2018年山東省職業(yè)院校技能大賽高職組“信息安全管理與評估”賽項任務書樣題

2018年山東省職業(yè)院校技能大賽高職組“信息安全管理與評估”賽項任務書（樣題）一、賽項時間8:30-13:00，共計4：30小時，含賽題發(fā)放、收卷及午餐時間。二、賽項信息競賽階段任務階段競賽任務競賽時間分值第一階段平臺搭建與安全設備配置防護任務1網(wǎng)絡平臺搭建8：30-11：3060任務2網(wǎng)絡安全設備配置與防護240第二階段系統(tǒng)安全攻防及運維安全管控任務1Web應用程序SQLInject安全攻防150任務2二層網(wǎng)絡Sniffer監(jiān)聽安全攻防150任務3ARP拒絕服務（DOS/DDOS）安全攻防100中場收卷11：30-12：00第三階段分組對抗系統(tǒng)加固12：00-13：00300系統(tǒng)攻防三、賽項內(nèi)容本次大賽，各位選手需要完成三個階段的任務，其中第一個階段需要提交任務“操作文檔”，“操作文檔”需要存放在裁判組專門提供的U盤中。第二、三階段請根據(jù)現(xiàn)場具體題目要求操作。選手首先需要在U盤的根目錄下建立一個名為“xx工位”的文件夾（xx用具體的工位號替代），賽題第一階段完成任務操作的文檔放置在文件夾中。例如：08工位，則需要在U盤根目錄下建立“08工位”文件夾，并在“08工位”文件夾下直接放置第一個階段的操作文檔文件。特別說明：只允許在根目錄下的“08工位”文件夾中體現(xiàn)一次工位信息，不允許在其他文件夾名稱或文件名稱中再次體現(xiàn)工位信息，否則按作弊處理。(一)賽項環(huán)境設置賽項環(huán)境設置包含了三個競賽階段的基礎信息：網(wǎng)絡拓撲圖、IP地址規(guī)劃表、設備初始化信息。1.網(wǎng)絡拓撲圖PC環(huán)境說明：PC-1（須使用物理機中的虛擬機）：物理機操作系統(tǒng)：Windows764位旗艦版VMwareWorkstation12Pro虛擬機操作系統(tǒng)：WindowsXP虛擬機安裝服務/工具1：MicrosoftInternetExplorer6.0虛擬機安裝服務/工具2：Ethereal虛擬機安裝服務/工具3：HttpWatchProfessionalEdition虛擬機網(wǎng)卡與物理機網(wǎng)卡之間的關(guān)系：Bridge（橋接）PC-2（須使用物理機中的虛擬機）：物理機操作系統(tǒng)：Windows764位旗艦版VMwareWorkstation12Pro虛擬機操作系統(tǒng)：WindowsXP虛擬機安裝服務/工具1：MicrosoftInternetExplorer6.0虛擬機安裝服務/工具2：Ethereal虛擬機安裝服務/工具3：HttpWatchProfessionalEdition虛擬機網(wǎng)卡與物理機網(wǎng)卡之間的關(guān)系：Bridge（橋接）PC-3（須使用物理機中的虛擬機）：物理機操作系統(tǒng)：Windows764位旗艦版VMwareWorkstation12Pro虛擬機操作系統(tǒng)：KaliLinux（Debian764Bit）虛擬機安裝服務/工具：MetasploitFramework虛擬機網(wǎng)卡與物理機網(wǎng)卡之間的關(guān)系：Bridge（橋接）2.IP地址規(guī)劃表設備名稱接口IP地址互聯(lián)可用IP數(shù)量防火墻DCFWEthXx.x.x.x/x與PC-3相連見賽場IP參數(shù)表地址池x.x.x.x/xSSLVPN地址池見賽場IP參數(shù)表無線交換機DCWSEthXx.x.x.x/x與DCRS相連見賽場IP參數(shù)表地址池x.x.x.x/xDCHP地址池見賽場IP參數(shù)表WEB應用防火墻WAFEthXx.x.x.x/x與DCRS相連見賽場IP參數(