-12-02-05网络编辑员等，人才需求量大。

赛项设计适应国家“新一代信息技术产业”的需要，聚焦计算机网络工程领域岗位的主要技能，与相关企业紧密合作，以实际工程项目为基础，基于工作过程，针对计算机网络专业学生的“能力短板”，围绕计算机网络工程领域的先进技术、主流产品，力求突出工程实践；着重考查选手的安全意识、工程能力、职业道德、组织管理能力、工作计划性和职业素养，以赛促教，以赛促改，引领计算机网络专业的教育教学改革；通过竞赛提升中职信息技术相关专业学生的网络安全意识和设备配置能力，使之具备风险评估的基本能力；通过竞赛展示中职学生的工程实践能力，促进社会对网络安全工程相关岗位的了解，提高中职学校的社会认可度，提高学生的就业质量和就业水平。

（四）竞赛平台成熟。

根据行业特点，赛项选择相对先进、通用性强、社会保有量高的设备与软件。

本赛项使用的网络设备是业界标准化产品，采用国际通用的协议，用到的这些网络硬件设备，中职学校的实训室基本上都已配备（而且都是在国赛使用过的设备），不用增加参赛学校的负担。

本赛项所使用的网络空间安全技能评测平台广泛应用于中高职、高校和行业竞赛，如：

国家电网信息攻防大赛、ISCC全国大赛、全国大学生信息安全与对抗竞赛、全国大学生电子设计大赛、全国大学生电子设计竞赛信息安全技术邀请赛、多省市互联网网络安全攻防演练大赛、多省市运营商安全攻防大赛、多省市移动网络安全演练大赛等。

平台技术成熟，功能稳定，性能出色，赛题课件在设计中注重中职学生特点。

五、赛项方案的特色与创新点

竞赛内容方面：

结合实际工作，基于工作过程，模拟实战演练，考察选手在网络、系统、攻防各个领域的综合能力，尤其是攻防环节，各选手同时互相攻守的过程在大屏幕上实时显示，极具观赏性；

竞赛过程安排：

比赛过程充分考虑实际工作，分为两个阶段进行比赛，既有传统的综合布线、网络组建内容，也有经典的系统安全渗透测试，最后采用全场的全攻全守，难度逐渐增加，节奏清晰，符合认知规律。

竞赛结果评判：

小部分的分数由裁判员参与，客观评价的方法，大部分的分数由计算机评测系统自动实时评分，保证比赛公开、公平性。

对于场外的指导教师而言，能够清楚了解到自己选手的竞赛状态，了解得失，利于后期复盘，总结提高，用于教学。

对于赛项的推广，以赛促教、促学的意义重大；

竞赛资源转化：

结合教育部国家级职业教育专业教学资源库项目-信息安全资源库建设项目，中高职衔接，以赛促改，推进竞赛成果向教学资源转化。

通过教产合作，重视成果转化，推进竞赛成果向教学资源转化开发，促进教学改革和专业建设，同时完善中职网络安全教学体系，计划配套多本教材，设计新的交互式仿真实训课件辅助教学，通过竞赛将人才供需双方关联起来。

办赛经验丰富：

赛项申报的专家团队来自行业、企业、院校，优势互补，具有丰富的技能大赛和行业赛事参赛办赛的经验。

办赛经验1：

连续两届云南互联网网络攻防演练大赛。

2015年7月，由云南通信管理局委托云南省互联网协会主办的云南首届互联网网络攻防演练大赛在昆明举行，有来自全省各地企业、院校、自由职业者组成的32支团队的84名选手参加比赛。

