GZ032 信息安全管理與評估賽題第2套-2023年全國職業(yè)院校技能大賽賽項試題

全國職業(yè)院校技能大賽高等職業(yè)教育組信息安全管理與評估賽題二模塊一網(wǎng)絡(luò)平臺搭建與設(shè)備安全防護(hù)

賽項時間共計180分鐘。賽項信息競賽階段任務(wù)階段競賽任務(wù)競賽時間分值第一階段網(wǎng)絡(luò)平臺搭建與設(shè)備安全防護(hù)任務(wù)1網(wǎng)絡(luò)平臺搭建XX:XX-XX:XX50任務(wù)2網(wǎng)絡(luò)安全設(shè)備配置與防護(hù)250賽項內(nèi)容本次大賽，各位選手需要完成三個階段的任務(wù)，其中第一個階段需要按裁判組專門提供的U盤中的“XXX-答題模板”提交答案。第二、三階段請根據(jù)現(xiàn)場具體題目要求操作。選手首先需要在U盤的根目錄下建立一個名為“GWxx”的文件夾（xx用具體的工位號替代），賽題第一階段所完成的“XXX-答題模板”放置在文件夾中。例如：08工位，則需要在U盤根目錄下建立“GW08”文件夾，并在“GW08”文件夾下直接放置第一個階段的所有“XXX-答題模板”文件。特別說明：只允許在根目錄下的“GWxx”文件夾中體現(xiàn)一次工位信息，不允許在其他文件夾名稱或文件名稱中再次體現(xiàn)工位信息，否則按作弊處理。賽項環(huán)境設(shè)置網(wǎng)絡(luò)拓?fù)鋱DIP地址規(guī)劃表設(shè)備名稱接口IP地址對端設(shè)備接口防火墻FWETH0/1-/30（trust安全域）2001:DA8:10:10:255::1/127SWeth1/0/1-/30（trust安全域）2001:DA8:10:10:255::5/127SWETH0/3/30（untrust安全域）/29(nat-pool)2001:DA8:223:20:23::1/64SWEth1/0/23Loopback54/32（trust）Router-idSSLPool/26可用IP數(shù)量為20SSLVPN地址池三層交換機(jī)SWETH1/0/4專線ACETH1/0/4ETH1/0/5專線ACETH1/0/5VLAN21ETH1/0/1-/302001:DA8:10:10:255::2/127FWVlannameTO-FW1VLAN22ETH1/0/1-/302001:DA8:10:10:255::6/127FWVlannameTO-FW2VLAN23ETH1/0/23/302001:DA8:223:20:23::2/127FWVlannameTO-internetVLAN24ETH1/0/240/292001:DA8:223:20:23::10/127BCVlannameTO-BCVLAN10/24無線1VlannameWIFI-vlan10VLAN20/24無線2VlannameWIFI-vlan20VLAN30ETH1/0/6-7/242001:DA8:192:168:30:1::1/96VlannameXZVLAN31Eth1/0/8-9/242001:DA8:192:168:31:1::1/96VlannamesalesVLAN40ETH1/0/10-11/242001:DA8:192:168:40:1::1/96VlannameCWVlan50Eth1/0/13-14/242001:DA8:192:168:50:1::1/96VlannamemanageVlan100/302001:DA8:10:10:255::9/127TO-AC1Vlan1003/302001:DA8:10:10:255::13/127TO-AC2VLAN1000ETH1/0/20/24VlannameAP-ManageLoopback53/32(router-id)無線控制器ACVLAN10/242001:DA8:192:168:10:1::1/96VlannameTO-CWVLAN20/242001:DA8:192:168:20:1::1/96VlannameCWVLAN1000/302001:DA8:10:10:255::10/127VLAN1004/302001:DA8:10:10:255::14/127Vlan60Eth1/0/13-14/242001:DA8:192:168:60:1::1/96VlannamesalesVlan61Eth1/0/15-18/242001:DA8:192:168:61:1::1/96VlannameBGVlan100Eth1/0/27/302001:DA8:10:10:255::17/127BCeth2VlannameTO-BCVLAN2000ETH1/0/19/24沙盒Loopback54/32(router-id)日志服務(wù)器BCeth8/302001:DA8:10:10:255::18/127ACETH3/292001:DA8:223:20:23::9/127SWPPTP-pool29/26（10個地址）WEB應(yīng)用防火墻WAFETH2/24PC3ETH3SWEth1/0/13APEth1SW（20口）PC1網(wǎng)卡eth1/0/7SW沙盒0/24ACETH1/0/19第一階段任務(wù)書任務(wù)1：網(wǎng)絡(luò)平臺搭建（50分）題號網(wǎng)絡(luò)需求1根據(jù)網(wǎng)絡(luò)拓?fù)鋱D所示，按照IP地址參數(shù)表，對FW的名稱、各接口IP地址進(jìn)行配置。