shù)表EthX與DCST相連見賽場IP參數(shù)表三層交換機DCRSVlan2x.x.x.x/x與DCWS相連見賽場IP參數(shù)表Vlan10x.x.x.x/x與WAF相連見賽場IP參數(shù)表Vlan20x.x.x.x/x與PC-1所在用戶區(qū)相連見賽場IP參數(shù)表Vlan30x.x.x.x/x與PC-2所在用戶區(qū)相連見賽場IP參數(shù)表Vlan40x.x.x.x/x與DCBI相連見賽場IP參數(shù)表Vlan100x.x.x.x/x直連服務器區(qū)見賽場IP參數(shù)表Vlan110x.x.x.x/x直連用戶區(qū)見賽場IP參數(shù)表網(wǎng)絡日志系統(tǒng)DCBIEthXx.x.x.x/x與DCRS相連見賽場IP參數(shù)表堡壘服務器DCSTEthXx.x.x.x/x與WAF相連見賽場IP參數(shù)表PC-1無x.x.x.x/x與DCRS相連見賽場IP參數(shù)表PC-2無x.x.x.x/x與DCFW相連見賽場IP參數(shù)表PC-3無x.x.x.x/x與DCFW相連見賽場IP參數(shù)表服務器場景-1無見系統(tǒng)安全攻防加固賽題部分服務器場景-2無見系統(tǒng)安全攻防加固賽題部分服務器場景-3無見系統(tǒng)安全攻防加固賽題部分備注賽題IP地址和網(wǎng)絡連接接口參見“IP地址規(guī)劃表”；3.設備初始化信息設備名稱管理地址默認管理接口用戶名密碼防火墻DCFWETH0adminadmin網(wǎng)絡日志系統(tǒng)DCBIETH0admin123456WEB應用防火墻WAFETH5adminadmin123三層交換機-Console--無線交換機DCWS-Console--堡壘服務器DCSTEth1參見“DCST登錄用戶表”備注所有設備的默認管理接口、管理IP地址不允許修改;如果修改對應設備的缺省管理IP及管理端口，涉及此設備的題目按0分處理。(二)第一階段任務書（300分）該階段需要提交配置或截圖文檔，命名如下表所示：階段任務序號文檔名稱第一階段任務11任務12賽場IP參數(shù)表任務23任務2-DCFW4任務2-DCBI5任務2-WAF6任務2-DCRS7任務2-DCWS任務1：網(wǎng)絡平臺搭建（60分）平臺搭建要求如下：題號網(wǎng)絡需求1根據(jù)網(wǎng)絡拓撲圖所示，按照IP地址參數(shù)表，對WAF的名稱、各接口IP地址進行配置。2根據(jù)網(wǎng)絡拓撲圖所示，按照IP地址參數(shù)表，對DCRS的名稱、各接口IP地址進行配置。3根據(jù)網(wǎng)絡拓撲圖所示，按照IP地址參數(shù)表，對DCFW的名稱、各接口IP地址進行配置。4根據(jù)網(wǎng)絡拓撲圖所示，按照IP地址參數(shù)表，對DCWS的各接口IP地址進行配置。5根據(jù)網(wǎng)絡拓撲圖所示，按照IP地址參數(shù)表，對DCBI的名稱、各接口IP地址進行配置。6根據(jù)網(wǎng)絡拓撲圖所示，按照IP地址參數(shù)表，在DCRS交換機上創(chuàng)建相應的VLAN，并將相應接口劃入VLAN。7采用靜態(tài)路由的方式，全網(wǎng)絡互連。8完整填寫“賽場IP參數(shù)表”。任務2：網(wǎng)絡安全設備配置與防護（240分）DCFW:1.