收藏
下载资源 加入VIP,省得不是一点点

2015年全国职业院校技能大赛高职组神州数码杯.DOCX

上传人:国*** 文档编号:3466481 上传时间:2019-05-30 格式:DOCX 页数:16 大小:251.52KB
下载 相关 举报
2015年全国职业院校技能大赛高职组神州数码杯.DOCX_第1页
第1页 / 共16页
2015年全国职业院校技能大赛高职组神州数码杯.DOCX_第2页
第2页 / 共16页
2015年全国职业院校技能大赛高职组神州数码杯.DOCX_第3页
第3页 / 共16页
2015年全国职业院校技能大赛高职组神州数码杯.DOCX_第4页
第4页 / 共16页
2015年全国职业院校技能大赛高职组神州数码杯.DOCX_第5页
第5页 / 共16页
点击查看更多>>
资源描述

1、2015 年全国职业院校技能大赛高职组“神州数码”杯“信息安全管理与评估”赛项任务书一、 赛项时间9:00-13:00,共计 6 小时,含赛题发放、收卷及午餐时间。二、 赛项信息竞赛阶段 任务阶 段 竞赛任务 竞赛时间 分值任务一 网络平台搭建 60第一阶段平台搭建与配置 任务二 网络安全设备配置与防护 240任务一 IIS 安全加固与证书签发 30任务二 数据库攻防与加固 40任务三 CSRF 攻击 40任务四 XSS 攻击 40任务五 密码嗅探 40任务六 文件包含攻击 40任务七 SQL 注入攻击 40第二阶段系统安全攻防及运维安全管控任务八 linux 操作系统安全防护9:00-13:

2、3030中场收卷 13:30-14:00系统加固 14:00-14:15 100第三阶段分组对抗 系统攻防 14:15-15:00 300三、 赛项内容假定各位选手是某公司的信息安全工程师,负责维护公司信息系统安全。你们需要完成三个阶段的任务,其中前两个阶段需要提交任务操作文档留存备案,所有文档需要存放在裁判组专门提供的 U 盘中。第三阶段是否提交文档,请根据现场具体题目要求。选手首先需要在 U 盘的根目录下建立一个名为“xx 工位”的文件夹,并在“xx 工位”文件夹下,建立“第一阶段” 、 “第二阶段”两个文件夹,赛题两个阶段的文档分别归类放置在对应的文件夹中。例如:08 工位,则需要在 U

3、 盘根目录下建立“08 工位”文件夹,并在“08工位”文件夹下建立“第一阶段” 、 “第二阶段”两个文件夹。特别说明:只允许在根目录下的“08 工位”文件夹中体现一次工位信息,不允许在其他文件夹名称或文件名称中再次体现工位信息,否则按作弊处理。(一) 赛项环境设置赛项环境设置包含了三个竞赛阶段的基础信息:网络拓扑图、IP 地址规划表、设备初始化信息。1. 网络拓扑图2. IP 地址规划表设备名称 接口 IP 地址 互联 可用 IP 数量EthX x.x.x.x/x 与 PC-3 相连 见赛场 IP 参数表防火墙 DCFWEthX x.x.x.x/x 与 DCFS 相连 见赛场 IP 参数表地址

4、池 x.x.x.x/x SSL VPN 地址池 见赛场 IP 参数表EthX 无 与 DCFW 相连 见赛场 IP 参数表网络流控系统DCFS EthX x.x.x.x/x 与 DCRS 相连 见赛场 IP 参数表EthX x.x.x.x/x 与 DCRS 相连 见赛场 IP 参数表web 应用防火墙WAF EthX 与 DCST 相连 见赛场 IP 参数表Vlan 2 x.x.x.x/x 与 DCFS 相连 见赛场 IP 参数表Vlan 10 x.x.x.x/x 与 WAF 相连 见赛场 IP 参数表Vlan 20 x.x.x.x/x 与 PC-1 所在用户区相连 见赛场 IP 参数表Vla

