(全国职业技能比赛:高职)GZ032信息安全管理与评估赛题第6套.docx
《(全国职业技能比赛:高职)GZ032信息安全管理与评估赛题第6套.docx》由会员分享,可在线阅读,更多相关《(全国职业技能比赛:高职)GZ032信息安全管理与评估赛题第6套.docx(51页珍藏版)》请在冰豆网上搜索。
ChinaSkills
全国职业院校技能大赛
高等职业教育组
信息安全管理与评估
赛题六
模块一
网络平台搭建与设备安全防护
一、赛项时间
共计180分钟。
二、赛项信息
竞赛阶段
任务阶段
竞赛任务
竞赛时
间
分值
第一阶段
网络平台搭建与设
备安全防护
任务1
网络平台搭建
XX:
XX-
XX:
XX
50
任务2
网络安全设备配置与防护
250
三、赛项内容
本次大赛,各位选手需要完成三个阶段的任务,其中第一个阶段需要按裁判组专门提供的U盘中的“XXX-答题模板”提交答案。
第二、三阶段请根据现场具
体题目要求操作。
选手首先需要在U盘的根目录下建立一个名为“GWxx”的文件夹(xx用具体
的工位号替代),赛题第一阶段所完成的“XXX-答题模板”放置在文件夹中。
例如:
08工位,则需要在U盘根目录下建立“GW08”文件夹,并在“GW08”
文件夹下直接放置第一个阶段的所有“XXX-答题模板”文件。
特别说明:
只允许在根目录下的“GWxx”文件夹中体现一次工位信息,不允
许在其他文件夹名称或文件名称中再次体现工位信息,否则按作弊处理。
(一)赛项环境设置
1.网络拓扑图
Internet
FW
(a))
AP
AC堡垒服务器
WAF'Sw
PCPC
PC
南昌分公司
上海总公司
BC
2.IP地址规划表
设备名称
接口
IP地址
对端设备
接口
防火墙
FW
ETH0/1-2
10.10.255.1/30(trust安全域)2001:
DA8:
10:
10:
255:
:
1/127
SW
eth1/0/1-2
10.10.255.5/30(trust安全域)2001:
DA8:
10:
10:
255:
5/127
SW
ETH₀/3
20.23.1.1/30(untrust安全域)
223.20.23.1/29(nat-pool)2001:
DA8:
223:
20:
23:
:
1/64
SW
Eth1/0/23
Loopback1
10.0.0.254/32(trust)Router-id
SSLPool
192.168.10.1/26
可用IP数量为20
SSLVPN地址池
三层
交换机
SW
ETH1/0/4
专线
AC
ETH1/0/4
ETH1/0/5
专线
AC
ETH1/0/5
VLAN21
ETH1/0/1-2
10.10.255.2/30
2001:
DA8:
10:
10:
255:
:
2/127
FW
Vlan
name
TO-FW1
VLAN22
ETH1/0/1-2
10.10.255.6/30
2001:
DA8:
10:
10:
255:
6/127
FW
Vlan
name
TO-FW2
VLAN23ETH1/0/23
20.23.1.2/30
2001:
DA8:
223:
20:
23:
:
2/127
FW
Vlan
name
TO-
internet
VLAN24ETH1/0/24
223.20.23.10/29
2001:
DA8:
223:
20:
23:
:
10/127
BC
Vlan
name
TO-BC
VLAN10
172.16.10.1/24
无线1
Vlan
name
WIFI-
vlan10
VLAN20
172.16.20.1/24
无线2
Vlan
name
WIFI-
vlan20
VLAN30ETH1/0/6-7
192.168.30.1/24
2001:
DA8:
192:
168:
30:
1:
:
1/96
Vlan
name
XZ
VLAN31Eth1/0/8-9
192.168.31.1/24
2001:
DA8:
192:
168:
31:
1:
:
1/96
Vlan
name
sales
VLAN40
