参赛单位及人员要求


本市基础电信运营企业、互联网企业

从事网络安全相关工作的在职人员

参赛人员须能提供半年以上社保缴纳证明


竞赛活动总体安排

一、报名、培训阶段

1、所有报名者均以公司(企业)为单位填写报名表
2、下载Excel表格,按参赛类别填写报名内容,若个人、团队均参赛,则分别填写报名表(北京市“职工技协杯”暨首届信息通信行业网络安全技能大赛报名表
3、原则上,各单位应参报团队赛
4、填写后发送至“pengyueping@bca.gov.cn”或“bjcia@189.cn”邮箱,同时将报名表加盖单位公章快递至:betway必威体育|主页(西城区广安门外大街383号),联系电话:68058119或68028651,王老师或雷老师收
报名时间:2019年4月16日—2019年5月10日16:30前
培训时间:2019年5月13日—2019年5月25日

二、初赛阶段
初赛形式:理论考试( 60 分钟) +实际操作CTF( 120 分钟);采取现场集中机考模式,自带考试工具(笔记本电脑-有网线接口)
其中,理论考试题型(总分100分,权重30%,含单选题/多选题/判断题) 实际操作题型(ctf总分100,权重70%)
初赛地点:北京机动通信局院内3号楼3层
北京市大兴区黄村镇林校南路2号 (公交路线图/驾车路线图
初赛时间:2019年5月26日下午13:30-16:30
参赛选手须知
三、决赛阶段

决赛人员入围公示:
决赛入围个人(运营商) 决赛入围个人(互联网企业)
决赛入围团队(运营商) 决赛入围团队(互联网企业)
决赛形式:现场竞赛模式,61名选手个人决赛及20支团队巅峰对决
决赛地点:中国信息通信研究院(海淀区花园北路52号科研楼2层多功能厅)
决赛时间:2019年7月6日
决赛须知
北京市“职工技协杯”暨首届信息通信行业网络安全技能大赛决赛须知

四、决赛获奖名单

决赛个人获奖选手:

特等奖一名
运营商企业 中国移动通信集团北京有限公司 朱东来

一等奖两名
运营商企业 中国电信股份有限公司北京分公司 孙道伟
互联网企业 北京凤凰博锐软件技术有限责任公司 汪强

二等奖四名
运营商企业:
中国移动通信集团北京有限公司 聂晓飞
中国联合网络通信有限公司北京市分公司 段少杰
互联网企业:
北京爱奇艺科技有限公司 翁迟迟
乐视云计算有限公司 史小云

三等奖六名
运营商企业:
中国联合网络通信有限公司北京市分公司 惠梽鑫
中国移动通信集团北京有限公司 范楠
中国联合网络通信有限公司北京市分公司 郝继英
互联网企业:
北京爱奇艺科技有限公司 贾晓岩
北京神州泰岳软件股份有限公司 訾荣
北京远禾科技有限公司 牛恩常

优胜奖十二名
运营商企业:
中国移动通信集团北京有限公司 张瀚
中国联合网络通信有限公司北京市分公司 靳云鹏
中国移动通信集团北京有限公司 王震
中国联合网络通信有限公司北京市分公司 丁颖睿
中国联合网络通信有限公司北京市分公司 崔金瓯
中国联合网络通信有限公司北京市分公司 王悦
互联网企业:
中经网数据有限公司 李凯
中移在线服务有限公司北京分公司 易礼斌
北京远禾科技有限公司 杨佳辉
北京远禾科技有限公司 曹峰伟
乐视云计算有限公司 张琦
北京神州泰岳软件股份有限公司 马国林

决赛获奖团队:

一等奖团队两组六人
运营商企业

中国电信股份有限公司北京分公司 光辉之剑战队 张连成 孙道伟 戴诗嘉

互联网企业

北京爱奇艺科技有限公司 爱奇艺战队 翁迟迟 贾晓岩 王贺

二等奖团队两组六人
运营商企业

中国联合网络通信有限公司北京市分公司 北京联通1队 段少杰 王悦 张志强

互联网企业 北京凤凰博锐软件技术有限责任公司 博锐战队 汪强 王硕 张天佑

三等奖团队两组六人
运营商企业 中国移动通信集团北京有限公司 京盾.网战队 范楠 聂晓飞 张瀚

互联网企业 中移在线服务有限公司北京分公司 ssh1战队 易礼斌 侯晓飞 褚晓飞

最佳支撑奖 获奖单位

1、中国信息通信研究院

2、北京启明星辰信息安全技术有限公司

3、北京市电信工程局有限公司

4、中国联合网络通信有限公司北京市分公司

5、中国通信企业协会通信网络安全专业委员会

优秀组织奖 获奖单位

1、中国移动通信集团北京有限公司

2、中国联合网络通信有限公司北京市分公司

3、中国电信股份有限公司北京分公司

4、北京天盈九州网络技术有限公司

5、北京信元电信维护有限责任公司

6、北京神州泰岳软件股份有限公司

 

竞赛活动培训安排

注意:仅报名者可以参加

日期

时间

培训内容

授课人

备注

5.13

19:00-20:30

  • 信息安全发展史
  • 网络安全法

 

5.14

19:00-20:30

  • 信息安全常用术语
  • 虚拟机的认识与使用

启明讲师

 

21:00-22:30

  • 信息安全发展史
  • 网络安全法

启明讲师

重播

5.15

19:00-20:30

  • windows系统基础命令
  • linux系统基础命令

启明讲师

 

21:00-22:30

  • 信息安全常用术语
  • 虚拟机的认识与使用

启明讲师

重播

5.16

19:00-20:30

  • CTF-WEB知识点梳理

启明讲师

 

21:00-22:30

  • windows系统基础命令
  • linux系统基础命令

启明讲师

重播

5.17

19:00-20:30

  • CTF-加解密知识点梳理

启明讲师

 

21:00-22:30

  • CTF-WEB知识点梳理

启明讲师

重播

5.18

19:00-20:30

  • CTF-隐写知识点梳理

启明讲师

 

21:00-22:30

  • CTF-加解密知识点梳理

启明讲师

重播

5.19

19:00-20:30

  • CTF-取证知识点梳理

启明讲师

 

21:00-22:30

  • CTF-隐写知识点梳理

启明讲师

重播

5.20

19:00-20:30

  • CTF-Reverse知识点梳理

启明讲师

 

21:00-22:30

  • CTF-取证知识点梳理

启明讲师

重播

5.21

19:00-20:30

  • CTF-PWN知识点梳理

启明讲师

 

21:00-22:30

  • CTF-Reverse知识点梳理

启明讲师

重播

5.22

00:00-23:59

  • 5.13-5.21相关内容

启明讲师

重播

5.23

00:00-23:59

  • 5.13-5.21相关内容

启明讲师

重播

5.24

00:00-23:59

  • 5.13-5.21相关内容

启明讲师

重播

5.25

00:00-23:59

  • 5.13-5.21相关内容

启明讲师

重播

 

竞赛奖励

此次竞赛分为个人竞赛和团队竞赛

基础电信运营企业和互联网企业分组计算成绩

个人奖励
1、特等奖1名,奖金10000元(决赛成绩总排名第一的选手)
下列奖项由基础电信运营企业组和互联网企业组分别设立
2、一等奖1名,奖金5000元/人
3、二等奖2名,奖金2000元/人
4、三等奖3名,奖金1000元/人
5、优胜奖6名,奖金800元/人
工会奖励
(持有北京工会会员互助服务卡且决赛总排名前十的选手)

1、第一名,优先推荐“首都劳动奖章”评选
2、前三名,由北京市职工技术协会颁发“北京市职工高级职业技术能手”证书。各单位可结合实际工作表现,给予一定奖励
3、前六名,优先推荐参加第二届“北京大工匠”选树活动——网络与信息安全管理员大工匠挑战赛
4、前十名,获得北京市总工会在职职工职业发展助推计划资助,第一名2000元,第二名至第十名1000元,纳入北京市职工技术协会技能人才库和betway必威体育|主页人才库
团队奖项
1、对各组获得前三名的团队,由组委会颁发奖杯及证书
2、对竞赛组织表现突出的单位,由组委会颁发最佳支撑奖、优秀组织奖证书及奖牌