5、n 30 x.x.x.x/x 与 PC-2 所在用户区相连 见赛场 IP 参数表Vlan 40 x.x.x.x/x 与 DCBI 相连 见赛场 IP 参数表Vlan 100 x.x.x.x/x 直连服务器区 见赛场 IP 参数表Vlan 110 x.x.x.x/x 直连用户区 见赛场 IP 参数表三层交换机DCRS地址池 x.x.x.x/x DCHP 地址池 见赛场 IP 参数表EthX x.x.x.x/x 与 DCRS 相连 见赛场 IP 参数表网络日志系统DCBI EthX 无 与 DCRS 相连 见赛场 IP 参数表堡垒服务器DCST EthX x.x.x.x/x 与 WAF 相连见赛场

6、 IP 参数表PC-1 无 x.x.x.x/x 与 DCRS 相连 见赛场 IP 参数表PC-2 无 x.x.x.x/x 与 DCRS 相连 见赛场 IP 参数表PC-3 无 x.x.x.x/x 与 DCFW 相连 见赛场 IP 参数表服务器场景-1 无 见系统安全攻防加固赛题部分服务器场景-2 无 见系统安全攻防加固赛题部分服务器场景-3 无 见系统安全攻防加固赛题部分服务器场景-4 无 见系统安全攻防加固赛题部分服务器场景-5 无 见系统安全攻防加固赛题部分备注1.赛题可用 IP 地址范围见“赛场 IP 参数表”;2.具体网络连接接口见“赛场互联接口参数表”;3.设备互联网段内可用地址数量

7、见“赛场 IP 参数表”;4.IP 地址分配要求,最节省 IP 地址,子网有效地址规划遵循 2n-2 的原则;5.参赛选手按照“赛场 IP 参数表”要求,自行分配 IP 地址段、设备互联接口;6.将分配的 IP 地址段和接口填入“赛场 IP 参数表”中(“赛场 IP 参数表”电子文件存于参赛 PC 机中),并存放在 U 盘“第一阶段”文件夹中提交,文件名称为“赛场 IP 参数表”。3. 设备初始化信息设备名称 管理地址 默认管理接口 用户名 密码防火墙 DCFW http:/192.168.1.1 ETH0 admin admin网络流控系 https:/192.168.1.254:9999

8、ETH0 admin Admin123统 DCFS网络日志系统 DCBIhttps:/192.168.5.254 ETH0 admin 123456web 应用防火墙 WAFhttps:/192.168.45.1 ETH5 admin admin123堡垒服务器DCSThttp:/192.168.1.100 Eth0Eth9 参见“DCST 登录用户表”备注 所有设备的默认管理接口、管理 IP 地址不允许修改(二) 第一阶段任务书(300 分)提示:该阶段答案文档命名格式为:“第 X 阶段”-“任务 X”-“任务名称”。例:“第一阶段、任务二、网络安全设备配置与防护”的答案提交文档,文件名称为

9、:第一阶段-任务二-网络安全设备配置与防护.doc 或第一阶段-任务二-网络平台搭建.docx。任务一:网络平台搭建(60 分)提示:需要提交所有设备配置文件,其中 DCRS 设备要求提供 show run 配置文件保存到 WORD 文档,DCFW、DCFS、WAF、DCBI 设备需要提交配置过程截图存入 WORD 文档,并在截图中加配置说明。提交的答案保存到一个 WORD 文档中,标明题号,按顺序答题。平台搭建要求如下:题号 网络需求1 根据网络拓扑图所示,按照 IP 地址参数表,对 WAF 的名称、各接口 IP 地址进行配置。2 根据网络拓扑图所示,按照 IP 地址参数表,对 DCRS 的

