2024年广西职业院校技能大赛高职组《信息安全管理与评估》赛项规程

2024年广西职业院校技能大赛

赛项规程

赛项序号：89

赛项组别：高职组

赛项名称：信息安全管理与评估

专业大类：电子信息

1

一、竞赛目的

通过本项目竞赛，使高职学生能熟练运用网络信息安全技术

进行网络组建、安全架构、网络安全运维与监控管等过程，促进

学生团队协作能力、实践与创新能力的提高，以及信息安全与管

理相关专业建设与教学改革；推进高职学校与相关企业的合作，

更好地实现工学结合的人才培养模式，为国家网络信息安全行业

培养高素质的技能型人才。

二、竞赛内容

重点考核参赛选手安全网络组建、网络系统安全策略部署、

按照等级保护要求进行系统加固与信息保护、网络安全运维管理

等综合实践能力，具体包括：

（一）参赛选手能够根据大赛提供的赛项要求，设计信息安

全防护方案，并且能够提供详细的信息安全防护设备拓扑图。

（二）参赛选手能够根据业务需求和实际的工程应用环境，

实现网络设备、安全设备、服务器的连接，通过调试，实现设备

互联互通。

（三）参赛选手能够在赛项提供的网络设备及服务器上配置

各种协议和服务，实现网络系统的运行，并根据网络业务需求配

置各种安全策略，组建网络以满足应用需求。

（四）参赛选手能够根据网络实际运行中面临的安全威胁，

按照等级要求指定安全策略并部署实施，实现系统的加固，防范

2

并解决网络恶意入侵和攻击行为。

（五）参赛选手能够按照要求准确撰写工作总结。

（六）竞赛内容、分值权重和时间分布：

序号内容模块竞赛时间

第一阶段

网络平台搭建与设备安全防护

权重30%

第二阶段

网络安全事件响应、数字取证调查、应用程序安全180分钟

权重30%

第三阶段夺旗挑战CTF（网络安全渗透）

权重40%理论技能与职业素养

三、竞赛时间

本赛项比赛时间为180分钟，比赛限定在1天内进行，组与

组之间间隔90分钟，比赛场次为2场，赛项每场竞赛时间为3

小时。在竞赛前1小时，选手进行抽签，确定技能竞赛的工位号。

详见表1。

表1竞赛时间安排表（以正式公布的赛项指南为准）

时间安排

项目日期场次竞赛地点

检录时间竞赛时间

报到当天领队、选手预备会前提交

第1场08:0009:00-12:00

技能比赛

比赛当天第2场13:3014:30-17:30

比赛总结20:00-20:30

3

四、竞赛试题

本赛项设理论考试，对操作技能进行综合考核，技能竞赛题

为非公开试题，见本赛项规程的竞赛内容。

五、竞赛规则

（一）参赛资格。

参见2024年广西职业院校技能大赛高职组《信息安全管理

与评估》赛项实施方案。

（二）遵循准则。

1.学生必须持本人身份证和参赛证参加比赛。

2.参赛选手出场顺序、位置由抽签决定，不得擅自变更、调

整。

3.参赛选手提前15分钟进入赛场，并按照指定位号参加比

赛。迟到15分钟者，取消比赛资格；比赛开始15分钟后，选手

方可离开赛场。

4.选手在比赛过程中不得擅自离开赛场，如有特殊情况，需

经裁判同意。选手若需休息、饮水或去洗手间等，耗用时间计算

在比赛时间内。

5.比赛结束时，参赛选手应立即停止操作，不得以任何理由

拖延比赛时间。选手操作完成后，在《实际操作现场记录表》上

签名确认，方可离开赛场。

4

六、竞赛环境

（一）竞赛环境安静、整洁。须设立紧急疏散通道，医疗服

务站。

（二）比赛场地可容纳50组队同时比赛，且满足赛项比赛

所需的设备设施。

（三）比赛场地因条件限制不予开放，可通过监控摄像头远

程观摩参赛选手比赛，保证公开、透明。

（四）赛场有志愿服务人员、配备医护人员、医疗室，同时

有治安人员维护比赛现场秩序与卫生。

七、技术规范

《信息安全管理与评估》赛项是以教育部颁布的职业学校相

关专业教学指导方案和国家职业标准相关行业标准规定的技术

要求为标准。

（一）赛项标准与规范。

该赛项涉及的信息网络安全工程在设计、组建过程中，主要

有以下15项国家标准，参赛队在实施竞赛项目中要求遵循如下

