2013年全國(guó)職業(yè)院校技能大賽高職組“神州數(shù)碼”信息安全技術(shù)應(yīng)用賽題

2013年全國(guó)職業(yè)院校技能大賽高職組“神州數(shù)碼”杯信息安全技術(shù)應(yīng)用賽項(xiàng)(一)競(jìng)賽內(nèi)容競(jìng)賽階段競(jìng)賽任務(wù)考核內(nèi)容第一階段網(wǎng)絡(luò)平臺(tái)搭建網(wǎng)絡(luò)互聯(lián)網(wǎng)絡(luò)設(shè)備配置網(wǎng)絡(luò)安全設(shè)備配置與防護(hù)網(wǎng)絡(luò)設(shè)備安全策略部署系統(tǒng)服務(wù)管理與安全策略部署第二階段網(wǎng)站安全攻防應(yīng)用服務(wù)漏洞安全攻防系統(tǒng)安全攻防網(wǎng)絡(luò)系統(tǒng)漏洞安全攻防系統(tǒng)運(yùn)維管控網(wǎng)絡(luò)系統(tǒng)運(yùn)維管控方案的設(shè)計(jì)第三階段總結(jié)報(bào)告撰寫《項(xiàng)目實(shí)驗(yàn)方案設(shè)計(jì)》(二)競(jìng)賽時(shí)間?6小時(shí)(三)技術(shù)指標(biāo)?考核對(duì)基礎(chǔ)網(wǎng)絡(luò)設(shè)備的操作及管理能力?考核對(duì)主流服務(wù)器操作系統(tǒng)的操作及管理能力?考核對(duì)網(wǎng)絡(luò)安全設(shè)備的部署、配置及管理能力?考核對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行測(cè)試滲透的能力?考核對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行運(yùn)維管控的能力?考核對(duì)任務(wù)計(jì)劃、實(shí)施及總結(jié)的能力(四)技術(shù)文件要求?考核對(duì)《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則GB17859-1999》的理解?考核對(duì)網(wǎng)絡(luò)系統(tǒng)運(yùn)維管控的能力(五)分值比例競(jìng)賽階段任務(wù)階段競(jìng)賽任務(wù)考核內(nèi)容分值比例第一階段任務(wù)一網(wǎng)絡(luò)平臺(tái)搭建（20%）網(wǎng)絡(luò)互聯(lián)10%網(wǎng)絡(luò)設(shè)備配置10%任務(wù)二網(wǎng)絡(luò)安全設(shè)備配置與防護(hù)（20%）網(wǎng)絡(luò)設(shè)備安全策略部署10%系統(tǒng)服務(wù)管理與安全策略部署10%第二階段任務(wù)三網(wǎng)站安全攻防（20%）應(yīng)用服務(wù)漏洞安全攻防20%任務(wù)四系統(tǒng)安全攻防（20%）網(wǎng)絡(luò)系統(tǒng)漏洞安全攻防20%任務(wù)五系統(tǒng)運(yùn)維管控（10%）網(wǎng)絡(luò)系統(tǒng)運(yùn)維管控方案的設(shè)計(jì)10%第三階段任務(wù)六總結(jié)報(bào)告（10%）撰寫《項(xiàng)目實(shí)驗(yàn)方案設(shè)計(jì)》10%2013年全國(guó)職業(yè)院校技能大賽高職組“神州數(shù)碼”杯信息安全技術(shù)應(yīng)用賽項(xiàng)-樣題一、第一階段任務(wù)書你們是某公司的IT運(yùn)維人員，擔(dān)負(fù)公司網(wǎng)絡(luò)系統(tǒng)的安全的責(zé)任。第一階段任務(wù)是完成網(wǎng)絡(luò)搭建、網(wǎng)絡(luò)安全設(shè)備配置兩項(xiàng)任務(wù)，并提交所有文檔留存?zhèn)浒?，文檔需要存放在“提交專用U盤”中。任務(wù)一：網(wǎng)絡(luò)搭建(一)任務(wù)描述你們是某公司的IT系統(tǒng)運(yùn)維工程師，公司總部設(shè)在北京，并決定在廣州開設(shè)分公司。為了便于公司業(yè)務(wù)的信息化，需要你們對(duì)整個(gè)公司網(wǎng)絡(luò)進(jìn)行搭建，同時(shí)為了便于公司的管理與宣傳，需要在內(nèi)、外網(wǎng)的服務(wù)器上部署相應(yīng)服務(wù)。