逗逼是猴子请来的吗
范文一:【2016高职职业院校技能大赛项目方案申报书】网络空间安全
2016年全国职业院校技能大赛
竞赛项目方案申报书
赛项名称: 网络空间安全 赛项组别: 中职组? 高职组? 专业大类: 电子信息大类,专业代码59, 方案设计专家组组长: 武春岭 专家组组长手机: 13436155610
方案申报单位,盖章,: 中国通信工业协会 方案申报负责人: 王敬华 联系手机: 13701332861 邮箱号码: wjh@cciais.org 通讯地址: 北京市海淀区学院南路15号院 邮政编码: 100875 申报日期: 2015年08月25日
1
2016年全国职业院校技能大赛
竞赛项目方案
一、赛项名称
(一)赛项名称
网络空间安全(高职组) (二)压题彩照
(三)赛项归属产业类型
信息产业,信息服务业 (四)赛项归属专业大类
电子信息大类(专业代码 59)
--信息安全技术专业(590208)
--通信网络与设备(590305)
--计算机应用技术(590101)
--计算机网络技术(590102)
2
--网络系统管理(590107)
--计算机通信(590303)
--计算机软件 (590305)
--信息技术应用(590216)
二、赛项申报专家组
职务/单位 专业 年龄 手机号码 邮箱 姓名 职称
武春岭 信息安全 院长 40 13436155610 Wuch50@126.com 重庆电子工程职业学院
李东方 中国通信工业协会 计算机 专家 32 13717551039 East_li@hotmail.com 林雪纲 中国通信工业协会 信息安全 专家 37 18610289322 xueglin@hotmail.com 聂明 南京信息职业技术学院 软件技术 院长 51 13182826666 niuming@njit.edu.cn 胡光永 南京工业职业技术学院 计算机 副院长 41 13951890041 Hugy@niit.edu.cn 陆红 北京信息职业技术学院计算机 所长 52 18910055582 luhong@bitc.edu.cn
技术应用研究所
梁会亭 山东电子职业技术学院 计算机 处长 50 15562691717 lht@sdect.edu.cn 李斌 中国信息安全测评中心 信息安全 主任助44 13911024522 lib@itsec.gov.cn
理
雷敏 北京邮电大学 信息安全 主任 36 13810429455 leimin@bupt.edu.cn 祝烈煌 北京理工大学 信息安全 副院长 39 13522998905 liehuangz@bit.edu.cn 王建 北京西普阳光教育科技信息安全 总经理 40 13701134178 wangjian@simpleware.
股份有限公司 com.cn 王敬华 中国通信工业协会 计算机 副会长 37 13701332861 wjh@cciais.org 林迅 中国通信工业协会 计算机 信息安43 18611660723 lx@cciais.org
全分会
秘书长
三、赛项目的
以赛促教、以赛促学、以赛促改,引导高职教育信息安全专
业方向人才培养的模式改革。实现“学中做,做中学”的人才培
养模式,做到淡化学科,强化专业,培养技术技能型人才,提升
学生职业能力和就业质量。
通过本次大赛,搭建校企合作的平台,提升高职信息安全专
业方向学生能力素质与企业用人标准的吻合度,将行业资源、企
业资源与教学资源相整合,引导高职教育完成实训基地建设、课
程体系建设、人才培养方案和人才培养模式等方面的改革方向。
3
改同时,提升技能大赛与产业发展相同步的水平,提高职业教育服务经济发展方式转变和产业结构调整的能力。
四、赛项设计原则
(一)坚持公开、公平、公正;
(二)专业覆盖面广
赛项技能与各职业院校开设的信息安全技术专业、计算机网络技术专业、计算机应用技术专业、网络系统管理专业、信息技术应用等专业所学的技能相结合,强调当前行业岗位所需的人才及专业技能要求,实现技能培养与岗位要求的一致性。用岗位技能与人才出口驱动众多的职业院校共同参与比赛;用人才输出吸引社会相关行业的关注,实现企业支持赛项、职业院校及广大师生积极参与的目的。
(三)岗位需求量大
国家十二五规划中提出“实施信息安全等级保护、风险评估等制度,加强信息网络监测、管控能力建设,确保基础信息网络和重点信息系统安全”,信息安全人才每年缺口50万人,通过赛项体现职业教育对行业发展的人才贡献。
同时赛项是以团队形式参赛,参赛选手扮演信息安全行业中众多岗位角色中的一种或多种,通过大赛促进专业教学按岗位培养学生,确保学校培养的学生适合岗位需求。
(四)教学实践相结合
网络空间安全所需的技能是一个综合性技能,通过赛项实战将分散在各个专业学科(如网络专业、计算机应用专业、信息应用技术专业等)的专业技能有机融合,引导高职院校作进一步职
4
业规划和岗位技能需求分析,以此作为教学的指挥棒,调整课程体系,优化教学模式,打造职业信息安全专家。
随着“互联网+”、“智能制造”及“网络空间安全”等国家战略的实施推进,各种信息系统和智能设备的联网将产生对安全人才的井喷式需求,尤其是需要大量网络空间安全领域中的安全部署实施和运维管理人才,这是职业院校信息安全技术等相关专业人才培养的机遇和挑战。
同时通过信息安全MOOC与MOOE平台支持高校信息化教学,混合教学等教学方式的改革。
(五)竞赛平台成熟
竞赛采用目前国际流行的信息安全比赛赛制平台,已经经过国内外多个大型赛事的测试,规则成熟稳定,而且在职业院校的实验室已经有广泛应用。
同时与其他赛项相比,赛项各方无论在赛事组织、生活保障有丰富经验;企业均为业内领军企业。
五、赛项方案的特色与创新点
(一)对接产业,瞄准行业用人需求。赛项所匹配的岗位是目前信息安全行业中人才需求较为紧缺的岗位,也是高职信息安全人才培养的重点方向,赛项具有广泛的参与性,多个专业均有涉及。
(二)引领教学改革,在2014至2015年第一届全国网络安全技术对抗联赛基础上,2016年的赛项将深化教学引导作用。
近五年内网络空间安全大赛采取 “顶层设计、逐步推进”的原则进行,基于“信息系统的安全部署和安全管理”为核心,
5
通过阶梯式设计“WEB安全”、“安全测试与风险评估”、“安全运维与应急处理”等赛事主题,根据网络空间安全领域的社会人才需求和目前我国高职院校的人才培养情况制定每年的赛事重点,通过五年周期内系统化的赛事来促进“以赛促教”完善学校针对该类人才的培养体系。
(三)比拼高职教育教学质量,大赛外在的形式是参赛学员间竞技水平的较量,实际比较的参赛省市和职业学校师资水平、装备条件、校企合作深度等多方面实力的比拼,也为更多的高职院校在全国赛场挑战传统强校、脱颖而出提供了舞台,有利于职业教育内在质量和综合实力的交流、竞争与提升。
(四)瞄准前沿,创新理念。赛项关注新一代信息技术产业,尤其当前“互联网+”涉及到各行各业,赛项将目前最为热门的网络空间安全引入到大赛中,把握信息安全技术的发展趋势。
(五)接轨国际信息安全竞赛主流的信息安全竞赛夺旗模式,体现真实、开放、合作、对接等特点,扩大国内外影响,邀请国外队伍参赛,搭建国内外职业教育交流合作平台,促进职业教育国际化。
(六)采用线上与线下相结合的方式进行学习与练习,为学校减负。
六、竞赛内容简介(须附英文对照简介)
“网络空间安全”项目竞赛设计遵循2016年全国职业院校技能大赛(高职组)的总体设计思想及原则之上有所创新。
竞赛设计紧贴信息安全技术应用领域岗位中的主要技能,参考国际流行的信息安全竞赛模式,全面考察学生对网络信息系统
6
操作的建设、防御加固与安全评估综合能力。核心技能如下:
(一)信息安全基础知识
考察网络编程、密码学、逆向工程、隐写术、WEB应用安全
等。
(二)信息安全综合能力
考察服务器系统与应用服务的网络嗅探、信息收集、口令破
解、漏洞分析、注入提权、跨站脚本技术与服务器防御技术等。
(三)信息安全实战能力
通过基础能力与综合能力的结合,考察学生在实际工作环
境中的攻击与防御技术。
竞赛的设计面向信息安全技术应用领域的主要岗位及其所
需技能,突出信息安全管理和评估技术的应用,体现面向应用信
息安全领域的先进技术。
"Cyberspace Security Project Competition "design based on the general design idea and principles of the 2016 National Skills vocational colleges (vocational group)got improved.
Competition design approach to the main skills in position of information security technology applications, reference to the internationalpopular information security race mode,to study of studentcomprehensive ability for network information systems operation
7
building, strengthening defense and security assessment.
The core skills are as follows:
1)Basis of information security
Investigate of network programming, cryptography, reverse engineering, steganography, WEB application security.
2)Comprehensive ability of information security
It mainly inspects server system and application service of the network sniffer, information collection, password cracking, right of vulnerability analysis, injection and cross-site scripting technology and server defense technology, etc.
3)Actual combat ability of information security
Through the combination of basic abilities and comprehensive abilities, inspect students' attack and defense technology in actual working environment. The design of competition face to the key posts of information security technology application field and the required skills, highlight the application of the information security management and evaluation technology, showing the application of advanced technology in information security field.