2根據(jù)網(wǎng)絡(luò)拓?fù)鋱D所示，按照IP地址參數(shù)表，對SW的名稱進(jìn)行配置，創(chuàng)建VLAN并將相應(yīng)接口劃入VLAN。3根據(jù)網(wǎng)絡(luò)拓?fù)鋱D所示，按照IP地址參數(shù)表，對AC的各接口IP地址進(jìn)行配置。4根據(jù)網(wǎng)絡(luò)拓?fù)鋱D所示，按照IP地址參數(shù)表，對BC的名稱、各接口IP地址進(jìn)行配置。5按照IP地址規(guī)劃表，對WEB應(yīng)用防火墻的名稱、各接口IP地址進(jìn)行配置。任務(wù)2：網(wǎng)絡(luò)安全設(shè)備配置與防護(hù)（250分）SW和AC開啟SSH登錄功能，SSH登錄賬戶僅包含“USER-SSH”，密碼為明文“123456”，采用SSH方式登錄設(shè)備時需要輸入enable密碼，密碼設(shè)置為明文“enable”。應(yīng)網(wǎng)監(jiān)要求，需要對上?？偣居脩粼L問因特網(wǎng)行為進(jìn)行記錄，需要在交換機(jī)上做相關(guān)配置，把訪問因特網(wǎng)的所有數(shù)據(jù)鏡像到交換機(jī)1/0/18口便于對用戶上網(wǎng)行為進(jìn)行記錄。盡可能加大上海總公司核心和出口之間帶寬，端口模式采用lacp模式。上?？偣竞湍喜止咀庥昧诉\營商兩條裸光纖，實現(xiàn)內(nèi)部辦公互通，要求兩條鏈路互為備份，同時實現(xiàn)流量負(fù)載均衡，流量負(fù)載模式基于Dst-src-mac模式。上?？偣竞湍喜止炬溌方涌谥辉试S必要的vlan通過，禁止其它vlan包括vlan1二層流量通過。為防止非法用戶接入網(wǎng)絡(luò)，需要在核心交互上開啟DOT1X認(rèn)證，對vlan40用戶接入網(wǎng)絡(luò)進(jìn)行認(rèn)證，radius-server為00。為了便于管理網(wǎng)絡(luò)，能夠讓網(wǎng)管軟件實現(xiàn)自動拓樸連線，在總公司核心和分公司AC上開啟某功能，讓設(shè)備可以向網(wǎng)絡(luò)中其他節(jié)點公告自身的存在，并保存各個鄰近設(shè)備的發(fā)現(xiàn)信息。ARP掃描是一種常見的網(wǎng)絡(luò)攻擊方式，攻擊源將會產(chǎn)生大量的ARP報文在網(wǎng)段內(nèi)廣播，這些廣播報文極大的消耗了網(wǎng)絡(luò)的帶寬資源，為了防止該攻擊對網(wǎng)絡(luò)造成影響，需要在總公司交換機(jī)上開啟防掃描功能，對每端口設(shè)置閾值為40，超過將關(guān)閉該端口20分鐘后自動恢復(fù)，設(shè)置和分公司互聯(lián)接口不檢查?？偣維W交換機(jī)模擬因特網(wǎng)交換機(jī)，通過某種技術(shù)實現(xiàn)本地路由和因特網(wǎng)路由進(jìn)行隔離，因特網(wǎng)路由實例名internet。對SW上VLAN40開啟以下安全機(jī)制：業(yè)務(wù)內(nèi)部終端相互二層隔離，啟用環(huán)路檢測，環(huán)路檢測的時間間隔為10s，發(fā)現(xiàn)環(huán)路以后關(guān)閉該端口，恢復(fù)時間為30分鐘；如私設(shè)DHCP服務(wù)器關(guān)閉該端口;開啟防止ARP網(wǎng)關(guān)欺騙攻擊。配置使上海公司核心交換機(jī)VLAN31業(yè)務(wù)的用戶訪問因特網(wǎng)數(shù)據(jù)流經(jīng)過返回數(shù)據(jù)通過。要求有測試結(jié)果。為響應(yīng)國家號召，公司實行IPV6網(wǎng)絡(luò)升級改造，公司采用雙棧模式，同時運行ipv4和ipv6，IPV6網(wǎng)絡(luò)運行OSPFV3協(xié)議，實現(xiàn)內(nèi)部ipv6全網(wǎng)互聯(lián)互通，要求總公司和分公司之間路由優(yōu)先走vlan1001，vlan1002為備份。在總公司核心交換機(jī)SW配置IPv6地址，開啟路由公告功能，路由器公告的生存期為2小時，確保銷售部門的IPv6終端可以通過DHCPSERVER獲取IPv6地址，在SW上開啟IPV6dhcpserver功能，ipv6地址范圍2001:da8:192:168:31:1::2-2001:da8:192:168:31:1::100。在南昌分公司上配置IPv6地址，使用相關(guān)特性實現(xiàn)銷售部的IPv6終端可自動從網(wǎng)關(guān)處獲得IPv6無狀態(tài)地址。FW、SW、AC之間配置OSPF，實現(xiàn)ipv4網(wǎng)絡(luò)互通。