信息安全管理与评估赛项样题.docx
《信息安全管理与评估赛项样题.docx》由会员分享,可在线阅读,更多相关《信息安全管理与评估赛项样题.docx(33页珍藏版)》请在冰豆网上搜索。
信息安全管理与评估赛项样题
2012年全国职业院校技能大赛高职组
“信息安全管理与评估”项目竞赛样题
题目:
XX公司网络系统安全评估及安全整改
内容目录
一、竞赛任务2
二、竞赛时间2
三、任务要求与技术参数3
第一阶段:
网络搭建、风险评估与网络改造3
任务一:
网络搭建3
任务二:
系统安全管理6
任务三:
系统安全评估与整改9
第二阶段:
网络渗透与防护10
任务四:
网络渗透与防护10
任务五:
撰写《信息安全管理与评估竞赛工作报告》..............11
四、技术文件等电子文档提交要求11
五、评分标准13
六、附件14
附件一:
《网络审计报告》模板14
附件二《系统风险评估报告》模板18
附件三《系统整改方案》模板23
2012年全国职业院校技能大赛高职组
“信息安全管理与评估”项目竞赛样题
题目:
XX公司网络系统安全评估及安全整改
一、竞赛任务
根据应用需求对XX公司进行基础网络的搭建和网络的安全管理,并能对网络系统进行安全评估和安全改造;完成网络系统的渗透测试和系统加固,并撰写网络安全工作报告。
具体任务内容如下:
1.根据网络功能需求,完成XX公司基础网络的搭建与配置
2.完成XX公司WINDOWS服务器和相关应用服务的配置
3.完成XX公司LINUX服务器和相关应用服务的配置
4.完成XX公司网络的安全加固
5.按照等级保护标准对XX公司网络安全进行定级
6.按照等级保护标准对XX公司网络进行审计和风险评估,并完成审计和评估报告
7.按照等级保护标准要求对XX公司网络进行整改,并完成整改方案
8.完成对服务器的渗透测试和系统加固
9.撰写《信息安全管理与评估竞赛工作报告》(简称《竞赛工作报告》)
二、竞赛时间
竞赛时间共为6小时。
阶段(任务)
任务内容
竞赛时间(小时)
第一阶段
任务一:
网络搭建
任务二:
安全管理
任务三:
系统审计、评估与整改
4
第二阶段
任务四:
网络渗透与防护
1(总时长)
任务五
任务五:
撰写《信息安全管理与评估竞赛工作报告》
1
三、任务要求与技术参数
第一阶段:
网络搭建、风险评估与网络改造
本阶段需要完成三个任务:
任务一:
网络搭建;任务二:
系统安全管理;任务三:
系统审计、评估与整改。
任务一:
网络搭建
(一)任务描述
XX公司总部设在北京,并在广州开设分公司。
现要求对其基础网络进行搭建,并在内、外网服务器上部署相应服务及安全策略。
(二)功能需求与技术参数
1.拓扑图如下:
拓扑说明:
北京总公司:
三层交换机1台,防火墙1台,内网服务器和外网服务器1台,内网主机2台。
广州分公司:
路由器1台,防火墙1台,外网服务器1台,内网主机1台。
功能需求:
(1)北京总公司与广州分公司内网都运行RIPv2
(2)公司两防火墙外网全部运行OSPF
(3)公司两个出口防火墙上要配置IPSECVPN
2.IP地址规划表
地址表中的X代表本参赛队的工位号,如:
工位6的工位号为6,DCR的1接口ip地址为:
10.6.0.1。
设备类型
设备名称
接口编号
接口地址
备注
路由器
DCR
3接口
10.X.0.2/24
4接口
10.X.1.1/24
防火墙
DCFW1
1接口
200.X.1.2/24
接机架上方公网配线架8口
2接口
10.X.0.1/24
防火墙
DCFW2
1接口
10.X.2.1/24
2接口
200.X.2.2/24
接机架上方公网配线架16口
三层交换机
DCRS
3接口
Vlan30:
10.X.3.1/24
4接口
Vlan40:
10.X.4.1/24
5接口
Vlan50:
10.X.5.1/24
接机架下方内网配线架10口
6-24接口
Vlan60:
10.X.2.2/24
PC机
PC1
10.X.3.2/24
PC2
10.X.4.2/24
PC3
10.X.1.2/24
(三)任务要求
序号
任务要求
1
根据网络拓扑图所示,按照IP地址规划表,对DCR的名称、各接口IP地址进行配置;
2
根据网络拓扑图所示,按照IP地址规划表,对DCRS的名称、各接口IP地址进行配置;
3
根据网络拓扑图所示,按照IP地址规划表,对DCFW1的名称、各接口IP地址进行配置;
