《信息安全管理与评估》全国大赛考题.docx

1、2015年全国职业院校技能大赛高职组“神州数码”杯“信息安全管理与评估”赛项任务书一、 赛项时间9:00-13:00，共计6小时，含赛题发放、收卷及午餐时间。二、 赛项信息竞赛阶段任务阶段竞赛任务竞赛时间分值第一阶段平台搭建与配置任务一网络平台搭建9:00-13:3060任务二网络安全设备配置与防护240第二阶段系统安全攻防及运维安全管控任务一IIS安全加固与证书签发30任务二数据库攻防与加固40任务三CSRF攻击40任务四XSS攻击40任务五密码嗅探40任务六文件包含攻击40任务七SQL注入攻击40任务八linux操作系统安全防护30中场收卷13:30-14:00第三阶段分组对抗系统加固14

2、:00-14:15100系统攻防14:15-15:00300三、 赛项内容假定各位选手是某公司的信息安全工程师，负责维护公司信息系统安全。你们需要完成三个阶段的任务，其中前两个阶段需要提交任务操作文档留存备案，所有文档需要存放在裁判组专门提供的U盘中。第三阶段是否提交文档，请根据现场具体题目要求。选手首先需要在U盘的根目录下建立一个名为“xx工位”的文件夹，并在“xx工位”文件夹下，建立“第一阶段”、“第二阶段”两个文件夹，赛题两个阶段的文档分别归类放置在对应的文件夹中。例如：08工位，则需要在U盘根目录下建立“08工位”文件夹，并在“08工位”文件夹下建立“第一阶段”、“第二阶段”两个文件夹

3、。特别说明：只允许在根目录下的“08工位”文件夹中体现一次工位信息，不允许在其他文件夹名称或文件名称中再次体现工位信息，否则按作弊处理。(一) 赛项环境设置赛项环境设置包含了三个竞赛阶段的基础信息：网络拓扑图、IP地址规划表、设备初始化信息。1. 网络拓扑图2. IP地址规划表设备名称接口IP地址互联可用IP数量防火墙DCFWEthXx.x.x.x/x与PC-3相连见赛场IP参数表EthXx.x.x.x/x与DCFS相连见赛场IP参数表地址池x.x.x.x/xSSL VPN地址池见赛场IP参数表网络流控系统DCFSEthX无与DCFW相连见赛场IP参数表EthXx.x.x.x/x与DCRS相连

4、见赛场IP参数表web应用防火墙WAFEthXx.x.x.x/x 与DCRS相连见赛场IP参数表EthX与DCST相连见赛场IP参数表三层交换机DCRSVlan 2x.x.x.x/x与DCFS相连见赛场IP参数表Vlan 10x.x.x.x/x与WAF相连见赛场IP参数表Vlan 20x.x.x.x/x与PC-1所在用户区相连见赛场IP参数表Vlan 30x.x.x.x/x与PC-2所在用户区相连见赛场IP参数表Vlan 40x.x.x.x/x与DCBI相连见赛场IP参数表Vlan 100x.x.x.x/x直连服务器区见赛场IP参数表Vlan 110x.x.x.x/x直连用户区见赛场IP参数表

5、地址池x.x.x.x/xDCHP地址池见赛场IP参数表网络日志系统DCBIEthXx.x.x.x/x与DCRS相连见赛场IP参数表EthX无与DCRS相连见赛场IP参数表堡垒服务器DCSTEthXx.x.x.x/x与WAF相连见赛场IP参数表PC-1无x.x.x.x/x与DCRS相连见赛场IP参数表PC-2无x.x.x.x/x与DCRS相连见赛场IP参数表PC-3无x.x.x.x/x与DCFW相连见赛场IP参数表服务器场景-1无见系统安全攻防加固赛题部分服务器场景-2无见系统安全攻防加固赛题部分服务器场景-3无见系统安全攻防加固赛题部分服务器场景-4无见系统安全攻防加固赛题部分服务器场景-5无

6、见系统安全攻防加固赛题部分备注1.赛题可用IP地址范围见“赛场IP参数表”；2.具体网络连接接口见“赛场互联接口参数表”；3.设备互联网段内可用地址数量见“赛场IP参数表”；4.IP地址分配要求，最节省IP地址，子网有效地址规划遵循2n-2的原则；5.参赛选手按照“赛场IP参数表”要求，自行分配IP地址段、设备互联接口；6.将分配的IP地址段和接口填入“赛场IP参数表”中（“赛场IP参数表”电子文件存于参赛PC机中），并存放在U盘“第一阶段”文件夹中提交，文件名称为“赛场IP参数表”。3. 设备初始化信息设备名称管理地址默认管理接口用户名密码防火墙DCFWhttp:/192.168.1.1ET

