信息安全管理与评估赛项样题.docx

1、信息安全管理与评估赛项样题2012年全国职业院校技能大赛高职组“信息安全管理与评估”项目竞赛样题题目： XX公司网络系统安全评估及安全整改 内容目录一、竞赛任务 2二、竞赛时间 2三、任务要求与技术参数 3第一阶段：网络搭建、风险评估与网络改造 3任务一：网络搭建 3任务二：系统安全管理 6任务三：系统安全评估与整改 9第二阶段：网络渗透与防护 10 任务四：网络渗透与防护 10任务五：撰写信息安全管理与评估竞赛工作报告. 11四、技术文件等电子文档提交要求 11五、评分标准 13六、附件 14附件一：网络审计报告模板 14附件二 系统风险评估报告模板 18附件三 系统整改方案模板 23201

2、2年全国职业院校技能大赛高职组“信息安全管理与评估”项目竞赛样题题目： XX公司网络系统安全评估及安全整改 一、竞赛任务 根据应用需求对XX公司进行基础网络的搭建和网络的安全管理，并能对网络系统进行安全评估和安全改造；完成网络系统的渗透测试和系统加固，并撰写网络安全工作报告。具体任务内容如下：1.根据网络功能需求，完成XX公司基础网络的搭建与配置2.完成XX公司WINDOWS服务器和相关应用服务的配置3.完成XX公司LINUX服务器和相关应用服务的配置4.完成XX公司网络的安全加固5.按照等级保护标准对XX公司网络安全进行定级6.按照等级保护标准对XX公司网络进行审计和风险评估，并完成审计和评

3、估报告7.按照等级保护标准要求对XX公司网络进行整改，并完成整改方案8.完成对服务器的渗透测试和系统加固9.撰写信息安全管理与评估竞赛工作报告（简称竞赛工作报告）二、竞赛时间竞赛时间共为6小时。阶段（任务）任务内容竞赛时间（小时）第一阶段任务一：网络搭建 任务二：安全管理任务三：系统审计、评估与整改4第二阶段任务四：网络渗透与防护1（总时长）任务五任务五：撰写信息安全管理与评估竞赛工作报告1三、任务要求与技术参数第一阶段：网络搭建、风险评估与网络改造 本阶段需要完成三个任务：任务一：网络搭建；任务二：系统安全管理；任务三：系统审计、评估与整改。 任务一：网络搭建（一）任务描述XX公司总部设在北

4、京，并在广州开设分公司。现要求对其基础网络进行搭建，并在内、外网服务器上部署相应服务及安全策略。（二）功能需求与技术参数1.拓扑图如下： 拓扑说明： 北京总公司：三层交换机1台，防火墙1台，内网服务器和外网服务器1台，内网主机2台。 广州分公司：路由器1台，防火墙1台，外网服务器1台，内网主机1台。功能需求：（1）北京总公司与广州分公司内网都运行RIPv2（2）公司两防火墙外网全部运行OSPF（3）公司两个出口防火墙上要配置IPSEC VPN2. IP地址规划表地址表中的X代表本参赛队的工位号，如：工位6的工位号为6，DCR的1接口ip地址为：10.6.0.1。设备类型设备名称接口编号接口地址

5、备注路由器DCR3接口10.X.0.2/244接口10.X.1.1/24防火墙DCFW11接口200.X.1.2/24接机架上方公网配线架8口2接口10.X.0.1/24防火墙DCFW21接口10.X.2.1/242接口200.X.2.2/24接机架上方公网配线架16口三层交换机DCRS3接口Vlan 30: 10.X.3.1/244接口Vlan 40: 10.X.4.1/245接口Vlan 50: 10.X.5.1/24接机架下方内网配线架10口6-24接口Vlan 60: 10.X.2.2/24PC机PC110.X.3.2/24PC210.X.4.2/24PC310.X.1.2/24（三）

