2017年网络信息安全申报方案

 
2017年全国职业院校技能大赛
竞赛项目方案申报书
 
 
赛项名称：     网络信息安全管理                 
赛项组别：      中职组þ       高职组□
专业大类：           09信息技术类              
方案设计专家组组长：       黄华                 
专家组组长手机：         18698603210         
方案申报单位（盖章）：中国职业技术教育学会      
信息化工作委员            
方案申报负责人：           孙林营             
联系手机：               13011078299          
邮箱号码：            skillchina@126.com       
通讯地址：      北京市西城区新街口外大街19号
邮政编码：               100875             
申报日期：           2016年8月30日          
 
 
 
2017年全国职业院校技能大赛
竞赛项目方案
一、   赛项名称
（一）赛项名称
网络信息安全管理
（二）压题彩照
（三）赛项归属产业类型
信息技术产业
（四）赛项归属专业大类
计算机网络技术专业（专业代码090500）
网站建设与管理专业（专业代码090600）
二、   赛项申报专家组

姓名	单位	专业	职务/职称	年龄	手机号码	邮箱
黄华	广东清远职业技术学院	信息安全技术	信息学院副院长/信息安全副教授	42	18698603210	387219404@qq.com
向才毅	重庆市教育科学研究院中职研究所	计算机网络	所长	60	15310262791	xiangcy2002@163.com
王虎	中国矿业大学	信息安全技术	信息安全专业主任/副教授	42	18112013185	wanghu@cumt.edu.cn
朱志辉	广州大学华软软件学院	计算机网络	院长/教授	68	13926108222	13926108222@139.com
王玉章	上海科技管理学校	计算机网络	校长	59	13301736103	wang_yuzhang@126.com
张玉琴	武汉市第一职业教育中心	计算机网络	副校长	53	13986133873	wh85417760@yahoo.com.cn
韩联	北京国际职业教育学校	计算机网络	副校长		13671325293	Hanlian806@126.com
戴小峰	成都市现代制造职业技术学校	计算机网络/信息安全	计算机专业部主任/高级教师	52	13558850781	13558850781@126.com