10、名称、各接口 IP 地址进行配置。3 根据网络拓扑图所示,按照 IP 地址参数表,对 DCFW 的名称、各接口 IP 地址进行配置。4 根据网络拓扑图所示,按照 IP 地址参数表,对 DCFS 的名称、各接口 IP 地址进行配置。5 根据网络拓扑图所示,按照 IP 地址参数表,对 DCBI 的名称、各接口 IP 地址进行配置。6 根据网络拓扑图所示,按照 IP 地址参数表,在 DCRS 交换机上创建相应的VLAN,并将相应接口划入 VLAN。7 采用静态路由的方式,全网络互连。任务二:网络安全设备配置与防护(240 分)提示:需要提交所有设备配置文件,其中 DCRS 设备要求提供 show r

11、un 配置文件保存到 WORD 文档,DCFW、DCFS、WAF、DCBI 设备需要提交配置过程截图存入 WORD 文档,并在截图中加以说明。请顺序答题,并标注题号。每个设备提交的答案保存到一个 WORD 文档中。1. 在公司总部的 DCFW 上配置,开启网络管理功能(SNMP),网管服务器连接在服务器区,IP 地址是服务器区内第二个可用地址(服务器区 IP 地址段参考“赛场 IP 参数表” ),community 名字为 public,网管软件对 DCFW 没有写权限。(6 分)2. 在公司总部的 DCFW 上配置,连接互联网的接口属于 WAN 安全域、连接内网的接口属于 LAN 安全域,开

12、启 DCFW 的 DDoS 防护。(6 分)3. 在公司总部的 DCFW 上配置,仅允许通过 HTTP 方式访问 DCFW,并且新增一个用户,用户名 dcfw1234,密码 dcfw1234,该用户只有查看配置权限,不具有添加配置或修改配置的权限。(6 分)4. 在公司总部的 DCFW 上配置,在上班时间(工作日的 9:00-17:00)只允许公司员工访问内网资源。(6 分)5. 在公司总部的 DCFW 上配置,在上班时间如有事情需要访问网络,限制只有通过 DCFW 的 WEB 认证后才能访问互联网,且在连接网络一个小时后如果不重新认证则断开网络访问。(6 分)6. 在公司总部的 DCFW 上

13、配置,使公司总部的 DCST 设备可以通过互联网被访问,从互联网访问的地址是公网地址的第三个可用地址(公网 IP 地址段参考“赛场 IP 参数表”),且仅允许 PC-3 通过互联网访问 DCST 设备。(6分)7. 在公司总部的 DCFW 上配置,使内网所有用户网段和服务器区网段都可以通过 DCFW 外网接口 IP 地址访问互联网,但要求公司 PC-1 只能通过固定的公网地址的第四个可用地址(公网 IP 地址段参考“赛场 IP 参数表”)访问互联网。(6 分)8. 在公司总部的 DCFW 上配置,在内网接口上开启防护功能,每秒钟最大接收1000 个 ARP 包,超过的将被丢弃。(6 分)9.

14、在公司总部的 DCFW 上配置,限制每个用户访问互联网时最大的会话数是1000,上网带宽最大是 5M。(6 分)10. 在公司总部的 DCFW 上启用 SSL VPN,使分支机构通过 VPN 拨入公司总部,访问内部的所有服务器资源。SSL VPN 地址池 x.x.x.x/x(具体 IP 地址参考“赛场 IP 参数表”)。(6 分)11. 在公司总部的 DCFS 上配置,增加非 admin 账户 dcfs1234,密码dcfs1234,该账户仅用于用户查询设备的日志信息和统计信息。(6 分)12. 在公司总部的 DCFS 上配置,使 2015 年 7 月 1 日到 7 月 10 日的工作日(工作

15、日每周一到周五)时间内,禁止 PC-1 访问迅雷应用。(6 分)13. 在公司总部的 DCFS 上配置,限制 URL 路径中大于 10M 的“*.mp3”格式的文件不能被下载。(6 分)14. 在公司总部的 DCFS 上配置,禁止内网用户访问某游戏服务,该游戏服务使用的协议是 UDP,固定的端口号 7633。(6 分)15. 在公司总部的 DCFS 上配置,要求能够在主机列表中显示出内网用户名,能够看到用户名与主机地址的对应关系。(6 分)16. 在公司总部的 DCFS 上配置,禁止 PC-1 所在用户网段最后 10 个可用地址(PC-1 所在网段参考“赛场 IP 参数表”)访问互联网。(6