4
根据网络拓扑图所示,按照IP地址规划表,对DCFW2的名称、各接口IP地址进行配置;
5
根据网络拓扑图所示,按照IP地址规划表,在DCRS交换机上创建相应的VLAN,并将相应接口划入VLAN;
6
总公司内网的核心交换机DCRS采用MSTP技术,创建生成树实例1,将VLAN30和VLAN40加入到实例1,并设置实例1的优先级为4096;
7
总公司内网的核心交换机DCRS采用MSTP技术,创建生成树实例2,将VLAN50和VLAN60加入到实例2,并设置实例2的优先级为8192;
8
根据网络拓扑结构所示,在北京总公司内网配置RIPv2,使内网能正常通信;
9
根据网络拓扑结构所示,在广州分公司内网配置RIPv2,使内网能正常通信;
10
根据网络拓扑结构所示,在DCFW1上做PAT,使得内网用户可以正常访问托管的外网服务器1,转换地址为防火墙外接口IP;
11
根据网络拓扑结构所示,在DCFW2上做PAT,使得内网用户可以正常访问托管的外网服务器1,转换地址为防火墙外接口IP;
12
根据网络拓扑结构所示,在北京与广州两公司的防火墙上做单区OSPF,区域ID为0;
13
北京总公司与广州分公司之间使用广域网传输数据,为保证数据的安全性,需要在总公司和分公司接入广域网的防火墙上使用IPSec技术对数据进行加密。
其中在IKE协商的第一阶段,数据验证采用SHA-1算法,数据加密3DES算法;在IKE协商的第二阶段,采用ESP-SHA-1-3DES算法进行数据加密与验证,其中VPN需要采用隧道模式、预共享密码为digitalchina,使得北京总公司和广州分公司可以互相访问内网资源;
14
在路由器与三层交换机上开启telnet管理功能,用户名为user,口令为digitalchina,使能口令为123456;
15
在3台客户机上分别对内网服务器进行联通行测试,验证是否可以正常ping通;
16
在3台客户机上分别对公网服务器1进行联通行测试,验证是否可以正常ping通;
17
在3台客户机上分别对公网服务器1进行联通行测试,验证是否可以正常ping通;
18
在3台客户机上分别对DCR与DCRS的telnet功能进行检验,验证是否可以正常登录。
注意:
任务一完成后需要提交所有设备配置文件,并存放到“提交专用U盘”中的“任务一”目录下。
其中路由器、三层交换机设备要求提供config配置文件,而防火墙及PC需要提交截图存入WORD文档,并在截图中加以说明。
任务二:
系统安全管理
子任务1:
内网服务器管理
(一)任务描述
在北京总公司内网部署了一台WIN2003服务器,安装光盘已经放在内网服务器的光驱中,要求为公司内部提供服务。
(二)功能需求与技术参数
1.北京总公司目前行政管理结构如下:
总经理室两人,分别是程美、徐雪;外联部两人,分别是郭伟、田贤;产品部三人,分别是李方、陈靓、王波。
功能需求:
(1)根据需求管理网络用户及组;
(2)部署文件服务,并严格控制用户权限;
(3)部署网站服务;
(4)部署系统策略,增强系统安全性。
2.服务器信息
系统版本:
Windows2003
序号
技术参数
1
IP地址:
10.X.5.10/24
2
用户名:
administrator
3
密码:
123456
4
已开放3389端口
(三)任务要求
任务分类
序号
任务要求
一、文件服务器
1.1
为所有员工都创建相应用户,命名方式采用汉语拼音即可,例如“李方”的用户名为lifang,其用户口令为DCN1234#;
1.2
创建3个组,组名采用需要使用部门名称的拼音来命名,并将相应用户加入相应组中;
1.3
在非系统分区创建文件夹share,在share下按照部门名称创建文件夹,在部门文件夹下按照员工名字创建文件夹,结构如下:
1.4
为每个文件夹设置合理的NTFS权限,要求如下:
外联部和产品部的员工只能对属于自己的文件夹下的内容有读、写、修改权限,无权访问其他员工的文件夹内容;
总经理室的用户不仅可以对自己的文件夹下的内容有读、写、修改权限,并且对其他部门员工的文件夹下的内容也拥有读、写、修改权限;
程美与徐雪两个用户对彼此文件夹下的内容只拥有只读的权限;
整个share的树形目录结构保持不变;
1.5
为share目录设置合理的共享权限;
1.6