8
七、竞赛方式(含组队要求、是否邀请境外代表队参赛)
(一)竞赛以团队方式进行,每支参赛队由3名选手组成,须为同校在籍学生,其中队长1名,性别和年级不限,可配2名指导教师。
参赛选手为2016年在籍的高职学生,性别不限,年龄25周岁以下(不含25周岁)。
(二)竞赛分预赛和决赛两个阶段。
预赛由各省、自治区、直辖市部门自行组织,决赛由2016年全国职业院校技能大赛组委会统一组织。
(三)参赛规模。
决赛参赛队由各省、自治区、直辖市等有关部门推荐,根据决赛队数量决定是否分组进行。
(四)不邀请境外代表队参赛。
八、竞赛时间安排与流程
日程安排
08:00-08:10 裁判进入裁判室
08:10-08:50 选手抽签并入场
08:50-09:00 参赛代表队就位并领取比赛任务
09:00-15:00 比赛时间
12:00-12:45 组委会饮食提供
15:00-15:15 参赛代表队离场
15:15- 裁判评分
九、竞赛试题
见附件
9
十、评分标准制定原则、评分方法、评分细则
(一)评分标准制定原则
竞赛评分严格按照公平、公正、公开的原则,评分标准注重考查参赛选手以下三个方面的能力和水平。
按照要求进行系统问题解决,每解决一个问题会得到相应的分值。
按照要求对网络靶机进行渗透测试,没渗透成功一个会得到相应的分值。
按照要求对其他组的信息系统进行渗透(分组对抗模式),并对己方信息系统进行加固,一旦自己所保护的主机被攻破则失去了继续比赛的资格。
(二)评分方法
参赛队成绩由裁判委员会统一评定;
采取以结果为导向、开放式竞赛方式,分别计算阶段得分,不计参赛选手个人得分;
在竞赛过程中,参赛选手如有不服从裁判判决、扰乱赛场秩序、舞弊等不文明行为的,由裁判长按照规定扣减相应分数,情节严重的取消比赛资格,比赛成绩记0分;
竞赛评分细则按照本竞赛规程在竞赛开始7天之前由执行委员会制定。
(三)评分细则
竞赛阶段 竞赛任务 考核内容 分值比例
信息系统夺旗战 信息系统解题夺旗,考核
第一阶段 50%
(50%) 信息安全基础知识。
10
对信息系统进行渗透测
信息系统渗透战
第二部分 试,考核信息安全综合能30%
(30%)
力
信息系统攻防战 进行分组对抗,考核信息
第三部分 20%
(20%) 安全攻击与防御实战能力 十一、奖项设置
竞赛奖项只设置团体奖,团体奖根据参赛代表队总得分,进行排序(总分相同名次并列)。设一等奖10%,二等奖20%,三等奖30%。
十二、技术规范
序号 标准号 中文标准名称
1 GB 17859-1999 《计算机信息系统安全保护等级划分准则》 2 GB/T 20271-2006 《信息安全技术信息系统通用安全技术要求》 3 GB/T 20270-2006 《信息安全技术网络基础安全技术要求》 4 GB/T 20272-2006 《信息安全技术操作系统安全技术要求》 5 GB/T 20273-2006 《信息安全技术数据库管理系统安全技术要求》 6 GA/T 671-2006 《信息安全技术终端计算机系统安全等级技术要求》 7 GB/T 20269-2006 《信息安全技术信息系统安全管理要求》 十三、建议使用的比赛器材、技术平台和场地要求
(一)比赛器材(硬件平台)
序备注 设备名称 数量 参考型号 号
华为、锐捷 每组一台接入交换机,接入1 三层交换机 1 比赛网络用 信息安全攻防西普阳光攻防实战系统;时各小组分配相同权限,皆在2 1 实战系统 代恒运实战比赛系统 此平台进行比赛 网络安全靶场西普阳光网络靶场系统;时各小组分配相同权限,皆在3 1 系统 代恒运靶场实战系统 此平台进行比赛
笔记本或台式机 每小组三台操作PC,用于比4 PC 3
11
赛
(二)技术平台:
比赛的应用系统环境主要基于桌面版和服务器版组成,桌面版主要采用Windows XP Pro (中文版)和Windows 7 (中文版)两个版本,服务器版本根据需要以windows和linux系统为主,版本涉及各类版本;办公软件主要为Microsoft Office 2007(中文版)和RAR 4.0 (中文版);比赛提供sercureCRT7.0作为终端。
具体软件参数如下表所示:
1 微软 Windows XP Pro (中文版) 30天试用版
2 微软 Windows 7 (中文版) 30天试用版
3 RAR 4.0 (中文版) 免费版
4 微软 Microsoft Office 2007(中文版) 30天试用版
5 sercureCRT 7.0绿色版
(三)场地要求:
竞赛工位内设有操作平台,每工位配备220V电源(带漏电保护装置),工位内的电缆线应符合安全要求。每个竞赛工位面积6-9?,确保参赛队之间互不干扰。竞赛工位标明工位号,并配备竞赛平台和技术工作要求的软、硬件。环境标准要求保证赛场采光(大于500lux)、照明和通风良好;每支参赛队提供一个垃圾箱。
赛场组织与管理员应制定安保须知、安全隐患规避方法及突发事件预案,设立紧急疏散路线及通道等,确保比赛期间所有进入带点车辆、人员需凭证入内;严禁携带易燃易爆物、管制刀具等危险品及比赛严令禁止的其他物品进入场地;对于紧急发生的拥挤、踩踏、地震、火灾等进行紧急有效的处置。
12
赛场周围要设立警戒线,防止无关人员进入发生意外事件。比赛现场内应参照相关职业岗位的要求为选手提供必要的劳动保护。在具有危险性的操作环节,裁判员要严防选手出现错误操作。
承办单位应提供保证应急预案实施的条件。对于比赛内容涉及高空作业、可能有坠物、大用电量、易发生火灾等情况的赛项,必须明确制度和预案,并配备急救人员与设施。
十四、安全保障
(一)场地及消防设施:竞赛现场符合消防安全要求,从人员配置到消防设备部署均满足比赛的消防安全要求。
(二)线路布置:竞赛现场网线、电源线以及其他线路按照标准的安全布线要求进行布置。
(三)采光与通风:竞赛现场通风良好、照明符合教室采光要求。
(四)参赛人员安全:竞赛期间参赛人员(含指导和领队)提供集中住宿、专用饮食环境,保障人员和饮食环境。 十五、企业合作意向
西普阳光在2016年将在经费、技术、产品和服务等方面赞助支持技能大赛的组织筹办工作,保障技能大赛顺利举办。
西普阳光申请成为竞赛合作伙伴,承诺向技能大赛提供经费或实物赞助,与大赛长期合作,同时也申请成为竞赛器材供应商和单项赛事冠名企业。
13
其具体支持包括四部分:
(一)设备支持
提供2016年高职组“网络空间安全”赛项的赛项主要专业器材,包括交换机、信息安全攻防实战系统、网络安全靶场系统等竞赛设备的使用权。
(二)经费支持
除设备支持之外,为保证大赛顺利进行,另为大赛提供现金赞助费用。支持大赛执委会、赛项牵头单位及承办校用于大赛宣传、培训、交通、食宿、场地租赁、命题、专家指导、裁判等相关费用支出。
(三)技术支持
承诺提供一系列技术和培训支持,共同参与网络赛项的调研、研讨、论证、命题、评审、裁判工作,负责比赛设备现场安装调试、比赛现场临时突发事件处理等技术支持,及赛前培训支持等一系列相关工作。
(四)其他支持
根据大赛执委会的工作安排,承接一些力所能及的公益工作。
十六、经费预算方案
费用类别 项目 金额(元) 备注
竞赛方案研讨论60000 研讨会专家的用餐、住宿等 证会议组织 赛项研讨论
证、赛题开发竞赛试题开发 40000 专家封闭开发住宿、用餐等费用 及培训预算 大赛通知、赛程、竞赛文档、赛印刷费 20000 题等
14
裁判培训费 10000 裁判员培训费用
合计 130000
场地布置 100000 根据比赛要求布置场地
耗材费用(纸、墨盒、网线,不赛事辅助器材 10000 含电脑)
设备运输、安装、100000 比赛设备运输及安装等 调试
裁判专家费 30000 按照10名裁判计算 赛项实施预现场技术支持 20000 竞赛现场支持 算 赛项宣传费用 100000 宣传材料制作, 媒体网站维护等
工作人员餐费 10000 比赛当天工作人员两顿正餐用餐
参赛队伍餐费 10000 比赛当天参赛队伍午餐用餐
奖品 60000 获奖选手奖品
预留资金 30000 处理赛事突发事件
合计 470000
总计(元) 600000
十七、比赛组织与管理
(一)申报单位:筹划赛项、主持成立执委会、专家组和裁判组,组织设计论证和赛事实施管理等活动。
(二)承办校:场地规划,比赛器材整理,安保工作,赛场组织管理工作等。
(三)支持企业:设备支持,资金支持,技术支持等 十八、教学资源转化建设方案
凸显“以赛促学,以赛促教”的特色,将竞赛内容转化成为日常教学资源是本赛项的特色,为此拟制定如下资源转化方案。
(一)大赛成果教学转化
将大赛使用的服务环境进行提炼整理,形成项目式综合实训课件融入进本公司的信息安全攻防实训平台,结合学校的网络实训环境组建虚拟和现实结合的网络架构,可以在实验室中完整重
15
现;同时也可以形成独立的网络工程或信息安全实训课程,丰富院校的实验课程体系。
(二)大赛技术教材开发
大赛完成之后,将推出
《信息系统渗透与防御技术》教材1本;
《WEB系统应用安全技术》教材1本。
(三)大赛场景师资培训
计划进行多期大赛场景师资培训,培训内容为《信息安全技术与实战》,时间计划在2015年9月-2016年3月。
(四)教学改革方案推广
相关专业发展教学改革整体方案推广,包括推进校园门户网站安全,信息安全专业课程体系建设,信息安全专业教材合编,校企合作基地建设,教师企业实践,学生企业实习,信息安全教学改革研讨会,信息安全人才需求报告等内容,真正做到以赛促学、以赛促教、以赛促改的目的。
十九、筹备工作进度时间表
2015年8月:赛项申报;赛项专家细化评审。
2015年10月:大赛筹备;第一次专家评审会,确定合作企业,确定比赛规程。
2016年2月:第二次专家评审会,确定大赛细节;与承办校对接工作,确定负责人。
2016年4月:第三次专家评审会,确定赛题;行业、企业、承办校对接会。
2016年5月:赛场布置及赛场支持。
16
二十、裁判人员建议
赛项申办成功后,将筹备团队按照大赛管理规定进行分工,组成执委会、专家组和裁判组。
中国通信工业协会会将根据教育部及大赛组委会要求推荐经验丰富的一线教师、行业专家、企业技术专家作为裁判。
需要加密裁判2名、现场裁判60名,评分裁判12名,共计74名
所有裁判为计算机网络类专业或者信息安全专业,有中级以上职称,至少5位裁判(包含裁判长)必须有高级以上职称。
专业技术职
专业技术方称 序号 知识能力要求 人数 裁判类别 向 (职业资格
等级)
工程师、讲1 加密裁判 计算机网络、熟悉网络基础以及2 师及以上 计算机应用、windows和Linux操工程师、讲2 现场裁判 信息安全、网作系统,熟悉信息60 师及以上 络安全方向 安全主要类别和主工程师、讲 要攻防手段。 3 评分裁判 12 师及以上 裁判
总人74
数
二十一、其他
无。
17
附件:
网络空间安全赛项所有试题均为线上答题,样题仅作参考。
“网络空间安全”赛项比赛样题
比赛过程中可以使用PCA连接互联网进行资料查询,但不可使用通讯工具(IM、邮箱、社区问答、论坛、贴吧)进行在线指导,不可寻找替考,不可作弊,一经发现立即取消比赛资格。使用PCA进行资料查询需要在本组监考老师同意,并陪同监视下进行。 PCB与PCC无法连入互联网。
第一阶段:信息系统夺旗战(500分)
请使用PCB或PCC登进入以下链接,进行赛题解答,共10题: 链接:http://ctf1.simplexue.com/basic/xss/
例图:
第二阶段:信息系统渗透战
请使用PCB或PCC登进入以下链接,进行网络渗透,共3题:
192.168.1.100 链接:http://
任务描述:通过赛题网址,进行网络渗透,渗透成功后找到KEY
18
文件,将KEY文件中的内容上传至比赛系统。
例图:
第三阶段:信息系统攻防战(200分)
请使用PCB或PCC通过远程桌面或者其他登录方式进入链接系统,进行攻防实战
链接:192.168.1.10X (X代表组号)
任务描述:
1、登录赛题提供的远程系统,进行守护,确保在比赛时间内不被其他队伍入侵,在比赛时间守护成功获得50分; 2、使用PCB或PCC攻击其他队伍的守护机,每成功入侵一台守护机获得10分,最高150分。(每台守护机仅能够被成功入侵一次)
3、不得攻击守护机以外PC,否则取消比赛资格。
19
范文二:2017广西职业院校技能大赛中职组《网络空间安全》样题
“网络空间安全”项目竞赛任务书,样题, 一、赛项时间
每场3小时。
二、赛项信息
竞赛阶段 任务阶段 竞赛任务 竞赛时间 分值 第一阶段
任务1 攻防环境部署 10 平台搭建与配置
120分钟 第二阶段 任务1 SQL注入攻防 30 单兵模式系统渗
任务2 XSS和CSRF攻防 30 透测试
第三阶段 系统加固 15分钟
30 分组对抗 渗透测试 45分钟 三、赛项内容
,一,赛项环境设置
1.网络拓扑图
1 / 9
2.IP地址规划表
设备名称 接口 IP地址 互联 可用IP数量
Vlan10 x.x.x.x/x 与PC1相连 见赛场IP参数表 三层交换机
见赛场IP参数表 Vlan20 x.x.x.x/x 与PC2相连
PC-1,实战平见赛场IP参数表
EthX x.x.x.x/x 与交换机相连
台管理机
PC-2,渗透测见赛场IP参数表
EthY x.x.x.x/x 与交换机相连
试机
服务器场景 无 详见赛题部分 见赛场IP参数表
1.赛题可用IP地址范围见《赛场IP参数表》,
备注 2.具体网络连接接口见《赛场IP参数表》-“赛场互联接口参数表”,
3.设备互联网段内可用地址数量见《赛场IP参数表》,
2 / 9
4.IP地址分配要求,最节省IP地址,子网有效地址规划遵循2n-2的原则,
5.参赛选手按照《赛场IP参数表》要求,自行分配IP地址段、设备互联接
口,
6.将分配的IP地址段和接口填入《赛场IP参数表》中,《赛场IP参数表》
电子文件存于U盘“第一阶段”文件夹中,请填写完整后提交。,
,二,第一阶段任务书,10分,
任务,网络空间安全平台搭建,10分,
1. 根据网络拓扑图所示,设计连线,制作网线,做好机柜布线系统。 2. 根据网络拓扑图所示,按照IP地址参数表,对网络设备的名称、各接口IP地址进
行配置。
3. 根据网络拓扑图所示,按照IP地址参数表,部署服务器和主机。 4. 据网络拓扑图所示,按照IP地址参数表,在交换机交换机上创建相应的VLAN,
并将相应接口划入VLAN。
5. 配置三层交换机,通过Gratuitous ARP来抵御来自VLAN20接口的针对网关的
ARP欺骗攻击。
6. 配置三层交换机,通过ARP Guard来抵御来自VLAN20接口的针对网关的ARP
欺骗攻击。
7. 在三层交换机的PC2所连接端口配置Port Security特性,阻止PC2发起MAC
Flooding渗透测试。
8. 在三层交换机上配置Access Management安全特性,阻止PC2发起ARP
Spoofing渗透测试。
3 / 9
9. 在三层交换机上配置端口环路检测,Loopback Detection,,防止来自任意物理接口下的单端口环路,并配置存在环路时的检测时间间隔为50秒,不存在环路时的检测时间间隔为20秒。
10. 配置三层交换机生成树协议安全特性,阻止PC2发起BPDU DOS渗透测试。
,三,第二阶段任务书,60分,
任务1,SQL注入攻防
任务环境说明,
服务器场景,WebServ2003
服务器场景操作系统,Microsoft Windows2003 Server
服务器场景安装服务/工具1,Apache2.2,
服务器场景安装服务/工具2,Php6,
服务器场景安装服务/工具3,Microsoft SqlServer2000,
服务器场景安装服务/工具4,EditPlus,
1. 访问WebServ2003服务器场景,进入login.php页面,分析该页面源程序,找到提交的变量名,并将该变量名作为Flag提交,
2. 对该任务题目1页面注入点进行SQL注入渗透测试,使该Web站点可通过任意用户名登录,并将登录密码作为Flag提交,
3. 进入WebServ2003服务器场景的C:\AppServ\www目录,找到loginAuth.php程序,使用EditPlus工具分析并修改PHP源程序,使之可以抵御SQL注入,并将修改后的PHP源程序中的Flag提交,
4 / 9
4. 再次对该任务题目1页面注入点进行渗透测试,验证此次利用该注入点对WebServ2003服务器场景进行SQL注入渗透测试无效,并将Web页面回显内容作为Flag提交,
5. 访问WebServ2003服务器场景,"/"->"Employee Information Query",分析该页面源程序,找到提交的变量名,并将该变量名作为Flag提交,
6. 对该任务题目5页面注入点进行渗透测试,根据输入“%”以及“_”的返回结果确定是注入点,Web页面回显作为Flag提交,
7. 通过对该任务题目5页面注入点进行SQL注入渗透测试,删除WebServ2003服务器场景的C:\目录下的1.txt文档,并将注入代码作为Flag提交,
8. 进入WebServ2003服务器场景的C:\AppServ\www目录,找到QueryCtrl.php程序,使用EditPlus工具分析并修改PHP源程序,使之可以抵御SQL注入渗透测试,并将修改后的PHP源程序中的Flag提交,
9. 再次对该任务题目5页面注入点进行渗透测试,验证此次利用注入点对该WebServ2003服务器场景进行SQL注入渗透测试无效,并将Web页面回显内容作为Flag提交。
任务2,XSS和CSRF攻防
任务环境说明,
服务器场景,WebServ2003
服务器场景操作系统,Microsoft Windows2003 Server
服务器场景安装服务/工具1,Apache2.2,
服务器场景安装服务/工具2,Php6,
5 / 9
服务器场景安装服务/工具3,Microsoft SqlServer2000,
服务器场景安装服务/工具4,EditPlus,
1. 访问WebServ2003服务器场景,"/"->" Employee Message Board",分析该页面源程序,找到提交的变量名,并将该变量名作为Flag提交,
2. 对该任务题目1页面注入点进行XSS渗透测试,并进入"/"->" Employee
Message Board"->"Display Message"页面,根据该页面的显示,确定是注入点,并将Web页面回显内容作为Flag提交,
3. 对该任务题目1页面注入点进行渗透测试,使"/"->" Employee Message
Board"->"Display Message"页面的访问者执行网站,http://hacker.org/,中的木马程序,http://hacker.org/TrojanHorse.exe,并将注入代码内容作为Flag提交,
4. 通过IIS搭建网站,http://hacker.org/,,并通过PC2生成木马程序TrojanHorse.exe,将该程序复制到网站,http://hacker.org/,的WWW根目录下,并将该网站标题作为Flag提交,
5. 当"/"->" Employee Message Board"->"Display Message"页面的访问者执行网站,http://hacker.org/,中的木马程序TrojanHorse.exe以后,访问者主机需要被PC-3远程控制,打开访问者主机的CMD.exe命令行窗口,并将该操作结果回显作为Flag提交,
6. 进入WebServ2003服务器场景的C:\AppServ\www目录,找到insert.php程序,使用EditPlus工具分析并修改PHP源程序,使之可以抵御XSS渗透测试,并将修改后的PHP源程序中的Flag提交,
7. 再次对该任务题目1页面注入点进行渗透测试,验证此次利用该注入点
6 / 9
对WebServ2003服务器场景进行XSS渗透测试无效,并将Web页面回显作为
Flag提交,
8. 访问WebServ2003服务器场景,"/"->" Shopping Hall",分析该页面源程
序,找到提交的变量名,并将该变量名作为Flag提交,
9. 对该任务题目1页面注入点进行渗透测试,使"/"->" Employee Message
Board"->"Display Message"页面的访问者向页面ShoppingProcess.php提交参数
goods=cpu&quantity=999999,查看"/"->"PurchasedGoods.php页面,并将注入
代码作为Flag提交,
10. 进入WebServ2003服务器场景的C:\AppServ\www目录,找到
DisplayMessage.php程序,使用EditPlus工具分析并修改PHP源程序,使之可
以抵御CSRF渗透测试,并将修改后的源程序中的Flag提交,
11. 再次对该任务题目1页面注入点进行渗透测试,验证此次利用该注入点
对WebServ2003服务器场景进行CSRF渗透测试无效,并将Web页面回显内容
作为Flag提交,
,四,第三阶段任务书,分组对抗,30分,
假定各位选手是某公司的系统管理员,负责服务器,受保护服务器IP、管理员账号见