三、   赛项目的
2016年6月6日，中央网络安全和信息化领导小组办公室、国家发展和改革委员会、教育部、科学技术部 、工业和信息化部、人力资源和社会保障部等部委联合发文《关于加强网络安全学科建设和人才培养的意见》，提出了加快网络安全学科专业和院系建设、创新网络安全人才培养机制、加强网络安全教材建设、强化网络安全师资队伍建设、推动高等院校与行业企业合作育人、协同创新、加强网络安全从业人员在职培训、加强全民网络安全意识与技能培养、完善网络安全人才培养配套措施等各方面意见。网络安全已经成为国家高层非常重视的问题，国际电联专门推出全球网络安全指数新概念；从美国政府“严密审查”联想收购IBM的低端x86服务器部门，到微软Windows XP“退役”引发中国两亿用户的安全顾虑，网络安全和信息化最近成为社会关注的热点。 
中共中央总书记、中央网络安全和信息化领导小组组长习近平最近提出了“没有网络安全就没有国家安全，没有信息化就没有现代化”，“努力把我国建设成为网络强国”等重要论断，把对网络安全和信息化重要性的认识提到了一个新的高度，为下一步推进网络信息安全和信息化建设指明了方向。为深刻理解习近平重要讲话精神，推动行业加快落实网络安全和信息化建设。
本赛项面向信息技术大类的中职学生，能够规范学生的上网行为，培养学生各种上网行为的法律意识。主要考察中职生网络安全方面的专业基础知识及相关的操作技能，使学生能适应网络技术发展对网络与网站管理人才的技能要求，特别是安全方面的需求，提高信息技术大类学生的就业能力，同时也让学生懂得对自己的上网行为负责任。
当前，我国的信息安全人才需求缺口较大，具有中职学历的基本没有。社会需求与人才供给之间存在着巨大的差距，人才问题已成为当前制约信息安全产业发展的瓶颈。
本赛项涉及的职业岗位用人需求量比较大，各地职业学校专业点数量也比较多。所以，设置中职“网络信息安全”的竞赛项目是很有必要的。
四、   赛项设计原则
（一）本赛项使用的大部分硬件设备，中职学校的实训室基本上都已配备（而且都是在国赛使用过的设备），不用增加参赛学校的负担，避免参赛学校在训练过程中缺少设备，无法有效备赛。理论部分采用上机考试，统一开始时间及结束时间，结束后由机器进行评分，馬上出成绩。符合大赛公开、公平、公正的原则。
（二）赛项参照中职学校“网络与信息安全”和“网站建设与管理”专业方向的相关专业技能，以及网络行业对安全人才技能的需求来设置，竞赛内容的核心是网络信息安全和网站安全防范。通过竞赛达到中职学校计算机网络技术的教学交流和提高中职学校师生的网络信息安全意识。
（三）本赛项使用的安全网关，主要用于对网络安全审计与行为分析，是公安部门要求使用互联网的单位都配备的网络安全设备，它能够规范人们的上网行为，提高工作效率，并对各种上网行为提供法律依据。
（四）竞赛平台成熟。该项目已进行过2014年及2015年广东省中等职业学校技能大赛和2015年及2016年全国职业院校信息技术技能大赛，已取得一定经验。而且赛后深得参赛学校的欢迎和好评，大家一致认为“网络信息安全”项目理论与实操结合符合当前中职教学要求，试题很切合实际，使用安全网关非常符合行业实际需要，实用性较强；赛项非常适合中职生，有利于改进和提高网络专业的教学，有利于中职生的就业技能。
五、   赛项方案的特色与创新点
本赛项已于2014年4月和2015年5月在广东省中等职业学校技能大赛（全省15个地市，25支和28支代表队参赛）；于2015年7月份镇江高等职业技术学校举办全国职业院校信息技术技能大赛（全国有20个省市，51支代表队报名参赛）。2016年6月份在广州市电子信息学校举办举办全国职业院校信息技术技能大赛（全国有22个省市，65支代表队报名参赛）各参赛学校反映效果很好，普遍认为有助于提高学生对信息安全的认识，有利于网络安全的教学实践。它主要有以下几个亮点：
（一）丰富大赛内容，弥补以往中职赛项考核盲点。该赛项可以让所有中职学校都能了解到网络信息安全的技能要求，达到加强网络信息安全意识从中职生抓起；而且相关专业的中职毕业生可满足网络信息安全管理岗位的用人要求，但是往届大赛没有中职网络信息安全方面的赛项，因此设置此赛项不但可以充实大赛内容，还能使大赛项目与行业人才需求结合得更加紧密。
（二）比赛使用设备与品牌无关，而且可以同时使用不同品牌设备，所使用的网络设备（如交换机、路由器、防火墙、无线AP等）基本上中职学校的网络实训室都配备，过去国赛园区网和企业网使用过的网络设备都可以使用。
（三）让中职学生懂得对自己的上网行为负责任。竞赛所涉及的网络信息安全和网站安全的知识与技能都是当前行业所必需而且又适合中职学生的认知水平（例如：网页过滤，上网认证，限制接入，流量管理，数据安全记录和信息泄漏防范等），通过这些知识的学习，有助于规范中职生的上网行为。
（四）促进课程改革，引领专业建设。通过赛项考核内容的指引，以及竞赛成果向教学资源转化的带动，可推动中职学校基于行业对人才的需求进行专业建设，促进信息技术大类相关专业教学内容和教学方法的改革。通过2014年广东省赛后，已组织编写并已出版了“信息安全系列”教材，2015年进行了二次修订及出版。
（五）开放赛场供参观，为便于媒体和院校师生以及家长等更好地了解网络信息安全，达到竞赛促教学、竞赛促交流的目的，在不影响选手比赛的前提下，可以有序开放赛场供大家观摩，使更多的师生家长及社会人士对信息安全有更深入的了解，吸引行业、企业相关人士的关注和参与，扩大赛项影响力。
（六）注重技能竞赛，也兼顾知识考核。本赛项采用计算机考形式对参赛选手必备的安全知识进行理论考核，以此检验学生是否具备行业相关岗位的基础知识和工作潜能，使考生达到高级工的水平。
六、   竞赛内容简介（须附英文对照简介）
（一）中文简介
本项目为中职生技能竞赛。结合教学要求和企业对技能的需要，重点考查学生网络安全、访问控制、安全认证配置、网络行为监控、网站安全防范等方面技能。主要涉及的知识和技能点如下：
本竞赛分为知识测试和技能实操二个竞赛部分，成绩比例是知识测试占20%，技能实操占80%；比赛时间共180分钟。
第一部分：知识测试
比赛时限：15分钟。
比赛技能：主要考查选手对网络信息安全知识的理解、判别和灵活运用程度，考查选手上网行为的规范和网络安全的职业素养。比赛形式：在计算机上测试，由系统自动评改，完成共计50个题目的测试任务。考试题型为是非题、单选题及多选题，其中是非题共40分、每题2分，单选题共40分、每题2分，多选题共20分、每题2分
第二部分：技能实操
比赛时限：165分钟。
比赛技能：重点考核内容分四个模块：网络搭建、应用系统与服务安全、上网行为管理、网站安全防范。
模块一 网络搭建 （实操的20%）
网络基础知识：按照拓扑图结构，完成网络环境的设计与搭建（不用制作双绞线），并根据设计出的各台设备接口地址，连通内部网络。
以太局域网、无线局域网安全管理。
网络设备安全防范。
模块二 应用系统与服务安全（实操的25%）
虚拟机安装系统，操作系统设置、数据安全管理、应用服务安全保护；
账号以及组织架构，能根据用户的角色，对文件、系统组件、系统工具、应用软件的访问控制权进行分配。使得不同角色的用户对不同的资源具有指定的操作权限。
证书认证防护，安装证书服务，根据需要颁发证书。提供给其他模块使用。配置系统认证服务的组件，设置终端用户接入认证服务。
VPN服务，通过 VPN 接入内部网络。
Linux系统，已安装的系统，加固系统，配置Linux服务
无线接入安全，作为无线客户端接入
模块三 上网行为管理（实操的30%）
利用安全网关实现，流量管理，按用户分配带宽，应用控制，设定内部网络允许（或禁止）使用的网络应用。
内容审计，将通过WebMail或邮件客户端外发的信息记录，并执行相应的操作。网页过滤，能针对内网用户访问网站以及网页地址、内容进行分析，过滤非法网站和含有非法词汇的数据通信。行为分析，记录用户访问互联网应用或服务时所通信的内容。
模块四 网站安全防范（实操的25%）
安装PHP+MySQL，使用ZAP扫描工具，扫描基本的漏洞，并导出报告；在虚拟机成功发布作品，能通过工位IP访问；检测注入漏洞，通过注入获取非法操作权限；功能缺陷，授权管理；信息泄露，非法参数而导致信息泄露；防范脚本攻击；部署安全，数据库日常管理，文件权限；密码复杂度等。
（二）     英文简介
This project is the skills competition for vocational school students. The competition combined with the teaching requirements and business demand for skills. The competition focus to examine students' knowledge such as：Building a basic network, Security authentication configuration, Access control, Network monitoring, the web security. Mainly refers to the knowledge and skills are as follows:
The project also has 15 minutes of the theory examination. Theory examination includes: Computer network, Technology and application of information security, Network security management, Internet behavior management, the web security.
Examination questions. True or false, a total of 40 points, 2 points each. Single choice, a total of 40 points, 2 points each. Multiple choice, a total of 20 points, 2 points each.
(一) Building the network and the network security (20%)
According to the topological graph to build up the network, ensure that equipment can be interconnected. According to the requirements of the complete Ethernet LAN, wireless LAN, Wan border security management.
(二)Application system and service security (25%)
Rational use of virtual machine. Provide server system security, data security and application services security. To strengthen the security of network services using a digital certificate. Provide access authentication service. Set up a virtual private network to provide dial-up access.
(三) Internet behavior management (30%)
Control and management based on the application. Audit and filter the specified e-mail content. Rational allocation of bandwidth traffic. Internet behavior analysis based on logging. Filtering web. Record access external network content.
(四)Web security (25%)
  Publish the web. Repair authentication and authorization vulnerabilities. Repair XSS(cross-site scripting) vulnerabilities. Repair injection vulnerability. Repair information disclosure vulnerability. Database security management.
七、   竞赛方式（含组队要求、是否邀请境外代表队参赛）
参考《2016年全国职业院校技能大赛参赛报名办法》的有关要求：
（一）竞赛以团队方式进行，每支参赛队由2名选手组成，须为全日制同校在籍中职学生，如果五年制高职学生报名参赛的，必须是一至三年级（含三年级）在籍学生；性别和年级不限，可配2名指导教师，指导教师须为本校专兼职教师。比赛时间为180分钟。参赛选手年龄必须在2017年06月01日前年不超22周岁。
（二）竞赛分预赛和决赛两个阶段。预赛由各省、自治区、直辖市，各计划单列市以及新疆建设兵团等有关部门自行组织，决赛由2017年全国职业院校技能大赛组委会统一组织。
（三）参赛规模。每省参赛队原则上不超过2 队。为鼓励各省组织省赛，如果有组织省级选拔赛的省份，经大赛执行委员会审查备案，视赛项特点及承办单位实际承接能力，在条件许可的情况下可增加1 个参赛队名额。
（四）本赛项不邀请境外代表队参赛。
 
八、   竞赛时间安排与流程
（一）     竞赛时间安排
比赛时间：共180分钟，其中理论题15分钟，实操题165分钟。
时间安排参考如下：

日程安排
07:00-07:10	裁判进入裁判室
07:10-07:50	选手抽签并入场
07:50-08:00	参赛代表队就位并领取比赛任务
08:00-11:00	比赛时间（先做15分钟理论，再进行实操）
11:00-11:10	参赛代表队离场
12:00-18:00	裁判评分

 
（二）     比赛流程

 
 
 
 
 
 
 
 
