2024年福建省职业技能大赛
信息安全管理与评估赛项
样题
目录
模块一
网络平台搭建与设备安全防护
- 赛项时间
共计90分钟。
- 赛项信息
| 竞赛阶段 | 任务阶段 | 竞赛任务 | 竞赛时间 | 分值 |
| 第一阶段 网络平台搭建与设备安全防护 | 任务1 | 网络平台搭建 | XX:XX- XX:XX | 50 |
| 任务2 | 网络安全设备配置与防护 | 250 |
- 赛项内容
赛题第一阶段请按裁判组专门提供的U盘中的“XXX-第1阶段-答题模板”中的要求提交答案。选手需要在U盘的根目录下建立一个名为“GWxx”的文件夹(xx用具体的工位号替代),所完成的“XXX-第1阶段-答题模板”放置在文件夹中作为比赛结果提交。为了统一结果,FW要求源地址和目的地址均使用“IP/掩码”表示,禁止使用地址薄或地址条目表示,否则按零分处理。举例截图如下:
特别说明:只允许在根目录下的“GWxx”文件夹中体现一次工位信息,不允许在其他文件夹名称或文件名称中再次体现工位信息,否则按作弊处理。
 |
-
- 网络拓扑图
-
- IP地址规划表
| 设备名称 | 接口 | IP地址 |
| 三层交换机 SW | loopback1 ospfv2 ospfv3 | 10.10.1.1/32 2001:10:10:1::1/128 |
| vlan11 | 10.10.11.1/24 2001:10:10:11::1/64 | |
| Vlan12 | 10.10.12.1/24 2001:10:10:12::1/64 | |
| Vlan13 | 10.10.13.1/24 2001:10:10:13::1/64 | |
| Vlan14 | 10.10.14.1/24 2001:10:10:14::1/64 | |
| Tunnel1 | 10.10.255.49/30 | |
| vlan123 | 10.10.255.1/30 2001:10:10:255::1/126 | |
| vlan101 | 10.10.255.5/30 | |
| vlan104 | 10.10.255.9/30 | |
| vlan140 | 10.10.140.1/24 2001:10:10:140::1/64 | |
| vlan150 | 10.10.150.1/24 2001:10:10:150::1/64 | |
| 无线控制器 AC | loopback1 ospfv2 ospfv3 | 10.10.2.1/32 2001:10:10:2::1/128 |
| Vlan21 | 10.10.21.1/24 2001:10:10:21::1/64 | |
| Vlan22 | 10.10.22.1/24 2001:10:10:22::1/64 | |
| Vlan23 | 10.10.23.1/24 2001:10:10:23::1/64 | |
| Vlan24 | 10.10.24.1/24 2001:10:10:24::1/64 | |
| Vlan104 | 10.10.255.10/30 | |
| vlan102 | 10.10.255.13/30 | |
| Internet (SW模拟) | Vlan221 | 218.28.21.2/30 |
| Vlan222 | 218.28.22.2/30 | |
| Vlan223 | 218.28.23.2/30 | |
| Vlan224 | 218.28.24.1/30 | |
| Loopback2 | 218.28.2.1/32 | |
| 日志服务器 BC | LAN2-3 | 10.10.255.2/30 2001:10:10:255::2/126 |
| WAN5 | 218.28.22.1/30 | |
| PPTP | 网关:192.168.10.129/26 (vpn pool:192.168.10.130-192.168.10.129) | |
| WEB应用防火墙 WAF | ETH2 | 10.10.20.10/24 |
| ETH3 | ||
| 防火墙 FW | Loopback1 untrust | 10.10.3.1/32 2001:10:10:3::1/128 |