规范。

序号标准号中文标准名称

1GB17859-1999《计算机信息系统安全保护等级划分准则》

2GB/T20271-2006《信息安全技术信息系统通用安全技术要求》

3GB/T20270-2006《信息安全技术网络基础安全技术要求》

4GB/T20272-2006《信息安全技术操作系统安全技术要求》

5GB/T20273-2006《信息安全技术数据库管理系统安全技术要求》

5

序号标准号中文标准名称

6GA/T671-2006《信息安全技术终端计算机系统安全等级技术要求》

7GB/T20269-2006《信息安全技术信息系统安全管理要求》

8ISOOSIOSI开放系统互连参考模型

9IEEE802.1局域网概述，体系结构，网络管理和性能测量

10IEEE802.2逻辑链路控制LLC

11IEEE802.3总线网介质访问控制协议CSMA/CD及物理层技术规范

城域网（MetropolitanAreaNetworks)MAC介质访问

12IEEE802.6控制协议DQDB及其物理层技术规范

13IEEE802.10局域网安全技术标准

无线局域网的介质访问控制协议CSMA/CA及其物理层技

14IEEE802.11术规范

15BG/T22239-2008信息安全技术信息系统安全等级保护基本要求

（二）赛项涉及知识点与技能点。

序号内容模块具体内容知识点或技能点

网络规划VLSM、CIDR等；

网络平台搭建

VLAN、WLAN、STP、SVI、RIPV2、OSPF、BGP、

基础网络

IPv6、组播等

保护网络应用安全，实现防DOS、DDOS攻击、

实现包过滤、应用层代理、状态化包过滤、

第一访问控制URL过滤、基于IP、协议、应用、用户角色、

阶段自定义数据流和时间等方式的带宽控制，

网络安全设备QOS策略等

配置与防护密码学基本理论、L2LIPSecVPN、GREOver

密码学和VPNIPSec、L2TPOverIPSec、IKE：PSK、IKE：

PKI、SSLVPN等

能够利用日志系统对网络内的数据进行日

数据分析

志分析，把控网络安全等

网络安全事件操作系统日志、应用系统/中间件日志、系

网络安全事件响应统进程分析、系统安全漏洞及加固

第二响应、数字取证内存镜像分析、编码转换、加解密、数据隐

数字取证调查

阶段调查、应用程序写、文件分析取证、网络流量包分析

安全程序逆向分析、移动应用程序代码分析、恶

应用程序安全

意脚本代码分析

6

序号内容模块具体内容知识点或技能点

SQL注入、文件上传、命令执行、缓冲区溢

夺旗挑战CTF参赛队针对预

出、信息收集、逆向文件分析、二进制漏洞

（网络安全渗设的环境进行

利用、应用服务漏洞利用、操作系统漏洞利

透）渗透测试

用、密码学分析

第三

信息安全与网络基础、操作系统安全、网络

阶段

网络与信息安协议安全、网络设备安全、网络数据安全、

理论技能与、职

全理论、知识和程序代码安全、网络安全渗透、安全运维与

业素养

职业素养应急服务、密码技术、网络安全法律法规、

职业素养

八、技术平台

大赛用的设备：神州数码。赛项设备及工具清单见下表。

（一）竞赛软件。

赛项执委会提供个人计算机（安装Windows操作系统），用

以组建竞赛操作环境，并安装Office等常用应用软件。

序号软件介绍

1Windows操作系统

2MicrosoftOffice文档编辑工具

3VMware虚拟机运行环境

4超级终端设备调试连接工具

赛项执委会提供渗透测试机和靶机虚拟机环境。

序号软件版本

1Windows10professional

2MicrosoftOfficeVersion2010以上

4VMwareWorkstationVersion12以上

5WindowsServer2016Datacenter

6Wireshark3.4.9

7

序号软件版本

7bind9.11.4

8KaliVersion2021.3