 
九、    
十、    
 
九、 竞赛试题
见附件一《网络信息安全管理赛项样题》
十、评分标准制定原则、评分方法、评分细则
参照《2016年全国职业院校技能大赛成绩管理办法》的相关要求：
（一）评分原则
本项目的技能实操基本是客观分，选手完成就得分，没有完成或操作错误就不得分。理论部分机考评分，即由计算机即时自动评改。网络信息安全管理用满分为100分。其中理论部分占20，实操技能占80% 。
理论考核的评分方法：理论题建立约500题以上的题目库并公开，竞赛时在该理论题库随机抽出是非题20题，单选题20题，多选题10题作为考试题；理论考试采用计算机在线答卷，由计算机自动改卷。
实操考核的评分方法：把题目的客观实操任务分解为多个操作步骤，每个步骤的分值大约1到5分，评分表中的每个评分点的得分，只能是“零分”或该项所示分值的 “满分”；也就是说，选手完成每个评分点项就得分，没有完成或操作错误就得零分。
如果总分相同，则实操分高的选手名次排在前面。
（二）评分方法与评分细则
1.根据裁判的专业特长和评分细则，由裁判长安排评分小组，每小组只负责评改某一任务。
2.各评分小组按评分表要求严格对选手评分。
3.选手有下列情形，需从参赛成绩中扣分：
（1）违反比赛规定,提前进行操作的,由现场裁判负责记录, 依据情节扣5-10分。
（2）应在规定时间内完成比赛内容，超时操作的，由现场裁判负责记录，依据情节扣5-10分。
（3）现场操作过失未造成严重后果的,由现场裁判负责记录,扣10分。
（4）发生严重违规操作或作弊，经确认后，由裁判长宣布终止该选手的比赛，报备赛项执委会，以0分计算。
（5）由于操作出现电路短路影响它人比赛扣30分。
（6）现场有发现违法安全操作规范，由现场裁判负责记录,扣1-5分。
以上扣分都必须经选手签名确认。
十一、    奖项设置
参照执行《2016年全国职业院校技能大赛奖惩办法》的有关规定。
（一）参赛选手奖
赛项各设一、二、三等奖。一等奖按参赛队数的10%设置,二等奖按参赛队数的20%设置,三等奖按参赛队数的30%设置。
（二）指导教师奖
获一等奖选手的指导教师设置优秀指导教师奖。
十二、    技术规范
1、   专业教学要求
该赛项涉及中等职业院校开设的相关专业的相关教学要求如下：
（1）   具备计算机系统安装与维护能力
（2）   具备windows和linux服务器基础知识。
（3）   具备网站建设与管理（程序设计基础）
（4）   具备网络搭建设备配置与维护能力
（5）   具备网络安全设备配置与维护能力
（6）   具有网页制作与设计能力
2、   行业、职业技术标准
网络信息安全主要有以下国家标准，参赛代表队在实施竞赛项目中要求遵循如下规范：
（一）GB/T 19716 2005《信息技术信息安全管理实用规则》。
（二）GB/T 20010-2005《防火墙评估准则》。
（三）GB/T 20270-2006《信息安全技术网络基础安全技术要求》。
（四）GB/T 20272-2006《信息安全技术操作系统安全技术要求》。
（五）GB/T22239-2008《信息系统安全等级保护基本要求》。
（六）《中华人民共和国计算机信息系统安全保护条例》。
（七）《中华人民共和国计算机信息网络国际联网安全保护管理办法》。
十三、    建议使用的比赛器材和技术平台
本项目比赛使用通用联网的计算机硬件、网络设备与软件系统作为比赛器材，具体要求如下：
（一）竞赛硬件技术平台
1台路由器：利用路由器实现骨干网络的互联。
1台三层交换机：构建本地核心网络。
1台防火墙：对安全的威胁进行防护，构建安全等级防护网络。
1台无线AP：构建无线网络。
1台电源适配器：向无线AP供电。
3台计算机（参考参数：CPU双核，内存>=4GB，硬盘>=320GB，其中至少有2台配备无线网卡）
1台安全网关
1个38U的网络机架（含配线架和理线架各1个，标准网线若干条。）
网络信息安全项目的网络设备参考型号如下表：

序号	设备名称	设备型号	每队数量
1	路由器	RG-RSR20	1台
2	三层交换机	RG-S5750	1台
3	防火墙	RG-WALL1600	1台
4	无线AP	RG-AP520/530	1台
5	电源适配器	RG-E-120（GE)	1个
6	安全网关	广东唯康VSG-350A	1台
7	计算机（有2台含无线网卡）	CPU双核，内存>=4GB，硬盘>=320GB。	3台
8	网络机架	VGZSJ-3A	1套

（2）竞赛使用的软件环境

序号	品牌	型号	技术参数
1	微软	Windows XP 专业版 (中文版)	试用版
2	微软	Windows 7 专业版(中文版)	试用版
3	Oracle	Oracle VM VirtualBox 4.3	免费版
4	Rar	RAR 4.0 (中文版)	免费版
5	微软	Microsoft Office 2010(中文版)	试用版
6	微软	Microsoft Visio 2010(中文版)	试用版
7	微软	Windows 2003 Server R2(中文版)	试用版
8	微软	Windows Server 2008 R2(中文版)	试用版
9	Redhat	CentOS 6	免费
10	ASF	Apache 2.2	免费
11	PHP	PHP 5.3	免费
12	Oracle	Mysql 5.5	免费
13	Notepad++	Notepad++ 6.0或以上	免费
14	Adobe	Dreamweaver CS6 中文版	试用版
15	微软	超级终端压缩包（从XP提取）	免费
16	微软	Microsoft Visual C++ 2008SP1 Redistributable Package (x86)	免费
17	OWASP	Zed attack proxy 2.3（网站应用程序漏洞扫描工具）	免费
18	腾讯	Foxmail 7	免费
19	唯康	VTE-1A网络信息安全考试系统	广东唯康提供

