2022年甘肅省職業(yè)技能大賽信息安全與評估賽項（高職教師組）賽項規(guī)程

2/462022年全省職業(yè)院校技能大賽高職教師組信息安全管理與評估賽項競賽規(guī)程二〇二二年三月1/172022年甘肅省職業(yè)院校技能大賽高職教師組“信息安全管理與評估”賽項規(guī)程一、賽項名稱賽項名稱：信息安全管理與評估英語翻譯：InformationSecurityManagementandEvaluation賽項組別：高職組（教師）競賽形式：個人賽賽項專業(yè)大類：電子信息大類賽項描述：信息安全與評估賽項共分為兩個階段、第一階段網(wǎng)絡(luò)安全基礎(chǔ)產(chǎn)品配置、第二階段系統(tǒng)安全攻防及運維安全管控、二、競賽目的通過賽項檢驗參賽選手網(wǎng)絡(luò)組建、安全架構(gòu)和網(wǎng)絡(luò)安全運維管控等方面的技術(shù)技能，檢驗參賽隊組織和團隊協(xié)作等綜合職業(yè)素養(yǎng)，培養(yǎng)教師創(chuàng)新能力和實踐動手能力，提升教師職業(yè)能力。通過大賽引領(lǐng)專業(yè)教學改革，豐富完善學習領(lǐng)域課程建設(shè)，使人才培養(yǎng)更貼近崗位實際，實現(xiàn)以賽促教、以賽促學、以賽促改的產(chǎn)教結(jié)合格局。三、競賽時間、地點日期時間事項地點3.2709:00-12:00參賽隊報到，安排住宿，領(lǐng)取資料賢珺宇賓館09:00-12:00裁判工作會議金星31313:00-14:30領(lǐng)隊會金星31315:00-16:00參觀賽場數(shù)通50516:00檢查封閉賽場數(shù)通50516:00返回酒店數(shù)通5053.2808:30裁判進入裁判室競賽場地08:50-09:00參賽代表隊就位，宣讀考場紀律,賽題發(fā)放時間競賽場地09:00-12:00第一階段和第二階段正式比賽時間競賽場地12:00-12:30第一階段與第二階段比賽結(jié)果提交時間競賽場地四．競賽內(nèi)容重點考核參賽選手安全網(wǎng)絡(luò)組建、網(wǎng)絡(luò)系統(tǒng)安全策略部署、信息保護、網(wǎng)絡(luò)安全運維管理的綜合實踐能力，具體包括：1.參賽選手能夠根據(jù)大賽提供的賽項要求，設(shè)計信息安全防護方案，并且能夠提供詳細的信息安全防護設(shè)備拓撲圖。2.參賽選手能夠根據(jù)業(yè)務(wù)需求和實際的工程應(yīng)用環(huán)境，實現(xiàn)網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器的連接，通過調(diào)試，實現(xiàn)設(shè)備互聯(lián)互通。3.參賽選手能夠在賽項提供的網(wǎng)絡(luò)設(shè)備及服務(wù)器上配置各種協(xié)議和服務(wù)，實現(xiàn)網(wǎng)絡(luò)系統(tǒng)的運行，并根據(jù)網(wǎng)絡(luò)業(yè)務(wù)需求配置各種安全策略，以滿足應(yīng)用需求。4.參賽選手能夠根據(jù)網(wǎng)絡(luò)實際運行中面臨的安全威脅，指定安全策略并部署實施，防范并解決網(wǎng)絡(luò)惡意入侵和攻擊行為。5.參賽選手能夠按照要求準確撰寫工作總結(jié)。各競賽階段重點內(nèi)容如下：序號內(nèi)容模塊具體內(nèi)容說明第一階段網(wǎng)絡(luò)平臺搭建網(wǎng)絡(luò)規(guī)劃VLSM、CIDR等；基礎(chǔ)網(wǎng)絡(luò)VLAN、WLAN、STP、SVI、RIPV2、OSPF等；網(wǎng)絡(luò)安全設(shè)備配置與防護訪問控制保護網(wǎng)絡(luò)應(yīng)用安全，實現(xiàn)防DOS、DDOS攻擊、實現(xiàn)包過濾、應(yīng)用層代理、狀態(tài)化包過濾、URL過濾、基于IP、協(xié)議、應(yīng)用、用戶角色、自定義數(shù)據(jù)流和時間等方式的帶寬控制，QOS策略等；密碼學和VPN密碼學基本理論L2LIPSecVPNGREOverIPSecL2TPOverIPSecIKE：PSKIKE：PKISSLVPN等；數(shù)據(jù)分析能夠利用日志系統(tǒng)對網(wǎng)絡(luò)內(nèi)的數(shù)據(jù)進行日志分析，把控網(wǎng)絡(luò)安全等；第二階段系統(tǒng)安全攻防及運維安全管控網(wǎng)絡(luò)滲透測試及其加固技術(shù)MAC滲透測試及其加固DHCP滲透測試及其加固ARP滲透測試及其加固STP滲透測試及其加固VLAN滲透測試及其加固路由協(xié)議(RIPV2、OSPF)滲透測試及其加固操作系統(tǒng)滲透測試及其加固Windows、Linux操作系統(tǒng)緩沖區(qū)溢出滲透測試及其加固；操作系統(tǒng)及服務(wù)相關(guān)安全攻防等；Web應(yīng)用和數(shù)據(jù)庫滲透測試及其加固技術(shù)SQLInjection（SQL注入）漏洞滲透測試CommandInjection（命令注入）漏洞滲透測試FileUpload（文件上傳）漏洞滲透測試DirectoryTraversing（目錄穿越）漏洞滲透測試XSS（CrossSiteScript）漏洞滲透測試CSRF（CrossSiteRequestForgeries）漏洞滲透測試CookieStole（Cookie盜用）漏洞滲透測試SessionHijacking（會話劫持）漏洞滲透測試配置WAF（Web應(yīng)用防火墻）加固Web應(yīng)用;WEB相關(guān)安全攻防等；數(shù)據(jù)庫相關(guān)安全攻防等；PHP與Python代碼審計及編程；競賽分值權(quán)重和時間分布序號內(nèi)容模塊競賽時間第一階段權(quán)重50%網(wǎng)絡(luò)平臺搭建權(quán)重25%120分鐘網(wǎng)絡(luò)安全設(shè)備配置與防護權(quán)重25%第二階段權(quán)重50%系統(tǒng)安全攻防及運維安全管控權(quán)重50%2.競賽時間表比賽限定在1天內(nèi)進行，比賽場次為3場，賽項競賽時間為2小時，具體安排如下：日期時間事項參加人員地點競賽前1日09:00-12:00參賽隊報到，安排住宿，領(lǐng)取資料工作人員、參賽隊住宿酒店09:00-12:00裁判工作會議裁判長、裁判員、監(jiān)督組會議室13:00-14:30領(lǐng)隊會各參賽隊領(lǐng)隊、裁判長會議室15:00-16:00參觀賽場各參賽隊領(lǐng)隊競賽場地16:00檢查封閉賽場裁判長、監(jiān)督組競賽場地16:00返回酒店參賽領(lǐng)隊競賽場地競賽當天08:30裁判進入裁判室裁判長、現(xiàn)場裁判競賽場地08:50-09:00參賽代表隊就位，宣讀考場紀律,賽題發(fā)放時間參賽選手、現(xiàn)場裁判競賽場地09:00-11:00第一階段和第二階段正式比賽時間（第一場）參賽選手、現(xiàn)場裁判競賽場地11:00-11:30第一階段與第二階段比賽結(jié)果提交時間（第一場）參賽選手、現(xiàn)場裁判競賽場地12:30-14:30第一階段和第二階段正式比賽時間（第二場）參賽選手、現(xiàn)場裁判競賽場地14:30-15:00第一階段與第二階段比賽結(jié)果提交時間（第二場）參賽選手、現(xiàn)場裁判競賽場地16:00-18:00第一階段和第二階段正式比賽時間（第三場）參賽選手、現(xiàn)場裁判競賽場地18:00-18:30第一階段與第二階段比賽結(jié)果提交時間（第三場）參賽選手、現(xiàn)場裁判競賽場地備注：第一階段和第二階段賽題在開始比賽時同時發(fā)放。五、競賽方式及競賽規(guī)則1.競賽以個人賽方式進行。2.競賽隊伍組成：競賽隊伍由1名參賽選手組成，參賽選手必須為各個院校教師。