精华内容
下载资源
问答
  • 学生网络安全案例
    千次阅读
    2021-05-19 16:23:17

    信息来源于网络

    细嗅如蔷薇,防患于未然。

    1月

    Travelex: Travelex 服务在恶意软件感染后被拉下线。公司本身和利用该平台提供货币兑换服务的企业都受到了影响。

    美国国税局退税:一名美国居民因利用数据泄露信息提交价值1200万美元的虚假纳税申报表而被判入狱。

    庄园独立学区:德克萨斯学区在网络钓鱼骗局中损失了230万美元。

    Wawa:3000 万条包含客户详细信息的记录在网上出售。

    微软:雷德蒙德巨头透露,5台用于存储匿名用户分析的服务器在没有充分保护的情况下在互联网上暴露和打开。

    医用大麻:一个支持医疗和娱乐大麻药房销售点系统的数据库遭到破坏,影响约30,000美国用户。

    2月

    雅诗兰黛:据报道,由于中间件安全故障,有4.4亿条内部记录被曝光。

    丹麦政府税务门户网站:126万丹麦公民的纳税人身份证号码被意外曝光。

    美国国防部:负责白宫信息技术的国防信息系统局(DISA)承认数据泄露可能损害员工记录。

    英国金融行为管理局 (FCA): FCA 作为 FOIA 请求的一部分,意外发布了大约 1,600 名消费者的敏感信息。

    Clearview: Clearview AI 的整个客户端列表由于软件漏洞而被盗。

    通用电气:通用电气警告工人,由于供应商佳能业务流程服务的安全故障,未经授权的个人能够访问属于他们的信息。

    3月

    T-Mobile: 黑客访问员工电子邮件帐户,泄露属于客户和员工的数据。

    万豪:这家连锁酒店遭受了电子邮件账户被渗透的网络攻击。520 万酒店客人受到影响。

    低语:匿名秘密共享应用程序在线公开了数百万用户的私有配置文件和数据集。

    英国内政部:GDPR在处理内政部的欧盟解决计划时被违反100次。

    SIM交换黑客团伙:欧洲刑警组织在欧洲各地逮捕了一些,逮捕了对盗窃超过300万欧元的SIM交换黑客负责。

    维珍媒体:该公司通过一个开放的营销数据库公开了90万用户的数据。

    低语:数百万用户的私人配置文件和数据集被留下,公开和在线,让世界看到。

    MCA向导:425GB的敏感文档属于金融公司是公开访问通过一个数据库链接到MCA向导应用程序。

    NutriBullet: NutriBullet 成为 Magecart 攻击的受害者, 支付卡浏览代码感染了公司的电子商务商店。

    万豪酒店:万豪披露了一个新的数据泄露事件,影响520万酒店客人。

    4月

    美国小企业管理局(SBA):多达8,000名紧急贷款申请人卷入了PII数据泄露事件。

    任天堂:16万用户受到大规模帐户劫持活动的影响。

    Email.it:意大利电子邮件提供商未能保护60万用户的数据,导致其在黑网上销售。

    任天堂:任天堂表示,16万用户受到NNID旧版登录系统导致的大规模帐户劫持账户的影响。

    美国小企业管理局(SBA):SBA透露,多达8000名商业紧急贷款申请人参与了数据泄露。

    5月

    EasyJet: 航空公司披露了一起数据泄露事件,暴露了900万客户的数据,包括一些财务记录。

    Blackbaud: 云服务提供商受到勒索软件运营商的攻击,他们劫持了客户系统。该公司后来支付了赎金,以阻止客户数据在网上泄露。

    三菱:该公司遭受的数据泄露也可能导致机密导弹设计数据被盗。

    收费集团:这家物流巨头在三个月内第二次遭受勒索软件攻击。

    巴基斯坦移动用户:4400万巴基斯坦移动用户的数据在网上被泄露。

    伊利诺伊州:伊利诺伊州就业保障部(IDES)泄露了有关公民申请失业救济金的记录。

    愿望骨:4000万用户记录是由闪亮猎人黑客组织在网上发布的。

    EasyJet: 提起180亿英镑的集体诉讼,以补偿同月数据泄露影响的客户。

    6月

    美国铁路公司:客户PII被泄露,一些美国铁路公司客人奖励帐户被黑客访问。

    加州大学 SF :该大学向黑客支付了 114 万美元的赎金, 以挽救 COVID-19 研究。

    AWS:AWS 缓解了 2.3 Tbps DDoS 的大规模攻击。

    南非邮政银行:南非银行的一名流氓雇员获得一把主钥匙,并偷走了320万美元。

    美国宇航局:多普勒佩默勒索团伙声称已经违反了美国宇航局一个 IT 承包商的网络。

    克莱尔:配件公司成为感染的牺牲品。

    7月

    沙发冲浪:在地下论坛上发现了1700万条属于沙发冲浪的记录。

    约克大学:英国大学披露了由布莱克博德公司造成的数据泄露。教职员工和学生记录被盗。

    MyCastingFile: 一个为演员准备的美国铸造平台公开了 26 万用户的 PII。

    SigRed: 微软修补了一个 17 岁的漏洞, 可以用来劫持微软 Windows 服务器.

    米高梅度假村:一个黑客把1.42亿米高梅客人的记录在网上出售。

    V 粉碎:99,000 名客户和培训师的 PII 在网上暴露,V 粉碎仅部分解决了问题。

    BlueLeaks:执法部门关闭了一个用于托管 269 GB 的门户, 这些文件属于美国警察部门。

    EDP:能源供应商确认了拉格纳洛克勒索软件事件。超过 10TB 的业务记录显然被盗。

    蒙哥德布:一个黑客试图勒索23,000蒙哥DB数据库。

    8月

    思科:一位前工程师承认对思科网络造成巨额损坏,使公司损失了 240 万美元。

    佳能:这位摄影巨头被勒索团伙"迷宫"袭击。

    LG,施乐:迷宫再次袭击,公布属于这些公司的数据后,未能获得勒索付款。

    英特尔:20GB 的敏感企业数据属于英特尔在线发布。

    伦敦丽思酒店:欺诈者在针对丽思客户的巧妙网络钓鱼骗局中冒充员工。

    Freepik: 免费照片平台披露了影响 830 万用户的数据泄露。

    犹他大学:该大学向网络罪犯屈服,并支付了457,000美元的赎金,以阻止该组织发布学生信息。

    Experian,南非:Experian的南非分公司披露了一个数据泄露事件,影响2400万客户。

    嘉年华:邮轮运营商披露了勒索软件攻击和随后的数据泄露。

    9月

    美国内华达州:内华达州一所学校遭受勒索软件攻击,拒绝向网络罪犯支付费用,因此学生数据在网上公布是为了报复。

    德国医院勒索软件:一名医院病人在被转离医院后去世,遭受主动勒索软件感染。

    白俄罗斯执法部门:1 000名高级警官的私人信息被泄露。

    NS8:这家网络欺诈初创公司的首席执行官被指控骗取投资者1.23亿美元。

    卫星:伊朗黑客被指控破坏美国卫星。

    Cerberus: Cerberus 银行特洛伊木马的开发人员在未能私下出售恶意软件后发布了恶意软件的源代码。

    智利银行:由于勒索,智利银行被迫关闭分行。

    10月

    巴恩斯和诺布尔:书商经历了网络攻击,被认为是勒索软件集团Egregor的手法。被盗的记录被泄露在网上作为证据。

    联合国海事组织:联合国国际海事组织(联合国海事组织)披露了影响公共系统的安全漏洞。

    美国电信服务提供商成为马业卡脱卡攻击的受害者。

    谷歌:谷歌说,它缓解了2.54TbpsDDoS攻击,有史以来最大的攻击之一。

    Dickey's:这家美国烧烤连锁店在 2019 年 7 月至 2020 年 8 月之间遭受了销售点攻击。300万客户后来在网上公布了他们的卡信息。

    育碧,Crytek:属于游戏巨头的敏感信息被Egregor勒索团伙在网上发布。

    亚马逊内幕交易:一名前亚马逊财务经理和他们的家人被指控经营140万美元的内幕交易骗局。

    11月

    曼联:曼联足球俱乐部表示正在调查一起影响内部系统的安全事件。

    韦尔塔福雷:2770万德州司机的PII由于"人为错误"而遭到破坏。

    坎帕里:坎帕里在勒索软件攻击后被击倒。

    1亿美元的僵尸网络:一名俄罗斯黑客因经营一个僵尸网络而被判入狱,该僵尸网络负责从受害者银行账户中流失1亿美元。

    混搭:一个黑客在网上发布了一个Mashable数据库的副本。

    Capcom: Capcom 成为拉格纳储物柜勒索软件的受害者, 破坏内部系统.

