信息安全管理与评估竞赛任务书)
2025年安徽省职业院校技能大赛(高职组)信息安全管理与评估竞赛任务书
文章目录
- 2025年安徽省职业院校技能大赛(高职组)信息安全管理与评估竞赛任务书
- (二) 模块一:网络平台搭建任务书
- 任务 1:网络平台搭建(70 分)
- (三) 模块二:网络安全设备配置与防护任务书
- 任务 1:网络安全设备配置与防护(180 分)
- (四) 模块三:网络安全事件响应、数字取证调查、网络安全渗透
- 任务 1:网络安全事件响应(100 分)
- 任务 2:数字取证调查(100 分)
- 任务 3:网络安全渗透 1(100 分)
- 任务 4:网络安全渗透 2(150 分)
一、 赛项时间
本赛项技能水平阶段(本赛卷)的竞赛时间为 3 小时,计 180 分钟。
二、 赛项信息
三、 赛项内容
本次大赛,各位选手需要完成两个阶段的任务,其中第一个阶段需要按裁判组专门提供的 U 盘中的“XXX-答题模板”提交答案。第二阶段请根据现场具体题目要求操作。
选手首先需要在 U 盘的根目录下建立一个名为“GWxx”的文件夹(xx 用具体的工位号替代),赛题第一阶段所完成的“XXX-答题模板”放置在文件夹中。
例如:08 工位,则需要在 U 盘根目录下建立“GW08”文件夹,并在“GW08”文件夹下直接放置第一个阶段的所有“XXX-答题模板”文件。
特别说明:只允许在根目录下的“GWxx”文件夹中体现一次工位信息,不允许在其他文件夹名称或文件名称中再次体现工位信息,否则按作弊处理。
(一) 赛项环境设置
某集团公司原在北京建立了总部,在合肥设立了分公司。总部设有销售、产品、财务、信息技术 4 个部门,分公司设有销售、产品、财务 3 个部门,统一进行 IP 及业务资源的规划和分配。公司规模在 2025 年快速发展,业务数据量和公司访问量增长巨大。为了更好管理数据,提供服务,集团决定建立自己的中型数据中心及业务服务平台,以达到快速、可靠交换数据,以及增强业务部署弹性的目的。集团、分公司的网络结构详见拓扑图。
你作为一名项目经理,需要完成以下任务。
1.网络拓扑图
2.IP 地址规划表
(二) 模块一:网络平台搭建任务书
任务 1:网络平台搭建(70 分)
| 题号 | 网络需求 |
|---|---|
| 1 | 根据网络拓扑图所示,按照 IP 地址参数表,对 FW 的名称、各接口 IP 地址进行配置。 |
| 2 | 根据网络拓扑图所示,按照 IP 地址参数表,对 SW 的名称、各接口 IP 地址进行配置。 |
| 3 | 根据网络拓扑图所示,按照 IP 地址参数表,对 AC 的名称、各接口 IP 地址进行配置。 |
| 4 | 根据网络拓扑图所示,按照 IP 地址参数表,对 BC 的名称、各接口 IP 地址进行配置。 |
| 5 | 根据网络拓扑图所示,按照 IP 地址规划表,对 WAF 的名称、各接口 IP 地址进行 |
(三) 模块二:网络安全设备配置与防护任务书
任务 1:网络安全设备配置与防护(180 分)
1.总部核心交换机 DCRS 上开启 SSH 远程管理功能, 本地认证用户名: DCN2025,密码:DCN2025;最大同时登录为 6。
2.为了减少广播,需要根据题目要求规划并配置 VLAN。要求配置合理,所有链路上不允许不必要 VLAN 的数据流通过,包括 VLAN 1。集团 AC 与核心交换机之间的互连接口发送交换机管理 VLAN 的报文时不携带标签,发送其它 VLAN的报文时携带标签,要求禁止采用 trunk 链路类型。
3.总部无线AC 和核心运行一种协议,实现无线 1 和无线 2 通过一条链路传输,销售网段通过另外一条链路传输,要求两条链路负载分担,其中 VLAN10、20 业务数据在 E1/0/5 进行数据转发,要求 VLAN50 业务数据在 E1/0/4 进行数据转发,域名为 DCN2025。设置路径开销值的取值范围为 1-65535,BPDU 支持在域中传输的最大跳数为 7 跳;同时不希望每次拓扑改变都清除设备 MAC/ARP 表,全局限制拓扑改变进行刷新的次数。
4.尽可能加大总部核心交换机 DCRS 与防火墙 DCFW 之间的带宽;
5.总部核心交换机 DCRS 既是内网核心交换机又模拟外网交换机,其上使用某种技术,将内网路由和 internet 路由隔离;
6.总部核心交换机 DCRS 上实现 VLAN40 业务内部终端相互二层隔离,vlan30接口下启用环路检测,环路检测的时间间隔为 10s,发现环路以后关闭该端口,恢复时间为 30 分钟;