要求如下：區(qū)域為0同時開啟基于鏈路的MD5認(rèn)證，密鑰自定義，傳播訪問INTERNET默認(rèn)路由，分公司內(nèi)網(wǎng)用戶能夠與總公司相互訪問包含loopback地址；分公司AC和BC之間運行靜態(tài)路由?？偣句N售部門通過防火墻上的DHCPSERVER獲取IP地址，serverIP地址為54，地址池范圍0-00，dns-server?？偣窘粨Q機(jī)上開啟dhcpserver為無線用戶分配ip地址，地址租約時間為10小時，dns-server為14，前20個地址不參與分配,第一個地址為網(wǎng)關(guān)地址。如果SW的11端口的收包速率超過30000則關(guān)閉此端口，恢復(fù)時間5分鐘；為了更好地提高數(shù)據(jù)轉(zhuǎn)發(fā)的性能，SW交換中的數(shù)據(jù)包大小指定為1600字節(jié)。交換機(jī)的端口10不希望用戶使用ftp，也不允許外網(wǎng)ping此網(wǎng)段的任何一臺主機(jī)。交換機(jī)vlan30端口連接的網(wǎng)段IPV6的地址為2001:da8:192:168:30:1::0/96網(wǎng)段，管理員不希望除了2001:da8:192:168:30:1:1::0/112網(wǎng)段用戶訪問外網(wǎng)。為實現(xiàn)對防火墻的安全管理，在防火墻FW的Trust安全域開啟PING,HTTP，telnet，SNMP功能，Untrust安全域開啟ping、SSH、HTTPS功能。在總部防火墻上配置，總部VLAN業(yè)務(wù)用戶通過防火墻訪問Internet時，復(fù)用公網(wǎng)IP：/29，保證每一個源IP產(chǎn)生的所有會話將被映射到同一個固定的IP地址，當(dāng)有流量匹配本地址轉(zhuǎn)換規(guī)則時產(chǎn)生日志信息，將匹配的日志發(fā)送至0的UDP2000端口。遠(yuǎn)程移動辦公用戶通過專線方式接入總部網(wǎng)絡(luò)，在防火墻FW上配置，采用SSL方式實現(xiàn)僅允許對內(nèi)網(wǎng)VLAN30的訪問，端口號使用4455，用戶名密碼均為ABC2023，地址池參見地址表?？偣静渴鹆艘慌_WEB服務(wù)器ip為0，為外網(wǎng)用戶提供web服務(wù)，要求外網(wǎng)用戶能訪問服務(wù)器上的web服務(wù)（端口80）和遠(yuǎn)程管理服務(wù)器（端口3389），外網(wǎng)用戶只能通過外網(wǎng)地址訪問服務(wù)器web服務(wù)和3389端口。為了安全考慮，需要對內(nèi)網(wǎng)銷售部門用戶訪問因特網(wǎng)進(jìn)行實名認(rèn)證，要求在防火墻上開啟web認(rèn)證使用https方式，采用本地認(rèn)證，密碼賬號都為web2023，同一用戶名只能在一個客戶端登錄，設(shè)置超時時間為30分鐘。由于總公司到因特網(wǎng)鏈路帶寬比較低，出口只有200M帶寬，需要在防火墻配置iQOS，系統(tǒng)中P2P總的流量不能超過100M，同時限制每用戶最大下載帶寬為4M，上傳為2M，http訪問總帶寬為50M。財務(wù)部門和公司賬務(wù)有關(guān)，為了安全考慮，禁止財務(wù)部門訪問因特網(wǎng)，要求在防火墻FW做相關(guān)配置由于總公司銷售和分公司銷售部門使用的是同一套CRM系統(tǒng)，為了防止專線故障導(dǎo)致系統(tǒng)不能使用，總公司和分公司使用互聯(lián)網(wǎng)作為總公司銷售和分公司銷售相互訪問的備份鏈路。FW和BC之間通過IPSEC技術(shù)實現(xiàn)總公司銷售段與分公司銷售之間聯(lián)通，具體要求為采用預(yù)共享密碼為***2023，IKE階段1采用DH組1、3DES和MD5加密方，IKE階段2采用ESP-3DES，MD5。分公司用戶，通過BC訪問因特網(wǎng)，BC采用路由方式，在BC上做相關(guān)配置，讓分公司內(nèi)網(wǎng)用戶通過BC外網(wǎng)口ip訪問因特網(wǎng)。在BC上配置PPTPvpn讓外網(wǎng)用戶能夠通過PPTPvpn訪問分公司AC上內(nèi)網(wǎng)資源，用戶名為GS01，密碼GS0123。分公司部署了一臺安全攻防平臺，用來公司安全攻防演練，為了方便遠(yuǎn)程辦公用戶訪問安全攻防平臺，在BC上配置相關(guān)功能，讓外網(wǎng)用戶能通過BC的外網(wǎng)口接口IP，訪問內(nèi)部攻防平臺服務(wù)器，攻防平臺服務(wù)器地址為0端口：8080。在BC上配置url過濾策略，禁止分公司內(nèi)網(wǎng)用戶在周一到周五的早上8點到晚上18點訪問外網(wǎng)。對分公司內(nèi)網(wǎng)用戶訪問外網(wǎng)進(jìn)行網(wǎng)頁關(guān)鍵字過濾，網(wǎng)頁內(nèi)容包含“暴力”“賭博”的禁止訪問為了安全考慮，無線用戶移動性較強，訪問因特網(wǎng)時需要實名認(rèn)證，在BC上開啟web認(rèn)證使用http方式，采用本地認(rèn)證，密碼賬號都為web2023。