| Loopback2 untrust | 10.10.3.2/32(模拟产品) 2001:10:10:3::2/128 | |
| Loopback3 untrust | 10.10.3.3/32(模拟营销) 2001:10:10:3::3/128 | |
| E0/2 trust | 10.10.255.14/30 | |
| E0/1.223 untrust | 218.28.23.1/30 Natpool:202.102.23.16/30; | |
| Tunnel1 vpnhub | 10.10.255.50/30 | |
| E0/4 untrust | 218.28.21.1/30 Natpool:202.102.21.16/30; | |
| E0/5 untrust | 10.10.20.1/24 (server2网段) | |
| E0/1 trust | 10.10.255.6/30 | |
| AP | Eth1 | |
| SERVER | 网卡 | 10.10.20.100/24 |
- 第一阶段任务书
任务1:网络平台搭建 (50分)
- 根据下述信息及表,在交换机上完成VLAN配置和端口分配。每个VLAN第二个端口设置为loopback模式方便测试。
相关业务Vlan端口分配表如下:
| vlan编号 | 端口 | 说明 | |
| SW | vlan11 | E1/0/11-12 | AP管理 |
| Vlan12 | E1/0/13-14 | 产品 | |
| Vlan13 | E1/0/15-16 | 营销 | |
| Vlan14 | E1/0/17-18 | Server1段 | |
| AC | Vlan21 | E1/0/11-12 | 法务 |
| Vlan22 | E1/0/13-14 | 产品 | |
| Vlan23 | E1/0/15-16 | 营销 | |
| Vlan24 | E1/0/17-18 | 人力 |
- 网络需求
| 题号 | 网络需求 |
| 1 | 按照IP地址规划表,对防火墙的名称、各接口IP地址进行配置。 |
| 2 | 按照IP地址规划表,对三层交换机的名称进行配置,创建VLAN并将相应接口划入VLAN, 对各接口IP地址进行配置。 |
| 3 | 按照IP地址规划表,对无线交换机的名称进行配置,创建VLAN并将相应接口划入VLAN,对接口IP地址进行配置。 |
| 4 | 按照IP地址规划表,对网络日志系统的名称、各接口IP地址进行配置。 |
| 5 | 按照IP地址规划表,对WEB应用防火墙的名称、各接口网桥、IP地址进行配置。 |
任务2:网络安全设备配置与防护(250分)
- SW开启SSH登录功能,要求该设备仅存在一个用户:用户名skills03,密码skills03,密码呈现需加密,包括Console口在内登录时需使用该用户登录即进入特权模式。
- 要求配置合理,所有链路上不允许不必要VLAN的数据流通过;尽可能骨干设备之间的带宽,BC和SW之间进行链路聚合,要求模式为动态模式, SW端为主动模式。
- 为了SW与FW之间业务访问的备份链路及通讯流量的安全,两设备通过与AC之间的链路使用loopback1口建立GRE隧道。
- SW、AC、FW之间运行OSPFv2 和 OSPFv3 协议,OSPFV2要求如下:其中SW和FW之间属于area 0,发布两设备loopback1接口和ap管理段路由;SW、AC、FW之间以及GRE链路属于area 1,SW和FW发布除loopback1、产品、营销、Server网段外的路由,AC发布所有网段路由,FW通告类型1的默认路由。OSPFV3要求全网区域0,发布相关IPV6业务网段。
- FW和SW两设备之间建立两对EBGP邻居:其中一对建立采用互联的1端口建立,另外一对建立采用Gre接口,发布产品、营销、Server业务网段。
- 为保证SW与FW之间产品、营销、Server之间业务互访的可靠性和流量负载,业务需求如下,要求通过配置SW来实现:
- SW和FW之间产品、营销互访的流量优先走SW和FW之间直连链路;SW和FW之间Server互访的流量优先走SW和FW之间的GRE链路;
- SW和FW之间GRE链路作为产品、营销业务互访的备份链路;
- 使用IP前缀列表匹配上述业务数据流;
- 使用AS PATH属性进行业务选路,只允许使用route-map来改变AS PATH属性、实现路由控制,AS PATH属性可配置的参数数值为:65000。
- 为了提高OSPF骨干区域的安全性,骨干区域启用区域MD5验证,验证密钥为DCN2023;SW和BC之间配置静态路由实现分公司终端能够访问互联网。
- 为了防止非法的dhcp server产生的干扰,要求通过VACL方式实现AC法务网段业务对应的端口丢弃dhcp server报文,已知dhcp server的端口号为UDP 67端口,访问控制列表名字:d_dhcp。
- 针对 AC产品业务配置相关特性,每个端口只允许的最大安全 MAC 地址数为 1,当超过设定 MAC 地址数量的最大值,不学习新的MAC、丢弃数据包、发 snmp trap、同时在 syslog 日志中记录,端口的老化定时器到期后,在老化周期中没有流量的部分表项老化,有流量的部分依旧保留。
- 为防止网络内用ARP攻击,要求在AC的所有业务网段仅开启基于IP的防ARP扫描功能,针对每个IP的检测为10个每秒,超过检测数值的IP会被阻断,并且在180秒后恢复。
- SW既作为分公司核心交换机,同时又使用相关技术模拟为Internet交换机,实Internet路由表与分公司业务路由表隔离,Internet路由表位于VPN实例名称Internet内。
- 为了提高安全性总公司法务和人力部门采用固定IP,会议室要实现这两部门的领导开会时能够接入AC的有线网络,ac端口号:19-20,要求无论插入任何一个端口,SW都能自动为对应终端分配到对应的正确VLAN。
- 通过BC配置的DHCP Server为总公司的AP、VLAN140、VLAN150段自动分配地址,地址池为除网关外的所有可用地址,DNS server地址8.8.8.8,其中AP通过Option43方式上线,AC的无线管理地址是10.10.2.1。DHCP Server地址使用BC和SW的互联地址。
- AP通过Option43方式上线,在AC上创建两个SSID分别为“Wifi-2.4G”和“Wifi-5.0G”。“Wifi-2.4G”对应业务Vlan 140,使用network 14, 用户接入无线网络时需要采用基于WPA-personal加密方式,其口令为“Wifi-2.4G”;“Wifi-5.0G”对应业务Vlan 150,使用network 15,用户接入无线网络时需要采用基于static-wep加密方式,共享密钥其口令为“1234567890123”。要求无线AP只能发射“Wifi-2.4G”和“Wifi-5.0G”两个可用SSID。
- AC采用profile 1为AP下发配置,且命名为WIFI,SSIDW为“Wifi-2.4G”的信号对应2.4G频段,SSID为“Wifi-5.0G”的信号对应AP的5.0G频段。
- 配置所有5.8G无线接入用户相互隔离,同时开启ARP抑制功能;2.4G信号周一至周二每天早上0点到6点禁止终端接入。
- 为了控制带宽,保证正常使用,配置无线局域网用户上行速度为2Mbps,下行速度为5Mbps。
- 阻止MAC 地址为00-e1-3a-10-be-51的主机连接的2.4G无线网络。为防止外部人员蹭网,现需在2.4G频段下设置信号值低于50%的终端禁止连接无线信号。
- 对无线功能进行优化:在本项目中5G信号覆盖信号比较弱,请通过相关功能进行优化。2.4G信号为了每个客户端机会均等地获得传输机会,避免出现某个客户端长时间占用传输机会而拖累其他客户端的现象发生。
- 通过配置防止多AP和AC相连时过多的安全认证连接而消耗CPU资源,检测到AP与AC在10分钟内建立连接5次就不在允许继续连接,两小时后恢复正常。
- AP在收到错误帧时,将不再发送ACK帧;打开AP组播广播突发限制功能;开启Radio的自动信道调整,每天上午7:00触发信道调整功能。