现场发放的参数表,的维护,该服务器可能存在着各种问题和漏洞,见漏洞列表,。你需要
尽快对服务器进行加固,十五分钟之后将会有很多黑客对这台服务器进行攻击。 提示1,该题不需要保存文档,
提示2,服务器中的漏洞可能是常规漏洞也可能是系统漏洞,
提示3,加固常规漏洞,
提示4,对其它参赛队系统进行渗透测试,取得FLAG值并提交到裁判服务器。
7 / 9
十五分钟之后,各位选手将真正进入分组对抗环节。
注意事项,
注意1,任何时候不能关闭80端口,否则将判令停止比赛,第三阶段分数为0分,
注意2,不能对裁判服务器进行攻击,否则将判令停止比赛,第三阶段分数为0分。
注意3,在加固阶段,前十五分钟,具体听现场裁判指令,不得对任何服务器进行攻击,否则将判令攻击者停止比赛,第三阶段分数为0分。
注意4,FLAG值为每台受保护服务器的唯一性标识,每台受保护服务器仅有一个。
在这个环节里,各位选手需要继续保护你的服务器免受各类黑客的攻击,你可以继续加固你的服务器,你也可以选择攻击其他组的保护服务器,其他服务器网段见现场发放的参数表,。
漏洞列表,
1. 靶机上的网站可能存在命令注入的漏洞,要求选手找到命令注入的相关漏洞,利用此漏洞获取一定权限。
2. 靶机上的网站可能存在文件上传漏洞,要求选手找到文件上传的相关漏洞,利用此漏洞获取一定权限
3. 靶机上的网站可能存在文件包含漏洞,要求选手找到文件包含的相关漏洞,与别的漏洞相结合获取一定权限并进行提权
4. 操作系统提供的服务包含了远程代码执行的漏洞,要求用户找到远程代码执行的服务,并利用此漏洞获取系统权限。
5. 操作系统提供的服务可能包含了缓冲区溢出漏洞,要求用户找到缓冲区溢出漏洞的服务,并利用此漏洞获取系统权限。
8 / 9
6. 操作系统中可能存在一些系统后门,选手可以找到此后门,并利用预留的后门直接获取到系统权限。
选手通过以上的所有漏洞点,最后得到其他选手靶机的最高权限,并获取到其他选手靶机上的FLAG值进行提交。
9 / 9
范文三:2017广西职业院校技能大赛中职组《网络空间安全》样题
2017广西职业院校技能大赛中职组《网络空间安全》样题
“网络空间安全”项目竞赛任务书(样题)
一、赛项时间
每场3小时。
二、赛项信息
三、赛项内容
(一)赛项环境设置
1.网络拓扑图
1 / 7
2.IP地址规划表
(二)第一阶段任务书(10分)
任务:网络空间安全平台搭建(10分)
1. 根据网络拓扑图所示,设计连线,制作网线,做好机柜布线系统。
2. 根据网络拓扑图所示,按照IP地址参数表,对网络设备的名称、各接口IP地址进
行配置。
3. 根据网络拓扑图所示,按照IP地址参数表,部署服务器和主机。
4. 据网络拓扑图所示,按照IP地址参数表,在交换机交换机上创建相应的VLAN,并
将相应接口划入VLAN。
5. 配置三层交换机,通过Gratuitous ARP来抵御来自VLAN20接口的
针对网关的ARP
欺骗攻击。
6. 配置三层交换机,通过ARP Guard来抵御来自VLAN20接口的针对网关的ARP欺骗
2 / 7
攻击。
7. 在三层交换机的PC2所连接端口配置Port Security特性,阻止PC2发起MAC
Flooding渗透测试。
8. 在三层交换机上配置Access Management安全特性,阻止PC2发起ARP Spoofing
渗透测试。
9. 在三层交换机上配置端口环路检测(Loopback Detection),防止来自任意物理接
口下的单端口环路,并配置存在环路时的检测时间间隔为50秒,不存在环路时的检测时间间隔为20秒。
10. 配置三层交换机生成树协议安全特性,阻止PC2发起BPDU DOS渗透测试。
(三)第二阶段任务书(60分)
任务1:SQL注入攻防
任务环境说明:
服务器场景:WebServ2003
服务器场景操作系统:Microsoft Windows2003 Server
服务器场景安装服务/工具1:Apache2.2;
服务器场景安装服务/工具2:Php6;
服务器场景安装服务/工具3:Microsoft SqlServer2000;
服务器场景安装服务/工具4:EditPlus;
1. 访问WebServ2003服务器场景,进入login.php页面,分析该页面源程序,找到提交的变量名,并将该变量名作为Flag提交;
2. 对该任务题目1页面注入点进行SQL注入渗透测试,使该Web站点可通过任意用户名登录,并将登录密码作为Flag提交;
3. 进入WebServ2003服务器场景的C:\AppServ\www目录,找到
loginAuth.php程序,使用EditPlus工具分析并修改PHP源程序,使之可以抵御SQL注入,并将修改后的PHP源程序中的Flag提交;
4. 再次对该任务题目1页面注入点进行渗透测试,验证此次利用该注入点对WebServ2003服务器场景进行SQL注入渗透测试无效,并将Web页面回显内容作为Flag提交;
3 / 7
5. 访问WebServ2003服务器场景,"/"->"Employee Information
Query",分析该页面源程序,找到提交的变量名,并将该变量名作为Flag提交;
6. 对该任务题目5页面注入点进行渗透测试,根据输入“%”以及“_”的返回结果确定是注入点,Web页面回显作为Flag提交;
7. 通过对该任务题目5页面注入点进行SQL注入渗透测试,删除
WebServ2003服务器场景的C:\目录下的1.txt文档,并将注入代码作为Flag提交;
8. 进入WebServ2003服务器场景的C:\AppServ\www目录,找到
QueryCtrl.php程序,使用EditPlus工具分析并修改PHP源程序,使之可以抵御SQL注入渗透测试,并将修改后的PHP源程序中的Flag提交;
9. 再次对该任务题目5页面注入点进行渗透测试,验证此次利用注入点对该WebServ2003服务器场景进行SQL注入渗透测试无效,并将Web页面回显内容作为Flag提交。
任务2:XSS和CSRF攻防
任务环境说明:
服务器场景:WebServ2003
服务器场景操作系统:Microsoft Windows2003 Server
服务器场景安装服务/工具1:Apache2.2;
服务器场景安装服务/工具2:Php6;
服务器场景安装服务/工具3:Microsoft SqlServer2000;
服务器场景安装服务/工具4:EditPlus;
1. 访问WebServ2003服务器场景,"/"->" Employee Message Board",分析该页面源程序,找到提交的变量名,并将该变量名作为Flag提交;
2. 对该任务题目1页面注入点进行XSS渗透测试,并进入"/"->" Employee Message Board"->"Display Message"页面,根据该页面的显示,确定是注入点,并将Web页面回显内容作为Flag提交;
3. 对该任务题目1页面注入点进行渗透测试,使"/"->" Employee
Message Board"->"Display Message"页面的访问者执行网站(http://hacker.org/)中的木马程序:http://hacker.org/TrojanHorse.exe,并将注入代码内容作为Flag
4 / 7
提交;
4. 通过IIS搭建网站(http://hacker.org/),并通过PC2生成木马程序
TrojanHorse.exe,将该程序复制到网站(http://hacker.org/)的WWW根目录下,并将该网站标题作为Flag提交;
5. 当"/"->" Employee Message Board"->"Display Message"页面的访问者
执行网站(http://hacker.org/)中的木马程序TrojanHorse.exe以后,访问者主机需要被PC-3远程控制,打开访问者主机的CMD.exe命令行窗口,并将该操作结果回显作为Flag提交;
6. 进入WebServ2003服务器场景的C:\AppServ\www目录,找到insert.php
程序,使用EditPlus工具分析并修改PHP源程序,使之可以抵御XSS渗透测试,并将修改后的PHP源程序中的Flag提交;
7. 再次对该任务题目1页面注入点进行渗透测试,验证此次利用该注入点对
WebServ2003服务器场景进行XSS渗透测试无效,并将Web页面回显作为Flag提交;
8. 访问WebServ2003服务器场景,"/"->" Shopping Hall",分析该页
面源
程序,找到提交的变量名,并将该变量名作为Flag提交;
9. 对该任务题目1页面注入点进行渗透测试,使"/"->" Employee
Message
Board"->"Display Message"页面的访问者向页面
ShoppingProcess.php提交参数goods=cpu&quantity=999999,查看"/"->"PurchasedGoods.php页面,并将注入代码作为Flag提交;
10. 进入WebServ2003服务器场景的C:\AppServ\www目录,找到
DisplayMessage.php程序,使用EditPlus工具分析并修改PHP源程序,使之可以抵御CSRF渗透测试,并将修改后的源程序中的Flag提交;
11. 再次对该任务题目1页面注入点进行渗透测试,验证此次利用该注入点对
WebServ2003服务器场景进行CSRF渗透测试无效,并将Web页面回显内容作为Flag提交;
(四)第三阶段任务书:分组对抗(30分)
假定各位选手是某公司的系统管理员,负责服务器(受保护服务器IP、管理员账号见现场发放的参数表)的维护,该服务器可能存在着各种问题和漏洞(见漏洞列表)。你需要尽快对服务器进行加固,十五分钟之后将会有很多黑客对这台服务器进行攻击。
5 / 7
提示1:该题不需要保存文档;
提示2:服务器中的漏洞可能是常规漏洞也可能是系统漏洞;
提示3:加固常规漏洞;
提示4:对其它参赛队系统进行渗透测试,取得FLAG值并提交到裁判服务器。
十五分钟之后,各位选手将真正进入分组对抗环节。
注意事项:
注意1:任何时候不能关闭80端口,否则将判令停止比赛,第三阶段分数为0分; 注意2:不能对裁判服务器进行攻击,否则将判令停止比赛,第三阶段分数为0分。 注意3:在加固阶段(前十五分钟,具体听现场裁判指令)不得对任何服务器进行攻击,否则将判令攻击者停止比赛,第三阶段分数为0分。
注意4:FLAG值为每台受保护服务器的唯一性标识,每台受保护服务器仅有一个。 在这个环节里,各位选手需要继续保护你的服务器免受各类黑客的攻击,你可以继续加固你的服务器,你也可以选择攻击其他组的保护服务器(其他服务器网段见现场发放的参数表)。