DOS攻擊/DDoS攻擊通常是以消耗服務(wù)器端資源、迫使服務(wù)停止響應(yīng)為目標(biāo)，通過偽造超過服務(wù)器處理能力的請求數(shù)據(jù)造成服務(wù)器響應(yīng)阻塞，從而使正常的用戶請求得不到應(yīng)答，以實現(xiàn)其攻擊目的，在分公司內(nèi)網(wǎng)區(qū)域開起DOS攻擊防護(hù)，阻止內(nèi)網(wǎng)的機(jī)器中毒或使用攻擊工具發(fā)起的DOS攻擊，檢測到攻擊進(jìn)行阻斷。分公司BC上配置NAT64，實現(xiàn)分公司內(nèi)網(wǎng)ipv6用戶通過BC出口ipv4地址訪問因特網(wǎng)。分公司內(nèi)網(wǎng)攻防平臺，對Internet提供服務(wù)，在BC上做相關(guān)配置讓外網(wǎng)IPV6用戶能夠通過BC外網(wǎng)口IPV6地址訪問攻防平臺的web服務(wù)端口號為80。BC上開啟病毒防護(hù)功能，無線用戶在外網(wǎng)下載exe、rar、bat文件時對其進(jìn)行殺毒檢測，防止病毒進(jìn)入內(nèi)網(wǎng)，協(xié)議流量選擇HTTP殺毒、FTP殺毒、POP3、SMTP。公司內(nèi)部有一臺網(wǎng)站服務(wù)器直連到WAF，地址是0，端口是8080，配置將訪問日志、攻擊日志、防篡改日志信息發(fā)送syslog日志服務(wù)器，IP地址是，UDP的514端口。編輯防護(hù)策略，在“專家規(guī)則”中定義HTTP請求體的最大長度為256，防止緩沖區(qū)溢出攻擊。WAF上配置開啟爬蟲防護(hù)功能，防護(hù)規(guī)則名稱為http爬蟲，url為，自動阻止該行為；封禁時間為3600秒。WAF上配置，開啟防盜鏈，名稱為http盜鏈，保護(hù)url為，檢測方式referer+cookie，處理方式為阻斷，并記錄日志。WAF上配置開啟IDP防護(hù)策略，采用最高級別防護(hù)，出現(xiàn)攻擊對攻擊進(jìn)行阻斷。WAF上配置開啟DDOS防護(hù)策略，防護(hù)等級高級并記錄日志。在公司總部的WAF上配置，內(nèi)部web服務(wù)器進(jìn)行防護(hù)安全防護(hù)，防護(hù)策略名稱為web_p，記錄訪問日志，防護(hù)規(guī)則為掃描防護(hù)規(guī)則采用增強規(guī)則、HTTP協(xié)議校驗規(guī)則采用專家規(guī)則、特征防護(hù)規(guī)則采用專家規(guī)則、開啟爬蟲防護(hù)、開啟防盜鏈、開啟敏感信息檢測AC上配置DHCP，管理VLAN為VLAN1000,為AP下發(fā)管理地址，AP通過DHCPopion43注冊，AC地址為loopback1地址。在NETWORK下配置SSID，需求如下：NETWORK1下設(shè)置SSIDSKILL-WIFI，VLAN10，加密模式為wpa-peSWonal,其口令為12345678，開啟隔離功能。NETWORK2下設(shè)置SSIDGUEST，VLAN20不進(jìn)行認(rèn)證加密,做相應(yīng)配置隱藏該SSID，NETWORK2開啟內(nèi)置portal+本地認(rèn)證的認(rèn)證方式，賬號為XXX密碼為test2023。為了合理利用AP性能，需要在AP上開啟5G優(yōu)先配置5G優(yōu)先功能的客戶端的信號強度門限為40通過配置防止多AP和AC相連時過多的安全認(rèn)證連接而消耗CPU資源，檢測到AP與AC在10分鐘內(nèi)建立連接5次就不再允許繼續(xù)連接，兩小時后恢復(fù)正常；GUSET最多接入50個用戶，并對GUEST網(wǎng)絡(luò)進(jìn)行流控，上行1M，下行2M。

全國職業(yè)院校技能大賽高等職業(yè)教育組信息安全管理與評估模塊二網(wǎng)絡(luò)安全事件響應(yīng)、數(shù)字取證調(diào)查、應(yīng)用程序安全

競賽項目賽題本文件為信息安全管理與評估項目競賽-第二階段樣題，內(nèi)容包括：網(wǎng)絡(luò)安全事件響應(yīng)、數(shù)字取證調(diào)查、應(yīng)用程序安全。本次比賽時間為180分鐘。介紹競賽有固定的開始和結(jié)束時間，參賽隊伍必須決定如何有效的分配時間。請認(rèn)真閱讀以下指引?。?）當(dāng)競賽結(jié)束，離開時請不要關(guān)機(jī)；（2）所有配置應(yīng)當(dāng)在重啟后有效；（3）請不要修改實體機(jī)的配置和虛擬機(jī)本身的硬件設(shè)置。所需的設(shè)備、機(jī)械、裝置和材料所有測試項目都可以由參賽選手根據(jù)基礎(chǔ)設(shè)施列表中指定的設(shè)備和軟件完成。評分方案本測試項目模塊分?jǐn)?shù)為300分。項目和任務(wù)描述隨著網(wǎng)絡(luò)和信息化水平的不斷發(fā)展，網(wǎng)絡(luò)安全事件也層出不窮，網(wǎng)絡(luò)惡意代碼傳播、信息竊取、信息篡改、遠(yuǎn)程控制等各種網(wǎng)絡(luò)攻擊行為已嚴(yán)重威脅到信息系統(tǒng)的機(jī)密性、完整性和可用性。