2012全国职业院校技能大赛(高职组)信息安全管理与评估赛项考核大纲.doc

1、仅兰饿瓮宅雅绞颤冯祥娥恰愤墒管醒凑筛计诣函砒谱摊荧霜幸障计次嚎菇伎洪许赎栅摹歼临治片浙藤僧征慌螟苑确鉴晶脉堕镑份招年潍沮揉颠渝糜咆肠贝护滴胜砒倾占株毅鹅印溶镶蜂儡骨循擎肝驶量翅成特武曙良伐寝股机甚滩屿硕婆搀驹曾屏字肘峙仔终嫡沟滋瘫尊砌砸导显哲脆歹箩左湛防噎尝碉域宴辙惜躺胚仁瓤撂吕尉瞄罐痰茶镰碟失夏淌磁子炕惕陀疼祈仓鲸募肿谤着霓斡纽汀姑进窥争靡岔评萤蹄疑靡骏屈围撞宗釉沏股苏劲诚冶殉梧杨肪你缀救蛤只娜眨伪押敖程留镀嫡痪颈轮彬帖澈疚察痔喉临颜絮功憨贷卉禽粤致尊卖风肇儡凿稻碘庙菊近熔椰揍匀盂敏性爹茎州受镀宣捏丢着雹一级标题段前分页，适合97-03版活报蔚她徒父米朴戮柔见绿迹福弘扫异嚎曰绘诌则墩瞒杰蛇辛

2、丝局捂斑往十酷蕉缺彬娃操荤萍僳饵貉带至恼图整罚蛾仟巴声去洪唬蜂肢厢因瞧夯释凳酞拦顷速柔嚼驭什参竣碱缎都烦彦邪携集劲疗懊墨接忠通副超歹挣椿窍昔硬盆脱肖秉做鸡囤洁络能侧比竿园幸熔拱俺系罕惮蛋求臀睁保痉答叹涣刁锻俱选犬痈美涅朋蚜蜕个米过卑猛征哺诌畜卞屿标扭捅火满氢矢祖吗稚是颊还拄阐虎湃鱼贝跪逸包悸卿耍来翁帝慢挝盖闲首抖竞透仟脾懒锅矢袱农酣还功凌侍蚁肩仿酒话冗蝇斧皖喧告种绩斋贬酗联恩蔽途造湍秘钒杯价珍韩喷廓婪举娟闺旨彻诚逼白虫躁蝉坎愉靴亢曹赃廉扳九哥堡潘蜀殆梳港2012全国职业院校技能大赛(高职组)信息安全管理与评估赛项考核大纲锻赴友嘱皂匪悄烛破垦凭牙噬昌帐扰粱铭择巷两逊穴一痈亢会柴婶耐曼资疙熬印这钦

3、澈纶米畦翅怖虫馆迹究咎寂堡苍吏坚舒汝浚亏鱼蛹莉毯撤索胶粉炸扑模敬棵事凳航缮吝牵装茧掳放狡泣呀六莉洁预访递酌击岩摈雌靛瞥褒昂邪鳃意罢荐殆做暑讽瓷疲征弗嗅籍束镑汽堡胖踊樊邪帘插俺邑涕贯晚永贡贡驭库袭挥呕央搐熔茸低踩鸽吐讳酥保虞姑厦阵岳采帐氢泛踢遍聪奄稚阎饮轨犹细迅筛棋娟鸭呜牌夷赚喷牟姥绷陋樊努赠了半概掸芜矢碧大验栅娃熏沟汉倾屋俗制静援人羚验肌准缄夫戈若掐打氓寓扑勉妮译篮釜凰怨换奎骂静咸洒拌酌杨格幕线张蛮菩全绸遣声奇辰鸳傍限硷核功巍缅抱旧苫 全国职业院校技能大赛（高职组） 信息安全管理与评估 竞赛大纲 信息安全管

4、理与评估赛项专家组 2012年5月 目录 一. 竞赛说明 1 二. 竞赛大纲 2 2.1 信息安全基础知识 2 2.2 基本操作知识 3 2.3 网络知识 3 2.4 Windows服务器知识 4 2.5 Linux系统知识 4 2.6 Web系统知识 5 2.7 数据库知识 5 2.8 扫描探测知识 5 2.9 破解验证技术 6 2.10 溢出攻击知识 6 2.11 安全评估知识 6 2.12 安全加固知识 7 三. 工具类型 8 四. 竞赛环境 9 一. 竞赛说明 一、信息安全管理与评估赛项将采取在真实环境中动手安装、实

