ZZ037安徽省职业院校技能大赛中职组网络空间安全竞赛规程docx.docx

1、ZZ037安徽省职业院校技能大赛中职组网络空间安全竞赛规程docx2018年安徽省职业院校技能大赛中职组“网络空间安全”赛项规程一、赛项名称：网络空间安全二、竞赛目的没有网络安全就没有国家安全，网络空间安全已经上升到国家安全战略高度。我国网络空间安全问题频出，损失巨大。中国是网络攻击的主要受害国。侵犯个人隐私、损害公民合法权益等违法行为时有发生。2014年，中央网络安全和信息化领导小组宣告成立，表明加强网络安全和信息化建设已经摆在国家发展战略的重要位置。2017年6月1日，中华人民共和国网络安全法正式施行，护卫我国的“第五疆域”。2017年7月8日，全国工业和信息化职业教育教学指导委员会暨中职

2、信息技术类相关专业目录修订启动会议在北京召开。会上发布了专业设置优化调整建议报告，7月23日，全国工业和信息化职业教育教学指导委员会中等职业信息技术类计算机相关专业目录修订统稿会议在广州召开，会上确定了网络与信息安全专业简介和网络与信息安全专业论证分析。2017年8月，中央网络安全和信息化领导小组办公室秘书局、教育部办公厅印发一流网络安全学院建设示范项目管理办法，贯彻习总书记关于“下大功夫、下大本钱，请优秀的老师，编优秀的教材，招优秀的学生，建一流的网络空间安全学院”的重要指示精神，中央网信办、教育部决定将网络和信息安全教育教学和人才培养推上了一个新高度。因此，本赛项是践行“以赛促学、以赛促教

3、、以赛促改、以赛促创”的典型案例。 三、竞赛内容简介面向中职信息技术类专业的学生，注重考核网络安全设计、安全策略配置、系统渗透测试以及信息安全攻防等方面，还原实际工作场景，基于工作过程的竞赛任务书设计，考察选手网络空间安全的综合技能和素质。四、竞赛方式本赛项为团体赛，每支参赛队限2名同校选手，不得跨校组队。同一学校报名参赛队不超过1支。每队限报 2 名指导教师，指导教师须为本校专兼职教师。参赛选手须为中等职业学校全日制在籍学生或者五年制高职一至三年级（含三年级）的学生。参赛选手年龄须不超过 21 周岁，年龄计算的截止时间以比赛当年的5月1日为准。凡在往届全国职业院校技能大赛本项目获一等奖的选手

4、，不能再参加本项目的比赛。五、竞赛时间安排与流程（一）竞赛日程比赛限定在1天内进行，比赛场次为1场，赛项竞赛时间为3小时，时间为8:30-11:30，具体安排如下：日期时间内容地点3月9日12:00-14:30报到15：3016:00领队会、领队抽签16:0016：30选手熟悉赛场3月10日7:308:00选手检录（只能选手参加）8：00-8：20赛位抽签（抽签前封闭）8:30-11:30正式比赛11:30-13:30比赛成绩评定当天下午成绩公布（二）竞赛流程图六、竞赛样题样题见附件。七、评分标准制定原则、评分方法、评分细则（一）评分标准制定原则根据全国职业院校技能大赛成绩管理办法的相关要求，

5、遵循成绩管理基本流程，通过检录、一次加密、二次加密、竞赛成绩评定、解密、成绩公布等流程，规范成绩管理。竞赛评分严格按照公平、公正、公开的原则，评分标准注重考查参赛选手两个阶段的能力和水平。（二）评分方法1参赛队成绩由裁判组统一评定；2比赛总分数100分，分为两个阶段单独积分，第一阶段满分为70分，第二阶段满分为30分，每个阶段竞赛系统单独进行自动评分和排名；3两个阶段采取分步得分、错误不传递、累计总分的积分方式，分别计算环节得分，由裁判长汇总整理各阶段得分得出各参赛队总分和总排名，不计参赛选手个人得分；4在竞赛过程中，选手如有不服从裁判判决、扰乱赛场秩序、舞弊等不文明行为，由裁判按照规定扣减相