在總公司的DCFW上配置，連接LAN接口開啟PING,HTTP,HTTPS功能，連接Internet接口開啟PING、HTTPS功能；并且新增一個用戶，用戶名dcn2017，密碼dcn2017，該用戶只有讀-執(zhí)行權(quán)限；2.DCFW配置NTP和LOG，ServerIP為X.X.X.X，NTP認證密碼為Dcn2017；3.DCFW連接LAN的接口配置二層防護，ARPFlood超過500個每秒時丟棄超出的ARP包，ARP掃描攻擊超過300個每秒時棄超出的ARP包；配置靜態(tài)ARP綁定，MAC地址880B.0A0B.0C0D與IP地址X.X.X.X綁定；4.DCFW連接Internet的區(qū)域上配置以下攻擊防護：FW1，F(xiàn)W2攻擊防護啟以下Flood防護：ICMP洪水攻擊防護，警戒值2000，動作丟棄；UDP供水攻擊防護，警戒值1500，動作丟棄；SYN洪水攻擊防護，警戒值5000，動作丟棄；開啟以下DOS防護：PingofDeath攻擊防護；Teardrop攻擊防護；IP選項，動作丟棄；ICMP大包攻擊防護，警戒值2048，動作丟棄；5.限制LAN到Internet流媒體RTSP應用會話數(shù)，在周一至周五8:00-17:00每5秒鐘會話建立不可超過20；DCBI:6.在公司總部的DCBI上配置，設備部署方式為旁路模式，并配置監(jiān)控接口與管理接口;增加非admin賬戶DCN2017，密碼dcn2017，該賬戶僅用于用戶查詢設備的系統(tǒng)狀態(tài)和統(tǒng)計報表;7.在公司總部的DCBI上配置，監(jiān)控周一至周五9：00-18：00PC-1所在網(wǎng)段用戶訪問的URL中包含xunlei的HTTP訪問記錄，并且郵件發(fā)送告警;8.在公司總部的DCBI上配置，監(jiān)控PC-1所在網(wǎng)段用戶周一至周五9：00-18：00的即時聊天記錄;9.公司總部LAN中用戶訪問網(wǎng)頁中帶有“MP3”、“MKV”、“RMVB”需要被DCBI記錄；郵件內(nèi)容中帶有“銀行賬號”記錄并發(fā)送郵件告警；10.DCBI監(jiān)控LAN中用戶訪問網(wǎng)絡游戲，包括“游戲”、“魔獸世界”并作記錄；WAF:11.在公司總部的WAF上配置，編輯防護策略，定義HTTP請求體的最大長度為512，防止緩沖區(qū)溢出攻擊；12.在公司總部的WAF上配置，防止某源IP地址在短時間內(nèi)發(fā)送大量的惡意請求，影響公司網(wǎng)站正常服務。大量請求的確認值是：10秒鐘超過3000次請求；13.在公司總部的WAF上配置，對公司網(wǎng)站（X.X.X.X）進行安全評估，檢查網(wǎng)站是否存在安全漏洞，便于在攻擊沒有發(fā)生的情況下提前做出防護措施；DCRS:14.DCRS為接入交換機，為終端產(chǎn)生防止MAC地址防洪攻擊，請配置端口安全，每個已劃分VLAN的端口最多學習到5個MAC地址，發(fā)生違規(guī)阻止后續(xù)違規(guī)流量通過，不影響已有流量并產(chǎn)生LOG日志；Ex/x為專用接口，限定MAC地址00-11-11-11-11-11可以連接；將連接DCFW的雙向流量鏡像至Netlog進行監(jiān)控和分析；15.DCRS配置802.1x認證，Radius服務器IP地址X.X.X.X,認證密碼Dcn2017,Ex/x號端口開啟802.1x功能，接入該端口通過PC上的802.1x軟件進行認證；16.接入DCRSEx/x，僅允許IP地址X.X.X.X-X.X.X.X為源的數(shù)據(jù)包為合法包，以其它IP地址為源地址，交換機直接丟棄；DCWS：17.AP通過option43方式進行正常注冊上線；18.設置AP工作在5G頻段；19.設置SSIDDCN，加密模式為wpa-personal,其口令為：chinaskill；設置SSIDGUEST不進行認證加密；20.GUSET最多接入10個用戶，用戶間相互隔離，并對GUEST網(wǎng)絡進行流控，上行1M，下行2M；(三)第二階段：系統(tǒng)安全攻防及運維安全管控（400分）提示1：本階段用到堡壘服務器DCST中的服務器場景，獲取服務器IP地址方式如下：Windows服務器的IP地址可以通過拓撲界面獲得，如果獲得不了，采用如下方法獲得：?通過DCST場景里的網(wǎng)絡拓撲圖，啟動連接設備?