2023信息安全技术应用大赛竞赛试题以及仿真测试题

〃信息平安技术应用〃赛项

竞赛试题（样题）

"信息平安技术应用"赛项专家组

目录

竞赛试题（样题）.................................................................1

一、竞赛内容及评分标准...........................................................3

L1竞赛内容及评分..............................................................3

L2评分方法....................................................................3

二、具体竞赛要求.................................................................4

2.1第一阶段：网络与平安部署..................................................4

2.1.1网络环境搭建和网络平安部署...............................................4

2.1.2主机系统加固部分.............................................................................................................6

2.2.3平安两古（裁判组）........................................................8

2.2其次阶段：场内分组攻防....................................................9

2.3第三阶段：防守场外渗透测试................................................II

2.4文档部纨平判标准.........................................................12

2.4.1电子文件的存放彳灌......................................................12

2.4.2电子文件的命名规则.......................................................12

2.4.3考评内容.................................................................13

2.5团队风貌与协作评判标准....................................................13

一、竞赛内容及评分标准

1.1竞赛内容及评分

本次竞赛内容分为四个部分，每个部分的考试要求及评分标准如下：

第一部分：网络基础连接与配置部分（占30%）

竞赛内容包括：依据组委会供应的网络拓扑图（见附件一）及IP地址规划（见附件二）

全部网络设备网线连接，基本配置，实现网络互联；

其次部分：网络信息平安部分（占55%）

竞赛内容包括：网络平安限制，系统加固、渗透测试及网络攻防；

第三部分：文档部分（占10%）

竞赛内容包括：依据相关文档规范制作本次竞赛的施工文档，放置在指定书目；

第四部分：团队风貌（占5%）

竞赛内容包括：团队风貌、团队协作与沟通、组织与管理实力和工作安排性等。

1.2评分方法

竞赛评分严格依据公允、公正、公开的原则，评分方法如下：

•参赛队成果由裁判委员会统一评定；

•实行分步得分、错误不传递、累计总分的积分方式，分别计算环节得分，不计参赛

选手个人得分；

•在竞赛过程中，参赛选手如有不听从裁判判决、扰乱赛场秩序、舞弊等不文明行为

的，由裁判长依据规定扣减相应分数，情节严峻的取消竞赛资格，竞赛成果记0

分；

•竞赛评分细则依据本竞赛规程在竞赛起先7天之前由执行委员会制定。

二、具体竞赛要求

竞赛范围分为三个阶段进行：

阶段序号步骤

1网络环境搭建

第一阶段：网络与平安部署2网络平安部署

