“全國職業(yè)院校技能大賽”高職組信息安全應用樣題

2011年全國職業(yè)院校技能大賽（高職組）“信息安全技術(shù)應用”賽項競賽試卷（樣題）“信息安全技術(shù)應用”賽項專家組2011/4/22目錄競賽試卷（樣題）1一、試卷說明與競賽要求2競賽內(nèi)容與分值分布2評分方法3文檔規(guī)范3文件存放3文件命名3考評要點4團隊風貌與協(xié)作4二、競賽內(nèi)容4第一階段：網(wǎng)絡(luò)與安全部署5網(wǎng)絡(luò)環(huán)境搭建和網(wǎng)絡(luò)安全部署5主機系統(tǒng)加固7場景說明7任務(wù)要求82.2.3安全評估（裁判組）9第二階段：場內(nèi)分組攻防10場景說明10任務(wù)要求10文檔要求12第三階段：防守場外滲透測試12場景說明12賽場規(guī)則錯誤!未定義書簽。任務(wù)要求12一、試卷說明與競賽要求競賽內(nèi)容與分值分布本次競賽內(nèi)容分為四個部分，每個部分的考試要求及評分標準如下：第一部分：網(wǎng)絡(luò)基礎(chǔ)連接與配置（占30%）競賽內(nèi)容包括：按照組委會提供的網(wǎng)絡(luò)拓撲圖（見附件一）及IP地址規(guī)劃（見附件二）所有網(wǎng)絡(luò)設(shè)備網(wǎng)線連接，基本配置，實現(xiàn)網(wǎng)絡(luò)互聯(lián)；第二部分：網(wǎng)絡(luò)信息安全（占55%）競賽內(nèi)容包括：網(wǎng)絡(luò)安全控制，系統(tǒng)加固、滲透測試及網(wǎng)絡(luò)攻防；第三部分：技術(shù)文檔（占10%）競賽內(nèi)容包括：按照相關(guān)文檔規(guī)范制作本次競賽的施工文檔，放置在指定目錄；第四部分：團隊風貌（占5%）競賽內(nèi)容包括：團隊風貌、團隊協(xié)作與溝通、組織與管理能力和工作計劃性等.評分方法競賽評分嚴格按照公平、公正、公開的原則，評分方法如下：參賽隊成績由裁判委員會統(tǒng)一評定；采取分步得分、錯誤不傳遞、累計總分的積分方式，分別計算環(huán)節(jié)得分，不計參賽選手個人得分；在競賽過程中，參賽選手如有不服從裁判判決、擾亂賽場秩序、舞弊等不文明行為的，由裁判長按照規(guī)定扣減相應分數(shù)，情節(jié)嚴重的取消比賽資格，比賽成績記0分；競賽評分細則按照本競賽規(guī)程在競賽開始7天之前由執(zhí)行委員會制定.文檔規(guī)范文件存放將配置文件、測試結(jié)果文件復制到統(tǒng)一發(fā)放的U盤中，并建立名為“大賽-組號”的文件夾中，在此文件夾下再建立兩個子文件夾，分別命名為“設(shè)備配置文件”（存放所有設(shè)備的配置文件）和“競賽驗收文檔”（存放最終的競賽結(jié)果文檔）.提交時需參賽隊隊長與裁判共同簽字確認.文件命名所有提交給裁判員的電子文件應按下述規(guī)則命名.工程文件類型命名規(guī)則示例（第一組號為：101,第二組號為102，以此類推）信息安全技術(shù)應用配置文件參賽隊編碼-設(shè)備名稱-starup-config101-SWA-starup-config101-RA-starup-config測試結(jié)果文件（截參賽隊編碼■設(shè)備名稱doc101-FWA.doc