    家得宝:在 PoS 恶意软件感染影响数百万购物者后,这家美国零售商同意达成 1750 万美元的和解。

    巴西航空工业公司:巴西航空航天公司受到网络攻击,导致数据被盗。

    12月

    莱昂纳多·斯帕:意大利警方逮捕了涉嫌从国防承包商那里窃取了高达10GB的敏感公司和军事数据的嫌疑人。

    美国飞行中心:该公司发起的2017年黑客马拉松被发现是涉及信用卡记录和护照号码的泄漏来源,涉及近7,000人。

    温哥华TransLink: 勒索软件攻击扰乱了指南针地铁卡和指南针售票亭两天.

    Absa:南非银行的一名流氓员工被认为应对属于客户的个人身份信息泄露负责。

    HMRC:英国税务局被贴上"不称职"的名称,因为11起严重数据泄露事件导致近24,000人受到冲击。

    FireEye:FireEye披露了一次网络攻击。这家网络安全公司表示,黑客攻击导致渗透工具被盗。

    更多相关内容
  • 中学生网络安全教育 中学生网络安全教育全文共40页,当前为第1页。 教学目标: 了解网络技术这柄双刃剑的优势。 了解网络的危害及案例。 如何防范网络伤害。 中学生网络安全教育全文共40页,当前为第2页。 一、...
  • 中学生网络安全知识 一、导入 网络能给我们带来无尽的信息共享,可以成为交流、学习、办公、娱乐的平台,但如 果没有安全作为保障,我们也无法安心去享受网络给我们带来的便利。今天我们大家一 起聚在这里,讲得是...
  • 1你上过网吗玩过网络... 第一 危害身心健康 第二 导致学习成绩下降 第三 弱化道德意识 第四 影响人际交往 第五 影响人生观价值观 网络的危害 湖北天门一名女学生因网游严重虚脱 案例一 一名初二学生为筹钱上网实施盗
  • 小学生网络安全教案.doc
  • 小学生网络安全教案.docx
  • (HA),安装在Widener大学的主校园,对校内8000用户包括学生宿舍和其它WINS部分予以服务,并作为一台安全的ISP,对Delaware 地区学区和技术园区委员会的60000个用户服务,使大学校区从企业网络保护工具中受益,...
  • 小学生网络安全教育材料.doc
  • 小学生网络安全教(学)案.doc
  • 中心小学小学生网络安全教育汇报材料文书.doc
  • 通过网络安全教育,使广大的学生树立网络安全意识,普及网络知识,提高网络防范意识,学会自我保护,尽可能减少网恋,防止沉迷于网络游戏世界里。佰佰安全网看看吧。网络信息安全意识的建立与培养首先,知识层...

    28377208187393.jpg

    如何培养中学生网络安全防范意识?当今社会,网络以它迅雷不及掩耳之势很快占领了青少年阵地,它有它独特的优势.同时,也把很多负面的东西一并带了进来.中学生是祖国的未来,因此,对他们进行安全常识教育是非常重要的.通过网络安全教育,使广大的学生树立网络安全意识,普及网络知识,提高网络防范意识,学会自我保护,尽可能减少网恋,防止沉迷于网络游戏世界里。佰佰安全网看看吧。

    网络信息安全意识的建立与培养

    首先,知识层面的培养。在每届高一年级我们都组织学生学习《全国青少年网络文明公约》,在信息科技课上开展“虚拟世界的现实思考”的讨论,使学生树立信息安全意思,学会病毒防范,信息保护的基本方法;同时了解计算机犯罪的危害性,逐步养成安全的信息活动习惯。在使用因特网的过程中,认识网络使用规范和有关伦理道德的基本内涵;能够识别并抵制不良信息;树立网络交流中的安全意识。增强自觉遵守与信息活动相关的法律法规的意识,负责任地参与信息实践。了解信息技术可能带来的不利于身心健康的因素,养成健康使用信息技术的习惯。

    其次,学以致用层面的实践。结合课本,在全年级开展综合活动:“信息技术与社会问题辩论会”。通过参加这样一个辩论会,要求学生自觉拓展信息技术及安全方面的知识,同时提升综合活动能力。开展做一个“网络社会”的好学生活动,让学生们通过多种途径了解信息活动过程中存在的一些问题及其危害,掌握有关网络道德规范的知识,掌握一些国内外的信息安全法律法规的知识,同时让学生了解在信息活动过程中存在的消极因素,学会识别和抵制不良信息,增强在网络交流中的自我保护意识,争做“网络社会”的好学生。

    最后,案例分析,用事实说话。通过身边的实际案例,晓之以情,动之以理。让学生知道他们这些中学生人生观、价值观、道德观正处在转型期,缺乏网络信息安全意识的后果,就是经网络中形形色色的不良诱惑,容易造成一些惨剧的发生,同时造成人格上的扭曲,甚至走上违法犯罪的道路。

    以上是小编整理的培养中学生良好的网络习惯,家长也要多帮助孩子,学习基本的

    责任编辑:慕丹萍

    展开全文
  • 小学生校园网络安全主题班会.docx
  • 浅谈信息化浪潮下大学生网络安全教育.docx
  • 1你上过网吗玩过网络... 第一 危害身心健康 第二 导致学习成绩下降 第三 弱化道德意识 第四 影响人际交往 第五 影响人生观价值观 网络的危害 湖北天门一名女学生因网游严重虚脱 案例一 一名初二学生为筹钱上网实施盗
  • 意到在网络活动中存在的信息真伪网络文明网络安全等问题本节课通过 4 个案例让学 生对网络有一个更全面客观的认识引导学生树立网络安全意识掌握基本的网络安全措 施 1教学目标 1了解网络世界的虚伪性和法律法规 2...
  • 一、网络安全概述 1.1 网络中的“安全”问题 信息安全经历两大变革: 从物理和管理方法 转变成 自动化工具保护信息安全 终端普遍使用网络传输数据并保证数据安全 网络中的“安全”问题 监听 截获 篡改 假冒 ...

    一、网络安全概述

    1.1 网络中的“安全”问题

    • 信息安全经历两大变革:
      • 从物理和管理方法 转变成 自动化工具保护信息安全
      • 终端普遍使用网络传输数据并保证数据安全
    • 网络中的“安全”问题
      • 监听
      • 截获
      • 篡改
      • 假冒
      • 假冒网点
      • Email截取
      • 否认

    1.2 网络安全定义

    • 网络安全是一个跨多门学科的综合性科学,包括:通信技术、网络技术、软硬件设计技术、密码学等;
      • 在理论上,网络安全是建立在密码学以及协议设计的基础上的;
      • 在技术上,网络安全取决于两个方面:网络设备硬件和软件的安全,以及设备的访问控制;
    • 常见“安全因素”
      • 物理因素:物理设备的不安全,电磁波泄漏、能源消耗泄漏等;
      • 系统因素:系统软、硬件漏洞,病毒感染,入侵;
      • 网络因素:网络协议漏洞,会话劫持,网络拥塞,拒绝服务;
      • 管理因素:安全意识淡漠,误操作,内部人操作;
    • 安全原由
      • 自身的缺陷:系统软硬件缺陷,网络协议的缺陷。
      • 开放性
        • 系统开放:通信系统是根据行业标准规定的接口建立起来的。
        • 标准开放:网络运行的各层协议跟其标准的制定是开放的。
        • 业务开放:用户可以根据需求开展业务。
      • 黑客攻击:基于兴趣的入侵,基于利益的入侵,信息战。
    • 常用攻击手段
      • 社会工程:攻击者可通过各种社交渠道获得有关目标的结构、使用情况、安全防范措施等有用信息从而提高攻击成功率;
      • 口令破解:攻击者可通过获取口令文件,然后运用口令破解工具获得口令,也可通过猜测或窃听等方式获取口令;
      • 地址欺骗:攻击者可通过伪装成被信任的IP 地址,邮件地址等方式来骗取目标的信任;
      • 网络窃听:网络的开放性使攻击者可通过直接或间接窃听获取所需信息;
      • 数据篡改:攻击者可通过截获并修改数据或重放数据等方式破坏数据的完整性;
      • 恶意扫描:攻击者可编制或使用现有扫描工具发现目标的漏洞,进而发起攻击;
      • 基础设施破坏:攻击者可通过破坏DNS或路由信息等基础设施,使目标陷于孤立;
      • 数据驱动攻击:攻击者可通过施放病毒、特洛伊木马、数据炸弹等方式破坏或遥控目标;
      • 拒绝服务:攻击者可直接发动攻击,也可通过控制其它主机发起攻击,使目标瘫痪,如发送大量的数据洪流阻塞目标;
    • 攻击事例
      • 商业机密的泄露(破坏了计算机系统安全的保密性)
      • 网站被篡改 (破坏了计算机系统安全的完整性)
      • 大型网站遭受拒绝服务攻击(破坏了计算机系统安全的可用性)
      • 账户密码被盗
      • 信用卡被盗刷
      • 被别人蹭网
      • 电脑染上病毒
      • 钓鱼网站