3系统加固

其次阶段：场内攻防对抗4场内分组攻防

第三阶段：场外攻防对抗5防守场外渗透测试

2.1第一阶段：网络与平安部署

2.1.1网络环境搭建和网络平安部署

拓扑图（见附件一），IP地址规划（见附件二）及竞赛要求说明如下：

场景描述：

某公司通过防火墙与互联网相连，为保证公司内部网络和互联网络之间能够相互通信，

要求完成一系列平安方面措施，现进行网络的搭建与配置。

技术要求：

1.依据拓扑图正确连接设备。

2.依据大赛规划设置IP地址与VLAN等基本信息。

3.由RA-RB-RC-FWA组成外网，FWB-RS-SWA-SWB组成内网。

4.外网运行OSPF多区域路由协议;RC与FWA组成AreaO,RA与RC组成Areal,

RB与FWA组成Area2,RA与RB组成Area3,RB与RC组成Area4,将Area2

设为末梢区域，Areal上做虚链路。

5.RB与RC之间运行PPP,采纳CHAP单向认证，RA为主认证方。

6.PCA访问RA时，运用策略路由使流量依据FWA-RB-RA的线路转发。

7.通过RC访问外网的FTP服务，要求运用QoS将下载流量限制在2M范围内。

8.当内网用户访问外网时，由FWB上通过开启NAT功能实现。

9.SWA与SWB之间运用链路捆绑，由2条千兆以太网线相连。

10.RS-SWA-SWB之间通过MSTP技术实现冗余链路的收敛，防止环路的产生，并且

要求SWB的0/3端口阻断。

11.在RS上开启DHCP服务，要求PCC与PCB可以通过RS获得地址，且SWA、

SWB可以阻断除RS之外的任何其他DHCPserver服务。

12.将PCB的MAC地址与SWB的端口进行端口绑定，要求SWB的0/2端口只允许

PCB接入。

13.通过dhcpsnooping实现PCC的IP地址、MAC地址与SWA的端口进行三元

组绑定,要求SWA的0/1接口只允许PCC的IP接入。

14.PCB,PCC访问PCA时，必需运用WEB认证，由FWB设置。

15.在防火墙配置禁止PCB和PCC禁止运用QQ闲聊软件。

16.PCA可以通过telnet远程管理RS设备，在FWB中配置反向NAT.

17.网络中全部的PC均可访问大赛主网络。

18.将通过RS访问外网的全部的数据镜像到IDS所连接的端口上，运用DCNIDS监

控内网全部TCP数据包，并将所捕获的数据生成报告。将IDS服务器架设到PCC

上,并供应搭建胜利IDS正常运行截图与所生成的风险评估柱状图报表。

平安要求

19.为保证平安,请为基础网络设备（路由器、交换机）设置使能密码。

20.为保证平安，请为网络中全部的设备设置telnet远程登录（IDS与堡垒服务器

DCST除外），并设置平安的用户名与口令。

文档要求：

21.将全部设备的配置文件整理上传

22.整理提交相应文档。

2.1.2主机系统加固部分

【场景1说明】：

堡垒主机要求windows2023Server版本；

并预设2个帐号stud1、stud2,开启TerminalServices;

开启如下服务:TaskSchedule.RemoteRegistry.Printspooler,Telnet、Computer

Browser,Messenger,Alerter,DHCPClient。TerminalServices;

开启三个共享C$、ADMIN$、IPC$共享

未设置带密码的屏幕爱护；

选手资料打算：通过mstsc.exe登录目标服务器。

【场景2说明】：

堡垒主机要求RedHatEnterprises版本；

开启ssh服务进程；

系统预制root相应属性为非平安属性；

/etc/profile中UMASK值置077;

并允许root账户网络登录；

选手工具资料：远程登录工具如Putty.

1.任务一：SCENEl账号口令策略

【考题要求】

通过配置windows账号口令策略加强其平安性，包括：

禁用Guest账号；

禁用运用的账号stud1、stud2;

删除不运用的帐号stud1、stud2

密码策略配置：启用密码困难性要求、密码最小长度8位、密码最长保留期30天、强

制密码历史5次；

账户锁定策略设置：复位账户锁定计数器10分钟、账户锁定时间20分钟；账户锁定

阈值：5次无效登录;

