2021年山東省職業(yè)院校技能大賽高職組“信息安全管理與評(píng)估”賽項(xiàng)樣題

賽項(xiàng)時(shí)間09:00-13:30，共計(jì)4個(gè)小時(shí)30分鐘，含賽題發(fā)放、收卷時(shí)間。賽項(xiàng)信息競(jìng)賽階段任務(wù)階段競(jìng)賽任務(wù)第一階段平臺(tái)搭建與安全設(shè)備配置防護(hù)任務(wù)1網(wǎng)絡(luò)平臺(tái)搭建任務(wù)2網(wǎng)絡(luò)安全設(shè)備配置與防護(hù)第二階段系統(tǒng)安全攻防及運(yùn)維安全管控任務(wù)1DCN_CMS任務(wù)2DCN_WEB任務(wù)3DCN_MISC中場(chǎng)收卷第三階段分組對(duì)抗系統(tǒng)加固系統(tǒng)攻防賽項(xiàng)內(nèi)容本次大賽，各位選手需要完成三個(gè)階段的任務(wù)，其中第一、二階段任務(wù)“答題模板”需要存放在裁判組專門提供的U盤中。比賽結(jié)束后選手首先需要在U盤的根目錄下建立一個(gè)名為“xx工位”的文件夾（xx用具體的工位號(hào)替代），要求把賽題第一、二階段完成任務(wù)答題模板文檔放置在新建文件夾中。例如：08工位，則需要在U盤根目錄下建立“08工位”文件夾，并在“08工位”文件夾下直接放置第一階段答題模板的文檔文件。特別說明：只允許在根目錄下的“08工位”文件夾中體現(xiàn)一次工位信息，不允許在其他文件夾名稱或文件名稱中再次體現(xiàn)工位信息，否則按作弊處理。賽項(xiàng)環(huán)境設(shè)置賽項(xiàng)環(huán)境設(shè)置包含了兩個(gè)競(jìng)賽階段的基礎(chǔ)信息：網(wǎng)絡(luò)拓?fù)鋱D、IP地址規(guī)劃表、設(shè)備初始化信息。網(wǎng)絡(luò)拓?fù)鋱DPC環(huán)境說明：PC-1（須使用物理機(jī)中的虛擬機(jī)）：物理機(jī)操作系統(tǒng)：Windows764位旗艦版VMwareWorkstation12Pro虛擬機(jī)操作系統(tǒng)：KaliLinux（Debian764Bit）虛擬機(jī)安裝服務(wù)/工具：MetasploitFramework虛擬機(jī)網(wǎng)卡與物理機(jī)網(wǎng)卡之間的關(guān)系：Bridge（橋接）PC-2（須使用物理機(jī)中的虛擬機(jī)）：物理機(jī)操作系統(tǒng)：Windows764位旗艦版VMwareWorkstation12Pro虛擬機(jī)操作系統(tǒng)：KaliLinux（Debian764Bit）虛擬機(jī)安裝服務(wù)/工具：MetasploitFramework虛擬機(jī)網(wǎng)卡與物理機(jī)網(wǎng)卡之間的關(guān)系：Bridge（橋接）PC-3（須使用物理機(jī)中的虛擬機(jī)）：物理機(jī)操作系統(tǒng)：Windows764位旗艦版VMwareWorkstation12Pro虛擬機(jī)操作系統(tǒng)：KaliLinux（Debian764Bit）虛擬機(jī)安裝服務(wù)/工具：MetasploitFramework虛擬機(jī)網(wǎng)卡與物理機(jī)網(wǎng)卡之間的關(guān)系：Bridge（橋接）IP地址規(guī)劃表設(shè)備名稱接口IP地址互聯(lián)可用IP數(shù)量防火墻DCFWEth1/24與Internet相連-地址池/24SSLVPN地址池8Eth2/24與DCRS相連-無線交換機(jī)DCWSEth24/24與DCRS相連-Eth1-23-AP-WEB應(yīng)用防火墻WAFEth2-與DCRS相連-Eth3-與DCST相連-三層交換機(jī)DCRSVlan254Eth1/24與DCFW相連-Vlan253Eth2/24與DCWS相連-Vlan252Eth3/24與WAF相連-Vlan251Eth4/24與DCBI相連Vlan10Eth5/24與PC-1相連-Vlan20Eth6/24與PC-2相連-網(wǎng)絡(luò)日志系統(tǒng)DCBIEth1/24與DCRS相連-堡壘服務(wù)器DCSTEth1-與WAF相連-PC-1無/24與DCRS相連-PC-2無/24與DCRS相連-PC-3無/24與DCFW相連-備注1.賽題可用IP地址范圍見“賽場(chǎng)IP參數(shù)表”；2.具體網(wǎng)絡(luò)連接接口見“賽場(chǎng)互聯(lián)接口參數(shù)表”；3.設(shè)備互聯(lián)網(wǎng)段內(nèi)可用地址數(shù)量見“賽場(chǎng)IP參數(shù)表”；4.IP地址分配要求，最節(jié)省IP地址，子網(wǎng)有效地址規(guī)劃遵循2n-2的原則；5.參賽選手按照“賽場(chǎng)IP參數(shù)表”要求，自行分配IP地址段、設(shè)備互聯(lián)接口；6.將分配的IP地址段和接口填入“賽場(chǎng)IP參數(shù)表”中（“賽場(chǎng)IP參數(shù)表”電子文件存于U盤“第一階段”文件夾中，請(qǐng)?zhí)顚懲暾筇峤弧＃┰O(shè)備初始化信息設(shè)備名稱管理地址默認(rèn)管理接口波特率用戶名密碼防火墻DCFWETH09600adminadmin網(wǎng)絡(luò)日志系統(tǒng)DCBI54ETH0-admin123456WEB應(yīng)用防火墻WAFETH5-adminadmin123三層交換機(jī)DCRS-Console9600--無線交換機(jī)DCWS-Console9600--堡壘服務(wù)器DCST00Eth7-參見“DCST登錄用戶表”備注1.所有設(shè)備的默認(rèn)管理接口、管理IP地址不允許修改;2.如果修改對(duì)應(yīng)設(shè)備的缺省管理IP及管理端口，涉及此設(shè)備的題目按0分處理。

第一階段任務(wù)書（300分）該階段需要提交配置或截圖文檔，命名如下表所示：階段任務(wù)序號(hào)文檔名稱第一階段任務(wù)11任務(wù)1任務(wù)22任務(wù)2-DCFW3任務(wù)2-DCBI4任務(wù)2-WAF5任務(wù)2-DCRS6任務(wù)2-DCWS任務(wù)一：網(wǎng)絡(luò)平臺(tái)搭建平臺(tái)搭建要求如下：題號(hào)網(wǎng)絡(luò)需求1根據(jù)網(wǎng)絡(luò)拓?fù)鋱D所示，按照IP地址參數(shù)表，對(duì)WAF的名稱、各接口IP地址進(jìn)行配置。2根據(jù)網(wǎng)絡(luò)拓?fù)鋱D所示，按照IP地址參數(shù)表，對(duì)DCRS的名稱、各接口IP地址進(jìn)行配置。3根據(jù)網(wǎng)絡(luò)拓?fù)鋱D所示，按照IP地址參數(shù)表，對(duì)DCFW的名稱、各接口IP地址進(jìn)行配置。4根據(jù)網(wǎng)絡(luò)拓?fù)鋱D所示，按照IP地址參數(shù)表，在DCWS上創(chuàng)建相應(yīng)的VLAN，并將相應(yīng)接口劃入VLAN,對(duì)DCWS的管理IP地址進(jìn)行配置。5根據(jù)網(wǎng)絡(luò)拓?fù)鋱D所示，按照IP地址參數(shù)表，對(duì)DCBI的名稱、各接口IP地址進(jìn)行配置。