    1.3 常用攻击总结

    • 正常通路
      在这里插入图片描述

    • 中断(Interruption)〈-〉可用性(Availability)
      在这里插入图片描述

    • 窃听(Interception)〈-〉机密性(Confidentiality )
      在这里插入图片描述

    • 篡改(Modification) 〈-〉完整性(Integrity)
      在这里插入图片描述

    • 伪造(Fabrication) 〈-〉真实性(Authenticity)
      在这里插入图片描述

    二、计算机安全

    2.1 定义(CIA三元组)

    计算机安全是指:对某个自动化信息系统的保护措施,其目的在于实现信息系统资源的完整性、可用性以及机密性(包括硬件、软件、固件、数据)

    核心安全概念:CIA 三元组

    一定要理解这三个概念!!

    • 机密性(Confidentiality)
      • 数据机密性:保证私有的或机密的信息不会被泄露给未经授权的个体
      • 隐私性:保证个人可以控制和影响之与相关的信息
    • 完整性(Integrity)
      • 数据完整性:保证只能通过某种特定的、授权的方式来更改信息;
      • 系统完整性:保证系统正常实现其预期功能;
    • 可用性(Availability)
      • 保证系统及时运转,其服务不会拒绝已授权的用户。
    • 两个额外的概念
      1. 真实性:可以被验证和信任的属性;
      2. 可计量性:要求每个实体的行为可以被唯一地追踪到;

    2.2 影响等级

    安全事件发生后,按照影响,可分为三个等级:

    • 低级: 对于组织的运转、资产或者个人带来负面影响损失有限;(保密性 – 学生成绩 )
    • 中级:给组织的运转、资产或者个人带来严重的负面影响;
    • 高级: 给组织的运转、资产或者个人带来灾难性的负面影响;(可用性 – 认证服务,完整性 – 病人信息)

    2.3 例子

    • 攻击案例(理解CIA三元组)
    1. 某离职IT人员了解前公司的管理员账户和密码规则,想获得目前公司的一些核心代码做为求职筹码,于是他生成了67GB的暴力密码字典,再找来一台四核服务器,以每秒破解22,000,000组密码的速度疯狂的拆解密码,几天之后密码终于告破,拿到了公司的核心代码。这是攻击CIA那一个属性?(保密性)
    2. 某制造型企业最近一段时间网络运转十分异常,服务器经常性的假死机,但死机时间并不固定。通过日志和其他分析软件得知,系统死机时待处理任务中存在大量的TCP连接任务,很明显这就是分布式拒绝服务攻击。这是攻击CIA那一个属性?(可用性)
    3. 2017年5月12日,一个称为“想哭”(WannaCry)的蠕虫式勒索病毒在全球大范围爆发并蔓延,100多个国家的数十万名用户中招,其中包括医疗、教育等公用事业单位和有名声的大公司。这款病毒对计算机内的文档、图片、程序等实施高强度加密锁定,并向用户索取以比特币支付的赎金。这是攻击CIA那一个属性?(完整性、可用性)
    • 假设某公司需要开发一套桌面打印软件,那么:
    1. 如果这个软件用于打印公司尚未公开、敏感的信息,那么它必须确定高级别的 A

    2. 如果这个软件用于打印公司的一些规章制度,那么它必须确定高级别的 B

    3. 如果这个软件用于打印每天公司的考勤情况,那么它必须确定高级别的 C

      A.机密性 B. 完整性 C. 可用性

    • 理解CIA三元组(保密性、完整性、可用性)的安全等级,讨论以下系统所需的安全等级(低中高)并说明理由。
    1. 一个在网络上发布每日最新新闻的网站。(完整性、可用性;)
    2. 一个存储公司重要财务信息、核心代码的系统。(保密性、完整性、可用性)
    3. 一个控制并显示公司电力供应的系统,其中电力供应非常重要,不能中断,否则会引起数据丢失。(完整性、可用性)

    2.4 计算机安全面临的挑战

    1. 保障安全不容易做到的
    2. 必须考虑潜在攻击
    3. 保障方法可能和直觉相违背
    4. 需要算法和秘密信息
    5. 需要确定在哪里部署安全机制
    6. 需要在攻击者、系统设计者之间反复研究
    7. 难于引起人们的重视,直到安全事件发生
    8. 需要例行监测
    9. 通常设计后才会思考系统的安全性
    10. 人们通常认为:安全性和易用性存在冲突

    三、OSI安全体系结构

    ITU-T X.800 “Security Architecture for OSI”提供了安全的系统性定义,为我们提供了一种抽象的安全概念,有助理解系统的安全性,信息安全需要考虑的三个因素:

    1. 安全攻击:任何可能会危及机构的信息安全行为;
    2. 安全机制:用来检测、防范安全攻击并从中恢复系统的机制;
    3. 安全服务:用来增强系统安全性和信息传输安全性的服务;

    术语:威胁和攻击通常用来表达同一个意思,定义如下

    1. 威胁: 一种潜在的安全破环;
    2. 攻击: 一种对系统安全的攻击,试图绕过系统的安全机制;

    3.1安全攻击

    1. 被动攻击:对传输进行窃听与监视,获得传输信息,难以检测。有窃听攻击、流量分析两种形式。只是监听,较难检测到。
      在这里插入图片描述
    2. 主动攻击:更改数据流或者发送假数据流。可以划分为4类:假冒、重放、篡改、拒绝服务。
      在这里插入图片描述
    • 攻击分类讨论(要会区分主动攻击和被动攻击!)
    1. 以下那一种攻击方式更难以检测?
      A. 被动攻击 B. 主动攻击
    2. 以下那一种攻击方式更难以防范?
      A.被动攻击 B. 主动攻击
    3. 以下那种攻击方式属于被动攻击?
      A.假冒 B.窃听 C. 重放 D. 中断

    3.2 安全服务

    使用了一种或多种安全机制,用于抵抗安全攻击,保障数据处理与传输的安全性。通常和现实世界的方法类似,例如,使用签名、时间戳、公证等方法(需要能抵抗数据泄漏、损坏等攻击)。

    常见的安全服务(需要安全机制实现)

    1. 认证:提供某个实体的身份保证(对等实体认证、数据源认证)
    2. 访问控制:保护资源,防止对它的非法使用和操纵
    3. 数据机密性:保护信息不被泄露(连接保密性、无连接保密性、流量保密性)
    4. 数据完整性:保护信息以防止非法篡改
    5. 不可否认性:防止参与通信的一方事后否认(源点的不可否认性、信宿的不可否认性)

    3.3 安全机制

    安全机制一种方法,用于检测、阻止安全攻击,并从攻击中恢复。注意:不存在单一的安全机制,可以用于所有的安全服务。不同安全机制都使用了密码学技术

    常见的安全机制:

    1. 加密:用加密算法对信息加密,保护信息的机密性。
    2. 数字签名:用签名算法对信息进行计算,计算结果附加于信息单元。用于身份认证、数据完整性和非否认服务。
    3. 访问控制:用于实施资源访问权限的机制。
    4. 数据完整性:用于确保信息的完整性。
    5. 认证交换:确保信息交换的实体是所声称的实体,通过信息交换以确保实体身份,包括密码、特征、位置信息等。
    6. 流量填充:填充信息,防止流量分析。
    7. 路由控制:能够为特定数据选择特定路由。
    8. 公证:采用可信任的第三方以确保一些信息交换的性质。
    9. 还包括:可信功能、安全标签、事件检测、安全审计跟踪、安全恢复。