9IDAfree7.0

10OllyDbgVersion1.10以上

11PDFreader

12VolatilityVersion2.6以上

13AutopsyVersion4.0以上

14windbgVersion4.0以上

15Jadx-gui1.2.0

16apktool2.6.1

17AndroidStudio2021.3.1

18HxDHexEditorVersion2.X以上版本

19AndroidEmulatorAPI27

20StegSolve1.4

21audacity3.1.0

22Parrot-security4.11.2

23gdb-pwndbg2021.06.22

24sagemath9.2

25pwntools4.5.0

26pycryptodome3.14.1

27frida-server15.1.10

28frida-tools10.4.1

29vscodeX64-1.6.1

30Frp0.38.0

31Neo-reGeorgv3.7.0

32EmEditorFreeV21.5.2

33Putty0.68以上

34VNCviewer1.2.1.2

35VirtualBox6.1.28

36CaptfEncoder2.1.0

8

序号软件版本

37BeautifulSoup44.9.3

38one_gadget1.7.4

39超级终端设备调试连接工具

（二）竞赛设备清单：

序号设备名称数量参考型号

1三层虚拟化交换机1神州数码CS6200-28X-Pro

2防火墙1神州数码DCFW-1800E-N3002-Pro

3堡垒服务器1神州数码DCST-6000B-Pro

4WEB应用防火墙1神州数码DCFW-1800-WAF-P

5网络日志系统1神州数码DCBC-NetLog

6无线交换机1神州数码DCWS-6028-Pro

7无线接入点1神州数码WL8200-I2

多核CPU，CPU主频>=3.5GHZ,>=四

核心八线程，内存>=8G，具有串口

8PC机3或者配置USB转串口的配置线，支

持硬件虚拟化

九、评分标准

（一）制订原则。

大赛裁判工作按照公平、公正、公开的原则进行。以教育部

颁布的职业学校相关专业教学指导方案和国家相关行业规定的

应知、应会的要求为评分原则，依据参赛选手整体表现综合评定，

全面评价参赛选手职业技能水平。

（二）评分方法。

1.裁判员选聘。按照职业院校技能大赛专家和裁判工作管理

9

办法相关制度建立2024年广西职业院校技能大赛赛项裁判库。

裁判长由大赛裁判委员会向大赛组委会推荐，由大赛组委会聘

任。裁判长组建裁判组，执行裁判长负责制。

2.裁判员人数。总人数为7人（其中裁判长1人，裁判员6

人）。

3.成绩审核方法。各阶段（模块）打分均由裁判员签字，现

场工作人员对裁判员的成绩进行核对无误后送至统分室进行成

绩录入。成绩录入完毕后，工作人员交换岗位进行核对，无误后，

按照各项成绩所占比例统计选手最终成绩，打印完毕交至裁判长

审核签字。

4.成绩公布方法。在所有比赛场次评判完毕，成绩录入审核

无误后，由裁判长在成绩汇总表上签字并通过通告栏进行公布。

（三）评分标准。

《信息安全管理与评估》赛项考核要点和评分标准

竞赛阶段具体内容分值评分细则和评分方式

防火墙、网络日志系统、web应用防火墙、无线控

网络平台搭建

制器、三层交换机，物理连接，命名、IP地址等

权重5%

配置，满分50分；结果评分-客观。

防火墙路由、安全策略、NAT、VPN等配置和测试；

第一阶段

网络日志系统网络检测、统计、告警等配置；web

权重30%网络安全设备

应用防火墙防护策略、过滤策略、告警等配置；

配置与防护

无线管理、无线网络设置、安全策略等配置和测

权重25%

试；三层交换机路由、二层安全等配置和测试；

满分250分；结果评分-客观。

网络安全事件操作系统和应用系统的日志分析，漏洞分析，系

第二阶段响应、数字取统进程分析，内存分析，系统安全加固，程序逆