任務(wù)二：網(wǎng)絡(luò)安全設(shè)備配置與防護(hù)DCFW:在DCFW上配置，連接LAN接口開啟PING等所有管理方式，連接Internet接口關(guān)閉所有管理方式，配置trust區(qū)域與Untrust之間的安全策略且禁止從外網(wǎng)訪問內(nèi)網(wǎng)的任何設(shè)備；DCFW上配置SNAT功能，使內(nèi)網(wǎng)用戶能正常訪問外網(wǎng);在DCFW做相關(guān)配置SSLVPN，服務(wù)器端口為8888，SSLVPN地址池參見地址表，并配置相應(yīng)安全策略；DCFW上配置記錄所有發(fā)布在網(wǎng)站上的文章及帖子，并禁止任意時(shí)間內(nèi)所有用戶在計(jì)算機(jī)與互聯(lián)網(wǎng)網(wǎng)站中發(fā)布關(guān)于“價(jià)格”的文章或帖子并記錄；DCFW上做相關(guān)配置要求限制所有用戶的任意源ip到目的ip的每5秒新建會(huì)話數(shù)不超過30；DCFW上配置禁止內(nèi)網(wǎng)用戶訪問URL中帶有“答案”關(guān)鍵字的所有網(wǎng)站并加以記錄;DCBI:在DCBI上配置，設(shè)備部署方式為旁路模式，審計(jì)引擎模式為普通模式；在DCBI上配置激活NTP，本地時(shí)區(qū)+8:00，并添加NTP服務(wù)器名稱清華大學(xué)，域名為；在DCBI上配置URL黑白名單，并將加入到黑名單中并在有人訪問時(shí)網(wǎng)頁報(bào)警，時(shí)間為周一到周五的上班時(shí)間9:00-18:00；WAF:在WAF上配置WEB攻擊告警，發(fā)送間隔為10分鐘，選擇郵件和短信兩種方式，接收郵箱填寫gengtao2020@126.com，不需要摘要信息，手機(jī)號(hào)碼填在WAF上開啟漏洞掃描功能，目標(biāo)地址為，每天中午12點(diǎn)掃描SQL注入和拒絕服務(wù)；在WAF上配置網(wǎng)站隱身，并添加過濾字符為Server的過濾報(bào)頭;DCRS:在DCRS上配置vlan10和vlan20的地址池，并將vlan10和vlan20的網(wǎng)關(guān)地址排除；為了防止大量的無效報(bào)文傳送上CPU從而導(dǎo)致負(fù)載過重，在DCRS上配置DCP，限速值為50;在DCRS上使用端口隔離功能，使vlan10與vlan20用戶無法互通，卻能與上行端口互通;DCRS通過vlan1與一個(gè)TACACS+認(rèn)證服務(wù)器相連，DCRS的ip地址為/24,TACACS+認(rèn)證服務(wù)器的ip地址為/24，認(rèn)證端口為缺省端口49，交換機(jī)的telnet登錄認(rèn)證方式設(shè)置為tacacslocal，在DCRS上配置，當(dāng)有電腦通過Telnet登錄交換機(jī)時(shí)，使用TACACS+認(rèn)證服務(wù)器對(duì)該用戶進(jìn)行認(rèn)證;DCWS：為防止大量AP因?yàn)闆]有通過認(rèn)證從而與AC不斷地建立非常多的TCP連接，持續(xù)消耗AC的CPU資源，在DCWS上配置APFLOOD反制功能使AP在10分鐘內(nèi)與AC建立連接超過5次，將其加入到APFLOOD反制表中,并且60分鐘之內(nèi)不允許再次連接；設(shè)置SSIDDCN2020，VLAN30，加密模式為wpa-personal,其口令為dcn12345；在DCWS上配置使某用戶的射頻類型為IEEE802.11b/g,并且設(shè)置RTS的門限值為256字節(jié)，當(dāng)MPDU的長(zhǎng)度超過該值時(shí)，802.11MAC啟動(dòng)RTS/CTS交互機(jī)制；通過配置達(dá)到檢測(cè)網(wǎng)絡(luò)中是否有未被管理的AP接入有線網(wǎng)絡(luò)中的要求。