6、应分数并且给予警告，情节严重的取消竞赛资格，竞赛成绩记0分，队员退出比赛现场；5监督组对裁判组的工作进行全程监督，并对竞赛成绩抽检复核。仲裁组负责接受由参赛队领队提出的对裁判结果的申诉，组织复议并及时反馈复议结果；6竞赛严格执行裁判遴选管理办法、赛事保密细则和预案、命题管理办法等制度，保证竞赛的公平公正。赞助企业、参赛院校不安排人员进入裁判团队。（三）评分细则1.评分阶段：竞赛阶段阶段名称任务阶段评分方式第一阶段权重70%单兵模式系统渗透测试（本阶段由多个任务组成）任务1机考评分任务2机考评分机考评分任务N机考评分第二阶段权重30%分组对抗系统攻防演练机考评分第一阶段分为多个任务，每个任务里面

7、有多个关卡，总分70分。为保证竞赛的公平公正，所有分数由计算机自动评分，大屏幕直播公开显示。这部分评分需要选手向考评服务器中提交每道题唯一的“KEY”值或者“FLAG”值，系统自动匹配，不需要人工干预。2.分值比例：序号知识点技能点内容描述分值比例1安全防护技术HTTP防护、会话跟踪、数据窃取防护、漏洞扫描、防篡改等技术；20%2服务器渗透技术针对未设置防护的数据库和服务器进行扫描、密码猜测等渗透测试；30%3服务器加固技术强制访问控制、数据保护、行为审计等；20%4攻防对抗技术密码学基础、认证与授权基础、Windows/Linux服务器系统与安全、网络服务安全、Web应用安全、数据库安全、扫

8、描探测、溢出攻击、破解验证技术、安全加固、病毒及恶意代码分析及清除等相关知识。30%3.整体合分规则规则1：如果总分相同，以第二阶段评判成绩高低排序，第二阶段评判成绩高者靠前；规则2：如果第二阶段评判成绩也相同，以第二阶段提交正确FLAG值（实际成绩）高低排序，实际成绩高者排名靠前；规则3：第二阶段提交正确FLAG值（实际成绩）相同，以第二阶段提交最后一个正确的FALG时间排序，先完成者排名靠前。4.成绩录入规则规则1：成绩录入系统的分数不能相同；规则2：同分选手，按照排名顺序，从最后一位选手开始，排名每靠前一位，增加0.01分录入系统。（或按照排名顺序，从第一位选手开始，排名每靠后一位，减少

9、0.01分录入系统）竞赛详细评分细则将结合竞赛试题的具体内容由命题组专家设计制定。八、奖项设置以赛项实际参赛队数量确定奖项：一等奖占参赛选手总数的10%，二等奖占参赛选手总数的20%，三等奖占参赛选手总数的30%，小数点后四舍五入。九、技术规范序号标准号中文标准名称1GB 17859-1999计算机信息系统安全保护等级划分准则2GB/T 20271-2006信息安全技术信息系统通用安全技术要求3GB/T 20270-2006信息安全技术网络基础安全技术要求4GB/T 20272-2006信息安全技术操作系统安全技术要求5GB/T 20273-2006信息安全技术数据库管理系统安全技术要求6GA

10、/T 671-2006信息安全技术终端计算机系统安全等级技术要求7GB/T 20269-2006信息安全技术信息系统安全管理要求十、赛场提供的比赛器材、技术平台和场地要求（一）比赛器材序号设备名称数量设备型号1网络空间安全技能评测平台1标配2个千兆以太口，Intel处理器，大于等于16G 内存，SSD +SATA硬盘。可扩展多种虚拟化平台，支持多用户并发在线比赛，根据不同的实战任务下发进行自动调度靶机虚拟化模板，为学员提供单兵闯关、分组混战等实际对战模式，提供超过20种不同级别70个的攻防题目。整个过程全自动评判，自定义动画态势展示，成绩详细分析，多端口监控，全程加密。包含2017年网络空间安

