2021年山东省职业院校技能大赛高职组“信息安全管理与评估”赛项样题

赛项时间09:00-13:30，共计4个小时30分钟，含赛题发放、收卷时间。赛项信息竞赛阶段任务阶段竞赛任务第一阶段平台搭建与安全设备配置防护任务1网络平台搭建任务2网络安全设备配置与防护第二阶段系统安全攻防及运维安全管控任务1DCN_CMS任务2DCN_WEB任务3DCN_MISC中场收卷第三阶段分组对抗系统加固系统攻防赛项内容本次大赛，各位选手需要完成三个阶段的任务，其中第一、二阶段任务“答题模板”需要存放在裁判组专门提供的U盘中。比赛结束后选手首先需要在U盘的根目录下建立一个名为“xx工位”的文件夹（xx用具体的工位号替代），要求把赛题第一、二阶段完成任务答题模板文档放置在新建文件夹中。例如：08工位，则需要在U盘根目录下建立“08工位”文件夹，并在“08工位”文件夹下直接放置第一阶段答题模板的文档文件。特别说明：只允许在根目录下的“08工位”文件夹中体现一次工位信息，不允许在其他文件夹名称或文件名称中再次体现工位信息，否则按作弊处理。赛项环境设置赛项环境设置包含了两个竞赛阶段的基础信息：网络拓扑图、IP地址规划表、设备初始化信息。网络拓扑图PC环境说明：PC-1（须使用物理机中的虚拟机）：物理机操作系统：Windows764位旗舰版VMwareWorkstation12Pro虚拟机操作系统：KaliLinux（Debian764Bit）虚拟机安装服务/工具：MetasploitFramework虚拟机网卡与物理机网卡之间的关系：Bridge（桥接）PC-2（须使用物理机中的虚拟机）：物理机操作系统：Windows764位旗舰版VMwareWorkstation12Pro虚拟机操作系统：KaliLinux（Debian764Bit）虚拟机安装服务/工具：MetasploitFramework虚拟机网卡与物理机网卡之间的关系：Bridge（桥接）PC-3（须使用物理机中的虚拟机）：物理机操作系统：Windows764位旗舰版VMwareWorkstation12Pro虚拟机操作系统：KaliLinux（Debian764Bit）虚拟机安装服务/工具：MetasploitFramework虚拟机网卡与物理机网卡之间的关系：Bridge（桥接）IP地址规划表设备名称接口IP地址互联可用IP数量防火墙DCFWEth1/24与Internet相连-地址池/24SSLVPN地址池8Eth2/24与DCRS相连-无线交换机DCWSEth24/24与DCRS相连-Eth1-23-AP-WEB应用防火墙WAFEth2-与DCRS相连-Eth3-与DCST相连-三层交换机DCRSVlan254Eth1/24与DCFW相连-Vlan253Eth2/24与DCWS相连-Vlan252Eth3/24与WAF相连-Vlan251Eth4/24与DCBI相连Vlan10Eth5/24与PC-1相连-Vlan20Eth6/24与PC-2相连-网络日志系统DCBIEth1/24与DCRS相连-堡垒服务器DCSTEth1-与WAF相连-PC-1无/24与DCRS相连-PC-2无/24与DCRS相连-PC-3无/24与DCFW相连-备注1.赛题可用IP地址范围见“赛场IP参数表”；2.具体网络连接接口见“赛场互联接口参数表”；3.设备互联网段内可用地址数量见“赛场IP参数表”；4.IP地址分配要求，最节省IP地址，子网有效地址规划遵循2n-2的原则；5.参赛选手按照“赛场IP参数表”要求，自行分配IP地址段、设备互联接口；6.将分配的IP地址段和接口填入“赛场IP参数表”中（“赛场IP参数表”电子文件存于U盘“第一阶段”文件夹中，请填写完整后提交。）设备初始化信息设备名称管理地址默认管理接口波特率用户名密码防火墙DCFWETH09600adminadmin网络日志系统DCBI54ETH0-admin123456WEB应用防火墙WAFETH5-adminadmin123三层交换机DCRS-Console9600--无线交换机DCWS-Console9600--堡垒服务器DCST00Eth7-参见“DCST登录用户表”备注1.所有设备的默认管理接口、管理IP地址不允许修改;2.如果修改对应设备的缺省管理IP及管理端口，涉及此设备的题目按0分处理。