進入服務器，用戶名為administrator，密碼：空?執(zhí)行ipconfig/all，即可獲得服務器IP地址提示2：每個任務提交一個word文檔，請在文檔中標明題號，按順序答題。將關(guān)鍵步驟和操作結(jié)果進行截屏，并輔以文字說明，保存到提交文檔中。提示3：文檔命名格式為：“第X階段”-“任務X”-“任務名稱”。例：“第二階段、任務2”的答案提交文檔，文件名稱為：第二階段-任務2-XSS和CSRF攻防.doc或第二階段-任務2-XSS和CSRF攻防.docx。任務1：Web應用程序SQLInject安全攻防（150分）拓撲結(jié)構(gòu)：任務環(huán)境說明：PC-1（須使用物理機中的虛擬機）：物理機操作系統(tǒng)：Windows732位旗艦版VMwareWorkstation10虛擬機操作系統(tǒng)：WindowsXP虛擬機安裝服務/工具1：MicrosoftInternetExplorer6.0虛擬機安裝服務/工具2：Ethereal虛擬機安裝服務/工具3：HttpWatchProfessionalEdition虛擬機網(wǎng)卡與物理機網(wǎng)卡之間的關(guān)系：Bridge（橋接）PC-2（須使用物理機中的虛擬機）：物理機操作系統(tǒng)：Windows732位旗艦版VMwareWorkstation10虛擬機操作系統(tǒng)：WindowsXP虛擬機安裝服務/工具1：MicrosoftInternetExplorer6.0虛擬機安裝服務/工具2：Ethereal虛擬機安裝服務/工具3：HttpWatchProfessionalEdition虛擬機網(wǎng)卡與物理機網(wǎng)卡之間的關(guān)系：Bridge（橋接）PC-3（須使用物理機中的虛擬機）：物理機操作系統(tǒng)：Windows732位旗艦版VMwareWorkstation10虛擬機操作系統(tǒng)：KaliLinux（Debian732Bit）虛擬機安裝服務/工具：MetasploitFramework虛擬機網(wǎng)卡與物理機網(wǎng)卡之間的關(guān)系：Bridge（橋接）DCST：服務器場景：WebServ2003服務器場景操作系統(tǒng)：MicrosoftWindows2003Server服務器場景安裝服務/工具1：Apache2.2；服務器場景安裝服務/工具2：Php6；服務器場景安裝服務/工具3：MicrosoftSqlServer2000；服務器場景安裝服務/工具4：EditPlus；1.在PC-1上，Web訪問DCST中的WebServ2003服務器場景，進入頁面，分析該頁面源程序，找到提交的變量名，并截圖；2.對該任務題目1頁面注入點進行SQL注入滲透測試，使該Web站點可通過萬能用戶名、任意密碼登錄，并將測試過程截圖；3.進入DCST中的WebServ2003服務器場景的C:\AppServ\www目錄，找到程序，使用EditPlus工具分析并修改PHP源程序，使之可以抵御SQL注入，并將修改后的PHP源程序截圖；4.再次對該任務題目1頁面注入點進行滲透測試，驗證此次利用該注入點對該DCST中的WebServ2003服務器場景進行SQL注入滲透測試無效，并將驗證過程截圖；5.在PC-1上，Web繼續(xù)訪問DCST中的WebServ2003服務器場景，"/"->"EmployeeInformationQuery"，分析該頁面源程序，找到提交的變量名，并截圖；6.對該任務題目5頁面注入點進行滲透測試，根據(jù)輸入“_”的返回結(jié)果確定是注入點，并將測試過程截圖；7.通過對該任務題目5頁面注入點進行SQL注入滲透測試，在WebServ2003服務器場景中添加賬號“Hacker”，并將該賬號添加至管理員組，并將注入代碼及測試過程截圖；8.