11、全国赛和省赛部分样题场景。2PC机2/赛位CPU 主频=3.5GHZ,=四核心 八线程；内存=8G；硬盘=1T；支持硬件虚拟化；具有串口或者提供USB转串口配置线缆。（二）软件技术平台：比赛的应用系统环境主要以Windows和Linux系统为主，涉及如下版本：1）物理机安装操作系统：Windows 72）虚拟机安装操作系统： Windows系统：Windows XP、Windows 7、Windows2003 Server、Windows2008 Server（根据命题确定）。 Linux系统：Ubuntu、Debian、CentOS（根据命题确定）。3）办公软件主要为Microsoft Of

12、fice 2010(中文版)及以上和RAR 4.0 (中文版)；比赛提供SercureCRT作为终端。（三）赛场环境要求：竞赛工位内设有操作平台，每工位配备220V电源，每支参赛队提供一个垃圾箱。附件：中职组“网络空间安全”赛项样题一、竞赛阶段简介竞赛阶段任务阶段竞赛任务竞赛时间分值第一阶段单兵模式系统渗透测试任务1Linux操作系统服务渗透测试及安全加固两小时25任务2Windows操作系统服务渗透测试及安全加固25任务3Windows操作系统服务端口扫描渗透测试20第二阶段分组对抗系统加固一小时30渗透测试二、拓扑图三、竞赛任务书（一）第一阶段任务书（70分）根据赛场参数表提供的信息，请使

13、用PC1的谷歌浏览器登录考试平台，登录后点击“闯关关卡”，左侧有本阶段的三个任务列表。点击右侧的“网络靶机”，进入虚机完成任务，找到FLAG值，填入空框内，点击“提交任务”按钮。提示： FLAG中包含的字符是英文字符，注意英文字符大小写区分。虚拟机1：Ubuntu Linux 32bit（用户名：root；密码：toor）；虚拟机1安装工具集：Backtrack5；虚拟机1安装开发环境：Python；虚拟机2：WindowsXP（用户名：administrator；密码：123456）。任务1.Linux操作系统服务渗透测试及安全加固（25分）任务环境说明： 服务器场景：CentOS5.5（用

14、户名：root；密码：123456） 服务器场景操作系统：CentOS5.5 服务器场景操作系统安装服务：HTTP 服务器场景操作系统安装服务：FTP 服务器场景操作系统安装服务：SSH 服务器场景操作系统安装开发环境：GCC 服务器场景操作系统安装开发环境：Python1.在服务器场景CentOS5.5上通过Linux命令行开启HTTP服务，并将开启该服务命令字符串作为FLAG值提交；（3分）2.通过PC2中渗透测试平台对服务器场景CentOS5.5进行操作系统扫描渗透测试（使用工具NMAP，使用必须要使用的参数），并将该操作使用命令中必须要使用的参数作为FLAG提交；（3分）3.通过PC2

15、中渗透测试平台对服务器场景CentOS5.5进行操作系统扫描渗透测试（使用工具NMAP，使用必须要使用的参数），并将该操作显示结果“OS Details：”之后的字符串作为FLAG提交；（3分）4.通过PC2中渗透测试平台对服务器场景CentOS5.5进行系统服务及版本号扫描渗透测试（使用工具NMAP，使用必须要使用的参数），并将该操作使用命令中必须要使用的参数作为FLAG提交；（4分）5.通过PC2中渗透测试平台对服务器场景CentOS5.5进行系统服务及版本号扫描渗透测试（使用工具NMAP，使用必须要使用的参数），并将该操作显示结果的HTTP服务版本信息字符串作为FLAG提交；（4分）6.