用王波用户通过UNC方式访问徐雪的共享文件夹,验证结果;
1.7
用徐雪用户通过UNC方式访问郭伟的共享文件夹,验证结果;
1.8
用程美用户通过UNC方式访问徐雪的共享文件夹,验证结果;
二、Web网站服务器
2.1
安装IIS;
2.2
停止默认的网站;
2.3
建立新的网站,网站的源代码在内网服务器的administrator的“我的文档”中,文件名为web.rar;
2.4
已知这是个php网站,网站首页文件名为index.php设置正确的站点属性;
2.5
在客户机上通过浏览器访问该网站,测试访问结果;
三、部署系统安全策略
3.1
增强系统账号的安全性,启用密码复杂性策略;
3.2
增强系统账号的安全性,设置密码长度最小为8位;
3.3
重新设置管理员的密码,并在提交文档中注明所设置的密码;
3.4
对于密码为空的本地账户只允许通过控制台登录;
3.5
通过TCP/IP筛选功能,仅开放需要开放的端口号。
注意:
子任务1任务内容的操作结果请截图并整理到“内网服务器管理.doc”文档中,并保存至“提交专用U盘”的“任务二”目录下。
子任务2:
外网服务器1管理
(一)任务描述
北京总公司在外网托管了一台linux服务器,安装光盘已经做成了AS5.ISO的镜像文件,存放在root的宿主目录下。
现要求使该服务器为广域网用户提供FTP服务和网站服务。
(二)功能需求与技术参数
1.功能需求
(1)部署FTP服务,为广域网用户提供下载资源;
(2)部署WEB网站服务,用于公司外部公司产品及方案宣传;
(3)部署系统策略,增强系统安全性
2.服务器信息
系统版本:
AS5
序号
技术参数
1
IP地址:
201.X.1.10/24
2
用户名:
root
3
密码:
123456
4
已开放23端口
(三)任务要求
任务分类
序号
任务要求
一、FTP服务器
1.1
安装vsftpd,并启动该服务;
1.2
检查vsftpd包是否正确安装,并设置vsftpd服务只在运行级别3、5为on;
1.3
允许匿名用户登录;
1.4
允许匿名用户创建的文件对于其他用户是可读、可运行的;
1.5
允许匿名账户创建目录;
1.6
允许匿名账户上传文件;
二、网站服务器
2.1
安装apache组件,并启动该服务;
2.2
检查apache包是否正确安装,并设置apache服务只在运行级别3、5为on;
2.3
建立新的网站,网站的源代码在外网服务器的root的宿主目录中,文件名为web.tar.bz2;
2.4
已知这是个php网站,网站首页文件名为index.php设置正确的站点属性;
2.5
在客户机上通过浏览器访问该网站,测试访问结果;
三、部署系统安全策略
3.1
增强系统账号的安全性,设置密码长度最小为8位;
3.2
对长时间未登陆过的账户进行锁定;
3.3
查看GRUB是否设置了密码;
3.4
设置策略,强制root账户每20天修改一次密码;
3.5
检查root的PATH变量中是否包含当前目录“.”。
注意:
子任务2任务内容的操作结果请截图并整理到“外网服务器1管理.doc”文档中,并保存至“提交专用U盘”的“任务二”目录下。
任务三:
系统安全评估与整改
子任务1:
网络系统审计
(一)任务描述
对XX公司整个网络系统进行审计,并根据模板填写电子版《网络审计报告》。
(二)技术参数
关于此任务的模板,见附件一(该附件的电子模板存放在选手参赛PC中)。
子任务2:
网络系统评估
(一)任务描述
在完成对XX公司整个网络系统审计的基础上,对服务器进行评估,并根据模板填写电子版《系统风险评估报告》。
(二)技术参数
关于此任务的模板,见附件二(该附件的电子模板存放在选手参赛PC中)。
子任务3:
网络系统整改方案
(一)任务描述
对XX公司整个网络系统进行整改设计,提高网络系统安全性,并根据模板填写电子版《系统整改方案》。
(二)技术参数
关于此任务的模板,见附件三(该附件的电子模板存放在选手参赛PC中)。
注意:
任务三需要完成“网络审计报告”、“系统风险评估报告”和“系统整改方案”,并保存至“提交专用U盘”中的“任务三”目录中,任务三所有附件的电子模板存放在选手参赛PC中。
第二阶段:
网络渗透与防护
任务四:
网络渗透与防护
(一)任务描述
在1个小时时间对其他参赛队的“外网服务器2”进行渗透测试,同时加固本参赛队“外网服务器2”的安全,防止被其他参赛队渗透。