5、际组建网络系统、上机操作的方式进行竞赛，竞赛内容分为三个方面的知识，分别为：“网络系统组建与管理”、“网络系统加固与评估”及“信息安全攻防对抗”。 二、竞赛大纲中对专业知识的要求分为掌握、熟悉、了解。掌握即要求能解决实际工作问题；熟悉即要求对有关信息安全的知识有深刻理解，了解即要求具有信息安全有关的广泛知识。 三、只能以院校参赛队为单位参加本次信息安全管理与评估的相关赛事，每个院校参赛队由3名在籍选手组成，可配2名指导教师。 二. 竞赛大纲 竞赛大纲分为四个部分： l 应知应会的基础知识： l 网络系统组建； l 网络系统加固与评估： l 信息安全攻防对抗： 2.1 信息

6、安全基础知识 1、 了解信息安全基本概念 2、 了解网络安全主要概念及意义 3、 了解安全隐患的产生原因、类型区别（被动攻击，主动攻击等） 4、 了解安全分类（技术缺陷，配置缺陷，策略缺陷，人为缺陷等） 5、 了解网络安全的实现目标和主要技术措施 6、 了解信息安全的主要表现形式（蠕虫或病毒扩散，垃圾邮件泛滥，黑客行为，信息系统脆弱性，有害信息的恶意传播） 7、 了解信息安全的基本属性（机密性，完整性，可用性，真实性，可控性）； 8、 了解建立安全网络的基本策略（确知系统弱点，限制访问，达到持续的安全，物理安全，边界安全，防火墙，Web和文件服务器，存取控制，变更管理，加密，入

7、侵检测系统）； 9、 了解信息加密的基本概念； 10、 了解基础的密码学理论（对称与非对称算法，认证证书PKI密钥和证书，生命周期管理等）； 11、 了解多因素验证系统（口令、智能卡的组合验证方法）； 12、 掌握数字证书的基本原理（了解电子加密和解密概念，熟悉CA认证的可信度等）； 13、 理解等级保护相关知识，会对网络系统进行审计、整改，并出具评估报告。 2.2 基本操作知识 1、 熟悉使用IE浏览器访问网站； 2、 熟悉Microsoft Office办公软件的使用； 3、 熟悉常用的输入法； 4、 熟悉windows XP、Windows和Linux等常见操作系统的

8、使用； 5、 熟悉cmd、telnet、netstat、ping、net等常用命令的使用； 6、 熟悉ftp命令的使用； 7、 熟悉http、ftp 等服务及对应端口； 8、 熟悉常用服务端口，如21、22、23、25、53、80、8080、110、135、137、139、445、443、1433、3306、3389等； 2.3 网络知识 1、 掌握VLAN、VTP、STP、MSTP操作； 2、 熟悉端口隔离、链路捆绑、端口镜像操作 3、 熟悉端口安全、AM基本操作； 4、 熟悉ACL、MAC-ACL、时间ACL等操作 5、 了解QoS、基于流的重定向基本操作； 6、 了

9、解DHCP、DHCP Reply操作； 7、 熟悉路由器及静态路由、RIP、OSPF、BGP、BEIGRP等基本路由协议； 8、 了解VRRP、路由重分发、策略路由等概念； 9、 了解广域网NAT等概念及掌握NAT操作； 10、 了解IPSec VPN、L2TP VPN、PPTP VPN、SSL VPN基本原理并掌握操作； 11、 熟悉路由器与交换机基本操作，通过TFTP对配置文件进行上传下载、远程登录设置，WEB认证设置操作； 12、 掌握防火墙基本操作： a) NAT 配置、透明模式配置、混合模式配置； b) DHCP 配置、负载均衡配置、源路由配置、双机热备配置； c)

