GZ-2022038 信息安全管理與評(píng)估賽項(xiàng)正式賽卷完整版包括附件-2022年全國(guó)職業(yè)院校技能大賽賽項(xiàng)正式賽卷

2022年全國(guó)職業(yè)院校技能大賽高職組“信息安全管理與評(píng)估”賽項(xiàng)任務(wù)書1一、賽項(xiàng)第一階段時(shí)間180分鐘。二、賽項(xiàng)信息任務(wù)階段競(jìng)賽時(shí)間競(jìng)賽階段競(jìng)賽任務(wù)分值50第一階段任務(wù)1網(wǎng)絡(luò)平臺(tái)搭建180平臺(tái)搭建與安全設(shè)備配置防護(hù)任務(wù)2網(wǎng)絡(luò)安全設(shè)備配置與防護(hù)分鐘250三、注意事項(xiàng)賽題第一階段請(qǐng)按裁判組專門提供的U盤中的“XXX-答題模板”中的要求提交答案。選手需要在U盤的根目錄下建立一個(gè)名為“GWxx”的文件夾（xx用具體的工位號(hào)替代），所完成的“XXX-答題模板”放置在文件夾中作為比賽結(jié)果提交。1四、賽項(xiàng)內(nèi)容(一)賽項(xiàng)環(huán)境設(shè)置1.網(wǎng)絡(luò)拓?fù)鋱D22.IP地址規(guī)劃表設(shè)備名稱接口IP地址對(duì)端設(shè)備54/30（Trust安全域）54/30RSETH1/0/1ETH0/1-2RSETH1/0/2（Trust安全域）54/30ETH0/3NETLOGETH3NETLOGETH4（Trust安全域）54/30ETH0/4（Trust安全域）/27（untrust安全域）/28IDCSERVERETH0/5防火墻FWETH0/6RSETH1/0/19（untrust安全域）/24Loopback1Loopback2Loopback3Loopback4（Trust安全域）/24（Trust安全域）/24-（Trust安全域）/24（Trust安全域）VLAN40ETH1/0/4-8VLAN502/262/2654/30PC2PC3ETH1/0/3VLAN51NETLOGWAFETH1/0/23VLAN554/24VLAN113OSPF53/30VLAN114OSPF53/30三層交換機(jī)RSVLAN113VLAN114FWFWVLAN117ETH1/0/17VLAN118ETH1/0/1853/3053/30NETLOGETH1NETLOGETH23VLAN100/302001::192:168:100:1/112VLAN115OSPFETH1/0/20WSFW54/30VLAN116OSPF54/30VLAN4000ETH1/0/19/28VLAN100/30ETH1/0/202001::192:168:100:2/112RSVLAN11553/30VLAN11653/30三層無(wú)線VLAN30交換機(jī)WSETH1/0/32/26PC1無(wú)線管理VLANVLAN101ETH1/0/21VLAN10需配置AP需配置需配置無(wú)線1無(wú)線2VLAN20日志服務(wù)器ETH553/3053/30RSETHE1/0/23NETLOGWEB應(yīng)用ETH3防火墻WAFETH4RSETHE1/0/24堡壘服務(wù)器43.設(shè)備初始化信息表設(shè)備登錄端口設(shè)備型號(hào)登錄方式賬號(hào)密碼類型DCFW-1800E-N3002-PRO防火墻E0/0CONSOLEGE0波特率9600adminadmin三層CS6200-28X-交換機(jī)PROWEB防火墻網(wǎng)絡(luò)DCFW-1800-WAF-Padminyunke1234!日志DCBC-NETLOGGE0:9090adminAdmin*PWD系統(tǒng)三層DCWS-6028-無(wú)線PRO交換機(jī)CONSOLE波特率9600adminadmin5第一階段任務(wù)書任務(wù)1：網(wǎng)絡(luò)平臺(tái)搭建（50分）題號(hào)網(wǎng)絡(luò)需求按照IP地址規(guī)劃表，對(duì)防火墻的名稱、各接口IP地址進(jìn)行配置。（10分）1按照IP地址規(guī)劃表，對(duì)三層交換機(jī)的名稱進(jìn)行配置，創(chuàng)建VLAN并將相應(yīng)接口劃入VLAN,對(duì)各接口IP地址進(jìn)行配置。