因此，對抗網(wǎng)絡(luò)攻擊，組織安全事件應(yīng)急響應(yīng)，采集電子證據(jù)等技術(shù)工作是網(wǎng)絡(luò)安全防護(hù)的重要部分?，F(xiàn)在，A集團(tuán)已遭受來自不明組織的非法惡意攻擊，您的團(tuán)隊需要幫助A集團(tuán)追蹤此網(wǎng)絡(luò)攻擊來源，分析惡意攻擊攻擊行為的證據(jù)線索，找出操作系統(tǒng)和應(yīng)用程序中的漏洞或者惡意代碼，幫助其鞏固網(wǎng)絡(luò)安全防線。本模塊主要分為以下幾個部分：網(wǎng)絡(luò)安全事件響應(yīng)數(shù)字取證調(diào)查應(yīng)用程序安全本部分的所有工作任務(wù)素材或環(huán)境均已放置在指定的計算機(jī)上，參賽選手完成后，填寫在電腦桌面上“信息安全管理與評估競賽-答題卷”中，競賽結(jié)束時每組將答案整合到一份PDF文檔提交。選手的電腦中已經(jīng)安裝好Office軟件并提供必要的軟件工具。工作任務(wù)第一部分網(wǎng)絡(luò)安全事件響應(yīng)任務(wù)1：Linux服務(wù)器應(yīng)急響應(yīng)（70分）A集團(tuán)的Linux服務(wù)器被黑客入侵，該服務(wù)器的Web應(yīng)用系統(tǒng)被上傳惡意軟件，系統(tǒng)文件被惡意軟件破壞，您的團(tuán)隊需要幫助該公司追蹤此網(wǎng)絡(luò)攻擊的來源，在服務(wù)器上進(jìn)行全面的檢查，包括日志信息、進(jìn)程信息、系統(tǒng)文件、惡意文件等，從而分析黑客的攻擊行為，發(fā)現(xiàn)系統(tǒng)中的漏洞，并對發(fā)現(xiàn)的漏洞進(jìn)行修復(fù)。本任務(wù)素材清單：Linux服務(wù)器虛擬機(jī)受攻擊的Server服務(wù)器已整體打包成虛擬機(jī)文件保存，請選手自行導(dǎo)入分析。注意：Server服務(wù)器的基本配置參見附錄，若題目中未明確規(guī)定，請使用默認(rèn)配置。請按要求完成該部分的工作任務(wù)。任務(wù)1：Linux服務(wù)器應(yīng)急響應(yīng)序號任務(wù)內(nèi)容答案1請?zhí)峤还粽叩腎P地址2請?zhí)峤还粽呤褂玫牟僮飨到y(tǒng)3請?zhí)峤还粽哌M(jìn)入網(wǎng)站后臺的密碼4請?zhí)峤还粽呤状喂舫晒Φ臅r間，格式：DD/MM/YY:hh:mm:ss5請?zhí)峤还粽呱蟼鞯膼阂馕募ê窂剑?請?zhí)峤还粽邔懭氲膼阂夂箝T文件的連接密碼7請?zhí)峤还粽邉?chuàng)建的用戶賬戶名稱8請?zhí)峤粣阂膺M(jìn)程的名稱第二部分?jǐn)?shù)字取證調(diào)查任務(wù)2：基于windows的內(nèi)存取證（40分）A集團(tuán)某服務(wù)器系統(tǒng)感染惡意程序，導(dǎo)致系統(tǒng)關(guān)鍵文件被破壞，請分析A集團(tuán)提供的系統(tǒng)鏡像和內(nèi)存鏡像，找到系統(tǒng)鏡像中的惡意軟件，分析惡意軟件行為。本任務(wù)素材清單：存儲鏡像、內(nèi)存鏡像。請按要求完成該部分的工作任務(wù)。任務(wù)2：基于windows的內(nèi)存取證序號任務(wù)內(nèi)容答案1請?zhí)峤粌?nèi)存中惡意進(jìn)程的名稱2請?zhí)峤粣阂膺M(jìn)程寫入的文件名稱（不含路徑）3請?zhí)峤籥dmin賬戶的登錄密碼4請?zhí)峤还粽邉?chuàng)建的賬戶名稱5請?zhí)峤辉谧烂婺澄募须[藏的flag信息，格式：flag{...}任務(wù)3：通信數(shù)據(jù)分析取證（TPC/IP）（50分）A集團(tuán)的網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)發(fā)現(xiàn)惡意份子正在實施高級可持續(xù)攻擊（APT），并抓取了部分可疑通信數(shù)據(jù)。請您根據(jù)捕捉到的通信數(shù)據(jù)，搜尋出網(wǎng)絡(luò)攻擊線索，分解出隱藏的惡意程序，并分析惡意程序的行為。本任務(wù)素材清單：捕獲的通信數(shù)據(jù)文件。請按要求完成該部分的工作任務(wù)。任務(wù)3：通信數(shù)據(jù)分析取證（TPC/IP）序號任務(wù)內(nèi)容答案1請指出攻擊者使用什么協(xié)議傳輸了敏感信息2請?zhí)峤粌蓚€攻擊者用于收信息的二級域名3請?zhí)峤还粽邆鬏數(shù)拿舾行畔ey1，格式：key1{xxx}4請?zhí)峤还粽攉@取的flag，格式：flag{xxx}任務(wù)4：基于Linux計算機(jī)單機(jī)取證（60分）對給定取證鏡像文件進(jìn)行分析，搜尋證據(jù)關(guān)鍵字（線索關(guān)鍵字為“evidence1”、“evidence2”、……、“evidence10”，有文本形式也有圖片形式，不區(qū)分大小寫），請?zhí)崛『凸潭ū荣愐蟮臉?biāo)的證據(jù)文件，并按樣例的格式要求填寫相關(guān)信息，證據(jù)文件在總文件數(shù)中所占比例不低于15%。