考试大纲

1.操作系统安全检测与防护

了解操作系统(Windows、Linux、Unix等)的常规安全防护机制;

熟悉系统日志、应用程序日志等溯源攻击途径;

掌握系统账号、权限、文件系统、文件共享、网络参数、端口和服务、日志审计、漏洞补丁等项目的安全检测与安全加固方法;

掌握系统加密、系统防火墙、安全策略、杀毒软件的安装和配置方法。

2.数据库安全检测与防护

了解数据库(Mssql、Mysql、Oracle、MongoDB)的库表管理、数据访问、权限控制等基础安全防护机制;

熟悉数据存储加密不当、数据库访问与权限管理配置不当、SQL注入攻击、数据库漏洞攻击等常见安全问题;

掌握数据库运维管控、数据存储加密、数据脱敏、风险发现、日志审计等安全防护方法。

3.网络层攻击与防护

了解网络层的网络架构、传输方式、传输协议和控制措施;

了解针对有线和无线的攻击方式和安全防护机制;

熟悉常见的网络层攻击,包括:DoS和DDoS、窃听、假冒/伪装、重放攻击、篡改、针对DNS的工具(欺骗、投毒和劫持)、ARP攻击、DHCP攻击以及无线攻击等;

掌握通过使用网络层安全工具和设备(如:NMAP、防火墙、Web防火墙、IDS/IPS、抗拒绝服务攻击系统、网络扫描器等)发现和阻断网络层攻击的方法和技术;

掌握对网络层设备(如:路由器、交换机等)的安全配置和加固技术;

掌握验证各种安全防护手段(如密码强度、访问控制)有效性和强度的方法。

4.Web应用安全

了解Web应用安全架构,风险分析及常规防护思路;

熟悉框架和组件漏洞、权限绕过、弱口令、注入、跨站、文件包含、非法上传、非法命令执行、任意文件读取和下载等常见安全问题;

掌握常见Web环境的安全配置方法和检测方法和安全防护手段。

5.渗透测试技术

熟悉渗透基本思路、方法和流程,熟悉各种常见渗透测试工具;

掌握常规的渗透测试技术,包括:信息收集、漏洞发掘、常规漏洞利用、常见应用入侵、服务器提权、远程溢出攻击、内网渗透、身份隐藏、暗网挖掘等。

6.应急响应与恢复

熟悉应急响应与恢复的基本方法和流程;

掌握应急响应和恢复的调查、取证、恢复等相关技术,包括:入侵取证分析、日志审计分析、反取证技术、文件删除恢复、中毒文件恢复等。

7.软件开发安全

了解软件安全开发生命周期、软件安全架构和设计、软件威胁建模原理和方法;

了解常见编程环境(C/C++、JAVA、PHP、JSP等)的构建以及语言的编写;

熟悉常见的软件安全漏洞的产生原理和加固方法;

熟悉软件安全开发过程中有关参数化查询、输入验证、输出编码、访问控制、身份验证、安全日志、API接口安全、使用安全的第三方组件等安全开发规范;

熟悉代码审计(包括人工审计和工具审计)和代码加固技术。

8.恶意代码与逆向

熟悉恶意代码的分类、特点和运行机制;

熟悉常见的恶意代码,包括:后门、僵尸网络、启动器、感染病毒、远程控制木马、Rootkit等;

熟悉发现、隔离、清除常见恶意代码的相关工具及技术手段;

熟悉常见的恶意代码保护措施以及清除手段;

熟悉对常见恶意代码进行静态与动态的分析、源定位以及修复的方法。

9.移动应用安全

了解智能终端操作系统(安卓系统、苹果IOS)的安全机制;

了解移动应用软件的安全机制和调试分析、代码审计技术;

熟悉移动互联网联网应用和应用商店的架构组成与技术实现;

熟悉移动应用软件的越权访问、信息泄露、上传漏洞、业务逻辑错误等安全问题的检测与处理技术;

熟悉针对移动应用程序的安全防护技术;

掌握移动互联网恶意程序的监测与处置方法。


betway必威体育