（一）報名資格參賽選手須為1名2022年度甘肅省高等職業(yè)學校就職教師。（二）競賽工位通過抽簽決定，競賽期間參賽選手不得離開競賽工位。（三）競賽所需的硬件設(shè)備、系統(tǒng)軟件和輔助工具由賽項執(zhí)委會統(tǒng)一安排，參賽選手不得自帶硬件設(shè)備、軟件、移動存儲、輔助工具、移動通信等進入競賽現(xiàn)場。（四）參賽隊自行決定選手分工、工作程序和時間安排。（五）參賽隊在賽前10分鐘進入競賽工位并領(lǐng)取競賽任務(wù)，競賽正式開始后方可展開相關(guān)工作。（六）競賽過程中，選手須嚴格遵守操作規(guī)程，確保人身及設(shè)備安全，并接受裁判員的監(jiān)督和警示。若因選手因素造成設(shè)備故障或損壞，無法繼續(xù)競賽，裁判長有權(quán)決定終止該隊競賽；若因非參賽選手個人因素造成設(shè)備故障，由裁判長視具體情況做出裁決。（七）競賽結(jié)束（或提前完成）后，參賽隊要確認已成功提交所有競賽文檔，裁判員與參賽隊考生一起簽字確認，參賽隊在確認后不得再進行任何操作。六、競賽環(huán)境競賽工位內(nèi)設(shè)有操作平臺，每工位配備220V電源，工位內(nèi)的電纜線應(yīng)符合安全要求。確保參賽隊之間互不干擾。競賽工位標明工位號，并配備競賽平臺和技術(shù)工作要求的軟、硬件。環(huán)境標準要求保證賽場采光(大于500lux)、照明和通風良好；七、技術(shù)規(guī)范該賽項涉及的信息網(wǎng)絡(luò)安全工程在設(shè)計、組建過程中，主要有以下7項國家標準，參賽隊在實施競賽項目中要求遵循如下規(guī)范：序號標準號中文標準名稱1GB17859-1999《計算機信息系統(tǒng)安全保護等級劃分準則》2GB/T20271-2006《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》3GB/T20270-2006《信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》4GB/T20272-2006《信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》5GB/T20273-2006《信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》6GA/T671-2006《信息安全技術(shù)終端計算機系統(tǒng)安全等級技術(shù)要求》7GB/T20269-2006《信息安全技術(shù)信息系統(tǒng)安全管理要求》八、技術(shù)平臺（一）競賽軟件賽項執(zhí)委會提供個人計算機（安裝Windows操作系統(tǒng)），用以組建競賽操作環(huán)境，并安裝Office、AdobeReader等常用應(yīng)用軟件。序號軟件介紹1Windows操作系統(tǒng)2MicrosoftOffice文檔編輯工具3VMware虛擬機運行環(huán)境4超級終端、SecureCRT設(shè)備調(diào)試連接工具賽項執(zhí)委會提供滲透測試機、攻防競技平臺和靶機虛擬機等環(huán)境。序號平臺環(huán)境介紹1Windows10\Windows7\WindowsXPWindows客戶機操作系統(tǒng)2WindowsServer2003\2008\2012\2019Windows服務(wù)器操作系統(tǒng)3LinuxCentOSLinux服務(wù)器操作系統(tǒng)4DCFW-1800-SDC攻防競技平臺系統(tǒng)5Ubuntu\Debian\Kali滲透測試機操作系統(tǒng)（二）競賽設(shè)備清單賽項執(zhí)委會提供以下競賽設(shè)備。序號設(shè)備名稱數(shù)量參考型號1三層虛擬化交換機1神州數(shù)碼CS6200交換機2防火墻1神州數(shù)碼DCFW-1800E-N30023堡壘服務(wù)器1神州數(shù)碼DCST-6000B4WEB應(yīng)用防火墻1神州數(shù)碼DCFW-1800-WAF-LAB5網(wǎng)絡(luò)日志系統(tǒng)1神州數(shù)碼DCBI-NetLog-LAB6無線交換機1神州數(shù)碼DCWS-60287無線接入點1神州數(shù)碼WL8200-I28PC機1多核CPU，CPU主頻>=3GHz，>=雙核心四線程，內(nèi)存>=8G，具有串口或者配置USB轉(zhuǎn)串口的配置線，支持硬件虛擬化9耗材、工具若干壓線鉗、鏍絲刀、纜線、跳線、水晶頭、插排等九、評分辦法（一）裁判評分方法裁判組負責競賽機考評分和結(jié)果性評分，由裁判長負責競賽全過程；裁判員提前報到，報到后所有裁判的手機全部上繳裁判長統(tǒng)一保管，評分結(jié)束返回，保證競賽的公正與公平。競賽現(xiàn)場有監(jiān)督員、裁判員、監(jiān)考員、技術(shù)支持隊伍等組成，分工明確。監(jiān)考員負責與參賽隊伍的交流溝通及試卷等材料的收發(fā)，裁判員負責設(shè)備問題確認和現(xiàn)場執(zhí)裁，技術(shù)支持負責執(zhí)行裁判確認后的設(shè)備應(yīng)急處理。（二）評分標準競賽評分嚴格按照公平、公正、公開的原則，評分標準注重考查參賽選手以下各方面的能力和水平：競賽階段競賽任務(wù)考核內(nèi)容分值評分方式第一階段權(quán)重50%網(wǎng)絡(luò)平臺搭建權(quán)重25%網(wǎng)絡(luò)規(guī)劃文檔10%結(jié)果評分-客觀網(wǎng)絡(luò)設(shè)備配置文件或截圖文件15%結(jié)果評分-客觀網(wǎng)絡(luò)安全設(shè)備配置與防護權(quán)重25%防火墻配置截圖文件25%結(jié)果評分-客觀網(wǎng)絡(luò)日志系統(tǒng)配置截圖文件結(jié)果評分-客觀web應(yīng)用防火墻配置截圖文件結(jié)果評分-客觀無線控制器配置文件結(jié)果評分-客觀三層交換機配置文件結(jié)果評分-客觀第二階段權(quán)重50%系統(tǒng)安全攻防及運維安全管控權(quán)重50%服務(wù)器加固配置25%結(jié)果評分-客觀服務(wù)器滲透配置25%結(jié)果評分-客觀（三）注意事項參賽選手應(yīng)體現(xiàn)團隊風貌、團隊協(xié)作與溝通、組織與管理能力和工作計劃能力等，并注意相關(guān)文檔的準確性與規(guī)范性。競賽過程中，參賽選手如有不服從裁判判決、擾亂賽場秩序、舞弊等不文明行為，由裁判組按照規(guī)定扣減相應(yīng)分數(shù)，情節(jié)嚴重的取消競賽資格。選手有下列情形，需從比賽成績中扣分：1.違反比賽規(guī)定，提前進行操作或比賽終止后仍繼續(xù)操作的，由現(xiàn)場裁判負責記錄并酌情扣1-5分。2.在競賽過程中，違反操作規(guī)程，影響其他選手比賽的，未造成設(shè)備損壞的參賽隊，扣5-10分。3.在競賽過程中，造成設(shè)備損壞或影響他人比賽、情節(jié)嚴重的報競賽執(zhí)委會批準，終止該參賽隊的比賽，競賽成績以0分計算。（四）成績復核與公布競賽成績以復核無誤后，經(jīng)項目裁判、監(jiān)督人員審核簽字后確定。競賽成績按照2022年甘肅省職業(yè)院校技能大賽委員會相關(guān)規(guī)定予以發(fā)布。若有異議，經(jīng)過規(guī)定程序仲裁后，按照仲裁結(jié)果公布比賽成績。獎項設(shè)定按實際參賽人（隊）數(shù)的10%、20%、30%（小數(shù)點后四舍五入）分設(shè)一、二、三等獎。其他情況按照競賽規(guī)程總則執(zhí)行十一、申訴與仲裁1.甘肅省職業(yè)院校技能大賽設(shè)仲裁工作委員會，賽點設(shè)仲裁工作組，組長由大賽組委會辦公室指派，組員為賽項裁判長和賽點執(zhí)委會主任。