旺仔Sec&blog

需要二三阶段解析环境可联系我（微信方式在文章最下方）应急事件响应和恢复措施的主要目标是最小化事件对业务和系统造成的影响，尽快恢复正常运行状态。保证信息安全是整体的安全目标之一，但不是应急响应和恢复措施的直接目标；找出事件责任人是后续可能的工作，但不是应急阶段的主要目标；加强组织内部监管是安全管理的一个方面，也不是应急响应和恢复的主要目标

本次大赛，各位选手需要完成三个阶段的任务，每个阶段需要按裁判组专门提供的U盘中的“信息安全管理与评估竞赛答题卡-模块X”提交答案。选手首先需要在U盘的根目录下建立一个名为“GWxx”的文件夹(xx用具体的工位号替代)，请将赛题第一阶段所完成的“信息安全管理与评估竞赛答题卡-模块一”答题文档，放置在“GWxx”文件夹中。例如：08工位，则需要在U盘根目录下建立“GW08”文件夹，请将第一阶段所完成的“信息安全管理与评估竞赛答题卡-模块一”答题文档，放置在“GW08”文件夹中。【注意事项】只允许在根目录下

2025河北省职业院校技能大赛高职组“信息安全管理与评估”任务书包含但不限于 网络平台搭建与设备安全防护、网络安全事件响应、数据取证调查、应用程序安全、网络安全渗透、理论技能与职业素养

AC 上配置DHCP，管理VLAN 为VLAN100,为AP 下发管理地址，网段中第一个可用地址为AP 管理地址，最后一个可用地址为网关地址，AP通过DHCP opion 43注册，AC地址为loopback1地址；22. 由于分公司到因特网链路带宽比较低，出口只有200M带宽，需要在防火墙配置iQOS，系统中 P2P 总的流量不能超过 100M ，同时限制每用户最大下载带宽为2M，上传为1M，优先保障HTTP应用，为http预留100M带宽。配置AP发送向无线终端表明AP存在的帧时间间隔为2秒；

因此，对抗网络攻击，组织安全事件应急响应，采集电子证据等技术工作是网络安全防护的重要部分。13.在总公司核心交换机 DCRS 配置 IPv6 地址，开启路由公告功能，路由器公告的生存期为 2 小时，确保销售部门的IPv6 终端可以通过DHCP SERVER 获取IPv6 地 址 ， 在 DCRS 上 开 启 IPV6 dhcp server 功 能 ， ipv6 地 址 范 围2001:da8:192:168:31:1::2-2001:da8:192:168:31:1::100。

A集团的WebServer服务器被黑客入侵，该服务器的Web应用系统被上传恶意软件，系统文件被恶意软件破坏，您的团队需要帮助该公司追踪此网络攻击的来源，在服务器上进行全面的检查，包括日志信息、进程信息、系统文件、恶意文件等，从而分析黑客的攻击行为，和残留的关键证据信息。12.FW与SW建立两对IBGP邻居关系，使用AS 65500，FW上loopback1-4为模拟AS 65500中网络，为保证数据通信的可靠性和负载，通过BGP实现到达loopback1,2,3,4的网络冗余，请完成配置。

A 集团的 WebServer 服务器被黑客入侵，该服务器的 Web 应用系统被上传恶意软件，系统文件被恶意软件破坏，您的团队需要帮助该公司追踪此网络攻击的来源，在服务器上进行全面的检查，包括日志信息、进程信息、系统文件、恶意文件等，从而分析黑客的攻击行为，和残留的关键证据信息。11.FW 与 SW 建立两对 IBGP 邻居关系，使用 AS 65500，FW 上 loopback1-4 为模拟 AS 65500 中网络，为保证数据通信的可靠性和负载，使用 IP 前缀列表匹配上述业务数据流，请完成配置。

43.AC 上配置DHCP，管理VLAN 为VLAN100，为AP下发管理地址，网段中第一个可用地址为AP 管理地址，最后一个可用地址为网关地址，AP通过DHCP opion 43注册，AC地址为loopback1地址；A集团的应用服务器被黑客入侵，该服务器的Web应用系统被上传恶意软件，系统文件被恶意软件破坏，您的团队需要帮助该公司追踪此网络攻击的来源，在服务器上进行全面的检查，包括日志信息、进程信息、系统文件、恶意文件等，从而分析黑客的攻击行为，发现系统中的漏洞，并对发现的漏洞进行修复。