16、在服务器场景CentOS5.5上通过Linux命令行关闭HTTP服务，并将关闭该服务命令字符串作为FLAG值提交；（4分）7.再次通过PC2中渗透测试平台对服务器场景CentOS5.5进行系统服务及版本号扫描渗透测试（使用工具NMAP，使用必须要使用的参数），并将该操作显示结果的第2项服务的PORT信息字符串作为FLAG提交。（4分）任务2. Windows操作系统服务渗透测试及安全加固（25分）任务环境说明： 服务器场景：WinServ2003（用户名：administrator；密码：空） 服务器场景操作系统：Microsoft Windows2003 Server 服务器场景操作系统安装

17、服务：HTTP 服务器场景操作系统安装服务：CA 服务器场景操作系统安装服务：SQL1.PC2虚拟机操作系统WindowsXP打开Ethereal，验证监听到PC2虚拟机操作系统WindowsXP通过Internet Explorer访问IISServ2003服务器场景的Test.html页面内容，并将Ethereal监听到的Test.html页面内容在Ethereal程序当中的显示结果倒数第2行内容作为FLAG值提交；（7分）2.在PC2虚拟机操作系统WindowsXP和WinServ2003服务器场景之间建立SSL VPN，须通过CA服务颁发证书；IISServ2003服务器的域名为，并将

18、WinServ2003服务器个人证书信息中的“颁发给：”内容作为FLAG值提交；（8分）3.在PC2虚拟机操作系统WindowsXP和WinServ2003服务器场景之间建立SSL VPN，再次打开Ethereal，监听Internet Explorer访问WinServ2003服务器场景流量，验证此时Ethereal无法明文监听到Internet Explorer访问WinServ2003服务器场景的HTTP流量，并将WinServ2003服务器场景通过SSL Record Layer对Internet Explorer请求响应的加密应用层数据长度（Length）值作为FLAG值提交。（10

19、分）任务3. Windows操作系统服务端口扫描渗透测试（20分）任务环境说明： 服务器场景：WinServ2003（用户名：administrator；密码：空） 服务器场景操作系统：Microsoft Windows2003 Server 服务器场景操作系统安装服务：HTTP 服务器场景操作系统安装服务：CA 服务器场景操作系统安装服务：SQL1.进入PC2虚拟机操作系统：Ubuntu Linux 32bit中的/root目录，完善该目录下的tcpportscan.py文件，对目标HTTP服务器应用程序工作传输协议、端口号进行扫描判断，填写该文件当中空缺的FLAG1字符串，将该字符串作为F

20、LAG值（形式：FLAG1字符串）提交；（2分）2.进入虚拟机操作系统：Ubuntu Linux 32bit中的/root目录，完善该目录下的tcpportscan.py文件，对目标HTTP服务器应用程序工作传输协议、端口号进行扫描判断，填写该文件当中空缺的FLAG2字符串，将该字符串作为FLAG值（形式：FLAG2字符串）提交；（2分）3.进入虚拟机操作系统：Ubuntu Linux 32bit中的/root目录，完善该目录下的tcpportscan.py文件，对目标HTTP服务器应用程序工作传输协议、端口号进行扫描判断，填写该文件当中空缺的FLAG3字符串，将该字符串作为FLAG值（形式：

21、FLAG3字符串）提交；（2分）4.进入虚拟机操作系统：Ubuntu Linux 32bit中的/root目录，完善该目录下的tcpportscan.py文件，对目标HTTP服务器应用程序工作传输协议、端口号进行扫描判断，填写该文件当中空缺的FLAG4字符串，将该字符串作为FLAG值（形式：FLAG4字符串）提交；（2分）5.进入虚拟机操作系统：Ubuntu Linux 32bit中的/root目录，完善该目录下的tcpportscan.py文件，对目标HTTP服务器应用程序工作传输协议、端口号进行扫描判断，填写该文件当中空缺的FLAG5字符串，将该字符串作为FLAG值（形式：FLAG5字符串

22、）提交；（3分）6.进入虚拟机操作系统：Ubuntu Linux 32bit中的/root目录，完善该目录下的tcpportscan.py文件，对目标HTTP服务器应用程序工作传输协议、端口号进行扫描判断，填写该文件当中空缺的FLAG6字符串，将该字符串作为FLAG值（形式：FLAG6字符串）提交；（3分）7.进入虚拟机操作系统：Ubuntu Linux 32bit中的/root目录，完善该目录下的tcpportscan.py文件，对目标HTTP服务器应用程序工作传输协议、端口号进行扫描判断，填写该文件当中空缺的FLAG7字符串，将该字符串作为FLAG值（形式：FLAG7字符串）提交；（3分）

