第二届全省职业技能大赛网络安全项目技术文件

第二届全省职业技能大赛

网络安全项目

技

术

文

件

2020年9月

第二届全省职业技能大赛网络安全项目技术文件

1.项目介绍

1.1项目描述

为了全面贯彻党的十九大精神，落实省委、省政府“以竞赛促实践、以竞赛促创新”的

要求，持续推进“人人持证、技能社会建设”，弘扬劳模精神和工匠精神，促进山西省网络

IT行业高技能人才队伍建设，依据项目竞赛技术要求和现行标准规范进行设计。

网络安全，在于保护某计算机系统网络，防止黑客入侵和/或窃取敏感信息和数据。网

络安全技术人员的工作包括通过安装防火墙、数据加密软件以保护机密信息，监控机构的

网络情况是否存在违反数据安全保密的行为，并在出现违规状况后进行相关调查，进行渗

透测试，对网络的弱点进行模拟攻击，以在被黑客利用之前采取防范措施。

网络安全技术人员需要负责数据灾难恢复计划的制定和实施，制定并描述详细的步骤

和方法，以在遭到灾难或攻击后恢复信息和网络系统的正常功能。网络安全技术人员必须确

保其自身知识和技术的不断更新，确保其技术水平始终领先于潜在的网络攻击者。技术人

员还需要熟知网络攻击者渗入计算机系统的最新方法，以及能应对这些威胁的最新安全技

术。

本文件适当吸收世界技能大赛相关技术要求，含项目技术描述、样题、评判标准、本项

目竞赛特别规定、常见违规行为的处罚、健康安全具体要求、设备设施安排及清单等。其中，

样题与比赛试题分值结构、技能考核点可做不超过30%的调整。在比赛过程中，依据赛题，

由小组在规定时间独立完成。

未尽事宜，将在补充通知及赛前项目技术交流时予以说明。

1.2考核标准

该赛项涉及的信息网络安全工程在设计、组建过程中，主要有以下15项国家标准，参

赛队在实施竞赛项目中要求遵循如下规范：

序号标准号中文标准名称

1GB17859-1999《计算机信息系统安全保护等级划分准则》

2GB/T20271-2006《信息安全技术信息系统通用安全技术要求》

3GB/T20270-2006《信息安全技术网络基础安全技术要求》

4GB/T20272-2006《信息安全技术操作系统安全技术要求》

5GB/T20273-2006《信息安全技术数据库管理系统安全技术要求》

《信息安全技术终端计算机系统安全等级技术要

6GA/T671-2006

求》

7GB/T20269-2006《信息安全技术信息系统安全管理要求》

8ISOOSIOSI开放系统互连参考模型

9IEEE802.1局域网概述，体系结构，网络管理和性能测量

10IEEE802.2逻辑链路控制LLC

总线网介质访问控制协议CSMA/CD及物理层技术规

11IEEE802.3

范

12IEEE802.6城域网（MetropolitanAreaNetworks)MAC介质访

2

第二届全省职业技能大赛网络安全项目技术文件

问控制协议DQDB及其物理层技术规范

13IEEE802.10局域网安全技术标准

无线局域网的介质访问控制协议CSMA/CA及其物理

14IEEE802.11

层技术规范

15BG/T22239-2008信息安全技术信息系统安全等级保护基本要求

16网络安全管理员国家职业技能标准（三级）

1.3选手应具备的能力

选手应具备的能力包括以下知识和技能：

序号内容模块具体内容说明

网络平台网络规划VLSM、CIDR等；

搭建基础网络VLAN、WLAN、STP、SVI、RIPV2、OSPF等；

保护网络应用安全，实现防DOS、DDOS攻击、实现包过滤、

应用层代理、状态化包过滤、URL过滤、基于IP、协议、

访问控制

应用、用户角色、自定义数据流和时间等方式的带宽控制，

QOS策略等；

第一密码学基本理论

阶段网络安全L2LIPSecVPN

设备配置GREOverIPSec

密码学和

与防护L2TPOverIPSec

VPN

IKE：PSK

IKE：PKI

SSLVPN等；

能够利用日志系统对网络内的数据进行日志分析，把控网

数据分析

络安全等；

网络渗透MAC渗透测试及其加固；DHCP渗透测试及其加固；ARP渗