16、分)17. 在公司总部的 DCFS 上配置,总的出口带宽是 200M,创建子带宽通道100M,当网络拥塞时,使 PC-2 所在网段每一个用户带宽最大不超过 2M,最小带宽为 1M;当网络不拥塞时,带宽可以超出 2M。(6 分)18. 在公司总部的 DCFS 上配置,公司总出口带宽是 200M,创建子带宽通道100M,使 PC-1 所在网段每一个用户最小拥有 2M 上网带宽,并且要求在总出口处应用 BT 业务的流量不超过 50M。(6 分)19. 在公司总部的 DCBI 上配置,增加非 admin 账户 dcbi1234,密码dcbi1234,该账户仅用于用户查询设备的日志信息和统计信息。(6

17、分)20. 在公司总部的 DCBI 上配置,设备部署方式为旁路模式,并配置监控接口与管理接口。(6 分)21. 在公司总部的 DCBI 上配置,使 DCBI 能够通过邮件方式发送告警信息,邮件服务器在服务器区,IP 地址是服务器区内第三个可用地址(服务器区 IP地址段参考“赛场 IP 参数表”),端口号 25,账号 test,密码test。(6 分)22. 在公司总部的 DCBI 上配置,将 DCBI 的日志信息发送到日志服务器,日志服务器在服务器区,IP 地址是服务器区内第四个可用地址(服务器区 IP 地址段参考“赛场 IP 参数表”),community 名字 public。(6 分)23

18、. 在公司总部的 DCBI 上配置,监控工作日(每周一到周五)期间 PC-1 访问的 URL 中包含 xunlei 的 HTTP 访问记录,并且邮件发送告警。(6 分)24. 在公司总部的 DCBI 上配置,监控 PC-2 所在网段用户的即时聊天记录。(6分)25. 在公司总部的 DCBI 上配置,监控内网所有用户的邮件收发访问记录。(6分)26. 在公司总部的 DCBI 上配置,使 DCBI 可以通过交换机(DCRS)获得内网 PC的 MAC 地址,并在记录日志时显示内网 PC 的 MAC 地址。(6 分)27. 在公司总部的 DCRS 上配置,配置设备 enable 密码,并且在登录设备时

19、必须正确输入 enable 密码才能进入交换机的配置模式。(6 分)28. 在公司总部的 DCRS 上配置,在交换设备上开启 SSH 管理功能,用户名和密码都是 DCN,并关闭设备的 web 管理方式,仅允许使用 console、ssh 和telnet 方式管理设备。(6 分)29. 在公司总部的 DCRS 上配置,VLAN20 的成员接口开启广播风暴抑制功能,参数设置为 400pps。(6 分)30. 在公司总部的 DCRS 上配置,公司为了统一管理,通过 SNMP 技术使用网管软件对 DCRS 进行管理,配置只读字串为 public , 读写字串为 private,网管服务器连接在服务器区

20、,IP 地址是服务器区内第二个可用地址(服务器区 IP 地址段参考“赛场 IP 参数表”)。(6 分)31. 在公司总部的 DCRS 上配置,在 DCRS 上的 Ethernet1/15-17 端口开启 ARP保护功能,防止 PC 发出网关欺骗报文。并在 Ethernet1/19 接口上配置,使 MAC 为 00-FF-51-BE-AD-32 的主机不能访问 MAC 地址为 E1-B6-4C-25-6A-13 的主机,其他主机访问正常。(6 分)32. 在公司总部的 DCRS 上配置,需要在交换机 10 接口上开启基于用户模式的认证,认证通过后才能访问网络,认证服务器连接在服务器区,IP 地址