取證的信息可能隱藏在正常的、已刪除的或受損的文件中，您可能需要運用編碼轉(zhuǎn)換技術(shù)、加解密技術(shù)、隱寫技術(shù)、數(shù)據(jù)恢復(fù)技術(shù)，還需要熟悉常用的文件格式（如辦公文檔、壓縮文檔、圖片等）。本任務(wù)素材清單：取證鏡像文件。請按要求完成該部分的工作任務(wù)。任務(wù)4：基于Linux計算機(jī)單機(jī)取證證據(jù)編號在取證鏡像中的文件名鏡像中原文件Hash碼（MD5，不區(qū)分大小寫）evidence1evidence2evidence3evidence4evidence5evidence6evidence7evidence8evidence9evidence10第三部分應(yīng)用程序安全任務(wù)5：Windows惡意程序分析（50分）A集團(tuán)發(fā)現(xiàn)其發(fā)布的應(yīng)用程序文件遭到非法篡改，您的團(tuán)隊需要協(xié)助A集團(tuán)對該惡意程序樣本進(jìn)行逆向分析、對其攻擊/破壞的行為進(jìn)行調(diào)查取證。本任務(wù)素材清單：Windows惡意程序請按要求完成該部分的工作任務(wù)。任務(wù)5：Windows惡意程序分析序號任務(wù)內(nèi)容答案1請指出惡意程序的殼名稱2請?zhí)峤粣阂獬绦蚍聪蜻B接的IP地址3請?zhí)峤粣阂獬绦蛴糜诮饷軘?shù)據(jù)的函數(shù)名稱4請?zhí)峤粣阂獬绦蚍磸梥hell的命令（含參數(shù)）任務(wù)6：C語言代碼審計（30分）代碼審計是指對源代碼進(jìn)行檢查，尋找代碼存在的脆弱性，這是一項需要多方面技能的技術(shù)。作為一項軟件安全檢查工作，代碼安全審查是非常重要的一部分，因為大部分代碼從語法和語義上來說是正確的，但存在著可能被利用的安全漏洞，你必須依賴你的知識和經(jīng)驗來完成這項工作。本任務(wù)素材清單：C源文件請按要求完成該部分的工作任務(wù)。任務(wù)6：C語言代碼審計序號任務(wù)內(nèi)容答案1請指出存在安全漏洞的代碼行2請指出可能利用該漏洞的威脅名稱3請?zhí)岢黾庸绦薷慕ㄗh

全國職業(yè)院校技能大賽高等職業(yè)教育組信息安全管理與評估模塊三網(wǎng)絡(luò)安全滲透、理論技能與職業(yè)素養(yǎng)競賽項目賽題本文件為信息安全管理與評估項目競賽-第三階段樣題，內(nèi)容包括：網(wǎng)絡(luò)安全滲透、理論技能與職業(yè)素養(yǎng)。介紹網(wǎng)絡(luò)安全滲透的目標(biāo)是作為一名網(wǎng)絡(luò)安全專業(yè)人員在一個模擬的網(wǎng)絡(luò)環(huán)境中實現(xiàn)網(wǎng)絡(luò)安全滲透測試工作。本模塊要求參賽者作為攻擊方，運用所學(xué)的信息收集、漏洞發(fā)現(xiàn)、漏洞利用等技術(shù)完成對網(wǎng)絡(luò)的滲透測試；并且能夠通過各種信息安全相關(guān)技術(shù)分析獲取存在的flag值。所需的設(shè)施設(shè)備和材料所有測試項目都可以由參賽選手根據(jù)基礎(chǔ)設(shè)施列表中指定的設(shè)備和軟件完成。評分方案本測試項目模塊分?jǐn)?shù)為400分，其中，網(wǎng)絡(luò)安全滲透300分，理論技能與職業(yè)素養(yǎng)100分。項目和任務(wù)描述在A集團(tuán)的網(wǎng)絡(luò)中存在幾臺服務(wù)器，各服務(wù)器存在著不同業(yè)務(wù)服務(wù)。在網(wǎng)絡(luò)中存在著一定網(wǎng)絡(luò)安全隱患，請通過信息收集、漏洞挖掘等滲透測試技術(shù)，完成指定項目的滲透測試，在測試中獲取flag值。網(wǎng)絡(luò)環(huán)境參考樣例請查看附錄A。本模塊所使用到的滲透測試技術(shù)包含但不限于如下技術(shù)領(lǐng)域：?數(shù)據(jù)庫攻擊?枚舉攻擊?權(quán)限提升攻擊?基于應(yīng)用系統(tǒng)的攻擊?基于操作系統(tǒng)的攻擊?逆向分析?密碼學(xué)分析?隱寫分析所有設(shè)備和服務(wù)器的IP地址請查看現(xiàn)場提供的設(shè)備列表。特別提醒通過找到正確的flag值來獲取得分，flag統(tǒng)一格式如下所示：flag{<flag值>}這種格式在某些環(huán)境中可能被隱藏甚至混淆。所以，注意一些敏感信息并利用工具把它找出來。注：部分flag可能非統(tǒng)一格式，若存在此情況將會在題目描述中明確指出flag格式，請注意審題。工作任務(wù)一、人力資源管理系統(tǒng)（45分）任務(wù)編號任務(wù)描述答案分值任務(wù)一請對人力資源管理系統(tǒng)進(jìn)行黑盒測試，利用漏洞找到flag1，并將flag1提交。