测试及其透测试及其加固；STP渗透测试及其加固；VLAN渗透测试

加固技术及其加固；路由协议(RIPV2、OSPF)渗透测试及其加固

操作系统

Windows、Linux操作系统服务缓冲区溢出渗透测试及其

渗透测试

加固

及其加固

SQLInjection（SQL注入）漏洞渗透测试及其安全编程

系统安全

CommandInjection（命令注入）漏洞渗透测试及其安全

第二攻防及运

编程

阶段维安全管

Web应用FileUpload（文件上传）漏洞渗透测试及其安全编程

控

和数据库DirectoryTraversing（目录穿越）漏洞渗透测试及其安

渗透测试全编程

及其加固XSS（CrossSiteScript）漏洞渗透测试及其安全编程

技术CSRF（CrossSiteRequestForgeries）漏洞渗透测试及

其安全编程

CookieStole（Cookie盗用）漏洞渗透测试及其安全编

程

3

第二届全省职业技能大赛网络安全项目技术文件

SessionHijacking（会话劫持）漏洞渗透测试及其安全

编程

配置WAF（Web应用防火墙）加固Web应用等；

参赛队之

第三网络协议安全攻防；Windows/Linux操作系统安全攻防；

分组对抗间进行对

阶段Web应用/数据库安全攻防等；

抗演练

2.竞赛项目

2.1竞赛内容

重点考核参赛选手安全网络组建、网络系统安全策略部署、按照等级保护要求进行系统

加固与信息保护、网络安全运维管理等综合实践能力，具体包括：

1)参赛选手能够根据大赛提供的赛项要求，设计信息安全防护方案，并且能够提供详细

的信息安全防护设备拓扑图。

2)参赛选手能够根据业务需求和实际的工程应用环境，实现网络设备、安全设备、服务

器的连接，通过调试，实现设备互联互通。

3)参赛选手能够在赛项提供的网络设备及服务器上配置各种协议和服务，实现网络系统

的运行，并根据网络业务需求配置各种安全策略，组建网络以满足应用需求。

4)参赛选手能够根据网络实际运行中面临的安全威胁，按照等级要求指定安全策略并部

署实施，实现系统的加固，防范并解决网络恶意入侵和攻击行为。

5)参赛选手能够按照要求准确撰写工作总结（按照比赛现场发放的答题模板分项填写）。

6)以参赛队为单位进行分组对抗，在防护本参赛队服务器的同时，渗透其他参赛队的服

务器，服务器被渗透的参赛队将被扣除相应分数。

模块考核内容

竞赛阶段竞赛任务考核内容

网络平台搭建网络规划文档

权重9%网络设备配置文件或截图文件

防火墙配置截图文件

第一阶段

网络安全设备配置与网络日志系统配置截图文件

权重30%

防护web应用防火墙配置截图文件

权重21%无线控制器配置文件

三层交换机配置文件

系统安全攻防及运维服务器加固配置

第二阶段

安全管控

权重40%服务器渗透配置

权重40%

第三阶段分组对抗防守成功，坚持到竞赛结束

权重30%权重30%渗透成功

样题见附件一。

4

第二届全省职业技能大赛网络安全项目技术文件

2.2竞赛时间安排

比赛场次根据报名队伍数量另行通知，赛项竞赛时间为4小时(不含一、二阶段与第三

阶段切换30分钟)，如报名队伍数量较多，采取抽签分组进行，具体安排如下：

序号内容模块竞赛时间

网络平台搭建

第一阶段权重9%

权重30%网络安全设备配置与防护

180分钟

权重21%

第二阶段系统安全攻防及运维安全管控

权重40%权重40%

中场收卷及二三阶段切换无30分钟

第三阶段分组对抗

60分钟

权重30%权重30%

备注：第一阶段和第二阶段赛题在开始比赛时同时发放，并统一提交答题成果。如果

参赛队伍较多，可能分多场进行，具体安排待报名结束后，另行通知。

3.评判标准

3.1分数和成绩计算方法

采用100分制。各个评分项的分数精确到小数点后两位，小数点后第三位数字采用四

舍五入（如1.055计1.06，1.054计1.05）。比赛采用人工结果评分（客观评分）和机考

结果评分（客观评分）两种方式进行评分。