权重30%证调查和应用向分析，编码转换，加解密技术，数据隐写，文

安全件分析取证，网络流量包分析，移动应用程序分

10

竞赛阶段具体内容分值评分细则和评分方式

权重30%析，代码审计；满分300分；结果评分-客观。

使用渗透测试技术利用SQL注入、文件上传、命

令执行、栈溢出、缓冲区溢出等漏洞对目标靶机

夺旗挑战CTF

进行渗透测试；通过信息收集、逆向文件分析、

（网络安全渗

二进制漏洞利用、应用服务漏洞利用、操作系统

透）

漏洞利用、密码学分析及一些杂项信息分析等信

权重30%

息安全技术获取靶机内的关键内容。满分300分；

第三阶段结果评分-客观。

权重40%通过理论测试系统进行理论技能与职业素养考

核，主要考查信息安全与网络基础、操作系统安

理论技能与职全、网络协议安全、网络设备安全、网络数据安

业素养全、程序代码安全、网络安全渗透、安全运维与

权重10%应急服务、密码技术、网络安全法律法规及职业

素养等职业素养。

满分100分；结果评分-客观。

十、奖项设定

参见2024年广西职业院校技能大赛高职组《信息安全管理

与评估》赛项实施方案。

十一、赛项安全管理

（一）赛场组织与管理员应制定安保须知、安全隐患规避方

法及突发事件预案，设立紧急疏散路线及通道等。确保比赛期间

所有进入赛点车辆、人员需凭证入内；严禁携带易燃易爆等危险

品及比赛严令禁止的物品进入场地；场地设备设施均可安全使

用。

（二）参赛选手在参赛过程中，必须服从场内裁判及工作人

员的指挥，严格按照制作规程进行操作，正确使用器具及设备。

11

（三）赛场设置警戒线，赛场24小时有人看管；比赛前两

天起，赛场实行全方位封闭，除工作人员外，选手和指导老师等

非工作人员不准进场。赛场设置联网的监控体系，可以对赛场进

行24小时监控。

（四）裁判员在比赛前，宣读安全注意事项，当现场出现突

发事件时，应及时给予处置。

十二、申诉与仲裁的程序

（一）参赛队对不符合赛项规程规定的仪器、设备、工装、

材料、物件、计算机软硬件、竞赛使用工具、用品；竞赛执裁、

赛场管理、竞赛成绩，以及工作人员的不规范行为等，可向赛项

裁判长及大赛仲裁委员会提出申诉。

（二）申诉主体为参赛队领队。

（三）申诉启动时，参赛队以该赛项领队亲笔签字同意的书

面报告递交材料。报告应对申诉事件的现象、发生时间、涉及人

员、申诉依据等进行充分、实事求是的叙述。非书面申诉不予受

理。

（四）提出申诉的时间应在比赛结束后（选手赛场比赛内容

全部完成）2小时内，超过时效不予受理。

（五）赛项裁判长在接到申诉报告后的2小时内组织复议，

并及时将复议结果以书面形式告知申诉方。申诉方对复议结果仍

有异议，可由该赛项领队代表参赛学校递交加盖学校公章的书面

报告向大赛仲裁委员会提出申诉。大赛仲裁委员会的仲裁结果为

12

最终结果。

（六）申诉方不得以任何理由拒绝接收仲裁结果；不得以任

何理由采取过激行为扰乱赛场秩序；仲裁结果由申诉人签收，不

能代收；如在约定时间和地点申诉人离开，视为自行放弃申诉。

（七）申诉方可随时提出放弃申诉。

（八）申诉方必须提供真实的申诉信息并严格遵守申诉程

序，提出无理申诉或采取过激行为扰乱赛场秩序的应给予取消参

赛成绩等处罚。

十三、竞赛观摩

（一）观摩对象。

比赛期间将设学生技能作品展示区，邀请来自全区相关行业

职业教育院校代表、优秀教育工作者、专家学者、大型企业领导

者、业界精英、专业学生等观摩比赛。

（二）观摩方法及纪律要求。

参加观摩的代表须遵守大赛纪律，按照大赛组委会的组织有

序观摩。比赛期间，保持观摩室安静。凡观摩人员均不得进入赛

场内部进行拍照、交流、观看。

十四、竞赛须知

（一）大赛人员须知。

为确保大赛工作安全、有序开展，涉及大赛工作的人员应自

13

查健康状况，一旦发现身体有不适症状，及时向所在单位报告，

并尽快就诊检查。

（二）参赛队须知。

1.参赛队名称统一使用选手所在学校全称，团体赛不接受跨

校组队报