1) 入网访问控制2) 网络的权限控制3) 目录级安全控制4) 属性安全控制5) 网络服务器安全控制6) 网络监测和锁定控制7) 网络端口和节点的安全控制8) 防火墙控制(1)包过滤防火墙(2)代理防火墙(3)双穴主机防火墙)(分数:0.00)(试题分类:网络与信息安全工程师)(试题难度:不限难度)(题型:问答题)(标准答案:主要有:简单邮件传输协议(SMTP)、文件传输协议(FTP)、超文本传输协议(HTTP)、远程登录协议(Telnet)、简单网络管理协议(SNMP)、域名系统(DNS)。

随着网络和信息化水平的不断发展，网络安全事件也层出不穷，网络恶意代码传播、信息窃取、信息篡改、远程控制等各种网络攻击行为已严重威胁到信息系统的机密性、完整性和可用性。因此，对抗网络攻击，组织安全事件应急响应，采集电子证据等技术工作是网络安全防护的重要部分。现在，A 集团已遭受来自不明组织的非法恶意攻击，您的团队需要帮助 A 集团追踪此网络攻击来源，分析恶意攻击行为的证据线索，找出操作系统和应用程序中的漏洞或者恶意代码，帮助其巩固网络安全防线

1.根据大赛提供的赛项要求，设计信息安全防护方案，并且能够提供详细的信息安全防护设备拓扑图。2.根据业务需求和实际的工程应用环境，实现网络设备、安全设备、服务器的连接，通过调试，实现设备互联互通。3.在赛项提供的网络设备及服务器上配置各种协议和服务，实现网络系统的运行，并根据网络业务需求配置各种安全策略，组建网络以满足应用需求。4.根据企业所发现的安全事件，展开网络安全事件的调查、分析和取证工作，收集、保存、处理、分析和提供与计算机相关的证据，审计黑客的入侵行为，恢复被黑客破坏的文件。

5.总公司产品部门启用端口安全功能，最大安全MAC地址数为20，当超过设定MAC地址数量的最大值，不学习新的MAC、丢弃数据包、发 snmp trap、同时在syslog日志中记录，端口的老化定时器到期后，在老化周期中没有流量的部分表项老化，有流量的部分依旧保留，恢复时间为10分钟；44.BC上配置DHCP，管理VLAN 为VLAN100,为AP 下发管理地址，网段中第一个可用地址为AP 管理地址，最后一个可用地址为网关地址，AP通过DHCP opion 43注册，AC地址为loopback1地址；

竞赛需要完成三个阶段的任务， 分别完成三个模块，总分共计 1000分。三个模块内容和分值分别是：1.第一阶段：模块一 网络平台搭建与设备安全防护（240 分钟，300 分）。2. 第二阶段：模块二 网络安全事件响应、数字取证调查、应用程序安全（240 分钟，300 分）。3. 第三阶段：模块三 网络安全渗透、理论技能与职业素养（240分钟，400 分）。【注意事项】第一阶段模块一 网络平台搭建与设备安全防护一、竞赛内容第一阶段竞赛内容包括：网络平台搭建、网络安全设备配置与防。

本赛项为团队赛，竞赛分为操作和理论两个部分。理论部分主要考查参赛选手的网络与信息安全知识掌握情况和职业素养。操作部分考查参赛选手的综合实践能力，让选手尝试解决实际问题并不断优化自己的信息安全防护方案，同时根据网络业务需求配置各种安全策略，防范并解决网络恶意入侵和攻击行为，考查参赛选手的网络规划能力、实践操作能力和临场应变能力，检验参赛队的团队协作、质量意识、效益意识和创新意识等。

代码审计是指对源代码进行检查，寻找代码存在的脆弱性，这是一项需要多方面技能的技术。作为一项软件安全检查工作，代码安全审查是非常重要的一部分，因为大部分代码从语法和语义上来说是正确的，但存在着可能被利用的安全漏洞，你必须依赖你的知识和经验来完成这项工作。

总公司用户，通过 BC访问因特网，BC采用路由方式，在 BC 上做相关配置，让总公司内网用户 (不包含财务) 通过 BC外网口访问因特网。随着分部业务量的提高，访问量和数据流量的快速增长，其处理能力和计算强度也相应地增大，通过配置相关技术扩展现有网络设备的带宽，加强网络数据处理能力。分部出口带宽较低，总带宽只有 200M，为了防止内网所有用户使用 p2p迅雷下载占用大量带宽需要限制内部所有员工使用 P2P工具下载的流量，最大上下行带