以上软件基本是免费的，且国赛相关项目基本都使用过的，其中：VTE-1A网络信息安全考试系统是广东唯康公司提供的计算机在线考试系统，它具有随机抽题组成试卷和在线测试，自动计时和自动评改并统计成绩等功能。
（二）赛场环境、赛位设置、单位赛位大小、安全防范措施
1.赛场环境
(1)供评委使用环境要求：
两台服务器（双核2.5GHz以上，8G内存），2-3台裁判用机（与参赛选手设备硬件功能相同的计算机），一台打印机，二台24口三层交换机（恢复原厂设定）作为赛场交换机。
赛场服务器安装Windows Server 2008系统。安装Virtual Box虚拟机软件，Office 2010系列。裁判用机安装软件与选手用机一致。
(2)选手工位：
三台计算机，其中2台配备无线网卡。三台计算机软件配置一致：安装win7系统，安装Virtual Box、Office 2010套件、Dreamweaver、Apache、MySQL。将竞赛指定的全部软件的安装包保存在指定磁盘中。承办单位提供3%的备用设备。
2.单位赛位大小
每单位赛位长为1.8米、宽为0.8米、高为1.8米。
3.赛位设置
选手工位间隔：每组选手工位前后距离为4.5米，左右距离为2.5米，保持工位间有足够的操作空间和通道。
4.安全防范措施
电源需接地保护，每组设单独漏电保护开关。
十四、    安全保障
（一）组织机构
1.设置比赛安全保障组，组长由比赛执委会主任担任。成员由各赛场安全责任人担任。每一赛场制定一名安全责任人，对本赛场的安全负全责，在发生意外情况时负责调集救援队伍和专业救援人员，安排场内人员疏散。
2.建立与公安、消防、司法行政、交通、卫生、食品、质检等相关部门的协调机制，保证比赛安全，制定应急预案，及时处置突发事件。设置医护人员、消防人员和保安人员的专线联系，确定对方联系人，由场地安全负责人对口联系。比赛场地布置和器材使用严格依照安全施工条例进行。场地布置划分区域，并按安全要求设定疏散通道，并在墙面显著位置张贴安全疏散通道和路线示意图。
（二）赛项安全管理
1.比赛设备和设施安装严格按照安全施工标准施工，电源布线、电器安装按规范施工。
2.按防火安全要求安置灭火器，并指定责任人在紧急时候使用。
3.赛项竞赛规程中明确国家（或行业）相关职业岗位安全的规范、条例和资格证书要求等内容。
4.执委会在赛前对本赛项全体裁判员、工作人员进行安全培训。根据《中华人民共和国劳动法》等法律法规，建立完善的安全事故防范制度，在赛前对选手进行培训，避免发生人身伤害事故。
5.执委会将建立专门方案保证比赛命题、赛题保管、发放、回收和评判过程的安全。
（三）比赛环境安全管理
1.赛项执委会赛前组织专人对比赛现场、住宿场所和交通保障进行考察，并对安全工作提出明确要求。赛场的布置，赛场内的器材、设备符合国家有关安全规定。并进行赛场仿真模拟测试，以发现可能出现的问题。承办院校赛前按照赛项执委会要求排除安全隐患。
2.赛场周围设立警戒线，防止无关人员进入，发生意外事件。比赛现场内参照相关职业岗位的要求为选手提供必要的劳动保护。在具有危险性的操作环节，比赛前裁判员要检查、确认设备正常，比赛过程中严防选手出现错误操作。
3.为了确保本次大赛的顺利进行，承办学校建立大赛期间相应的安全保障制度，同时由安全保卫、校园环境及卫生医疗保障组执行：
（1）比赛期间所有进入赛区车辆、人员需凭证入内，并主动向工作人员出示；
（2）在比赛开始前，选手要认真阅读场地内张贴的《入场须知》和应急疏散图；
（3）赛场由裁判员监督完成电气控制系统通电前的检查全过程，对出现的操作隐患及时提醒和制止。
（4）每台竞赛设备使用独立的电源，保障安全。使用选手在进行计算机编程时要及时存盘，避免突然停电造成数据丢失。
（5）比赛过程中，参赛选手应严格遵守安全操作规程，遇有紧急情况，应立即切断电源，在工作人员安排下有序退场。
（6）各类人员须严格遵守赛场规则，严禁携带比赛严令禁止的物品入内。
（7）安保人员发现不安全隐患及时通报赛场负责人员。
（8）比赛场馆严禁吸烟，安保人员不得将证件转借他人。
（9）如果出现安全问题，在安保人员指挥下，迅速按紧急疏散路线撤离现场。
4.赛项执委会会同承办院校在赛场环境中存在人员密集、车流人流交错的区域，除了设置齐全的指示标志、增加引导人员外，并开辟备用通道。
5.大赛期间，赛项承办院校在赛场管理的关键岗位，增加力量，并建立安全管理日志。
6.在参赛选手进入赛位，赛项裁判工作人员进入工作场所时，赛项承办院校须提醒、督促参赛选手、赛项裁判工作人员严禁携带通讯、照相摄录设备，禁止携带未经许可的记录用具，并安检设备，对进入赛场重要区域的人员进行安检。
（四）参赛队职责
1.各省、自治区、直辖市在组织参赛队时，须安排为参赛选手购买大赛期间的人身意外伤害保险。
2.各省、自治区、直辖市参赛队组成后，须制定相关管理制度，并对所有参赛选手、指导教师进行安全教育。
3.各参赛队伍须加强参与比赛人员的安全管理，并与赛场安全管理对接。
4.参赛队如有车辆，一律凭大赛组委会核发的证件出入校门，并按指定线路行驶，按指定地点停放。
（五）应急处理
比赛期间发生意外事故时，发现者应第一时间报告赛项执委会，同时采取措施，避免事态扩大。赛项执委会应立即启动预案予以解决并向赛区执委会报告。出现重大安全问题的赛项由赛区组委会决定是否停赛。事后，赛区执委会应向大赛执委会报告详细情况。并对响应的责任热给予处理。
十五、    经费概算
参照《2016年全国职业院校技能大赛赛项经费管理规定》的要求执行。
（一）规程制定、调研等前期费用 5万元；
（二）命题、评审费及专家差旅、食宿费用等10万元；
（三）奖品  15万元；
（四）设备运输  8万元；
（五）赛场布置  8万元；
（六）宣传和其他费用  7万元
        共计：53万元
十六、    比赛组织与管理
（一）赛项组织机构
参照《2016年全国职业院校技能大赛组织机构与职能分工》的要求执行。
1.赛项执行委员会
各赛项执行委员会全面负责本赛项的筹备与实施工作，接受大赛执委会领导，接受赛项所在分赛区执委会的协调和指导。赛项执委会的主要职责包括：领导、协调赛项专家组和赛项承办院校开展本赛项的组织工作，管理赛项经费，选荐赛项专家组人员及赛项裁判与仲裁人员等。
2.赛项专家组
赛项专家组在赛项执委会领导下开展工作，负责本赛项技术文件编撰、赛题设计、赛场设计、设备拟定、赛事咨询、技术评点、赛事成果转化、赛项裁判人员培训、赛项说明会组织等竞赛技术工作；同时负责赛项展示体验及宣传方案设计。赛项专家组人员须报大赛执委会办公室核准。
3.赛项承办学校
赛项承办学校在赛项执委会领导下，负责承办赛项的具体保障实施工作，主要职责包括：按照赛项技术方案要求落实比赛场地及基础设施，赛项宣传，组织开展各项赛期活动，参赛人员接待，比赛过程文件存档等工作，赛务人员及服务志愿者的组织，赛场秩序维持及安全保障，赛后搜集整理大赛影像文字资料上报大赛执委会等。赛项承办院校按照赛项预算执行各项支出。承办院校人员不得参与所承办赛项的赛题设计和裁判工作。
（二）赛项设备与设施管理
参照《2016年全国职业院校技能大赛赛项设备与设施管理办法》的要求执行。
1.赛场布置
（1）赛场应进行周密设计，绘制满足赛事管理、引导、指示要求的平面图。竞赛举行期间，应在竞赛场所、人员密集的地方张贴。
（2）赛场平面图上应标明安全出口、消防通道、警戒区、紧急事件发生时的疏散通道。
（3）赛场的标注、标识应进行统一设计，按规定使用大赛的标注、标识。赛场各功能区域、赛位等应具有清晰的标注与标识。
（4）赛位上应张贴各种设备的安全文明生产操作规程。
2.赛场管理
（1）在确保竞赛选手不受干扰的前提下，全面开放赛场，吸引社会各界人士到场观赛，提升技能大赛的关注度和影响力。赛场选手竞赛的核心区域，应指定参观路线、规定停留时间，安排专职人员进行管控与疏导。
（2）卫生间、医疗、维修服务、生活补给站和垃圾分类回收点都在警戒线范围内，以确保大赛在相对安全的环境内进行，杜绝发生选手与外界交换信息、串通作弊的情形。
（3）设置安全通道和警戒线，确保进入赛场的大赛参观、采访、视察的人员限定在安全区域内活动，以保证大赛安全有序进行。
3.赛项保障
（1）建立完善的赛项保障组织管理机制，做到各竞赛单元均有专人负责指挥和协调，确保大赛有序进行。
（2）设置生活保障组，为竞赛选手与裁判提供相应的生活服务和后勤保障。
（3）设置技术保障组，为竞赛设备、软件与竞赛设施提供保养、维修等服务，保障设备的完好性和正常使用，保障设备配件与操作工具的及时供应。
（4）设置医疗保障服务站，提供可能发生的急救、伤口处理等应急服务。
（5）设置外围安保组，对赛场核心区域的外围进行警戒与引导服务。
4.监督与执行
（1）各赛项应制定详细的赛场建设方案和建设进度表，并遵照执行。
（2）赛项专家组应根据已制定的建设方案和进度进行检查，确保在比赛前建设完成。
（3）在正式比赛前一周，赛项专家组会同承办方对赛场建设结果进行验收与查漏。
（4）赛场设备、设施、环境应进行赛前测试和试运行，确保赛项设备设施完好完善。
（5）赛场验收：正式比赛前，专家组会同承办方应根据建设方案对赛场进行验收。并在验收报告上签字确认。经验收后的赛场应禁止无关人员出入。
（三）安全措施
1.各赛项应根据赛项具体特点做好安全事故应急预案。
2.赛前应组织安保人员进行培训，提前进行安全教育和演习，使安保人员熟悉大赛的安全预案，明确各自的分工和职责。督促各部门检查消防设施，做好安全保卫工作，防止火灾、盗窃现象发生，要按时关窗锁门，确保大赛期间赛场财产的安全。
3.竞赛过程中如若发生安全事故，应立即报告现场总指挥，同时启动事故处理应急预案，各类人员按照分工各尽其责，立即展开现场抢救和组织人员疏散，最大限度地减少人员伤害及财产损失。
4.竞赛结束时，要及时进行安全检查，重点做好防火、防盗以及电气、设备的安全检查，防止因疏忽而发生事故。
（四）监督与仲裁
参照《2016年全国职业院校技能大赛赛项监督与仲裁管理办法》的要求执行。
1.赛项监督
（1）监督组由大赛执委会指派，在大赛执委会领导下，负责对网络信息安全管理竞赛筹备与组织工作实施全程现场监督。监督组实行组长负责制。
（2）监督组的监督内容包括赛项竞赛场地和设施的部署、选手抽签、裁判培训、竞赛组织、成绩评判及汇总、成绩发布、申诉仲裁、成绩复核等。
（3）监督组对竞赛过程中明显违规现象，应及时向竞赛组织方提出改正建议，同时采取必要技术手段，留取监督的过程资料。赛事结束后，向全国大赛执委会提报监督工作报告。
（4）监督组不参与具体的赛事组织活动。
2.申诉与仲裁
（1）参照《2016年全国职业院校技能大赛赛项监督与仲裁管理办法》仲裁人员的条件和组成程序，成立网络信息安全管理赛项仲裁工作组。仲裁工作组在赛项执委会领导下开展工作，并对赛项执委会负责。
（2）仲裁人员的职责
① 熟悉赛项的竞赛规程和规则。
② 掌握本赛项的竞赛进展情况。
③ 受理各参赛队的书面申诉。
④ 对受理的申诉进行深入调查，做出客观、公正的集体仲裁。
（3）申诉与仲裁的程序
① 各参赛队对不符合赛项规程规定的仪器、设备、工装、材料、物件、计算机软硬件、竞赛使用工具、用品；竞赛执裁、赛场管理、竞赛成绩，以及工作人员的不规范行为等，可向赛项仲裁工作组提出申诉。
② 申诉主体为参赛队领队。
③ 申诉启动时，参赛队以该队领队亲笔签字同意的书面报告的形式递交赛项仲裁工作组。报告应对申诉事件的现象、发生时间、涉及人员、申诉依据等进行充分、实事求是的叙述。非书面申诉不予受理。
④ 提出申诉应在赛项比赛结束后2小时内提出。超过2小时不予受理。
⑤ 赛项仲裁工作组在接到申诉报告后的2小时内组织复议，并及时将复议结果以书面形式告知申诉方。申诉方对复议结果仍有异议，可由省（市）领队向赛区仲裁委员会提出申诉。赛区仲裁委员会的仲裁结果为最终结果。
⑥ 申诉方不得以任何理由拒绝接收仲裁结果；不得以任何理由采取过激行为扰乱赛场秩序；仲裁结果由申诉人签收，不能代收；如在约定时间和地点申诉人离开，视为自行放弃申诉。
⑦ 申诉方可随时提出放弃申诉。
十七、    教学资源转化建设方案
参照《2016年全国职业院校技能大赛赛项资源转化工作办法》的有关要求，制定赛项赛后教学资源转化方案：
“以赛促教、以赛促改、以赛促学”是全国职业院校技能大赛的重要目的。将竞赛内容成功转化为可教学化的资源无疑是实现这一目的的重要保障。为此，拟制定如下教学资源转化方案。
（一）网络与信息安全专业教学资源包
中等职业网络与信息安全专业教学资源包系统地梳理了网络与信息安全专业的培养目标、岗位需求、课程体系、核心知识点及竞赛考核内容与评分要点，并结合网络信息安全发展趋势对未来的竞赛内容设置进行预测。
（二）网络信息安全赛项案例集
将各省赛及国赛的竞赛内容进行分析汇总，形成行业应用案例，从而使赛题中的行业应用成为日常教学内容的载体。
（三）网络与信息安全专业系列教材
依托大赛，开发一套融入大赛思想的，体现“新设备、新技术、新标准”的实用型系列教材。在2014年在广东省赛和市选拔赛的基础上，已组织中职一线教师、企业专家和大学教授编写了一套信息安全系列教材《网络信息安全教程》和《上网行为管理与网站安全防范》，并已在2014年8由广东海燕出版社正式出版，2015年8月经过修订第二版发行。
十八、    筹备工作进度时间表