赛项需进行二次加密，加密后参赛选手中途不得擅自离开赛场。分别由3组加密裁判组

织实施加密工作，管理加密结果。监督员全程监督加密过程。

第一组加密裁判，组织参赛选手进行第一次抽签，产生参赛编号，替换选手参赛证等个

人身份信息，填写一次加密记录表连同选手参赛证等个人身份信息证件，装入一次加密结果

密封袋中单独保管。

第二组加密裁判，组织参赛选手进行第二次抽签，确定赛位号，替换选手参赛编号，填

写二次加密记录表连同选手参赛编号，装入二次加密结果密封袋中单独保管。

所有加密结果密封袋的封条均需相应加密裁判和监督人员签字。密封袋在监督人员监督下由

加密裁判放置于保密室的保险柜中保存。

裁判员执裁过程中，各模块由分组裁判员进行背对背评分，由小组长负责裁定成绩一致

方提交到成绩统计组，统计组再次核对每小题的得分，并汇总产生每套竞赛文档号的对应成

绩。

裁判长正式提交竞赛文档号对应的评分结果并复核无误后，加密裁判在监督人员监督下

对加密结果进行逐层解密，形成成绩一览表，成绩表由裁判长、监督员签字确认。

竞赛评分严格按照公平、公正、公开的原则，评分标准注重考查参赛选手综合能力和水平。

参赛选手应体现团队风貌、团队协作与沟通、组织与管理能力和工作计划能力等，并注意相

关文档的准确性与规范性。

竞赛过程中，参赛选手如有不服从裁判判决、扰乱赛场秩序、舞弊等不文明行为，由裁

判组按照规定扣减相应分数，情节严重的取消竞赛资格。选手有下列情形，需从比赛成绩中

扣分：

5

第二届全省职业技能大赛网络安全项目技术文件

违反比赛规定，提前进行操作或比赛终止后仍继续操作的，由现场裁判负责记录并酌情

扣1-5分。

在竞赛过程中，违反操作规程，影响其他选手比赛的，未造成设备损坏的参赛队，扣

5-10分。

在竞赛过程中，造成设备损坏或影响他人比赛、情节严重的报大赛组委会批准，终止该

参赛队的比赛，竞赛成绩以0分计算。

系统自动启动违规检测，如有如下违规行为，给予扣分：

（1）发现FLAG异常（譬如：删除、修改、杀进程等）；

（2）关闭赛卷中要求开启的端口；

（3）自行改动攻防阶段靶机的IP参数；

（4）靶机关闭。

竞赛成绩以复核无误后，经项目裁判长、监督人员审核签字后确定，并在赛场及赛场外

张贴纸质成绩进行公布。

3.1.1分值分配

竞赛阶段竞赛任务考核内容分值竞赛时间

网络平台搭建网络规划文档2%

权重

9%网络设备配置文件或截图文件7%

防火墙配置截图文件

第一阶段

网络日志系统配置截图文件

权重30%网络安全设备配

置与防护web应用防火墙配置截图文件21%180分钟

权重21%

无线控制器配置文件

三层交换机配置文件

系统安全攻防及服务器加固配置

第二阶段20%

运维安全管控

权重40%

权重40%服务器渗透配置20%

第三阶段分组对抗防守成功，坚持到竞赛结束

30%60分钟

权重30%权重30%渗透成功

3.1.2成绩排序

按比赛总成绩从高到低排列名次。比赛总成绩相同，按第三阶段分组对抗模块较高的名

次在前；如总成绩、第三阶段分组对抗模块均相同，按完成第一二阶段竞赛任务所用时间少

的名次在前。

6

第二届全省职业技能大赛网络安全项目技术文件

3.2评分标准

竞赛阶段竞赛任务考核内容分值评分方式

网络平台搭建网络规划文档2%结果评分-客观

权重9%网络设备配置文件或截图文件7%结果评分-客观

防火墙配置截图文件结果评分-客观

第一阶段

网络安全设备配网络日志系统配置截图文件结果评分-客观

权重30%

置与防护web应用防火墙配置截图文件21%结果评分-客观

权重21%无线控制器配置文件结果评分-客观

三层交换机配置文件结果评分-客观

系统安全攻防及服务器加固配置20%结果评分-客观

第二阶段

运维安全管控

权重40%服务器渗透配置20%结果评分-客观

权重40%

第三阶段分组对抗防守成功，坚持到竞赛结束机考评分-客观

30%

权重30%权重30%渗透成功机考评分-客观

3.3客观和主观评分

本项目全部采用客观评分，第一二阶段为人工对选手提交的结果进行客观审核评定，第