在 DCWS上配置，开启探查请求帧泛洪攻击检测，恢复探查请求帧的检测时间为 3分钟，恢复请求帧阈值为 240。配置 SSIDGUEST每天早上 0点到 7点禁止终端接入; GUSET最多接入 50个用户，并对 GUEST网络进行流控，上行 1M，下行 2M；配置所有无线接入用户相互隔离。为防止外部人员蹭网，现需在设置信号值低于 50%的终端禁止连接无线信号；为防止非法 AP假冒合法 SSID，开启该检测功能。通过配置避免接入终端较多且有大量弱终端时，高速客户端被低 速客户端 “拖

尽可能加大总部核心交换机 DCRS与防火墙 DCFW之间的带宽，开启 SSH管理功能，创建管理用户，用户名和密码都是 DCN123在总公司和分公司租用了运营商两条裸光纤，实现内部办公互通。一条裸光纤承载公司财务部门业务，另外一条裸光纤承载其他内部有业务。使用相关技术实现总公司财务段路由表与公司其它业务网段路由表隔离，财务业务位于 VPN实例名称 CW内，总公司财务和分公司财务能够通信，财务部门总公司和分公司之间采用 RIP路由实现互相访问。为防止终端产生 MAC地址泛洪攻击，请配置端口安

现在，A 集团已遭受来自不明组织的非法恶意攻击，您的团队需要帮助 A 集团追踪此网络攻击来源，分析恶意攻击攻击行为的证据线索，找出操作系统和应用程序中的漏洞或者恶意代码，帮助其巩固网络安全防线。选手首先需要在 U 盘的根目录下建立一个名为“GWxx”的文件夹（xx 用具体的工位号替代），请将赛题第一阶段所完成的“信息安全管理与评估竞赛答题卡-模块一”答题文档，放置在文件夹中。A 集团某服务器系统感染恶意程序,导致系统关键文件被破坏,请分析A 集团提供的内存镜像，找到镜像中的恶意软件，分析恶意软件行为。

取证的信息可能隐藏在正常的、已删除的或受损的文件中，您可能需要运用编码转换技术、加解密技术、隐写技术、数据恢复技术，还需要熟悉常用的文件格式（如办公文档、压缩文档、图片等）。A 集团的 Linux 服务器被黑客入侵，该服务器的 Web 应用系统被上传恶意软件，系统文件被恶意软件破坏，您的团队需要帮助该公司追踪此网络攻击的来源，在服务器上进行全面的检查，包括日志信息、进程信息、系统文件、恶意文件等，从而分析黑客的攻击行为，发现系统中的漏洞，并对发现的漏洞进行修复。i++) {x=i;

高等职业教育组信息安全管理与评估模块一共计 180 分钟。竞赛阶段任务阶段竞赛任务竞赛时间分值第一阶段网络平台搭建与设备安全防护任务 1网络平台搭建XX:XX- XX:XX50任务 2网络安全设备配置与防护250三、 赛项内容本次大赛，各位选手需要完成三个阶段的任务，其中第一个阶段需要按裁判组专门提供的 U 盘中的“XXX-答题模板”提交答案。第二、三阶段请根据现场具体题目要求操作。选手首先需要在U 盘的根目录下建立一个名为“GWxx”的文件夹（xx 用具体的工位号替代），赛题第一阶段所完成的“XXX-答题

夺旗挑战CTF（网络安全渗透）一、人力资源管理系统（45分）FTP服务器（165分）应用系统服务器（30分）所需的设施设备和材料。运维服务器（30分）

“evidence 10”，有文本形式也有图片形式，不区分大小写），请提取和固定比赛要求的标的证据文件，并按样例的格式要求填写相关信息，证据文件在总文件数中所占比例不低于15%。A集团的应用服务器被黑客入侵，该服务器的Web应用系统被上传恶意软件，系统文件被恶意软件破坏，您的团队需要帮助该公司追踪此网络攻击的来源，在服务器上进行全面的检查，包括日志信息、进程信息、系统文件、恶意文件等，从而分析黑客的攻击行为，发现系统中的漏洞，并对发现的漏洞进行修复。提交素材中的恶意行为发起的dex的SHA1签名值。

6分）DHCPv6配置正确得1分，开启路由公告及公告生存期正确得1分，结果正确4分，如无结果或结果错误，本题0分；6分，开启DHCP服务1分，DHCP地址池配置2分，无线IP地址配置1分，AP注册成功2分，若AP注册不成功，本题0分；6分，端口隔离1分，arp-guard配置正确1分，环路检测配置正确2分、dhcp snooping正确2分。6分，配置2分，有客户端认证结果4分，无结果或结果错误本题0分；6分，限时配置1分，qos配置3分，最大用户1分，用户隔离1分。配置2分，时间计划和地址簿各0.5分；