2.任务二：SCENE1系统服务加固

【考题要求】

关闭以下系统服务：TaskSchedule,RemoteRegistry.Printspooler.Computer

Browser,Messenger,Alerter,DHCPClient0

3.任务三：SCENE1关闭默认共享

【考题要求】

关闭系统默认共享：包括关闭分区默认共享（C$、D$、E$.）,关闭管理默认共享

（admin$）,关闭IPC$默认共享。

4.任务四：对SCENE1进行TCP/IP堆栈加固

【考题要求】

拒绝服务（DoS）攻击是一种网络攻击，通过加固TCP/IP堆栈来完成防卫。（请修改注

册表加固TCP/IP堆栈\

5.任务五：SCENE1启用屏幕爱护

【考题要求】

启用屏幕爰护程序，防止管理员遗忘锁定机器被非法攻击，设置带密码的屏幕爱护，主

要通过修改屏幕爱护的时间，将屏幕爱护时间修改为10分钟。

6.任务六：SCENE2敏感系统账号设置

【考题要求】

锁定以下账号：

sync;halt;new;uucp;operator;games;gopher

7.任务七：SCENE2账号口令平安

【考题要求】

更改系统管理员账号为困难密码；

配置账号超时5分钟自动注销

设置密码策略：最大口令运用日期180天、最小口令长度8位、口令过期前警告天数

30天

8.任务八：SCENE2文件系统平安

【考题要求】

系统UMASK设置为022

2.2.3平安评估（裁判组）

1.参赛选手登录平安评估系统,填写相应设备的IP、用户名和口令等，点击提交；

2.提交相应文档；

3.各参赛队提交信息后暂停，裁判组进行平安评估。

2.2其次阶段：场内分组攻防

2.2.1场景说明

【场景3说明】

Linux服务器；

操作系统telnet具有弱口令；

建立一个场景4信息的文本文档该文档内容要包含场景4的登录ip地址和帐号密码。

【场景4说明】

堡垒主机要求windowsxpsp2简体中文版本;

建立一个场景5信息的文本文档；

该文档内容要包含场景5的登录ip地址和帐号密码；

要求至少开启的有3389端口，80端口，139端口。开放21端口。

【场景5说明】

堡垒主机要求win2023简体中文版本；

停止Serv-ll;

需确认IIS书目设置为权限可写入;

运用Access数据库。

2.2.2任务说明

1.任务一：场景3主机信息收集

【考题要求】

登录Windows客户端，通过LscanPort端口扫描工具，获得服务器场景3的系统信

息（已知windowsxp地址），查看端口开放状况及相应服务（如ftp,3389远程连接，服

务等I

2.任务二：场景3服务器端口扫描

【考题要求】

通过运用HScan扫描工具来对该服务器进行扫描，排列出开放了哪些端口，并将开放

的端口信息的对应服务写下来。

3.任务三：场景3密码扫描

【考题要求】

利用攻击工具，揣测场景3登录口令，并通过该口令进入目标系统场景3。

4.任务四：查找场景4的登录信息

【考题要求】

在场景3机器上查找场景4登录信息。

5.任务五：场景4的FTP登录帐号和密码破译

【考题要求】

通过破译场景4的FTP帐号和密码，，将里面放置的场景5的登录IP获得。

6.任务六：查找场景5的登录信息

【考题要求】

在场景4机器上查找场景5登录信息。

7.任务七：场景5服务器IIS权限探测

【考题要求】

从攻击客户端上利用iisputscan工具，对其进行IIS写权限探测,验证该书目是否可写；

若该书目验证可写，上传l.txt至场景5.