7、H0adminadmin网络流控系统DCFShttps:/192.168.1.254:9999ETH0adminAdmin123网络日志系统DCBIhttps:/192.168.5.254ETH0admin123456web应用防火墙WAFhttps:/192.168.45.1ETH5adminadmin123堡垒服务器DCSThttp:/192.168.1.100Eth0Eth9参见“DCST登录用户表”备注所有设备的默认管理接口、管理IP地址不允许修改(二) 第一阶段任务书（300分）提示：该阶段答案文档命名格式为：“第X阶段”-“任务X”-“任务名称”。例：“第一阶段、任务二、网络安全设

8、备配置与防护”的答案提交文档，文件名称为：第一阶段-任务二-网络安全设备配置与防护.doc或第一阶段-任务二-网络平台搭建.docx。任务一：网络平台搭建（60分）提示：需要提交所有设备配置文件，其中DCRS设备要求提供show run配置文件保存到WORD文档，DCFW、DCFS、WAF、DCBI设备需要提交配置过程截图存入WORD文档，并在截图中加配置说明。提交的答案保存到一个WORD文档中，标明题号，按顺序答题。平台搭建要求如下：题号网络需求1根据网络拓扑图所示，按照IP地址参数表，对WAF的名称、各接口IP地址进行配置。2根据网络拓扑图所示，按照IP地址参数表，对DCRS的名称、各接口

9、IP地址进行配置。3根据网络拓扑图所示，按照IP地址参数表，对DCFW的名称、各接口IP地址进行配置。4根据网络拓扑图所示，按照IP地址参数表，对DCFS的名称、各接口IP地址进行配置。5根据网络拓扑图所示，按照IP地址参数表，对DCBI的名称、各接口IP地址进行配置。6根据网络拓扑图所示，按照IP地址参数表，在DCRS交换机上创建相应的VLAN，并将相应接口划入VLAN。7采用静态路由的方式，全网络互连。任务二：网络安全设备配置与防护（240分）提示：需要提交所有设备配置文件，其中DCRS设备要求提供show run配置文件保存到WORD文档，DCFW、DCFS、WAF、DCBI设备需要提交

10、配置过程截图存入WORD文档，并在截图中加以说明。请顺序答题，并标注题号。每个设备提交的答案保存到一个WORD文档中。1. 在公司总部的DCFW上配置，开启网络管理功能（SNMP），网管服务器连接在服务器区，IP地址是服务器区内第二个可用地址（服务器区IP地址段参考“赛场IP参数表”），community名字为public，网管软件对DCFW没有写权限。（6分）2. 在公司总部的DCFW上配置，连接互联网的接口属于WAN安全域、连接内网的接口属于LAN安全域，开启DCFW的DDoS防护。（6分）3. 在公司总部的DCFW上配置，仅允许通过HTTP方式访问DCFW，并且新增一个用户，用户名dcf

11、w1234，密码dcfw1234，该用户只有查看配置权限，不具有添加配置或修改配置的权限。（6分）4. 在公司总部的DCFW上配置，在上班时间（工作日的9:00-17:00）只允许公司员工访问内网资源。（6分）5. 在公司总部的DCFW上配置，在上班时间如有事情需要访问网络，限制只有通过DCFW的WEB认证后才能访问互联网，且在连接网络一个小时后如果不重新认证则断开网络访问。（6分）6. 在公司总部的DCFW上配置，使公司总部的DCST设备可以通过互联网被访问，从互联网访问的地址是公网地址的第三个可用地址（公网IP地址段参考“赛场IP参数表”），且仅允许PC-3通过互联网访问DCST设备。（6

12、分）7. 在公司总部的DCFW上配置，使内网所有用户网段和服务器区网段都可以通过DCFW外网接口IP地址访问互联网，但要求公司PC-1只能通过固定的公网地址的第四个可用地址（公网IP地址段参考“赛场IP参数表”）访问互联网。（6分）8. 在公司总部的DCFW上配置，在内网接口上开启防护功能，每秒钟最大接收1000个ARP包，超过的将被丢弃。（6分）9. 在公司总部的DCFW上配置，限制每个用户访问互联网时最大的会话数是1000，上网带宽最大是5M。（6分）10. 在公司总部的DCFW上启用SSL VPN，使分支机构通过VPN拨入公司总部，访问内部的所有服务器资源。SSL VPN地址池x.x.x