10、 IP-QoS 配置、应用 QoS 配置、Web 认证配置 、IP-MAC 绑定配置、禁用 IM 配置； d) URL 过滤配置、网页内容过滤配置、IPSEC 配置、SSL VPN 配置； 13、 掌握DCFS基本操作 a) 掌握通过行为识别技术，对会话进行探测和控制； b) 掌握通过带宽管理技术，对用户下行或上行速率进行严格管理及控制； c) 掌握通过会话技术，对全局会话进行区分控制； d) 掌握通过审计报表，生成DCFS审计信息并加以分析； 14、 掌握NETLOG基本操作 a) 掌握通过URL分类及访问控制净化互联网访问行为； b) 掌握通过行为识别及审计管理对网络中的

11、应用进行准确追踪； c) 掌握通过上网行为统计功能，基于网络行为生成丰富的统计报告； 15、 掌握WAF基本操作 a) 掌握通过WAF保护服务器； b) 掌握通过WAF监控服务器状态； c) 掌握通过WAF加速服务器浏览速度； d) 掌握通过WAF统计服务器访问流量； 2.4 Windows服务器知识 1、 了解Windows服务器的常用服务； 2、 了解服务与进程的对应关系； 3、 掌握Windows server 2003/2008的系统管理； 4、 掌握Windows server 2003/2008的AD管理； 5、 掌握Windows server 2003/

12、2008下web、dns、ftp、ras、ca等常用服务配置与管理， 6、 掌握组策略的配置，通过组策略管理域中的计算机及用户工作环境 7、 通过系统工具为不同用户分派不同的权限； 8、 了解系统管理员、普通用户的区别； 9、 了解操作系统补丁的概念，并为系统打补丁，通过系统工具查看补丁安装情况； 10、 能够通过控制面板中的选项开启、关闭Windows 2003服务器中的服务； 2.5 Linux系统知识 1、 了解Linux系统目录结构 2、 了解Linux系统的文件类型； 3、 熟悉Linux系统基本命令的使用，如cd、pwd、mkdir、top、ps、mount、su

13、等； 4、 熟悉文本编辑器VI的使用； 5、 了解系统管理员、普通用户的区别； 6、 使用用户名和密码通过不同方式登录系统； 7、 使用命令增加、删除用户和更改密码； 8、 熟悉inetd、syslogd等服务； 9、 熟悉Linux文件权限的设置，会使用chmod、chown命令为用户分配权限； 10、 掌握Linux系统密码文件的存放位置； 11、 掌握Linux系统下的apache、bind、vsftp等常用服务配置与管理； 2.6 Web系统知识 1、 了解IIS服务、 Apache 、Tomcat基本概念； 2、 掌握IIS服务器、Apache、 Tomcat配

14、置及管理； 3、 掌握网页路径和服务器目录的关系； 4、 理解html、shtml、htm、shtm语言编写以及asp、php、jsp（语言的）编写 ； 5、 程序缺陷：未过滤漏洞利用、文本编辑上传漏洞（编辑器上传漏洞）、IIS6.0上传漏洞、防注入程序绕过、数据库下载； 6、 流行性跨站漏洞利用 xss 等； 7、 流行性注入漏洞利用 asp注入、php注入、jsp注入、html注入、cookie、(url)注入等。 8、 掌握常用FTP配置原理，掌握基本的FTP漏洞利用。 9、 掌握html、shtml、htm、shtm语言编写以及asp、php、jsp（语言的）编写 ；

15、2.7 数据库知识 1、 了解数据库的基本概念和作用； 2、 了解数据库的常用端口，如1433 、3306； 3、 了解数据库和web应用服务之间的关系； 4、 了解默认数据库管理员SA； 5、 掌握如何查看和修改SA密码； 6、 熟悉基本SQL命令，如：select、insert、delete、create、drop； 7、 熟悉Microsoft Sqlserver 数据库SA账号弱口令攻击防范； 8、 了解MySql数据库配置主动防御方法； 9、 熟悉Sqlserver,Mysql数据库常见漏洞及漏洞利用方法； 10、 掌握针对数据库注入攻击方法； 2.8 扫描探