ETH1/0/10-
11
192.168.40.1/24
2001:
DA8:
192:
168:
40:
1:
:
1/96
Vlan
name
CW
Vlan50
Eth1/0/13-
14
192.168.50.1/24
2001:
DA8:
192:
168:
50:
1:
:
1/96
Vlan
name
manage
Vlan1001
10.10.255.9/30
2001:
DA8:
10:
10:
255:
:
9/127
TO-AC1
Vlan1002
10.10.255.13/30
2001:
DA8:
10:
10:
255:
:
13/127
TO-AC2
VLAN
1000
ETH1/0/20
172.16.100.1/24
Vlan
name
AP-
Manage
Loopback1
10.0.0.253/32(router-id)
无线
控制器
AC
VLAN10
192.168.10.1/24
2001:
DA8:
192:
168:
10:
1:
:
1/96
Vlan
name
TO-CW
VLAN20
192.168.20.1/24
2001:
DA8:
192:
168:
20:
1:
:
1/96
Vlan
name
CW
VLAN
1001
10.10.255.10/30
2001:
DA8:
10:
10:
255:
:
10/127
VLAN
1002
10.10.255.14/30
2001:
DA8:
10:
10:
255:
:
14/127
Vlan60
Eth1/0/13-
14
192.168.60.1/24
2001:
DA8:
192:
168:
60:
1:
:
1/96
Vlan
name
sales
Vlan61
192.168.61.1/24
2001:
DA8:
192:
168:
61:
1:
:
1/96
Vlan
name
Eth1/0/15-18
BG
Vlan100Eth1/0/21
10.10.255.17/30
2001:
DA8:
10:
10:
255:
:
17/127
BC
eth2
Vlan
name
TO-BC
VLAN
2000
ETH1/0/19
192.168.100.1/24
沙盒
Loopback1
10.1.1.254/32(router-id)
日志
服务器
BC
eth2
10.10.255.18/30
2001:
DA8:
10:
10:
255:
:
18/127
AC
ETH3
223.20.23.9/29
2001:
DA8:
223:
20:
23:
:
9/127
SW
PPTP-pool
192.168.10.129/26(10个地址)
WEB
应用
防火墙
WAF
ETH2
192.168.50.2/24
PC3
ETH3
SWEth1/0/13
AP
Eth1
SW(20
口)
PC1
网卡
eth1/0/7
SW
沙盒
192.168.100.10/24
AC
ETH1/0/19
(二)第一阶段任务书
任务1:
网络平台搭建(50分)
题号
网络需求
1
根据网络拓扑图所示,按照IP地址参数表,对FW的名称、各接口IP地址进行配
置。
2
根据网络拓扑图所示,按照IP地址参数表,对SW的名称进行配置,创建VLAN
并将相应接口划入VLAN。
3
根据网络拓扑图所示,按照IP地址参数表,对AC的各接口IP地址进行配置。
4
根据网络拓扑图所示,按照IP地址参数表,对BC的名称、各接口IP地址进行配
置。
5
按照IP地址规划表,对WEB应用防火墙的名称、各接口IP地址进行配置。
任务2:
网络安全设备配置与防护(250分)
1.SW和AC开启SSH登录功能,SSH登录账户仅包含“USER-SSH”,密码为明文“123456”,采用SSH方式登录设备时需要输入enable密码,密码设置
为明文“enable”。
2.应网监要求,需要对上海总公司用户访问因特网行为进行记录,需要在交换机上做相关配置,把访问因特网的所有数据镜像到交换机1/0/18口便于对用
户上网行为进行记录。