工作项目	负责人员	参与人员	工作任务	完成时间
赛项申报	申报组长	申报专家组	设备方案	8月28日
赛项答辩	申报组长	答辩专家	答辩材料及完成答辩	按大赛办公室通知时间
规程编制	赛项专家组长	赛项专家组成员	提交赛项规程	大赛办公室规定提交日期前
赛项启动	中国职教学会中职委员会	承办校、赛项专家组长、裁判长、合作企业	组成执委会、专家组，筹备工作内容及责任人、时间节点	赛项公布后7个工作日内
说明会	赛项专家组长	各代表队指导老师	赛项规程解读	不少于赛前45天
赛题准备	赛项专家组长	命题专家	赛题及评分表	选手报到前
赛场验收	执委会主任	执委会有关人员、赛项专家、各项筹备工作责任人	各项工作筹备情况及整改要求	赛前7个工作日
裁判组	裁判长	裁判	确定裁判、裁判报到、裁判培训	赛前1天
选手报到	执委会	承办学校	选手接待、报到、住宿安排	赛前2天开始
赛前会及开赛式	执委会	承办学校、参赛队和选手	比赛有关问题说明、熟悉赛场、开赛式	暂定2017年5月
比赛	执委会	选手、裁判及相关工作人员	比赛与评分	暂定2017年5月
成绩发布与颁奖	执委会	选手、相关工作人员	宣布比赛成绩、颁奖	暂定2017年5月

十九、    裁判人员建议
参照《2016年全国职业院校技能大赛专家和裁判工作管理办法》的要求执行，详细列出赛项所需现场裁判和评分裁判的具体要求。
参照《2016年全国职业院校技能大赛专家和裁判工作管理办法》的要求执行。
1.种类与数量:

序号	专业技术方向	知识能力要求	专业技术职称 （职业资格等级）	人数
1现场裁判	计算机网络	具备丰富的大型计算机网络系统方案设计、实施、管理及维护的知识及能力	中级职称或技师以上	10
2评分裁判	计算机网络		中级职称或技师以上	10
裁判总人数	20

 
 
 
 
 
 
2.从全国遴选裁判，每省不超过2名，应包含企业、行业专家，中、高职和本科院校老师：

院校类别	专业	职称	人数
高等院校	网络工程教师	副教授及以上	3名
高职院校	计算机网络教师	副教授或技师及以上	3名
技能鉴定中心	信息技术鉴定	高级考评员	4名
相关企业	设计、实施及维护工程师	工程师或技师	3名
研究院所	计算机技术研究	高级研究员	3名
中职学校	计算机教师	高级教师（讲师）	4名

二十、        赛题公开承诺
承诺保证于开赛2个月前在大赛网络信息发布平台上（www.chinaskills-jsw.org)公开全部赛题。
二十一、     其他
无
 
 
 
