2024学年广东省职业院校技能大赛高职组—信息安全管理与评估赛题③

2023-2024 学年

广东省职业院校技能大赛

高等职业教育组

信息安全管理与评估

赛题三

模块一

网络平台搭建与设备安全防护

比赛时间

本阶段比赛时间为 180 分钟。

一、 赛项信息

竞赛阶段	任务阶段	竞赛任务	竞赛时间	分值
第一阶段 平台搭建与安全设备配置防护	任务 1	网络平台搭建	9：00-12：00	50
	任务 2	网络安全设备配置与防护		250

二、 赛项内容

本次大赛，各位选手需要完成三个阶段的任务，每个阶段需要按裁判组专门提供的 U 盘中的“信息安全管理与评估竞赛答题卡-模块 X”提交答案。

选手首先需要在 U 盘的根目录下建立一个名为“GWxx”的文件夹（xx 用具体的工位号替代），请将赛题第一阶段所完成的“信息安全管理与评估竞赛答题卡-模块一”答题文档，放置在文件夹中。

例如：08 工位，则需要在 U 盘根目录下建立“GW08”文件夹，请将第一阶段所完成的“信息安全管理与评估竞赛答题卡-模块一”答题文档，放置在“GW08”文件夹中。

特别说明：只允许在根目录下的“GWxx”文件夹中体现一次工位信息，不允许在其他文件夹名称或文件名称中再次体现工位信息，否则按作弊处理。

（一）赛项环境设置

赛项环境设置包含了三个竞赛阶段的基础信息：网络拓扑图、IP 地址规划表、设备初始化信息。

1. 网络拓扑图

1. IP 地址规划表

设备名称	接口	IP 地址	对端 设备
防火墙 DCFW	ETH0/1-2	10.40.1.1/30(Trust 安 全域)	DCRS
			DCRS
	ETH0/3	113.111.180.1/27 (untrust 安全域)	INTERNET
	ETH0/4	10.40.0.1/24(DMZ 安全域)	WAF
	ETH0/5	10.40.5.1/24（Trust 安全 域）	DCRS

	ETH0/6	10.40.6.1/24（Trust 安全域）	DCRS
	SSL Pool	192.168.11.254/24 （VPNHub 安全域）	SSL VPN 地址池
	Loopback1	10.11.0.1/32(router-id) （Trust 安全域）
	Loopback2	10.12.0.1/32 （Trust 安全域）
三层交换机 DCRS	Loopback3	10.13.0.1/32 （Trust 安全域）
	Loopback4	10.14.0.1/32 （Trust 安全域）
	VLAN 51 ETH1/0/1-2	10.40.1.2/30	DCFW
	VLAN 52 ETH1/0/7-9	10.40.2.1/26	PC1 Vlan Name RS
	VLAN 53 ETH1/0/10-12	10.40.3.1/24	Vlan Name XZ
	VLAN 54 ETH1/0/13-15	10.40.4.1/24	Vlan Name XS
	VLAN 55 ETH1/0/3	10.40.5.2/24	DCFW

	VLAN 56 ETH1/0/4	10.40.6.2/24	DCFW
	VLAN 57 ETH1/0/5	10.40.7.1/24	Vlan Name CW
	VLAN 58 ETH1/0/23	10.40.8.1/24	DCWS Vlan Name TO-CW
	VLAN 60 ETH1/0/24	10.40.16.1/30	DCWS

（二）第一阶段任务书

任务 1：网络平台搭建

题号	网络需求
1	根据网络拓扑图所示，按照 IP 地址参数表，对 DCFW 的名称、各接口 IP 地址进 行配置。
2	根据网络拓扑图所示，按照 IP 地址参数表，对 DCRS 的名称进行配置，创建 VLAN 并将相应接口划入 VLAN。
3	根据网络拓扑图所示，按照 IP 地址参数表，对 DCRS 各接口 IP 地址进行配置。
4	根据网络拓扑图所示，按照 IP 地址参数表，对 DCWS 的各接口 IP 地址进行配置。
5	根据网络拓扑图所示，按照 IP 地址参数表，对 DCBC 的名称、各接口 IP 地址进行配置。