6、任务要求序号任务要求1根据网络拓扑图所示，按照IP地址规划表，对DCR的名称、各接口IP地址进行配置；2根据网络拓扑图所示,按照IP地址规划表,对DCRS的名称、各接口IP地址进行配置；3根据网络拓扑图所示，按照IP地址规划表，对DCFW1的名称、各接口IP地址进行配置；4根据网络拓扑图所示，按照IP地址规划表，对DCFW2的名称、各接口IP地址进行配置；5根据网络拓扑图所示，按照IP地址规划表，在DCRS交换机上创建相应的VLAN，并将相应接口划入VLAN；6总公司内网的核心交换机DCRS采用MSTP技术，创建生成树实例1，将VLAN30和VLAN40加入到实例1，并设置实例1的优先级为40

7、96；7总公司内网的核心交换机DCRS采用MSTP技术，创建生成树实例2，将VLAN50和VLAN60加入到实例2，并设置实例2的优先级为8192；8根据网络拓扑结构所示，在北京总公司内网配置RIP v2，使内网能正常通信；9根据网络拓扑结构所示，在广州分公司内网配置RIP v2，使内网能正常通信；10根据网络拓扑结构所示，在DCFW1上做PAT，使得内网用户可以正常访问托管的外网服务器1，转换地址为防火墙外接口IP；11根据网络拓扑结构所示，在DCFW2上做PAT，使得内网用户可以正常访问托管的外网服务器1，转换地址为防火墙外接口IP；12根据网络拓扑结构所示，在北京与广州两公司的防火墙上做

8、单区OSPF，区域ID为0；13北京总公司与广州分公司之间使用广域网传输数据，为保证数据的安全性，需要在总公司和分公司接入广域网的防火墙上使用IPSec技术对数据进行加密。其中在IKE协商的第一阶段，数据验证采用SHA-1算法，数据加密3DES算法；在IKE协商的第二阶段，采用ESP-SHA-1-3DES算法进行数据加密与验证，其中VPN需要采用隧道模式、预共享密码为digitalchina，使得北京总公司和广州分公司可以互相访问内网资源；14在路由器与三层交换机上开启telnet管理功能，用户名为user,口令为digitalchina，使能口令为123456；15在3台客户机上分别对内网服

9、务器进行联通行测试，验证是否可以正常ping通；16在3台客户机上分别对公网服务器1进行联通行测试，验证是否可以正常ping通；17在3台客户机上分别对公网服务器1进行联通行测试，验证是否可以正常ping通；18在3台客户机上分别对DCR与DCRS的telnet功能进行检验，验证是否可以正常登录。注意：任务一完成后需要提交所有设备配置文件，并存放到“提交专用U盘”中的“任务一”目录下。其中路由器、三层交换机设备要求提供config配置文件，而防火墙及PC需要提交截图存入WORD文档，并在截图中加以说明。 任务二：系统安全管理子任务1：内网服务器管理（一）任务描述在北京总公司内网部署了一台WIN

10、2003服务器，安装光盘已经放在内网服务器的光驱中，要求为公司内部提供服务。（二）功能需求与技术参数1.北京总公司目前行政管理结构如下：总经理室两人，分别是程美、徐雪；外联部两人，分别是郭伟、田贤；产品部三人，分别是李方、陈靓、王波。功能需求：（1）根据需求管理网络用户及组；（2）部署文件服务，并严格控制用户权限；（3）部署网站服务；（4）部署系统策略，增强系统安全性。2. 服务器信息系统版本 ：Windows 2003序号技术参数1IP地址：10.X.5.10/242用户名：administrator3密 码：1234564已开放3389端口（三）任务要求 任务分类序号任务要求一、文件服务器

11、1.1为所有员工都创建相应用户，命名方式采用汉语拼音即可，例如“李方”的用户名为lifang，其用户口令为DCN1234#；1.2创建3个组，组名采用需要使用部门名称的拼音来命名，并将相应用户加入相应组中；1.3在非系统分区创建文件夹share，在share下按照部门名称创建文件夹，在部门文件夹下按照员工名字创建文件夹，结构如下：1.4为每个文件夹设置合理的NTFS权限，要求如下：外联部和产品部的员工只能对属于自己的文件夹下的内容有读、写、修改权限，无权访问其他员工的文件夹内容；总经理室的用户不仅可以对自己的文件夹下的内容有读、写、修改权限，并且对其他部门员工的文件夹下的内容也拥有读、写、修改

