2013年全国职业院校技能大赛高职组“神州数码”信息安全技术应用赛题

2013年全国职业院校技能大赛高职组“神州数码”杯信息安全技术应用赛项(一)竞赛内容竞赛阶段竞赛任务考核内容第一阶段网络平台搭建网络互联网络设备配置网络安全设备配置与防护网络设备安全策略部署系统服务管理与安全策略部署第二阶段网站安全攻防应用服务漏洞安全攻防系统安全攻防网络系统漏洞安全攻防系统运维管控网络系统运维管控方案的设计第三阶段总结报告撰写《项目实验方案设计》(二)竞赛时间✓6小时(三)技术指标✓考核对基础网络设备的操作及管理能力✓考核对主流服务器操作系统的操作及管理能力✓考核对网络安全设备的部署、配置及管理能力✓考核对网络系统进行测试渗透的能力✓考核对网络系统进行运维管控的能力✓考核对任务计划、实施及总结的能力(四)技术文件要求✓考核对《计算机信息系统安全保护等级划分准则GB17859-1999》的理解✓考核对网络系统运维管控的能力(五)分值比例竞赛阶段任务阶段竞赛任务考核内容分值比例第一阶段任务一网络平台搭建（20%）网络互联10%网络设备配置10%任务二网络安全设备配置与防护（20%）网络设备安全策略部署10%系统服务管理与安全策略部署10%第二阶段任务三网站安全攻防（20%）应用服务漏洞安全攻防20%任务四系统安全攻防（20%）网络系统漏洞安全攻防20%任务五系统运维管控（10%）网络系统运维管控方案的设计10%第三阶段任务六总结报告（10%）撰写《项目实验方案设计》10%2013年全国职业院校技能大赛高职组“神州数码”杯信息安全技术应用赛项-样题一、第一阶段任务书你们是某公司的IT运维人员，担负公司网络系统的安全的责任。第一阶段任务是完成网络搭建、网络安全设备配置两项任务，并提交所有文档留存备案，文档需要存放在“提交专用U盘”中。任务一：网络搭建(一)任务描述你们是某公司的IT系统运维工程师，公司总部设在北京，并决定在广州开设分公司。为了便于公司业务的信息化，需要你们对整个公司网络进行搭建，同时为了便于公司的管理与宣传，需要在内、外网的服务器上部署相应服务。(二)技术要求北京总公司与广州分公司内网都运行路由协议，由于公司内部很多数据在传输时需要注意安全性，因此在出口防火墙上要配置远程接入VPN，实现内网数据安全。除了网络设备部分，公司还在北京总部内网部署了两台服务器。拓扑图如下：(三)IP地址规划表设备类型设备名称接口编号接口地址WEB应用防火墙WAF0接口（透明模式）/24（管理地址）1接口（透明模式）/24（管理地址）流量整形DCFS1接口/24（管理地址）2接口/24（管理地址）上网行为管理DCBI1接口/242接口/24防火墙DCFW1接口/242接口/24三层交换机DCRS1接口Vlan10:/242接口Vlan20:/243接口Vlan30:/244接口Vlan40:/24PC机PCA/24PCB/24PCC/24(四)任务内容序号网络需求1根据网络拓扑图所示，按照IP地址规划表，对WAF的名称、各接口IP地址进行配置；2根据网络拓扑图所示，按照IP地址规划表，对DCRS的名称、各接口IP地址进行配置；3根据网络拓扑图所示，按照IP地址规划表，对DCFW的名称、各接口IP地址进行配置；4根据网络拓扑图所示，按照IP地址规划表，对DCFS的名称、各接口IP地址进行配置；5根据网络拓扑图所示，按照IP地址规划表，对DCBI的名称、各接口IP地址进行配置；6根据网络拓扑图所示，按照IP地址规划表，在DCRS交换机上创建相应的VLAN，并将相应接口划入VLAN；7总公司内网的核心交换机DCRS采用MSTP技术，创建生成树实例2，将VLAN50和VLAN60加入到实例2，并设置实例2的优先级为8192；8根据网络拓扑结构所示，在北京总公司内网配置RIPv2，使内网能正常通信；9根据网络拓扑结构所示，在广州分公司内网配置静态，使内网能正常通信；10根据网络拓扑结构所示，在DCFW上做PAT，使得内网用户可以正常访问外网的PCB，转换地址为防火墙外接口IP；11在3台客户机上分别对内网服务器进行联通行测试，验证是否可以正常ping通；12在3台客户机上分别对公网服务器A进行联通行测试，验证是否可以正常ping通；13在3台客户机上分别对DCRS的telnet功能进行检验，验证是否可以正常登录；（五）提交要求（1）三层交换机设备要求提供congfig配置文件并将内容存入到WORD文档，而防火墙需要提交截图存入WORD文档，并在截图中加以说明。（2）文件命名方式：设备名称.doc（3）将提交文件保存至“提交专用U盘”中的“任务一”目录中