三阶段为机考评分，现场出成绩并公示。最后将三个阶段评分汇总。

3.4裁判员组成和分工

本次竞赛设立专家组，负责编写技术文件、命题和落实赛场设备设施（含工具物料）保

障。

本次竞赛设立裁判组，由1名裁判长，若干裁判员组成。裁判长由专家组长兼任。

3.4.1裁判长

裁判长按照本项目技术文件，对裁判员进行培训和工作分工，带领裁判员对本项目比赛

设备设施和现场布置情况进行检验；组织选手进行安全培训并熟悉赛场及设备，保障所有选

手在比赛前掌握必备的安全知识和安全操作规范；比赛期间组织裁判员执裁，并按照相关要

求和程序，处理项目内出现的问题；组织统计、汇总并及时录入大赛成绩等工作；赛后组织

开展技术点评。裁判长应公平公正组织执裁工作，不参与评分。

3.4.2裁判员

裁判人员需在本项目领域有工作经验、大赛管理或执裁经验，赛前需参加技术规则培训，

掌握大赛技术规则、项目技术文件等要求。裁判员应服从本项目裁判长的工作安排，诚实、

客观和公正执裁。

根据裁判员的相关工作经验以及赛前培训的情况，裁判员分成多个小组：

加密组：主要负责选手的检录、核实证件身份并对选手所提交的作品进行加密和解密工

作。

7

第二届全省职业技能大赛网络安全项目技术文件

监考组：主要负责竞赛现场监考工作和安全巡查，做好维护赛场纪律；记录赛场情况，

做好监考记录；纠正选手违规行为，并对情节严重者及时向裁判长报告作好记录并给出处罚

结果；核查实际操作竞赛使用材料、设备；记录每位选手的实际工作时间。

评判组：负责竞赛结果的评判、成绩复核和汇总工作。

时间记录组：负责记录每位选手的实际工作时间。

检测评分小组：由监督员组成，每小组分配相似分数的评分项目。每项检测评分结果小

组成员均需签字确认，然后报裁判长复核后，由录分员录入系统。

4.竞赛相关设施设备

4.1竞赛设施设备和工具

4.1.1竞赛软件

赛场提供个人计算机（安装Windows操作系统），用以组建竞赛操作环境，并安装Office

序号软件介绍

1Windows7\WindowsXPWindows客户机操作系统

2WindowsServer2003\2008Windows服务器操作系统

3Ubuntu\Debian渗透测试机操作系统

4LinuxCentOSLinux服务器操作系统

等常用应用软件。

序号软件介绍

1Windows操作系统

2MicrosoftOffice文档编辑工具

3VMware虚拟机运行环境

4超级终端设备调试连接工具

赛场提供渗透测试机和靶机虚拟机环境。

4.1.2比赛器材

序号设备名称数量参考规格型号

CS6200交换机，24个千兆以太网电口+4个复

1三层虚拟化交换机1

用千兆SFP光口+4个10GSFP+光口。

DCFW-1800E-N30029个10/100/1000M以太网

2防火墙1

电口；1U标准机箱。

DCST-6000B，平台内置WINDOWS、LINUX系统

3堡垒服务器1管理、数据恢复等课程，同时内置安全扫描、

病毒、木马等诸多课程。

8

第二届全省职业技能大赛网络安全项目技术文件

DCFW-1800-WAF-LAB，对HTTP协议进行深

入分析，为Web应用提供全面的实时有效的防

4WEB应用防火墙1御能力，解决Web应用安全问题，优化业务资

源，采用1U标准机箱，内置6个10/100/1000

以太网电口。

DCBI-NetLog-LAB，采用1U机架式，6个千

兆电口，可实现网站访问、BBS/留言、网络游

5网络日志系统1

戏、下载、各种股票流量、即时消息、邮件等

的分析记录与控制管理。

DCWS-6028，有线无线一体化智能控制器，4

个千兆SFP光口，24个千兆PoE电口，全部电

6无线交换机1

口支持最大30W（802.3at标准）供电，最大

PoE供电功率370W。

WL8200-I2，室内802.11ac放装式无线AP，

内置天线，2.4G/5G双频，整机4条空间流，

7无线接入点1整机最大速率1.167Gbps，支持802.11a/n/ac

和802.11b/g/n同时工作，1个千兆口，支持