2.參賽隊對賽事過程、工作人員工作若有疑異，在事實清楚，證據(jù)充分的前提下可由參賽隊領(lǐng)隊以書面形式向賽點仲裁組提出申訴。報告應(yīng)對申訴事件的現(xiàn)象、發(fā)生時間、涉及人員、申訴依據(jù)等進行充分、實事求是的敘述。非書面申訴不予受理。3.提出申訴應(yīng)在賽項比賽結(jié)束后1小時內(nèi)向賽點仲裁組提出。超過時效不予受理。提出申訴后申訴人及相關(guān)涉及人員不得離開賽點，否則視為自行放棄申訴。4.賽點仲裁工作組在接到申訴報告后的2小時內(nèi)組織復議，并及時將復議結(jié)果以書面形式告知申訴方。5.對賽點仲裁組復議結(jié)果不服的，可由代表隊所在院校校級領(lǐng)導向大賽仲裁委員會提出申訴。大賽仲裁委員會的仲裁結(jié)果為最終結(jié)果。6.申訴方不得以任何理由拒絕接收仲裁結(jié)果；不得以任何理由采取過激行為擾亂賽場秩序；仲裁結(jié)果由申訴人簽收，不能代收；如在約定時間和地點申訴人離開，視為撤訴。7.申訴方可隨時提出放棄申訴。十一、賽項安全（一）賽項安全賽事安全是甘肅省職業(yè)院校技能大賽一切工作順利開展的先決條件，是本賽項籌備和運行工作必須考慮的核心問題。1.組織機構(gòu)賽項執(zhí)委會組織專門機構(gòu)負責賽區(qū)內(nèi)賽項的安全工作，建立公安、消防、司法行政、交通、衛(wèi)生、食品、質(zhì)檢等相關(guān)部門協(xié)調(diào)機制保證比賽安全，制定應(yīng)急預案，及時處置突發(fā)事件。制定相應(yīng)安全管理的規(guī)范、流程和突發(fā)事件應(yīng)急預案，全過程保證比賽籌備和實施工作安全。2.賽項設(shè)計（1）比賽內(nèi)容涉及的器材、設(shè)備應(yīng)符合國家有關(guān)安全規(guī)定。賽項專家組應(yīng)充分考慮比賽內(nèi)容和所用器材、耗材可能存在的危險因素，通過完善設(shè)計規(guī)避風險，采取有效防范措施保證選手備賽和比賽安全。危險提示和防范措施應(yīng)在賽項技術(shù)文件中加以明確。（2）賽項技術(shù)文件應(yīng)包含國家（或行業(yè)）有關(guān)職業(yè)崗位安全的規(guī)范、條例和資格證書要求等內(nèi)容。（3）賽項執(zhí)委會須在賽前對本賽項全體裁判員進行裁判培訓和安全培訓，對服務(wù)人員進行安全培訓。源于實際生產(chǎn)過程的賽項，須根據(jù)《中華人民共和國勞動法》等法律法規(guī)，建立完善的安全事故防范制度，并在賽前對選手進行培訓，避免發(fā)生人身傷害事故。（4）賽項執(zhí)委會須制定專門方案保證比賽命題、賽題保管和評判過程的安全。3.比賽環(huán)境（1）環(huán)境安全保障賽場組織與管理員應(yīng)制定安保須知、安全隱患規(guī)避方法及突發(fā)事件預案，設(shè)立緊急疏散路線及通道等，確保比賽期間所有進入競賽地點的車輛、人員需憑證入內(nèi)；嚴禁攜帶易燃易爆物、管制刀具等危險品及比賽嚴令禁止的其他物品進入場地；對于緊急發(fā)生的擁擠、踩踏、地震、火災等進行緊急有效的處置。（2）操作安全保障賽前要對選手進行計算機、網(wǎng)絡(luò)設(shè)備、工具等操作的安全培訓，進行安全操作的宣講，確保每個隊員能夠安全操作設(shè)備后方可進行比賽。裁判員在比賽前，宣讀安全注意事項，強調(diào)用火、用電安全規(guī)則。整個大賽過程邀請當?shù)毓蚕到y(tǒng)、衛(wèi)生系統(tǒng)和保險系統(tǒng)協(xié)助支持。（3）賽項執(zhí)委會須在賽前組織專人對比賽現(xiàn)場、住宿場所和交通保障進行考察，并對安全工作提出明確要求。賽場的布置，賽場內(nèi)的器材、設(shè)備，應(yīng)符合國家有關(guān)安全規(guī)定。如有必要，也可進行賽場仿真模擬測試，以發(fā)現(xiàn)可能出現(xiàn)的問題。承辦單位賽前須按照賽項執(zhí)委會要求排除安全隱患。參賽隊由各參賽校負責參賽選手旅途及競賽過程中的安全保障。（4）賽場周圍要設(shè)立警戒線，防止無關(guān)人員進入發(fā)生意外事件。比賽現(xiàn)場內(nèi)應(yīng)參照相關(guān)職業(yè)崗位的要求為選手提供必要的勞動保護。在具有危險性的操作環(huán)節(jié)，裁判員要嚴防選手出現(xiàn)錯誤操作。（5）承辦單位應(yīng)提供保證應(yīng)急預案實施的條件。對于比賽內(nèi)容涉及高空作業(yè)、可能有墜物、大用電量、易發(fā)生火災等情況的賽項，必須明確制度和預案，并配備急救人員與設(shè)施。（6）賽項執(zhí)委會須會同承辦單位制定開放賽場和體驗區(qū)的人員疏導方案。賽場環(huán)境中存在人員密集、車流人流交錯的區(qū)域，除了設(shè)置齊全的指示標志外，須增加引導人員，并開辟備用通道。（7）大賽期間，賽項承辦單位須在賽場管理的關(guān)鍵崗位，增加力量，建立安全管理日志。（8）參賽選手進入賽位、賽事裁判工作人員進入工作場所，嚴禁攜帶通訊、照相攝錄設(shè)備，禁止攜帶記錄用具。如確有需要，由賽場統(tǒng)一配置、統(tǒng)一管理。賽項可根據(jù)需要配置安檢設(shè)備對進入賽場重要部位的人員進行安檢。（9）防疫提示（一）進入賽點前注意事項1.乘坐公共交通工具時，須全程佩戴一次性醫(yī)用口罩，注意與他人安全保持距離；2.旅途中可佩戴手套或一次性手套，不要重復使用；3.旅途中應(yīng)留意周圍乘客健康狀況，避免與可疑癥狀人員近距離接觸；4.隨時保持手部衛(wèi)生，減少接觸交通工具的公共部位;5.接觸公共物品、咳嗽打噴嚏用手捂嘴鼻之后、飯前便后，應(yīng)及時使用洗手液、肥皂水或免洗手液等對手部進行清潔;6.盡量避免用手接觸口、眼、鼻；咳嗽、打噴嚏時，用紙巾遮住口鼻，如無紙巾，可用手肘衣服遮擋；7.若旅途中出現(xiàn)可疑癥狀，要佩戴醫(yī)用外科口罩或N95口罩，盡量避免接觸其他人員，并視病情及時就醫(yī)，就醫(yī)時要主動告知旅行史、居住史，以及發(fā)病前后接觸過什么人，配合醫(yī)生開展相關(guān)調(diào)查；8.妥善保存旅行票據(jù)信息以配合可能的相關(guān)密切接觸者調(diào)查；9.蘭州市及周邊參賽學校，可自行安排專門車輛運送參賽隊來校報到；10.參賽人員需準備多個口罩，進入賽點后立即更換；11.根據(jù)防疫要求，參賽人員報到時需攜帶三證一碼一單（身份證、學生證（工作證）、參賽證（賽點報到后發(fā)放）、健康碼、保險單）；選手需持48小時核算檢測證明，14天有在國外或國內(nèi)中、高風險區(qū)旅居史的選手不得來我校參加比賽。（二）參賽期間注意事項1.各參賽隊伍須嚴格遵守此次大賽疫情防控各項要求；2.如有發(fā)熱、乏力、干咳等可疑癥狀，應(yīng)及時上報現(xiàn)場防疫工作人員，并積極配合隔離、觀察、就醫(yī)；3.各參賽隊伍應(yīng)積極配合參賽過程中登記、體溫監(jiān)測、防疫檢查等工作，檢測點設(shè)在校門口；4.住宿期間不得到其他房間走動，各住宿房間、床位不得私自調(diào)換；5.如有其他問題，請咨詢現(xiàn)場工作人員。4.生活條件（1）比賽期間，原則上由賽事承辦單位統(tǒng)一安排參賽選手和指導教師食宿。承辦單位須尊重少數(shù)民族的信仰及文化，根據(jù)國家相關(guān)的民族政策，安排好少數(shù)民族選手和教師的飲食起居。（2）比賽期間安排的住宿地應(yīng)具有賓館/住宿經(jīng)營許可資質(zhì)。以學校宿舍作為住宿地的，大賽期間的住宿、衛(wèi)生、飲食安全等由賽項執(zhí)委會和提供宿舍的學校共同負責。（3）大賽期間有組織的參觀和觀摩活動的交通安全由賽項執(zhí)委會負責。賽項執(zhí)委會和承辦單位須保證比賽期間選手、指導教師和裁判員、工作人員的交通安全。