任务二：安全管理（一）任务描述为了便于管理公司内网，且为公司员工营造一个和谐、安全的工作环境，你在公司内部引入了上网行为管理，流量整形等设备，进行内网优化。（二）技术要求✓根据需求配置DCFS与DCBI；（三）任务内容序号网络需求1公司内有一员工经常使用BT下载电影，现在使用网络内的流量管理网关对PCB限制，禁止使用P2P软件。2网络内有上网行为管理设备，现在对PCB的聊天记录进行监控。3PCB如果想通过DCFW访问PCA，需要通过web认证。4PCA用户不会配置IP地址，现在将DCFW作为DHCP服务器，为其分配地址。5在PCA通过DCFW访问PCB时，禁止使用聊天软件。6现在公司内有一台上网行为管理设备，公司希望通过此设备能够限制PCA与PCB的访问，使这两台PC机不能访问美国谷歌网站。7在限制PCA与PCB的同时，希望能够同时监控服务器B对网站的访问。8在DCFW进行安全策略添加，只允许对服务器操作必须经过安全审计系统才能进行访问（四）提交要求（1）提交配置过程截图存入WORD文档，并在截图中加以说明。（2）文件命名方式：设备名称.doc（3）将提交文件保存至“提交专用U盘”中的“任务二”目录中二、

第二阶段任务书第二阶段的参赛相关信息见附件二：《第二阶段参赛文件》，该文件将在竞赛现场以纸面的方式提供给选手。任务三应用服务漏洞安全攻防(一)任务描述作为公司的网络管理者，你发现你所在的公司网站及不安全，在一次常规检测中，发现有一名不法者入侵了公司网站，为此你要做出正确的部署，以保护网站的安全。为了能够彻底的查清不法者入侵的手法与过程，你要正确的还原整个入侵的过程，以策划针对网站安全的策略部署。经过仔细排查，你发现不法者总共使用三种方法入侵了你的网站，请你重现这三种入侵手段，站在不法者的角度对公司的网站进行渗透测试，并进行详细的记录。当你了解了不法者的手段后，为了阻止这种情况，请利用WAF设备，针对这三种入侵手段进行防护，并将配置过程进行详细的记录。为了验证你的WAF设备已经成功拦截了入侵，请再次模拟不法者的入侵手法，以验证防护成果。并将防护成果进行详细记录。(二)技术要求为了保证渗透测试的全面性，专门为你们小组提供一台WEBserver用来进行渗透，在渗透成功后利用WAF防护。(三)任务内容渗透WEB服务器，每成功渗透一个漏洞，便要根据WAF中设置进行相应的防护。渗透测试所需要安全攻防工具可以在自己的参赛PC机中找到。注意：选手可以同时将三台XP客户机，连接到三层交换机的同一VLAN接口中，调整IP地址后，同时进行服务器加固和渗透工作。(四)提交要求（1）提交配置过程截图存入WORD文档，并在截图中加以说明。（2）文件命名方式：应用服务漏洞安全攻防.doc（3）将提交文件保存至“提交专用U盘”中的“任务三”目录中任务四网络系统漏洞安全攻防(一)任务描述你在维护公司网络的时候，发现在公司的服务器群中有一台年久失修的服务器要进行报废处理，但是里面有一个很重要的文件，但是由于太长时间没有人进行维护管理，主机的用户名与密码早已丢失，为了能够获得这个文件，你需要进入这台服务器。利用你有限的工具资源，进入服务器内，拿到工作文件。目前已知此服务器为一台windows服务器，且此服务器存在两个漏洞。请利用此漏洞进入系统(二)技术要求通过你的客户端对服务器进行渗透。(三)任务内容为了避免今后公司中还会出现此类问题，请将进入系统的操作过程仅进行记录。请将利用两个漏洞的入侵过程全部详细记录。当你拿到工作文件后，为了能够使这台服务器能够继续的、安全的使用，请将这两个漏洞进行修补，并将修补过程详细记录。(四)提交要求（1）提交配置过程截图存入WORD文档，并在截图中加以说明。