- 在公司总部的WAF上配置,编辑防护策略,定义HTTP请求体的最大长度为256,防止缓冲区溢出攻击。
- 为更好对服务器10.10.20.100进行防护,我们定期对服务器进行Web漏洞扫描,来及时修改我们的防护规则,扫描深度为4。
- 方便日志的保存和查看,需要在把WAF上攻击日志、访问日志、DDOS日志以JSON格式发给IP地址为192.23.230.101的日志服务器上。
- 在WAF上配置基础防御功能,开启SQL注入、XXS攻击、信息泄露等防御功能,要求针对这些攻击阻断并发送邮件告警。
- 在WAF上针对HTTP服务器进行URL最大个数为10,Cookies最大个数为30,Host最大长度为1024,Accept最大长度64等参数校验设置,设置严重级别为中级,超出校验数值阻断并发送邮件告警。
- 在WAF上保护HTTP服务器上的www.chinaskills.com网站爬虫攻击,从而影响服务器性能,设置严重级别为高级,一经发现攻击阻断并发送邮件告警。
- 在 WAF 上配置,防止暴力破解获取www.2022skills.com网站的用户口令通过限速的方法限速频率为3次每秒触发邮件告警告警并阻断。
- 在公司总部的 WAF 上配置,禁止公网IP 地址(200.200.200.200) 访问网站服务器,网站服务器IP 地址是10.10.20.100。
- 在 FW 配置网络地址转换实现总公司所有网段访问互联网,NAT 地址转换条件中源、目的 IP 均为 any,natpool见IP地址规划表;第一次完成配置后管理员发现内网一些用户使用网银客户端时,出现需要反复登录的情况,最后定位到原因与防火墙配置有关,请进行修复。
- 2023年护网行动开展在即,调整FW全网安全策略缺省规则为拒绝;配置实现总公司所有网段都能访问Internet,策略中源、目的 IP 均为 any;同时要求Server1段仅能访问Server2段的http服务。
- 计划在FW的e0/0口进行https认证测试,对上网的用户进行控制,认证服务器为本地防火墙,只有在认证页面输入用户名和密码分别为 dcn01或者dcn02才可以访问internet网络,强制用户在线时常超过1天后必须重新登录。
- 为了方便对总公司AC的管理,要求通过FW相应策略的配置,实现任何互联网和SW上的用户都能够通过telnet总公司FW 4口接口IP的23端口访问到SW(IP使用10.10.255.13)的命令行。
- FW实现对总公司所有用户访问网址中含有“游戏”、“购物”关键字网站的过滤,对试图访问及搜索的行为进行记录;阻止在社区论坛、社会生活类网站发布含有关键字“舆论”的信息,并记录日志;并将上述日志发送至日志服务器(10.10.11.200)方便统一管理、审计。
- FW 配置 SSL VPN,名称为 VPNSSL, Internet 用户通过4端口4433 连接仅能访问Server2段的http服务,本地认证账号 UserSSL,密码 Pass-1234,地址池名称为POOLSSL,地址池范围为 10.18.0.100/24-10.18.0.199/24。保持 PC3位置不变,用 PC3 测试。
- BC上配置报警邮箱,邮件服务器IP为172.16.10.33,端口号为25,账号为:skills01,密码: skills01,同时把报警邮件发送给manager@cnskills.com;
- 分公司用户,通过BC访问因特网,BC采用路由方式,在BC上做相关配置,让分公司内网用户通过外网口地址访问因特网。
- 在BC上配置PPTP vpn 让外网用户能够通过PPTP vpn访问分公司SW上内网地址,用户名为test,密码test23。
- BC上开启黑名单告警功能,级别为预警状态,并进行邮件告警和记录日志,发现cpu使用率大于80%,内存使用大于80%时进行邮件告警并记录日志,级别为严重状态。
模块二
网络安全事件响应、数字取证调查、应用程序安全
竞赛项目赛题
本文件为信息安全管理与评估项目竞赛-第二阶段样题,内容包括:网络安全事件响应、数字取证调查。
本次比赛时间为90分钟。
介绍
竞赛有固定的开始和结束时间,参赛队伍必须决定如何有效的分配时间。请认真阅读以下指引!