    安全服务与安全机制关系(重要)
    在这里插入图片描述

    四、网络安全模型(重要)

    在这里插入图片描述

    • 所有用于提供安全性的技术都包含以下两个主要部分
      1. 发送信息的安全转换
      2. 两个主体共享秘密信息
    • 这个通用模型表明,设计特定的安全服务时有如下 4 个基本的任务
      1. 安全转换算法
      2. 生成秘密信息
      3. 共享秘密信息方法(第三方进行秘密分发)
      4. 主体通讯协议
    • 为保障网络通信安全,我们需要:
      1. 设计算法,保障安全变换(security transformation)
      2. 生成算法的秘密信息
      3. 分发该秘密信息,使得通信双方共享
      4. 设计协议,使得通信双方可以进行安全通信

    我们的重点在于介绍符合图 1.2 所示模型的安全机制和服务类型。然而,还有一些其他的与安全相关的情形,它们不能完全适合该模型,对于这些其他情形的通用模型在图 1.3 中示出,该图反映了对于保护信息系统免遭有害访问所做的考虑。
    在这里插入图片描述

    • 安全机制的两大范畴:
      1. 看门人功能(基于口令的登录过程)
      2. 屏蔽逻辑,检测和拒绝蠕虫、病毒以及其它类似的攻击
    • 为保障网络访问安全,我们需要:
      1. 设计访问控制功能单元,对用户鉴别身份
      2. 实施安全控制,仅允许授权用户访问
    展开全文
  • 大学生网络安全教育.docx
  • 大学生网络安全教育.doc
  • 《计算机网络安全》课程标准[详].docx《计算机网络安全》课程标准[详].docx《计算机网络安全》课程标准[详].docx《计算机网络安全》课程标准[详].docx《计算机网络安全》课程标准[详].docx《计算机网络安全》课程...
  • 金瑞二中校园网络安全管理方案.doc
  • 大学生网络安全教育浅谈.doc
  • 教育信息化、网络安全工作计划.docx
  • 改革,培养大批既满足国家网络安全战略需要又具备世界水平的优秀技能人才, 在社会上营造“技能改变命运、匠心成就人生” 的崇尚技能的氛围。 (一)检验教学成效 竞赛内容涵盖了网络信息安全行业企业岗位对学生职业...


    2020-2021 年度广东省职业院校学生专业技能大赛
    网络空间安全赛项竞赛规程
    一、赛项名称
    赛项编号: ZZ- 24
    赛项名称:网络空间安全
    赛项组别:中职
    赛项归:信息技术类
    二、竞赛目的
    为检验中职学校网络信息安全人才培养成效,促进网络信息安全专业教学
    改革,培养大批既满足国家网络安全战略需要又具备世界水平的优秀技能人才,
    在社会上营造“技能改变命运、匠心成就人生” 的崇尚技能的氛围。
    (一)检验教学成效
    竞赛内容涵盖了网络信息安全行业企业岗位对学生职业技能的最新要求,
    竞赛过程为完整工作任务的具体实施,竞赛评价标准符合业界项目验收和交付
    标准。通过竞赛,能够很好地反映出中职学校所培养的学生掌握的技能和用人
    单位岗位要求的匹配程度,从而检验网络信息安全专业教学成效,展现信息安
    全人才培养成果。
    (二)促进教学改革
    竞赛内容源自企业真实的项目和工作任务,其内容和要求直接反映了网络
    信息安全技术岗位要求,引导学校将专业与职业岗位对接、课程内容与职业标
    准对接、教学过程与工作过程对接、学历证书与职业资格证书对接。通过竞赛,
    引导中职学校将企业完整的工作任务转化成教学内容;将传统重讲授轻实践的
    教学模式转向“做中学、做中教”项目案例教学;将职业资格能力作为专业的
    2 / 40
    核心能力进行培养, 从而提高人才培养的针对性和有效性。
    (三)向世界高水平看齐
    本赛项紧跟网络信息安全行业的发展趋势,瞄准国际网络安全技术发展水
    平,竞赛内容融入行业发展的最新技术。引领广大中职学校不断在新的更高的
    起点上培养国家需要、国际水准的网络信息安全技能人才,服务国家战略,建
    设网络强国。
    (四)营造崇尚技能的社会氛围
    技能人才是人才队伍的重要组成部分,良好的社会氛围是技能人才成长成
    才的环境和基础,关系到技能人才队伍的长远发展。通过竞赛宣传,引导全社
    会尊重、重视、关心技能人才的培养和成长,让尊重劳动、尊重技术、尊重创
    新成为社会共识。通过竞赛,表彰一批优秀的年轻的技能人才,增强他们的自
    豪感、获得感,在全国上下营造“ 技能改变命运、匠心成就人生” 的崇尚技能
    的氛围,激励广大青年走技能成才、技能报国之路。
    三、竞赛内容
    3.1 标准规范
    主要考核参赛选手网络系统安全策略部署、信息保护、网络安全
    运维管理、网络安全事件应急响应、网络安全数据取证、应用安全、
    代码审计等综合实践能力,具体包括:
    3 / 40

    项目
    1工作组织和管理
    个人(选手)需了解和理解:
    • 健康与安全相关法规、义务、规定。
    • 必须使用个人防护用品的场合,如:静电防护、静电放电。
    • 在处理用户设备和信息时的诚信和安全的重要性。
    • 废物回收、安全处置的重要性。
    • 计划、调度和优先处置的方法。
    • 在所有的工作实践过程中,注重准确、检验和细节的重要性。
    • 系统性开展工作的重要性。
    • 工作环境的 6S 管理。
    个人(选手)应具备的能力:
    • 遵守健康和安全标准、规则和规章制度。
    • 保持安全的工作环境。
    • 识别并使用适当的个人静电防护设备。
    • 安全、妥善地选择、使用、清洁、维护和储存工具和设备
    • 遵守相关规定,规划工作区域,维持日常整洁,实现最大化工
    作效率。
    • 有效地工作,并定期检查进度和结果。
    • 采取全面有效的研究方法,确保知识不断更新。
    • 主动尝试新方法、新系统和愿意接受变革。
    2通讯和人际沟通技巧
    个人(选手)需了解和理解:
    • 倾听是很有效沟通的重要手段。


    4 / 40

    • 团队成员的角色要求和最有效的沟通方式。
    • 与团队成员和管理人员建立和保持创造性的工作关系的重
    要性。
    • 有效的团队合作技巧。
    • 消除误会和化解冲突的技巧。
    • 管理紧张和愤怒情绪的能力。
    • 团队合作的重要性。
    个人(选手)应具备的能力:
    • 运用认真倾听和提问的良好技巧,加深对复杂情境的理解。
    • 与团队成员进行持续有效的口头和书面沟通。
    • 认识到并适应团队成员不断变化的需求。
    • 积极推动,建立强大而有效的团队。
    • 与团队成员分享知识和专业知识,形成相互支持的学习文化。
    • 有效管理不良情绪,传递给他人解决问题的信心。
    • 与工作人员的沟通技巧。
    3安全规定条款
    个人(选手)需了解和理解:
    • 信息技术风险管理标准、政策、要求和过程。
    • 网络防御和漏洞评估工具的功能和使用方法。
    • 操作系统的具体功能。
    • 计算机编程相关概念,包括计算机语言、编程、测试、调试、
    删除和文件类型。
    • 应用于软件开发的网络安全和隐私原则和方法。
    个人(选手)应具备的能力:
    • 在设计总体程序测试和记录评估过程时, 应将网络安全和