漏洞列表:
1. 靶机上的网站可能存在命令注入的漏洞,要求选手找到命令注入的相关漏洞,利用此漏洞获取一定权限。
2. 靶机上的网站可能存在文件上传漏洞,要求选手找到文件上传的相关漏洞,利用此漏洞获取一定权限
3. 靶机上的网站可能存在文件包含漏洞,要求选手找到文件包含的相关漏洞,与别的漏洞相结合获取一定权限并进行提权
4. 操作系统提供的服务包含了远程代码执行的漏洞,要求用户找到远
程代码执行的服务,并利用此漏洞获取系统权限。
5. 操作系统提供的服务可能包含了缓冲区溢出漏洞,要求用户找到缓冲区溢出漏洞的服务,并利用此漏洞获取系统权限。
6. 操作系统中可能存在一些系统后门,选手可以找到此后门,并利用预留的后门直接获取到系统权限。
选手通过以上的所有漏洞点,最后得到其他选手靶机的最高权限,并获取到其他选手靶机上的FLAG值进行提交。
6 / 7
7 / 7
范文四:2017广西职业院校技能大赛中职组《网络空间安全》样题
“网络空间安全”项目竞赛任务书(样题)
一、赛项时间
每场3小时。
二、赛项信息
三、赛项内容
(一)赛项环境设置
1.网络拓扑图
2.IP地址规划表
(二)第一阶段任务书(10分)
任务:网络空间安全平台搭建(10分)
1. 根据网络拓扑图所示,设计连线,制作网线,做好机柜布线系统。
2. 根据网络拓扑图所示,按照IP地址参数表,对网络设备的名称、各接口IP地址进
行配置。
3. 根据网络拓扑图所示,按照IP地址参数表,部署服务器和主机。
4. 据网络拓扑图所示,按照IP地址参数表,在交换机交换机上创建相应的VLAN,并
将相应接口划入VLAN。
5. 配置三层交换机,通过Gratuitous ARP来抵御来自VLAN20接口的针对网关的ARP
欺骗攻击。
6. 配置三层交换机,通过ARP Guard来抵御来自VLAN20接口的针对网关的ARP欺骗
攻击。
7. 在三层交换机的PC2所连接端口配置Port Security特性,阻止PC2发起MAC
Flooding渗透测试。
8. 在三层交换机上配置Access Management安全特性,阻止PC2发起ARP Spoofing
渗透测试。
9. 在三层交换机上配置端口环路检测(Loopback Detection),防止来自任意物理接
口下的单端口环路,并配置存在环路时的检测时间间隔为50秒,不存在环路时的检测时间间隔为20秒。
10. 配置三层交换机生成树协议安全特性,阻止PC2发起BPDU DOS渗透测试。
(三)第二阶段任务书(60分)
任务1:SQL注入攻防
任务环境说明:
服务器场景:WebServ2003
服务器场景操作系统:Microsoft Windows2003 Server
服务器场景安装服务/工具1:Apache2.2;
服务器场景安装服务/工具2:Php6;
服务器场景安装服务/工具3:Microsoft SqlServer2000;
服务器场景安装服务/工具4:EditPlus;
1. 访问WebServ2003服务器场景,进入login.php页面,分析该页面源程序,
找到提交的变量名,并将该变量名作为Flag提交;
2. 对该任务题目1页面注入点进行SQL注入渗透测试,使该Web站点可通过
任意用户名登录,并将登录密码作为Flag提交;
3. 进入WebServ2003服务器场景的C:\AppServ\www目录,找到
loginAuth.php程序,使用EditPlus工具分析并修改PHP源程序,使之可以抵御SQL注入,并将修改后的PHP源程序中的Flag提交;
4. 再次对该任务题目1页面注入点进行渗透测试,验证此次利用该注入点对
WebServ2003服务器场景进行SQL注入渗透测试无效,并将Web页面回显内容作为Flag提交;
5. 访问WebServ2003服务器场景,"/"->"Employee Information Query",
分析该页面源程序,找到提交的变量名,并将该变量名作为Flag提交;
6. 对该任务题目5页面注入点进行渗透测试,根据输入“%”以及“_”的返
回结果确定是注入点,Web页面回显作为Flag提交;
7. 通过对该任务题目5页面注入点进行SQL注入渗透测试,删除
WebServ2003服务器场景的C:\目录下的1.txt文档,并将注入代码作为Flag提交;
8. 进入WebServ2003服务器场景的C:\AppServ\www目录,找到
QueryCtrl.php程序,使用EditPlus工具分析并修改PHP源程序,使之可以抵御SQL注入渗透测试,并将修改后的PHP源程序中的Flag提交;
9. 再次对该任务题目5页面注入点进行渗透测试,验证此次利用注入点对该
WebServ2003服务器场景进行SQL注入渗透测试无效,并将Web页面回显内容作为Flag提交。
任务2:XSS和CSRF攻防
任务环境说明:
服务器场景:WebServ2003
服务器场景操作系统:Microsoft Windows2003 Server
服务器场景安装服务/工具1:Apache2.2;
服务器场景安装服务/工具2:Php6;
服务器场景安装服务/工具3:Microsoft SqlServer2000;
服务器场景安装服务/工具4:EditPlus;
1. 访问WebServ2003服务器场景,"/"->" Employee Message Board",分析
该页面源程序,找到提交的变量名,并将该变量名作为Flag提交;
2. 对该任务题目1页面注入点进行XSS渗透测试,并进入"/"->" Employee
Message Board"->"Display Message"页面,根据该页面的显示,确定是注入点,并将Web页面回显内容作为Flag提交;
3. 对该任务题目1页面注入点进行渗透测试,使"/"->" Employee Message
Board"->"Display Message"页面的访问者执行网站(http://hacker.org/)中的木马程序:http://hacker.org/TrojanHorse.exe,并将注入代码内容作为Flag
提交;
4. 通过IIS搭建网站(http://hacker.org/),并通过PC2生成木马程序
TrojanHorse.exe,将该程序复制到网站(http://hacker.org/)的WWW根目录下,并将该网站标题作为Flag提交;
5. 当"/"->" Employee Message Board"->"Display Message"页面的访问者
执行网站(http://hacker.org/)中的木马程序TrojanHorse.exe以后,访问者主机需要被PC-3远程控制,打开访问者主机的CMD.exe命令行窗口,并将该操作结果回显作为Flag提交;
6. 进入WebServ2003服务器场景的C:\AppServ\www目录,找到insert.php
程序,使用EditPlus工具分析并修改PHP源程序,使之可以抵御XSS渗透测试,并将修改后的PHP源程序中的Flag提交;
7. 再次对该任务题目1页面注入点进行渗透测试,验证此次利用该注入点对
WebServ2003服务器场景进行XSS渗透测试无效,并将Web页面回显作为Flag提交;
8. 访问WebServ2003服务器场景,"/"->" Shopping Hall",分析该页面源
程序,找到提交的变量名,并将该变量名作为Flag提交;
9. 对该任务题目1页面注入点进行渗透测试,使"/"->" Employee Message
Board"->"Display Message"页面的访问者向页面ShoppingProcess.php提交参数goods=cpu&quantity=999999,查看"/"->"PurchasedGoods.php页面,并将注入代码作为Flag提交;
10. 进入WebServ2003服务器场景的C:\AppServ\www目录,找到
DisplayMessage.php程序,使用EditPlus工具分析并修改PHP源程序,使之可以抵御CSRF渗透测试,并将修改后的源程序中的Flag提交;
11. 再次对该任务题目1页面注入点进行渗透测试,验证此次利用该注入点对
WebServ2003服务器场景进行CSRF渗透测试无效,并将Web页面回显内容作为Flag提交;
(四)第三阶段任务书:分组对抗(30分)
假定各位选手是某公司的系统管理员,负责服务器(受保护服务器IP、管理员账号见现场发放的参数表)的维护,该服务器可能存在着各种问题和漏洞(见漏洞列表)。你需要尽快对服务器进行加固,十五分钟之后将会有很多黑客对这台服务器进行攻击。
提示1:该题不需要保存文档;
提示2:服务器中的漏洞可能是常规漏洞也可能是系统漏洞;
提示3:加固常规漏洞;
提示4:对其它参赛队系统进行渗透测试,取得FLAG值并提交到裁判服务器。
十五分钟之后,各位选手将真正进入分组对抗环节。
注意事项:
注意1:任何时候不能关闭80端口,否则将判令停止比赛,第三阶段分数为0分; 注意2:不能对裁判服务器进行攻击,否则将判令停止比赛,第三阶段分数为0分。 注意3:在加固阶段(前十五分钟,具体听现场裁判指令)不得对任何服务器进行攻击,否则将判令攻击者停止比赛,第三阶段分数为0分。
注意4:FLAG值为每台受保护服务器的唯一性标识,每台受保护服务器仅有一个。 在这个环节里,各位选手需要继续保护你的服务器免受各类黑客的攻击,你可以继续加固你的服务器,你也可以选择攻击其他组的保护服务器(其他服务器网段见现场发放的参数表)。
漏洞列表:
1. 靶机上的网站可能存在命令注入的漏洞,要求选手找到命令注入的相关漏洞,利用此漏洞获取一定权限。
2. 靶机上的网站可能存在文件上传漏洞,要求选手找到文件上传的相关漏洞,利用此漏洞获取一定权限
3. 靶机上的网站可能存在文件包含漏洞,要求选手找到文件包含的相关漏洞,与别的漏洞相结合获取一定权限并进行提权
4. 操作系统提供的服务包含了远程代码执行的漏洞,要求用户找到远程代码执行的服务,并利用此漏洞获取系统权限。
5. 操作系统提供的服务可能包含了缓冲区溢出漏洞,要求用户找到缓冲区溢出漏洞的服务,并利用此漏洞获取系统权限。
6. 操作系统中可能存在一些系统后门,选手可以找到此后门,并利用预留的后门直接获取到系统权限。
选手通过以上的所有漏洞点,最后得到其他选手靶机的最高权限,并获取到其他选手靶机上的FLAG值进行提交。
范文五:2017年全国职业院校技能大赛网络空间安全申报方案
2017年全国职业院校技能大赛