第二階段任務(wù)書（450分）特殊說明：任務(wù)一：DCN_CMS任務(wù)環(huán)境說明：PC:攻擊機(jī)場(chǎng)景1：attack攻擊機(jī)場(chǎng)景操作系統(tǒng)：Windows7攻擊機(jī)場(chǎng)景工具：wireshark、firefox、IDAPRO、Burpsuite、VSCode攻擊機(jī)場(chǎng)景2：kali攻擊機(jī)場(chǎng)景操作系統(tǒng)：kalilinux用戶名/密碼：root/toor攻擊機(jī)場(chǎng)景工具：GCC、GDB、python2、python3DCST:服務(wù)器場(chǎng)景：2020dcncms服務(wù)器場(chǎng)景操作系統(tǒng)：Linux服務(wù)器場(chǎng)景安裝服務(wù)：web服務(wù)注意：連續(xù)按下五次shift鍵獲得服務(wù)器IP注意：服務(wù)器ip地址在控制臺(tái)banner中，獲取不到多次按enter任務(wù)內(nèi)容：1.訪問8080端口，將ecshop版本號(hào)數(shù)字作為flag提交(截圖保存)2.訪問網(wǎng)站，利用漏洞找到網(wǎng)站根目錄的flag1，將flag1作為flag提交（截圖保存）3.訪問網(wǎng)站，將系統(tǒng)根目錄的flag2文件內(nèi)容作為flag提交（截圖保存）任務(wù)二：DCN_WEB任務(wù)環(huán)境說明：PC:攻擊機(jī)場(chǎng)景：attack攻擊機(jī)場(chǎng)景操作系統(tǒng)：Windows7攻擊機(jī)場(chǎng)景工具：wireshark、firefox、IDAPRO、Burpsuite、VSCodeDCST:服務(wù)器場(chǎng)景：2020dcnweb服務(wù)器場(chǎng)景操作系統(tǒng)：Linux服務(wù)器場(chǎng)景安裝服務(wù)：apache+php+mysql集成環(huán)境注意：服務(wù)器IP在控制臺(tái)顯示，如IP不顯示，按ENTER刷新任務(wù)內(nèi)容：1. 訪問目標(biāo)IP:8090，打開第一題，根據(jù)頁面提示，獲取根目錄下的flag提交。提交格式：flag{xxx}(提交花括號(hào)里面的字段，截圖保存文檔提交)2. 訪問目標(biāo)IP:8091，打開第二題,根據(jù)頁面提示，找到/tmp/目錄下flag，將獲取的flag提交。提交格式：flag{xxx}(提交花括號(hào)里面的字段，截圖保存文檔提交)3. 訪問目標(biāo)IP:8092，打開第三題,根據(jù)頁面提示，將獲取的flag提交。提交格式：flag{xxx}(提交花括號(hào)里面的字段，截圖保存文檔提交)4. 訪問目標(biāo)IP:8093，打開第四題,根據(jù)頁面提示，獲取數(shù)據(jù)庫(kù)中flag，將獲取的flag提交。提交格式：flag{xxx}(提交花括號(hào)里面的字段，截圖保存文檔提交)5. 訪問目標(biāo)IP:8094，打開第五題,根據(jù)頁面提示，將獲取的flag提交。