圖文件）參賽隊編碼-系統(tǒng)加固圖文件）參賽隊編碼-系統(tǒng)加固.doc101-系統(tǒng)加固.doc參賽隊編碼-掃描滲透.doc101-掃描滲透.doc1.3.3考評要點輸出文檔標準：實驗所輸出的文檔需保存為.doc或.docx.文檔的完整性：實驗用所有路由器、交換機、防火墻的配置命令的導出是否完整.文檔圖片完整性：IDS設(shè)備、堡壘服務(wù)器所完成配置的頁面是否截屏并完整.文檔的說明：對于輸出的配置命令或截屏是否有正確的配置功能說明.文檔頁面設(shè)置：上下空：2.5cm；左空：3.0cm（以便裝訂）；行間距：1.5倍；正文字號：宋體小四號；文檔頁眉頁角：頁眉：“競賽名稱”+“工位號”；頁腳：頁碼（當前頁碼/總頁數(shù)）1.4團隊風貌與協(xié)作考評內(nèi)容如下：團隊風貌：團隊精神面貌好組織與管理能力：團隊成員分工合作，任務(wù)均勻團隊協(xié)作與溝通：團隊成員有交流、溝通工作環(huán)境及設(shè)備擺放符合企業(yè)生產(chǎn)“5S”：操作符合5s（整理、整頓、清掃、清潔、素養(yǎng)）工作計劃性：工作計劃性強，按時完成任務(wù).二、競賽內(nèi)容競賽范圍分為三個階段進行：階段序號步驟競賽時間（小時）第一階段：網(wǎng)絡(luò)與安全部署1網(wǎng)絡(luò)環(huán)境搭建32網(wǎng)絡(luò)安全部署3系統(tǒng)加固2第二階段：場內(nèi)攻防對抗4場內(nèi)分組攻防2第三階段：場外攻防對抗5防守場外忖參透測試1賽場規(guī)則：不可以插拔堡壘服務(wù)器網(wǎng)線；不得重啟堡壘服務(wù)器以及重啟堡壘服務(wù)器中的虛擬機；不得關(guān)閉21、22、23、80、1433、3306、3389、8080服務(wù)端口；不得在堡壘服務(wù)器中開啟防火墻功能，不得安裝殺毒軟件；不得在堡壘服務(wù)器前端架設(shè)硬件防火墻，不得在設(shè)備上配置ACL阻斷外部的訪問；禁止使用DoS、DDoS、ARP欺騙、病毒類等惡意工具攻擊大賽主網(wǎng)絡(luò).一經(jīng)發(fā)現(xiàn)違反以上賽場規(guī)則者，取消本階段比賽資格.第一階段：網(wǎng)絡(luò)與安全部署網(wǎng)絡(luò)環(huán)境搭建和網(wǎng)絡(luò)安全部署拓撲圖（見附件一），IP地址規(guī)劃（見附件二）及競賽要求說明如下：場景描述：某公司通過防火墻與互聯(lián)網(wǎng)相連，為保證公司內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)絡(luò)之間能夠相互通信，要求完成一系列安全方面措施，現(xiàn)進行網(wǎng)絡(luò)的搭建與配置.技術(shù)要求：.根據(jù)拓撲圖正確連接設(shè)備..根據(jù)大賽規(guī)劃設(shè)置IP地址與VLAN等基本信息..由RA-RB-RC-FWA組成外網(wǎng)，F(xiàn)WB-RS-SWA-SWB組成內(nèi)網(wǎng).外網(wǎng)運行OSPF多區(qū)域路由協(xié)議；RC與FWA組成Area0，RA與RC組成Area1，RB與FWA組成Area2，RA與RB組成Area3，RB與RC組成Area4，將Area2設(shè)為末梢區(qū)域，Area1上做虛鏈路.RB與RC之間運行PPP,采用CHAP單向認證，RB為主認證方.PCA訪問RA時，使用策略路由使流量按照FWA-RB-RA的線路轉(zhuǎn)發(fā).通過RC訪問外網(wǎng)的FTP服務(wù)，要求使用QoS將下載流量限制在2M范圍內(nèi).當內(nèi)網(wǎng)用戶訪問外網(wǎng)時，由FWB上通過開啟NAT功能實現(xiàn).SWA與SWB之間使用鏈路捆綁，由2條千兆以太網(wǎng)線相連.RS-SWA-SWB之間通過MSTP技術(shù)實現(xiàn)冗余鏈路的收斂，防止環(huán)路的產(chǎn)生，并且要求SWB的0/3端口阻斷.在RS上開啟DHCP服務(wù)，要求PCC與PCB可以通過RS獲取地址，且SWA、SWB可以阻斷除RS之外的任何其他DHCPserver服務(wù)..