(二)技术参数
服务器信息(比赛时以纸质形式提供)
系统版本:
Windows2003
序号
技术参数
1
工位号:
2
组编号:
3
本参赛队服务器IP地址:
4
用户名:
administrator
5
密码:
123456
6
已开放3389端口
7
所有服务器所处网段:
202.0.0.0/8
(三)任务要求
加固本参赛队“外网服务器2”安全,同时对其他参赛队的服务器进行渗透测试,如果成功渗透了一台WEB服务器,则按照评分标准得分,渗透的目标服务器越多,得分越高。
成功渗透的标准如下:
1)上传webshell文件“put.asp”到目标服务器;
2)从本地访问http:
//渗透外网服务器2的IP/上传的webshell;
3)根据webshell页面提示完成确认。
渗透测试所需要安全攻防工具可以在自己的参赛PC机中找到。
任务五:
撰写《信息安全管理与评估竞赛工作报告》
任务要求:
依据大赛提供的“《信息安全管理与评估竞赛工作报告》撰写要求和规范”,完成《信息安全管理与评估赛项工作报告》的撰写。
注意:
任务五需要完成《信息安全管理与评估竞赛工作报告》,并保存至“提交专用U盘”中的“任务五”目录中。
四、技术文件等电子文档提交要求
1.将竞赛所需要提交的所有电子文档保存至“提交专用U盘”中,在该U盘根目录下新建“赛项名称-工位号”文件夹,在此文件夹下再建立四个子文件夹,分别命名为“任务一”、“任务二”、“任务三”和“任务五”。
2.正确保存所有参赛用设备的配置文件(startup-config),如:
配置截图,效果截图等,要按照题目要求进行截图,并生成word文件进行保存,文件名称要求符合下表要求。
如设备配置文件没有成功保存,此设备相关配置记零分。
3.所有提交给裁判的电子文档应按下述规则或任务书要求命名。
文件类型
命名规则
实例
存放于U盘路径
配置文件
设备名称-config
DCRS-config
DCR-config
任务一目录下
截图文件
设备名称.doc
DCFW1.doc
DCFW2.doc
子任务名称.doc
内网服务器管理.doc
外网服务器1管理.doc
任务二目录下
模板文件
子任务名称.doc
网络审计报告.doc
系统风险评估报告.doc
系统整改方案.doc
任务三目录下
竞赛工作报告
竞赛工作报告.doc
竞赛工作报告.doc
任务五目录下
五、评分标准
竞赛阶段(任务)
一级指标
二级指标
分值比例
第一阶段
网络搭建
(20%)
DCR配置主机名,IP地址
1%
DCRS配置主机名,IP地址
1%
DCFW1配置主机名,IP地址
1%
DCFW2配置主机名,IP地址
1%
DCRS划分vlan及相应接口
1%
DCRS配置MSTP
1%
DCRS配置RIPv2
1%
DCFW1配置RIPv2
2%
DCFW2配置RIPv2
2%
DCR配置RIPv2
1%
DCFW1配置ospf
2%
DCFW2配置ospf
2%
DCFW1配置NAT
1%
DCFW2配置NAT
1%
DCR配置telnet
1%
DCRS配置telnet
1%
安全管理
(20%)
DCFW1上配置IPSECVPN
5%
DCFW2上配置IPSECVPN
5%
Windows提供文件服务
2
Windows提供网站服务
2
Windwos安全加固
1
Linux提供FTP服务
2
Linux提供网站服务器
2
Linux安全加固
1
安全评估
(20%)
网络系统审计(5%)
正确完成DCFW1的审计报告
0.5%
正确完成DCFW2的审计报告
0.5%
正确完成DCRS的审计报告
1%
正确完成DCR的审计报告
1%
正确完成Windows的审计报告
1%
正确完成Linux的审计报告
1%
网络系统评估(5%)
正确定级,并写出定级依据
0.2%
写出相应的依据标准
0.2%
正确写出评估的范围
0.2%
正确对Windows进行评估
2%
正确写出Windows评估结果
0.2%
正确对Linux进行评估
2%
正确写出Linux评估结果
0.2%
网络系统整改方案(10%)
正确完成整改后的拓扑图
1%
对设备部署及接入方式做正确说明
1%
正确完成QoS整改设置
2%
正确完成审计整改设置
2%
正确完成对web服务器的整改设置
2%
正确完成Windows系统安全加固
0.5%