（10分）按照IP地址規(guī)劃表，對(duì)無(wú)線交換機(jī)的名稱進(jìn)行配置，創(chuàng)建VLAN并將相應(yīng)接口劃入VLAN,對(duì)接口IP地址進(jìn)行配置。（10分）按照IP地址規(guī)劃表，對(duì)網(wǎng)絡(luò)日志系統(tǒng)的名稱、各接口IP地址進(jìn)行配置。（10分）2345按照IP地址規(guī)劃表，對(duì)WEB應(yīng)用防火墻的名稱、各接口IP地址進(jìn)行配置。（10分）6任務(wù)2：網(wǎng)絡(luò)安全設(shè)備配置與防護(hù)（250分）1.RS開啟telnet登錄功能，用戶名skills01，密碼skills01，配置使用telnet方式登錄終端界面前顯示如下授權(quán)信息：“WARNING!!!Authorisedaccessonly,allofyourdonewillberecorded!DisconnectedIMMEDIATELYifyouarenotanauthoriseduser!Otherwise,weretaintherighttopursuethelegalresponsibility”；（16分）2.總部交換機(jī)SW配置簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議，計(jì)劃啟用V3版本，V3版本在安全性方面做了極大的擴(kuò)充。配置引擎號(hào)分別為62001；創(chuàng)建認(rèn)證用戶為skills01，采用3des算法進(jìn)行加密，密鑰為：skills01，哈希算法為SHA，密鑰為：skills01；加入組ABC，采用最高安全級(jí)別；配置組的讀、寫視圖分別為：2022_R、2022_W；當(dāng)設(shè)備有異常時(shí)，需要使用本地的VLAN100地址發(fā)送Trap消息至網(wǎng)管服務(wù)器03，采用最高安全級(jí)別；（6分）3.對(duì)RS上VLAN40開啟以下安全機(jī)制：業(yè)務(wù)內(nèi)部終端相互二層隔離，啟用環(huán)路檢測(cè)，環(huán)路檢測(cè)的時(shí)間間隔為10s，發(fā)現(xiàn)環(huán)路以后關(guān)閉該端口，恢復(fù)時(shí)間為30分鐘；如發(fā)現(xiàn)私設(shè)DHCP服務(wù)器則關(guān)閉該端口，配置防止ARP欺騙攻擊；（6分）74.勒索蠕蟲病毒席卷全球，爆發(fā)了堪稱史上最大規(guī)模的網(wǎng)絡(luò)攻擊，通過(guò)對(duì)總部核心交換機(jī)RS所有業(yè)務(wù)VLAN下配置訪問控制策略實(shí)現(xiàn)雙向安全防護(hù);（6分）5.RS配置IPv6地址，使用相關(guān)特性實(shí)現(xiàn)VLAN50的IPv6終端可自動(dòng)從網(wǎng)關(guān)處獲得IPv6有狀態(tài)地址；（6分）WS配置IPv6地址，開啟路由公告功能，路由器公告的生存期為2小時(shí)，確保VLAN30的IPv6終端可以獲得IPv6無(wú)狀態(tài)地址。WS與RS之間配置RIPng，使PC1與PC3可以通過(guò)IPv6通信；IPv6業(yè)務(wù)地址規(guī)劃如下，其它IPv6地址自行規(guī)劃：業(yè)務(wù)IPV6地址VLAN30VLAN502001:30::254/642001:50::254/646.盡可能加大RS與防火墻FW之間的帶寬;配置使總部VLAN40業(yè)務(wù)的用戶訪問IDCSERVER的數(shù)據(jù)流經(jīng)過(guò)FW54,IDCSERVER返回?cái)?shù)據(jù)流經(jīng)過(guò)FW54，且對(duì)雙向數(shù)據(jù)流開啟所有安全防護(hù)，參數(shù)和行為為默認(rèn);（6分）7.FW、RS、WS之間配置OSPFarea0開啟基于鏈路的MD5認(rèn)證，密鑰自定義,傳播訪問INTERNET默認(rèn)路由；（6分）8.FW與RS建立兩對(duì)IBGP鄰居關(guān)系，使用AS65500，F(xiàn)W上loopback1-4為模擬AS65500中網(wǎng)絡(luò)，為保證數(shù)據(jù)通信的可靠性和負(fù)載，完成以下配置，要求如下：（6分）8?RS通過(guò)BGP到達(dá)loopback1,2網(wǎng)路下一跳為54；RS通過(guò)BGP到達(dá)loopback3,4網(wǎng)絡(luò)下一跳為54；?