7.总部核心交换机开启 DHCP 服务,为无线用户动态分配 ip 地址,前 10 ip 地址为保留地址,DNS server 为 8.8.8.8,地址租约时间为 1 天 10 小时 5 分钟;
8.因集团销售人员较多、同时也为了节约成本,在集团 AC 下挂两个 8 口 HUB交换机实现销售业务接入,集团信息技术部已经为销售业务 VLAN 分配 IP 主机位为 11-24,在集团接入交换机使用相关特性实现只允许上述 IP 数据包进行转发,对 IP 不在上述范围内的用户发来的数据包,交换机不能转发,直接丢弃, 要求禁止采用访问控制列表实现。
9.总部核心交换机 DCRS 开启某项功能,防止 VLAN50 下 ARP 网关欺骗攻击;
10.总部核心交换机 DCRS 上实现访问控制,在 E1/0/14 端口上配置 MAC 地址为 00-03-0f-00-20-21 的主机不能访问 MAC 地址为 00-00-00-00-00-ff 的主机;
11.集团预采购多个厂商网流分析平台对集团整体流量进行监控、审计,分别连接核心交换机 E1/0/20-E1/0/21 接口测试,将核心交换机与 AC、防火墙互连流量提供给多个厂商网流分析平台,反射端口为 1/0/16,反射 vlan 为 4094。
12.为实现对防火墙的安全管理, 在防火墙 DCFW 的 Trust 安全域开启
PING,HTTP,SNMP 功能,Untrust 安全域开启 SSH、HTTPS、ping 功能;
13.合肥分公司和总部使用同一套 OA 办公系统,OA 服务器部署在总部 vlan40网段,要求在总部防火墙与分公司 DCBC 之间配置 IPsec VPN,对分公司内网和总公司 vlan40 段相互访问的数据进行保护;第一阶段 采用 pre-share 认证 加密算法:3DES;第二阶段 采用 ESP 协议, 加密算法:3DES,预设共享秘钥:DCN2025 14.远程移动办公用户通过专线方式接入总部网络,在防火墙 DCFW 上配置,
采用 SSL 方式实现仅允许对内网 VLAN 40 的访问,用户名密码均为 DCN2025,地址池参见地址表;
15.FW 上配置 NAT 功能,使 PC2 能够通过防火网外网口 ip 使用 web 方式正常管理到 AC,端口号使用 8888;AC 管理地址为 192.168.100.254;合理配置安全策略。
16.合肥分公司通过 DCBC 接入因特网,DCBC 做相关配置,内网 ip 转换为外网出口地址,使分公司内网用户能正常访问因特网。
17.对合肥分公司内网用户访问因特网采用实名认证,采用 web 方式本地认证并记录日志;用户名为 HFDCN,密码为 HFDCN。
18.对合肥内网用户,访问视频、游戏进行流量限制,每日限额为 100M;
19.控制合肥内网用户上网行为对用户上网做如下审计策略:
(1)记录即时通讯的登录信息
(2)启用邮件的全部记录;
(3)启用 WEB 的全部记录;
20.WAF 上配置开启爬虫防护功能,当爬虫标识为 360Spider,自动阻止该行为;
21.WAF 上配置开启防护策略,将请求报头 DATA 自动重写为 DATE;
22.WAF 上配置开启盗链防护功能,User-Agent 参数为 PPC Mac OS X 访问
www.DCN2025.com/index.php 时不进行检查;
23.WAF 上配置开启错误代码屏蔽功能,屏蔽 404 错误代码;
24.无线控制器 DCWS 上配置管理 VLAN 为 VLAN101,作为 AP 的管理地址,配置 AP 通过 DHCP 获取 IP 地址,采用 AP 找 AC 动态注册并启用序列号认证,要求连接 AP 的接口禁止使用 TRUNK;
25.无线控制器 DCWS 上配置 DHCP 服务,网关 ip 和后 100 个地址为保留地址,为 AP 分配 ip 地址,通过 dhcp 下发 AC 地址,AC 地址为 192.168.100.254。
26.在 NETWORK 下配置 SSID,需求如下:
(1)设置 SSID DCN2025,VLAN10 ,加密模式为 wpa-personal,其口令为 DCN-2025;
(2)设置 SSID GUEST,VLAN20 加密模式为 web 共享密钥,字符长度为 10,密钥类型为 HEX,长度 64,其口令为 0123456789,做相应配置隐藏该 SSID;