竞赛项目方案申报书
赛项名称:赛项组别:中职组■高职组□ 专业大类:方案设计专家组组长: 专家组组长手机: 13961215712
方案申报单位(盖章):中国职业技术教育学会创业教育专业委员会 方案申报负责人: 邓志良 联系手机: 邮箱号码:
13616128188 mtsdzl@163.com
邮政编码:申报日期:
2017年全国职业院校技能大赛
竞赛项目方案
一、赛项名称
(一)赛项名称 网络空间安全 (二)压题彩照
(三)赛项归属产业类型
第三产业-信息传输、计算机服务和软件业 (四)赛项归属专业大类 09信息技术类 090500计算机网络专业 090100计算机应用专业 090600网站建设与管理专业
二、赛项申报专家组
三、赛项目的
没有网络安全就没有国家安全,网络空间安全已经上升到国家安全战略高度。当今世界,信息技术革命日新月异,对国际政治、经济、文化、社会、军事等领域发展产生了深刻影响。信息化和经济全球化相互促进,互联网已经融入社会生活方方面面,深刻改变了人们的生产和生活方式。我国正
处在这个大潮之中,受到的影响越来越深。我国互联网和信息化工作取得了显著发展成就,网络走入千家万户,网民数量世界第一,我国已成为网络大国。
与此相对应的是,我国网络空间安全问题频出,损失巨大。中国是网络攻击的主要受害国。侵犯个人隐私、损害公民合法权益等违法行为时有发生。2014年,中央网络安全和信息化领导小组宣告成立,表明加强网络安全和信息化建设已经摆在国家发展战略的重要位置。
全国职业院校技能大赛举办9年以来,赛项设置一直强调与产业结构升级和高新技术发展同步,从2011年开始,高职组已经开设了信息安全赛项,到2016年已经成功举办了5届,并且成为了2017-2020的规划赛项,对于高职信息安全与管理专业建设起到了很好的促进作用。
网络空间安全中所包含的技术技能难度也有不同的类别,适合中职学生学习和竞赛的技能点也很多,在2010年修订的中等职业学校专业目录中,“计 算机网络技术”专业(专业代码090500)新增了“网络与信息安全”的专业方向, “网站建设与管理”专业(专业代码090600)新增了“网站建设与信息安全”的专业方向。因此申报增设中职组“网络空间安全”赛项,做好中高职专业衔接,加强中职信息技术类专业学生的信息安全技能和素质,提高择业竞争能力。
赛项紧密结合新一代信息产业发展对网络安全应用型人才的需求,通过竞赛,检验参赛选手对网络、服务器系统等网络空间中各个信息系统的安全防护能力,以及分析、处理现场问题的解决能力,引导中等职业学校关注网络安全技术发展趋势和产业应用方向,促进教产互动、校企融合,增强中职学校学生的新技术学习能力和就业竞争力,为新一代信息技术产业培养应用型人才。
通过本赛项的训练和比赛,选手未来可以胜任的工作岗位有:网络管理员、服务器系统工程师、网络安全工程师、网络安全测试工程师、网络运维工程师等相关应用型工程师岗位。 四、赛项设计原则
(一)坚持公开、公平、公正;
为保证竞赛公平、公开、公正,本赛项将在国赛开始日2月之前公开赛题。赛题以赛项专家组、国家示范校、行业专家、企业专家为班底成立题库开发团队,参照行业规范,工作内容,设计技能操作以及高职信息安全赛项内容进行分析整理,确定适合中职学生的赛题。
在赛制设计中,本赛项90%的分数由计算机评测系统自动评分,大屏幕实时滚动并显示得分情况,最大程度保证赛项公开透明。目前,自动评分的技术难点已经解决,完全有信心可以用于本赛项。
(二)赛项关联职业岗位面广、人才需求量大、职业院校开设专业点多;
中职计算机网络毕业生主要从事系统集成、系统应用、网络工程、网络安全及售后技术支持等五个岗位,而且目前大多数中职学校都开办了计算机及网络类专业,尤其是经济发达地区,人才需求量大。大部分信息技术类专业已经多年没有更新,教学内容陈旧,跟不上现代信息产业的发展。网络空间安全作为信息技术类最热门的技术方向之一,在各个领域有着广泛的人才需求:手机安全、电子商务安全、物流安全等,更不用说传统的金融安全、电信安全等。不同的行业对于网络空间安全要求的程度不同,应用环境不同,所以本科、高职、中职的信息安全毕业生都有不同的职业空间。
赛项涉及的专业点也较多,在信息技术类专业中,非常匹配的专业就有:090500计算机网络专业、090100计算机应用专业、090600网站建设与管理专业。还有几个专业譬如:090700网络安防系统安装与维护、090800软件与信息服务、090900客户信息服务等专业,现在也需要有信息安全的必要技能才能更好地就业。因此网络空间安全是一个具有广泛参与度的赛项。
(三)竞赛内容对应相关职业岗位或岗位群、体现专业核心能力与核心知识、涵盖丰富的专业知识与专业技能点;
赛项设计面对的岗位很多,包括:3-01-02-05计算机操作员,2-02-13-03计算机网络技术人员,X6-08-04-16网络设备调试员,X2-02-13-05计算机网络管理员,X2-12-02-05网络编辑员,X2-02-13-09网络课件设计师,X2-12-02-05网络编辑员等,人才需求量大。
赛项设计适应国家“新一代信息技术产业”的需要,聚焦计算机网络工程领域岗位的主要技能,与相关企业紧密合作,以实际工程项目为基础,基于工作过程,针对计算机网络专业学生的“能力短板”,围绕计算机网络工程领域的先进技术、主流产品,力求突出工程实践;着重考查选手的安全意识、工程能力、职业道德、组织管理能力、工作计划性和职业素养,以赛促教,以赛促改,引领计算机网络专业的教育教学改革;通过竞赛提升中职信息技术相关专业学生的网络安全意识和设备配置能力,使之具备风险评估的基本能力;通过竞赛展示中职学生的工程实践能力,促进社会对网络安全工程相关岗位的了解,提高中职学校的社会认可度,提高学生的就业质量和就业水平。
(四)竞赛平台成熟。根据行业特点,赛项选择相对先进、通用性强、社会保有量高的设备与软件。
本赛项使用的网络设备是业界标准化产品,采用国际通用的协议,用
到的这些网络硬件设备,中职学校的实训室基本上都已配备(而且都是在国赛使用过的设备),不用增加参赛学校的负担。
本赛项所使用的网络空间安全技能评测平台广泛应用于中高职、高校和行业竞赛,如:国家电网信息攻防大赛、ISCC 全国大赛、全国大学生信息安全与对抗竞赛、全国大学生电子设计大赛、全国大学生电子设计竞赛信息安全技术邀请赛、多省市互联网网络安全攻防演练大赛、多省市运营商安全攻防大赛、多省市移动网络安全演练大赛等。平台技术成熟,功能稳定,性能出色,赛题课件在设计中注重中职学生特点。
五、赛项方案的特色与创新点
竞赛内容方面:结合实际工作,基于工作过程,模拟实战演练,考察选手在网络、系统、攻防各个领域的综合能力,尤其是攻防环节,各选手同时互相攻守的过程在大屏幕上实时显示,极具观赏性;
竞赛过程安排:比赛过程充分考虑实际工作,分为两个阶段进行比赛,既有传统的综合布线、网络组建内容,也有经典的系统安全渗透测试,最后采用全场的全攻全守,难度逐渐增加,节奏清晰,符合认知规律。
竞赛结果评判:小部分的分数由裁判员参与,客观评价的方法,大部分的分数由计算机评测系统自动实时评分,保证比赛公开、公平性。对于场外的指导教师而言,能够清楚了解到自己选手的竞赛状态,了解得失,利于后期复盘,总结提高,用于教学。对于赛项的推广,以赛促教、促学的意义重大;
竞赛资源转化:结合教育部国家级职业教育专业教学资源库项目-信息安全资源库建设项目,中高职衔接,以赛促改,推进竞赛成果向教学资源
转化。通过教产合作,重视成果转化,推进竞赛成果向教学资源转化开发,促进教学改革和专业建设,同时完善中职网络安全教学体系,计划配套多本教材,设计新的交互式仿真实训课件辅助教学,通过竞赛将人才供需双方关联起来。
办赛经验丰富:赛项申报的专家团队来自行业、企业、院校,优势互补,具有丰富的技能大赛和行业赛事参赛办赛的经验。
办赛经验1:连续两届云南互联网网络攻防演练大赛。2015年7月,由云南通信管理局委托云南省互联网协会主办的云南首届互联网网络攻防演练大赛在昆明举行,有来自全省各地企业、院校、自由职业者组成的32支团队的84名选手参加比赛。历时5小时。选手们要过18道关,通过最新的信息安全攻防平台模拟场景,向几台现场的虚拟服务器实施攻击,夺取“旗标文件”,最终得分最高者获胜。比赛设置了各种复杂性和不确定性条件,对于参赛人员的技术、智慧、毅力以及团结配合,都是极大考验。第二届比赛在2016年8月进行,63名初赛选手中有15位脱颖而出,将于9月13日进行决赛。该比赛是云南省网络安全规格最高的专业赛事。主办方还将借此次大赛的东风,成立“网络安全应急保障队伍”以及建立“网络安全应急保障队伍专家库”,对于云南省信息安全行业布局产生了巨大的影响。
办赛经验2:连续三届ISCC 河南省赛。ISCC (安全与对抗技术竞赛)河南省赛是由中国密码学会教育工作委员会、河南省高等学校计算机教育研究会、河南省信息安全保密协会联合主办。2013年有9个学校14支队伍
42名学生参加比赛,2014年有15所学校19支队伍57名学生参加比赛,2015年有14所学校30支队伍共90名学生参加比赛。比赛分为基础关,单兵作战,堡垒攻击和夺旗等四个环节,需要一整天的比赛时间。比赛备受关注,每年参赛队伍数量呈递增态势。
六、竞赛内容简介(须附英文对照简介) 赛项名称:网络空间安全
赛项简介:面向中职信息技术类专业的学生,注重考核网络安全设计,安全策略配置,系统渗透测试以及信息安全攻防等方面,还原实际工作场景,基于工作过程的竞赛任务书设计,考察选手网络空间安全的综合技能和素质。
CompetitionName :Network space security
Brief Introduction :For secondary vocational school information technology professional students, pay attention to the assessment of the design of network security, security policy configuration, system penetration test, and information security attack and defense, reducing actual working environment, based on the working process of the contest task design. The effects of players network space
security comprehensive skills and qualities.