(二)技術(shù)要求北京總公司與廣州分公司內(nèi)網(wǎng)都運(yùn)行路由協(xié)議，由于公司內(nèi)部很多數(shù)據(jù)在傳輸時(shí)需要注意安全性，因此在出口防火墻上要配置遠(yuǎn)程接入VPN，實(shí)現(xiàn)內(nèi)網(wǎng)數(shù)據(jù)安全。除了網(wǎng)絡(luò)設(shè)備部分，公司還在北京總部?jī)?nèi)網(wǎng)部署了兩臺(tái)服務(wù)器。拓?fù)鋱D如下：(三)IP地址規(guī)劃表設(shè)備類型設(shè)備名稱接口編號(hào)接口地址WEB應(yīng)用防火墻WAF0接口（透明模式）/24（管理地址）1接口（透明模式）/24（管理地址）流量整形DCFS1接口/24（管理地址）2接口/24（管理地址）上網(wǎng)行為管理DCBI1接口/242接口/24防火墻DCFW1接口/242接口/24三層交換機(jī)DCRS1接口Vlan10:/242接口Vlan20:/243接口Vlan30:/244接口Vlan40:/24PC機(jī)PCA/24PCB/24PCC/24(四)任務(wù)內(nèi)容序號(hào)網(wǎng)絡(luò)需求1根據(jù)網(wǎng)絡(luò)拓?fù)鋱D所示，按照IP地址規(guī)劃表，對(duì)WAF的名稱、各接口IP地址進(jìn)行配置；2根據(jù)網(wǎng)絡(luò)拓?fù)鋱D所示，按照IP地址規(guī)劃表，對(duì)DCRS的名稱、各接口IP地址進(jìn)行配置；3根據(jù)網(wǎng)絡(luò)拓?fù)鋱D所示，按照IP地址規(guī)劃表，對(duì)DCFW的名稱、各接口IP地址進(jìn)行配置；4根據(jù)網(wǎng)絡(luò)拓?fù)鋱D所示，按照IP地址規(guī)劃表，對(duì)DCFS的名稱、各接口IP地址進(jìn)行配置；5根據(jù)網(wǎng)絡(luò)拓?fù)鋱D所示，按照IP地址規(guī)劃表，對(duì)DCBI的名稱、各接口IP地址進(jìn)行配置；6根據(jù)網(wǎng)絡(luò)拓?fù)鋱D所示，按照IP地址規(guī)劃表，在DCRS交換機(jī)上創(chuàng)建相應(yīng)的VLAN，并將相應(yīng)接口劃入VLAN；7總公司內(nèi)網(wǎng)的核心交換機(jī)DCRS采用MSTP技術(shù)，創(chuàng)建生成樹實(shí)例2，將VLAN50和VLAN60加入到實(shí)例2，并設(shè)置實(shí)例2的優(yōu)先級(jí)為8192；8根據(jù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)所示，在北京總公司內(nèi)網(wǎng)配置RIPv2，使內(nèi)網(wǎng)能正常通信；9根據(jù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)所示，在廣州分公司內(nèi)網(wǎng)配置靜態(tài)，使內(nèi)網(wǎng)能正常通信；10根據(jù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)所示，在DCFW上做PAT，使得內(nèi)網(wǎng)用戶可以正常訪問外網(wǎng)的PCB，轉(zhuǎn)換地址為防火墻外接口IP；11在3臺(tái)客戶機(jī)上分別對(duì)內(nèi)網(wǎng)服務(wù)器進(jìn)行聯(lián)通行測(cè)試，驗(yàn)證是否可以正常ping通；12在3臺(tái)客戶機(jī)上分別對(duì)公網(wǎng)服務(wù)器A進(jìn)行聯(lián)通行測(cè)試，驗(yàn)證是否可以正常ping通；13在3臺(tái)客戶機(jī)上分別對(duì)DCRS的telnet功能進(jìn)行檢驗(yàn)，驗(yàn)證是否可以正常登錄；（五）提交要求（1）三層交換機(jī)設(shè)備要求提供congfig配置文件并將內(nèi)容存入到WORD文檔，而防火墻需要提交截圖存入WORD文檔，并在截圖中加以說明。（2）文件命名方式：設(shè)備名稱.doc（3）將提交文件保存至“提交專用U盤”中的“任務(wù)一”目錄中

