信息安全管理与评估国赛

附件31：

高职电子信息大类信息安全管理与评估赛项 技能竞赛规程、评分标准及选手须知

一、竞赛内容

重点考核参赛选手安全网络组建、网络系统安全策略部署、信息保护、网络安全运维管理的综合实践能力，具体包括：

（1）参赛选手根据大赛提供的赛项要求，设计信息安全防护方案，并且能够提供详细的信息安全防护设备拓扑图。

（2）参赛选手根据业务需求和实际的工程应用环境，实现网络设备、安全设备、服务器的连接，通过调试，实现设备互联互通。

（3）参赛选手在赛项提供的网络设备及服务器上配置各种协议和服务，实现网络系统的运行，并根据网络业务需求配置各种安全策略，以满足应用需求。

（4）参赛选手根据网络实际运行中面临的安全威胁，指定安全策略并部署实施，防范并解决网络恶意入侵和攻击行为。

（5）参赛选手按照要求准确撰写工作总结。 二、竞赛方式

本赛项为3人团体赛，设队长1名。 三、竞赛时量

比赛时量为3小时，比赛过程连续进行。 四、名次确定办法

1．评分：竞赛采用结果评判的方式，根据选手提交的最终结果评定选手成绩。

2．名次确定：选手竞赛成绩按照评分标准计分，按照参赛队成绩从高到低排序确定名次。总分相同时，完成时间较短者名次列前；成绩和完成时间均相同时，操作过程较规范

附件31：

高职电子信息大类信息安全管理与评估赛项 技能竞赛规程、评分标准及选手须知

一、竞赛内容

重点考核参赛选手安全网络组建、网络系统安全策略部署、信息保护、网络安全运维管理的综合实践能力，具体包括：

（1）参赛选手根据大赛提供的赛项要求，设计信息安全防护方案，并且能够提供详细的信息安全防护设备拓扑图。

（2）参赛选手根据业务需求和实际的工程应用环境，实现网络设备、安全设备、服务器的连接，通过调试，实现设备互联互通。

（3）参赛选手在赛项提供的网络设备及服务器上配置各种协议和服务，实现网络系统的运行，并根据网络业务需求配置各种安全策略，以满足应用需求。

（4）参赛选手根据网络实际运行中面临的安全威胁，指定安全策略并部署实施，防范并解决网络恶意入侵和攻击行为。

（5）参赛选手按照要求准确撰写工作总结。 二、竞赛方式

本赛项为3人团体赛，设队长1名。 三、竞赛时量

比赛时量为3小时，比赛过程连续进行。 四、名次确定办法

1．评分：竞赛采用结果评判的方式，根据选手提交的最终结果评定选手成绩。

2．名次确定：选手竞赛成绩按照评分标准计分，按照参赛队成绩从高到低排序确定名次。总分相同时，完成时间较短者名次列前；成绩和完成时间均相同时，操作过程较规范

No.Answer.Text Answer.MD5

2.1.1uname -a

2.1.2 2.6.35-22

2.1.3File upload success

2.1.4nc -lvp 8081

2.1.5Ubuntu

2.1.6askpass program specified

2.1.7Permission denied

2.1.8Welcome Chinaskills’s

2.2.18eb7c9e1779a139fec63b793a790829e 2.2.261f2529360aec54f5dc9804b842cf3fa 2.2.3b180e860a2a9deea961d1cdba245f0ac 2.2.47228a471812ae22e1639c6d85a8a477f 2.2.55bc602efd98ee8b55d4533725dd27ea8 2.2.63e2de90af9d0ab0cda7989dd2c939878 2.2.7f40421ce504c862f53dcc3e41c521b16 2.2.802135630689d07fc8309039e3f5e42e1 2.2.9543fa9efacae37b4c698a94214cdf779 2.