    5 / 40

    私原则应用于管理要求 (与保密性、完整性、可用性、身份验证、 数字
    签名不可抵赖性相关)。
    • 对管理、操作和技术安全控制进行独立全面的评估,并对信息技术
    系统内部或继承的控制改进进行评估,以确定控制的整体有效性。
    • 开发、创建和维护新的计算机应用程序、软件或专门应用程序。
    • 修改现有的计算机应用程序、软件或专门应用程序。
    • 分析新的或者现有计算机应用程序、软件或专业的应用程序的安
    全状况,提供可用的分析结果。
    • 进行软件系统研究并开发新功能,确保有网络安全防护功能。
    • 进行综合技术研究,对网络安全系统中可能存在的薄弱环节进行
    评估。
    • 计划、准备和实施系统测试。
    • 根据技术规范和要求,进行分析、评估并形成报告结果。
    • 测试和评估信息系统的安全情况,涵盖系统开发生命周期。
    4操作、维护、监督和管理
    个人(选手)需了解和理解:
    • 查询语言,如 SQL (结构化查询语言) 。
    • 数据备份和恢复,数据标准化策略。
    • 网络协议,如 TCP/IP、动态主机配置(DHCP)、域名系统 (DNS)
    和目录服务。
    • 防火墙概念和功能。
    • 网络安全体系结构的概念,包括拓扑、协议、组件和原则。
    • 系统、网络和操作系统加固技术。
    • 管理信息技术、用户安全策略 (例如:帐户创建、密码规则、
    访问控制)。
    • 信息技术安全原则和方法。


    6 / 40

    • 身份验证、授权和访问控制方法。
    • 网络安全、漏洞和隐私原则。
    • 学习管理系统及其在管理学习中的应用。
    • 网络安全法与其他相关法规对其网络规划的影响。
    个人(选手)应具备的能力:
    • 管理数据库或数据库管理系统。
    • 管理并实施流程和工具,确保机构可以识别、存档、获取知识资
    产和信息内容。
    • 处理问题,安装、配置、排除故障,并按照客户需求或咨询提供维
    护和培训。
    • 安装、配置、测试、运行、维护和管理网络和防火墙,包括硬件和
    软件,确保所有信息的共享、传输,对信息安全和信息系统提供支持。
    • 安装、配置、调试和维护服务器(硬件和软件),确保信息保密
    性、完整性和可用性。
    • 管理账户、设置防火墙和安装操作系统补丁程序。
    • 访问控制、账户和密码的创建和管理。
    • 检查机构的现有计算机系统和流程,帮助该机构更安全、更快捷
    和更高效的运营。
    • 协助监督信息系统或网络,管理机构内部的信息安全可能存在
    的问题或其他需要负责的各方面,包括策略、人员、基础架构、
    需求、政策执行、应急计划、安全意识和其他资源。
    5保护和防御
    个人(选手)需了解和理解:
    • 文件系统实施 (例如, 新技术文件系统 [NTFS]、文件分配表
    [FAT]、文件扩展名 [EXT])。
    • 系统文件 (例如:日志文件、注册表文件、配置文件) 包含相
    关信息以及这些系统文件存储位置。


    7 / 40

    • 网络安全体系结构的概念,包括拓扑、协议、分层和原理。
    • 行业技术标准和分析原则、方法和工具。
    • 威胁调查、报告、调查工具和法律、法规。
    • 网络安全事件类别、响应和处理方法。
    • 网络防御和漏洞评估工具及其功能。
    • 对于已知安全风险的应对措施。
    • 身份验证、授权和访问方法。
    个人(选手)应具备的能力:
    • 使用防护措施和利用不同渠道收集的信息,以识别、分析和报告
    发生的、或可能发生的网络事件,以保护信息、信息系统和网络免于
    威胁。
    • 测试、实施、部署、维护、检查、管理硬件基础架构和软件, 按
    要求有效管理计算机网络防护服务提供商的网络和资源。
    • 监控网络,及时记录未授权的活动。
    • 在所属的领域对危机或者紧急状态做出有效响应,在自己的专业
    领域中降低直接和潜在的威胁。
    • 使用缓解措施、准备措施,按照要求做出响应和实施恢复,以最
    大化存活率保障财产和信息的安全。
    • 调查和分析相关网络安全应急响应活动。
    • 对威胁和漏洞进行评估。
    • 评估风险水平,制定在业务和非运营情况下采取适当的缓解措
    施。
    6分析
    个人(选手)需了解和理解:
    • 网络威胁行为者的背景和使用的方法。
    • 用于检测各种可利用的活动的方法和技术。


    8 / 40

    • 网络情报信息收集能力和资源库。
    • 网络威胁和漏洞。
    • 网络安全基础知识 (例如,加密、防火墙、认证、诱捕系统、
    外围保护)。
    • 漏洞信息传播源 (例如,警报、通知、勘误表和公告)。
    • 开发工具的结构、方法和策略 (例如,嗅探、记录键盘) 和技术
    (例如,获取后门访问、收集机密数据、对网络中的其他系统进行漏
    洞分析)。
    • 预测、模拟威胁和应对的内部策略。
    • 内部和外部协同的网络操作和工具。
    • 系统伪造和司法用例。
    个人(选手)应具备的能力:
    • 识别和评估网络安全罪犯活动。
    • 出具调查结果, 以帮助初始化或支持执法和反情报调查或
    活动。
    • 分析搜集到的信息,找到系统弱点和潜在可被利用的环节。
    • 分析来自情报界的不同渠道、不同学科和不同机构的威胁
    信息。
    • 根据背景情况,同步和放置情报信息,找出可能的含义。
    • 应用来自一个或多个不同国家、地区、组织和技术领域的最新
    知识。
    • 应用语言、文化和技术专业知识进行信息收集、分析和其他网络
    安全活动。
    • 识别、保存和使用系统开发过程遗留物并用于分析。
    7收集与操作
    个人(选手)需了解和理解:
    • 收集策略、技术及工具应用。


    9 / 40

    • 网络信息情报收集能力和资源库的利用。
    • 信息需求和收集需求的转换、跟踪、优先排序。
    • 网络运营计划方案、策略和有关资源。
    • 网络运营策略、资源和工具。
    • 网络运营的概念、网络运营术语、网络运营的原则、功能、边界
    和效果。
    个人(选手)应具备的能力:
    •运用适当的策略,通过收集管理的流程建立优先级,从而执行信
    息收集。
    • 执行深入的联合目标定位,执行网络安全流程。
    • 依照需求收集信息,执行详细计划及订单。
    • 支持收集关于网络威胁的证据,减轻或免受可能的或实时的网
    络威胁。
    8调查
    个人(选手)需了解和理解:
    • 威胁调查、报告、调查工具和法律、法规。
    • 恶意软件分析的概念和方法。
    • 收集、打包、传输和储存电子证据的过程,同时并维持监管链。
    • 司法流程,包括事实陈述和证据。
    • 持久性数据的类型和集合。
    • 数字取证数据的类型和识别方法。
    • 网络安全漏洞的具体操作性影响。
    个人(选手)应具备的能力:
    • 收集、处理、保存、分析和提供计算机相关的证据,以减轻网络
    脆弱性,支持犯罪、欺诈、反间谍或执法的调查。


    10 / 27

    3.2 竞赛分值权重和时间安排

    “ 网络空间安全” 竞赛共分 A.基础设施设置与安全加固; B.网
    络安全事件响应、数字取证调查和应用安全; C.CTF 夺旗-攻击; D.
    CTF 夺旗-防御等四个模块。竞赛时间安排和分值权重见表 1。
    表 1 竞赛时间安排与分值权重
    4 个模块主要包含以下内容,将会对 4 个模块中的内容进行取舍,
    选取 3 个小时的内容进行比赛:
    “模块 A 基础设施设置与安全加固”内容主要包括:登录安全
    加固、数据库加固( Data)、 Web 安全加固(Web)、流量完整性保护
    ( Web,Data)、事件监控、服务加固、防火墙策略等。
    “模块 B 网络安全事件、数字取证调查和应用安全” 内容主要
    包括:数据分析、数字取证、内存取证、漏洞扫描与利用、操作系统

    模块编
    模块名称竞赛时间
    (小时)
    权值
    A基础设施设置与安全加固1.517%
    B网络安全事件响应、数字取证调查
    和应用安全
    40%
    阶段切换0.50
    CCTF 夺旗-攻击1.520%
    DCTF 夺旗-防御20%
    职业素养3%
    总计3.5100%