21、是服务器区内第五个可用地址(服务器区 IP 地址段参考“赛场 IP 参数表”),radius key 是 123456。(6 分)33. 在公司总部的 DCRS 上配置,VLAN110 用户可通过 DHCP 的方式获得 IP 地址,在交换机上配置 DHCP Server,地址池名称为 pool-vlan110,DNS 地址为114.114.114.114 和 8.8.8.8,租期为 2 天,VLAN110 网段最后 20 个可用地址(DHCP 地址段参考“赛场 IP 参数表”)不能被动态分配出去。(6 分)34. 在公司总部的 WAF 上配置,公司内部有一台网站服务器直连到 WAF,地址是DC

22、RS 上 VLAN10 网段内的第五个可用地址(VLAN10 地址段参考“赛场 IP 参数表”),端口是 8080,并将服务访问日志、WEB 防护日志、服务监控日志、DDoS 防护日志信息发送 syslog 日志服务器,syslog 日志服务器在服务器区,IP 地址是服务器区内第六个可用地址(服务器区 IP 地址段参考“赛场 IP 参数表”),UDP 的 514 端口。(6 分)35. 在公司总部的 WAF 上配置,将攻击告警、设备状态告警、服务状态告警信息通过邮件(发送到 )及短信方式(发送到 12812345678)发送给管理员。(6 分)36. 在公司总部的 WAF 上配置,阻止常见的

23、WEB 攻击数据包访问到公司内网服务器。(6 分)37. 在公司总部的 WAF 上配置,防止某源 IP 地址在短时间内发送大量的恶意请求,影响公司网站正常服务。大量请求的确认值是:10 秒钟超过 3000 次请求。(6 分)38. 在公司总部的 WAF 上配置,禁止公网 IP 地址(218.240.143.219)访问网站服务器,网站服务器地址是 DCRS 上 VLAN10 网段内的第五个可用地址(VLAN10 地址段参考“赛场 IP 参数表”)。(6 分)39. 在公司总部的 WAF 上配置,对公司网站(服务器地址是 DCRS 上 VLAN10 网段内的第五个可用地址,VLAN10 地址段参

24、考“赛场 IP 参数表”)进行安全评估,检查网站是否存在安全漏洞,便于在攻击没有发生的情况下提前做出防护措施。40. 在公司总部的 WAF 上配置,禁止 HTTP 请求和应答中包含敏感字段“赛题”的报文经过 WAF 设备。(6 分)(三) 第二阶段:系统安全攻防及运维安全管控(300 分)提示 1:本阶段用到堡垒服务器 DCST 中的服务器场景,获得服务器 IP 地址方式如下:Windows 服务器的 IP 地址可以通过拓扑界面获得,如果获得不了,采用如下方法获得: 通过 DCST 场景里的网络拓扑图,启动连接设备 进入服务器,用户名为 administrator,密码 123456 执行 i

25、pconfig /all,即可获得服务器 IP 地址Linux 服务器的 IP 地址可以通过拓扑界面获得,如果获得不了,采用如下方法获得: 通过 DCST 场景里的网络拓扑图,启动连接设备 进入服务器,用户名为 root,密码是 123456 执行 ifconfig 即可获得服务器 IP 地址提示 2:每个任务提交一个 word 文档,请在文档中标明题号,按顺序答题。将关键步骤和操作结果进行截屏,并辅以文字说明,保存到提交文档中。提示 3:文档命名格式为:“第 X 阶段”-“任务 X”-“任务名称” 。例:“第二阶段、任务二”的答案提交文档,文件名称为:第二阶段-任务二-数据库攻防与加固.do

26、c 或第二阶段-任务二-数据库攻防与加固.docx任务一:IIS 安全加固与证书签发(30 分)任务环境说明:Web 服务器操作系统:windows2003 server; 安装服务/工具 1:Web 服务,版本是 IIS-6.0; 安装服务/工具 2:FTP 服务,版本是 IIS-6.0;win-wireshark 操作系统:windows2003 server; 安装服务/工具 1:抓包工具,wireshark;1. 配置 Windows 防火墙,使 IIS Web 服务能够被访问,对配置进行截屏。(3 分)2. 加固 IIS Web 服务器的安全配置,使得 Web 服务只能被内网用户所在