6	根据网络拓扑图所示，按照 IP 地址参数表，对 WAF 的名称、各接口 IP 地址进行配置。

任务 2：网络安全设备配置与防护

DCRS:

1. 尽可能加大总部核心交换机 DCRS 与防火墙 DCFW 之间的带宽。
2. 在总公司和分公司租用了运营商两条裸光纤，实现内部办公互通。一条裸光纤承载公司财务部门业务，另外一条裸光纤承载其他内部有业务。使用相关技术实现总公司财务段路由表与公司其它业务网段路由表隔离。
3. 财务业务位于 VPN 实例名称 CW 内，总公司财务和分公司财务能够通信，财务部门总公司和分公司之间采用 RIP 路由实现互相访问。
4. 为防止终端产生 MAC 地址泛洪攻击，请配置端口安全，已划分 VLAN52 的端口最多学习到 150 个 MAC 地址，发生违规阻止后续违规流量通过，不影响已有流量并产生 LOG 日志；连接 PC1 的接口为专用接口，限定只允许 PC1 的 MAC 地址可以连接。
5. 在交换机上配置，在只允 vlan52 用户在上班时间（周-到周五 8:00 到 18:00） 内访问

vlan53 段 IP。

1. 在公司总部的 DCRS 上配置，需要在交换机第 10 个接口上开启基 于 MAC 地址模式的认证，认证通过后才能访问网络，认证服务器连接在服务器区，IP 地址是 10.40.0.105， radius key 是 dcn。
2. DCRS 上配置，VLAN53 成员接口开启广播风暴抑制功能，参数 设置为 2000pps。

DCFW:

1. 总部 VLAN 业务用户通过防火墙访问 Internet 时，轮询复用公网 IP：113.111.180.5、113.111.180.6。分部 DCBC 配置 NAT 功能使内网用户可通过 DCBC 访问 Internet。
2. DCFW 配置 SSL VPN，名称为 VPNSSL，分部 PC2 通过端口 8866 连接，本地认证账号DCNSSL,密码DCN1234 拨入，地址池范围为192.168.11.100/24-192.168.11.150/24。
3. DCFW 上配置 NAT 功能，使 PC2 能够通过 WEB 方式正常管理到 DCRS，端口号使用 6666;）合理配置安全策略。
4. 总部有线用户（排除财务部）访问 INTERNET 时需要采用认证，在防火墙上开启 WEB 认证，账号密码为 DCNWEB。
5. DCFW 配置 LOG，记录 NAT 会话，Server IP 为 10.40.0.10。开启 DCFW 上 snmp服务，Server IP 10.40.0.10 团体字符为 public5;

DCWS:

1. BC 上配置 DHCP，管理 VLAN 为 VLAN11,为 AP 下发管理地址，AP 通过 DHCP opion43 注册，AC 地址为 VLAN11 地址；为无线用户 VLAN10,20 下发 IP 地址，最后一个可用地址为网关；AP 上线需要采用并启用序列号认证。
2. 在 NETWORK 1、 2 下配置 SSID，需求如下：

        1、设置 SSID DCNWiFi， VLAN10，加密模式为 wpa-personal,其口令为 12345678。

        2、设置 SSID GUEST， VLAN20 不进行认证加密,做相应配置隐藏该 SSID。

1. 在 DCWS 上配置，开启探查请求帧泛洪攻击检测，恢复探查请求帧的检测时间为 3 分钟，恢复请求帧阈值为 240。
2. 配置 SSID GUEST 每天早上 0 点到 7 点禁止终端接入; GUSET 最多接入 50 个用户， 并对 GUEST 网络进行流控，上行 1M，下行 2M；配置所有无线接入用户相互隔离。
3. 为防止外部人员蹭网，现需在设置信号值低于 50%的终端禁止连接无线信号；为防止非法 AP 假冒合法 SSID，开启该检测功能。
4. 通过配置避免接入终端较多且有大量弱终端时，高速客户端被低 速客户端 “拖累”，低速客户端不至于长时间得不到传输。