12、权限；程美与徐雪两个用户对彼此文件夹下的内容只拥有只读的权限；整个share的树形目录结构保持不变；1.5为share目录设置合理的共享权限；1.6用王波用户通过UNC方式访问徐雪的共享文件夹，验证结果；1.7用徐雪用户通过UNC方式访问郭伟的共享文件夹，验证结果；1.8用程美用户通过UNC方式访问徐雪的共享文件夹，验证结果；二、Web网站服务器2.1安装IIS；2.2停止默认的网站；2.3建立新的网站，网站的源代码在内网服务器的administrator的“我的文档”中，文件名为web.rar；2.4已知这是个php网站，网站首页文件名为index.php设置正确的站点属性；2.5在客户机上

13、通过浏览器访问该网站，测试访问结果；三、部署系统安全策略3.1增强系统账号的安全性，启用密码复杂性策略；3.2增强系统账号的安全性，设置密码长度最小为8位；3.3重新设置管理员的密码，并在提交文档中注明所设置的密码；3.4对于密码为空的本地账户只允许通过控制台登录；3.5通过TCP/IP筛选功能，仅开放需要开放的端口号。注意：子任务1任务内容的操作结果请截图并整理到“内网服务器管理.doc”文档中，并保存至“提交专用U盘”的“任务二”目录下。子任务2：外网服务器1管理（一）任务描述北京总公司在外网托管了一台linux服务器，安装光盘已经做成了AS5.ISO的镜像文件，存放在root的宿主目录下

14、。现要求使该服务器为广域网用户提供FTP服务和网站服务。（二）功能需求与技术参数1.功能需求（1）部署FTP服务，为广域网用户提供下载资源;（2）部署WEB网站服务，用于公司外部公司产品及方案宣传;（3）部署系统策略，增强系统安全性 2.服务器信息系统版本：AS5序号技术参数1IP地址：201.X.1.10/242用户名：root3密 码：1234564已开放23端口（三）任务要求任务分类序号任务要求一、FTP服务器1.1安装vsftpd，并启动该服务；1.2检查vsftpd包是否正确安装，并设置vsftpd服务只在运行级别3、5为on；1.3允许匿名用户登录；1.4允许匿名用户创建的文件对于

15、其他用户是可读、可运行的；1.5允许匿名账户创建目录；1.6允许匿名账户上传文件；二、网站服务器2.1安装apache组件，并启动该服务；2.2检查apache包是否正确安装，并设置apache服务只在运行级别3、5为on；2.3建立新的网站，网站的源代码在外网服务器的root的宿主目录中，文件名为web.tar.bz2；2.4已知这是个php网站，网站首页文件名为index.php设置正确的站点属性；2.5在客户机上通过浏览器访问该网站，测试访问结果； 三、部署系统安全策略3.1增强系统账号的安全性，设置密码长度最小为8位；3.2对长时间未登陆过的账户进行锁定；3.3查看GRUB是否设置了密

16、码；3.4设置策略，强制root账户每20天修改一次密码；3.5检查root的PATH变量中是否包含当前目录“.”。注意：子任务2任务内容的操作结果请截图并整理到“外网服务器1管理.doc”文档中，并保存至“提交专用U盘”的“任务二”目录下。任务三：系统安全评估与整改子任务1：网络系统审计（一）任务描述 对XX公司整个网络系统进行审计，并根据模板填写电子版网络审计报告。（二）技术参数关于此任务的模板，见附件一（该附件的电子模板存放在选手参赛PC中）。子任务2：网络系统评估（一）任务描述在完成对XX公司整个网络系统审计的基础上，对服务器进行评估，并根据模板填写电子版系统风险评估报告。（二）技术参

17、数关于此任务的模板，见附件二（该附件的电子模板存放在选手参赛PC中）。子任务3：网络系统整改方案（一）任务描述 对XX公司整个网络系统进行整改设计，提高网络系统安全性，并根据模板填写电子版系统整改方案。（二）技术参数关于此任务的模板，见附件三（该附件的电子模板存放在选手参赛PC中）。注意：任务三需要完成“网络审计报告”、“系统风险评估报告”和“系统整改方案”，并保存至“提交专用U盘”中的“任务三”目录中，任务三所有附件的电子模板存放在选手参赛PC中。第二阶段：网络渗透与防护任务四：网络渗透与防护(一) 任务描述在1个小时时间对其他参赛队的“外网服务器2”进行渗透测试，同时加固本参赛队“外网服务