    11 / 27
    渗透测试、应急响应等。
    “模块 C CTF 夺旗-攻击” 内容主要包括:假定你是某企业的
    网络安全渗透测试工程师,负责企业某些服务器的安全防护,为了更
    好的寻找企业网络中可能存在的各种问题和漏洞。你尝试利用各种攻
    击手段,攻击特定靶机,以便了解最新的攻击手段和技术,了解网络
    黑客的心态,从而改善您的防御策略。
    “模块 D CTF 夺旗-防御” 内容主要包括:假定各位选手是某
    安全企业的网络安全工程师,负责若干服务器的渗透测试与安全防护,
    这些服务器可能存在着各种问题和漏洞。你需要尽快对这些服务器进
    行渗透测试与安全防护。每个参赛队拥有专属的堡垒机服务器,其他
    队不能访问。参赛选手通过扫描、渗透测试等手段检测自己堡垒服务
    器中存在的安全缺陷,进行针对性加固,从而提升系统的安全防御性
    能。
    四、竞赛方式
    本赛项为团体赛,以院校为单位组队参赛,不得跨校组队。每支
    参赛队由 2 名选手组成,同一学校报名参赛队不超过 1 支,每支参赛
    队不超过 2 名指导教师。
    五、竞赛流程
    (一)竞赛流程图
    12 / 27
    13 / 27
    (二)竞赛时间表
    竞赛限定在 1 天内进行,竞赛场次为 1 场,赛项竞赛时间为 3.5
    小时,时间为 9:00-12:30,具体安排如下:

    日期时间事项参加人员地点
    赛前1
    09:00-12:00参赛队报到,安排住
    宿,领取资料
    工作人员、参赛队住宿酒店
    09:00-12:00裁判工作会议裁判长、裁判员、监督组会议室
    13:00-14:30领队会各参赛队领队、裁判长会议室
    15:00-16:00参观赛场各参赛队领队竞赛场地
    16:00检查封闭赛场裁判长、监督组竞赛场地
    16:00返回酒店参赛领队、监督竞赛场地
    竞赛
    当天
    07:30裁判就位裁判、监督竞赛场地
    07:30-08:00选手抽签,一次加密参赛选手、裁判、监督竞赛场地
    08:00-08:30选手抽签,二次加密
    及入场
    参赛选手、裁判、监督竞赛场地
    08:30-08:40参赛选手就位,宣读考
    场纪律
    参赛选手、裁判、监督竞赛场地
    08:40-09:00设备检查、模块 A、模
    块 B 赛题发放
    参赛选手、裁判、监督竞赛场地
    09:00-10:30模块 A、 B 竞赛参赛选手、裁判、监督竞赛场地
    10:30-10:50选手休息参赛选手、裁判、监督竞赛场地
    10:50-11:00设备检查、模块 C、模
    块 D 赛题发放
    参赛选手、裁判、监督竞赛场地
    11:00-12:30模块 C、模块 D 竞赛参赛选手、裁判、监督竞赛场地
    12:30竞赛正式结束参赛选手、裁判、监督竞赛场地
    13:00-15:00申诉与仲裁参赛学校仲裁室
    12:30-14:30成绩评定、核查、解
    密、确认
    裁判长、评分裁判、监督竞赛场地
    16:00赛项点评参赛选手、 指导老师待定


    14 / 27
    六、竞赛说明
    (一)赛项执委会专家组下设的命题组负责本赛项命题工作。
    (二)本赛项为公开竞赛样题模式, 专家组编制完成样题后,由
    大赛执委会于正式比赛前 30 天在省赛平台正式发布。每个赛项需要
    编制 3 套正式比赛试题,每套试题的重复率不可超过 30%。正式比赛
    试题编制完成后,专家组要按照专家承诺书的要求做好保密工作,并
    于比赛的前 5 天将密封后的 3 份正式赛题交付大赛执委会保存。
    (三) 正式比赛时,由省教育厅选派的大赛督察员从 3 套试题中
    随机任意抽取一套试题作为比赛用题。
    七、竞赛规则
    按照《广东省职业院校技能大赛制度汇编》中的相关制度执行。
    (一)报名资格
    参赛选手须为中等职业学校全日制在籍学生;五年制高职学生报
    名参赛的,一至三年级(含三年级)学生参加中职组比赛,参赛选手
    不限性别,年龄须不超过 21 周岁,年龄计算的截止时间以 2021 年 5
    月 1 日为准。 凡在往届全国职业院校技能大赛中获一等奖的学生,不
    得再参加同一项目同一组别的比赛。
    (二)竞赛工位通过抽签决定,竞赛期间参赛选手不得离开竞赛
    工位。
    (三)竞赛所需的硬件设备、系统软件和辅助工具由组委会统一
    安排,参赛选手不得自带硬件设备、软件、移动存储、辅助工具、移
    动通信等进入竞赛现场。
    (四)参赛选手自行决定工作程序和时间安排。
    (五)参赛选手在进入竞赛工位并领取竞赛任务,竞赛正式开始
    15 / 27
    后方可展开相关工作。
    (六)竞赛过程中,选手须严格遵守操作规程,确保人身及设备
    安全,并接受裁判员的监督和警示。若因选手因素造成设备故障或损
    坏,无法继续竞赛,裁判长有权决定终止该队竞赛;现场裁判或者选
    手处理任何软件、硬件故障所花费的时间由选手承担,都不做补时。
    (七)竞赛结束(或提前完成)后,参赛选手要确认已成功提交
    所有竞赛文档,裁判员与参赛选手一起签字确认,参赛选手在确认后
    不得再进行任何操作。
    (八)最终竞赛成绩经复核无误及裁判长、监督长签字确认后,
    在指定地点,向全体参赛队公布。
    (九)本赛项各参赛队最终成绩由裁判给分后,裁判或承办学校
    的信息员录入到大赛提供的成绩模板中,打印出来由裁判长和裁判复
    核后,在上面签名,然后督察签名,最后加盖承办学校的公章;承办
    学校的信息员将加盖公章后的成绩录入到平台中,同时将纸质成绩单
    报送大赛执委会。
    (十)赛项结束后专家工作组根据裁判判分情况,分析参赛选手
    在比赛过程中对各个知识点、技术的掌握程度,并将分析报告报备大
    赛执委会办公室,执委会办公室根据实际情况适时公布。
    (十一)赛项每个比赛环节裁判判分的原始材料和最终成绩等结
    果性材料经监督组人员和裁判长签字后装袋密封留档,并由赛项承办
    院校封存,委派专人妥善保管。
    八、竞赛环境
    1.竞赛场地。竞赛现场设置竞赛区、裁判区、服务区、技术支持
    区。现场保证良好的采光、照明和通风;提供稳定的水、电和供电应
    16 / 27
    急设备。同时提供所有指导教师休息室 1 间。
    2.竞赛设备。竞赛设备由执委会和承办校负责提供和保障,竞赛
    区按照参赛队数量准备比赛所需的软硬件平台,为参赛队提供标准竞
    赛设备。
    3.竞赛工位。竞赛现场各个工作区配备单相 220V/3A 以上交流电
    源。每个比赛工位上标明编号。每个工位配有工作台,用于摆放计算
    机和其它调试设备工具等。配备 2 把工作椅(凳)。
    4.技术支持区为参赛选手比赛提供网络环境部署和网络安全防
    范。
    5.服务区提供医疗等服务保障。
    九、技术规范
    该赛项涉及的信息网络安全工程在设计、组建过程中,主要有以
    下 7 项国家标准,参赛选手在实施竞赛项目中要求遵循如下规范:

    序号标准号中文标准名称
    1GB 17859-1999《计算机信息系统安全保护等级划分准则》
    2GB/T 20271-2006《信息安全技术信息系统通用安全技术要求》
    3GB/T 20270-2006《信息安全技术网络基础安全技术要求》
    4GB/T 20272-2006《信息安全技术操作系统安全技术要求》
    5GB/T 20273-2006《信息安全技术数据库管理系统安全技术要求》
    6GA/T 671-2006《信息安全技术终端计算机系统安全等级技术要求》
    7GB/T 20269-2006《信息安全技术信息系统安全管理要求》

    十、技术平台
    (一)提供比赛器材如下

    序号设备名称数量技术参数指标
    1网络空间安全技1Intel 处理器,大于等于 16G 内存, SSD


    17 / 27

    能评测平台+SATA 硬盘。可扩展多种虚拟化平台,支持多
    用户并发在线比赛,根据不同的实战任务下发
    进行自动调度靶机虚拟化模板,为学员提供单
    兵闯关、分组混战等实际对战模式,整个过程
    全自动评判,自定义动画态势展示,成绩详细
    分析,多端口监控,全程加密。
    2PC 机2CPU 主频>=2.8GHZ,>=双核四线程;内
    存>=8G;硬盘>=250G;支持硬件虚拟化。