8.任务八：场景5WEB网站数据库下载

【考题要求】

从攻击客户端阅读器访问场景5服务器的WEB网站，查看其页面代码，找寻网站的

conn.asp（数据库调用文件）,通过该文件获得里面的数据库地址或数据库的用户名和密码。

2.2.3文档说明

提交相应截图和文档。

2.3第三阶段：防守场外渗透测试

2.3.1场景说明

【场景6说明】

堡垒主机要求windows2023Server未安装任何补丁版本

并预设2个帐号stud1stud2,开启远程桌面访问。

开启如下服务：

TaskSchedule.RemoteRegistry.Printspooler,TelnetsComputer

开启远程桌面服务。

Browser.Messenger,Alerter,DHCPClient0

开启三个共享C$、ADMIN$、IPC$共享,开启远程桌面连接服务。

未设置带密码的屏幕爱护。

选手资料打算：远程登录工具。

赛场规则：

1.不行以插拔堡垒服务器网线；

2.不得重启堡垒服务器以及重启堡垒服务器中的虚拟机；

3.不得关闭21、22、23、80、1433、3306、3389、8080服务端口；

4.不得在堡垒服务器中开启防火墙功能，不得安装杀毒软件；

5.不得在堡垒服务器前端架设硬件防火墙，不得在设备上配置ACL阻断外部的访问；

6.禁止运用DoS、DDoS、ARP欺瞒、病毒类等恶意工具攻击大赛主网络。

一经发觉违反以上赛场规则者，取消本阶段竞赛资格。

2.3.2任务说明

1.任务一：场景6加固

【考题要求】

加固自己堡垒主机场景6系统。保证自己的场景6系统可以坚持30分钟以上。

2.任务二：对手场景6攻击

【考题要求】

攻击对手已经加固过的场景6系统。

可采纳溢出、弱口令、绕过登录验证、绕过防注入系统、cookie注入、Sql注入、ASP

注入、PHP注入、JSP注入等多种方法。

3.任务三：被入侵后的总结

参赛选手须要从平安设备和日志系统中，获得入侵者的基本信息并记录提交作为胜利防

守的评判。

2.4文档部分评判标准

2.4.1电子文件的存放位置

将竞赛所须要的文档放置在电脑PCD的桌面，新建"竞赛文档+工位号”文件夹,

在此文件夹下再建立两个子文件夹，分别命名为“设备配置文件"（存放全部设备的配置文

件）和"竞赛验收文档"（存放最终的竞赛结果X

2.4.2电子文件的命名规则

计算机网络组建与平安维护提交文件的命名规则表

项目文件类型命名规则备注

计算机网络信配置文件CFG-设备名称参赛队-工位号.txt

息平安竞赛验收文件Test-参赛队工位号.doc

2.4.3考评内容

•输出文档标准：试验所输出的文档需保存为.doc或docx。

•文档的完整性：试验用全部路由器、交换机、防火墙的配置吩咐的导出是否完整。

•文档图片完整性：IDS设备、堡垒服务器所完成配置的页面是否截屏并完整。

•文档的说明：对于输出的配置吩咐或截屏是否有正确的配置功能说明。

•文档页面设置：上下空：2.5cm;左空：3.0cm（以便装订）;行间距：1.5倍；正

文字号：宋体小四号；

•文档页眉页角：页眉："竞赛名称"+"工位号"；页脚：页码（当前页码/总页数）

2.5团队风貌与协作评判标准

考评内容如下：

•团队风貌：团队精神面貌好

•组织与管理实力：团队成员分工合作，任务匀称

•团队协作与沟通：团队成员有沟通、沟通

•工作环境及设备摆放符合企业生产"5S":操作符合5s（整理、整顿、清扫、清洁、

素养）

•工作安排性：工作安排性强，按时完成任务。

信息平安技术竞赛位卖测试题

X留意事项

1.测试时间：180分钟

2.设备清单3PC+2FW+131ayerswitch+2swith+1IDS+3Router

3.防火墙IPS功能须要许可，假如防火墙还原后，许可失效，请从

FTP自行下载

4.测试过程：

a）审题

b）打算阶段和设备初始化

c）网络环境搭建与调试

d）网络系统加固

e）主机系统加固

f）网络攻击

g）收尾工作

OSPFareaO

CoipB

网络拓朴结构示意图

一、网络环境搭建与调试（40分）

依据表1-3和网络拓扑图中的信息，连接并配置设备，实现

网络功能并将全部交换机/路由器的配置文件通过tftp上传到服

务器上，文件命名格式为设备名-con行g.txt,例如：Sl-config.txt。

表1设备IP地址

设备设备名称设备接口IP地址

Loopback0

R1Fa0/0

串口

Loopback0

路由器

R2so/o

S0/1