通過(guò)BGP實(shí)現(xiàn)到達(dá)loopback1,2,3,4的網(wǎng)絡(luò)冗余；?使用IP前綴列表匹配上述業(yè)務(wù)數(shù)據(jù)流；?使用ASPATH屬性進(jìn)行業(yè)務(wù)選路，只允許使用route-map來(lái)改變ASPATH屬性、實(shí)現(xiàn)路由控制，ASPATH屬性可配置的參數(shù)數(shù)值為：655099.如果RSE1/0/3端口的收包速率超過(guò)30000則關(guān)閉此端口，恢復(fù)時(shí)間5分鐘，并每隔10分鐘對(duì)端口的速率進(jìn)行統(tǒng)計(jì)；為了更好地提高數(shù)據(jù)轉(zhuǎn)發(fā)的性能，RS交換中的數(shù)據(jù)包大小指定為1600字節(jié)；（6分）10.為實(shí)現(xiàn)對(duì)防火墻的安全管理，在防火墻FW的Trust安全域開啟PING、HTTP、SNMP功能（loopback接口除外），Untrust安全域開啟SSH、HTTPS功能;（6分）11.總部VLAN業(yè)務(wù)用戶通過(guò)防火墻訪問Internet時(shí)，復(fù)用公網(wǎng)IP：8/28，保證每一個(gè)源IP產(chǎn)生的所有會(huì)話將被映射到同一個(gè)固定的IP地址，當(dāng)有流量匹配本地址轉(zhuǎn)換規(guī)則時(shí)產(chǎn)生日志信息，將匹配的日志發(fā)送至53的UDP2000端口；（6分）12.配置L2TPVPN，名稱為VPN，滿足遠(yuǎn)程辦公用戶通過(guò)撥號(hào)登陸訪問內(nèi)網(wǎng)，創(chuàng)建隧道接口為tunnel1、并加入U(xiǎn)ntrust安全域，地址池名稱為AddressPool，LNS地址池為/24-900/24，網(wǎng)關(guān)為最大可用地址，認(rèn)證賬號(hào)skills01,密碼skills01；（6分）13.FW配置禁止所有人在周一至周五工作時(shí)間9：00-18：00訪問京東和淘寶;相同時(shí)間段禁止訪問中含有“娛樂”、“新聞”的WEB頁(yè)面；（6分）14.在FW開啟安全網(wǎng)關(guān)的TCPSYN包檢查功能，只有檢查收到的包為TCPSYN包后，才建立連接；配置所有的TCP數(shù)據(jù)包每次能夠傳輸?shù)淖畲髷?shù)據(jù)分段為1460，盡力減少網(wǎng)絡(luò)分片；配置對(duì)TCP三次握手建立的時(shí)間進(jìn)行檢查，如果在1分鐘內(nèi)未完成三次握手，則斷掉該連接；（6分）15.為保證總部Internet出口線路，在FW上使用相關(guān)技術(shù)，通過(guò)ping監(jiān)控外網(wǎng)網(wǎng)關(guān)地址，監(jiān)控對(duì)象名稱為Track，每隔5S發(fā)送探測(cè)報(bào)文，連續(xù)10次收不到監(jiān)測(cè)報(bào)文，就認(rèn)為線路故障，直接關(guān)閉外網(wǎng)接口。FW要求內(nèi)網(wǎng)每個(gè)IP限制會(huì)話數(shù)量為300；（6分）16.Internet端有一分支結(jié)構(gòu)路由器，需要在總部防火墻FW上完成以下預(yù)配，保證總部與分支機(jī)構(gòu)的安全連接：（6分）防火墻FW與Internet端路由器建立GRE隧道，并使用IPSec保護(hù)GRE隧道，保證分支結(jié)構(gòu)中與總部VLAN40安全通信。第一階段采用pre-share認(rèn)證加密算法:3DES；第二階段采用ESP協(xié)議，加密算法:3DES；1017.已知原AP管理地址為/15，為了避免地址浪費(fèi)請(qǐng)重新規(guī)劃和配置IP地址段，要求如下：（6分）?使用原AP所在網(wǎng)絡(luò)進(jìn)行地址劃分；?現(xiàn)無(wú)線用戶VLAN10中需要127個(gè)終端，無(wú)線用戶VLAN20需要50個(gè)終端；?WS上配置DHCP，管理VLAN為VLAN101,為AP下發(fā)管理地址，網(wǎng)段中第一個(gè)可用地址為AP管理地址，最后一個(gè)可用地址為WS管理地址，保證完成AP二層注冊(cè)；為無(wú)線用戶VLAN10,20下發(fā)IP地址，最后一個(gè)可用地址為網(wǎng)關(guān)；18.