13、.x/x（具体IP地址参考“赛场IP参数表”）。（6分）11. 在公司总部的DCFS上配置，增加非admin账户dcfs1234，密码dcfs1234，该账户仅用于用户查询设备的日志信息和统计信息。（6分）12. 在公司总部的DCFS上配置，使2015年7月1日到7月10日的工作日（工作日每周一到周五）时间内，禁止PC-1访问迅雷应用。（6分）13. 在公司总部的DCFS上配置，限制URL路径中大于10M 的“*.mp3”格式的文件不能被下载。（6分）14. 在公司总部的DCFS上配置，禁止内网用户访问某游戏服务，该游戏服务使用的协议是UDP，固定的端口号7633。（6分）15. 在公司总部的

14、DCFS上配置，要求能够在主机列表中显示出内网用户名，能够看到用户名与主机地址的对应关系。（6分）16. 在公司总部的DCFS上配置，禁止PC-1所在用户网段最后10个可用地址（PC-1所在网段参考“赛场IP参数表”）访问互联网。（6分）17. 在公司总部的DCFS上配置，总的出口带宽是200M，创建子带宽通道100M，当网络拥塞时，使PC-2所在网段每一个用户带宽最大不超过2M，最小带宽为1M；当网络不拥塞时，带宽可以超出2M。（6分）18. 在公司总部的DCFS上配置，公司总出口带宽是200M，创建子带宽通道100M，使PC-1所在网段每一个用户最小拥有2M上网带宽，并且要求在总出口处应用

15、BT业务的流量不超过50M。（6分）19. 在公司总部的DCBI上配置，增加非admin账户dcbi1234，密码dcbi1234，该账户仅用于用户查询设备的日志信息和统计信息。（6分）20. 在公司总部的DCBI上配置，设备部署方式为旁路模式，并配置监控接口与管理接口。（6分）21. 在公司总部的DCBI上配置，使DCBI能够通过邮件方式发送告警信息，邮件服务器在服务器区，IP地址是服务器区内第三个可用地址（服务器区IP地址段参考“赛场IP参数表”），端口号25，账号test，密码test。（6分）22. 在公司总部的DCBI上配置，将DCBI的日志信息发送到日志服务器，日志服务器在服务器区

16、，IP地址是服务器区内第四个可用地址（服务器区IP地址段参考“赛场IP参数表”），community名字public。（6分）23. 在公司总部的DCBI上配置，监控工作日（每周一到周五）期间PC-1访问的URL中包含xunlei的HTTP访问记录，并且邮件发送告警。（6分）24. 在公司总部的DCBI上配置，监控PC-2所在网段用户的即时聊天记录。（6分）25. 在公司总部的DCBI上配置，监控内网所有用户的邮件收发访问记录。（6分）26. 在公司总部的DCBI上配置，使DCBI可以通过交换机（DCRS）获得内网PC的MAC地址，并在记录日志时显示内网PC的MAC地址。（6分）27. 在公司

17、总部的DCRS上配置，配置设备enable密码，并且在登录设备时必须正确输入enable密码才能进入交换机的配置模式。（6分）28. 在公司总部的DCRS上配置，在交换设备上开启SSH管理功能，用户名和密码都是DCN，并关闭设备的web管理方式，仅允许使用console、ssh和telnet方式管理设备。（6分）29. 在公司总部的DCRS上配置，VLAN20的成员接口开启广播风暴抑制功能，参数设置为400pps。（6分）30. 在公司总部的DCRS上配置，公司为了统一管理，通过SNMP技术使用网管软件对DCRS进行管理，配置只读字串为public , 读写字串为private，网管服务器连接

18、在服务器区，IP地址是服务器区内第二个可用地址（服务器区IP地址段参考“赛场IP参数表”）。（6分）31. 在公司总部的DCRS上配置，在DCRS上的Ethernet1/15-17端口开启ARP保护功能，防止PC发出网关欺骗报文。并在Ethernet1/19接口上配置，使MAC为00-FF-51-BE-AD-32的主机不能访问MAC地址为E1-B6-4C-25-6A-13的主机，其他主机访问正常。（6分）32. 在公司总部的DCRS上配置，需要在交换机10接口上开启基于用户模式的认证，认证通过后才能访问网络，认证服务器连接在服务器区，IP地址是服务器区内第五个可用地址（服务器区IP地址段参考“