18、器2”的安全，防止被其他参赛队渗透。（二）技术参数服务器信息（比赛时以纸质形式提供）系统版本 ：Windows 2003序号技术参数1 工位号：2 组编号：3本参赛队服务器IP地址：4用户名：administrator5密 码：1234566已开放3389端口7所有服务器所处网段：202.0.0.0/8（三）任务要求 加固本参赛队“外网服务器2”安全，同时对其他参赛队的服务器进行渗透测试，如果成功渗透了一台WEB服务器，则按照评分标准得分，渗透的目标服务器越多，得分越高。成功渗透的标准如下：1) 上传webshell文件“put.asp”到目标服务器；2) 从本地访问http:/渗透外网服务器

19、2的IP/上传的webshell；3) 根据webshell页面提示完成确认。渗透测试所需要安全攻防工具可以在自己的参赛PC机中找到。任务五：撰写信息安全管理与评估竞赛工作报告任务要求：依据大赛提供的“信息安全管理与评估竞赛工作报告撰写要求和规范”，完成信息安全管理与评估赛项工作报告的撰写。注意：任务五需要完成信息安全管理与评估竞赛工作报告，并保存至“提交专用U盘”中的“任务五”目录中。四、技术文件等电子文档提交要求 1. 将竞赛所需要提交的所有电子文档保存至“提交专用U盘”中， 在该U盘根目录下新建“赛项名称-工位号”文件夹，在此文件夹下再建立四个子文件夹，分别命名为“任务一”、 “任务二”

20、 、“任务三”和“任务五”。2. 正确保存所有参赛用设备的配置文件（startup-config），如：配置截图，效果截图等，要按照题目要求进行截图，并生成word文件进行保存，文件名称要求符合下表要求。如设备配置文件没有成功保存，此设备相关配置记零分。3. 所有提交给裁判的电子文档应按下述规则或任务书要求命名。文件类型命名规则实 例存放于U盘路径配置文件设备名称-configDCRS-configDCR-config任务一目录下截图文件设备名称.docDCFW1.docDCFW2.doc子任务名称.doc内网服务器管理.doc外网服务器1管理.doc任务二目录下模板文件子任务名称.doc网络

21、审计报告.doc系统风险评估报告.doc系统整改方案.doc任务三目录下竞赛工作报告竞赛工作报告.doc竞赛工作报告.doc任务五目录下五、评分标准竞赛阶段（任务）一级指标二级指标分值比例第一阶段网络搭建（20%）DCR配置主机名，IP地址1%DCRS配置主机名，IP地址1%DCFW1配置主机名，IP地址1%DCFW2配置主机名，IP地址1%DCRS划分vlan及相应接口1%DCRS配置MSTP1%DCRS配置RIPv21%DCFW1配置RIPv22%DCFW2配置RIPv22%DCR配置RIPv21%DCFW1配置ospf2%DCFW2配置ospf2%DCFW1配置NAT1%DCFW2配置N

22、AT1%DCR配置telnet1%DCRS配置telnet1%安全管理(20%)DCFW1上配置IPSEC VPN5%DCFW2上配置IPSEC VPN5%Windows提供文件服务2Windows提供网站服务2Windwos安全加固1Linux 提供FTP服务2Linux提供网站服务器2Linux安全加固1安全评估(20%)网络系统审计（5%）正确完成DCFW1的审计报告0.5%正确完成DCFW2的审计报告0.5%正确完成DCRS的审计报告1%正确完成DCR的审计报告1%正确完成Windows的审计报告1%正确完成Linux的审计报告1%网络系统评估（5%）正确定级，并写出定级依据0.2%写