USB2.0口。

多核CPU，CPU主频>=3GHZ,>=双核心四线

8PC机2程，内存>=8G，具有串口或者配置USB转串

口的配置线，支持硬件虚拟化

9比赛工位1每队含1张工作台，2把椅子。

4.1.3比赛耗材

序号设备名称数量参数规格

1USB转串口线11.8m力特USB转串口线缆

2网络跳线20六类成品网络跳线，每根1.5米

3网线20米六类网线

4电线10米2.5电线红、蓝色

5水晶头2盒六类千兆网络水晶头

6电工胶布1卷电工胶布

7网线钳1把网线钳

8测线仪1套测线仪

9PVC管1段管径50㎜，管长4m

10电源插板4个4位，线长5m

11警戒带1套每场次100米

12U盘1个16G，usb3.0

13标签纸1张标签纸

14数字标签贴1个直径6.5CM

9

第二届全省职业技能大赛网络安全项目技术文件

15中性笔4支中性笔

16A4纸20张A4纸

17口罩4付口罩

18信封2个信封

19档案袋2个档案袋

20固体胶1支固体胶

21瓶装水4瓶瓶装水

4.2选手自带物品

1)参赛选手凭大赛组委会颁发的参赛凭证和有效身份证件（含身份证、学生证、工作证

等）参加竞赛及相关活动，比赛期间应当始终携带参赛凭证以备检查。

2)参赛选手请勿携带与竞赛无关的电子设备、通讯设备及其他资料与用品进入赛场。

5.项目特别规定

1)参赛选手应按有关要求如实填报个人信息，否则取消竞赛资格。

2)参赛选手应认真学习竞赛相关文件，自觉遵守大赛纪律，服从指挥，听从安排，文明

参赛。

3)参赛选手应按照规定时间抵达赛场，凭参赛证、身份证件检录，按要求入场，不得迟

到早退，遵守比赛纪律，以整齐的仪容仪表和良好的精神风貌参加比赛。

4)参赛选手应按要求在指定工位比赛，赛前确认竞赛内容和现场设备等无误后，在场地

裁判宣布比赛开始后操作，如果发现违规操作，经裁判提示后仍无效，将酌情扣分，情节严

重的经项目裁判长报请总裁判长批准后取消其参赛资格。

5)在竞赛过程中，确因计算机软件或硬件故障，致使操作无法继续的，经裁判确认，启

用备用计算机，由此耽误的比赛时间将予以补时：如因个人操作导致设备系统故障，不予以

补时处理

6)竞赛时间终了，选手应全体起立，结束操作。将资料和工具整齐摆放在操作平台上，

经工作人员清点后可离开赛场，离开赛场时不得带走任何资料

7)在竞赛期间，未经大赛组委会批准，参赛选手不得接受其他单位和个人进行的与竞赛

内容相关的采访。参赛选手不得将竞赛的相关信息私自公布。

5.1赛前

1)竞赛工位通过抽签决定，竞赛期间参赛选手不得离开竞赛工位。

2)竞赛所需的硬件设备、系统软件和辅助工具由组委会统一安排，参赛选手不得自带硬

件设备、软件、移动存储、辅助工具、移动通信等进入竞赛现场。

3)参赛队在赛前10分钟进入竞赛工位并领取竞赛任务，竞赛正式开始后方可展开相关

工作。

5.2赛中

1)竞赛过程中，选手须严格遵守操作规程，确保人身及设备安全，并接受裁判员的监督

和警示。如遇到设备或软件等故障，参赛选手应当举手示意；现场裁判应及时予以解决。如

确因计算机软件或硬件故障，致使操作无法继续的，由现场裁判协同技术人员共同解决。

10

第二届全省职业技能大赛网络安全项目技术文件

2)若因选手因素造成设备故障或损坏，无法继续竞赛时，由现场裁判报告项目裁判长，

项目裁判长报请总裁判长同意后可终止该选手竞赛；若因非参赛选手个人因素造成设备故

障，由裁判长视具体情况做出裁决。

3)参赛选手须按照题目要求及程序提交竞赛结果及相关文档，禁止在竞赛结果上做任何

与竞赛无关的标记。

4)竞赛结束，选手立即停止操作，确认已成功提交所有竞赛文档，等待现场裁判对竞赛

用品及设备进行清点验收方可离开赛场。

5.3违规情形

参赛选手应体现团队风貌、团队协作与沟通、组织与管理能力和工作计划能力等，并注

意相关文档的准确性与规范性。

竞赛过程中，参赛选手如有不服从裁判判决、扰乱赛场秩序、舞弊等不文明行为，由裁

判组按照规定扣减相应分数，情节严重的取消竞赛资格。选手有下列情形，需从比赛成绩中

扣分：