flag1格式flag1{<flag值>}任務(wù)二請對人力資源管理系統(tǒng)進(jìn)行黑盒測試，利用漏洞找到flag2，并將flag2提交。flag2格式flag2{<flag值>}任務(wù)三請對人力資源管理系統(tǒng)進(jìn)行黑盒測試，利用漏洞找到flag3，并將flag3提交。flag3格式flag3{<flag值>}郵件系統(tǒng)（30分）任務(wù)編號任務(wù)描述答案分值任務(wù)四請對郵件系統(tǒng)進(jìn)行黑盒測試，利用漏洞找到flag1，并將flag1提交。flag1格式flag1{<flag值>}任務(wù)五請對郵件系統(tǒng)進(jìn)行黑盒測試，利用漏洞找到flag2，并將flag2提交。flag2格式flag2{<flag值>}FTP服務(wù)器（165分）任務(wù)編號任務(wù)描述答案分值任務(wù)六請獲取FTP服務(wù)器上task6目錄下的文件進(jìn)行分析，找出其中隱藏的flag，并將flag提交。flag格式flag{<flag值>}任務(wù)七請獲取FTP服務(wù)器上task7目錄下的文件進(jìn)行分析，找出其中隱藏的flag，并將flag提交。flag格式flag{<flag值>}任務(wù)八請獲取FTP服務(wù)器上task8目錄下的文件進(jìn)行分析，找出其中隱藏的flag，并將flag提交。flag格式flag{<flag值>}任務(wù)九請獲取FTP服務(wù)器上task9目錄下的文件進(jìn)行分析，找出其中隱藏的flag，并將flag提交。flag格式flag{<flag值>}任務(wù)十請獲取FTP服務(wù)器上task10目錄下的文件進(jìn)行分析，找出其中隱藏的flag，并將flag提交。flag格式flag{<flag值>}任務(wù)十一請獲取FTP服務(wù)器上task11目錄下的文件進(jìn)行分析，找出其中隱藏的flag，并將flag提交。flag格式flag{<flag值>}任務(wù)十二請獲取FTP服務(wù)器上task12目錄下的文件進(jìn)行分析，找出其中隱藏的flag，并將flag提交。flag格式flag{<flag值>}任務(wù)十三請獲取FTP服務(wù)器上task13目錄下的文件進(jìn)行分析，找出其中隱藏的flag，并將flag提交。flag格式flag{<flag值>}認(rèn)證服務(wù)器（30分）任務(wù)編號任務(wù)描述答案分值任務(wù)十四認(rèn)證服務(wù)器10000端口存在漏洞，獲取FTP服務(wù)器上task14目錄下的文件進(jìn)行分析，請利用漏洞找到flag，并將flag提交。flag格式flag{<flag值>}運維服務(wù)器（30分）任務(wù)編號任務(wù)描述答案分值任務(wù)十五運維服務(wù)器10001端口存在漏洞，獲取FTP服務(wù)器上task15目錄下的文件進(jìn)行分析，請利用漏洞找到flag，并將flag提交。flag格式flag{<flag值>}附錄A圖1網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖理論技能與職業(yè)素養(yǎng)（100分）2023年全國職業(yè)院校技能大賽（高等職業(yè)教育組）“信息安全管理與評估”測試題（樣題）【注意事項】1.理論測試前請仔細(xì)閱讀測試系統(tǒng)使用說明文檔，按提供的賬號和密碼登錄測試系統(tǒng)進(jìn)行測試，賬號只限1人登錄。2.該部分答題時長包含在第三階段比賽時長內(nèi)，請在臨近競賽結(jié)束前提交。3.參賽團(tuán)隊可根據(jù)自身情況，可選擇1-3名參賽選手進(jìn)行作答，團(tuán)隊內(nèi)部可以交流，但不得影響其他參賽隊。一、單選題（每題2分，共35題，共70分）1、《中華人民共和國網(wǎng)絡(luò)安全法》已由中華人民共和國第十二屆全國人民代表大會常務(wù)委員會第二十四次會議通過，自（）起施行。A、2019年6月1日B、2018年6月1日C、2017年6月1日D、2016年6月1日2、下列()行為屬于信息道德與信息安全失范行為。A、上網(wǎng)B、朋友圈惡作劇C、網(wǎng)絡(luò)詐騙D、網(wǎng)上購物3、設(shè)在RSA的公鑰密碼體制中，公鑰為（e,n）=（13，35），則私鑰d=？（）。A、11B、13C、15D、174、關(guān)于函數(shù)，下面哪個說法是錯誤的？（）A、函數(shù)必須有參數(shù)B、函數(shù)可以有多個函數(shù)C、函數(shù)可以調(diào)用本身D、函數(shù)內(nèi)可以定義其他函數(shù)5、以下哪一項描述不正確？（）A、ARP是地址解析協(xié)議B、TCP/IP傳輸層協(xié)議有TCP和UDPC、UDP協(xié)議提供的是可靠傳輸D、IP協(xié)議位于TCP/IP網(wǎng)際層6、下列選項中不是Hydra工具中的-e參數(shù)的值是？