（4）各賽項的安全管理，除了可以采取必要的安全隔離措施外，應(yīng)嚴格遵守國家相關(guān)法律法規(guī)，保護個人隱私和人身自由。5.領(lǐng)隊責任各參賽隊領(lǐng)隊須加強參賽人員的安全管理，實現(xiàn)與賽場安全管理的對接。6.應(yīng)急處理比賽期間發(fā)生意外事故，發(fā)現(xiàn)者應(yīng)第一時間報告賽項執(zhí)委會，同時采取措施避免事態(tài)擴大。十五、其他（一）競賽須知1.參賽隊須知（1）各參賽隊要發(fā)揚良好道德風尚，聽從指揮，服從裁判，不弄虛作假。如發(fā)現(xiàn)弄虛作假者，取消參賽資格，名次無效。（2）各參賽隊領(lǐng)隊要堅決執(zhí)行競賽的各項規(guī)定，加強對參賽人員的管理，做好賽前準備工作，督促選手帶好證件等競賽相關(guān)材料。（3）競賽過程中，除參加當場次競賽的選手、執(zhí)行裁判員、現(xiàn)場工作人員和經(jīng)批準的人員外，領(lǐng)隊、指導教師及其他人員一律不得進入競賽現(xiàn)場。（4）參賽隊若對競賽過程有異議，在規(guī)定的時間內(nèi)由領(lǐng)隊向賽項仲裁工作組提出書面報告。（5）對申訴的仲裁結(jié)果，領(lǐng)隊要帶頭服從和執(zhí)行，并做好選手工作。參賽選手不得因申訴或處理意見不服而停止競賽，否則以棄權(quán)處理。（6）指導老師應(yīng)及時查看大賽專用網(wǎng)頁有關(guān)賽項的通知和內(nèi)容，認真研究和掌握本賽項競賽的規(guī)程、技術(shù)規(guī)范和賽場要求，指導選手做好賽前的一切技術(shù)準備和競賽準備。（7）參賽隊領(lǐng)隊應(yīng)對本隊參賽隊員和指導教師的參賽期間安全負責，參賽學校須為參賽選手和指導教師購買意外保險。（8）領(lǐng)隊和指導教師應(yīng)在賽后做好賽事總結(jié)和工作總結(jié)。2.指導教師須知（1）各參賽代表隊要發(fā)揚良好道德風尚，聽從指揮，服從裁判，不弄虛作假。如發(fā)現(xiàn)弄虛作假者，取消參賽資格，名次無效。（2）各代表隊領(lǐng)隊要堅決執(zhí)行競賽的各項規(guī)定，加強對參賽人員的管理，做好賽前準備工作，督促選手帶好證件等競賽相關(guān)材料。（3）競賽過程中，除參加當場次競賽的選手、執(zhí)行裁判員、現(xiàn)場工作人員和經(jīng)批準的人員外，領(lǐng)隊、指導教師及其他人員一律不得進入競賽現(xiàn)場。（4）參賽代表隊若對競賽過程有異議，在規(guī)定的時間內(nèi)由領(lǐng)隊向賽項仲裁工作組提出書面報告。（5）對申訴的仲裁結(jié)果，領(lǐng)隊要帶頭服從和執(zhí)行，并做好選手工作。參賽選手不得因申訴或?qū)μ幚硪庖姴环Ｖ垢傎?，否則以棄權(quán)處理。（6）指導老師應(yīng)及時查看大賽專用網(wǎng)頁有關(guān)賽項的通知和內(nèi)容，認真研究和掌握本賽項競賽的規(guī)程、技術(shù)規(guī)范和賽場要求，指導選手做好賽前的一切技術(shù)準備和競賽準備。3.參賽選手須知（1）參賽選手應(yīng)按有關(guān)要求如實填報個人信息，否則取消競賽資格。（2）參賽選手需持統(tǒng)一印制的參賽證和有效身份證件參加競賽。（3）參加選手應(yīng)認真學習領(lǐng)會本次競賽相關(guān)文件，自覺遵守大賽紀律，服從指揮，聽從安排，文明參賽。（4）參加選手請勿攜帶任何電子設(shè)備及其他資料、用品進入賽場。（5）參賽選手應(yīng)按照規(guī)定時間抵達賽場，憑參賽證、身份證件檢錄，按要求入場，不得遲到早退。（6）參賽選手應(yīng)增強角色意識，科學合理分工與合作。（7）參賽選手應(yīng)按有關(guān)要求在指定位置就坐。（8）參賽選手須在確認競賽內(nèi)容和現(xiàn)場設(shè)備等無誤后開始競賽。在競賽過程中，確因計算機軟件或硬件故障，致使操作無法繼續(xù)的，經(jīng)項目裁判長確認，予以啟用備用計算機。（9）各參賽選手必須按規(guī)范要求操作競賽設(shè)備。一旦出現(xiàn)較嚴重的安全事故，經(jīng)總裁判長批準后將立即取消其參賽資格。（10）參賽選手需詳細閱讀賽題中競賽文檔命名的要求，不得在提交的競賽文檔中標識出任何關(guān)于參賽選手地名、校名、姓名、參賽編號等信息，否則取消競賽成績。（11）競賽時間終了，選手應(yīng)全體起立，結(jié)束操作。將資料和工具整齊擺放在操作平臺上，經(jīng)工作人員清點，參賽隊隊長簽字確認后可離開賽場，離開賽場時不得帶走任何資料；工具、設(shè)備損壞的，須有實物存在；工具、設(shè)備丟失的，參賽隊照價賠償。（12）在競賽期間，未經(jīng)執(zhí)委會批準，參賽選手不得接受其他單位和個人進行的與競賽內(nèi)容相關(guān)的采訪。參賽選手不得將競賽的相關(guān)信息私自公布。（13）凡在往屆本賽項全國大賽中獲一等獎的學生,不再參加同一賽項（同一組別）比賽。4.工作人員須知（1）樹立服務(wù)觀念，一切為選手著想，以高度負責的精神、嚴肅認真的態(tài)度和嚴謹細致的作風，在賽項執(zhí)委會的領(lǐng)導下，按照各自職責分工和要求認真做好崗位工作。（2）所有工作人員必須佩帶證件，忠于職守，秉公辦理，保守秘密。（3）注意文明禮貌，保持良好形象，熟悉賽項指南。（4）自覺遵守賽項紀律和規(guī)則，服從調(diào)配和分工，確保競賽工作的順利進行。（5）提前30分鐘到達賽場，嚴守工作崗位，不遲到，不早退，不得無故離崗，特殊情況需向工作組組長請假。（6）熟悉競賽規(guī)程，嚴格按照工作程序和有關(guān)規(guī)定辦事，遇突發(fā)事件，按照應(yīng)急預案，組織指揮人員疏散，確保人員安全。（7）工作人員在競賽中若有舞弊行為，立即撤銷其工作資格，并嚴肅處理。（8）保持通訊暢通，服從統(tǒng)一領(lǐng)導，嚴格遵守競賽紀律，加強協(xié)作配合，提高工作效率。

2022年全國職業(yè)院校技能大賽高職組“信息安全管理與評估”賽項-樣題賽項時間X:X-X:X，共計4小時30分，含賽題發(fā)放、收卷時間。賽項信息競賽階段任務(wù)階段競賽任務(wù)競賽時間分值第一階段平臺搭建與安全設(shè)備配置防護任務(wù)1網(wǎng)絡(luò)平臺搭建X:X-X:X60任務(wù)2網(wǎng)絡(luò)安全設(shè)備配置與防護240第二階段系統(tǒng)安全攻防及運維安全管控任務(wù)1LinuxKernel提權(quán)50任務(wù)2掃描滲透測試50任務(wù)3Linux/x86系統(tǒng)漏洞利用50任務(wù)4Windows/x86系統(tǒng)漏洞利用50任務(wù)5逆向分析和緩沖區(qū)溢出滲透測試50任務(wù)6云服務(wù)安全滲透測試50任務(wù)7二進制漏洞挖掘與利用50任務(wù)80Day安全滲透測試50中場收卷30分鐘第三階段分組對抗系統(tǒng)加固15分鐘300系統(tǒng)攻防45分鐘賽項內(nèi)容本次大賽，各位選手需要完成三個階段的任務(wù)，其中第一個階段需要按裁判組專門提供的U盤中的“XXX-答題模板”提交答案。第二、三階段請根據(jù)現(xiàn)場具體題目要求操作。選手首先需要在U盤的根目錄下建立一個名為“GWxx”的文件夾（xx用具體的工位號替代），賽題第一階段所完成的“XXX-答題模板”放置在文件夾中。例如：08工位，則需要在U盤根目錄下建立“GW08”文件夾，并在“GW08”文件夾下直接放置第一個階段的所有“XXX-答題模板”文件。特別說明：只允許在根目錄下的“GWxx”文件夾中體現(xiàn)一次工位信息，不允許在其他文件夾名稱或文件名稱中再次體現(xiàn)工位信息，否則按作弊處理。