1)违反比赛规定，提前进行操作或比赛终止后仍继续操作的，由现场裁判负责记录并

酌情扣1-5分。

2)在竞赛过程中，违反操作规程，影响其他选手比赛的，未造成设备损坏的参赛队，

扣5-10分。

3)在竞赛过程中，造成设备损坏或影响他人比赛、情节严重的报大赛组委会批准，终

止该参赛队的比赛，竞赛成绩以0分计算。

系统自动启动违规检测，如有如下违规行为，给予扣分：

（1）发现FLAG异常（譬如：删除、修改、杀进程等）；

（2）关闭赛卷中要求开启的端口；

（3）自行改动攻防阶段靶机的IP参数；

（4）靶机关闭。

6.健康、安全和环保要求

6.1比赛环境

6.1.1场地面积要求

每个竞赛工位面积5-8㎡，确保参赛队之间互不干扰，确保每位参赛选手有充足的活动

空间进行比赛相关的操作。

6.1.2竞赛电脑

每组参赛队有1个赛位，两张椅子和1张工作台、竞赛设备1套、2台电脑等。

6.1.3系统安全保障

竞赛工位内设有操作平台，每工位配备220V电源，工位内的电缆线应符合安全要求。

每个竞赛工位面积≥6㎡，确保参赛队之间互不干扰。竞赛工位标明工位号，并配备竞赛平

台和技术工作要求的软、硬件设备。环境标准要求保证赛场采光(大于500lux)、照明和通

风良好；每支参赛队提供一个垃圾垃圾桶。

11

第二届全省职业技能大赛网络安全项目技术文件

6.1.4局域网络

采用星形网络拓扑结构，安装千兆交换机。网线与电源线隐蔽铺设。采用独立网络环境，

不连接INTERNET，禁止外部电脑接入。

6.1.5场地消防和逃生要求

须设立紧急疏散通道，医疗服务站。赛场有志愿服务人员，同时有工作人员维护比赛现

场秩序与卫生。

6.2安全教育

6.2.1组队责任

1)各代表队须安排为参赛选手购买大赛期间的人身意外伤害保险。

2)各代表队须制定相关管理制度，并对所有选手、指导教练进行安全教育。

3)各代表队须加强对参与比赛人员的安全管理，实现与赛场安全管理的对接。

6.2.2应急处理

1)非正常停电

竞赛现场如出现突然非正常停电的，按下述步骤进行处理：

裁判员提示参赛选手，工作人员提示观摩人员要保持镇静，防止踩踏事件发生；

裁判员提示参赛选手在电源保护装置的有效时间内备份计算机操作数据，并等候处理决

定；

必要时，保卫人员开启安全通道，有序疏散现场人员离场；

裁判长视情况决定启动备用电源或延迟竞赛。

现场电力恢复后，由裁判组集体商定根据竞赛内容特点的不同可采用继续比赛、顺延比

赛时间、重赛等处理办法。

2)竞赛设备故障

竞赛过程中如出现竞赛设备故障，按照以下类别处理：

竞赛平台及设备类问题

预留充足备用PC和设备，当出现设备掉电、故障等意外时经现场裁判确认后由赛场技

术支持人员予以更换。

选手操作类问题

由于选手在操作中的误操作，导致设备无法使用。选手举手示意后由现场裁判认定问题

性质，若属操作类问题，由裁判决定是否予以解答，此类情况不予补时。

硬件及环境故障类

比赛过程中PC机突发故障，蓝屏或自动重启，参赛选手举牌示意后，现场裁判计时，

并确认故障后，由技术人员更换备用机，由裁判确定延时的时间，参赛选手签字认可，现场

裁判做好现场记录。

3)参赛选手发生意外受伤或急病等情况

参赛队员发生意外受伤或急病等情况，应按下列步骤进行处理：

参赛选手举手示意；

现场医务人员迅速到达现场，救治或急送最近医院进行救治；

4)参赛现场出现暴力，人员拥堵，急性传染病人员进入等情况应按下述步骤进行处理：

有关人员迅速向赛项总指挥汇报，并由赛项总指挥向赛项组委会汇报，并由赛项组委会

根据事态发展情况确定是否及时报告公安部门、公共卫生部门及医疗部门，在保证赛场内人

12

第二届全省职业技能大赛网络安全项目技术文件

员人生安全的原则下，尽量不扩大事态；

根据赛前制定的现场保卫人员的职责范围，以及突发情况应对的赛前演练安排，赛项保

卫人员迅速就位，对赛场内除参赛选手以外的其他人员进行有序疏散；

人员疏散后进行现场清理，如消毒，找出突发事件隐患并进行处理等；

进行处理后，在保证参赛选手人身安全的前提下，继续有序组织竞赛。

6.2.3医疗设备和措施