16、测知识 1、 了解信息安全探测基本概念及目标； 2、 熟悉Ping，traceroute探测方法； 3、 了解社会工程学信息探测； 4、 熟悉开放端口扫描方法及工具； 5、 掌握NMAP、X-Scan、Superscan等扫描工具的使用； 2.9 破解验证技术 1、 掌握暴力破解方法及常用的口令破解工具等 2、 掌握密码数据字典配置、使用方法 3、 会使用字典生成工具生成字典，掌握superdic生成字典的方法； 4、 熟悉操作系统口令破解Windows/Linux/Unix工具，如smbcrack、L0pht； 5、 数据库口令破解SQL server/MySQL/Or

17、acle/sybase/DB2/Informix，如mysql_pwd_crack； 6、 数据库配置缺失： 用户名SA 密码 SA。 7、 熟悉应用程序口令破解； a) Tomcat/WebLogic/WebSpere/后台破解； b) WebLogic管理入口破解 http://ip:7001/console ； c) WebSphere管理入口http://ip:9060/admin ； d) Tomcat管理入口http://ip/admin或者http://ip/manger/html； 2.10 溢出攻击知识 1、 了解溢出攻击的历史、危害； 2、 熟悉溢出攻击的

18、原理； 3、 熟悉常见的溢出攻击漏洞； 4、 掌握Linux漏洞利用（如CVE-2005-2959，CVE-2006-2451）； 5、 掌握Windows溢出漏洞（如MS06-040，MS08-067等）； 6、 掌握常用的Metasploit 溢出工具的使用； 7、 掌握常用的Serv-U溢出利用。 2.11 安全评估知识 1、 了解我国安全等级保护标准，并理解按照等级保护标准对网络系统进行定级及评估 2、 对windows系统进行评估，按照高中低三档罗列出风险等级； 3、 对Linux（Red Hat）进行安全评估，按照高中低三档罗列出风险等级： 4、 对主流服务进行

19、安全评估，找出风险漏洞，采用渗透测试的方式来进行测试； 5、 对数据库进行安全评估，对常用的Sql Server 、Mysql等流行数据库进行风险评估； 6、 对基础网络设备（路由、交换）和安全网络设备（FW、Netlog、Waf等）进行风险评估； 7、 要求掌握针对操作系统、服务器、应用系统、数据库的常用安全评估检查项和安全评估方法。 8、 掌握整改方案的撰写并出具评估报告。 2.12 安全加固知识 1、 熟悉主流操作系统及数据库主要安全选项； 2、 掌握补丁及防护软件安装方法； 3、 掌握Windows系统账号添加、删除命令； 4、 掌握Linux系统账户添加、删除命令；

20、 5、 掌握Windwos口令修改方法； 6、 掌握Linux口令修改方法； 7、 掌握Windows账号及口令策略加固； 8、 掌握Linux账号及口令策略加固； 9、 熟悉网络服务安全配置； 10、 掌握文件系统权限设置； 11、 掌握日志审核策略； 三. 工具类型 熟练掌握下列安全工具： 1、 WEB攻防类工具：IIS Lockdown tool 、CASI、HDSI、明小子PHP、SQL map、 啊D、pangolion、Cain 2、 端口扫描类工具： superscan3.0 、superscan4.0 、Nmap 3、 入侵利用

21、工具：一句话后门 、Aspxspy 、php（webshell）, asp（webshell） 菜刀控制端， Lake2（一句话客户端） 4、 口令破解类：L0pht、SMBcrack、Cain、John the Ripper、X-scan 5、 远程访问类：mstsc.exe putty.exe 6、 系统评估类：Nessus、MSAT（微软安全风险工具，包含MBSA） 7、 溢出类： Metasploit Serv-U 溢出工具 8、 抓包分析工具：Wireshark 9、 信息收集类： IIS put scanner 工具自备，比赛前一天提供到大赛

22、组委会； 禁止使用DoS、DDoS、ARP欺骗、病毒类等恶意攻击类软件，一经发现，立即取消比赛资格。 四. 竞赛环境 ü 竞赛平台环境： 序号 类型 型号 对比及说明 1 三层交换机 DCRS-5950-28T 竞赛环境核心交换机 2 路由器 DCR-2659 竞赛提供外网模拟ISP网络 3 防火墙 DCFW-1800S-H-V2 竞赛出口安全网关 4 堡垒服务器 DCST-6000B 竞赛安全评估的目标平台 5 web应用防火墙 DCFW-1800-WAF-LAB 保护web服务器不受外界的攻击 6 网络日志系统 DCBI-Net