(1)当竞赛结束,离开时请不要关机;
(2)所有配置应当在重启后有效;
(3)请不要修改实体机的配置和虚拟机本身的硬件设置。
所需的设备、机械、装置和材料
所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完成。
评分方案
本阶段总分数为300分。
项目和任务描述
随着网络和信息化水平的不断发展,网络安全事件也层出不穷,网络恶意代码传播、信息窃取、信息篡改、远程控制等各种网络攻击行为已严重威胁到信息系统的机密性、完整性和可用性。因此,对抗网络攻击,组织安全事件应急响应,采集电子证据等技术工作是网络安全防护的重要部分。现在,A集团已遭受来自不明组织的非法恶意攻击,您的团队需要帮助A集团追踪此网络攻击来源,分析恶意攻击攻击行为的证据线索,找出操作系统和应用程序中的漏洞或者恶意代码,帮助其巩固网络安全防线。
本模块主要分为以下几个部分:
- 网络安全事件响应
- 数字取证调查
工作任务
第一部分 网络安全事件响应
任务1:Unix服务器应急响应(130分)
A集团的Debian服务器被黑客入侵,该服务器的Web应用系统被上传恶意软件,系统文件被恶意软件破坏,您的团队需要帮助该公司追踪此网络攻击的来源,在服务器上进行全面的检查,包括日志信息、进程信息、系统文件、恶意文件等,从而分析黑客的攻击行为,发现系统中的漏洞,并对发现的漏洞进行修复。
本任务素材清单:Unix服务器虚拟机
受攻击的Server服务器已整体打包成虚拟机文件保存,请选手自行导入分析。
注意:Server服务器的基本配置参见附录,若题目中未明确规定,请使用默认配置。
请按要求完成该部分的工作任务。
| 任务1:Unix服务器虚拟机 | ||
| 序号 | 任务内容 | 答案 |
| 1 | 请提交攻击者的IP地址 | |
| 2 | 请提交攻击者使用的操作系统 | |
| 3 | 请提交攻击者进入网站后台的密码 | |
| 4 | 请提交攻击者首次攻击成功的时间,格式:DD/MM/YY:hh:mm:ss | |
| 5 | 请提交攻击者上传的恶意文件名(含路径) | |
| 6 | 请提交攻击者写入的恶意后门文件的连接密码 | |
| 7 | 请提交攻击者创建的用户账户名称 | |
| 8 | 请提交恶意进程的名称 | |
| 9 | 请提交恶意进程对外连接的IP地址 | |
第二部分 数字取证调查
任务2:基于MacOS的内存取证(80分)
A集团某服务器系统感染恶意程序,导致系统关键文件被破坏,请分析A集团提供的系统镜像和内存镜像,找到系统镜像中的恶意软件,分析恶意软件行为。
本任务素材清单:存储镜像、内存镜像。
请按要求完成该部分的工作任务。
| 任务2:基于MacOS的内存取证 | ||
| 序号 | 任务内容 | 答案 |
| 1 | 请提交用户目录下压缩包的解压密码 | |
| 2 | 请提交root账户的登录密码 | |
| 3 | 请指出攻击者通过什么命令实现提权操作 | |
| 4 | 请指出内存中恶意进程的PID | |
| 5 | 请指出恶意进程加密文件的文件类型 | |
任务3:通信数据分析取证(工控)(90分)
A集团的网络安全监控系统发现恶意份子正在实施高级可持续攻击(APT),并抓取了部分可疑流量包。请您根据捕捉到的流量包,搜寻出网络攻击线索,分解出隐藏的恶意程序,并分析恶意程序的行为。
本任务素材清单:捕获的通信数据文件。
请按要求完成该部分的工作任务。
| 任务3:通信数据分析取证(工控) | ||
| 序号 | 任务内容 | 答案 |
| 1 | 请提交攻击者通过什么协议发起的攻击 | |
| 2 | 请提交攻击者第一次攻击成功的时间 | |
| 3 | 请提交攻击者在目标主机上上传的文件名 | |
| 4 | 请解密出上传的文件内容 | |
模块三
网络安全渗透、理论技能与职业素养
竞赛项目赛题
本文件为信息安全管理与评估项目竞赛-第三阶段样题,内容包括:网络安全渗透、理论技能与职业素养。
本次比赛时间为60分钟。
介绍
网络安全渗透的目标是作为一名网络安全专业人员在一个模拟的网络环境中实现网络安全渗透测试工作。
本模块要求参赛者作为攻击方,运用所学的信息收集、漏洞发现、漏洞利用等技术完成对网络的渗透测试;并且能够通过各种信息安全相关技术分析获取存在的flag值。
所需的设施设备和材料
所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完成。
评分方案
本测试项目模块分数为400分,其中,网络安全渗透300分,理论技能与职业素养100分。
项目和任务描述
