参赛单位及人员要求


本市基础电信运营企业、互联网企业

从事网络安全相关工作的在职人员

参赛人员须能提供半年以上社保缴纳证明


竞赛活动总体安排

一、报名、培训阶段

1、所有报名者均以公司(企业)为单位填写报名表
2、下载Excel表格,按参赛类别填写报名内容,若个人、团队均参赛,则分别填写报名表(北京市“职工技协杯”暨首届信息通信行业网络安全技能大赛报名表
3、原则上,各单位应参报团队赛
4、填写后发送至“pengyueping@bca.gov.cn”或“bjcia@189.cn”邮箱,同时将报名表加盖单位公章快递至:北京市通信行业协会(西城区广安门外大街383号),联系电话:68058119或68028651,王老师或雷老师收
报名时间:2019年4月16日—2019年5月10日16:30前
培训时间:2019年5月13日—2019年5月25日

二、初赛阶段
初赛形式:理论考试( 60 分钟) +实际操作CTF( 120 分钟);采取现场集中机考模式,自带考试工具(笔记本电脑-有网线接口)
其中,理论考试题型(总分100分,权重30%,含单选题/多选题/判断题) 实际操作题型(ctf总分100,权重70%)
初赛地点:北京机动通信局院内3号楼3层
北京市大兴区黄村镇林校南路2号 (公交路线图/驾车路线图
初赛时间:2019年5月26日下午13:30-16:30
参赛选手须知
三、决赛阶段

决赛人员入围公示:待公布
决赛形式:现场竞赛模式,60名选手个人决赛及20支团队巅峰对决
决赛地点:中国信息通信研究院(海淀区花园北路52号科研楼2层多功能厅)
决赛时间:2019年6月29日

 

竞赛活动培训安排

注意:仅报名者可以参加

日期

时间

培训内容

授课人

备注

5.13

19:00-20:30

  • 信息安全发展史
  • 网络安全法

 

5.14

19:00-20:30

  • 信息安全常用术语
  • 虚拟机的认识与使用

启明讲师

 

21:00-22:30

  • 信息安全发展史
  • 网络安全法

启明讲师

重播

5.15

19:00-20:30

  • windows系统基础命令
  • linux系统基础命令

启明讲师

 

21:00-22:30

  • 信息安全常用术语
  • 虚拟机的认识与使用

启明讲师

重播

5.16

19:00-20:30

  • CTF-WEB知识点梳理

启明讲师

 

21:00-22:30

  • windows系统基础命令
  • linux系统基础命令

启明讲师

重播

5.17

19:00-20:30

  • CTF-加解密知识点梳理

启明讲师

 

21:00-22:30

  • CTF-WEB知识点梳理

启明讲师

重播

5.18

19:00-20:30

  • CTF-隐写知识点梳理

启明讲师

 

21:00-22:30

  • CTF-加解密知识点梳理

启明讲师

重播

5.19

19:00-20:30

  • CTF-取证知识点梳理

启明讲师

 

21:00-22:30

  • CTF-隐写知识点梳理

启明讲师

重播

5.20

19:00-20:30

  • CTF-Reverse知识点梳理

启明讲师

 

21:00-22:30

  • CTF-取证知识点梳理

启明讲师

重播

5.21

19:00-20:30

  • CTF-PWN知识点梳理

启明讲师

 

21:00-22:30

  • CTF-Reverse知识点梳理

启明讲师

重播

5.22

00:00-23:59

  • 5.13-5.21相关内容

启明讲师

重播

5.23

00:00-23:59

  • 5.13-5.21相关内容

启明讲师

重播

5.24

00:00-23:59

  • 5.13-5.21相关内容

启明讲师

重播

5.25

00:00-23:59

  • 5.13-5.21相关内容

启明讲师

重播

 

竞赛奖励

此次竞赛分为个人竞赛和团队竞赛

基础电信运营企业和互联网企业分组计算成绩

个人奖励
1、特等奖1名,奖金10000元(决赛成绩总排名第一的选手)
下列奖项由基础电信运营企业组和互联网企业组分别设立
2、一等奖1名,奖金5000元/人
3、二等奖2名,奖金2000元/人
4、三等奖3名,奖金1000元/人
5、优胜奖6名,奖金800元/人
工会奖励
(持有北京工会会员互助服务卡且决赛总排名前十的选手)