申口

R3

FaO/O

VLAN1

VLAN20

VLAN21

S1

三层交换机VLAN22

VLAN23

VLAN50

VLAN100

内网IP

防火墙F1、F2

外网IP

二层交换机S2VLAN1

配置好IIS的WEB、FTP服务,内

服务器Server容自定义禁止WINDOWS防火墙，

将SERVERC盘完全共享，开启远

程桌面。

自由机，配置除IDS外全部的网络

PC机PCA

设备，最放置于VLAN21

PC机ADMINIDS管理机

PC机PC远程电脑

表2基本网络需求说明

需求具体说明

(1)内网全部设备都可以访问外网

(2)结合MSTP实现负载均衡：聚合链路是VLAN20、21的主路径，

Corp-A另一条单线链路是VLAN22、23的主路径

基本要求(3)VLAN21网络的用户通过DHCP获得IP地址

(4)DHCP地址池在S1上配置

(5)外网路由设备可以通过tftp形式上传文件到服务器

Corp-B(1)内部网络可以访问外网

基本要求(2)R3和R2之间采纳PPP连接，CHAP认证密码为654321

设备命名密(1)交换机、路由器依据拓扑图进行主机名命名

码规范(2)R3远程登录用户名admin,密码admin,特权密码secret

(1)R1/R2之间采纳OSPF协议，且配置基于接口的验证，采纳MD5

路由

验证方式,key-id为7,key为xieshang

表3功能需求说明

设备实现具体

名称功能说明

(1)只允许内部用户和VPN用户远程登录管理

平安功能

实施QoS策略使得CorpA内部设备访问服务器的FTP数据报

S1

带宽限制为1Mbps,突发量为2M字节，超过带宽的FTP报文

优化功能

•律丢弃，而VPN用户访问服务器的FTP数据报带宽限制为

200Mbps,突发量为500K字节,超过带宽的FTP报文一律丢弃„

附加功能

R3(1)启动SSH,要求SSH采纳AAA本地认证。

平安功能(2)内网用户在工作时间只允许访问外网WEB服务器以及

VPN连接CorpA,其余时段不受限制。

二、网络系统加固(50分)

设备需求功能说明具体说明

PCA手工配置IP地址为,连接防火墙F1。

(1)防火墙F1上配置，实现PCA、ADMIN通过WEB认证

方式可访问internet,WEB认证方式为s,用户名为

user/user

(2)PC可通过防火墙F1外网IP：地址端口映射80、21到

书本配置

SERVER,也即PC可FTP访问SERVER,WEB阅读

访问SERVER

(3)F1上配置，使PCA、ADMIN可直访问SERVER。

(4)，防火墙DNS默认不允许内网用户PCA、ADMIN访问

网站。

(1)禁止PCA用户从INTERNET下载EXE类型文件。

(2)

(3)禁止内网用户访问包含“化工”，“计算机”、“医药”

三个敏感词的网页。具体要求为：假如页面中包含“化

工"，“计算机"、“医药”三个词中的任何两个或者

网关加固

任何一个关键字出现的次数在两次或两次以上，则对该

页面进行阻断并记录日志信息。

(4)内网电脑上行每IP最大带宽3200K全部IP最大带

宽5000K、下行每IP最大带宽4000K全部IP最大带

宽9000K

防火墙防火墙F1上配置，实现SCVPN功能，要求：

(1)使PC可通过访问防火墙FWe0/1地址:

8666,获得/24地址。

(2)用户名scvpn/scvpn

VPN配置

(3)登录胜利后跳转到FWAe0/1地址的80端口，也即

SERVER的站点。

(4)允许用户同名登录3次，

(5)PC可以ping通PCA、ADMIN、SERVER。

配置防火墙F1的外网接口和VPN接口，使它们具有以下防护：

(1)IP地址扫描攻击防护功能，在3秒时间内，有10个以

上相同旧地址的ICMP包恳求，则发出警报，但允许数

据包通行。

(2)端口扫描攻击防护功能，在3秒时间内，有10个以上相

同IP地址的TCPSYN包恳求，则发出警报，但允许数

平安防护

据包通行。

(3)IP地址欺瞒攻击防护功能

(4)配置SYNFlood攻击防护功能

(5)配置ICMPFlood攻击防护功能

(6)配置PingofDeath攻击防护功能

(7)DNSQueryFlood攻击防护功能

IPS部分(1)配置F1的入侵防卫系统，防止密码暴力破解，每分钟登

设备需求功能说明具体说明

录上限为5次，入侵防卫手段为屏蔽攻击者的IP连续24

小时。(如须要LIC,请自行安装)