在A集团的网络中存在几台服务器,各服务器存在着不同业务服务。在网络中存在着一定网络安全隐患,请通过信息收集、漏洞挖掘等渗透测试技术,完成指定项目的渗透测试,在测试中获取flag值。网络环境参考样例请查看附录A。
本模块所使用到的渗透测试技术包含但不限于如下技术领域:
• 数据库攻击
• 枚举攻击
• 权限提升攻击
• 基于应用系统的攻击
• 基于操作系统的攻击
• 逆向分析
• 密码学分析
• 隐写分析
所有设备和服务器的IP地址请查看现场提供的设备列表。
特别提醒
通过找到正确的flag值来获取得分,flag统一格式如下所示:
flag{<flag值 >}
这种格式在某些环境中可能被隐藏甚至混淆。所以,注意一些敏感信息并利用工具把它找出来。
注:部分flag可能非统一格式,若存在此情况将会在题目描述中明确指出flag格式,请注意审题。
工作任务
- 人力资源管理系统(45分)
| 任务编号 | 任务描述 | 答案 | 分值 |
| 任务一 | 请对人力资源管理系统进行黑盒测试,利用漏洞找到flag1,并将flag1提交。flag1格式flag1{<flag值>} | ||
| 任务二 | 请对人力资源管理系统进行黑盒测试,利用漏洞找到flag2,并将flag2提交。flag2格式flag2{<flag值>} | ||
| 任务三 | 请对人力资源管理系统进行黑盒测试,利用漏洞找到flag3,并将flag3提交。flag3格式flag3{<flag值>} |
- 邮件系统(30分)
| 任务编号 | 任务描述 | 答案 | 分值 |
| 任务四 | 请对邮件系统进行黑盒测试,利用漏洞找到flag1,并将flag1提交。flag1格式flag1{<flag值>} | ||
| 任务五 | 请对邮件系统进行黑盒测试,利用漏洞找到flag2,并将flag2提交。flag2格式flag2{<flag值>} |
- FTP服务器(165分)
| 任务编号 | 任务描述 | 答案 | 分值 |
| 任务六 | 请获取FTP服务器上task6目录下的文件进行分析,找出其中隐藏的flag,并将flag提交。flag格式flag{<flag值>} | ||
| 任务七 | 请获取FTP服务器上task7目录下的文件进行分析,找出其中隐藏的flag,并将flag提交。flag格式flag{<flag值>} | ||
| 任务八 | 请获取FTP服务器上task8目录下的文件进行分析,找出其中隐藏的flag,并将flag提交。flag格式flag{<flag值>} | ||
| 任务九 | 请获取FTP服务器上task9目录下的文件进行分析,找出其中隐藏的flag,并将flag提交。flag格式flag{<flag值>} | ||
| 任务十 | 请获取FTP服务器上task10目录下的文件进行分析,找出其中隐藏的flag,并将flag提交。flag格式flag{<flag值>} | ||
| 任务十一 | 请获取FTP服务器上task11目录下的文件进行分析,找出其中隐藏的flag,并将flag提交。flag格式flag{<flag值>} | ||
| 任务十二 | 请获取FTP服务器上task12目录下的文件进行分析,找出其中隐藏的flag,并将flag提交。flag格式flag{<flag值>} | ||
| 任务十三 | 请获取FTP服务器上task13目录下的文件进行分析,找出其中隐藏的flag,并将flag提交。flag格式flag{<flag值>} |
- 认证服务器(30分)
| 任务编号 | 任务描述 | 答案 | 分值 |
| 任务十四 | 认证服务器10000端口存在漏洞,获取FTP服务器上task14目录下的文件进行分析,请利用漏洞找到flag,并将flag提交。flag格式flag{<flag值>} |
- 运维服务器(30分)
| 任务编号 | 任务描述 | 答案 | 分值 |
| 任务十五 | 运维服务器10001端口存在漏洞,获取FTP服务器上task15目录下的文件进行分析,请利用漏洞找到flag,并将flag提交。flag格式flag{<flag值>} |
- 理论技能与职业素养(100分)
2024年福建省职业院校技能大赛(高等职业教育组)
“信息安全管理与评估”测试题(样题)
【注意事项】
1.理论测试前请仔细阅读测试系统使用说明文档,按提供的账号和密码登录测试系统进行测试,账号只限1人登录。
2.该部分答题时长包含在第三阶段比赛时长内,请在临近竞赛结束前提交。
3.参赛团队可根据自身情况,可选择1-3名参赛选手进行作答,团队内部可以交流,但不得影响其他参赛队。
【见题库】
5008
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