在NETWORK下配置SSID，需求如下：（6分）?NETWORK1下設(shè)置SSID2022skills-2.4G，VLAN10，加密模式為wpa-personal,其口令為skills01；?NETWORK20下設(shè)置SSID2022skills-5G，VLAN20不進(jìn)行認(rèn)證加密,做相應(yīng)配置隱藏該SSID,只使用倒數(shù)第一個(gè)可用VAP發(fā)送5.0G信號(hào)；19.在NETWORK2下配置一個(gè)SSID2022skills_IPv6，屬于VLAN21用于IPv6無(wú)線測(cè)試，用戶接入無(wú)線網(wǎng)絡(luò)時(shí)需要采用基于WPA-personal加密方式，其口令為“skills01”，該網(wǎng)絡(luò)中的用戶從WSDHCP獲取IPv6地址，地址范圍為：2001:10:81::/112，第一個(gè)可用地址作為網(wǎng)關(guān)地址;（6分）20.NETWORK1開啟內(nèi)置portal+本地認(rèn)證的認(rèn)證方式，賬號(hào)為GUEST密碼為123456，保障無(wú)線信息的覆蓋性，無(wú)線AP的發(fā)射11功率設(shè)置為90%。禁止MAC地址為80-45-DD-77-CC-48的無(wú)線終端連接;（6分）21.通過(guò)配置防止多AP和AC相連時(shí)過(guò)多的安全認(rèn)證連接而消耗CPU資源，檢測(cè)到AP與AC在10分鐘內(nèi)建立連接5次就不再允許繼續(xù)連接，兩小時(shí)后恢復(fù)正常;（6分）22.為方便合理使用帶寬，要求針對(duì)SSID為“2022skills-2.4”下的用戶進(jìn)行帶寬控制。對(duì)用戶上行速率沒有限制，但是針對(duì)下行速率要求用戶的帶寬為2Mbps，在最大帶寬可以達(dá)到4Mbps;（6分）23.配置所有Radio接口：AP在收到錯(cuò)誤幀時(shí)，將不再發(fā)送ACK幀；打開AP組播廣播突發(fā)限制功能；開啟Radio的自動(dòng)信道調(diào)整，每天上午10:00觸發(fā)信道調(diào)整功能;（6分）24.配置所有無(wú)線接入用戶相互隔離，Network模式下限制每天早上0點(diǎn)到4點(diǎn)禁止終端接入，開啟ARP抑制功能；（6分）25.配置當(dāng)AP上線，如果AC中儲(chǔ)存的Image版本和AP的Image版本號(hào)不同時(shí)，會(huì)觸發(fā)AP自動(dòng)升級(jí)；配置AP發(fā)送向無(wú)線終端表明AP存在的幀時(shí)間間隔為1秒；配置AP失敗狀態(tài)超時(shí)時(shí)間及探測(cè)到的客戶端狀態(tài)超時(shí)時(shí)間都為2小時(shí);（6分）26.在公司總部的NETLOG上配置，設(shè)備部署方式為透明模式。增加非admin賬戶skills01，密碼skills01@，該賬戶僅用于用戶日志查詢；（6分）1227.為日志查詢的時(shí)間準(zhǔn)確性，要求在NETLOG上配置NTP服務(wù)，NTP服務(wù)器設(shè)定為中國(guó)科學(xué)院國(guó)家授時(shí)中心()；（6分）28.在公司總部的NETLOG上配置，在工作日（每周一到周五09：00-17：00）期間針對(duì)所有無(wú)線網(wǎng)段訪問互聯(lián)網(wǎng)進(jìn)行審計(jì)，不限制其他用戶在工作日（每周一到周五上班）期間訪問互聯(lián)網(wǎng)；（6分）29.NETLOG配置應(yīng)用“即時(shí)聊天”，在周一至周五8：00-20：00監(jiān)控內(nèi)網(wǎng)中所有用戶的騰訊QQ相關(guān)應(yīng)用；（6分）30.NETLOG配置內(nèi)容管理，對(duì)郵件內(nèi)容包含“協(xié)議”、“投訴”字樣的郵件；（6分）31.NETLOG上配置報(bào)警郵箱，郵件服務(wù)器IP為3，端口號(hào)為25，賬號(hào)為:skills01,密碼:skills01，同時(shí)把報(bào)警郵件抄送給Manager@;（6分）32.