27、的网段访问,对加固配置进行截屏。(3 分)3. 为 IIS Web 服务器申请服务器证书,对申请摘要进行截屏。(3 分)4. 为 IIS Web 服务器颁发一年期服务器证书,对颁发过程进行截屏。(3分)5. 将 IIS 服务器启动 SSL 安全通信,并安装服务器证书。使用 win-wireshark 虚拟机中的浏览器访问该 Web 服务进行测试。由于 cn 和 IIS 的域名不一致,所以一定有警报弹出窗,请将该窗口截屏。(3 分)6. 将 IIS 服务器启用客户端证书设置。使用客户端浏览器访问该 Web 服务进行测试。将要求客户端提供证书的弹出页面截屏。(6 分)7. 为 PC 申请 CA 证

28、书。颁发该证书。对申请和颁发过程截屏。(6 分)8. 在 PC 上安装 CA 证书。使用 PC 浏览器访问该 Web 服务进行测试,对操作过程截屏。(3 分)任务二:数据库攻防与加固 (40 分)任务环境说明:xserver-mysql 服务器操作系统:Redhat Linux AS5; 安装服务/工具 1:Web 服务,版本 Apache 2.2.23; 安装服务/工具 2:MySQL 服务,版本 5.0.22; 安装服务/工具 3:PHP 服务,版本 5.0.48; 安装服务/工具 4:Nmap 服务,版本 4.11;1. 进入 xserver-mysql, 加固 MySQL 服务器,使所

29、有的访问能被审计,要求通过对 mysqld 的启动项进行加固,对加固操作进行截屏。(4 分)2. 配置 linux-mysql 防火墙,允许 MySQL 服务能够被访问,要求规则中只包含端口项,对防火墙规则列表进行截屏。(4 分)3. 进入 xserver-mysql,查看所有用户及权限,找到可以从任何 IP 地址访问的用户,对操作过程进行截屏。(8 分)4. 对题号 3 中的漏洞进行加固,设定该用户只能从公司 PC 访问,用grants 命令进行管理,并将加固过程截屏。(8 分)5. 检查 xserver-mysql 中的是否存在匿名用户,如果存在匿名用户,则删除该用户,将发现的匿名用户信息

30、以及删除过程进行截屏。(4 分)6. 改变默认 MySQL 管理员的名称,将系统的默认管理员 root 改为admin,防止被列举,将执行过程进行截屏。(4 分)7. 禁止 MySQL 对本地文件进行存取,对 mysqld 的启动项进行加固,将加固部分截屏。(4 分)8. 限制一般用户浏览其他用户数据库,对 mysqld 的启动项进行加固,将加固部分截屏。(4 分)任务三:CSRF 攻击(40 分)任务环境说明:xserver 操作系统:Redhat Linux AS5; 安装服务/工具 1:Web 服务,版本 Apache 2.2.23; 安装服务/工具 2:MySQL 服务,版本 5.0.22; 安装服务/工具 3:PHP 服务,版本 5.0.48; 安装服务/工具 4:Nmap 服务,版本 4.11;metas2-lab-1 操作系统:Redhat Linux AS5; 安装服务/工具 1:Web 服务,版本 Apache 2.2.23; 安装服务/工具 2:MySQL 服务,版本 5.0.22; 安装服务/工具 3:PHP 服务,版本 5.0.48; 安装服务/工具 4:Nmap 服务,版本 4.11; 安装服务/工具 5:telnet 服务端,版本 0.17-39-el5;

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 重点行业资料库 > 医药卫生

Copyright © 2018-2021 Wenke99.com All rights reserved

工信部备案号浙ICP备20026746号-2  

公安局备案号:浙公网安备33038302330469号

本站为C2C交文档易平台,即用户上传的文档直接卖给下载用户,本站只是网络服务中间平台,所有原创文档下载所得归上传人所有,若您发现上传作品侵犯了您的权利,请立刻联系网站客服并提供证据,平台将在3个工作日内予以改正。