 
附件一：
网络信息安全管理赛项样题
理论题部份（20%）
比赛时间：15分钟
说明：理论题由计算机随机抽题，选手在计算机上独立完成并提交，考试时间由计算机计时（统一开始，时间一到自动结束），成绩也是计算机自动统计。
（一）单选题（共20题，每题2分）
1.在NT中，允许你使用只有个别用户和经过认证的恢复代理能够解密的密钥对保存在磁盘上的文件进行加密的系统是（  ）
A、EDS
B、EFS
C、ESS
D、SLL
2. _____，不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动，不得危害计算机信息系统的安全。(   )
A、除计算机专业技术人员外的任何人
B、除从事国家安全工作人员外的任何人
C、除未满18周岁未成年人外的任何人
D、任何组织或者个人
3.下面____验证方法是把用户帐号密码以明文形式传输的（ ）
A、基本验证
B、Windows域服务器的简要验证
C、集成Windows验证
D、以上都不是
4.当选择无限制文件大小的方式作为日志记录的方式时，日志中不会包含（  ）
A、日期
B、用户
C、类型
D、事件
5.包过滤防火墙利用_____对数据包实施有选择的通过，实现控制流出和流入网络的数据（ ）
A、地址
B、端口
C、协议类型
D、源地址、目标地址、端口号等
6.在_____情况下，防火墙会不起作用（ ）
A、内部网用户通过防火墙访问Internet
B、内部网用户通过Modem拨号访问Internet
C、外部用户向内部用户发E-mail
D、外部用户通过防火墙访问Web 服务器
7.防火墙从防范方式和技术实现的角度可分为有_____（ ）
A、包过滤型防火墙和应用网关防火墙
B、包过滤防火墙和基于状态防火墙
C、代理服务型防火墙和状态监视型防火墙
D、包过滤防火墙、代理服务型防火墙和状态监视型防火墙
8.如何设置防火墙规则来防止极小数据段式攻击（Tiny Fragment Attacks）（ ）
A、丢弃协议类型为TCP，IP Fragment Offset等于1的数据包
B、丢弃协议类型为UDP，IP Fragment Offset等于1的数据包
C、丢弃协议类型为TCP，IP Fragment Offset等于0的数据包
D、丢弃协议类型为UDP，IP Fragment Offset等于0的数据包
9.防火墙采用_____方法对UDP数据进行包过滤，防火墙记住流出的UDP数据包,当一个UDP数据包要进入防火墙时，防火墙会判断它是否和流出的UDP数据包相匹配，如果匹配则允许进入，否则阻塞该数据包（ ）
A、动态数据包过滤
B、静态数据包过滤
C、状态数据包过滤
D、规则数据包过滤
10.丢弃所有来自路由器外部端口的使用内部源地址的数据包的方法是用来挫败（ ）
A、源路由攻击（Source Routing Attacks）
B、源IP地址欺骗式攻击（Source IP Address Spoofing Attacks）
C、Ping of Death
11.能防范WEB攻击的技术是（ ）
A、防火墙
B、IDS
C、隐患扫描
D、防病毒
12.入侵检测技术起源于___技术（ ）
A、网络管理
B、安全审计
C、防火墙
D、数据库
13.IDS系统中____部件是存放各种中间和最终数据的地方（ ）
A、事件产生器
B、事件分析器
C、响应单元
D、事件数据库
14.下列____说法是错误的（ ）
A、将文件改为只读方式就不会感染病毒
B、病毒不会感染写保护的磁盘
C、磁盘文件损坏并不都是病毒所为
D、反病毒软件也不能随时随地防护所有病毒
15.关于包过滤防火墙说法错误的是（   ）。
A、包过滤防火墙通常根据数据包源地址、目的地址、端口号和协议类型等标志设置访问控制列表实施对数据包的过滤
B、包过滤防火墙可以有效防止利用应用程序漏洞进行的攻击
C、包过滤防火墙可以有效防止利用应用程序漏洞进行的攻击
D、由于要求逻辑的一致性、封堵端口的有效性和规则集的正确性，给过滤规则的制定和配置带来了复杂性，一般操作人员难以胜任管理，容易出现错误
16.关于应用代理网关防火墙说法正确的是（   ）。
A、基于软件的应用代理网关工作在OSI网络参考模型的网络层上，它采用应用协议代理服务的工作方式实施安全策略
B、一种服务需要一种代理模块，扩展服务较难
C、和包过滤防火墙相比，应用代理网关防火墙的处理速度更快
D、不支持对用户身份进行高级认证机制。一般只能依据包头信息，因此很容易受到“地址欺骗型”攻击
17.网站运行安全保障措施是（  ）
A、网站服务器和其他计算机之间设置防火墙，做好安全策略，拒绝外来的恶意程序攻击，保障网站正常运行。
B、打开网站系统中的服务功能及相关端口。
C、交互式栏目不要有IP地址等识别确认功能。
D、不要留存访问日志。
18.某客户购买了一台安全网关（审计）设备，用来做上网行为的控制和审计，另外客户希望安全网关（审计）设备能替代内网的DHCP服务器，我们推荐安全网关（审计）采用什么部署模式？（ ）
A、路由模式
B、网桥模式
C、旁路模式
D、路由和网桥模式均可
19.客户内网安全网关（审计）的IP地址是172.16.100.252，下列关于访问安全网关（审计）的方式，说法错误的是：（ ）
A、可以用https://172.16.100.252 登录安全网关（审计）控制台
B、可以用http://172.16.100.252:85登录安全网关（审计）的内置数据中心
C、可以用http://172.16.100.252 登录安全网关（审计）的认证页面
D、可以用http://172.16.100.252:810 登录安全网关（审计）的外置数据中心
20.安全网关（审计）路由模式部署，下列哪些配置是正确的（ ）
A、选择“路由模式”，配置LAN口和WAN1口的IP地址，LAN和WAN1口IP可以任意配置，也可以设置在同一个网段
B、选择“路由模式”，LAN口和DMZ口的IP可以在同一网段，LAN口和WAN1口不能在同一网段
C、选择“路由模式”，LAN，DMZ和WAN1口IP均可以选择自动获得
D、选择“路由模式”，必须为LAN口和WAN1口分别配置两个不同网段的IP地址
（二）判断题（共20题，每题2分）
1.防火墙是设置在内部网络与外部网络（如互联网）之间，实施访问控制策略的一个或一组系统。（ ）
2.组成自适应代理网关防火墙的基本要素有两个：自适应代理服务器（Adaptive Proxy Server）与动态包过滤器（Dynamic Packet Filter）。（ ）
3.软件防火墙就是指个人防火墙。（ ）
4.网络地址端口转换（NAPT）把内部地址映射到外部网络的一个IP地址的不同端口上。（ ）
5.防火墙提供的透明工作模式，是指防火墙工作在数据链路层，类似于一个网桥。因此，不需要用户对网络的拓扑做出任何调整就可以把防火墙接入网络。（ ）
6.针对入侵者采取措施是主动响应中最好的响应措施。（ ）
7.在早期大多数的入侵检测系统中，入侵响应都属于被动响应。（ ）
8.性能“瓶颈”是当前入侵防御系统面临的一个挑战。（ ）
9.漏报率，是指系统把把正常行为作为入侵攻击而进行报警的概率。（ ）
10.与入侵检测系统不同，入侵防御系统采用在线（inline）方式运行。（ ）
11.蜜罐技术是一种被动响应措施。（ ）
12.企业应考虑综合使用基于网络的入侵检测系统和基于主机的入侵检测系统来保护企业网络。在进行分阶段部署时，首先部署基于网络的入侵检测系统，因为它通常最容易安装和维护，接下来部署基于主机的入侵检测系统来保护至关重要的服务器。（ ）
13.入侵检测系统可以弥补企业安全防御系统中的安全缺陷和漏洞。（ ）
14.使用误用检测技术的入侵检测系统很难检测到新的攻击行为和原有攻击行为的变种。（ ）
15.网桥模式部署，必须将安全网关（审计）设备的LAN口连接内网三层交换机，WAN口连接防火墙。（ ）
16.按照国家有关规定，网站将保存3月内系统运行日志和用户使用日志记录。（ ）
17.入侵检测技术是用于检测任何损害或企图损害系统的机密性、完整性或可用性等行为的一种网络安全技术。（ ）
18.主动响应和被动响应是相互对立的，不能同时采用。（ ）
19.异常入侵检测的前提条件是入侵性活动集作为异常活动集的子集，而理想状况是异常活动集与入侵性活动集相等。（ ）
20.QQ是与朋友联机聊天的好工具，不必担心病毒。（ ）
（三）多选题（共10题，每题2分）
1.安全帐户管理(SAM)数据库可以由以下____用户复制
A、Administrator帐户 
B、Administrator组中的所有成员 
C、备份操作员 
D、服务器操作员
2.服务器操作员关于帐户的管理，下列做法正确的有___
A、审计你系统上的帐号，建立一个使用者列表 
B、制定管理制度，规范增加帐号的操作，及时移走不再使用的帐号 
C、经常检查确认有没有增加新的帐号，不使用的帐号是否已被删除 
D、对所有的帐号运行口令破解工具，以寻找弱口令或没有口令的帐号
3.通过日志分析，我们可以得到______
A、系统崩溃的原因 
B、黑客攻击的踪迹 
C、系统的运转状况 
D、系统服务的运转是否正常
4.防火墙的目的有以下_______方面
A、限制他人进入内部网络 
B、过滤掉不安全的服务和非法用户 
C、防止入侵者接近你的防御设施 
D、限定人们访问特殊站点 
E、为监视局域网安全提供方便
5.入侵检测系统的常用的响应方法包括____
A、发警报 
B、写日志文件 
C、联动防火墙 
D、切断电源
6.下列那些可以作为IDS信息收集的对象________
A、系统和网络日志文件 
B、目录和文件中的不期望的改变 
C、程序执行中的不期望行为 
D、物理形式的入侵信息
7.某公司需求如下：公司普通员工上网需要限制下载以及监控发帖和邮件内容，所以普通员工修改电脑IP后不允许上网。公司领导可以在公司任何电脑上网，并且领导上网的时候不受到任何监控。以下关于通过安全网关（审计）设备实现客户需求的说法，错误的是________
A、无法实现该需求
B、需要启用准入功能才能实现该客户需求
C、普通员工采用绑定IP/MAC的认证方式，领导使用防监控KEY的认证方式
D、普通员工采用用户名密码和MAC地址绑定的认证方式，领导使用防监控KEY的认证方式
8.行为监测法的特点包括：_______
A、可发现未知病毒
B、误报警
C、不能识别病毒名称
D、能对付隐蔽型病毒
9.受染文件存在服务器有以下________原因
A、受染文件直接由工作站拷贝至服务器
B、由服务器自己的可移动媒介复制到硬盘上
C、一个带有受染文件的备份被恢复至系统
D、病毒由服务器的通讯端口传入系统
10.在网络中都需要在____平台上部署防病毒软件
A、客户端
B、邮件服务器
C、其他服务器
D、网关
实操题部份（80%）
任务一：组建一个内部办公网络
一、   任务描述
1、      浪都信息服务集团需要建立一个更安全的办公网络环境，现有网络设备为：防火墙Firewall、路由器Route、三层交换机Switch、无线接入点AP、安全网关NSGW各一台。要求按照答卷的拓扑图链接办公网络。企业办公环境接入互联网使用专线，专线的固定IP为59.199.250.X/24（X为工位号）
2、      防火墙作为公司网络中的第一道防线，防止公司wangzhan服务器遭受来自互联网的攻击。将wangzhan服务器放置在内网DMZ区中，并将wangzhan应用服务器对应的IP和WEB服务的80端口映射到互联网的线路。
3、      公司内部网络分为职员办公和访问使用。职员办公网络使用以太网连接，访问网络使用无线WIFI提供。
4、      公司的用户类型分别为：办公室人员、营销人员、部门经理三大类型用户，要求使用子网将三类用户所使用的IP进行隔离。将192.168.10.0/24划分为4个子网，每个子网至少包含50个信息点。部门经理使用一个子网，营销人员使用第三个子网，办公室人员使用第四个子网。
5、      交换机作为职员办公网络的接入设备，请为连入办公区域的计算机自动分配地址。
6、      为了方便管理和提高工作效率，公司规定办公室人员与对外营销人员之间的计算机不能相互访问，但部门经理与其他人员之间的计算机可以相互访问。
7、      访问网络的SSID设定为langduX,访问分配使用的IP在192.168.200.1-192.168.200.100范围内，访客的终端接入网络后自动获取地址。
8、      公司的所有电脑都必须通过网络地址转换的方式才能访问互联网。访客不能访问互联网。
9、      网络设备之间连通所用的地址请自行设计。
 