    (二)软件技术平台:
    竞赛的应用系统环境主要以 Windows 和 Linux 系统为主,涉及
    如下版本:
    1)物理机安装操作系统:微软 Windows 7(64 位)中文试用版或
    微软 Windows 10(64 位)中文试用版。
    2)虚拟机安装操作系统:
    Windows 系统(试用版): Windows XP、 Windows 7、 Windows 10、
    Windows Server2003 及以上版本(根据命题实际确定)。
    Linux 系统: Ubuntu、 Debian、 CentOS(具体版本根据命题实际
    确定)。
    3)其他主要应用软件为(实际竞赛环境可能不仅限于以下软件) :
    VMware workstation 12 pro 及以上版本免费版
    Putty 0.67 及以上版本
    Python 3 及以上版本
    Chrome 浏览器 62.0 及以上版本
    RealVNC 客户端 4.6 及以上版本
    JDK( Java Development Kit) 7.0 及以上版
    18 / 27
    十一、成绩评定
    (一)裁判工作原则
    按照广东职业院校技能大赛专家和裁判工作管理办法建立职业
    院校技能大赛赛项裁判库,赛前建立健全裁判组。裁判组为裁判长负
    责制,负责比赛过程全程监督,防止营私舞弊。
    因为本赛项模块 A、 D 由裁判人工客观评分,模块 B、 C 由计算
    机自动评分,赛场内需进行两次加密。加密裁判组织实施加密工作,
    管理加密结果。监督员全程监督加密过程。
    第一组加密裁判:组织参赛选手进行第一次抽签,产生参赛编号,
    替换选手参赛证等个人身份信息,填写一次加密记录表连同选手参赛
    证等个人身份信息证件,装入一次加密结果密封袋中单独保管。
    第二组加密裁判:组织参赛选手进行第二次抽签,确定工位号,
    替换选手参赛编号,填写二次加密记录表连同选手参赛编号,装入二
    次加密结果密封袋中单独保管。
    所有加密结果密封袋的封条均需由相应加密裁判和监督人员签
    字。密封袋在监督人员监督下由加密裁判放置于保密室的保险柜中保
    存。
    (二)裁判评分方法
    现场裁判组监督现场机考评分,评分裁判负责参赛选手提交作品
    评分,裁判长负责竞赛全过程。
    竞赛现场派驻监督员、裁判员、技术支持队伍等,分工明确。现
    场裁判员负责与参赛选手的交流沟通及试卷等材料的收发,负责设备
    问题确认和现场执裁;技术支持工程师负责所有工位设备应急,负责
    19 / 27
    执行裁判确认后的设备应急处理。
    (三)成绩产生办法
    1.模块 A、模块 B 评分规则
    模块 A 与模块 B 总分为 57 分,分为 N 个任务,每道题的具体
    分值在赛题中标明;模块 A 基础设施设置、安全加固部分评分由评
    分裁判客观评分;模块 B 安全事件响应、网络安全数据取证、应用
    安全等部分由系统自动评分和排名。
    2.模块 C、模块 D 评分规则
    模块 C 总分为 20 分,按照选手获得攻击“FLAG” 的值得到相
    应的分数。系统自动评分和排名。
    模块 D 总分为 20 分,按照选手答题内容,由评分裁判进行客
    观评分。
    3.职业素养评分规则
    职业素养 3 分,按照选手在比赛过程的行为,由评分裁判进行评
    分。
    选手在答题过程中不得违反竞赛试题要求答题,不得以违规形式
    获取得分,不得违规攻击裁判服务器、网关、系统服务器等非靶机目
    标,如检测选手有违规攻击行为,警告一次后若继续攻击,判令该队
    终止竞赛,清离出场。
    十二、奖项设定
    本赛项设参赛选手团体一、二、三等奖。以赛项实际参赛队(团
    体赛)总数为基数,一、二、三等奖获奖比例分别为 15%、 25%、 40%(小
    数点后四舍五入)。
    20 / 27
    十三、赛项安全
    赛事安全是广东省职业院校技能大赛一切工作顺利开展的先决
    条件,是本赛项筹备和运行工作必须考虑的核心问题。
    (一) 组织机构
    赛项执委会组织专门机构负责赛区内赛项的安全工作,建立公安、
    消防、司法行政、交通、卫生、食品、质检等相关部门协调机制保证
    比赛安全。制定相应安全管理的规范、流程和突发事件应急预案,及
    时处置突发事件,全过程保证比赛筹备和实施工作安全。
    (二) 赛项设计
    1. 比赛内容涉及的器材、设备应符合国家有关安全规定。赛项
    专家组应充分考虑比赛内容和所用器材、耗材可能存在的危险因素,
    通过完善设计规避风险,采取有效防范措施保证选手备赛和比赛安全。
    危险提示和防范措施应在赛项技术文件中加以明确。
    2. 赛项技术文件应包含国家(或行业)有关职业岗位安全的规
    范、条例和资格证书要求等内容。
    3. 赛项执委会须在赛前对本赛项全体裁判员进行裁判培训和安
    全培训,对服务人员进行安全培训。源于实际生产过程的赛项,须根
    据《中华人民共和国劳动法》等法律法规,建立完善的安全事故防范
    制度,并在赛前对选手进行培训,避免发生人身伤害事故。
    4. 赛项执委会须制定专门方案保证比赛命题、赛题保管和评判
    过程的安全。
    (三) 比赛环境
    1. 环境安全保障
    赛场组织与管理员应制定安保须知、安全隐患规避方法及突发事
    21 / 27
    件预案,设立紧急疏散路线及通道等,确保比赛期间所有进入竞赛地
    点的车辆、人员需凭证入内;严禁携带易燃易爆物、管制刀具等危险
    品及比赛严令禁止的其他物品进入场地;对于紧急发生的拥挤、踩踏、
    地震、火灾等进行紧急有效的处置。
    2. 操作安全保障
    赛前要对选手进行计算机、网络设备、工具等操作的安全培训,
    进行安全操作的宣讲,确认每个队员能够安全操作设备后方可进行比
    赛。裁判员在比赛前,宣读安全注意事项,强调用火、用电安全规则。
    参赛选手旅途及竞赛过程中的安全保障由各参赛学校负责。
    3. 赛项执委会须在赛前组织专人对比赛现场、住宿场所和交通
    保障进行考察,并对安全工作提出明确要求。赛场的布置,赛场内的
    器材、设备,应符合国家有关安全规定。如有必要,也可进行赛场仿
    真模拟测试,以发现可能出现的问题。承办单位赛前须按照赛项执委
    会要求排除安全隐患。
    4. 赛场周围要设立警戒线,防止无关人员进入发生意外事件。
    比赛现场内应参照相关职业岗位的要求为选手提供必要的劳动保护。
    在具有危险性的操作环节,裁判员要严防选手出现错误操作。
    5. 承办单位应提供保证应急预案实施的条件。对于内容涉及高
    空作业、可能有坠物、大用电量、易发生火灾等情况的赛项,必须明
    确制度和预案,并配备急救人员与设施。
    6. 赛项执委会须会同承办单位制定开放赛场和体验区的人员疏
    导方案。赛场环境中存在人员密集、车流人流交错的区域,除了设置
    齐全的指示标志外,须增加引导人员,并开辟备用通道。
    7. 大赛期间,赛项承办单位须在赛场管理的关键岗位,增加力
    22 / 27
    量,建立安全管理日志。
    8. 参赛选手进入工位、赛事裁判工作人员进入工作场所,严禁
    携带通讯、摄录设备,禁止携带记录用具。如确有需要,由赛场统一
    配置、统一管理。赛项可根据需要配置安检设备对进入赛场重要部位
    的人员进行安检。
    (四) 生活条件
    1. 比赛期间,原则上由赛事承办单位统一安排参赛选手和指导
    教师食宿,费用由各参赛学校承担。承办单位须尊重少数民族的信仰
    及文化,根据国家相关的民族政策,安排好少数民族选手和教师的饮
    食起居。
    2. 比赛期间安排的住宿地应具有宾馆/住宿经营许可资质。以学
    校宿舍作为住宿地的,大赛期间的住宿、卫生、饮食安全等由赛项执
    委会和提供宿舍的学校共同负责。
    3. 大赛期间组织的参观和观摩活动,由赛项执委会负责。赛项
    执委会和承办单位须保证比赛期间选手、指导教师和裁判员、工作人
    员的交通安全。
    4. 各赛项的安全管理,除了采取必要的安全隔离措施外,应严
    格遵守国家相关法律法规,保护个人隐私和人身自由。
    (五) 组队责任
    1. 各参赛学校在组织参赛时,须安排为参赛选手购买大赛期间
    的人身意外伤害保险。
    2. 各参赛学校须制定相关管理制度,并对所有选手、指导教师
    进行安全教育。
    3. 各参赛选手领队须加强参赛人员的安全管理,实现与赛场安
    23 / 27
    全管理的对接。
    (六) 应急处理
    比赛期间发生意外事故,发现者应第一时间报告赛项执委会,同
    时采取措施避免事态扩大。赛项执委会应立即启动预案予以解决并向
    市大赛执委会报告。出现重大安全问题的赛项可以停赛,是否停赛由
    省大赛组委会决定。事后,市大赛执委会应向省大赛组委会报告详细
    情况。
    (七) 处罚措施
    1. 因参赛选手原因造成重大安全事故的,取消其参赛资格。
    2. 参赛选手有发生重大安全事故隐患,经赛场工作人员提示、
    警告无效的,可取消其继续比赛的资格。
    3. 赛事工作人员违规的,按照相应的制度追究责任。情节恶劣
    并造成重大安全事故的,追究相应法律责任。
    十四、竞赛须知
    (一)参赛队须知
    1.参赛队应该参加赛项承办单位组织的本赛项各项赛事活动。
    2.在赛事期间,领队及参赛队其他成员不得私自接触裁判,凡发
    现有弄虚作假者,取消其参赛资格,成绩无效。
    3.所有参赛人员须按照赛项规程要求按照完成赛项评价工作。
    4.对于有碍比赛公正和比赛正常进行的参赛队,视其情节轻重,
    按照《广东省职业院校技能大赛奖惩办法》给予警告、取消比赛成绩、
    通报批评等处理。
    5.若在比赛中发现新的网络安全漏洞,应及时向网信部门和公安
    部门报告并通知产品提供方,不得擅自透露、转让、公布漏洞隐患的
    24 / 27
    技术细节和利用方法、工具等。
    6. 已在省大赛平台提交的报名信息,原则上不能变更,如遇特
    殊情况,需要改报名信息,需由参赛院校向省大赛办提交申请,经审
    批通过后方可调整。各赛项于开赛前 15 个工作日内不再接受更改报
    名信息申请。
    (二)参赛领队须知
    1.由参赛学校确定赛项领队 1 人,领队应熟悉赛项流程,具备管
    理与组织协调能力。
    2.领队应按时参加赛前领队会议,不得无故缺席。
    3.领队负责组织本校参赛队参加各项赛事活动。
    4.领队应积极做好本校参赛队的服务工作,协调各参赛队与赛项
    组织机构、承办学校的对接。
    5.参赛队认为存在不符合竞赛规定的设备、工具、软件,有失公
    正的评判、奖励,以及工作人员的违规行为等情况时,须由领队在申
    诉时间内向赛项仲裁组提交书面申诉材料。各参赛队领队应带头服从
    和执行申诉的最终仲裁结果,并要求指导教师、选手服从和执行。
    (三)指导教师须知
    1.指导教师应该根据专业教学计划和赛项规程合理制定训练方
    案,认真指导选手训练,培养选手的综合职业能力和良好的职业素养,
    克服功利化思想,避免为赛而学、以赛代学。
    2.指导老师应及时查看大赛专用网页有关赛项的通知和内容,认
    真研究和掌握本赛项竞赛的规程、技术规范和赛场要求,指导选手做
    好赛前的一切技术准备和竞赛准备。
    3.指导教师应该根据赛项规程要求做好参赛选手保险办理工作,
    25 / 27
    并积极做好选手的安全教育。
    4.指导教师参加赛项观摩等活动,不得违反赛项规定进入赛场,
    干扰比赛正常进行。
    (四)参赛选手须知
    1. 各参赛选手要发扬良好道德风尚,听从指挥,服从裁判,不
    弄虚作假。如发现弄虚作假者,取消参赛资格,名次无效。
    2.参赛选手应按有关要求如实填报个人信息,否则取消竞赛资
    格。
    3.参赛选手应按照规定时间抵达赛场,凭统一印制的参赛证、
    有效身份证件、学生证检录,按要求入场,不得迟到早退。请勿携带
    任何电子设备及其他资料、用品进入赛场。
    4.参加选手应认真学习领会本次竞赛相关文件,自觉遵守大赛
    纪律,服从指挥,听从安排,文明参赛。
    5.参赛选手应增强角色意识,科学合理做好时间分配。
    6. 参赛选手应按有关要求在指定位置就坐。
    7.参赛选手须在确认竞赛内容和现场设备等无误后开始竞赛。在
    竞赛过程中,确因计算机软件或硬件故障,致使操作无法继续的,经
    项目裁判长确认,予以启用备用计算机。
    8. 各参赛选手必须按规范要求操作竞赛设备。一旦出现较严重
    的安全事故,经裁判长批准后将立即取消其参赛资格。
    9.参赛选手需详细阅读赛题中竞赛文档命名的要求,不得在提交
    的竞赛文档中标识出任何关于参赛选手地名、校名、姓名、参赛编号
    等信息,否则取消竞赛成绩。
    10. 竞赛时间终了,选手应全体起立,结束操作,将资料和工具
    26 / 27
    整齐摆放在操作平台上,经工作人员清点后可离开赛场。离开赛场时
    不得带走任何资料。
    11.在竞赛期间,未经赛项执委会批准,参赛选手不得接受其他
    单位和个人进行的与竞赛内容相关的采访。参赛选手不得将竞赛的相
    关信息私自公布。
    (五)工作人员须知
    1. 树立服务观念,一切为选手着想,以高度负责的精神、严肃
    认真的态度和严谨细致的作风,在赛项执委会的领导下,按照各自职
    责分工和要求认真做好岗位工作。
    2. 所有工作人员必须佩带证件,忠于职守,秉公办理,保守秘
    密。
    3. 注意文明礼貌,保持良好形象,熟悉赛项指南。
    4. 自觉遵守赛项纪律和规则,服从调配和分工,确保竞赛工作
    的顺利进行。
    5. 提前 30 分钟到达赛场,严守工作岗位,不迟到,不早退,不
    得无故离岗,特殊情况需向工作组组长请假。
    6. 熟悉竞赛规程,严格按照工作程序和有关规定办事,遇突发
    事件,按照应急预案,组织指挥人员疏散,确保人员安全。
    7. 工作人员在竞赛中若有舞弊行为,立即撤销其工作资格,并
    严肃处理。
    8. 保持通讯畅通,服从统一领导,严格遵守竞赛纪律,加强协
    作配合,提高工作效率。
    27 / 27