使用NETLOG對(duì)內(nèi)網(wǎng)所有IP進(jìn)行本地認(rèn)證，認(rèn)證頁(yè)面為默認(rèn)，要求HTTP認(rèn)證后的用戶在每天凌晨2點(diǎn)強(qiáng)制下線，并且對(duì)訪問HTTP服務(wù)器5的80端口進(jìn)行免認(rèn)證；（6分）33.NETLOG上針對(duì)服務(wù)器5/32遭遇到的RPC攻擊、DNS攻擊、數(shù)據(jù)庫(kù)攻擊、DOS攻擊、掃描攻擊進(jìn)行所有級(jí)別的拒絕動(dòng)作，并記錄日志；（6分）1334.在公司總部的WAF上配置，設(shè)備部署方式為透明模式。要求對(duì)內(nèi)網(wǎng)HTTP服務(wù)器5/32啟用代理模式，服務(wù)器名稱為“HTTP”，后續(xù)對(duì)這臺(tái)服務(wù)器進(jìn)行Web防護(hù)配置;（6分）35.建立掃描防護(hù)規(guī)則“http掃描”，類型為掃描陷阱，嚴(yán)重級(jí)別為高級(jí)，開啟郵件告警和日志功能；（6分）36.建立特征規(guī)則“http防御”，開啟SQL注入、XXS攻擊、信息泄露等防御功能，要求針對(duì)這些攻擊阻斷并保存日志發(fā)送郵件告警;（6分）37.建立HTTP協(xié)議校驗(yàn)規(guī)則“http防護(hù)”，URL最大個(gè)數(shù)為10，Cookies最大個(gè)數(shù)為30，Host最大長(zhǎng)度為1024，Accept最大長(zhǎng)度64等參數(shù)校驗(yàn)設(shè)置，設(shè)置嚴(yán)重級(jí)別為中級(jí)，超出參數(shù)值阻斷并保存日志發(fā)送郵件告警;（6分）38.建立爬蟲防護(hù)規(guī)則“http爬蟲”，保護(hù)網(wǎng)站不受爬蟲攻擊，設(shè)置嚴(yán)重級(jí)別為高級(jí)，一經(jīng)發(fā)現(xiàn)攻擊阻斷10分鐘并保存日志發(fā)送郵件告警;（6分）39.建立防盜鏈規(guī)則“http盜鏈”，防止網(wǎng)站資源被其他網(wǎng)站利用，通過(guò)Referer方式檢測(cè)，設(shè)置嚴(yán)重級(jí)別為中級(jí)，優(yōu)先級(jí)為1，一經(jīng)發(fā)現(xiàn)阻斷并保存日志發(fā)送郵件告警;40.為方便日志的保存和查看，需要將WAF上的攻擊日志、訪問日志、DDoS日志以JSON格式發(fā)給IP地址為00的日志服務(wù)器上，端口為514;（6分）14信息安全管理與評(píng)估第二階段網(wǎng)絡(luò)安全事件響應(yīng)數(shù)字取證調(diào)查應(yīng)用程序安全競(jìng)賽試題第二階段競(jìng)賽項(xiàng)目試題本文件為信息安全管理與評(píng)估項(xiàng)目競(jìng)賽-第二階段試題，第二階段內(nèi)容包括：網(wǎng)絡(luò)安全事件響應(yīng)、數(shù)字取證調(diào)查和應(yīng)用程序安全。本次比賽時(shí)間為180分鐘。介紹競(jìng)賽有固定的開始和結(jié)束時(shí)間，選手必須決定如何有效的分配時(shí)間。請(qǐng)閱讀以下指引?。?）當(dāng)競(jìng)賽結(jié)束，離開時(shí)請(qǐng)不要關(guān)機(jī)；（2）所有配置應(yīng)當(dāng)在重啟后有效；（3）除了CD-ROM/HDD/NET驅(qū)動(dòng)器，請(qǐng)不要修改實(shí)體機(jī)的配置和虛擬機(jī)本身的硬件設(shè)置。所需的設(shè)備、機(jī)械、裝置和材料所有測(cè)試項(xiàng)目都可以由參賽選手根據(jù)基礎(chǔ)設(shè)施列表中指定的設(shè)備和軟件完成。評(píng)分方案本項(xiàng)目模塊分?jǐn)?shù)為350分。項(xiàng)目和任務(wù)描述隨著網(wǎng)絡(luò)和信息化水平的不斷發(fā)展，網(wǎng)絡(luò)安全事件也層出不窮，網(wǎng)絡(luò)惡意代碼傳播、信息竊取、信息篡改、遠(yuǎn)程控制等各種網(wǎng)絡(luò)攻擊行為已嚴(yán)重威脅到信息系統(tǒng)的機(jī)密性、完整性和可用性。因此，對(duì)抗網(wǎng)絡(luò)攻擊，組織安全事件應(yīng)急響應(yīng)，采集電子證據(jù)等技術(shù)工作是網(wǎng)絡(luò)安全防護(hù)的重要部分?