场地备有医疗站点，放置医药急救箱，包括外伤处理和急救药物。

6.3环境保护

6.3.1环境安全保障

1)赛场组织与管理员应制定安保须知、安全隐患规避方法及突发事件预案，设立紧急疏

散路线及通道等，确保比赛期间所有进入竞赛地点的车辆、人员需凭证入内；

2)注意保持环境整洁卫生，垃圾集中存放；

3)严禁携带易燃易爆物、管制刀具等危险品及比赛严令禁止的其他物品进入场地；

4)对于紧急发生的拥挤、踩踏、地震、火灾等进行紧急有效的处置。

6.3.2操作安全保障

赛前要对选手进行计算机、网络设备、工具等操作的安全培训，进行安全操作的宣讲，

确保每个队员能够安全操作设备后方可进行比赛。裁判员在比赛前，宣读安全注意事项，强

调用火、用电安全规则。

13

第二届全省职业技能大赛网络安全项目技术文件

附件：样题

第二届全省职业技能大赛网络安全项目样题

赛项时间

共计4小时，不含不含一、二阶段与第三阶段切换及中场收卷30分钟。

赛项信息

竞赛阶段任务阶段竞赛任务竞赛时间分值

第一阶段任务1网络平台搭建60

平台搭建与安全设

备配置防护任务2网络安全设备配置与防护240

任务1XSS渗透测试与安全开发60

任务2密码学与IPSec应用180分钟60

第二阶段

任务3Web应用渗透测试与安全开发60

系统安全攻防及运

任务4ICMP扫描渗透测试60

维安全管控

任务5逆向分析和缓冲区溢出渗透测试80

任务6云服务安全渗透测试80

中场收卷30分钟

第三阶段系统加固15分钟

300

分组对抗系统攻防45分钟

赛项内容

本次大赛，各位选手需要完成三个阶段的任务，其中第一个阶段需要按裁判组专门提

供的U盘中的“XXX-答题模板”提交答案。第二、三阶段请根据现场具体题目要求操作。

选手首先需要在U盘的根目录下建立一个名为“GWxx”的文件夹（xx用具体的工位

号替代），赛题第一阶段所完成的“XXX-答题模板”放置在文件夹中。

例如：08工位，则需要在U盘根目录下建立“GW08”文件夹，并在“GW08”文件夹

下直接放置第一个阶段的所有“XXX-答题模板”文件。

特别说明：只允许在根目录下的“GWxx”文件夹中体现一次工位信息，不允许在其他文件夹

名称或文件名称中再次体现工位信息，否则按作弊处理。

赛项环境设置

网络拓扑图

14

第二届全省职业技能大赛网络安全项目技术文件

IP地址规划表

设备名称接口IP地址对端设备

ETH0/2/30DCRS

ETH0/1/27PC（）

防火墙DCFW/24

L2TPL2TP地址池

可用IP数量为20

ETH0/30/30Netlog

VLAN1002

/30DCRS

ETH1/0/1

ETH1/0/2AP

无线控制器DCWS管理VLAN

54/24

VLAN100

VLAN101

/24

ETH1/0/11-24

WEB应用防火墙ETH2DCST

/24

WAFETH3DCRS

VLAN1001

/30DCFW

ETH1/0/2

VLAN1002

/30DCWS

ETH1/0/1

VLAN10/24无线2

三层交换机DCRS

VLAN20/25无线1

无线管理VLAN

/26

VLAN30

VLAN40

/24PC1

ETH1/0/6-9

15

第二届全省职业技能大赛网络安全项目技术文件

管理VLAN

/24

VLAN100

VLAN200

/24WAF、PC2

ETH1/0/10-24

日志服务器ETH2/30DCFW

DCBI-Netlog

ETH3DCRS(ETH1/0/4)

堡垒服务器DCST--WAF

设备初始化信息

设备名称管理地址默认管理接口用户名密码

防火墙DCFWETH0adminadmin

网络日志系统54ETH0admin123456

DCBI-Netlog

WEB应用防火墙ETH5adminadmin123

WAF

三层交换机-Console--

DCRS

无线交换机-Console--

DCWS

堡垒服务器--参见“DCST登录用户

DCST表”