（2）文件命名方式：网络系统漏洞安全攻防.doc（3）将提交文件保存至“提交专用U盘”中的“任务四”目录中任务五《网络系统运维管控方案》设计(一)任务描述作为公司的网络维护者，你成功的解决了很多网络中发生的问题，得到了公司领导的高度认同，为了能够让公司的网络能够长久的健康、稳定的运行，你认为应该将公司的服务器进一步维护、加固。(二)技术要求针对系统行整改加固，并根据附件一所提供的模板，设计《网络系统运维管控方案》。(三)任务内容经过仔细的检查，你发现公司的网络系统还是存在一定数量的威胁与不安全因素，根据附件一所提供的模板，对网络系统进行加固，并按照要求完成《网络系统运维管控方案》的设计。(四)提交要求（1）根据附件一中的方案内容要求进行填写及设计。（2）文件命名方式：网络系统运维管控方案.doc（3）将提交文件保存至“提交专用U盘”中的“任务五”目录中三、第三阶段任务书任务六撰写赛项任务报告子任务一：《项目实现方案设计》(一)任务描述每个参赛队根据任务书中提出的项目案例描述和要求，完成《项目实现方案设计》，有关内容和要求可参照模板，见附件三。(二)内容要求（1）完成项目案例风险分析或存在的问题分析；（2）根据项目目标，确定解决方案，画出实现方案设计拓扑图，并写出部署和设计思想。（三）提交要求（1）《项目实现方案设计》文件命名方式：工位号-方案设计.doc（2）将《项目实现方案设计》保存至“提交专用U盘”中的“任务六”目录中子任务二：《信息安全技术应用赛项任务总结报告》(一)任务描述每个参赛队撰写一份《信息安全技术应用赛项任务总结报告》，有关报告内容可参加以下要求(二)内容要求（1）工作任务的组织分工与团队合作（2）完成工作过程中的理解思考，内容可以包括：对赛题工作任务的分析理解、解决方案和工作计划的制定，以及通过研讨解决问题等方面的内容。（三）提交要求（1）《信息安全技术应用赛项任务总结报告》文件命名方式：工位号-总结报告.doc（2）将《信息安全技术应用赛项任务总结报告》保存至“提交专用U盘”中的“任务六”目录中四、附件附件一《系统运维管控方案》(一)任务描述作为公司的网络维护者，你成功的解决了很多网络中发生的问题，得到了公司领导的高度认同，为了能够让公司的网络能够长久的健康、稳定的运行，你认为应该将公司的服务器进一步维护、加固。(二)技术要求针对服务器进行整改加固。1.检查系统中的不合法用户（示例）序号Windows–0001弱点描述（操作原因）检测系统中是否存在不合法的用户。包括隐藏用户(结尾以$结束的)及长期未使用的账户可能导致系统存在威胁。结果分析Administrator用户已重命名为czbzgl,且所属用户组正常，无明显安全问题。操作步骤锁定或者删除无用账户，删除非法账户。查看隐藏用户方法：打开注册表HKEY_LOCAL_MACHINE\SAM\SAM右键--权限赋予administrator权限，刷新，打开domains\accounts\下的users和Names备注2.更改Windows系统文件分区属性，使用NTFS分区序号Windows–0002弱点描述（操作原因）Windows的访问控制需要基于NTFS，未采用NTFS将无法使用包括加密文件系统（EFS）等在内的安全功能。结果分析操作步骤备注3.检查windows的Path环境变量异常序号Windows–0003弱点描述（操作原因）查看管理员用户Path环境变量中存在当前不正常目录可能会导致误执行一个恶意文件。结果分析操作步骤备注4.关闭windows的135、445端口序号Windows–0004弱点描述（操作原因）默认安装的Windows服务器没关闭135、445端口.结果分析操作步骤备注5.关闭windows默认共享序号Windows–0005弱点描述（操作原因）默认情况下，任何用户都可通过空连接连上服务器，进而枚举出账号，猜测密码。结果分析操作步骤备注6.修改windows的SNMP默认public值序号Windows–0006弱点描述（操作原因）SNMP默认存在可读字符串public和可读写字符串private，如果设备使用后没有修改默认密码，则可以导致攻击者获得关于该机器的有价值的信息，如关于网络设备和当前开放连接的信息，甚至完全控制此设备。结果分析操作步骤备注附件二《第二阶段参赛文件》工位号：WEB服务器IP地址：用户名：密码：Windows服务