3.尽可能加大上海总公司核心和出口之间带宽,端口模式采用lacp模式。
4.上海总公司和南昌分公司租用了运营商两条裸光纤,实现内部办公互通,要求两条链路互为备份,同时实现流量负载均衡,流量负载模式基于Dst-src-
mac模式。
5.上海总公司和南昌分公司链路接口只允许必要的vlan通过,禁止其它vlan
包括vlan1二层流量通过。
6.为防止非法用户接入网络,需要在核心交互上开启DOT1X认证,对vlan40用
户接入网络进行认证,radius-server为192.168.100.200。
7.为了便于管理网络,能够让网管软件实现自动拓朴连线,在总公司核心和分公司AC上开启某功能,让设备可以向网络中其他节点公告自身的存在,并
保存各个邻近设备的发现信息。
8.ARP扫描是一种常见的网络攻击方式,攻击源将会产生大量的ARP报文在网段内广播,这些广播报文极大的消耗了网络的带宽资源,为了防止该攻击对网络造成影响,需要在总公司交换机上开启防扫描功能,对每端口设置阈值为40,超过将关闭该端口20分钟后自动恢复,设置和分公司互联接口
不检查。
9.总公司SW交换机模拟因特网交换机,通过某种技术实现本地路由和因特网
路由进行隔离,因特网路由实例名internet。
10.对SW上VLAN40开启以下安全机制:
业务内部终端相互二层隔离,启用环路检测,环路检测的时间间隔为10s,发现环路以后关闭该端口,恢复时间为30分钟;如私设DHCP服务器关闭该端
口;开启防止ARP网关欺骗攻击。
11.配置使上海公司核心交换机VLAN31业务的用户访问因特网数据流经过
10.10.255.1返回数据通过10.10.255.5。
要求有测试结果。
12.为响应国家号召,公司实行IPV6网络升级改造,公司采用双栈模式,同时运行ipv4和ipv6,IPV6网络运行OSPFV3协议,实现内部ipv6全网互联
互通,要求总公司和分公司之间路由优先走vlan1001,vlan1002为备份。
13.在总公司核心交换机SW配置IPv6地址,开启路由公告功能,路由器公告的生存期为2小时,确保销售部门的IPv6终端可以通过DHCPSERVER获
取IPv6地址,在SW上开启IPV6dhcpserver功能,ipv6地址范围
2001:
da8:
192:
168:
31:
1:
:
2-2001:
da8:
192:
168:
31:
1:
:
100。
14.在南昌分公司上配置IPv6地址,使用相关特性实现销售部的IPv6终端可自
动从网关处获得IPv6无状态地址。
15.FW、SW、AC之间配置OSPF,实现ipv4网络互通。
要求如下:
区域为0同时开启基于链路的MD5认证,密钥自定义,传播访问INTERNET默认路由,分公司内网用户能够与总公司相互访问包含loopback地址;分公司AC
和BC之间运行静态路由。
16.总公司销售部门通过防火墙上的DHCPSERVER获取IP地址,serverIP地
址为10.0.0.254,地址池范围192.168.31.10-192.168.31.100,dns-server
8.8.8.8。
17.总公司交换机上开启dhcpserver为无线用户分配ip地址,地址租约时间为10小时,dns-server为114.114.114.114,前20个地址不参与分配,第一个地
址为网关地址。
18.如果SW的11端口的收包速率超过30000则关闭此端口,恢复时间5分
钟;为了更好地提高数据转发的性能,SW交换中的数据包大小指定为1600
字节。
19.交换机的端口10不希望用户使用ftp,也不允许外网ping此网段的任何一
台主机。
20.交换机vlan30端口连接的网段IPV6的地址为2001:
da8:
192:
168:
30:
1:
:
0/96
网段,管理员不希望除了2001:
da8:
192:
168:
30:
1:
1:
:
0/112网段用户访问外
网。
21.为实现对防火墙的安全管理,在防火墙FW的Trust安全域开启
PING,HTTP,telnet,SNMP功能,Untrust安全域开启ping、SSH、HTTPS