ＬＯＧＯ

密级：秘密

编 号：NN-PD17 ＸＸＸＸ网络安全技术有限公司 版 次：080501 程 序 文 件 生效日期：2008.05.01 信息安全风险评估管理程序 编制： 日期： 审核： 日期： 批准： 日期： 本版修改记录 修改状态 日期 修改原因及内容提要 修改人 审核人 批准人

第 1 页 共 11 页 信息安全风险评估管理程序

ＬＯＧＯ

材料购销合同

2018年某某省高职

信息安全管理与评估比赛理论试题

注：考生须将答案填写在答题卡上（最后一页），否则成绩按零分计算

一、单项选择（每题1分，共80分）

1. 为了保障互联网的运行安全，对有下列行为之一，构成犯罪的，依照刑法有关规定追究刑事责任（）

A.侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统

B.故意制作、传播计算机病毒等破坏性程序，攻击计算机系统及通信网络，致使计算机系统及通信网络遭受损害

C.违反国家规定，擅自中断计算机网络或者通信服务，造成计算机网络或者通信系统不能正常运行

D.利用互联网组织邪教组织、联络邪教组织成员，破坏国家法律、行政法规实施。

2.在OSI参考模型中，将整个通信功能分为七个层次，以下不属于这七层的是（）

A.会话层

B.数据链路层

C.服务层

D.表示层

3. 如果某个网站允许用户能上传任意类型的文件，黑客最可能进行的攻击是（）

A. 拒绝服务攻击

B. 口令破解

C. 文件上传漏洞攻击

D. SQL注入攻击

4. 防范网络监听最有效的方法是（）

A. 进行漏洞扫描

B. 采用无线网络传输

C. 对传输的数据信息进行加密

D. 安装防火墙

5. 数字签名包括（）

A. 签署过程

B. 签署和验证两个过程

C. 验证过程

D. 以上答案都不对

信息安全风险评估技术手段综述

王英梅1

（北京科技大学信息工程学院 北京 100101）

摘要：信息安全成为国家安全的重要组成部分，因此为保证信息安全，建立信息安全管理体系已成为目前安全建设的首要任务。风险评估作为信息安全管理体系建设的基础，在体系建设的各个阶段发挥着重要的作用。风险评估的进行离不开风险评估工具，本文在对风险评估工具进行分类的基础上，探讨了目前主要的风险评估工具的研究现状及发展方向。

关键词：风险评估 综合风险评估 信息基础设施 工具 引言

当今时代，信息是一个国家最重要的资源之一，信息与网络的运用亦是二十一世纪国力的象征，以网络为载体、信息资源为核心的新经济改变了传统的资产运营模式，没有各种信息的支持，企业的生存和发展空间就会受到限制。信息的重要性使得他不但面临着来自各方面的层出不穷的挑战，因此，需要对信息资产加以妥善保护。正如中国工程院院长徐匡迪所说：“没有安全的工程就是豆腐渣工程”。信息同样需要安全工程。而人们在实践中逐渐认识到科学的管理是解决信息安全问题的关键。信息安全的内涵也在不断的延伸，从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性，进而又发展为“攻（攻击）、防（防范）、测（检测）、控（

信息安全风险评估技术手段综述

王英梅1

（北京科技大学信息工程学院 北京 100101）

摘要：信息安全成为国家安全的重要组成部分，因此为保证信息安全，建立信息安全管理体系已成为目前安全建设的首要任务。风险评估作为信息安全管理体系建设的基础，在体系建设的各个阶段发挥着重要的作用。风险评估的进行离不开风险评估工具，本文在对风险评估工具进行分类的基础上，探讨了目前主要的风险评估工具的研究现状及发展方向。

关键词：风险评估 综合风险评估 信息基础设施 工具 引言

当今时代，信息是一个国家最重要的资源之一，信息与网络的运用亦是二十一世纪国力的象征，以网络为载体、信息资源为核心的新经济改变了传统的资产运营模式，没有各种信息的支持，企业的生存和发展空间就会受到限制。信息的重要性使得他不但面临着来自各方面的层出不穷的挑战，因此，需要对信息资产加以妥善保护。正如中国工程院院长徐匡迪所说：“没有安全的工程就是豆腐渣工程”。信息同样需要安全工程。而人们在实践中逐渐认识到科学的管理是解决信息安全问题的关键。信息安全的内涵也在不断的延伸，从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性，进而又发展为“攻（攻击）、防（防范）、测（检测）、控（