將PCB的MAC地址與SWB的端口進行端口綁定，要求SWB的0/2端口只允許PCB接入.通過dhcpsnooping實現(xiàn)PCC的IP地址、MAC地址與SWA的端口進行三元組綁定，要求SWA的0/1接口只允許PCC的IP接入..PCB，PCC訪問PCA時，必須使用WEB認證，由FWB設(shè)置..在防火墻配置禁止PCB和PCC禁止使用QQ聊天軟件..PCA可以通過telnet遠程管理RS設(shè)備，在FWB中配置反向NAT..網(wǎng)絡(luò)中所有的PC均可訪問大賽主網(wǎng)絡(luò).將通過RS訪問外網(wǎng)的所有的數(shù)據(jù)鏡像到IDS所連接的端口上，使用DCNIDS監(jiān)控內(nèi)網(wǎng)所有TCP數(shù)據(jù)包，并將所捕獲的數(shù)據(jù)生成報告.將IDS服務(wù)器架設(shè)到PCC上，并提供搭建成功IDS正常運行截圖與所生成的風險評估柱狀圖報表.安全要求19.為保證安全，請為基礎(chǔ)網(wǎng)絡(luò)設(shè)備（路由器、交換機）設(shè)置使能密碼.為保證安全，請為網(wǎng)絡(luò)中所有的設(shè)備設(shè)置telnet遠程登錄（IDS與堡壘服務(wù)器DCST除外），并設(shè)置安全的用戶名與口令.文檔要求：.將所有設(shè)備的配置文件整理上傳.整理提交相應文檔.2.1.2主機系統(tǒng)加固場景說明【場景1說明】：堡壘主機要求Windows2003Server版本；并預設(shè)2個帳號stud1、stud2，開啟TerminalServices;Telnet、開啟如下服務(wù)：TaskSchedule、RemoteRegistry、PrintspoolerTelnet、ComputerBrowser、Messenger、Alerter、DHCPClient.TerminalServices開啟三個共享C$、ADMIN$、IPC$共享，；未設(shè)置帶密碼的屏幕保護；選手資料準備：通過mstsc.exe登錄目標服務(wù)器.【場景2說明】：堡壘主機要求RedHatEnterprises版本；開啟ssh服務(wù)進程；系統(tǒng)預制root相應屬性為非安全屬性；/etc/profile中UMASK值置077;并允許root賬戶網(wǎng)絡(luò)登錄；選手工具資料：遠程登錄工具如Putty.任務(wù)要求任務(wù)一：場景1賬號口令策略【考題要求】通過配置Windows賬號口令策略加強其安全性，包括：禁用Guest賬號；禁用使用的賬號stud1、stud2;刪除不使用的帳號stud1、stud2密碼策略配置：啟用密碼復雜性要求、密碼最小長度8位、密碼最長保留期30天、強制密碼歷史5次；賬戶鎖定策略設(shè)置：復位賬戶鎖定計數(shù)器10分鐘、賬戶鎖定時間20分鐘；賬戶鎖定閾值：5次無效登錄；任務(wù)二：場景1系統(tǒng)服務(wù)加固【考題要求】關(guān)閉以下系統(tǒng)服務(wù)：TaskSchedule、RemoteRegistry、Printspooler、ComputerBrowser、Messenger、Alerter、DHCPClient.任務(wù)三：場景1關(guān)閉默認共享【考題要求】關(guān)閉系統(tǒng)默認共享：包括關(guān)閉分區(qū)默認共享(C$、D$、E$.),關(guān)閉管理默認共享(admin$)，關(guān)閉IPC$默認共享.任務(wù)四：對場景1進行TCP/IP堆棧加固【考題要求】拒絕服務(wù)（DoS）攻擊是一種網(wǎng)絡(luò)攻擊，通過加固TCP/IP堆棧來完成防御.（請修改注冊表加固TCP/IP堆棧）.