正确完成IIS服务安全加固
0.5%
正确完成Linux系统安全加固
0.5%
正确完成Apache服务安全加固
0.5%
第二阶段
渗透与防护
(20%)
比赛结束仍没被渗透获得防护分
5%
渗透第1台主机得50分,以后每再渗透成功1台主机加10分,上限为150分,封顶150分
15%
竞赛工作报告
竞赛工作报告(20%)
按撰写要求和规范完成《信息安全管理与评估竞赛工作报告》
20%
六、附件
附件一:
《网络审计报告》模板
任务
序号
审计项目
审计步骤/方法
审计结果
一、
防
火
墙
1
安
全
审
计
1.1
防火墙安全策略审计
检查防火墙是否设置了防DOS攻击安全策略。
1.2
防火墙安全策略审计
检查防火墙是否设置了抗扫描安全措施。
1.3
防火墙应用模式安全审计
防火墙采用何种应用模式(透明、NAT、路由)
1.4
防火墙软件检查
检查防火墙操作系统的版本。
1.5
防火墙管理检查
检查防火墙的通过什么方式进行管理,是否为安全的管理方式
检查防火墙是否根据权限不同进行分级管理
检查防火墙的口令设置情况,口令设置是否满足安全要求
1.6
防火墙日志检查
检查防火墙的日志保存情况,所记录的日志是否有连续性。
二、
防
火
墙
2
安
全
审
计
2.1
防火墙安全策略审计
检查防火墙是否设置了防DOS攻击安全策略。
2.2
防火墙安全策略审计
检查防火墙是否设置了抗扫描安全措施。
2.3
防火墙应用模式安全审计
防火墙采用何种应用模式(透明、NAT、路由)
2.4
防火墙软件检查
检查防火墙操作系统的版本。
2.5
防火墙管理检查
检查防火墙的通过什么方式进行管理,是否为安全的管理方式
检查防火墙是否根据权限不同进行分级管理
检查防火墙的口令设置情况,口令设置是否满足安全要求
2.6
防火墙日志检查
检查防火墙的日志保存情况,所记录的日志是否有连续性。
三
路
由
器
安
全
审
计
1
网络设备的系统版本信息收集
对于路由和交换设备,执行:
showversion
2
收集runningconfig配置信息
对于路由和交换设备,在enable模式下,执行:
showrunningconfig
3
查看是否设置控制台登录密码
通过showrunning命令查看是否设置
4
查看所有明文密码是否加密
在特权模式下,通过showrun命令查看是否有servicepassword-encryption命令关键字
5
查看是否启用的SNMP
通过showrunning命令查看是否启用SNMP
四
交
换
机
安
全
审
计
1
网络设备的系统版本信息收集
对于路由和交换设备,执行:
showversion
2
收集runningconfig配置信息
对于路由和交换设备,在enable模式下,执行:
showrunningconfig
3
查看是否设置控制台登录密码
通过showrunning命令查看是否设置
4
查看所有明文密码是否加密
在特权模式下,通过showrun命令查看是否有servicepassword-encryption命令关键字
5
查看是否启用的SNMP
通过showrunning命令查看是否启用SNMP
五、
Win-
dows
主
机
安
全
审
计
1
补丁安装情况
查看主机系统属性
2
主要帐户策略审查
密码长度最少8位,密码周期最长为90天
3
审计策略
对所有帐户登录事件进行审计
对所有的帐户管理事件进行审计
对所有登录事件进行审计
审计失败访问的组件
对策略更改事件进行审计
审计失败的特权事件
审计所有系统事件
4
帐户策略
最小密码历史
最长密码周期
最小密码长度
密码复杂度
密码历史
5
帐户锁定策略
帐户锁定周期
帐户锁定条件
复位时间
六
Lin-
ux
主
机
安
全
审
计
1
操作系统口令安全策略
检查操作系统口令是否满足安全策略要求。
2
用户帐户检查
查看是否存在有安全隐患的帐户
3
用户帐户配置文件检查
检查/etc/passwd文件属性设置是否为644
4
用户帐户密码文件检查
检查/etc/shadow文件属性设置是否为600
5
用户组检查
检查用户组的设置情况,查看是否存在以下可能无用的用户组:
adm/lp/news/uucp/operator/games/gopher
6
用户组密码文件检查
查看/etc/gshadow的文件属性是否为700
升级会员 