賽項環(huán)境設(shè)置網(wǎng)絡(luò)拓撲圖IP地址規(guī)劃表設(shè)備名稱接口IP地址對端設(shè)備防火墻DCFWETH0/1-/30（Trust安全域）DCRS/27（untrust安全域）DCRS/24DCRSTunnel/24云端路由器SSLPool/24可用IP數(shù)量為20SSLVPN地址池三層交換機DCRSETH1/0/4-DCWSETH1/0/4ETH1/0/5-DCWSETH1/0/5VLAN49ETH1/0//30DCFWVLAN50ETH1/0/2/27DCFWVLAN51ETH1/0/30/30DCBIVLAN52ETH1/0/22/24WAFVLAN10/24無線1VLAN20/25無線2VLAN30ETH1/0/7-9/26PC1VLAN40ETH1/0/10-12/24PC2VLAN100/24DCWSVLAN200/24DCFWETH1/0/24-INTERNET無線控制器DCWSVLAN10054/24DCRS無線管理VLANVLAN101ETH1/0/3/24AP日志服務(wù)器DCBIETH/30DCRSWEB應(yīng)用防火墻WAFETH2/24DCSTETH3DCRS堡壘服務(wù)器DCST--WAF設(shè)備初始化信息設(shè)備名稱管理地址默認管理接口用戶名密碼防火墻DCFWETH0adminadmin網(wǎng)絡(luò)日志系統(tǒng)DCBI54ETH0admin123456WEB應(yīng)用防火墻WAFETH5adminadmin123三層交換機DCRS-Console--無線交換機DCWS-Console--堡壘服務(wù)器DCST--參見“DCST登錄用戶表”備注所有設(shè)備的默認管理接口、管理IP地址不允許修改;如果修改對應(yīng)設(shè)備的缺省管理IP及管理端口，涉及此設(shè)備的題目按0分處理。第一階段任務(wù)書（450分）任務(wù)1：網(wǎng)絡(luò)平臺搭建（100分）題號網(wǎng)絡(luò)需求1根據(jù)網(wǎng)絡(luò)拓撲圖所示，按照IP地址參數(shù)表，對DCFW的名稱、各接口IP地址進行配置。2根據(jù)網(wǎng)絡(luò)拓撲圖所示，按照IP地址參數(shù)表，對DCRS的名稱進行配置，創(chuàng)建VLAN并將相應(yīng)接口劃入VLAN。3根據(jù)網(wǎng)絡(luò)拓撲圖所示，按照IP地址參數(shù)表，對DCRS各接口IP地址進行配置。4根據(jù)網(wǎng)絡(luò)拓撲圖所示，按照IP地址參數(shù)表，對DCWS的各接口IP地址進行配置。5根據(jù)網(wǎng)絡(luò)拓撲圖所示，按照IP地址參數(shù)表，對DCBI的名稱、各接口IP地址進行配置。6根據(jù)網(wǎng)絡(luò)拓撲圖所示，按照IP地址參數(shù)表，對WAF的名稱、各接口IP地址進行配置。任務(wù)2：網(wǎng)絡(luò)安全設(shè)備配置與防護（350分）總部核心交換機DCRS上開啟SSH遠程管理功能,本地認證用戶名:2022DCN,密碼：DCN2022;總部啟用MSTP協(xié)議，NAME為DCN2022、Revision-level1，實例1中包括VLAN10；實例2中包括VLAN20、要求兩條鏈路負載分擔,其中VLAN10業(yè)務(wù)數(shù)據(jù)在E1/0/4進行數(shù)據(jù)轉(zhuǎn)發(fā)，要求VLAN20業(yè)務(wù)數(shù)據(jù)在E1/0/5進行數(shù)據(jù)轉(zhuǎn)發(fā)，通過在DCWS兩個端口設(shè)置COST值2000000實現(xiàn);配置DCRS連接終端接口立即進入轉(zhuǎn)發(fā)模式且在收到BPDU時自動關(guān)閉端口;防止從DCWS方向的根橋搶占攻擊;盡可能加大總部核心交換機DCRS與防火墻DCFW之間的帶寬;配置使總部VLAN10，30，40業(yè)務(wù)的用戶訪問INTERNET往返數(shù)據(jù)流都經(jīng)過DCFW進行最嚴格的安全防護;總部核心交換機DCRS上實現(xiàn)VLAN40業(yè)務(wù)內(nèi)部終端相互二層隔離，啟用環(huán)路檢測，環(huán)路檢測的時間間隔為10s，發(fā)現(xiàn)環(huán)路以后關(guān)閉該端口，恢復時間為30分鐘；總部核心交換機DCRS檢測到VLAN40中私設(shè)DHCP服務(wù)器關(guān)閉該端口;總部核心交換機DCRS開啟某項功能,防止VLAN40下ARP欺騙攻擊;總部核心交換機DCRS上實現(xiàn)訪問控制，在E1/0/14端口上配置MAC地址為00-03-0f-00-00-06的主機不能訪問MAC地址為00-00-00-00-00-ff的主機;2017年勒索蠕蟲病毒席卷全球，爆發(fā)了堪稱史上最大規(guī)模的網(wǎng)絡(luò)攻擊，通過對總部核心交換機DCRS所有業(yè)務(wù)VLAN下配置訪問控制策略實現(xiàn)雙向安全防護;總部部署了一套網(wǎng)管系統(tǒng)實現(xiàn)對核心DCRS交換機進行管理，網(wǎng)管系統(tǒng)IP為：1，讀團體值為：DCN2022，版本為V2C，交換機DCRSTrap信息實時上報網(wǎng)管，當MAC地址發(fā)生變化時，也要立即通知網(wǎng)管發(fā)生的變化，每35s發(fā)送一次；總部核心交換機DCRS出口往返流量發(fā)送給DCBI，由DCBI對收到的數(shù)據(jù)進行用戶所要求的分析;為實現(xiàn)對防火墻的安全管理，在防火墻DCFW的Trust安全域開啟PING,HTTP，SNMP功能，Untrust安全域開啟SSH、HTTPS功能;總部VLAN業(yè)務(wù)用戶通過防火墻訪問Internet時，輪詢復用公網(wǎng)IP：、0；項目二期要啟用云端路由器，需要在總部防火墻DCFW上完成以下預配：防火墻DCFW與云端路由器建立GRE隧道，并使用IPSec保護GRE隧道，保證隧道兩端與VLAN20安全通信。第一階段采用pre-share認證加密算法:3DES；第二階段采用ESP協(xié)議，加密算法:3DES，預設(shè)共享秘鑰:DCN2022配置RIP完成云端路由器、DCFW、總部核心交換機VLAN20的連通性，使用MD5認證，密鑰為DCN2022；總部核心交換機DCRS上使用某種技術(shù)，將VLAN20通過RIP連接云端路由器路由與本地其它用戶訪問INTERNET路由隔離；遠程移動辦公用戶通過專線方式接入總部網(wǎng)絡(luò)，在防火墻DCFW上配置，采用SSL方式實現(xiàn)僅允許對內(nèi)網(wǎng)VLAN30的訪問，用戶名密碼均為DCN2022，地址池參見地址表；出于安全考慮，無線用戶移動性較強，無線用戶訪問INTERNET時需要采用認證，在防火墻上開啟WEB認證，賬號密碼為DCN2022;為了保證帶寬的合理使用，通過流量管理功能將引流組應(yīng)用數(shù)據(jù)流，上行帶寬設(shè)置為2M，下行帶寬設(shè)置為4M;為凈化上網(wǎng)環(huán)境，要求在防火墻DCFW做相關(guān)配置，禁止無線用戶周一至周五工作時間9：00-18：00的郵件內(nèi)容中含有“病毒”、“賭博”的內(nèi)容，且記錄日志；DCBI配置應(yīng)用及應(yīng)用組“流媒體”，UDP協(xié)議端口號范圍10867-10868，在周一至周五8：00-20：00監(jiān)控內(nèi)網(wǎng)中所有用戶的“流媒體”訪問記錄；DCBI配置對內(nèi)網(wǎng)ARP數(shù)量進行統(tǒng)計，要求30分鐘為一個周期；DCBI配置內(nèi)網(wǎng)用戶并發(fā)會話超過1000，60秒報警一次；DCBI配置監(jiān)測到內(nèi)網(wǎng)使用RDP、Telnet協(xié)議時，進行網(wǎng)頁報警；DCBI配置開啟用戶識別功能,對內(nèi)網(wǎng)所有MAC地