任務(wù)二：安全管理（一）任務(wù)描述為了便于管理公司內(nèi)網(wǎng)，且為公司員工營(yíng)造一個(gè)和諧、安全的工作環(huán)境，你在公司內(nèi)部引入了上網(wǎng)行為管理，流量整形等設(shè)備，進(jìn)行內(nèi)網(wǎng)優(yōu)化。（二）技術(shù)要求?根據(jù)需求配置DCFS與DCBI；（三）任務(wù)內(nèi)容序號(hào)網(wǎng)絡(luò)需求1公司內(nèi)有一員工經(jīng)常使用BT下載電影，現(xiàn)在使用網(wǎng)絡(luò)內(nèi)的流量管理網(wǎng)關(guān)對(duì)PCB限制，禁止使用P2P軟件。2網(wǎng)絡(luò)內(nèi)有上網(wǎng)行為管理設(shè)備，現(xiàn)在對(duì)PCB的聊天記錄進(jìn)行監(jiān)控。3PCB如果想通過DCFW訪問PCA，需要通過web認(rèn)證。4PCA用戶不會(huì)配置IP地址，現(xiàn)在將DCFW作為DHCP服務(wù)器，為其分配地址。5在PCA通過DCFW訪問PCB時(shí)，禁止使用聊天軟件。6現(xiàn)在公司內(nèi)有一臺(tái)上網(wǎng)行為管理設(shè)備，公司希望通過此設(shè)備能夠限制PCA與PCB的訪問，使這兩臺(tái)PC機(jī)不能訪問美國(guó)谷歌網(wǎng)站。7在限制PCA與PCB的同時(shí)，希望能夠同時(shí)監(jiān)控服務(wù)器B對(duì)網(wǎng)站的訪問。8在DCFW進(jìn)行安全策略添加，只允許對(duì)服務(wù)器操作必須經(jīng)過安全審計(jì)系統(tǒng)才能進(jìn)行訪問（四）提交要求（1）提交配置過程截圖存入WORD文檔，并在截圖中加以說明。（2）文件命名方式：設(shè)備名稱.doc（3）將提交文件保存至“提交專用U盤”中的“任務(wù)二”目錄中二、

第二階段任務(wù)書第二階段的參賽相關(guān)信息見附件二：《第二階段參賽文件》，該文件將在競(jìng)賽現(xiàn)場(chǎng)以紙面的方式提供給選手。任務(wù)三應(yīng)用服務(wù)漏洞安全攻防(一)任務(wù)描述作為公司的網(wǎng)絡(luò)管理者，你發(fā)現(xiàn)你所在的公司網(wǎng)站及不安全，在一次常規(guī)檢測(cè)中，發(fā)現(xiàn)有一名不法者入侵了公司網(wǎng)站，為此你要做出正確的部署，以保護(hù)網(wǎng)站的安全。為了能夠徹底的查清不法者入侵的手法與過程，你要正確的還原整個(gè)入侵的過程，以策劃針對(duì)網(wǎng)站安全的策略部署。經(jīng)過仔細(xì)排查，你發(fā)現(xiàn)不法者總共使用三種方法入侵了你的網(wǎng)站，請(qǐng)你重現(xiàn)這三種入侵手段，站在不法者的角度對(duì)公司的網(wǎng)站進(jìn)行滲透測(cè)試，并進(jìn)行詳細(xì)的記錄。當(dāng)你了解了不法者的手段后，為了阻止這種情況，請(qǐng)利用WAF設(shè)備，針對(duì)這三種入侵手段進(jìn)行防護(hù)，并將配置過程進(jìn)行詳細(xì)的記錄。為了驗(yàn)證你的WAF設(shè)備已經(jīng)成功攔截了入侵，請(qǐng)?jiān)俅文M不法者的入侵手法，以驗(yàn)證防護(hù)成果。并將防護(hù)成果進(jìn)行詳細(xì)記錄。(二)技術(shù)要求為了保證滲透測(cè)試的全面性，專門為你們小組提供一臺(tái)WEBserver用來進(jìn)行滲透，在滲透成功后利用WAF防護(hù)。(三)任務(wù)內(nèi)容滲透WEB服務(wù)器，每成功滲透一個(gè)漏洞，便要根據(jù)WAF中設(shè)置進(jìn)行相應(yīng)的防護(hù)。滲透測(cè)試所需要安全攻防工具可以在自己的參賽PC機(jī)中找到。注意：選手可以同時(shí)將三臺(tái)XP客戶機(jī)，連接到三層交換機(jī)的同一VLAN接口中，調(diào)整IP地址后，同時(shí)進(jìn)行服務(wù)器加固和滲透工作。(四)提交要求（1）提交配置過程截圖存入WORD文檔，并在截圖中加以說明。