功能。
22.在总部防火墙上配置,总部VLAN业务用户通过防火墙访问Internet时,复用公网IP:
223.20.23.1/29,保证每一个源IP产生的所有会话将被映射到同一个固定的IP地址,当有流量匹配本地址转换规则时产生日志信息,将匹配
的日志发送至192.168.100.10的UDP2000端口。
23.远程移动办公用户通过专线方式接入总部网络,在防火墙FW上配置,采用SSL方式实现仅允许对内网VLAN30的访问,端口号使用4455,用户名密
码均为ABC2023,地址池参见地址表。
24.总公司部署了一台WEB服务器ip为192.168.50.10,为外网用户提供web服务,要求外网用户能访问服务器上的web服务(端口80)和远程管理服务器(端口3389),外网用户只能通过223.20.23.2外网地址访问服务器web
服务和3389端口。
25.为了安全考虑,需要对内网销售部门用户访问因特网进行实名认证,要求在
防火墙上开启web认证使用https方式,采用本地认证,密码账号都为
web2023,同一用户名只能在一个客户端登录,设置超时时间为30分钟。
26.由于总公司到因特网链路带宽比较低,出口只有200M带宽,需要在防火墙配置iQOS,系统中P2P总的流量不能超过100M,同时限制每用户最大
下载带宽为4M,上传为2M,http访问总带宽为50M。
27.财务部门和公司账务有关,为了安全考虑,禁止财务部门访问因特网,要求
在防火墙FW做相关配置
28.由于总公司销售和分公司销售部门使用的是同一套CRM系统,为了防止专线故障导致系统不能使用,总公司和分公司使用互联网作为总公司销售和分公司销售相互访问的备份链路。
FW和BC之间通过IPSEC技术实现总公司
销售段与分公司销售之间联通,具体要求为采用预共享密码为***2023,
IKE阶段1采用DH组1、3DES和MD5加密方,IKE阶段2采用
ESP-3DES,MD5。
29.分公司用户,通过BC访问因特网,BC采用路由方式,在BC上做相关配
置,让分公司内网用户通过BC外网口ip访问因特网。
30.在BC上配置PPTPvpn让外网用户能够通过PPTPvpn访问分公司AC上内
网资源,用户名为GS01,密码GS0123。
31.分公司部署了一台安全攻防平台,用来公司安全攻防演练,为了方便远程办公用户访问安全攻防平台,在BC上配置相关功能,让外网用户能通过BC
的外网口接口IP,访问内部攻防平台服务器,攻防平台服务器地址为
192.168.100.10端口:
8080。
32.在BC上配置url过滤策略,禁止分公司内网用户在周一到周五的早上8点
到晚上18点访问外网。
33.对分公司内网用户访问外网进行网页关键字过滤,网页内容包含“暴力”“赌
博”的禁止访问
34.为了安全考虑,无线用户移动性较强,访问因特网时需要实名认证,在BC
上开启web认证使用http方式,采用本地认证,密码账号都为web2023。
35.DOS攻击/DDoS攻击通常是以消耗服务器端资源、迫使服务停止响应为目标,通过伪造超过服务器处理能力的请求数据造成服务器响应阻塞,从而使
正常的用户请求得不到应答,以实现其攻击目的,在分公司内网区域开起
DOS攻击防护,阻止内网的机器中毒或使用攻击工具发起的DOS攻击,检
测到攻击进行阻断。
36.分公司BC上配置NAT64,实现分公司内网ipv6用户通过BC出口ipv4地
址访问因特网。
37.分公司内网攻防平台,对Internet提供服务,在BC上做相关配置让外网
IPV6用户能够通过BC外网口IPV6地址访问攻防平台的web服务端口号为
80。
38.BC上开启病毒防护功能,无线用户在外网下载exe、rar、bat文件时对其进
行杀毒检测,防止病毒进入内网,协议流量选择HTTP杀毒、FTP杀毒、
POP3、SMTP。
39.公司内部有一台网站服务器直连到WAF,地址是192.168.50.10,端口是8080,配置将访问日志、攻击日志、防篡改日志信息发送syslog日志服务