址進行身份識別；DCBI配置統(tǒng)計出用戶請求站點最多前100排名信息，發(fā)送到郵箱為DCN2022@；DCBI配置創(chuàng)建一個檢查2022-05-01至2022-05-05這個時間段郵箱內(nèi)容包含“密碼”的關(guān)鍵字的任務(wù)；WAF上配置開啟爬蟲防護功能，當爬蟲標識為360Spider，自動阻止該行為；WAF上配置開啟防護策略，將請求報頭DATA自動重寫為DATE;WAF上配置開啟盜鏈防護功能，User-Agent參數(shù)為PPCMacOSX訪問www.DCN2022.com/index.php時不進行檢查;WAF上配置開啟錯誤代碼屏蔽功能，屏蔽404錯誤代碼;WAF上配置阻止用戶上傳ZIP、DOC、JPG、RAR格式文件;WAF上配置開啟基本防護功能，阻止SQL注入、跨站腳本攻擊；WAF上配置編輯防護策略，要求客戶機訪問內(nèi)部網(wǎng)站時，禁止訪問*.bat的文件;無線控制器DCWS上配置管理VLAN為VLAN101,第二個地址作為AP的管理地址,配置AP二層手工注冊并啟用序列號認證，要求連接AP的接口禁止使用TRUNK；無線控制器DCWS上配置DHCP服務(wù)，前十個地址為保留地址，無線用戶VLAN10,20,有線用戶VLAN30,40從DCWS上動態(tài)獲取IP地址；在NETWORK下配置SSID，需求如下：1、設(shè)置SSIDDCN2022，VLAN10，加密模式為wpa-personal,其口令為DCNE2022；2、設(shè)置SSIDGUEST，VLAN20不進行認證加密,做相應(yīng)配置隱藏該SSID；配置SSIDGUEST每天早上0點到6點禁止終端接入;在SSIDDCN2022下啟動組播轉(zhuǎn)單播功能,當某一組播組的成員個數(shù)超過8個時組播M2U功能就會關(guān)閉；開啟ARP抑制功能，開啟自動強制漫游功能、動態(tài)黑名單功能;

第二階段任務(wù)書（550分）任務(wù)1：LinuxKernel提權(quán)（70分）任務(wù)環(huán)境說明：攻擊機：物理機：Windows7物理機安裝工具1：MicrosoftVisualStudio2008物理機安裝工具2：OllyICE虛擬機1：Ubuntu_Linux虛擬機1安裝工具1：Python3/Python2虛擬機1安裝工具2：GCC虛擬機1安裝工具3：GDB虛擬機1安裝工具4：Netcat虛擬機1用戶名：root，虛擬機1密碼：123456虛擬機操作系統(tǒng)2：CentOS_Linux虛擬機2安裝工具1：GCC虛擬機2安裝工具2：GDB虛擬機2用戶名：root，虛擬機2密碼：123456靶機：服務(wù)器場景1：WindowsServer服務(wù)器場景1的FTP下載服務(wù)用戶名：anonymous服務(wù)器場景2：LinuxServer_06任務(wù)內(nèi)容：登錄服務(wù)器場景2的WebShell，通過相關(guān)手段打印當前系統(tǒng)相關(guān)信息（內(nèi)核版本號、硬件架構(gòu)、主機名稱和操作系統(tǒng)類型等，命令并非查看文件），將操作命令作為FLAG值提交；根據(jù)操作命令回顯將內(nèi)核版本信息作為FLAG值提交；通過相關(guān)手段對服務(wù)器場景2上傳提權(quán)文件，將上傳成功提示單詞全部作為FLAG值提交；在攻擊機虛擬機1通過NC進行監(jiān)聽模式，輸出交互信息或報錯信息，并且監(jiān)聽8081端口，將命令作為FLAG值提交；從攻擊機虛擬機1對服務(wù)器場景2通過相關(guān)手段進行NC連接，將成功回顯后結(jié)果的正數(shù)第三排第四個單詞作為FLAG值提交；從攻擊機虛擬機1對服務(wù)器場景2通過相關(guān)手段進行NC成功連接后，通過相關(guān)命令修改root密碼，將回顯最后一行后三個單詞作為FLAG值提交；修改密碼后，查看/root/flag.txt文件，將回顯最后一行最后兩個單詞作為FLAG值提交；對當前用戶進行提權(quán)，提權(quán)成功后，再次查看/root/flag.txt，將回顯內(nèi)容后兩個單詞作為FLAG值提交；任務(wù)2：掃描滲透測試（70分）任務(wù)環(huán)境說明：攻擊機：物理機：Windows7物理機安裝工具1：MicrosoftVisualStudio2008物理機安裝工具2：OllyICE虛擬機1：Ubuntu_Linux虛擬機1安裝工具1：Python3/Python2虛擬機1安裝工具2：GCC虛擬機1安裝工具3：GDB虛擬機1安裝工具4：Netcat虛擬機1用戶名：root，虛擬機1密碼：123456虛擬機操作系統(tǒng)2：CentOS_Linux虛擬機2安裝工具1：GCC虛擬機2安裝工具2：GDB虛擬機2用戶名：root，虛擬機2密碼：123456靶機：服務(wù)器場景1：WindowsServer服務(wù)器場景1的FTP下載服務(wù)用戶名：anonymous服務(wù)器場景2：Windows（不詳）任務(wù)內(nèi)容：針對服務(wù)器場景2上傳一句話木馬，使用文件包含將URL中有關(guān)文件包含的目錄、網(wǎng)頁、參數(shù)字符串作為參數(shù)，通過MD5函數(shù)運算后返回的哈希值的十六進制結(jié)果作為Flag值提交（形式：十六進制字符串）；在服務(wù)器場景2的磁盤C:\Windows下找到ABC_06.py文件，將其上傳到攻擊機虛擬機1中,根據(jù)文件內(nèi)注釋要求的功能完善腳本，在完善腳本代碼中，將FLAG1對應(yīng)需要完善的內(nèi)容字符串作為參數(shù)，通過MD5函數(shù)運算后，返回的哈希值的十六進制結(jié)果作為Flag值提交（形式：十六進制字符串）；繼續(xù)編輯ABC_06.py文件，在完善腳本代碼中，將FLAG2對應(yīng)需要完善的內(nèi)容字符串作為參數(shù)，通過MD5函數(shù)運算后返回的哈希值的十六進制結(jié)果作為Flag值提交（形式：十六進制字符串）；繼續(xù)編輯ABC_06.py文件，在完善腳本代碼中，將FLAG3對應(yīng)需要完善的內(nèi)容字符串作為參數(shù)，通過MD5函數(shù)運算后返回的哈希值的十六進制結(jié)果作為Flag值提交（形式：十六進制字符串）；繼續(xù)編輯ABC_06.py文件，在完善腳本代碼中，將FLAG4對應(yīng)需要完善的內(nèi)容字符串作為參數(shù)，通過MD5函數(shù)運算后返回的哈希值的十六進制結(jié)果作為Flag值提交（形式：十六進制字符串）；繼續(xù)編輯ABC_06.py文件，在完善腳本代碼中，將FLAG5對應(yīng)需要完善的內(nèi)容字符串作為參數(shù)，通過MD5函數(shù)運算后返回的哈希值的十六進制結(jié)果作為Flag值提交（形式：十六進制字符串）；繼續(xù)編輯ABC_06.py文件，在完善腳本代碼中，將FLAG6對應(yīng)需要完善的內(nèi)容字符串作為參數(shù)，通過MD5函數(shù)運算后返回的哈希值的十六進制結(jié)果作為Flag值提交（形式：十六進制字符串）；繼續(xù)編輯ABC_06.py文件，在完善腳本代碼中，將FLAG7對應(yīng)需要完善的內(nèi)容字符串作為參數(shù)，通過MD5函數(shù)運算后返回的哈希值的十六進制結(jié)果作為Flag值提交（形式：十六進制字符串）；繼續(xù)編輯ABC_06.py文件，在完善腳本代碼中，將FLAG8對應(yīng)需要完善的內(nèi)容字符串作為參數(shù)，通過MD5函數(shù)運算后返回的哈希值的十六進制結(jié)果作為Flag值提交（形式：十六進制字符串）；在攻擊機虛擬機1當中執(zhí)行腳本ABC_06.py,根據(jù)回顯將掃描到的服務(wù)器場景2的端口輸出信息字符串作為參數(shù)，通過MD5函數(shù)運算后返回的哈希值的十六進制結(jié)果作為Flag值提交（形式：十六進制字符串）；任務(wù)3：Linux/x86系統(tǒng)漏洞利用（70分）任務(wù)環(huán)境說明：攻擊機：物理機：Windows7物理機安裝工具1：MicrosoftVisualStudio2008物理機安裝工具2：OllyICE虛擬機1：Ubuntu_Linux虛擬機1安裝工具1：Python3/Python2虛擬機1安裝工具2：GCC虛擬機1安裝工具3：GDB虛擬機1安裝工具4：Netcat虛擬機1用戶名：root，虛擬機1密碼：123456虛擬機操作系統(tǒng)2：CentOS_Linux虛擬機2安裝工具1：GCC虛擬機2安裝工具2：GDB虛擬機2用戶名：root，虛擬機2密碼：123456靶機：服務(wù)器場景1：WindowsServer服務(wù)器場景1的FTP下載服務(wù)用戶名：anonymous服務(wù)器場景2：LinuxServer任務(wù)內(nèi)容：使服務(wù)器場景2從服務(wù)器場景1的FTP服務(wù)器中下載文件Exploit_Linux06.c，編輯該C程序文件，對Linux/x86系統(tǒng)下Exploit源程序進行完善，填寫該文件當中空缺的FLAG01字符串，將該字符串通過MD5運算后返回的哈希值的十六進制結(jié)果作為Flag值提交（形式：十六進制字符串）；繼續(xù)編輯該任務(wù)題目1中的C程序文件Exploit_Linux06.c，對Linux/x86系統(tǒng)下Exploit源程序進行完善，填寫該文件當中空缺的FLAG02字符串，將該字符串通過MD5運算后返回的哈希值的十六進制結(jié)果作為Flag值提交（形式：十六進制字符串）；繼續(xù)編輯該任務(wù)題目1中的C程序文件Exploit_Linux06.c，對Linux/x86系統(tǒng)下Exploit源程序進行完善，填寫該文件當中空缺的FLAG03字符串，將該字符串通過MD5運算后返回的哈希值的十六進制結(jié)果作為Flag值提交（形式：十六進制字符串）；繼續(xù)編輯該任務(wù)題目1中的C程序文件Exploit_Linux06.c，對Linux/x86系統(tǒng)下Exploit源程序進行完善，填寫該文件當中空缺的FLAG04字符串，將該字符串通過MD5運算后返回的哈希值的十六進制結(jié)果作為Flag值提交（形式：十六進制字符串）；繼續(xù)編輯該任務(wù)題目1中的C程序文件Exploit_Linux06.c，對Linux/x86系統(tǒng)下Exploit源程序進行完善，填寫該文件當中空缺的FLAG05字符串，將該字符串通過MD5運算后返回的哈希值的十六進制結(jié)果作為Flag值提交（形式：十六進制字符串）；對以上題目中編輯的Exploit_Linux06.c源文件進行編譯、鏈接，使程序運行，將程序運行后，服務(wù)器場景2增加的服務(wù)端口號以字符串的形式作為參數(shù)，通過MD5函數(shù)運算后返回哈希值的十六進制結(jié)果作為Flag值提交（形式：十六進制字符串）；通過NETCAT與服務(wù)器場景2增加的服務(wù)端口建立連接，將獲得的系統(tǒng)提示符以字符串的形式作為參數(shù)，通過MD5函數(shù)運算后返回哈希值的十六進制結(jié)果作為Flag值提交（形式：十六進制字符串）；任務(wù)4：Windows/x86系統(tǒng)漏洞利用（70分）任務(wù)環(huán)境說明：攻擊機：物理機：Windows7物理機安裝工具1：MicrosoftVisualStudio2008物理機安裝工具2：OllyICE虛擬機1：Ubuntu_Linux虛擬機1安裝工具1：Python3/Python2虛擬機1安裝工具2：GCC虛擬機1安裝工具3：GDB虛擬機1安裝工具4：Netcat虛擬機1用戶名：root，虛擬機1密碼：123456虛擬機操作系統(tǒng)2：CentOS_Linux虛擬機2安裝工具1：GCC虛擬機2安裝工具2：GDB虛擬機2用戶名：root，虛擬機2密碼：123456靶機：服務(wù)器場景1：WindowsServer服務(wù)器場景1的FTP下載服務(wù)用戶名：anonymous服務(wù)器場景2：Windows7任務(wù)內(nèi)容：使服務(wù)器場景2從服務(wù)器場景1的FTP服務(wù)器中下載文件Exploit_Windows06.c，編輯該C程序文件，對Windows/x86系統(tǒng)下Exploit源程序進行完善，填寫該文件當中空缺的FLAG01字符串，將該字符串通過MD5運算后返回的哈希值的十六進制結(jié)果作為Flag值提交（形式：十六進制字符串）；繼續(xù)編輯該任務(wù)題目1中的C程序文件Exploit_Windows06.c，對Windows/x86系統(tǒng)下Exploit源程序進行完善，填寫該文件當中空缺的FLAG02字符串，將該字符串通過MD5運算后返回的哈希值的十六進制結(jié)果作為Flag值提交（形式：十六進制字符串）；繼續(xù)編輯該任務(wù)題目1中的C程序文件Exploit_Windows06.c，對Windows/x86系統(tǒng)下Exploit源程序進行完善，填寫該文件當中空缺的FLAG03字符串，將該字符串通過MD5運算后返回的哈希值的十六進制結(jié)果作為Flag值提交（形式：十六進制字符串）；繼續(xù)編輯該任務(wù)題目1中的C程序文件Exploit_Windows06.c，對Windows/x86系統(tǒng)下Exploit源程序進行完善，填寫該文件當中空缺的FLAG04字符串，將該字符串通過MD5運算后返回的哈希值的十六進制結(jié)果作為Flag值提交（形式：十六進制字符串）；繼續(xù)編輯該任務(wù)題目1中的C程序文件Exploit_Windows06.c，對Windows/x86系統(tǒng)下Exploit源程序進行完善，填寫該文件當中空缺的FLAG05字符串，將該字符串通過MD5運算后返回的哈希值的十六進制結(jié)果作為Flag值提交（形式：十六進制字符串）；對以上題目中編輯的Exploit_Windows06.c源文件進行編譯、鏈接，使程序運行，將程序運行后，服務(wù)器場景2增加的服務(wù)端口號以字符串的形式作為參數(shù)，通過MD5函數(shù)運算后返回哈希值的十六進制結(jié)果作為Flag值提交（形式：十六進制字符串）；通過NETCAT與服務(wù)器場景2增加的服務(wù)端口建立連接，將獲得的系統(tǒng)提示符以字符串的形式作為參數(shù)，通過MD5函數(shù)運算后返回哈希值的十六進制結(jié)果作為Flag值提交（形式：十六進制字符串）；任務(wù)5：逆向分析和緩沖區(qū)溢出滲透測試（70分）任務(wù)環(huán)境說明：攻擊機：物理機：Windows7物理機安裝工具1：MicrosoftVisualStudio2008物理機安裝工具2：OllyICE虛擬機1：Ubuntu_Linux虛擬機1安裝工具1：Python3/Python2虛擬機1安裝工具2：GCC虛擬機1安裝工具3：GDB虛擬機1安裝工具4：Netcat虛擬機1用戶名：root，虛擬機1密碼：123456虛擬機操作系統(tǒng)2：CentOS_Linux虛擬機2安裝工具1：GCC虛擬機2安裝工具2：GDB虛擬機2用戶名：root，虛擬機2密碼：123456靶機：服務(wù)器場景1：WindowsServer服務(wù)器場景1的FTP下載服務(wù)用戶名：anonymous服務(wù)器場景2：LinuxServer 