对给定取证镜像文件进行分析，搜寻证据关键字（线索关键字为“evidence 1”“evidence 2”……“evidence10”，有文本形式也有图片形式，不区分大小写），请提取和固定比赛要求的标的证据文件，并按样例的格式要求填写相关信息，证据文件在总文件数中所占比例不低于15%。取证的信息可能隐藏在正常的、已删除的或受损的文件中，您可能需要运用编码转换技术、加解密技术、隐写技术、数据恢复技术，还需要熟悉常用的文件格式（如办公文档、压缩文档、图片等）。

在其它文件夹名称或文件名称中再次体现工位信息，否则按作弊处理。第一阶段竞赛内容包括：网络平台搭建、网络安全设备配置与防。地址规划表，对三层交换机的名称进行配置，创建。地址规划表，对无线交换机的名称进行配置，创建。地址规划表，对网络日志系统的名称、各接口。地址规划表，对防火墙的名称、各接口。模块一 网络平台搭建与设备安全防护。文件夹中体现一次工位信息，不允许。只允许在根目录下的“GWxx”13812345678)发。为 9:00-18:00。应用防火墙的名称、各接口。网络安全设备配置与防护（

竞赛需要完成三个阶段的任务，分别完成三个模块，总分共计 1000分。【注意事项】第二阶段请根据现场具体题目要求操作。第三阶段网络安全渗透部分请根据现场具体题目要求操作，理论测试部分根据测试系统说明进行登录测试。

随着网络和信息化水平的不断发展，网络安全事件也层出不穷，网络恶意代码传播、信息窃取、信息篡改、远程控制等各种网络攻击 行为已严重威胁到信息系统的机密性、完整性和可用性。因此，对抗 网络攻击，组织安全事件应急响应，采集电子证据等技术工作是网络 安全防护的重要部分。现在，A集团已遭受来自不明组织的非法恶意攻击，您的团队需要帮助 A集团追踪此网络攻击来源，分析恶意攻击行为的证据线索，找出操作系统和应用程序中的漏洞或者恶意代码， 帮助其巩固网络安全防线。

在其它文件夹名称或文件名称中再次体现工位信息，否则按作弊处理。第一阶段竞赛内容包括：网络平台搭建、网络安全设备配置与防。地址规划表，对三层交换机的名称进行配置，创建。地址规划表，对无线交换机的名称进行配置，创建。地址规划表，对网络日志系统的名称、各接口。地址规划表，对防火墙的名称、各接口。盘的根目录下建立一个名为。应用防火墙的名称、各接口。网络安全设备配置与防护（25. 为了提高分公。网络安全设备配置与防护。项老化，有流量的部分依。12. 总部核心交。OSPF V3 使总公。高安全级别，配置组的。

第三阶段竞赛内容是：网络安全渗透、理论技能与职业素养。本阶段分为两个部分。第一部分主要是在一个模拟的网络环境中 实现网络安全渗透测试工作，要求参赛选手作为攻击方，运用所学的信息收集、漏洞发现、漏洞利用等渗透测试技术完成对网络的渗透测试；并且能够通过各种信息安全相关技术分析获取存在的 flag值。第二部分是在理论测试系统中进行考核。

随着网络和信息化水平的不断发展，网络安全事件也层出不穷，网络恶意代码传播、信息窃取、信息篡改、远程控制等各种网络攻击 行为已严重威胁到信息系统的机密性、完整性和可用性。因此，对抗 网络攻击，组织安全事件应急响应，采集电子证据等技术工作是网络 安全防护的重要部分。现在，A集团已遭受来自不明组织的非法恶意攻击，您的团队需要帮助 A集团追踪此网络攻击来源，分析恶意攻击行为的证据线索，找出操作系统和应用程序中的漏洞或者恶意代码， 帮助其巩固网络安全防线。

在BC 上配置激活NTP，本地时区+8:00，并添加 NTP 服务器名。地址，当有流量匹配本地址转换规则时产生日志信息， 将匹配。为了安全考虑，无线用户移动性较强，访问因特网时需要实名。配置出于安全考虑，无线用户访问因特网需要采用认证，在。版本在安全性方面做了极大的扩充。称清华大学，域名为s1b.time.edu.cn。对双向数据流开启所有安全防护，参数和行为为默认。控内网中所有用户的微信账号使用记录，并记录数据。地址规划表，对三层交换机的名称进行配置，创建。地址规划表，对无线交换机的名称进行配置，创建。