，F(xiàn)在，A集團(tuán)已遭受來(lái)自不明組織的非法惡意攻擊，您的團(tuán)隊(duì)需要幫助A集團(tuán)追蹤此網(wǎng)絡(luò)攻擊來(lái)源，分析惡意攻擊攻擊行為的證據(jù)線索，找出操作系統(tǒng)和應(yīng)用程序中的漏洞或者惡意代碼，幫助其鞏固網(wǎng)絡(luò)安全防線。本模塊主要分為以下幾個(gè)部分：●●●網(wǎng)絡(luò)安全事件響應(yīng)數(shù)字取證調(diào)查應(yīng)用程序安全本部分的所有工作任務(wù)素材或環(huán)境均已放置在指定的計(jì)算機(jī)上，參賽選手完成后，填寫在電腦桌面上“信息安全管理與評(píng)估競(jìng)賽-第二階段答題卷”中。選手的電腦中已經(jīng)安裝好Office軟件并提供必要的軟件工具（Tools工具包）。2/8

工作任務(wù)第一部分網(wǎng)絡(luò)安全事件響應(yīng)任務(wù)1：應(yīng)急響應(yīng)A集團(tuán)的WebServer服務(wù)器被黑客入侵，該服務(wù)器的應(yīng)用系統(tǒng)被上傳惡意軟件，重要文件被破壞，作為一個(gè)信息安全工程師需要針對(duì)企業(yè)發(fā)生的網(wǎng)絡(luò)安全事件啟動(dòng)應(yīng)急響應(yīng)，根據(jù)企業(yè)提供的環(huán)境信息進(jìn)行數(shù)據(jù)取證調(diào)查，調(diào)查服務(wù)器被黑客攻擊的相關(guān)信息，發(fā)現(xiàn)被黑客放置在服務(wù)器上的惡意軟件或后門程序，分析黑客如何入侵進(jìn)服務(wù)器。本任務(wù)素材包括：Server服務(wù)器虛擬機(jī)（VMWare格式）受攻擊的Server服務(wù)器已整體打包成虛擬機(jī)文件保存，請(qǐng)選手自行導(dǎo)入分析,WebServer服務(wù)器的基本配置參見如下，若題目中未明確規(guī)定，請(qǐng)使用默認(rèn)配置。Linux：root/123456Mysql：web/chinaskills@2022請(qǐng)按要求完成該部分的工作任務(wù)，答案有多項(xiàng)內(nèi)容的請(qǐng)用換行分隔。任務(wù)1：應(yīng)急響應(yīng)序號(hào)任務(wù)要求答案1234提交攻擊者的IP地址（5分）識(shí)別攻擊者使用的操作系統(tǒng)（5分）找出攻擊者資產(chǎn)收集所使用的平臺(tái)（10分）提交攻擊者目錄掃描所使用的工具名稱（10分）提交攻擊者首次攻擊成功的時(shí)間，格式：DD/MM/YY:HH:MM:SS（10分）56789找到攻擊者寫入的惡意后門文件，提交文件名（完整路徑）和后門密碼（10分）找到攻擊者隱藏在正常web應(yīng)用代碼中的惡意代碼，提交該文件名（完整路徑）（10分）識(shí)別系統(tǒng)中存在的惡意程序進(jìn)程，提交進(jìn)程名（10分）找到文件系統(tǒng)中的惡意程序文件并提交文件名（完整路徑）（10分）3/8第二部分?jǐn)?shù)字取證調(diào)查任務(wù)2：操作系統(tǒng)取證A集團(tuán)某電腦系統(tǒng)感染惡意程序，導(dǎo)致系統(tǒng)關(guān)鍵文件被破壞，該集團(tuán)的技術(shù)人員已及時(shí)發(fā)現(xiàn)入侵行為，并對(duì)系統(tǒng)內(nèi)存和硬盤做了鏡像固定。請(qǐng)根據(jù)A集團(tuán)提供的磁盤鏡像和內(nèi)存鏡像的原始證據(jù)，分析并提取入侵行為證據(jù)。（本題所需要分析的操作系統(tǒng)為windows系列或linux系列）。本任務(wù)素材包括：內(nèi)存鏡像（*.vmem）。請(qǐng)按要求完成該部分的工作任務(wù)。任務(wù)2：操作系統(tǒng)取證序號(hào)任務(wù)要求答案請(qǐng)找出管理員保存此鏡像的時(shí)間（格式為：yyyy-mm-ddhour:minute:second;東八區(qū))（10分）1請(qǐng)找出管理員用戶登錄密碼的hash值（10分）234請(qǐng)找出桌面上某文件里存在的可疑信息（15分）請(qǐng)找出用戶在環(huán)境變量中留下的有關(guān)KEY的痕跡（15分）任務(wù)3：網(wǎng)絡(luò)數(shù)據(jù)包分析A集團(tuán)工作人員截獲了含有攻擊行為的網(wǎng)絡(luò)數(shù)據(jù)包，請(qǐng)根據(jù)A集團(tuán)提供的網(wǎng)絡(luò)數(shù)據(jù)包文件，分析數(shù)據(jù)包中的惡意的攻擊行為，按答題卡的要求完成該部分的工作任務(wù)。