23、出相应的依据标准0.2%正确写出评估的范围0.2%正确对Windows进行评估2%正确写出Windows评估结果0.2%正确对Linux进行评估2%正确写出Linux评估结果0.2%网络系统整改方案（10%）正确完成整改后的拓扑图1%对设备部署及接入方式做正确说明1%正确完成QoS整改设置2%正确完成审计整改设置2%正确完成对web服务器的整改设置2%正确完成Windows系统安全加固0.5%正确完成IIS服务安全加固0.5%正确完成Linux系统安全加固0.5%正确完成Apache服务安全加固0.5%第二阶段渗透与防护(20%)比赛结束仍没被渗透获得防护分5%渗透第1台主机得50分，以后每再

24、渗透成功1台主机加10分，上限为150分，封顶150分15%竞赛工作报告竞赛工作报告（20%）按撰写要求和规范完成信息安全管理与评估竞赛工作报告20%六、附件附件一：网络审计报告模板任务序号审计项目审计步骤/方法审计结果一、防火墙1 安全审计1.1防火墙安全策略审计检查防火墙是否设置了防DOS攻击安全策略。1.2防火墙安全策略审计检查防火墙是否设置了抗扫描安全措施。1.3防火墙应用模式安全审计防火墙采用何种应用模式（透明、NAT、路由）1.4防火墙软件检查检查防火墙操作系统的版本。1.5防火墙管理检查检查防火墙的通过什么方式进行管理，是否为安全的管理方式检查防火墙是否根据权限不同进行分级管理检

25、查防火墙的口令设置情况，口令设置是否满足安全要求1.6防火墙日志检查检查防火墙的日志保存情况，所记录的日志是否有连续性。二、防火墙2安全审计2.1防火墙安全策略审计检查防火墙是否设置了防DOS攻击安全策略。2.2防火墙安全策略审计检查防火墙是否设置了抗扫描安全措施。2.3防火墙应用模式安全审计防火墙采用何种应用模式（透明、NAT、路由）2.4防火墙软件检查检查防火墙操作系统的版本。2.5防火墙管理检查检查防火墙的通过什么方式进行管理，是否为安全的管理方式检查防火墙是否根据权限不同进行分级管理检查防火墙的口令设置情况，口令设置是否满足安全要求2.6防火墙日志检查检查防火墙的日志保存情况，所记录的

26、日志是否有连续性。三路由器安全审计1网络设备的系统版本信息收集对于路由和交换设备，执行：show version2收集running config配置信息对于路由和交换设备，在enable模式下，执行：show running config3查看是否设置控制台登录密码通过show running 命令查看是否设置4查看所有明文密码是否加密在特权模式下，通过show run命令查看是否有service password-encryption命令关键字5查看是否启用的SNMP通过show running 命令查看是否启用SNMP四交换机安全审计1网络设备的系统版本信息收集对于路由和交换设备，执行：

27、show version2收集running config配置信息对于路由和交换设备，在enable模式下，执行：show running config3查看是否设置控制台登录密码通过show running 命令查看是否设置4查看所有明文密码是否加密在特权模式下，通过show run命令查看是否有service password-encryption命令关键字5查看是否启用的SNMP通过show running 命令查看是否启用SNMP五、Win-dows主机安全审计1 补丁安装情况查看主机系统属性2主要帐户策略审查密码长度最少8位，密码周期最长为90天3审计策略对所有帐户登录事件进行审计对

28、所有的帐户管理事件进行审计对所有登录事件进行审计审计失败访问的组件对策略更改事件进行审计审计失败的特权事件审计所有系统事件4帐户策略最小密码历史最长密码周期最小密码长度密码复杂度密码历史5帐户锁定策略帐户锁定周期帐户锁定条件复位时间六Lin-ux主机安全审计1 操作系统口令安全策略检查操作系统口令是否满足安全策略要求。2用户帐户检查查看是否存在有安全隐患的帐户3用户帐户配置文件检查检查 /etc/passwd文件属性设置是否为 6444用户帐户密码文件检查检查 /etc/shadow文件属性设置是否为 6005用户组检查检查用户组的设置情况，查看是否存在以下可能无用的用户组：adm / lp / news / uucp / operator / games / gopher6用户组密码文件检查查看/etc/gshadow的文件属性是否为700