七、竞赛方式(含组队要求、是否邀请境外代表队参赛)
1、本赛项为个人赛,比赛时间为180分钟。
2、参赛选手须为2017年度在籍中等职业学校学生;五年制高职一至三年级(含三年级)学生可参加比赛。参赛选手不限性别,年龄须不超过21周岁,即1996年7月1日后出生。每名选手限报1名指导教师,指导教师须为本校专兼职教师。
3、比赛分预赛和决赛。预赛由各省、自治区、直辖市,各计划单列市以及新疆建设兵团等有关部门自行组织,并推荐代表队参加决赛。预赛阶段比赛形式和内容由各省、自治区、直辖市,各计划单列市以及新疆建设兵团自主确定。决赛由2017年全国职业院校技能大赛统一组织。
4、每个省、直辖市、自治区、计划单列市、新疆建设兵团限报4名选手。鼓励各省组织省赛,组织本赛项省级选拔赛的省份,经大赛执行委员会审查备案,可增加1名参赛选手。同一学校报名参赛选手不超过2名。
5、竞赛期间本赛项不允许指导教师进入赛场进行现场指导,在指导教师休息区设置大屏幕实时显示选手比赛进度。
6、本赛项正在与国际参赛队接洽,同时欢迎国内外团队及选手到场观赛。
八、竞赛时间安排与流程
(一)时间安排
(二)竞赛流程图
九、竞赛试题
全国职业院校技能大赛中职组
“网络空间安全”项目竞赛任务书(样题)
一、赛项时间
9:00-12:00,共计3小时。 二、赛项信息
三、赛项内容
(一)赛项环境设置 1. 网络拓扑图
2.IP 地址规划表
(二)第一阶段任务书(100分) 任务1:网络平台搭建(100分)
1. 根据网络拓扑图所示,设计连线,制作网线,做好机柜布线系统。
2. 根据网络拓扑图所示,按照IP 地址参数表,对网络设备的名称、各接口IP 地址进行
配置。
3. 根据网络拓扑图所示,按照IP 地址参数表,部署服务器和主机。
4. 据网络拓扑图所示,按照IP 地址参数表,在交换机交换机上创建相应的VLAN ,并将
相应接口划入VLAN 。
5. 采用RIPV2路由协议,全网络互连。
6. 在三层交换机上运行SSH 服务,客户端PC-1运行支持SSH2.0标准的客户端软件如
Secure Shell Client或Putty ,使用用户名和密码方式登录交换机。
7. 在三层交换机上启动SSL 功能,客户端PC-1通过浏览器客户端通过https 登录交换机
时,交换机和浏览器客户端进行SSL 握手连接,形成安全的SSL 连接通道,从而保证通信的私密性。
8. 在三层交换机上配置,VLAN110用户可通过DHCP 的方式获得IP 地址,在交换机上配
置DHCP Server ,地址池名称为pool110,DNS 地址为202.106.0.20,租期为8天,VLAN110网段最后20个可用地址(DHCP 地址段参考“赛场IP 参数表”)不能被动态分配出去。 9. 配置三层交换机,防止来自VLAN110接口的DHCP 地址池耗尽攻击。
10. 配置三层交换机,防止对公司总部服务器的以下3类DOS (Denial Of Service )攻击:
ICMP Flood攻击、LAND 攻击、SYN Flood攻击。 (三)第二阶段任务书(600分) 任务1:数据库攻防与加固 (200分)
1. 进入xserver-mysql, 加固MySQL 服务器,使所有的访问能被审计,要求通过对mysqld
的启动项进行加固,上传key 值到服务器。
2. 配置Linux 防火墙,允许MySQL 服务能够被访问,要求规则中只包含端口项,对防火
墙规则列表上传key 值到服务器。
3. 进入xserver-mysql ,查看所有用户及权限,找到可以从任何IP 地址访问的用户,对
操作过程上传key 值到服务器。
4. 对题号3中的漏洞进行加固,设定该用户只能从公司PC-1访问,用grants 命令进行
管理,上传key 值到服务器。
5. 检查xserver-mysql 中的是否存在数据库匿名用户,如果存在数据库匿名用户,则删
除该用户,将发现的数据库匿名用户信息以及删除过程进行上传key 值到服务器。 6. 改变默认MySQL 管理员的名称,将系统的默认管理员root 改为admin ,防止被列举,
将执行过程进行上传key 值到服务器。
7. 禁止MySQL 对本地文件进行存取,对mysqld 的启动项进行加固,将加固部分上传key
值到服务器。
8. 限制一般用户浏览其他用户数据库,对mysqld 的启动项进行加固,将加固部分上传
key 值到服务器。
任务2:SQL 注入攻击(200分)
1. 访问网站,并通过Acunetix Web Vulnerability Scanner 扫描器对其进行扫描,识
别存在SQL 注入风险以及注入点的URL ,并上传key 值到服务器。
2. 通过对注入点手工判断,根据报错信息或者输入’and 1=1 以及’and 1=2 比对返回
不同结果确定是注入点,并上传key 值到服务器。
3. Get 型注入,使用sqlmap 对注入点的URL 进行注入测试,获得当前的数据库名称,并
上传key 值到服务器。
4. POST 型注入,使用sqlmap 对注入点的URL 以及POST 数据进行注入测试,获得所有数
据库的名称及个数,并上传key 值到服务器。
5. 登录认证型,在网站注册任意帐号,对后台指定的URL 进行SQL 注入测试,通过SQLMAP
工具dump 到管理员帐号admin 的加密密码并上传key 值到服务器 。
6. 对第五步获取的加密密码进行md5破解,破解成功后的使用admin 帐号进行登录,并
上传key 值到服务器。
任务3:linux 操作系统安全防护 (200分)
1. 修改ssh 的配置文件,禁止root 直接登录,退出所有账号,使用root 直接ssh 登录
操作系统,将提示信息上传key 值到服务器。
2. 修改密码策略配置文件,确保密码最小长度为8位,然后创建新账号,并赋予密码低
于8位,将错误提示信息上传key 值到服务器。
3. 修改/etc/pam.d/ system-auth文件,确保错误登录10次,锁定此账户10分钟,将
配置上传key 值到服务器。
4. 配置至少三个配置文件的umask 值为027,将配置上传key 值到服务器并说明是哪个
配置文件。
5. 自编脚本,查找本机存在SUID 与SGID 的文件,并上传key 值到服务器。 6. 自编脚本,查找本机存在的所有人均有写权限的目录,并上传key 值到服务器。 (四)第三阶段任务书:分组对抗(300分)
各位选手负责服务器(受保护服务器IP 、管理员账号见现场发放的参数表)的维护,该服务器可能存在着各种问题和漏洞(见漏洞列表)。你需要尽快对服务器进行加固,十五分钟之后将会有很多黑客对这台服务器进行猛烈地攻击。
提示1:该题不需要保存文档;
提示2:服务器中的漏洞可能是常规漏洞也可能是系统漏洞;
提示3:加固常规漏洞取得KEY 值并提交到裁判服务器中(裁判服务器网址见现场发放的参数表);
提示4:加固系统漏洞取得FLAG 值并提交到裁判服务器。
在这个环节里,各位选手需要继续保护你的服务器免受各类黑客的攻击,你可以继续加固你的服务器,你也可以选择攻击其他组的保护服务器(其他服务器网段见现场发放的参数表)。
注意1:不允许关闭80端口,否则将判令停止比赛,第三阶段分数为0分;在系统加固时,可以根据需要重启服务;
注意2:不能对裁判服务器进行攻击,否则将判令停止比赛,第三阶段分数为0分。 注意3:不允许更改syslog 的配置,不允许停止syslog 服务,不允许关闭514端口。 注意4:仔细阅读裁判服务器登录界面的大赛规则。
(竞赛样题完)
十、评分标准制定原则、评分方法、评分细则 (一)评分标准制定原则
根据《2016年全国职业院校技能大赛成绩管理办法》的相关要求,遵循成绩管理基本流程,通过检录、一次加密、二次加密、竞赛成绩评定、解密、成绩公布等流程,规范成绩管理。
竞赛评分严格按照公平、公正、公开的原则,评分标准注重考查参赛选手三个阶段的能力和水平。 (二)评分方法
1. 参赛队成绩由裁判委员会统一评定;
2. 采取分步得分、错误不传递、累计总分的积分方式,分别计算环节得分,不计参赛选手个人得分;
3. 比赛总分数1000分,其中900分采用积分赛制:根据攻防对抗、网络攻坚赛的分数计算总和。竞赛系统会进行自动评分和排名,并在比赛的大屏幕上实时展示;
4. 在竞赛过程中,选手如有不服从裁判判决、扰乱赛场秩序、舞弊等不文明行为,由裁判按照规定扣减相应分数并且给予警告,情节严重的取消竞赛资格,竞赛成绩记0分,队员退出比赛现场。
5. 监督组对裁判组的工作进行全程监督,并对竞赛成绩抽检复核。. 仲裁组负责接受由参赛队领队提出的对裁判结果的申诉,组织复议并及时反馈复议结果。
6. 竞赛严格执行裁判遴选管理办法、赛事保密细则和预案、命题管理办法等制度,保证竞赛的公平公正。赞助企业、参赛院校不安排人员进入裁