本任務(wù)素材包括：捕獲的網(wǎng)絡(luò)數(shù)據(jù)包文件（*.pcap）。請(qǐng)按要求完成該部分的工作任務(wù)，答案有多項(xiàng)內(nèi)容的請(qǐng)用換行分隔。任務(wù)3：網(wǎng)絡(luò)數(shù)據(jù)包分析序號(hào)任務(wù)要求答案該流量中一共有多少條爆破記錄（1512分）該盲注操作的字典內(nèi)容是什么（15分）藏有flag的數(shù)據(jù)庫(kù)內(nèi)有哪些數(shù)據(jù)表，以group_concat結(jié)果形式提交答案（15分）34/84題目中的flag答案是什么（15分）任務(wù)4：計(jì)算機(jī)單機(jī)取證對(duì)給定取證鏡像文件進(jìn)行分析，搜尋證據(jù)關(guān)鍵字（線索關(guān)鍵字為“evidence1”、“evidence2”、……、“evidence10”，有文本形式也有圖片形式，不區(qū)分大小寫），請(qǐng)?zhí)崛『凸潭ū荣愐蟮臉?biāo)的證據(jù)文件，并按樣例的格式要求填寫相關(guān)信息，證據(jù)文件在總文件數(shù)中所占比例不低于15%。取證的信息可能隱藏在正常的、已刪除的或受損的文件中，您可能需要運(yùn)用編碼轉(zhuǎn)換技術(shù)、加解密技術(shù)、隱寫技術(shù)、數(shù)據(jù)恢復(fù)技術(shù)，還需要熟悉常用的文件格式（如辦公文檔、壓縮文檔、圖片等）。本任務(wù)素材包括：取證鏡像文件（*.E01）請(qǐng)根據(jù)賽題環(huán)境及現(xiàn)場(chǎng)答題卡任務(wù)要求提交正確答案。任務(wù)4：計(jì)算機(jī)單機(jī)取證證據(jù)編號(hào)屬性答案121212121212文件名（存在于鏡像中的文件名）evidence1鏡像中原文件Hash碼（MD5）（7分）文件名（存在于鏡像中的文件名）鏡像中原文件Hash碼（MD5）（7分）文件名（存在于鏡像中的文件名）鏡像中原文件Hash碼（MD5）（7分）文件名（存在于鏡像中的文件名）鏡像中原文件Hash碼（MD5）（7分）文件名（存在于鏡像中的文件名）鏡像中原文件Hash碼（MD5）（7分）文件名（存在于鏡像中的文件名）鏡像中原文件Hash碼（MD5）（7分）evidence2evidence3evidence4evidence5evidence65/812121212文件名（存在于鏡像中的文件名）鏡像中原文件Hash碼（MD5）（7分）文件名（存在于鏡像中的文件名）鏡像中原文件Hash碼（MD5）（7分）文件名（存在于鏡像中的文件名）鏡像中原文件Hash碼（MD5）（7分）文件名（存在于鏡像中的文件名）鏡像中原文件Hash碼（MD5）（7分）evidence7evidence8evidence9evidence10注：表格中每個(gè)證據(jù)的答案必須全部答對(duì)才得分。6/8第三部分應(yīng)用程序安全任務(wù)5：應(yīng)用程序安全分析A集團(tuán)在移動(dòng)樣本監(jiān)控過(guò)程中發(fā)現(xiàn)病毒樣本，你的團(tuán)隊(duì)需要協(xié)助A集團(tuán)對(duì)該病毒樣本進(jìn)行逆向分析、對(duì)黑客攻擊的信息進(jìn)行調(diào)查取證，提交相關(guān)信息取證分析報(bào)告。本任務(wù)素材包括：驅(qū)動(dòng)程序文件（*.sys）請(qǐng)根據(jù)賽題環(huán)境及現(xiàn)場(chǎng)答題卡任務(wù)要求提交正確答案。任務(wù)5：應(yīng)用程序安全分析序號(hào)任務(wù)要求答案123木馬所使用的保護(hù)殼名稱（20分）木馬所使用的算法編碼表的CRC32校驗(yàn)碼（大寫）（20分）最終的key（flag{}）（20分）任務(wù)6：代碼審計(jì)A集團(tuán)發(fā)現(xiàn)其發(fā)布的應(yīng)用程序遭到了惡意攻擊，A集團(tuán)提供了應(yīng)用程序的主要代碼，您的團(tuán)隊(duì)需要協(xié)助A集團(tuán)對(duì)該應(yīng)用程序代碼進(jìn)行分析，找出存在的脆弱點(diǎn)。