DCBC:

1. 随着分部业务量的提高，访问量和数据流量的快速增长，其处理能力和计算强度也相应地增大，通过配置相关技术扩展现有网络设备的带宽，加强网络数据处理能力。
2. 分公司用户，通过 BC 访问因特网，BC 采用路由方式，在 BC 上做相关配置，让分公司内网用户（不包含财务）通过 BC 外网口 ip 访问因特网。
3. 对分公司内网用户访问外网数据进行防病毒防护，检查协议类型包含 HTTP、FTP、POP3、SMTP，文件类型包含 exe、bat、vbs、txt，检测到攻击后进行记录日志并阻断
4. 分部出口带宽较低，总带宽只有 200M，为了防止内网所有用户使用 p2p 迅雷下载占用大量带宽需要限制内部所有员工使用 P2P 工具下载的流量，最大上下行带宽都为 50M，以免 P2P 流量占用太多的出口网络带宽，启用阻断记录。
5. DCBC 禁止用户访问网络游戏，包括“堡垒之夜”、“开心消消乐”、“英雄联盟”。
6. 在 DCBC 上配置未通过认证的用户不可以访问 DNS 和 Ping 服务。

WAF:

1. 在 WAF 上配置，要求对内网 HTTP 服务器 172.16.10.45/32 进行安全防护。
2. WAF 上配置对应防护规则，规则名称为“HTTP 特征防护”要求对 SQL 注入、跨站脚本攻击 XSS、信息泄露、防爬虫、恶意攻击进行防护，一经发现立即阻断并发送邮件报警及记录日志。
3. 在 WAF 上配置，编辑防护策略，要求客户机访问网站时，禁止下载文件类型为 exe 的文件，处理动作为阻断。
4. 方便日志的保存和查看，需要在把 WAF 上攻击日志、访问日志、DDoS 日志以 JSON 格式发给 IP 地址为 172.16.10.200 的日志服务器上。
5. 在 WAF 上配置，对 www.test.com 网页进行爬虫防护，处理动作为封禁 60 秒并邮件告警。
6. 在公司总部的 WAF 上配置，WAF 设备的日志使用空间超过 75%每隔 1 分钟进行一次弹幕弹窗，当 DDoS 日志条数上限超过 500000 系 统会自动清理前 10%的日志。

模块二

网络安全事件响应、数字取证调查、应用程序安全

比赛时间

本阶段比赛时间为 180 分钟。

一、 赛项信息

本次大赛，各位选手需要完成三个阶段的任务，每个阶段需要按裁判组专门提供的 U

盘中的“信息安全管理与评估竞赛答题卡-模块 X”提交答案。

选手首先需要在 U 盘的根目录下建立一个名为“GWxx”的文件夹（xx 用具体的工位号替代），请将赛题第二阶段所完成的“信息安全管理与评估竞赛答题卡-模块二”答题文档，放置在文件夹中。

例如：08 工位，则需要在 U 盘根目录下建立“GW08”文件夹，请将第二阶段所完成的“信息安全管理与评估竞赛答题卡-模块二”答题文档，放置在“GW08”文件夹中。

所有测试项目都可由参赛选手根据基础设施列表中指定的设备和软件完成。

二、 评分方案

本阶段总分数为 300 分。

三、 项目和任务描述

随着网络和信息化水平的不断发展，网络安全事件也层出不穷，网络恶意代码传播、信息窃取、信息篡改、远程控制等各种网络攻击行为已严重威胁到信息系统的机密性、完整性和可用性。因此，对抗网络攻击，组织安全事件应急响应，采集电子证据等技术工作是网络安全防护的重要部分。现在，A 集团已遭受来自不明组织的非法恶意攻击，您的团队需要帮助 A 集团追踪此网络攻击来源，分析恶意攻击攻击行为的证据线索，找出操作系统和应用程序中的漏洞或者恶意代码，帮助其巩固网络安全防线。