文件编号: OP-ITSM-020

1.0 简介

文件名称: 信息安全管理规范 版本:1.0 为明确及落实「信息安全管理流程」的要求，清晰日常工作中的信息安全管理要求及措施，减少因信息安全做成的风险和业务损失。

2.0 适用范围

3.0 相关流程

4.0 定义

4.1 术语表

信息安全管理流程(OP-ITSM-015) 变更管理流程(OP-ITSM-010)

事件和服务请求管理流程(OP-ITSM-007) 此流程适用IT服务管理手册中定义的服务范围。

适用参考「信息安全管理流程」中定义的明细管理范围。

术语 保密协议 员工 资产 说明 保密协议是资方和劳方的双方行为，是通过合同约定劳方保密义务的手段，违反保密协议需要承担违约责任。 信息技术部有雇佣合同的同事及临时工。 对集团有价值的有形或无形物品， 例如可见的各类设备或不可见的系统数据。 泛指放置运行硬体设备的环境。包括为保证环境条件达成所设置的 机房环境 UPS、空调、配电系统、消防设备等设施。 机房区域分为设备区域及控制区域， 设备区域指伺服器、网络设机房区域 备等安装及提供服务的物理区域、控制区域是指KVM控制区域。 包括网络主机、网络设备及其相关配套的设备、

信息安全工程学

信息安全工程学五、信息安全风险评估

信息安全工程学

信息安全风险评估

风险评估，是发掘信息保护需要的重要步骤 风险评估并非仅在发掘需要阶段进行，后续阶段

根据需要也会进行风险评估 例如在定义架构阶段的有效性评估中就需要对已 定义的架构进行风险评估，检查结构性漏洞

风险评估可以是对待建的信息系统的评估， 也可以是对已有的信息系统的评估。 对已有系统的评估是PDCA的第二次循环，或以

后的各次循环中进行的。 每次的PDCA循环，相当于一个新的信息安全工 程过程。

信息安全工程学

信息安全风险评估风险管理的概念 风险评估的方法 风险评估的过程 风险评估的工具 风险评估中的难点

信息安全工程学

风险管理的概念

定义 风险管理是一个过程。通过这个过程，信息系

统管理者能够综合衡量安全措施和实施成本， 并通过为信息系统提供安全防护，促进组织的 业务能力提升。(NIST SP800-30)

包括三个过程 风险评估

风险消减(控制措施的选用) 风险监控(监视风险，定期再评估)

信息安全工程学

风险管理的概念

风险管理与信息安全管理 信息安全管理是以风险为驱动的。可以看到，PDCA的

各个阶段，主要工作是对信息系统的风险来做识别、

CCRC-QOT-0432-B/6 信息安全服务资质认证自评估表-公共管理

信息安全服务资质认证自评估表-公共管理

填表说明：

1、申请三级信息安全服务资质认证时，仅需填写该自评估表。

2、申请一、二级服务资质认证时，该自评估表与申报具体的服务类别自评估一并使用，单个文档不作为自评估支撑材料。申报多个服务类别且级别不同时，按照申请的最高级别服务资质认证的管理要求填写。

3、表中要求的所有程序文件均已发布实施。

组织名称 评估时间 序号 要点 条款 需提供证明材料 自评估结论 不符符合 合 证明材料清单 服务类别/级别 评估部门/人员 如有工控安全请注明行业。 1. 仅适用于初次认证： 在中华人民共和国境内注册的法律地位独立法人组织，发展历程清晰，要求 产权关系明确。 监督审核： 如有变化则重新提供。 营业执照/事业单位登记证，核对注册号、法定代表人、注册资本、注册地址、公司类型、经营范围、成立日期、营业期限等。 如独立法人实体的一个部门或