判团队。 (三)评分细则
1. 评分阶段:
为保证竞赛的公平公正,90%的分数由计算机自动评分,大屏幕直播公开显示。这部分评分需要选手向考评服务器中提交每道题唯一的“KEY”值或者“FLAG”值,系统自动匹配,不需要人工干预;10%的客观结果评分,需要评分裁判根据命题组提供的标准答案进行比对评分,没有主观评价。
2. 分值比例:
竞赛详细评分细则将结合竞赛试题的具体内容由命题组专家设计制定。
十一、奖项设置
遵照《2016年全国职业院校技能大赛奖惩办法》的有关规定。
本赛项为个人赛,依照实际参赛选手数量确定奖项:一等奖占参赛选手总数的10%,二等奖占参赛选手总数的20%,三等奖占参赛选手总数的30%。
获得一等奖参赛选手的指导教师,由赛项组委会颁发优秀指导教师证书。
十二、技术规范
十三、建议使用的比赛器材、技术平台和场地要求 (一)比赛器材
(二)软件技术平台:
比赛的应用系统环境主要基于桌面版和服务器版组成,桌面版主要采用Windows XP Pro (中文版) 和Windows 7 (中文版) 两个版本,服务器版本根据需
要以windows 和linux 系统为主,版本涉及各类版本;办公软件主要为Microsoft Office 2007(中文版) 和RAR 4.0 (中文版) ;比赛提供sercureCRT7.0作为终端。
具体软件参数如下表所示:
1.微软 Windows XP Pro (中文版) 30天试用版 2.微软 Windows 7 (中文版) 30天试用版 3.WINRAR 4.0 (中文版) 免费版
4.微软 Microsoft Office 2007(中文版) 30天试用版 5.SercureCRT 7.0免费版 (三)赛场环境要求:
竞赛工位内设有操作平台,每工位配备220V 电源(带漏电保护装置),工位内的电缆线应符合安全要求。每个竞赛工位面积6-9㎡,确保参赛队之间互不干扰。竞赛工位标明工位号,并配备竞赛平台和技术工作要求的软、硬件。环境标准要求保证赛场采光(大于500lux) 、照明和通风良好;每支参赛队提供一个垃圾箱。
赛场组织与管理员应制定安保须知、安全隐患规避方法及突发事件预案,设立紧急疏散路线及通道等,确保比赛期间所有进入赛点车辆、人员需凭证入内;严禁携带易燃易爆物、管制刀具等危险品及比赛严令禁止的其他物品进入场地;对于紧急发生的拥挤、踩踏、地震、火灾等进行紧急有效的处置。
赛场周围要设立警戒线,防止无关人员进入发生意外事件。比赛现场内应参照相关职业岗位的要求为选手提供必要的劳动保护。在具有危险性的操作环节,裁判员要严防选手出现错误操作。
承办单位应提供保证应急预案实施的条件。对于比赛内容涉及高空作业、可能有坠物、大用电量、易发生火灾等情况的赛项,必须明确制度和预案,并配备急救人员与设施。
十四、安全保障
(一)场地及消防设施:竞赛现场须符合消防安全要求。
(二)线路布置:竞赛现场网线、电源线以及其他线路应符合安全布线要求。
(三)采光与通风:竞赛现场需通风良好、照明需符合教室采光规范。 (四)参赛人员安全:竞赛期间参赛人员(含指导和领队)集中住宿、饮食安全。 十五、经费概算
竞赛预算主要包括组织预算、场地预算、设备预算三大块。对于上述三项发生的费用,主办方将会协调承办学校、协办企业单位,提供比赛场地、比赛设备(设备使用权)和所需资金。具体方式如下。
1、组织预算:由合作企业提供;
2、场地预算:比赛场地由承办学校提供,场地布置费用由承办校和企业共同提供。
3、设备预算:所用比赛设备由合作企业提供使用权的方式解决。 4、经费统筹
(1)使用原则:按照“收支平衡、统筹安排、保证重点、专款专用”的使用原则。
(2)使用方向:做好赛事筹备、赛中运营、赛后维护三方面的合理分配与使用。
(3)统筹经费的监督管理:统一监管、具体实施。 5、经费预算项目清单
十六、比赛组织与管理
设立赛项执行委员会,负责整个比赛的组织与管理。
1、设执行委员会主任(总指挥)一名、副主任(副总指挥)二名,负责赛项若干事宜的总体协调。
2、设赛项办公室:组长一名,组员若干,负责支持执行委员会主任、副主任决策的落实与监督。
3、设立仲裁组:组长一名、组员若干,负责赛项的仲裁工作。 4、下设立裁判组:裁判长一名、裁判若干,负责赛项的裁判工作。 5、设现场赛务组:组长一名,组员若干,负责赛场场地内设备及人员管理。
6、安保组:组长一名,组员若干,负责赛场及周边的安保工作。 7、秘书组:组长一名,组员若干,负责撰文等文案工作。 8、宣传组:组长一名,组员若干,负责赛项宣传等联系工作。 9、设计组:组长一名,组员若干,负责赛项场地、布展等工作。
10、后勤保障组:组长一名,组员若干,负责住宿、饮食、交通等保障工作。
十七、教学资源转化建设方案
在大赛执委会的领导与监督下,赛后60日内向大赛执委会办公室提交资源转化方案,半年内完成资源转化工作。
(一)竞赛过程中获得的主要资源
1、竞赛样题、试题库; 2、竞赛技能考核评分案例; 3、考核环境描述; 4、竞赛过程音视频记录; 5、评委、裁判、专家点评; 6、优秀选手、指导教师访谈。
(二)资源转化基本方案与呈现形式
资源转化成果按照行业标准、契合课程标准、突出技能特色、展现竞赛优势,形成满足职业教育教学需求、体现先进教学模式、反映职业教育先进水平的共享性职业教育教学资源。资源转化成果包含基本资源和拓展资源,充分体现本赛项技能考核特点: 1、基本资源:
基本资源按照技能概要、训练单元、训练资源三大模块设置: (1)技能概要包括技能介绍、训练大纲、技能要点、评价指标等。
(2)训练单元按任务模块或技能模块组织设置,可包括演示文稿、操作流程演示视频/动画等。
(3)训练资源可包括教学方案、训练指导、作业/任务、实验/实训/实习资源等。训练资源模块可单独列出,也可融入各训练单元。
2、拓展资源:
拓展资源以反映技能特色为主,应用于各教学与训练环节,支持技能教学和学习过程,较为成熟的多样性辅助资源。例如:点评视频、访谈视频、试题库、案例库、素材资源库等。
(三)资源的技术标准
资源转化成果以文本文档、演示文稿、视频文件、Flash 文件、图形/图像素材和网页型资源等:
1、文本文档:采用DOC 或DOCX 格式。文件制作所使用的软件版本不低于Microsoft Office 2003。
2、演示文稿:采用PPT 或PPTX 格式。文件制作所使用的软件版本不低于Microsoft Office 2003。尽可能少用宏,播放时不要出现宏脚本提示。
3、视频文件:采用MP4格式。录像环境光线充足、安静,衣着得体,语音清晰。
(1)视频压缩采用H.264(MPEG-4 Part10:profile=main, level=3.0)编码方式,码流率256 Kbps 以上,帧率不低于25 fps ,分辨率不低于720×576(4:3)或1024×576(16:9)。
(2)声音和画面要求同步,无交流声或其他杂音等缺陷,无明显失真、放音过冲、过弱。伴音清晰、饱满、圆润,无失真、噪声杂音干扰、音量忽大忽小现象。解说声与现场声、背景音乐无明显比例失调。音频信噪比不低于48 dB。
(3)字幕要使用符合国家标准的规范字,不出现繁体字、异体字(国家规定
的除外) 、错别字;字幕的字体、大小、色彩搭配、摆放位置、停留时间、出入屏方式力求与其他要素(画面、解说词、音乐)配合适当,不能破坏原有画面。 (4)Flash 文件:文件制作所使用的软件版本不低于Flash 6.0。 (5)图形/图像素材:采用常见存储格式,如GIF 、PNG 、JPG 等。彩色图像颜色数不低于真彩(24位色),灰度图像的灰度级不低于256级,屏幕分辨率不低于1024×768时,扫描图像的扫描分辨率不低于72 dpi。
(6)网页型资源:交互式仿真实训资源。兼容Microsoft IE 、Google Chrome 、Mozilla Firefox浏览器。避免出现大量的垃圾代码,使用网页编辑工具编辑网页,不可直接将Microsoft Word、WPS 等文件内容粘贴到网页文件中。
(四)资源的提交方式与版权
赛项资源转化成果的版权由技能大赛执委会和赛项执委会共享。
(五)资源的使用与管理
资源转化成果的使用与管理由大赛执委会统一使用与管理,会同赛项承办单位、赛项有关专家,联系出版社编辑出版有关赛项试题库、岗位典型操作流程等精品资源。
(六)资源转化项的工作进程表
十八、筹备工作进度时间表
十九、裁判人员建议
二十、赛题公开承诺
承诺保证于开赛2个月前在大赛网络信息发布平台上(www.chinaskills-jsw.org) 公开全部赛题。 二十一、其他
同期举办包括针对学生、带队教师的活动、校企合作论坛、新技术展示、媒体宣传等。
转载请注明出处范文大全网 » 【2016高职职业院校技能大