某集团公司原在北京建立了总部，在南京设立了分公司。总部设有销售、产品、财务、信息技术4个部门，分公司设有销售、产品、财务3个部门，统一进行IP及业务资源的规划和分配，全网采用OSPF动态路由协议和静态路由协议进行互连互通。公司规模在2023年快速发展，业务数据量和公司访问量增长巨大。为了更好管理数据，提供服务，集团决定建立自己的中型数据中心及业务服务平台，以达到快速、可靠交换数据，以及增强业务部署弹性的目的。集团、分公司的网络结构详见拓扑图。其中总公司使用一台SW交换机用于总部核心和终端高速接入，采用一台B

随着网络和信息化水平的不断发展，网络安全事件也层出不穷，网络恶意代码传播、信息窃取、信息篡改、远程控制等各种网络攻击 行为已严重威胁到信息系统的机密性、完整性和可用性。因此，对抗 网络攻击，组织安全事件应急响应，采集电子证据等技术工作是网络 安全防护的重要部分。现在，A集团已遭受来自不明组织的非法恶意攻击，您的团队需要帮助 A集团追踪此网络攻击来源，分析恶意攻击行为的证据线索，找出操作系统和应用程序中的漏洞或者恶意代码， 帮助其巩固网络安全防线。

A集团的Debian服务器被黑客入侵，该服务器的Web应用系统被上传恶意软件，系统文件被恶意软件破坏，您的团队需要帮助该公司追踪此网络攻击的来源，在服务器上进行全面的检查，包括日志信息、进程信息、系统文件、恶意文件等，从而分析黑客的攻击行为，发现系统中的漏洞，并对发现的漏洞进行修复。SW和AC之间启用MSTP，实现网络二层负载均衡和冗余备份，要求如下：无线用户关联实例 1，信息部门关联实例2，名称为SKILLS，修订版本为1，设置AC为根交换机，走5口链路转发、信息部门通过6口链路转发，同时实现链路备份。

现在，A集团已遭受来自不明组织的非法恶意攻击，您的团队需要帮助A集团追踪此网络攻击来源，分析恶意攻击攻击行为的证据线索，找出操作系统和应用程序中的漏洞或者恶意代码，帮助其巩固网络安全防线。A集团的Linux服务器被黑客入侵，该服务器的Web应用系统被上传恶意软件，系统文件被恶意软件破坏，您的团队需要帮助该公司追踪此网络攻击的来源，在服务器上进行全面的检查，包括日志信息、进程信息、系统文件、恶意文件等，从而分析黑客的攻击行为，发现系统中的漏洞，并对发现的漏洞进行修复。flag格式flag{}

集团、分公司的网络结构详见拓扑图。现在，A集团已遭受来自不明组织的非法恶意攻击，您的团队需要帮助A集团追踪此网络攻击来源，分析恶意攻击攻击行为的证据线索，找出操作系统和应用程序中的漏洞或者恶意代码，帮助其巩固网络安全防线。A集团的Windows服务器被黑客入侵，该服务器的Web应用系统被上传恶意软件，系统文件被恶意软件破坏，您的团队需要帮助该公司追踪此网络攻击的来源，在服务器上进行全面的检查，包括日志信息、进程信息、系统文件、恶意文件等，从而分析黑客的攻击行为，发现系统中的漏洞，并对发现的漏洞进行修复。

CS开启telnet登录功能，用户名skills01，密码skills01，配置使用telnet方式登录终端界面前显示如下授权信息：“WARNING!!! Authorised access only, all of your done will be recorded! Disconnected IMMEDIATELY if you are not an authorised user! Otherwise, we retain the right to pursue the legal responsi

A集团的Debian服务器被黑客入侵，该服务器的Web应用系统被上传恶意软件，系统文件被恶意软件破坏，您的团队需要帮助该公司追踪此网络攻击的来源，在服务器上进行全面的检查，包括日志信息、进程信息、系统文件、恶意文件等，从而分析黑客的攻击行为，发现系统中的漏洞，并对发现的漏洞进行修复。认证服务器10000端口存在漏洞，获取FTP服务器上task14目录下的文件进行分析，请利用漏洞找到flag，并将flag提交。请获取FTP服务器上task10目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。

重点考核参赛选手安全网络组建、网络系统安全策略部署、按照等级保护要求进行系统加固与信息保护、网络安全运维管理等综合实践能力，具体包括：1.参赛选手能够根据大赛提供的赛项要求，设计信息安全防护方案，并且能够提供详细的信息安全防护设备拓扑图。2.参赛选手能够根据业务需求和实际的工程应用环境，实现网络设备、安全设备、服务器的连接，通过调试，实现设备互联互通。3.参赛选手能够在赛项提供的网络设备及服务器上配置各种协议和服务，实现网络系统的运行，并根据网络业务需求配置各种安全策略，组建网络以满足应用需求。