19、赛场IP参数表”），radius key是123456。（6分）33. 在公司总部的DCRS上配置，VLAN110用户可通过DHCP的方式获得IP地址，在交换机上配置DHCP Server，地址池名称为pool-vlan110，DNS地址为114.114.114.114和8.8.8.8，租期为2天，VLAN110网段最后20个可用地址（DHCP地址段参考“赛场IP参数表”）不能被动态分配出去。（6分）34. 在公司总部的WAF上配置，公司内部有一台网站服务器直连到WAF，地址是DCRS上VLAN10网段内的第五个可用地址（VLAN10地址段参考“赛场IP参数表”），端口是8080，并将服务访问

20、日志、WEB防护日志、服务监控日志、DDoS防护日志信息发送syslog日志服务器，syslog日志服务器在服务器区，IP地址是服务器区内第六个可用地址（服务器区IP地址段参考“赛场IP参数表”），UDP的514端口。（6分）35. 在公司总部的WAF上配置，将攻击告警、设备状态告警、服务状态告警信息通过邮件（发送到jiankongceshi）及短信方式(发送到12812345678)发送给管理员。（6分）36. 在公司总部的WAF上配置，阻止常见的WEB攻击数据包访问到公司内网服务器。（6分）37. 在公司总部的WAF上配置，防止某源IP地址在短时间内发送大量的恶意请求，影响公司网站正常服务

21、。大量请求的确认值是：10秒钟超过3000次请求。（6分）38. 在公司总部的WAF上配置，禁止公网IP地址（218.240.143.219）访问网站服务器，网站服务器地址是DCRS上VLAN10网段内的第五个可用地址（VLAN10地址段参考“赛场IP参数表”）。（6分）39. 在公司总部的WAF上配置，对公司网站（服务器地址是DCRS上VLAN10网段内的第五个可用地址，VLAN10地址段参考“赛场IP参数表”）进行安全评估，检查网站是否存在安全漏洞，便于在攻击没有发生的情况下提前做出防护措施。40. 在公司总部的WAF上配置，禁止HTTP请求和应答中包含敏感字段“赛题”的报文经过WAF设备

22、。（6分）(三) 第二阶段：系统安全攻防及运维安全管控（300分）提示1：本阶段用到堡垒服务器DCST中的服务器场景，获得服务器IP地址方式如下：Windows服务器的IP地址可以通过拓扑界面获得，如果获得不了，采用如下方法获得： 通过DCST场景里的网络拓扑图，启动连接设备 进入服务器，用户名为administrator，密码123456 执行ipconfig /all，即可获得服务器IP地址Linux服务器的IP地址可以通过拓扑界面获得，如果获得不了，采用如下方法获得： 通过DCST场景里的网络拓扑图，启动连接设备 进入服务器，用户名为root，密码是123456 执行ifconfig即可

23、获得服务器IP地址提示2：每个任务提交一个word文档，请在文档中标明题号，按顺序答题。将关键步骤和操作结果进行截屏，并辅以文字说明，保存到提交文档中。提示3：文档命名格式为：“第X阶段”-“任务X”-“任务名称”。例：“第二阶段、任务二”的答案提交文档，文件名称为：第二阶段-任务二-数据库攻防与加固.doc或第二阶段-任务二-数据库攻防与加固.docx任务一：IIS安全加固与证书签发（30分）任务环境说明：Web服务器操作系统：windows2003 server；安装服务/工具1：Web服务，版本是IIS-6.0；安装服务/工具2：FTP服务，版本是IIS-6.0；win-wireshar

24、k操作系统：windows2003 server；安装服务/工具1：抓包工具，wireshark；1. 配置Windows 防火墙，使IIS Web服务能够被访问，对配置进行截屏。（3分）2. 加固IIS Web服务器的安全配置，使得Web服务只能被内网用户所在的网段访问，对加固配置进行截屏。（3分）3. 为IIS Web服务器申请服务器证书，对申请摘要进行截屏。（3分）4. 为IIS Web服务器颁发一年期服务器证书，对颁发过程进行截屏。（3分）5. 将IIS服务器启动SSL安全通信，并安装服务器证书。使用win-wireshark虚拟机中的浏览器访问该Web服务进行测试。由于cn和IIS