    展开全文
  • 教育系统网络安全知识竞赛试题高校组精选.doc
  • 山西计算机信息网络安全员培训试题及答案试卷教案.doc
  • 课题:《计算机病毒与网络安全》 科目: 信息技术 提供者:吴华 教学对象: 四年级 课时: 1 课时单位: 沧州市实验小学一、教学内容分析 信息技术是一门知识性与技术性相结合的基础课程。新教材对教学内容进行了...
  • 意到在网络活动中存在的信息真伪网络文明网络安全等问题本节课通过 4 个案例让学 生对网络有一个更全面客观的认识引导学生树立网络安全意识掌握基本的网络安全措 施 1教学目标 1了解网络世界的虚伪性和法律法规 2...
  • 人工智能赋能安全案例集,100多页,内容详尽,值得学习。
  • 网络安全教育班会全文共3页,当前为第1页。网络安全教育班会全文共3页,当前为第1页。网络安全教育主题班会 网络安全教育班会全文共3页,当前为第1页。 网络安全教育班会全文共3页,当前为第1页。 五年级二班 一、...
  • 网络安全培训方案 网络安全培训方案全文共8页,当前为第1页。网络安全培训方案全文共8页,当前为第1页。培训方案 网络安全培训方案全文共8页,当前为第1页。 网络安全培训方案全文共8页,当前为第1页。 对学生知识的...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 18,450
精华内容 7,380
关键字:

学生网络安全案例