历时5小时。

选手们要过18道关，通过最新的信息安全攻防平台模拟场景，向几台现场的虚拟服务器实施攻击，夺取“旗标文件”，最终得分最高者获胜。

比赛设置了各种复杂性和不确定性条件，对于参赛人员的技术、智慧、毅力以及团结配合，都是极大考验。

第二届比赛在2016年8月进行，63名初赛选手中有15位脱颖而出，将于9月13日进行决赛。

该比赛是云南省网络安全规格最高的专业赛事。

主办方还将借此次大赛的东风，成立“网络安全应急保障队伍”以及建立“网络安全应急保障队伍专家库”，对于云南省信息安全行业布局产生了巨大的影响。

办赛经验2：

连续三届ISCC河南省赛。

ISCC（安全与对抗技术竞赛）河南省赛是由中国密码学会教育工作委员会、河南省高等学校计算机教育研究会、河南省信息安全保密协会联合主办。

2013年有9个学校14支队伍42名学生参加比赛，2014年有15所学校19支队伍57名学生参加比赛，

2015年有14所学校30支队伍共90名学生参加比赛。

比赛分为基础关，单兵作战，堡垒攻击和夺旗等四个环节，需要一整天的比赛时间。

比赛备受关注，每年参赛队伍数量呈递增态势。

六、竞赛内容简介（须附英文对照简介）

赛项名称：

网络空间安全

赛项简介：

面向中职信息技术类专业的学生，注重考核网络安全设计，安全策略配置，系统渗透测试以及信息安全攻防等方面，还原实际工作场景，基于工作过程的竞赛任务书设计，考察选手网络空间安全的综合技能和素质。

CompetitionName:

Networkspacesecurity

BriefIntroduction:

Forsecondaryvocationalschoolinformationtechnologyprofessionalstudents,payattentiontotheassessmentofthedesignofnetworksecurity,securitypolicyconfiguration,systempenetrationtest,andinformationsecurityattackanddefense,reducingactualworkingenvironment,basedontheworkingprocessofthecontesttaskdesign.Theeffectsofplayersnetworkspacesecuritycomprehensiveskillsandqualities.

七、竞赛方式（含组队要求、是否邀请境外代表队参赛）

1、本赛项为个人赛，比赛时间为180分钟。

2、参赛选手须为2017年度在籍中等职业学校学生；五年制高职一至三年级（含三年级）学生可参加比赛。

参赛选手不限性别，年龄须不超过21周岁，即1996年7月1日后出生。

每名选手限报1名指导教师，指导教师须为本校专兼职教师。

3、比赛分预赛和决赛。

预赛由各省、自治区、直辖市，各计划单列市以及新疆建设兵团等有关部门自行组织，并推荐代表队参加决赛。

预赛阶段比赛形式和内容由各省、自治区、直辖市，各计划单列市以及新疆建设兵团自主确定。

决赛由2017年全国职业院校技能大赛统一组织。

4、每个省、直辖市、自治区、计划单列市、新疆建设兵团限报4名选手。

鼓励各省组织省赛，组织本赛项省级选拔赛的省份，经大赛执行委员会审查备案，可增加1名参赛选手。

同一学校报名参赛选手不超过2名。

5、竞赛期间本赛项不允许指导教师进入赛场进行现场指导，在指导教师休息区设置大屏幕实时显示选手比赛进度。

6、本赛项正在与国际参赛队接洽，同时欢迎国内外团队及选手到场观赛。

八、竞赛时间安排与流程

（一）时间安排

日期

事项安排

时间

第一天

参赛队报到注册

——

领队会

15:

00-15:

30

熟悉赛场

15:

30-16:

30

第二天

选手到场

7:

30

检录、二次加密及入场

7:

30-8:

30

赛前30钟准备

8:

30-9:

00

比赛时间

9:

00-12:

00

参赛代表队离场

12:

30

赛项申诉与仲裁

12:

30-14:

30

裁判评分成绩复核确认录入上报

12:

30-17:

30

第三天

闭幕式成绩公布

——

（二）竞赛流程图

参赛队报到

领队会

熟悉赛场

检录、二次加密

30分钟准备

宣布比赛开始

比赛操作

宣布比赛结束

评分

成绩复核确认

成绩录入上报

闭幕式公布成绩

仲裁申请

赛项仲裁委复议回复

二次申诉

赛区仲裁委复议回复

九、竞赛试题

全国职业院校技能大赛中职组

“网络空间安全”项目竞赛任务书（样题）

一、赛项时间

9:

00-12:

00，共计3小时。

二、赛项信息

竞赛阶段

任务阶段

竞赛任务

竞赛时间

分值

第一阶段

平台搭建与配置

任务1

攻防环境部署

9:

00-11:

00

100

第二阶段

单兵模式系统渗透测试

任务1

数据库攻防与加固

200

任务2

SQL注入攻击

200

任务3

linux操作系统安全防护

200

第三阶段

分组对抗

系统加固

11:

00-11:

15

150

系统攻防

11:

15-12:

00

150

三、赛项内容

（一）赛项环境设置

1.网络拓扑图

2.IP地址规划表

设备名称

接口

IP地址

互联

可用IP数量

三层交换机

Vlan10

x.x.x.x/x

与PC-1相连

见赛场IP参数表

Vlan20

x.x.x.x/x

与PC-2相连

见赛场IP参数表

Vlan100

x.x.x.x/x

直连服务器区

见赛场IP参数表

Vlan110

x.x.x.x/x

直连用户区

见赛场IP参数表

地址池

x.x.x.x/x

DHCP地址池

见赛场IP参数表

混战区

EthX

无

与交换机相连

见赛场IP参数表

PC-1

无

x.x.x.x/x

与交换机相连

见赛场IP参数表

PC-2

无

x.x.x.x/x

与交换机相连

见赛场IP参数表

服务器场景-1

无

见系统安全攻防加固赛题部分

服务器场景-2

无

见系统安全攻防加固赛题部分

服务器场景-3

无

见系统安全攻防加固赛题部分

备注

1.赛题可用IP地址范围见《赛场IP参数表》；

2.具体网络连接接口见《赛场IP参数表》-“赛场互联接口参数表”；

3.设备互联网段内可用地址数量见《赛场IP参数表》；

4.IP地址分配要求，最节省IP地址，子网有效地址规划遵循2n-2的原则；

5.参赛选手按照《赛场IP参数表》要求，自行分配IP地址段、设备互联接口；

6.将分配的IP地址段和接口填入《赛场IP参数表》中（《赛场IP参数表》电子文件存于U盘“第一阶段”文件夹中，请填写完整后提交。

）

（二）第一阶段任务书（100分）

任务1：

网络平台搭建（100分）

1.根据网络拓扑图所示，设计连线，制作网线，做好机柜布线系统。

2.

3.根据网络拓扑图所示，按照IP地址参数表，对网络设备的名称、各接口IP地址进行配置。

4.

5.根据网络拓扑图所示，按照IP地址参数表，部署服务器和主机。

6.

7.据网络拓扑图所示，按照IP地址参数表，在交换机交换机上创建相应的VLAN，并将相应接口划入VLAN。

8.

9.采用RIPV2路由协议，全网络互连。

10.

11.在三层交换机上运行SSH服务，客户端PC-1运行支持SSH2.0标准的客户端软件如SecureShellClient或Putty，使用用户名和密码方式登录交换机。

12.

13.在三层交换机上启动SSL功能，客户端PC-1通过浏览器客户端通过https登录交换机时，交换机和浏览器客户端进行SSL握手连接，形成安全的SSL连接通道，从而保证通信的私密性。

14.

15.在三层交换机上配置，VLAN110用户可通过DHCP的方式获得IP地址，在交换机上配置DHCPServer，地址池名称为pool110，DNS地址为202.106.0.20，租期为8天，VLAN110网段最后20个可用地址（DHCP地址段参考“赛场IP参数表”）不能被动态分配出去。

16.

17.配置三层交换机，防止来自VLAN110接口的DHCP地址池耗尽攻击。

18.

19.配置三层交换机，防止对公司总部服务器的以下3类DOS（DenialOfService）攻击：

ICMPFlood攻击、LAND攻击、SYNFlood攻击。

20.

（三）第二阶段任务书（600分）

任务1：

数据库攻防与加固（200分）

1.进入xserver-mysql,加固MySQL服务器，使所有的访问能被审计，要求通过对mysqld的启动项进行加固，上传key值到服务器。

2.

3.配置Linux防火墙，允许MySQL服务能够被访问，要求规则中只包含端口项，对防火墙规则列表上传key值到服务器。

4.

5.进入xserver-mysql，查看所有用户及权限，找到可以从任何IP地址访问的用户，对操作过程上传key值到服务器。

6.

7.对题号3中的漏洞进行加固，设定该用户只能从公司PC-1访问，用grants命令进行管理，上传key值到服务器。

8.