進入DCST中的WebServ2003服務器場景的C:\AppServ\www目錄，找到程序，使用EditPlus工具分析并修改PHP源程序，使之可以抵御SQL注入滲透測試，并將修改后的PHP源程序截圖；9.再次對該任務題目5頁面注入點進行滲透測試，驗證此次利用注入點對該WebServ2003服務器場景進行SQL注入滲透測試無效，并將驗證過程截圖。任務2：二層網(wǎng)絡Sniffer監(jiān)聽安全攻防（150分）拓撲結(jié)構(gòu)：任務環(huán)境說明：PC-1（須使用物理機中的虛擬機）：物理機操作系統(tǒng)：Windows732位旗艦版VMwareWorkstation10虛擬機操作系統(tǒng)：WindowsXP虛擬機安裝服務/工具1：MicrosoftInternetExplorer6.0虛擬機安裝服務/工具2：Ethereal虛擬機安裝服務/工具3：HttpWatchProfessionalEdition虛擬機網(wǎng)卡與物理機網(wǎng)卡之間的關(guān)系：Bridge（橋接）PC-2（須使用物理機中的虛擬機）：物理機操作系統(tǒng)：Windows732位旗艦版VMwareWorkstation10虛擬機操作系統(tǒng)：WindowsXP虛擬機安裝服務/工具1：MicrosoftInternetExplorer6.0虛擬機安裝服務/工具2：Ethereal虛擬機安裝服務/工具3：HttpWatchProfessionalEdition虛擬機網(wǎng)卡與物理機網(wǎng)卡之間的關(guān)系：Bridge（橋接）PC-3（須使用物理機中的虛擬機）：物理機操作系統(tǒng)：Windows732位旗艦版VMwareWorkstation10虛擬機操作系統(tǒng)：KaliLinux（Debian732Bit）虛擬機安裝服務/工具1：MetasploitFramework虛擬機安裝服務/工具2：Macof虛擬機網(wǎng)卡與物理機網(wǎng)卡之間的關(guān)系：Bridge（橋接）DCST：服務器場景：WebServ2003服務器場景操作系統(tǒng)：MicrosoftWindows2003Server服務器場景安裝服務/工具1：Apache2.2；服務器場景安裝服務/工具2：Php6；服務器場景安裝服務/工具3：MicrosoftSqlServer2000；服務器場景安裝服務/工具4：EditPlus；多層交換機：交換機操作平臺：DCRS-62001.使PC-1、PC-3、DCST中的WebServ2003服務器場景能夠在同一個網(wǎng)段（VLAN10）內(nèi)相互Ping通。2.查看DCRS交換機VLAN10的MAC地址表容量信息，并將DCRS交換機配置相關(guān)參數(shù)、查看命令、查看結(jié)果截圖。3.從PC-3發(fā)起MACFlooding滲透測試，使DCRS交換機的MAC地址表溢出，使其在MAC地址表溢出的條件下，無法學習到PC-1和DCST中的WebServ2003服務器場景的MAC地址表信息，查看DCRS交換機的MAC地址表信息，并將滲透測試過程截圖。4.PC-3打開wireshark，驗證在DCRS交換機MAC地址表溢出的條件下，可以監(jiān)聽到PC-1登錄DCST中的WebServ2003服務器場景的用戶名&密碼，并將該驗證過程截圖。5.在PC-1和DCST中的WebServ2003服務器場景之間建立IPSecVPN，阻止PC-3發(fā)起Sniffer滲透測試。6.在PC-1和DCST中的WebServ2003服務器場景之間建立IPSecVPN，PC-3再次打開wireshark，監(jiān)聽PC-1訪問DCST中的WebServ2003服務器場景流量，驗證此時PC-3無法監(jiān)聽到PC-1訪問DCST中的WebServ2003服務器場景的HTTP流量，并將驗證過程截圖。