本任務(wù)素材清單：Web程序文件（*.php）請(qǐng)根據(jù)賽題環(huán)境及現(xiàn)場(chǎng)答題卡任務(wù)要求提交正確答案。任務(wù)5：代碼審計(jì)序號(hào)任務(wù)要求答案123存在主要安全問題的代碼行（10分）請(qǐng)指出可能導(dǎo)致威脅的名稱（10分）請(qǐng)解釋怎樣使代碼變得安全（10分）7/8附錄A:分值分配表序號(hào)描述分值35080B網(wǎng)絡(luò)安全事件響應(yīng)、數(shù)字取證調(diào)查、應(yīng)用程序安全B1B2B3B4B5B6應(yīng)急響應(yīng)操作系統(tǒng)取證網(wǎng)絡(luò)數(shù)據(jù)包分析計(jì)算機(jī)單機(jī)取證應(yīng)用程序安全分析代碼審計(jì)50607060308/8信息安全管理與評(píng)估第三階段奪旗挑戰(zhàn)CTF（網(wǎng)絡(luò)安全滲透）第三階段競(jìng)賽項(xiàng)目試題本文件為信息安全管理與評(píng)估項(xiàng)目競(jìng)賽-第三階段試題。根據(jù)信息安全管理與評(píng)估項(xiàng)目技術(shù)文件要求，第三階段為奪旗挑戰(zhàn)CTF（網(wǎng)絡(luò)安全滲透）。本次比賽時(shí)間為180分鐘。介紹奪旗挑戰(zhàn)賽（CTF）的目標(biāo)是作為一名網(wǎng)絡(luò)安全專業(yè)人員在一個(gè)模擬的網(wǎng)絡(luò)環(huán)境中實(shí)現(xiàn)網(wǎng)絡(luò)安全滲透測(cè)試工作。本模塊要求參賽者作為攻擊方，運(yùn)用所學(xué)的信息收集、漏洞發(fā)現(xiàn)、漏洞利用等滲透測(cè)試技術(shù)完成對(duì)網(wǎng)絡(luò)的滲透測(cè)試；并且能夠通過(guò)各種信息安全相關(guān)技術(shù)分析獲取存在的flag值。所需的設(shè)備、機(jī)械、裝置和材料所有測(cè)試項(xiàng)目都可以由參賽選手根據(jù)基礎(chǔ)設(shè)施列表中指定的設(shè)備和軟件完成。評(píng)分方案本項(xiàng)目階段分?jǐn)?shù)為350分。注意事項(xiàng)通過(guò)找到正確的flag值來(lái)獲取得分，它的格式如下所示：flag{<flag值>}這種格式在某些環(huán)境中可能被隱藏或混淆。所以，注意一些敏感信息并把它找出來(lái)。項(xiàng)目和任務(wù)描述在A集團(tuán)的網(wǎng)絡(luò)中存在幾臺(tái)服務(wù)器，各服務(wù)器存在著不同業(yè)務(wù)服務(wù)。在網(wǎng)絡(luò)中存在著一定網(wǎng)絡(luò)安全隱患，請(qǐng)利用你所掌握的滲透測(cè)試技術(shù)，通過(guò)信息收集、漏洞挖掘等滲透測(cè)試技術(shù)，完成指定項(xiàng)目的滲透測(cè)試，在測(cè)試中獲取flag值。網(wǎng)絡(luò)環(huán)境參考樣例請(qǐng)查看附錄A、附錄B。本模塊所使用到的滲透測(cè)試技術(shù)包含但不限于如下技術(shù)領(lǐng)域：?信息收集?逆向文件分析?二進(jìn)制漏洞利用?應(yīng)用服務(wù)漏洞利用?雜項(xiàng)與密碼學(xué)分析所有設(shè)備和服務(wù)器的IP地址請(qǐng)查看現(xiàn)場(chǎng)提供的設(shè)備列表。工作任務(wù)一、Web1服務(wù)器任務(wù)編號(hào)任務(wù)描述答案Web1系統(tǒng)主頁(yè)存在隱藏信息，請(qǐng)根據(jù)頁(yè)面提示，分析并找出flag，并將flag提交。flag格式flag{<flag值>}（5分）Web1-1Web1-2Web1系統(tǒng)后臺(tái)存在漏洞，結(jié)合Web1-2的信息，分析并利用漏洞找出flag，并將flag提交。flag格式flag{<flag值>}（15分）二、Web2服務(wù)器任務(wù)編號(hào)任務(wù)描述答案Web2服務(wù)器存在隱藏信息，分析并利用漏洞找出flag，并將flag提交。flag格式flag{<flag值>}