9.检查xserver-mysql中的是否存在数据库匿名用户，如果存在数据库匿名用户，则删除该用户，将发现的数据库匿名用户信息以及删除过程进行上传key值到服务器。

10.

11.改变默认MySQL管理员的名称，将系统的默认管理员root改为admin，防止被列举，将执行过程进行上传key值到服务器。

12.

13.禁止MySQL对本地文件进行存取，对mysqld的启动项进行加固，将加固部分上传key值到服务器。

14.

15.限制一般用户浏览其他用户数据库，对mysqld的启动项进行加固，将加固部分上传key值到服务器。

16.

任务2：

SQL注入攻击（200分）

1.访问网站，并通过AcunetixWebVulnerabilityScanner扫描器对其进行扫描，识别存在SQL注入风险以及注入点的URL，并上传key值到服务器。

2.

3.通过对注入点手工判断，根据报错信息或者输入’and1=1以及’and1=2比对返回不同结果确定是注入点，并上传key值到服务器。

4.

5.Get型注入，使用sqlmap对注入点的URL进行注入测试，获得当前的数据库名称，并上传key值到服务器。

6.

7.POST型注入，使用sqlmap对注入点的URL以及POST数据进行注入测试，获得所有数据库的名称及个数，并上传key值到服务器。

8.

9.登录认证型，在网站注册任意帐号，对后台指定的URL进行SQL注入测试，通过SQLMAP工具dump到管理员帐号admin的加密密码并上传key值到服务器。

10.

11.对第五步获取的加密密码进行md5破解，破解成功后的使用admin帐号进行登录，并上传key值到服务器。

12.

任务3：

linux操作系统安全防护（200分）

1.修改ssh的配置文件，禁止root直接登录，退出所有账号，使用root直接ssh登录操作系统，将提示信息上传key值到服务器。

2.

3.修改密码策略配置文件，确保密码最小长度为8位，然后创建新账号，并赋予密码低于8位，将错误提示信息上传key值到服务器。

4.

5.修改/etc/pam.d/system-auth文件，确保错误登录10次，锁定此账户10分钟，将配置上传key值到服务器。

6.

7.配置至少三个配置文件的umask值为027，将配置上传key值到服务器并说明是哪个配置文件。

8.

9.自编脚本，查找本机存在SUID与SGID的文件，并上传key值到服务器。

10.

11.自编脚本，查找本机存在的所有人均有写权限的目录，并上传key值到服务器。

12.

（四）第三阶段任务书：

分组对抗（300分）

各位选手负责服务器（受保护服务器IP、管理员账号见现场发放的参数表）的维护，该服务器可能存在着各种问题和漏洞（见漏洞列表）。

你需要尽快对服务器进行加固，十五分钟之后将会有很多黑客对这台服务器进行猛烈地攻击。

提示1：

该题不需要保存文档；

提示2：

服务器中的漏洞可能是常规漏洞也可能是系统漏洞；

提示3：

加固常规漏洞取得KEY值并提交到裁判服务器中（裁判服务器网址见现场发放的参数表）；

提示4：

加固系统漏洞取得FLAG值并提交到裁判服务器。

在这个环节里，各位选手需要继续保护你的服务器免受各类黑客的攻击，你可以继续加固你的服务器，你也可以选择攻击其他组的保护服务器（其他服务器网段见现场发放的参数表）。

注意1：

不允许关闭80端口，否则将判令停止比赛，第三阶段分数为0分；在系统加固时，可以根据需要重启服务；

注意2：

不能对裁判服务器进行攻击，否则将判令停止比赛，第三阶段分数为0分。

注意3：

不允许更改syslog的配置，不允许停止syslog服务，不允许关闭514端口。

注意4：

仔细阅读裁判服务器登录界面的大赛规则。

（竞赛样题完）

十、评分标准制定原则、评分方法、评分细则

（一）评分标准制定原则

根据《2016年全国职业院校技能大赛成绩管理办法》的相关要求，遵循成绩管理基本流程，通过检录、一次加密、二次加密、竞赛成绩评定、解密、成绩公布等流程，规范成绩管理。

竞赛评分严格按照公平、公正、公开的原则，评分标准注重考查参赛选手三个阶段的能力和水平。

（二）评分方法

1.参赛队成绩由裁判委员