1、第一名,优先推荐“首都劳动奖章”评选
2、前三名,由北京市职工技术协会颁发“北京市职工高级职业技术能手”证书。各单位可结合实际工作表现,给予一定奖励
3、前六名,优先推荐参加第二届“北京大工匠”选树活动——网络与信息安全管理员大工匠挑战赛
4、前十名,获得北京市总工会在职职工职业发展助推计划资助,第一名2000元,第二名至第十名1000元,纳入北京市职工技术协会技能人才库和北京市通信行业协会人才库
团队奖项
1、对各组获得前三名的团队,由组委会颁发奖杯及证书
2、对竞赛组织表现突出的单位,由组委会颁发最佳支撑奖、优秀组织奖证书及奖牌

考试大纲

1.操作系统安全检测与防护

了解操作系统(Windows、Linux、Unix等)的常规安全防护机制;

熟悉系统日志、应用程序日志等溯源攻击途径;

掌握系统账号、权限、文件系统、文件共享、网络参数、端口和服务、日志审计、漏洞补丁等项目的安全检测与安全加固方法;

掌握系统加密、系统防火墙、安全策略、杀毒软件的安装和配置方法。

2.数据库安全检测与防护

了解数据库(Mssql、Mysql、Oracle、MongoDB)的库表管理、数据访问、权限控制等基础安全防护机制;

熟悉数据存储加密不当、数据库访问与权限管理配置不当、SQL注入攻击、数据库漏洞攻击等常见安全问题;

掌握数据库运维管控、数据存储加密、数据脱敏、风险发现、日志审计等安全防护方法。

3.网络层攻击与防护

了解网络层的网络架构、传输方式、传输协议和控制措施;

了解针对有线和无线的攻击方式和安全防护机制;

熟悉常见的网络层攻击,包括:DoS和DDoS、窃听、假冒/伪装、重放攻击、篡改、针对DNS的工具(欺骗、投毒和劫持)、ARP攻击、DHCP攻击以及无线攻击等;

掌握通过使用网络层安全工具和设备(如:NMAP、防火墙、Web防火墙、IDS/IPS、抗拒绝服务攻击系统、网络扫描器等)发现和阻断网络层攻击的方法和技术;

掌握对网络层设备(如:路由器、交换机等)的安全配置和加固技术;

掌握验证各种安全防护手段(如密码强度、访问控制)有效性和强度的方法。

4.Web应用安全

了解Web应用安全架构,风险分析及常规防护思路;

熟悉框架和组件漏洞、权限绕过、弱口令、注入、跨站、文件包含、非法上传、非法命令执行、任意文件读取和下载等常见安全问题;

掌握常见Web环境的安全配置方法和检测方法和安全防护手段。

5.渗透测试技术

熟悉渗透基本思路、方法和流程,熟悉各种常见渗透测试工具;

掌握常规的渗透测试技术,包括:信息收集、漏洞发掘、常规漏洞利用、常见应用入侵、服务器提权、远程溢出攻击、内网渗透、身份隐藏、暗网挖掘等。

6.应急响应与恢复

熟悉应急响应与恢复的基本方法和流程;

掌握应急响应和恢复的调查、取证、恢复等相关技术,包括:入侵取证分析、日志审计分析、反取证技术、文件删除恢复、中毒文件恢复等。

7.软件开发安全

了解软件安全开发生命周期、软件安全架构和设计、软件威胁建模原理和方法;

了解常见编程环境(C/C++、JAVA、PHP、JSP等)的构建以及语言的编写;

熟悉常见的软件安全漏洞的产生原理和加固方法;

熟悉软件安全开发过程中有关参数化查询、输入验证、输出编码、访问控制、身份验证、安全日志、API接口安全、使用安全的第三方组件等安全开发规范;

熟悉代码审计(包括人工审计和工具审计)和代码加固技术。

8.恶意代码与逆向

熟悉恶意代码的分类、特点和运行机制;

熟悉常见的恶意代码,包括:后门、僵尸网络、启动器、感染病毒、远程控制木马、Rootkit等;

熟悉发现、隔离、清除常见恶意代码的相关工具及技术手段;

熟悉常见的恶意代码保护措施以及清除手段;

熟悉对常见恶意代码进行静态与动态的分析、源定位以及修复的方法。

9.移动应用安全

了解智能终端操作系统(安卓系统、苹果IOS)的安全机制;

了解移动应用软件的安全机制和调试分析、代码审计技术;

熟悉移动互联网联网应用和应用商店的架构组成与技术实现;

熟悉移动应用软件的越权访问、信息泄露、上传漏洞、业务逻辑错误等安全问题的检测与处理技术;

熟悉针对移动应用程序的安全防护技术;

掌握移动互联网恶意程序的监测与处置方法。