（2）文件命名方式：應(yīng)用服務(wù)漏洞安全攻防.doc（3）將提交文件保存至“提交專用U盤”中的“任務(wù)三”目錄中任務(wù)四網(wǎng)絡(luò)系統(tǒng)漏洞安全攻防(一)任務(wù)描述你在維護(hù)公司網(wǎng)絡(luò)的時(shí)候，發(fā)現(xiàn)在公司的服務(wù)器群中有一臺(tái)年久失修的服務(wù)器要進(jìn)行報(bào)廢處理，但是里面有一個(gè)很重要的文件，但是由于太長(zhǎng)時(shí)間沒有人進(jìn)行維護(hù)管理，主機(jī)的用戶名與密碼早已丟失，為了能夠獲得這個(gè)文件，你需要進(jìn)入這臺(tái)服務(wù)器。利用你有限的工具資源，進(jìn)入服務(wù)器內(nèi)，拿到工作文件。目前已知此服務(wù)器為一臺(tái)windows服務(wù)器，且此服務(wù)器存在兩個(gè)漏洞。請(qǐng)利用此漏洞進(jìn)入系統(tǒng)(二)技術(shù)要求通過你的客戶端對(duì)服務(wù)器進(jìn)行滲透。(三)任務(wù)內(nèi)容為了避免今后公司中還會(huì)出現(xiàn)此類問題，請(qǐng)將進(jìn)入系統(tǒng)的操作過程僅進(jìn)行記錄。請(qǐng)將利用兩個(gè)漏洞的入侵過程全部詳細(xì)記錄。當(dāng)你拿到工作文件后，為了能夠使這臺(tái)服務(wù)器能夠繼續(xù)的、安全的使用，請(qǐng)將這兩個(gè)漏洞進(jìn)行修補(bǔ)，并將修補(bǔ)過程詳細(xì)記錄。(四)提交要求（1）提交配置過程截圖存入WORD文檔，并在截圖中加以說明。（2）文件命名方式：網(wǎng)絡(luò)系統(tǒng)漏洞安全攻防.doc（3）將提交文件保存至“提交專用U盤”中的“任務(wù)四”目錄中任務(wù)五《網(wǎng)絡(luò)系統(tǒng)運(yùn)維管控方案》設(shè)計(jì)(一)任務(wù)描述作為公司的網(wǎng)絡(luò)維護(hù)者，你成功的解決了很多網(wǎng)絡(luò)中發(fā)生的問題，得到了公司領(lǐng)導(dǎo)的高度認(rèn)同，為了能夠讓公司的網(wǎng)絡(luò)能夠長(zhǎng)久的健康、穩(wěn)定的運(yùn)行，你認(rèn)為應(yīng)該將公司的服務(wù)器進(jìn)一步維護(hù)、加固。(二)技術(shù)要求針對(duì)系統(tǒng)行整改加固，并根據(jù)附件一所提供的模板，設(shè)計(jì)《網(wǎng)絡(luò)系統(tǒng)運(yùn)維管控方案》。(三)任務(wù)內(nèi)容經(jīng)過仔細(xì)的檢查，你發(fā)現(xiàn)公司的網(wǎng)絡(luò)系統(tǒng)還是存在一定數(shù)量的威脅與不安全因素，根據(jù)附件一所提供的模板，對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行加固，并按照要求完成《網(wǎng)絡(luò)系統(tǒng)運(yùn)維管控方案》的設(shè)計(jì)。(四)提交要求（1）根據(jù)附件一中的方案內(nèi)容要求進(jìn)行填寫及設(shè)計(jì)。（2）文件命名方式：網(wǎng)絡(luò)系統(tǒng)運(yùn)維管控方案.doc（3）將提交文件保存至“提交專用U盤”中的“任務(wù)五”目錄中三、第三階段任務(wù)書任務(wù)六撰寫賽項(xiàng)任務(wù)報(bào)告子任務(wù)一：《項(xiàng)目實(shí)現(xiàn)方案設(shè)計(jì)》(一)任務(wù)描述每個(gè)參賽隊(duì)根據(jù)任務(wù)書中提出的項(xiàng)目案例描述和要求，完成《項(xiàng)目實(shí)現(xiàn)方案設(shè)計(jì)》，有關(guān)內(nèi)容和要求可參照模板，見附件三。(二)內(nèi)容要求（1）完成項(xiàng)目案例風(fēng)險(xiǎn)分析或存在的問題分析；（2）根據(jù)項(xiàng)目目標(biāo)，確定解決方案，畫出實(shí)現(xiàn)方案設(shè)計(jì)拓?fù)鋱D，并寫出部署和設(shè)計(jì)思想。（三）提交要求（1）《項(xiàng)目實(shí)現(xiàn)方案設(shè)計(jì)》文件命名方式：工位號(hào)-方案設(shè)計(jì).doc（2）將《項(xiàng)目實(shí)現(xiàn)方案設(shè)計(jì)》保存至“提交專用U盤”中的“任務(wù)六”目錄中子任務(wù)二：《信息安全技術(shù)應(yīng)用賽項(xiàng)任務(wù)總結(jié)報(bào)告》(一)任務(wù)描述每個(gè)參賽隊(duì)撰寫一份《信息安全技術(shù)應(yīng)用賽項(xiàng)任務(wù)總結(jié)報(bào)告》，有關(guān)報(bào)告內(nèi)容可參加以下要求(二)內(nèi)容要求（1）工作任務(wù)的組織分工與團(tuán)隊(duì)合作（2）完成工作過程中的理解思考，內(nèi)容可以包括：對(duì)賽題工作任務(wù)的分析理解、解決方案和工作計(jì)劃的制定，以及通過研討解決問題等方面的內(nèi)容。（三）提交要求（1）《信息安全技術(shù)應(yīng)用賽項(xiàng)任務(wù)總結(jié)報(bào)告》文件命名方式：工位號(hào)-總結(jié)報(bào)告.doc（2）將《信息安全技術(shù)應(yīng)用賽項(xiàng)任務(wù)總結(jié)報(bào)告》保存至“提交專用U盤”中的“任務(wù)六”目錄中四、附件附件一《系統(tǒng)運(yùn)維管控方案》(一)任務(wù)描述作為公司的網(wǎng)絡(luò)維護(hù)者，你成功的解決了很多網(wǎng)絡(luò)中發(fā)生的問題，得到了公司領(lǐng)導(dǎo)的高度認(rèn)同，為了能夠讓公司的網(wǎng)絡(luò)能夠長(zhǎng)久的健康、穩(wěn)定的運(yùn)行，你認(rèn)為應(yīng)該將公司的服務(wù)器進(jìn)一步維護(hù)、加固。(二)技術(shù)要求針對(duì)服務(wù)器進(jìn)行整改加固。1.檢查系統(tǒng)中的不合法用戶（示例）序號(hào)Windows–0001弱點(diǎn)描述（操作原因）檢測(cè)系統(tǒng)中是否存在不合法的用戶。包括隱藏用戶(結(jié)尾以$結(jié)束的)及長(zhǎng)期未使用的賬戶可能導(dǎo)致系統(tǒng)存在威脅。結(jié)果分析Administrator用戶已重命名為czbzgl,且所屬用戶組正常，無明顯安全問題。操作步驟鎖定或者刪除無用賬戶，刪除非法賬戶。查看隱藏用戶方法：打開注冊(cè)表HKEY_LOCAL_MACHINE\SAM\SAM右鍵--權(quán)限賦予administrator權(quán)限，刷新，打開domains\accounts\下的users和Names備注2.更改Windows系統(tǒng)文件分區(qū)屬性，使用NTFS分區(qū)序號(hào)Windows–0002弱點(diǎn)描述（操作原因）Windows的訪問控制需要基于NTFS，未采用NTFS將無法使用包括加密文件系統(tǒng)（EFS）等在內(nèi)的安全功能。結(jié)果分析操作步驟備注3.檢查windows的Path環(huán)境變量異常序號(hào)Windows–0003弱點(diǎn)描述（操作原因）查看管理員用戶Path環(huán)境變量中存在當(dāng)前不正常目錄可能會(huì)導(dǎo)致誤執(zhí)行一個(gè)惡意文件。結(jié)果分析操作步驟備注4.關(guān)閉windows的135、445端口序號(hào)Windows–0004弱點(diǎn)描述（操作原因）默認(rèn)安裝的Windows服務(wù)器沒關(guān)閉135、445端口.結(jié)果分析操作步驟備注5.關(guān)閉windows默認(rèn)共享序號(hào)Windows–0005弱點(diǎn)描述（操作原因）默認(rèn)情況下，任何用戶都可通過空連接連上服務(wù)器，進(jìn)而枚舉出賬號(hào)，猜測(cè)密碼。結(jié)果分析操作步驟備注6.修改windows的SNMP默認(rèn)public值序號(hào)Windows–0006弱點(diǎn)描述（操作原因）SNMP默認(rèn)存在可讀字符串public和可讀寫字符串private，如果設(shè)備使用后沒有修改默認(rèn)密碼，則可以導(dǎo)致攻擊者獲得關(guān)于該機(jī)器的有價(jià)值的信息，如關(guān)于網(wǎng)絡(luò)設(shè)備和當(dāng)前開放連接的信息，甚至完全控制此設(shè)備。結(jié)果分析操作步驟備注附件二《第二階段參賽文件》工位號(hào)：WEB服務(wù)器IP地址：用戶名：密碼：Windows服務(wù)