（）A、oB、nC、sD、r7、網(wǎng)絡(luò)監(jiān)聽（嗅探）的這種攻擊形式破壞了下列哪一項內(nèi)容？（）A、網(wǎng)絡(luò)信息的抗抵賴性B、網(wǎng)絡(luò)信息的保密性C、網(wǎng)絡(luò)服務(wù)的可用性D、網(wǎng)絡(luò)信息的完整性8、下面程序的運行結(jié)果是:＃include<stdio.h>main(){intx,i;for(j-1;i<=100;i++){x=i;if(++x%2==0)if(++x%3==0)if(++x%7==0)printf("%d",x);}}。（）A、2668B、2870C、3981D、42849、IPSEC包括報文驗證頭協(xié)議AH協(xié)議號（）和封裝安全載荷協(xié)議ESP協(xié)議號。（）A、5150B、5051C、4748D、484710、在遠(yuǎn)程管理Linux服務(wù)器時，以下(）方式采用加密的數(shù)據(jù)傳輸。（）A、rshB、telnetC、sshD、rlogin11、在wireshark中下列表達(dá)式能捕獲設(shè)置了PSH位的TCP數(shù)據(jù)包的是？（）A、tcp[13]&4==4B、tcp[13]&2==2C、tcp[13]&16==16D、tcp[13]&8==812、什么是數(shù)據(jù)庫安全的第一道保障（）。A、操作系統(tǒng)的安全B、數(shù)據(jù)庫管理系統(tǒng)層次C、網(wǎng)絡(luò)系統(tǒng)的安全D、數(shù)據(jù)庫管理員13、以下不屬于防火墻作用的是（）。A、過濾信息B、管理進(jìn)程C、清除病毒D、審計監(jiān)測14、在數(shù)據(jù)庫系統(tǒng)中,死鎖屬于（）。A、系統(tǒng)故障B、事務(wù)故障C、介質(zhì)保障D、程序故障15、哪個關(guān)鍵字可以在python中定義函數(shù)？（）A、dcfB、defC、classD、public16、下面哪些選項可以讓輸出的字符串換行？（）A、print'''imHappy'''B、print'im\nhappy'C、print'im/nhappy'D、print''imhappy''17、小李在使用nmap對目標(biāo)網(wǎng)絡(luò)進(jìn)行掃描時發(fā)現(xiàn)，某一個主機(jī)開放了25和110端口，此主機(jī)最有可能是什么？（）A、文件服務(wù)器B、郵件服務(wù)器C、WEB服務(wù)器D、DNS服務(wù)器18、手動脫壓縮殼一般是用下列哪種方法？（）A、使用upx脫殼B、使用winhex工具脫殼C、使用fi掃描后，用unaspack脫殼D、確定加殼類型后，ollyice調(diào)試脫殼19、下面不是Oracle數(shù)據(jù)庫提供的審計形式的是（）。A、備份審計B、語句審計C、特權(quán)審計D、模式對象設(shè)計20、如果想在類中創(chuàng)建私有方法，下面哪個命名是正確的？（）A、_add_oneB、add_oneC、__add_oneD、add_one__21、POP3服務(wù)器使用的監(jiān)聽端口是？（）A、TCP的25端口B、TCP的110端口C、UDP的25端口D、UDP的110端口22、下列哪個工具可以進(jìn)行web程序指紋識別？（）A、nmapB、openVAsC、御劍D、whatweb23、在需求分析階段規(guī)定好不同用戶所允許訪問的視圖，這屬于數(shù)據(jù)庫應(yīng)用系統(tǒng)的（）。A、功能需求分析B、性能需求分析C、存儲需求分析D、安全需求分析24、假如你向一臺遠(yuǎn)程主機(jī)發(fā)送特定的數(shù)據(jù)包，卻不想遠(yuǎn)程主機(jī)響應(yīng)你的數(shù)據(jù)包，這時你可以使用以下哪一種類型的進(jìn)攻手段？（）A、緩沖區(qū)溢出B、暴力攻擊C、地址欺騙D、拒絕服務(wù)25、下面那個名稱不可以作為自己定義的函數(shù)的合法名稱？（）A、printB、lenC、errorD、Haha26、以下關(guān)于正則表達(dá)式，說法錯誤的是？（）A、‘root’表示匹配包含root字符串的內(nèi)容B、‘.’表示匹配任意字符C、[0-9]表示匹配數(shù)字D、‘^root’表示取反27、哪個關(guān)鍵詞可以在python中進(jìn)行處理錯誤操作？（）A、tryB、catchC、finderrorD、error28、VIM退出命令中，能強制保存并退出的是？（）A、xB、wqC、qD、wq!29、下列不屬于網(wǎng)絡(luò)安全CIA需求屬性的是哪一項？（）A、機(jī)密性B、可抵賴性C、完整性D、可用性30、在一臺Cisco路由器R1上進(jìn)行了如下ACL配置:R1（config）#access-list1permitanyR1（config）#access-list1denyR1（config）#i