二、   任务要求说明
1、      在服务器2的桌面建立文件夹“任务一X”，并把任务一所要求的截屏以JPG图片格式保存在文件夹“任务一X”中。（否则影响评改）
2、      安装你的设计与配置的实际情况，填写完成答卷的表格（请书写清楚否则影响你评分的结果），并且在完成任务三后，将安全网关以及表格的端口使用情况也在答卷的拓扑图中完整地标注在对应的位置。
3、      将设置防火墙区域的操作过程截图保存为Zone-序号。（序号表示你设置界面操作过程的顺序，如第一步操作界面截屏命名为Zone-1，第二部操作截屏命名为Zone-2，以此类推。以后出现的“序号”均表示相同意思。）
4、      将设置网络地址转换的操作过程截屏保存为NAT-序号。
5、      将设置端口映射的操作过程截屏保存为Port-序号。
6、      将服务器1通过无线接入到访问网络，将CMD控制台运行ipconfig/all的完整结果截屏保存为winfiNet;将CMD控制台运行tracert59.199.250.250的完整结果截屏保存为tracetr1.
7、      断开服务器1无线网络，并接入到部门经理网络，将CMD控制台运行Ipconfig/all的完整结果截图保存为JIngliNet；将CMD控制台运行tracert59.199.250.250的完整结果截屏保存为tracet2.
8、      将服务器2接入到办公室人员网络，服务器1接入到部门经理网络，服务器3接入到对外营销人员网络，在服务器2的CMD控制台运行ipconfig/all,并执行 ping命令访问服务器1和服务器3，将三条命令的完整结果截屏保存一个文件BgsNet中；将服务器2的CMD控制台运行tracert59.199.250.250的完整结果截屏保存为tracert3
9、      将服务器2接入到办公室人员网络，服务器1接入到部门经理网络，服务器3加入到对外营销网络，在服务器3的CMD控制台运行ipconfig/all，并执行ping命令访问服务器1和服务器2，将三条命令的完整结果截屏保存在一个文件XiaoshouNET中；将CMD控制台运行tracert59.199.250.250的完整结果截屏保存为tracert4.
10、网络测试完成后，三台服务器可以自由选择接入网络。
 
任务二：系统安装配置
一、   任务描述
1、      公司需要搭建一系列服务器，保证这些服务器的安全性。请安装以下表格要求安装虚拟机。

宿主机	虚拟机（系统）名称	操作系统
服务器1	DC	WindowsServer2008R2
服务器1	CAWeb	windowsServrt2008R2
服务器3	Window	Window7
服务器2	Wangzhen	windowsServer2003
服务器4	Linux	centOS

2、      DC是公司的域控制服务器，域名为ldjt.com.
3、      公司内部组织结构如下表，根据此组织结构建立域用户的管理结构。以部门拼音首字全拼为组名。所有操作系统账号按照密码规则设置相同的一个密码，并填写在答案中。
 

部门	员工
办公室	Bangongshi1
	Bangongshi2
	Bangongshi3
销售部	Xiaoshoubu1
	Xiaoshoubu2
	Xiaoshoubu3
经理部	Jinglibo1
	Jinglibo2