任務3：STP漏洞利用安全攻防（100分）拓撲結(jié)構(gòu)變更部分：任務環(huán)境說明：PC-1（須使用物理機中的虛擬機）：物理機操作系統(tǒng)：Windows732位旗艦版VMwareWorkstation10虛擬機操作系統(tǒng)：WindowsXP虛擬機安裝服務/工具1：MicrosoftInternetExplorer6.0虛擬機安裝服務/工具2：Ethereal虛擬機安裝服務/工具3：HttpWatchProfessionalEdition虛擬機網(wǎng)卡與物理機網(wǎng)卡之間的關(guān)系：Bridge（橋接）PC-2（須使用物理機中的虛擬機）：物理機操作系統(tǒng)：Windows732位旗艦版VMwareWorkstation10虛擬機操作系統(tǒng)：WindowsXP虛擬機安裝服務/工具1：MicrosoftInternetExplorer6.0虛擬機安裝服務/工具2：Ethereal虛擬機安裝服務/工具3：HttpWatchProfessionalEdition虛擬機網(wǎng)卡與物理機網(wǎng)卡之間的關(guān)系：Bridge（橋接）DCST：滲透測試主機場景：BackTrack5服務器場景操作系統(tǒng)：BackTrack5（Ubuntu32Bit）安裝服務/工具1：MetasploitFramework安裝服務/工具2：Yersinia多層交換機：交換機操作平臺：DCRS-62001.在DCRS交換機劃分VLAN10、VLAN20，將PC-1接入VLAN10，PC-2接入VLAN20，VLAN10通過跳線直接連接VLAN20，在DCRS交換機開啟生成樹協(xié)議，生成樹協(xié)議模式為STP，DCRS交換機優(yōu)先級為0，防止網(wǎng)絡出現(xiàn)物理環(huán)路，顯示DCRS交換機生成樹協(xié)議的狀態(tài)，并將該信息截屏；2.DCST滲透測試主機場景BackTrack5雙鏈路上聯(lián)DCRS交換機，其中1條鏈路連接VLAN10，另外1條鏈路連接VLAN20，同時向DCRS交換機發(fā)起生成樹協(xié)議漏洞利用滲透測試，使DCST滲透測試主機場景BackTrack5能夠監(jiān)聽到PC-1訪問PC-2的Telnet服務的登錄密碼，顯示DCRS交換機生成樹協(xié)議的狀態(tài)，并將該信息截屏；3.配置DCRS交換機生成樹協(xié)議安全特性，阻止生成樹協(xié)議漏洞利用滲透測試，并將DCRS交換機相關(guān)配置信息截屏；4.在DCRS交換機配置生成樹協(xié)議安全特性的條件下，DCST滲透測試主機場景BackTrack5不能監(jiān)聽到PC-1訪問PC-2的Telnet服務的登錄密碼，由DCST滲透測試主機場景BackTrack5再次向DCRS交換機發(fā)起生成樹協(xié)議漏洞利用滲透測試，再次顯示DCRS交換機生成樹協(xié)議的狀態(tài)，并將以上驗證過程截屏；5.由DCST滲透測試主機場景BackTrack5向DCRS交換機發(fā)起生成樹協(xié)議漏洞利用滲透測試，提高DCRS交換機CPU的利用率，顯示DCRS交換機CPU的利用率，并將該信息截屏；6.配置DCRS交換機生成樹協(xié)議安全特性，阻止生成樹協(xié)議漏洞利用滲透測試，并將配置信息截屏；7.在DCRS交換機配置生成樹協(xié)議安全特性的條件下，DCRS交換機不會受DCST滲透測試主機場景BackTrack5的生成樹協(xié)議漏洞利用滲透測試影響，此時由DCST滲透測試主機場景BackTrack5再次向DCRS交換機發(fā)起生成樹協(xié)議漏洞利用滲透測試，顯示DCRS交換機CPU的利用率，并將該驗證截屏；(四)第三階段任務書（300分）假定各位選手是Taojin電子商務企業(yè)的信息安全工程師，負責服務器的維護，該服務器可能