25、的域名不一致，所以一定有警报弹出窗，请将该窗口截屏。（3分）6. 将IIS 服务器启用客户端证书设置。使用客户端浏览器访问该Web服务进行测试。将要求客户端提供证书的弹出页面截屏。（6分）7. 为PC申请CA证书。颁发该证书。对申请和颁发过程截屏。（6分）8. 在PC上安装CA证书。使用PC浏览器访问该Web服务进行测试，对操作过程截屏。（3分）任务二：数据库攻防与加固 （40分）任务环境说明：xserver-mysql服务器操作系统：Redhat Linux AS5；安装服务/工具1：Web服务，版本Apache 2.2.23；安装服务/工具2：MySQL服务，版本5.0.22；安装服务/工

26、具3：PHP服务，版本5.0.48；安装服务/工具4：Nmap服务，版本4.11；1. 进入xserver-mysql, 加固MySQL服务器，使所有的访问能被审计，要求通过对mysqld 的启动项进行加固，对加固操作进行截屏。（4分）2. 配置linux-mysql 防火墙，允许MySQL服务能够被访问，要求规则中只包含端口项，对防火墙规则列表进行截屏。（4分）3. 进入xserver-mysql，查看所有用户及权限，找到可以从任何IP地址访问的用户，对操作过程进行截屏。（8分）4. 对题号3中的漏洞进行加固，设定该用户只能从公司PC访问，用grants 命令进行管理，并将加固过程截屏。（8

27、分）5. 检查xserver-mysql中的是否存在匿名用户，如果存在匿名用户，则删除该用户，将发现的匿名用户信息以及删除过程进行截屏。（4分）6. 改变默认MySQL管理员的名称，将系统的默认管理员root 改为admin，防止被列举，将执行过程进行截屏。（4分）7. 禁止MySQL对本地文件进行存取，对mysqld 的启动项进行加固，将加固部分截屏。（4分）8. 限制一般用户浏览其他用户数据库，对mysqld 的启动项进行加固，将加固部分截屏。（4分）任务三：CSRF攻击（40分）任务环境说明：xserver操作系统：Redhat Linux AS5；安装服务/工具1：Web服务，版本Ap

28、ache 2.2.23；安装服务/工具2：MySQL服务，版本5.0.22；安装服务/工具3：PHP服务，版本5.0.48；安装服务/工具4：Nmap服务，版本4.11；metas2-lab-1操作系统：Redhat Linux AS5；安装服务/工具1：Web服务，版本Apache 2.2.23；安装服务/工具2：MySQL服务，版本5.0.22；安装服务/工具3：PHP服务，版本5.0.48；安装服务/工具4：Nmap服务，版本4.11；安装服务/工具5：telnet服务端，版本0.17-39-el5;安装服务/工具6：telnet客户端，版本0.17-39-el5；win-wiresha

29、rk操作系统：windows2003 server；安装服务/工具1：抓包工具，wireshark；1. 访问metas2-lab-xss /-csrf，分析登录的页面源程序，找到提交的变量名，并截屏。（4分）2. 启动win-wireshark，启动桌面程序csrfp，设置完成后，启动wireshark设定过滤条件包含协议和端口，并对抓取的数据包信息进行截屏。（8分）3. 在监听数据中分析得到用户名和密码，并截屏。（8分）4. 根据用户名和密码，登录进入“csrf”页面，进入csrf攻防页面，点击“源程序”，分析需要提交的引用变量名称，并截屏。（4分）5. 在xserver中存在csrf恶意

30、攻击程序test.php，请修改该恶意程序，使得登录用户密码为12erfgbn，对test.php修改过程进行截屏。（8分）6. 在PC上执行csrf攻击，并截屏。（4分）7. 在win-wireshark中启动csrpcheck程序，输入metas2-lab-1的地址，点击“测试”将返回结果截屏。（4分）任务四：XSS攻击（40分）任务环境说明：xserver操作系统：Redhat Linux AS5；安装服务/工具1：Web服务，版本Apache 2.2.23；安装服务/工具2：MySQL服务，版本5.0.22；安装服务/工具3：PHP服务，版本5.0.48；安装服务/工具4：Nmap服务，版本4.11；metas2-lab-1操作系统：Redhat Linux AS5；安装服务/工具1：Web服务，版本Apache 2.2.23；安装服务/工具2：MySQL服务，版本5.0.22；安装服务/工具3：PHP服务，版本5.0.48；安装服务/工具4：Nmap服务，版本4.11；安装服务/工具5：telnet服务端，版本