 
4、      Wangzhen作为公司宣传网站的Web服务器，安装Apache，php和mysql。启动wangzhan的系统防火墙保护网络服务，开发Web服务对于的协议、端口，保证网络用户能正常访问Web网站。
5、      CAWeb是证书服务器和web服务器。建立CA证书服务和安全加密的WEB服务。使用https://sec.ldjt.com可以访问加密后的页面index.html。页面内容显示“安全加密页面”。
6、      Window是员工使用的计算机，按照答卷要求设置密码。为其添加应用程序控制策略。禁止本机操作的用户运行winRar程序。
7、      Linux是备用服务器。加强登录的用户管理，登录用户在10分钟内都没有动作，那么系统会自动注销这个用户。创建/etc/secfile文件，该文件只有root用户才能访问和修改，其余用户不能访问和修改文件。
8、      在LinuxX添加用户Suser,设置Suser用户在/分区的空间配额为500M。该用户只能在周一到周日的7:00-18：00登录。
9、      在LinuxX添加用户Ruser，设置Ruser用户隶属ROOT组。
 
二、   任务要求
1、      服务器2桌面建立目录“任务二X”，个虚拟机系统要求的截屏和结果文件统一放在该目录中。（否则影响评分）
2、      将每台安装系统完成后的VirtualBox虚拟机运行状态界面分别截屏，并以虚拟机名称命名截屏文件。
3、      将DC升级域完成后的“计算机、工作组和域”资料信息截屏保存为Dimain
4、      将域中三类用户以及所包含的用户界面分别截屏保存为GU-Bangongshi，GU-jinglibo，GU-xiaoshoubu。
5、      将wangzhan防火墙设置过程截屏保存为FW-序号。
6、      请将密码填写在答卷中。将windows应用程序控制设置过程截屏保存为lock-序号
7、      将申请证书颁发机构管理界面截屏保存为CAManagr，将证书申请文件名CArequest，将颁发的证书命名为webssl，访问https页面效果截屏保存为https。
8、      将修改Linux密码规则的配置过程截屏保存为PWD-序号，并将密码填写到答卷中。
9、      将修改Linux登录活动时间设置过程截屏保存为Activr-序号
10、将设置/etc/secfile文件访问权限的过程截屏保存为Access-序号
11、将任务描述6中Linux设置用户有关过程截屏保存为L1-序号
12、将任务描述7中设置Linux用户有关限制的过程截屏保存为L2-序号
13、将任务描述8中设置Linux用户与组关系的过程截屏保存为L3-序号
 
任务三：安全网关设置
一、   任务描述
1、      安全网关以网桥模式接入网络，以记录公司网络用户的上网行为。
2、      在安全网关中按照浪都公司三类用户建立用户组，地址范围根据实际子网地址访问，以IP作为用户名记录。
3、      浪都公司租用的专线带宽是下行100Mb/s,上行20Mb/s。为保证公司的网络畅通，考虑到销售组用户流量使用较多，优先保证销售组用户使用网络，保证上下行宽带不少于50%。
4、      公司规定办公室和营销部员工可以访问互联网的时间段为上班时间（周一到周五8:00-17:00）。每个员工每天累计正常访问外网的时间不得超过110分钟。
5、      任何时候不允许内网用户在网页中下载音乐和影视文件。
6、      公司不允许内网用户访问标题和内容含有“客户资料”或“台独”词组的网页。
7、      为保护公司的重要资料不外泄，公司需要对内网用户发送的邮件进行延时审计，如果外发的邮件内容包含“企业名称”和“企业电话”字样，延时等待审计的时间50分钟。如果超时未审计则不发送。
8、      为规范员工上网行为，公司需要对内网用户向外发送的内容进行审计，包括WebBBS发帖的内容，访问过的网站，邮件收发，IM聊天内容等。
9、      59.199.250.250是一个BBS论坛地址，论坛登录账户为userX,密码为bbsuser2016。59.199.250.251是一个支持POP/SMTP的邮箱服务地址，登录账号为userX@xxaq.net，密码user2016。所有规则设置完成后，将服务器3接入办公室人员组网络，在宿主机进行下列操作
（1）  访问登录BBS，在“网络信息安全讨论”栏目中发一张贴，标题“X组选手测试BBS功能”，内容为“X组选手完成内容审计功能”。
（2）  打开浏览BBS中“访问测试”栏目内的所有帖子。
（3）  安装配置Foxmail，通过foxmail软件，以小组账号向master@xxaq.net发送一封邮件，主题为“最新资料”，内容为“2016年企业名称与企业电话”。
（4）  完成上文要求测试操作后，通过安全网关的审计系统，导出从比赛开始全部审计日志总体情况。
 
二、   任务要求说明
1、      在服务器2桌面建立目录“任务三X”，任务三所有截屏或文件都保存在此目录中（否则影响评分）。
2、      将建立用户组的设置过程截屏保存为Group-序号
3、      将线路命名为“总线路”，通道命名为“销售线路保护”，带宽限制设置过程截屏保存为Band-序号
4、      将限制上网时间策略命名为“策略a”，将设置过程截屏保存为Time-序号
5、      将网站限制策略命名为“策略b”，将设置过程截屏保存为Wz-序号
6、      将敏感字过渡策略命名为“策略c”，将设置过程截屏保存为word-序号
7、      将邮件审计的策略命名为“策略d”，将设置过程截屏保存为Check-序号
8、      将外发审计策略命名为“策略e”，将设置过程截屏保存为Post-序号
9、      设计日志总体信息导出的文件命名为log。
 
任务四：网站安全修复
一、   任务描述
EastUnion.rar文件是使用PHP+MYSQL开发的一个具有若干安全漏洞的不完善的内容发布系统，请按照任务要求尽量找出相关漏洞并有效修复，修复完成后，在wangzhan中搭建网站环境并发布修复后的网站。按照公司要求对公开发布的网站必须避免出现如下一些问题：
1、      必须安装Zap扫描软件，并通过软件检查网站系统的漏洞情况。
2、      网站若干处功能存在注入漏洞，攻击者输入特殊的字符串可以干扰或破坏网站原有的功能，请找出所有的注入漏洞并修复。
3、      网站若干处模块可能存在XSS脚本攻击漏洞，操作中可以被添加恶意脚本而导致浏览该的用户遭受攻击，请找出所有的脚本攻击漏洞点修复。
4、      信息系统在在用户密码存放上存在敏感信息泄露的威胁，用户在创建或修改密码时，可以使用过于简单的密码。请修复该漏洞的威胁，将原有的密码按照新规则重新设置，并填写在答卷。密码设置必须符合以下原则：
a) 密码长度至少为八个字符。
b) 密码必须为字母和数字的组合
5、      数据库中对密码字段的保存不能使用明文，要求使用MD5函数处理后在保存到数据库中
6、      加强数据库服务安全管理，为信息系统设置移动独立的访问数据库账号和密码，不能使用ROOT。并加强数据库账号的密码强度。
二、   任务要求
1、      在服务器2桌面建立文件夹“任务四X”，任务四的所有截屏或文件都保存在此文件夹中（否则影响评分）
2、      不得改变原有系统的功能、站点结构和网页的命名，完成后必须在虚拟机wangzhan中发布。
3、      修复后发布版的网站完整打包压缩，放入“任务四X”文件夹。
4、      若无法通过heep://59.199.250.X访问你修复后的网站，漏洞修复效果部分的得分为0分。
5、      修复前漏洞扫描结果截屏保存为scan_before,结果报告以网页格式导出名为report，修复后漏洞扫描结果截屏保存为scan_after。
6、      查询出用户表中所有字段的结果，截屏保存为users
7、      在源代码中，每一处你开始修改代码的地方前都必须添加一个注释快“修改代码开始”标识，在结束修改代码的地方之后添加一个注释快“修改代码结束”标识。如无标识修改的源代码将不予评判代码部分的分数。完成后把修改的代码段截屏，截屏文件以“code-文件名”命名（其中文件名是修改的代码所在文件对应的文件名）。例如：修改的源代码在index.php文件中，则添加标识后（如下图），把该平面截图，然后命名为“code-index”。

//修改代码开始 Sa=1； //修改代码结束

8、      按照密码规则修改原有账号的密码，必须将相关的账号与密码填写到答卷中，否则影响答卷评分