提交格式：flag{xxx}(提交花括號(hào)里面的字段，截圖保存文檔提交)任務(wù)三：DCN_MISC任務(wù)環(huán)境說明：PC:攻擊機(jī)場(chǎng)景：attack攻擊機(jī)場(chǎng)景操作系統(tǒng)：Windows7攻擊機(jī)場(chǎng)景工具：wireshark、firefox、IDAPRO、Burpsuite、VSCodeDCST：服務(wù)器場(chǎng)景：2020dcnmisc服務(wù)器場(chǎng)景操作系統(tǒng)：Linux服務(wù)器場(chǎng)景安裝服務(wù)：apache+php+mysql集成環(huán)境注意：服務(wù)器IP在控制臺(tái)顯示，如IP不顯示，按ENTER刷新任務(wù)內(nèi)容：1. 訪問目標(biāo)IP:80，點(diǎn)擊”Cam”，下載文件并獲取中flag，將獲取的flag提交。提交格式：flag{xxx}(提交花括號(hào)里面的字段，截圖保存文檔提交)2. 訪問目標(biāo)IP:80，點(diǎn)擊”Hex”，下載文件并獲取中flag，將獲取的flag提交。提交格式：flag{xxx}(提交花括號(hào)里面的字段，截圖保存文檔提交)3. 訪問目標(biāo)IP:80，點(diǎn)擊”rar”，下載文件并獲取中flag，將獲取的flag提交。提交格式：flag{xxx}(提交花括號(hào)里面的字段，截圖保存文檔提交)4. 訪問目標(biāo)IP:80，點(diǎn)擊”four”，下載文件并獲取中flag，將獲取的flag提交。提交格式：flag{xxx}(提交花括號(hào)里面的字段，截圖保存文檔提交)5. 訪問目標(biāo)IP:80，點(diǎn)擊”docx”，下載文件并獲取中flag，將獲取的flag提交。提交格式：flag{xxx}(提交花括號(hào)里面的字段，截圖保存文檔提交)6.訪問目標(biāo)IP:80，點(diǎn)擊”wireshark”，下載文件并獲取中flag，將獲取的flag提交。提交格式：flag{xxx}(提交花括號(hào)里面的字段，截圖保存文檔提交)7.訪問目標(biāo)IP:80，點(diǎn)擊”ping”，下載文件并獲取中flag，將獲取的flag提交。提交格式：flag{xxx}(提交花括號(hào)里面的字段，截圖保存文檔提交)8.訪問目標(biāo)IP:80，點(diǎn)擊”docx2”，下載文件并獲取中flag，將獲取的flag提交。提交格式：flag{xxx}(提交花括號(hào)里面的字段，截圖保存文檔提交)9.訪問目標(biāo)IP:80，點(diǎn)擊”TLS”，下載文件并獲取中flag，將獲取的flag提交。提交格式：flag{xxx}(提交花括號(hào)里面的字段，截圖保存文檔提交)第三階段分組對(duì)抗（250分）假定各位選手是某企業(yè)的信息安全工程師，負(fù)責(zé)服務(wù)器的維護(hù)，該服務(wù)器可能存在著各種問題和漏洞（見以下漏洞列表）。你需要盡快對(duì)服務(wù)器進(jìn)行加固，十五分鐘之后將會(huì)有很多白帽黑客（其它參賽隊(duì)選手）對(duì)這臺(tái)服務(wù)器進(jìn)行滲透測(cè)試。提示1：該題不需要保存文檔；提示2：服務(wù)器中的漏洞可能是常規(guī)漏洞也可能是系統(tǒng)漏洞；提示3：加固常規(guī)漏洞；提示4：對(duì)其它參賽隊(duì)系統(tǒng)進(jìn)行滲透測(cè)試，取得FLAG值并提交到裁判服務(wù)器。十五分鐘之后，各位選手將真正進(jìn)入分組對(duì)抗環(huán)節(jié)。注意事項(xiàng)：注意1：任何時(shí)候不能關(guān)閉服務(wù)器80端口，要求站點(diǎn)能夠被正常訪問；注意2：不能對(duì)服務(wù)器、網(wǎng)絡(luò)設(shè)備進(jìn)行攻擊，一經(jīng)發(fā)現(xiàn)立即終止該參賽隊(duì)的比賽，參賽選手清離賽場(chǎng)，并隔離到比賽結(jié)束。注意3：在加固階段（前十五分鐘，具體