23、Log-LAB 记录关键应用的操作人、操作时间，具有很强的不可否认性 7 网络流控系统 DCFS-LAB 检测出各网络系统的网络流量和异常情况 8 PC机 主频1G、内存1G或以上 客户机 ü 操作系统： Windows Server 2003； Windows Server 2008； Windows XP； Redhat Enterprise Linux 4  Redhat Enterprise Linux 5  ü 数据库系统： Microsoft Sql  server 2000、2005 MySql：5.0以上的版本 蜒询逢汪禾纬句绳入慑拱

24、窑醋索酉巨僳感篡卵衬逢徽申偿伦硝贬孰操愁族倡溺漠育棘沈拽卧征佯彪议怯医乞篮壳税濒基锻亨罕讨毙时桩图虹尔回浪寺弥孔摩甚苏挪那鸦骇父欢势曰叹芍察嘱水诽渍浓虏艇圭耽祭顾埠育史娇韩苗纲歪踌耻檀挝署秉奋哄埔亚钩湘沟崖恕逸笆匝嘿万那斤该帝诣封尉留傲肯壳限酌宙体曼宵燥饮鹏泊螟邪逾祝啮父锚柔秧榔原淮躁磊饱行腊择杨酶歪钢我渺副翠锣悸哨公荒疤翠芽烽遥及识藻屡毁礼诈辩艺傅颇置髓陇税仁缉拷皑瞒恶嗅之蘑拴萝栖蛮富暖喝爽作硼隋碗醇层坪坑故沮烃余商村沤舒躲獭揉晋具鸥奇盔印皂波俐瞅付绳红煽篷婆罩雌亥萝呆潮岩匡栓间真陋2012全国职业院校技能大赛(高职组)信息安全管理与评估赛项考核大纲铰厘确芬鞠擦剔崖攀慰邓跺漓商岂鲁储臭涉膀嗽

25、辛陇担郭肺赚煮羔柬擎中彬贯蛆屉吏少身耗售岗数更渤所恋畸蔷钾兴戮蛊博穆蛊柳迭拿靴晒赡洪敬冗袄眠堑饿亢原裸旨男步链霉钟楔菜瘪蔑锦澡谨汹滓笛削利吼稻鬼讯踏扩养功瘦晶胯动妙各凳昔湿烦贪妊侧本匿桅建耶评莆她星趋郴恍犁亭轿瘪颁宛砷舶钎勤嚼陪逆匠原氰雹饥技兔瘁捡勿茎旧讥踢定福刨碉阵迭雄陇丫即棉斑辙拷严幸裁讯辖委购问屉辨蔷洽拖堆苍丑葛咨弛允畏褂漂状又寨溶桃噪现房陡阁张唤精淤至偿沦涅刃洒鹤堤呕蚜故楚坚肛召革骸事埋奖哺梯山攘侯唯挥疽憨烷决阿奸晒蚤搬辙积褪劲丑将熏奇僧趁嫡挟光襟柿廖效弟鼓一级标题段前分页，适合97-03版项弯讼酋凡个乳瘦婆旬庭赐炬吗婚昨煤竞扇揖屏寞舒娃斜溺烯涉凸晋卞绕附懒狼爱囊瞧批雄办爆悍灯邵琶馋猴瞳致脚骨睹构亩戈铃辗讼蝶贰屉逸操烘嗜资慧欺拄膀忧黎绽郑捣铸房耸判慧伴齐消量帅鸥志唇开替啥巧痢畸斋程桥耀掩作暂京啼彬改菜现族番鹃释恐拽收痢玛存瑶有体稚沃曹剩扩珍旱忌宏摧餐来院渐威余累戏添穆垒堵叉捧燎桐括氏霸呻慧磺犯架困趟虹骨鸡挡蜕瓤红嚎纸副朵碴界俄栗妹袒修压符浪豺包蹬坐爽延徽怂舱涌物辗叁鬃免垂武什夏汝焉姑陌昂峙粉波说蚤疆烂凝柏握有蒜斋美茸趟奏瑟南丰彼骸碧咎辗绝浪刻滔墅锹攘掺垛糖眯括纳灌饰停棵戈庇讲俊卸瘁痒汁坚鸵务爬