23、8.在虚拟机操作系统：Ubuntu Linux 32bit下执行tcpportscan.py文件，对目标HTTP服务器应用程序工作传输协议、端口号进行扫描判断，将该文件执行后的显示结果中，包含TCP 80端口行的全部字符作为FLAG值提交。（3分）（二）第二阶段任务书（30分）假定各位选手是某电子商务企业的信息安全工程师，负责企业某服务器的安全防护，该服务器可能存在着各种问题和漏洞。你需要尽快对该服务器进行安全加固，15分钟之后将会有其它参赛队选手对这台服务器进行渗透。根据赛场参数表提供的第二阶段的信息，请使用PC1的谷歌浏览器登录考试平台。提示1：服务器中的漏洞可能是常规漏洞也可能是系统漏洞

24、；提示2：加固全部漏洞；提示3：对其它参赛队服务器进行渗透，取得FLAG值并提交到自动评分系统；提示4：十五分钟之后，各位选手才可以进入渗透测试环节。渗透测试环节中，各位选手可以继续加固服务器，也可以选择攻击其他选手的服务器。靶机环境说明： 服务器场景：CentOS5.5（用户名：root；密码：123456） 服务器场景操作系统：CentOS5.5 服务器场景操作系统安装服务：HTTP 服务器场景操作系统安装服务：FTP 服务器场景操作系统安装服务：SSH 服务器场景操作系统安装服务：SQL 服务器场景操作系统安装开发环境：GCC 服务器场景操作系统安装开发环境：Python 服务器场景操作

25、系统安装开发环境：PHP可能的漏洞列表如下：1.靶机上的网站可能存在命令注入的漏洞，要求选手找到命令注入的相关漏洞，利用此漏洞获取一定权限;2.靶机上的网站可能存在文件上传漏洞，要求选手找到文件上传的相关漏洞，利用此漏洞获取一定权限;3.靶机上的网站可能存在文件包含漏洞，要求选手找到文件包含的相关漏洞，与别的漏洞相结合获取一定权限并进行提权;4.操作系统提供的服务可能包含了远程代码执行的漏洞，要求用户找到远程代码执行的服务，并利用此漏洞获取系统权限;5.操作系统提供的服务可能包含了缓冲区溢出漏洞，要求用户找到缓冲区溢出漏洞的服务，并利用此漏洞获取系统权限;6.操作系统中可能存在一些系统后门，选

26、手可以找到此后门，并利用预留的后门直接获取到系统权限。注意事项：注意1：任何时候不能人为关闭服务器服务端口，否则将判令停止比赛，第二阶段分数为0分；注意2：不能对裁判服务器进行攻击，否则将判令停止比赛，第二阶段分数为0分；注意3：在加固阶段（前十五分钟，具体听现场裁判指令）不得对任何服务器进行攻击，否则将判令攻击者停止比赛，第二阶段分数为0分；注意4：FLAG值为每台受保护服务器的唯一性标识，每台受保护服务器仅有1个；注意5：靶机的FLAG值存放在./root/Flaginfoxxxx.xxx.txt文件内容当中（xxxx.xxx是随机产生的字符）；注意6：在登录自动评分系统后，提交对手靶机的FLAG值，同时需要指定对手靶机的IP地址；注意7：不得人为恶意破坏自己服务器的FLAG值，一经发现将判令犯规，第三阶段分数为0分；注意8：本环节是对抗环节，不予补时。第二阶段评分说明：规则1：每提交1次对手靶机的FLAG值增加2分，每当被对手提交1次自身靶机的FLAG值扣除2分，每个对手靶机的FLAG值只能提交一次；规则2：第二阶段总分为30分，初始分为10分。在实际得分和大屏显示中，某选手得分可能会显示负分或者超过30分；凡是负分的，本阶段评判成绩一律为0分；凡是超过30分的，本阶段评判成绩一律为30分。（样题完）