任務(wù)五：場景1啟用屏幕保護【考題要求】啟用屏幕保護程序，防止管理員忘記鎖定機器被非法攻擊，設(shè)置帶密碼的屏幕保護，主要通過修改屏幕保護的時間，將屏幕保護時間修改為10分鐘.任務(wù)六：場景2敏感系統(tǒng)賬號設(shè)置【考題要求】鎖定以下賬號：sync。halt。new。uucp。operator。games。gopher任務(wù)七：場景2賬號口令安全【考題要求】更改系統(tǒng)管理員賬號為復雜密碼；配置賬號超時5分鐘自動注銷設(shè)置密碼策略：最大口令使用日期180天、最小口令長度8位、口令過期前警告天數(shù)30天任務(wù)八：場景2文件系統(tǒng)安全【考題要求】系統(tǒng)UMASK設(shè)置為0222.2.3安全評估（裁判組）參賽選手登錄安全評估系統(tǒng)，填寫相應設(shè)備的IP、用戶名和口令等，點擊提交；提交相應文檔；各參賽隊提交信息后暫停，裁判組進行安全評估.2.2第二階段：場內(nèi)分組攻防2.2.1場景說明【場景3說明】Windowsxp服務(wù)器；操作系統(tǒng)telnet具有弱口令；建立一個場景4信息的文本文檔，該文檔內(nèi)容要包含場景4的登錄ip地址和帳號密碼.【場景4說明】堡壘主機要求Windowsxpsp2簡體中文版本；建立一個場景5信息的文本文檔；該文檔內(nèi)容要包含場景5的登錄ip地址和帳號密碼；要求至少開啟的有3389端口，80端口，139端口.開放21端口.【場景5說明】堡壘主機要求Windows2003簡體中文版本；停止Serv-U；需確認IIS目錄設(shè)置為權(quán)限可寫入；使用Access數(shù)據(jù)庫.2.2.2任務(wù)要求任務(wù)一：場景3主機信息收集【考題要求】登錄Windows客戶端，通過LscanPort端口掃描工具，獲取服務(wù)器場景3的系統(tǒng)信息，查看端口開放情況及相應服務(wù)（如ftp，3389遠程連接，http服務(wù)等）.任務(wù)二：場景3服務(wù)器端口掃描【考題要求】通過使用HScan掃描工具來對該服務(wù)器進行掃描，羅列出開放了哪些端口，并將開放的端口信息的對應服務(wù)寫下來.任務(wù)三：場景3密碼掃描【考題要求】利用攻擊工具，猜測場景3登錄口令，并通過該口令進入目標系統(tǒng)場景3.任務(wù)四：查找場景4的登錄信息【考題要求】在場景3機器上查找場景4登錄信息.任務(wù)五：場景4的FTP登錄帳號和密碼破譯【考題要求】通過破譯場景4的FTP帳號和密碼，，將里面放置的場景5的登錄IP獲取.任務(wù)六：查找場景5的登錄信息【考題要求】在場景4機器上查找場景5登錄信息.任務(wù)七：場景5服務(wù)器IIS權(quán)限探測【考題要求】從攻擊客戶端上利用iisputscan工具，對其進行IIS寫權(quán)限探測，驗證該目錄是否可寫；若該目錄驗證可寫，上傳“工位號”.txt至場景5.任務(wù)八：場景5WEB網(wǎng)站數(shù)據(jù)庫下載【考題要求】從攻擊客戶端瀏覽器訪問場景5服務(wù)器的WEB網(wǎng)站，查看其頁面代碼，尋找網(wǎng)站的conn.asp（數(shù)據(jù)庫調(diào)用文件），通過該文件獲取里面的數(shù)據(jù)庫地址或數(shù)據(jù)庫的用戶名和密碼.2.2.3文檔要求提交相應截圖和文檔.3第三階段：防守場外滲透測試2.3.1場景說明【場景6說明】堡壘主機要求windows2003Server未安裝任何補丁版本并預設(shè)2個帳號stud1stud2，開啟遠程桌面訪問.開啟如下服務(wù)：TaskSchedule、RemoteRegistry、Printspooler、Telnet、ComputerBrowser、Messenger、Alerter、DHCPClient.開啟遠程桌面服務(wù).開啟三個共享C$、ADM