器,IP地址是192.168.100.6,UDP的514端口。
40.编辑防护策略,在“专家规则”中定义HTTP请求体的最大长度为256,防止
缓冲区溢出攻击。
41.WAF上配置开启爬虫防护功能,防护规则名称为http爬虫,url为
,自动阻止该行为;封禁时间为3600秒。
42.WAF上配置,开启防盗链,名称为http盗链,保护url为
,检测方式referer+cookie,处理方式为阻断,并记录日
志。
43.WAF上配置开启IDP防护策略,采用最高级别防护,出现攻击对攻击进行
阻断。
44.WAF上配置开启DDOS防护策略,防护等级高级并记录日志。
45.在公司总部的WAF上配置,内部web服务器进行防护安全防护,防护策略
名称为web_p,记录访问日志,防护规则为扫描防护规则采用增强规则、
HTTP协议校验规则采用专家规则、特征防护规则采用专家规则、开启爬虫
防护、开启防盗链、开启敏感信息检测
46.AC上配置DHCP,管理VLAN为VLAN1000,为AP下发管理地址,AP通
过DHCPopion43注册,AC地址为loopback1地址。
47.在NETWORK下配置SSID,需求如下:
NETWORK1下设置SSIDSKILL-WIFI,VLAN10,加密模式为wpa-peSWonal,
其口令为12345678,开启隔离功能。
48.NETWORK2下设置SSIDGUEST,VLAN20不进行认证加密,做相应配置隐
藏该SSID,NETWORK2开启内置portal+本地认证的认证方式,账号为
XXX密码为test2023。
49.为了合理利用AP性能,需要在AP上开启5G优先配置5G优先功能的客户
端的信号强度门限为40
50.通过配置防止多AP和AC相连时过多的安全认证连接而消耗CPU资源,检测到AP与AC在10分钟内建立连接5次就不再允许继续连接,两小时后恢
复正常;GUSET最多接入50个用户,并对GUEST网络进行流控,上行
1M,下行2M。
ChinaSkills
全国职业院校技能大赛
高等职业教育组
信息安全管理与评估
模块二
网络安全事件响应、数字取证调查、应用程序安全
竞赛项目赛题
本文件为信息安全管理与评估项目竞赛-第二阶段样题,内容包括:
网络安全
事件响应、数字取证调查、应用程序安全。
本次比赛时间为180分钟。
介绍
竞赛有固定的开始和结束时间,参赛队伍必须决定如何有效的分配时间。
请
认真阅读以下指引!
(1)当竞赛结束,离开时请不要关机;
(2)所有配置应当在重启后有效;
(3)请不要修改实体机的配置和虚拟机本身的硬件设置。
所需的设备、机械、装置和材料
所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完
成。
评分方案
本阶段总分数为300分。
项目和任务描述
随着网络和信息化水平的不断发展,网络安全事件也层出不穷,网络恶意代码传播、信息窃取、信息篡改、远程控制等各种网络攻击行为已严重威胁到信息
系统的机密性、完整性和可用性。
因此,对抗网络攻击,组织安全事件应急响应,
采集电子证据等技术工作是网络安全防护的重要部分。
现在,A集团已遭受来自不明组织的非法恶意攻击,您的团队需要帮助A集团追踪此网络攻击来源,分析恶意攻击攻击行为的证据线索,找出操作系统和应用程序中的漏洞或者恶意代码,
帮助其巩固网络安全防线。
本模块主要分为以下几个部分:
●网络安全事件响应
●数字取证调查
●应用程序安全
本部分的所有工作任务素材或环境均已放置在指定的计算机上,参赛选手完成后,填写在电脑桌面上“信息安全管理与评估竞赛-答题卷”中,竞赛结束时每组将答案整合到一份PDF文档提交。
选手的电脑中已经安装好Office软件并提供
必要的软件工具。
工作任务
第一部分网络安全事件响应(70分)
任务1:
Ubuntu服务器应急响应(70分)
A集团的Ubuntu服务器被黑客入侵,该服务器的Web应用系统被上传恶意软件,系统文件被恶意软件破坏,您的团队需要帮助该公司追踪此网络攻击的来源,在服务器上进行全面的
升级会员 