备注所有设备的默认管理接口、管理IP地址不允许修改;

如果修改对应设备的缺省管理IP及管理端口，涉及此设备的题目按0

分处理。

第一阶段任务书（300分）

任务1：平台搭建要求如下（60分）：

题号网络需求

根据网络拓扑图所示，按照IP地址参数表，对WAF的名称、各接口IP地址进

1

行配置。

根据网络拓扑图所示，按照IP地址参数表，对DCRS的名称、各接口IP地址

2

进行配置。

根据网络拓扑图所示，按照IP地址参数表，对DCFW的名称、各接口IP地址

3

进行配置。

根据网络拓扑图所示，按照IP地址参数表，对DCWS的各接口IP地址进行配

4

置。

16

第二届全省职业技能大赛网络安全项目技术文件

根据网络拓扑图所示，按照IP地址参数表，对DCBI-Netlog的名称、各接口IP

5

地址进行配置。

根据网络拓扑图所示，按照IP地址参数表，在DCRS交换机上创建相应的

6

VLAN，并将相应接口划入VLAN。

7采用静态路由的方式，全网络互连。

8防火墙做必要配置实现内网对外网访问

任务2：网络安全设备配置与防护（240分）

DCFW:

1.在DCFW上配置，连接LAN接口开启PING,HTTP,HTTPS，telnet功能，连接Internet

接口开启PING、HTTPS功能；连接Netlog接口为DMZ区域，合理配置策略，让内

网用户能通过网络管理Netlog;

2.DCFW配置LOG，记录NAT会话，ServerIP为0.开启DCFW上SNMP

服务，ServerIP0团体字符为public5;

3.DCFW做相应配置，使用L2TP方式让外网移动办公用户能够实现对内网的访问，用户

名密码为dcn2015，VPN地址池参见地址表；合理配置安全策略。

4.出于安全考虑，无线用户移动性较强，无线用户访问Internet是需要采用实名认证，在

防火墙上开启Web认证，账号密码为2015web;

5.为了合理利用网络出口带宽，需要对内网用户访问Internet进行流量控制，园区总出口

带宽为200M，对除无线用户以外的用户限制带宽，每天上午9:00到下午6:00每个IP

最大下载速率为2Mbps，上传速率为1Mbps；

6.DCFW上配置NAT功能，使PC3能够通过Web方式正常管理到AC，端口号使用6665;）

合理配置安全策略;

7.在DCFW做相关配置要求防火墙能够记录每天9:00-18:00内网用户访问外网的URL，

保存在日志服务器；

8.配置防火墙Web外发信息控制策略，禁止内网无线用户到所有网站的Web外发信息控

制；内网有线用户到外网网站Web外发信息控制，禁止外发关键字“攻击”“病毒”，

信任值为1，并记录相关日志。

9.DCFW做相关配置要求内网用户不能登录QQ和MSN；

10.DCFW上配置限制内网用户访问限制内网用户访问URL中带有sohu

关键字的所有网站;

Netlog:

11.在DCBI-netlog上配置，设备部署方式为旁路模式，并配置监控接口与管理接口;要求对

内网访问Internet全部应用进行记录日志;

12.在DCBI-netlog上配置，监控周一至周五9：00-18：00无线用户所在网段访问的URL

中包含sohu的HTTP访问记录，并且邮件发送告警;

17

第二届全省职业技能大赛网络安全项目技术文件

13.在DCBI-netlog上配置，添加内容规则，对于网站访问关键字包含“搜狐”的，记录并

邮件报警；

14.在DCBI-netlog上配置，使DCBI能够通过邮件方式发送告警信息，邮件服务器IP

0，端口号25，账号test5dcn，密码test5，当DCBI磁盘使用率超过90%

时发送一次报警；

15.在DCBI-netlog上配置，将DCBI的日志信息发送到日志服务器，日志服务器IP

0，community名字public3；

16.在DCBI-netlog上配置，增加非admin账户DCN2015，密码dcbi5555，该账户仅用于用

户查询设备的日志信息和统计信息；

17.DCBI-netlog配置应用及应用组“P2P下载”，UDP协议端口号范围40500-42000，在

周一至周五9：00-18：00监控LAN中所有用户的“P2P下载”访问记录并告警；

WAF:

18.在WAF上配置，公司内部有一台网站服务器直连到WAF，IP地址是0，

端口是8080，并将服务访问日志、Web防护日志、服务监控日志发送至