本模块主要分为以下三个部分：

1. 网络安全事件响应
2. 数字取证调查
3. 应用程序安全

四、 工作任务

任务 1：应急响应

A 集团的 WebServer 服务器被黑客入侵，您的团队需要根据企业提供的环境信息进行数据取证调查，调查服务器被黑客攻击的相关信息。

本任务素材包括：Centos 服务器 C3

用户名：root 密码：root

请按要求完成该部分的工作任务。

任务 1：应急响应
任务编号	任务描述	答案
1	提交攻击者的 IP 地址
2	识别攻击者使用的操作系统
3	提交攻击者首次攻击成功的时间， 格式： DD /MM/YY:HH:MM:SS
4	提交源码泄漏文件名
5	提交攻击者利用的木马文件名
6	识别系统中存在的恶意程序进程，提交进程名
7	找到文件系统中的恶意程序文件并提交文件名
8	简要描述黑客的攻击行为

任务 2：操作系统取证

A 集团某服务器系统感染恶意程序,导致系统关键文件被破坏,请分析A 集团提供的内存镜像，找到镜像中的恶意软件，分析恶意软件行为。

本任务素材清单：内存镜像 C3

请按要求完成该部分的工作任务。

任务 2：操作系统取证
任务编号	任务描述	答案
1	提交镜像安装的系统版本
2	提交攻击者的 IP 地址和连接端口号
3	找出系统执行的第一个命令
4	提交浏览器搜索过的内容
5	提交桌面上的敏感文件的内容
6	提交内存中恶意进程的PID
7	提交恶意进程的服务名

任务 3：恶意程序分析

A 集团发现其发布的应用程序文件遭到非法篡改，您的团队需要协助 A 集团对该恶意程序样本进行逆向分析、对其攻击/破坏的行为进行调查取证。

本任务素材清单：恶意程序文件

请按要求完成该部分的工作任务。

任务 3： 恶意程序分析
任务编号	任务描述	答案
1	提交恶意程序回传数据的 url 地址
2	提交恶意程序会加密哪些类型的文件
3	提交恶意程序加密文件的算法
4	提交恶意程序创建的子进程名称

模块三

网络安全渗透（夺旗挑战 CTF）

比赛时间

本阶段比赛时间为 180 分钟。

一、 赛项信息

网络安全渗透的目标是作为一名网络安全专业人员在一个模拟的网络环境中实现网络安全渗透测试工作。

本模块要求参赛者作为攻击方，运用所学的信息收集、漏洞发现、漏洞利用等技术完成对网络的渗透测试；并且能够通过各种信息安全相关技术分析获取存在的 flag 值。

所有测试项目都可由参赛选手根据基础设施列表中指定的设备和软件完成。

本次大赛，各位选手需要完成三个阶段的任务，每个阶段需要按裁判组专门提供的 U

盘中的“信息安全管理与评估竞赛答题卡-模块 X”提交答案。

选手首先需要在 U 盘的根目录下建立一个名为“GWxx”的文件夹（xx 用具体的工位号替代），请将赛题第三阶段所完成的“信息安全管理与评估竞赛答题卡-模块三”答题文档，放置在文件夹中。

例如：08 工位，则需要在 U 盘根目录下建立“GW08”文件夹，请将第三阶段所完成的“信息安全管理与评估竞赛答题卡-模块三”答题文档，放置在“GW08”文件夹中。