任務(wù)內(nèi)容：從靶機服務(wù)器場景的FTP服務(wù)器中下載可執(zhí)行文件OverFlow06，通過攻擊機調(diào)試工具，對以上可執(zhí)行文件進行逆向分析；通過緩沖區(qū)溢出滲透測試方法對服務(wù)器場景2的TCP：4444端口進行滲透測試，獲得靶機根路徑下的文件FLAG01中的字符串，并將該字符串通過MD5運算后返回哈希值的十六進制結(jié)果作為Flag值提交（形式：十六進制字符串）；從靶機服務(wù)器場景的FTP服務(wù)器中下載可執(zhí)行文件OverFlow06，通過攻擊機調(diào)試工具，對以上可執(zhí)行文件進行逆向分析；通過緩沖區(qū)溢出滲透測試方法對服務(wù)器場景2的TCP：4444端口進行滲透測試，獲得靶機根路徑下的文件FLAG02中的字符串，并將該字符串通過MD5運算后返回哈希值的十六進制結(jié)果作為Flag值提交（形式：十六進制字符串）；從靶機服務(wù)器場景的FTP服務(wù)器中下載可執(zhí)行文件OverFlow06，通過攻擊機調(diào)試工具，對以上可執(zhí)行文件進行逆向分析；通過緩沖區(qū)溢出滲透測試方法對服務(wù)器場景2的TCP：4444端口進行滲透測試，獲得靶機根路徑下的文件FLAG03中的字符串，并將該字符串通過MD5運算后返回哈希值的十六進制結(jié)果作為Flag值提交（形式：十六進制字符串）；從靶機服務(wù)器場景的FTP服務(wù)器中下載可執(zhí)行文件OverFlow06，通過攻擊機調(diào)試工具，對以上可執(zhí)行文件進行逆向分析；通過緩沖區(qū)溢出滲透測試方法對服務(wù)器場景2的TCP：4444端口進行滲透測試，獲得靶機根路徑下的文件FLAG04中的字符串，并將該字符串通過MD5運算后返回哈希值的十六進制結(jié)果作為Flag值提交（形式：十六進制字符串）；從靶機服務(wù)器場景的FTP服務(wù)器中下載可執(zhí)行文件OverFlow06，通過攻擊機調(diào)試工具，對以上可執(zhí)行文件進行逆向分析；通過緩沖區(qū)溢出滲透測試方法對服務(wù)器場景2的TCP：4444端口進行滲透測試，獲得靶機根路徑下的文件FLAG05中的字符串，并將該字符串通過MD5運算后返回哈希值的十六進制結(jié)果作為Flag值提交（形式：十六進制字符串）；從靶機服務(wù)器場景的FTP服務(wù)器中下載可執(zhí)行文件OverFlow06，通過攻擊機調(diào)試工具，對以上可執(zhí)行文件進行逆向分析；通過緩沖區(qū)溢出滲透測試方法對服務(wù)器場景2的TCP：4444端口進行滲透測試，獲得靶機根路徑下的文件FLAG06中的字符串，并將該字符串通過MD5運算后返回哈希值的十六進制結(jié)果作為Flag值提交（形式：十六進制字符串）；從靶機服務(wù)器場景的FTP服務(wù)器中下載可執(zhí)行文件OverFlow06，通過攻擊機調(diào)試工具，對以上可執(zhí)行文件進行逆向分析；通過緩沖區(qū)溢出滲透測試方法對服務(wù)器場景2的TCP：4444端口進行滲透測試，獲得靶機根路徑下的文件FLAG07中的字符串，并將該字符串通過MD5運算后返回哈希值的十六進制結(jié)果作為Flag值提交（形式：十六進制字符串）；從靶機服務(wù)器場景的FTP服務(wù)器中下載可執(zhí)行文件OverFlow06，通過攻擊機調(diào)試工具，對以上可執(zhí)行文件進行逆向分析；通過緩沖區(qū)溢出滲透測試方法對服務(wù)器場景2的TCP：4444端口進行滲透測試，獲得靶機根路徑下的文件FLAG08中的字符串，并將該字符串通過MD5運算后返回哈希值的十六進制結(jié)果作為Flag值提交（形式：十六進制字符串）；從靶機服務(wù)器場景的FTP服務(wù)器中下載可執(zhí)行文件OverFlow06，通過攻擊機調(diào)試工具，對以上可執(zhí)行文件進行逆向分析；通過緩沖區(qū)溢出滲透測試方法對服務(wù)器場景2的TCP：4444端口進行滲透測試，獲得靶機根路徑下的文件FLAG09中的字符串，并將該字符串通過MD5運算后返回哈希值的十六進制結(jié)果作為Flag值提交（形式：十六進制字符串）；從靶機服務(wù)器場景的FTP服務(wù)器中下載可執(zhí)行文件OverFlow06，通過攻擊機調(diào)試工具，對以上可執(zhí)行文件進行逆向分析；通過緩沖區(qū)溢出滲透測試方法對服務(wù)器場景2的TCP：4444端口進行滲透測試，獲得靶機根路徑下的文件FLAG10中的字符串，并將該字符串通過MD5運算后返回哈希值的十六進制結(jié)果作為Flag值提交（形式：十六進制字符串）；任務(wù)6：云服務(wù)安全滲透測試（70分）攻擊機：物理機：Windows7物理機安裝工具1：MicrosoftVisualStudio2008物理機安裝工具2：OllyICE虛擬機1：Ubuntu_Linux虛擬機1安裝工具1：Python3/Python2虛擬機1安裝工具2：GCC虛擬機1安裝工具3：GDB虛擬機1安裝工具4：Netcat虛擬機1用戶名：root，虛擬機1密碼：123456虛擬機操作系統(tǒng)2：CentOS_Linux虛擬機2安裝工具1：GCC虛擬機2安裝工具2：GDB虛擬機2用戶名：root，虛擬機2密碼：123456靶機：服務(wù)器場景1：WindowsServer服務(wù)器場景1的FTP下載服務(wù)用戶名：anonymous服務(wù)器場景2：Windows7任務(wù)內(nèi)容：從靶機服務(wù)器場景1的FTP服務(wù)器中下載文件pwn06.py，編輯該Python程序文件，使該程序?qū)崿F(xiàn)通過靶機服務(wù)器場景2中某具有0day漏洞的云服務(wù)來獲得該云服務(wù)器的最高權(quán)限；完善pwn06.py程序文件，填寫該文件當中空缺的FLAG01字符串，將該字符串通過MD5運算后返回的哈希值的十六進制結(jié)果作為Flag值提交（形式：十六進制字符串）；繼續(xù)編輯該任務(wù)題目1中的Python程序文件pwn06.py，使該程序?qū)崿F(xiàn)通過靶機服務(wù)器場景2中某具有0day漏洞的云服務(wù)來獲得該云服務(wù)器的最高權(quán)限，填寫該文件當中空缺的FLAG02字符串，將該字符串通過MD5運算后返回的哈希值的十六進制結(jié)果作為Flag值提交（形式：十六進制字符串）；繼續(xù)編輯該任務(wù)題目1中的Python程序文件pwn06.py，使該程序?qū)崿F(xiàn)通過靶機服務(wù)器場景2中某具有0day漏洞的云服務(wù)來獲得該云服務(wù)器的最高權(quán)限，填寫該文件當中空缺的FLAG03字符串，將該字符串通過MD5運算后返回的哈希值的十六進制結(jié)果作為Flag值提交（形式：十六進制字符串）；繼續(xù)編輯該任務(wù)題目1中的Python程序文件pwn06.py，使該程序?qū)崿F(xiàn)通過靶機服務(wù)器場景2中某具有0day漏洞的云服務(wù)來獲得該云服務(wù)器的最高權(quán)限，填寫該文件當中空缺的FLAG04字符串，將該字符串通過MD5運算后返回的哈希值的十六進制結(jié)果作為Flag值提交（形式：十六進制字符串）；繼續(xù)編輯該任務(wù)題目1中的Python程序文件pwn06.py，使該程序?qū)崿F(xiàn)通過靶機服務(wù)器場景2中某具有0day漏洞的云服務(wù)來獲得該云服務(wù)器的最高權(quán)限，填寫該文件當中空缺的FLAG05字符串，將該字符串通過MD5運算后返回的哈希值的十六進制結(jié)果作為Flag值提交（形式：十六進制字符串）；通過Python程序解釋器執(zhí)行程序文件pwn06.py，獲得靶機服務(wù)器場景2中云服務(wù)器的最高權(quán)限，并打印云服務(wù)器根路徑下的文件FLAG當中的字符串的內(nèi)容，并將該字符串通過MD5運算后返回哈希值的十六進制結(jié)果作為Flag值提交（形式：十六進制字符串）；任務(wù)7：二進制漏洞挖掘與利用（70分）任務(wù)環(huán)