27.通过配置防止多 AP 和 AC 相连时过多的安全认证连接而消耗 CPU 资源,检测到 AP 与 AC 在 10 分钟内建立连接 5 次就不再允许继续连接,两小时后恢复正常。
28.SSID DCN2025 最多接入 20 个用户,用户间相互隔离,并对 DCN2025 网络进行流控,上行 1M,下行 2M;
29.通过配置避免接入终端较多且有大量弱终端时,高速客户端被低速客户端 “拖累”,低速客户端不至于长时间得不到传输;
30.考虑到无线网络会进一步部署,增加更多的 AP,设置已有 AP 信道和发射功率每隔 1 小时自动调节;
(四) 模块三:网络安全事件响应、数字取证调查、网络安全渗透
任务 1:网络安全事件响应(100 分)
X 集团的一台存储关键信息的服务器遭受到了黑客的攻击,现在需要你对该服务器进行应急排查,该服务器的系统目录被上传恶意文件,您的团队需要帮助该公司追踪此网络攻击的来源,在服务器上进行全面的检查,包括日志信息、进程信息、系统文件、恶意文件等,从而分析黑客的攻击行为,发现系统中的漏洞,
并对发现的漏洞进行修复。
注意:服务器 IP 在答题平台显示,如 IP 不显示,请尝试刷新页面。请根据赛题环境及任务要求提交正确答案。
1.将黑客第一次登录进服务器 WEB 后台的时间作为 FLAG 提交,提交格式:
flag{YY:MM:DD hh:mm:ss};
2.将黑客通过 WEB 后台上传的木马文件名称作为 FLAG 提交,提交格式:
flag{};
3.服务器某个服务存在错误配置,黑客利用该服务成功提权至 root 权限,将该服务的名称作为 FLAG 提交,提交格式:flag{};
4.黑客在服务器留下了一个动态链接库预加载型 rookit 后门,将该后门动态链接库的全路径名称作为 FLAG 提交,提交格式:flag{};
5.将PAM 后门中绕过系统验证所需使用的万能密码作为FLAG 提交,提交格式:
flag{}。
任务 2:数字取证调查(100 分)
X 集团某服务站点遭受了恶意攻击,并抓取了部分可疑流量包。现需要你的团队根据捕捉到的流量包,搜寻出网络攻击线索进行分析,找到黑客进行的相关恶意操作进行记录。
注意:服务器 IP 在答题平台显示,如 IP 不显示,请尝试刷新页面。请根据赛题环境及任务要求提交正确答案。
1.找攻击者的 ip 地址,将 ip 地址作为 flag 值提交,提交格式:flag{4.4.4.4};
2.找出攻击者探测了服务器的哪些端口,将端口号作为 flag 值提交,从小到大排序,提交格式:flag{端口号 1+端口号 2+…+端口号 n};
3.找到攻击者访问的网页,将网页中的 flag 信息作为 flag 值提交,提交格式:
flag{};
4.找到攻击者下载的关键文件,将文件中的 flag 作为 flag 值提交,提交格式:
flag{};
5.将站点的 root 账户密码作为 flag 值提交,提交格式:flag{密码}。
任务 3:网络安全渗透 1(100 分)
X 集团的网页服务平台存在漏洞,现请您对其进行渗透测试,发现并利用漏洞,拿到服务器的最高权限。
注意:服务器 IP 在答题平台显示,如 IP 不显示,请尝试刷新页面。请根据赛题环境及任务要求提交正确答案。
1.提交 web 服务器中的 flag, 提交格式:flag{};
2.提交 web 服务器后台账号密码, 提交格式:flag{md5(用户名:密码)};
3.提交 web 服务器中的 flag, 提交格式:flag{};
4.提交 web 服务器中的 flag, 提交格式:flag{*******};
5.提交 web 服务器的 IP 地址及所采用的数据库版本号, 提交格式:flag{md5(IP地址:版本号)}。
任务 4:网络安全渗透 2(150 分)
X 集团的网页服务平台存在漏洞,现请您对其进行渗透测试,发现并利用漏洞,拿到服务器的最高权限。
注意:服务器 IP 在答题平台显示,如 IP 不显示,请尝试刷新页面。
请根据赛题环境及任务要求提交正确答案。
1.获取 Apache 的版本号作为 Flag 值提交,提交格式:flag{};
2.获取 Samba 服务器的版本号作为 Flag 值提交,提交格式:flag{};
3.获取系统的内核版本号作为 Flag 值提交,提交格式:flag{};
4.网站根路径下的图片内容作为 Flag 值提交,提交格式:flag{};
5.找到/root 目录中的txt 文件,将内容作为Flag 值提交,提交格式:flag{*******}。