二、 评分方案

本阶段总分数为 400 分。

三、 项目和任务描述

在 A 集团的网络中存在几台服务器，各服务器存在着不同业务服务。在网络中存在着一定网络安全隐患，请利用你所掌握的渗透测试技术，通过信息收集、漏洞挖掘等渗透测试技术，完成指定项目的渗透测试，在测试中获取 flag 值。

本模块所使用到的渗透测试技术包含但不限于如下技术领域：

• 信息收集
• 逆向文件分析
• 二进制漏洞利用
• 应用服务漏洞利用
• 操作系统漏洞利用

• 杂项与密码学分析
• 系统文件分析

所有设备和服务器的 IP 地址请查看现场提供的设备列表。

四、 工作任务

任务 1:答题系统服务器

服务器场景:C97

任务编号	任务描述	答案
1	访问目标 IP:8021，打开第一题,根据页面提示，将获取的 flag 提交。提交格式： flag{xxx}
2	访问目标 IP:8022，打开第二题,根据页面提示，将获取的 flag 提交。提交格式： flag{xxx}
3	访问目标 IP:8023，打开第三题,根据页面提示，将获取的 flag 提交。提交格式： flag{xxx}
4	访问目标 IP:8024，打开第四题,根据页面提示，将获取的 flag 提交。提交格式： flag{xxx}
5	访问目标 IP:8025，打开第五题,根据页面提示，将获取的 flag 提交。提交格式： flag{xxx}

任务 2:门户网站系统

服务器场景:C98

任务编号	任务描述	答案
1	网站存在隐藏信息， 请找出隐藏信息 flag，将 flag1 的值提交。提交格式： flag1{xxx}
2	网站中隐藏了重要的信息，请分析网站找出线索中的 flag2 的值提交。提交格 式：flag2{xxx}
3	系统存在信息泄露的情况，请利用收集到的信息获得 flag3 的值提交。提交格 式：flag3{xxx}
4	找到系统后台并获得 flag4 值，将获取 flag 值进行提交。提交格式：flag4{xxx}
5	利用系统后台存在的漏洞，获得 root 目录下的 flag5，将获取 flag 值进行提交。 提交格式：flag5{xxx}

任务 3:FTP 服务器

服务器场景:C99

任务编号	任务描述	答案
1	请获取FTP 服务器上task21 目录下的文件进行分析，找出其中隐藏的 flag，并 将 flag 提交。flag 格式 flag{<flag 值>}
2	请获取FTP 服务器上task22 目录下的文件进行分析，找出其中隐藏的 flag，并 将 flag 提交。flag 格式 flag{<flag 值>}
3	请获取FTP 服务器上task23 目录下的文

	件进行分析，找出其中隐藏的 flag，并 将 flag 提交。flag 格式 flag{<flag 值>}
4	请获取FTP 服务器上task24 目录下的文件进行分析，找出其中隐藏的 flag，并 将 flag 提交。flag 格式 flag{<flag 值>}
5	请获取FTP 服务器上task25 目录下的文件进行分析，找出其中隐藏的 flag，并 将 flag 提交。flag 格式 flag{<flag 值>}
6	请获取FTP 服务器上task26 目录下的文件进行分析，找出其中隐藏的 flag，并 将 flag 提交。flag 格式 flag{<flag 值>}
7	请获取FTP 服务器上task27 目录下的文件进行分析，找出其中隐藏的 flag，并 将 flag 提交。flag 格式 flag{<flag 值>}
8	请获取FTP 服务器上task28 目录下的文件进行分析，找出其中隐藏的 flag，并 将 flag 提交。flag 格式 flag{<flag 值>}
9	请获取FTP 服务器上task29 目录下的文件进行分析，找出其中隐藏的 flag，并 将 flag 提交。flag 格式 flag{<flag 值>}

任务 4:应用系统服务器

服务器场景:C100

任务编号	任务描述	答案
1	请应用系统服务器 10000 端口存在漏洞，获取 FTP 服务器上 task30 目录下的文件进行分析，请利用漏洞找到 flag， 并将 flag 提交。