第一阶段任务书（300分）该阶段需要提交配置或截图文档，命名如下表所示：阶段任务序号文档名称第一阶段任务11任务1任务22任务2-DCFW3任务2-DCBI4任务2-WAF5任务2-DCRS6任务2-DCWS任务一：网络平台搭建平台搭建要求如下：题号网络需求1根据网络拓扑图所示，按照IP地址参数表，对WAF的名称、各接口IP地址进行配置。2根据网络拓扑图所示，按照IP地址参数表，对DCRS的名称、各接口IP地址进行配置。3根据网络拓扑图所示，按照IP地址参数表，对DCFW的名称、各接口IP地址进行配置。4根据网络拓扑图所示，按照IP地址参数表，在DCWS上创建相应的VLAN，并将相应接口划入VLAN,对DCWS的管理IP地址进行配置。5根据网络拓扑图所示，按照IP地址参数表，对DCBI的名称、各接口IP地址进行配置。

任务二：网络安全设备配置与防护DCFW:在DCFW上配置，连接LAN接口开启PING等所有管理方式，连接Internet接口关闭所有管理方式，配置trust区域与Untrust之间的安全策略且禁止从外网访问内网的任何设备；DCFW上配置SNAT功能，使内网用户能正常访问外网;在DCFW做相关配置SSLVPN，服务器端口为8888，SSLVPN地址池参见地址表，并配置相应安全策略；DCFW上配置记录所有发布在网站上的文章及帖子，并禁止任意时间内所有用户在计算机与互联网网站中发布关于“价格”的文章或帖子并记录；DCFW上做相关配置要求限制所有用户的任意源ip到目的ip的每5秒新建会话数不超过30；DCFW上配置禁止内网用户访问URL中带有“答案”关键字的所有网站并加以记录;DCBI:在DCBI上配置，设备部署方式为旁路模式，审计引擎模式为普通模式；在DCBI上配置激活NTP，本地时区+8:00，并添加NTP服务器名称清华大学，域名为；在DCBI上配置URL黑白名单，并将加入到黑名单中并在有人访问时网页报警，时间为周一到周五的上班时间9:00-18:00；WAF:在WAF上配置WEB攻击告警，发送间隔为10分钟，选择邮件和短信两种方式，接收邮箱填写gengtao2020@126.com，不需要摘要信息，手机号码填在WAF上开启漏洞扫描功能，目标地址为，每天中午12点扫描SQL注入和拒绝服务；在WAF上配置网站隐身，并添加过滤字符为Server的过滤报头;DCRS:在DCRS上配置vlan10和vlan20的地址池，并将vlan10和vlan20的网关地址排除；为了防止大量的无效报文传送上CPU从而导致负载过重，在DCRS上配置DCP，限速值为50;在DCRS上使用端口隔离功能，使vlan10与vlan20用户无法互通，却能与上行端口互通;DCRS通过vlan1与一个TACACS+认证服务器相连，DCRS的ip地址为/24,TACACS+认证服务器的ip地址为/24，认证端口为缺省端口49，交换机的telnet登录认证方式设置为tacacslocal，在DCRS上配置，当有电脑通过Telnet登录交换机时，使用TACACS+认证服务器对该用户进行认证;DCWS：为防止大量AP因为没有通过认证从而与AC不断地建立非常多的TCP连接，持续消耗AC的CPU资源，在DCWS上配置APFLOOD反制功能使AP在10分钟内与AC建立连接超过5次，将其加入到APFLOOD反制表中,并且60分钟之内不允许再次连接；设置SSIDDCN2020，VLAN30，加密模式为wpa-personal,其口令为dcn12345；在DCWS上配置使某用户的射频类型为IEEE802.11b/g,并且设置RTS的门限值为256字节，当MPDU的长度超过该值时，802.11MAC启动RTS/CTS交互机制；通过配置达到检测网络中是否有未被管理的AP接入有线网络中的要求。第二阶段任务书（450分）特殊说明：任务一：DCN_CMS任务环境说明：PC:攻击机场景1：attack攻击机场景操作系统：Windows7攻击机场景工具：wireshark、firefox、IDAPRO、Burpsuite、VSCode攻击机场景2：kali攻击机场景操作系统：kalilinux用户名/密码：root/toor攻击机场景工具：GCC、GDB、python2、python3DCST:服务器场景：2020dcncms服务器场景操作系统：Linux服务器场景安装服务：web服务注意：连续按下五次shift键获得服务器IP注意：服务器ip地址在控制台banner中，获取不到多次按enter任务内容：1.访问8080端口，将ecshop版本号数字作为flag提交(截图保存)2.访问网站，利用漏洞找到网站根目录的flag1，将flag1作为flag提交（截图保存）3.访问网站，将系统根目录的flag2文件内容作为flag提交（截图保存）任务二：DCN_WEB任务环境说明：PC:攻击机场景：attack攻击机场景操作系统：Windows7攻击机场景工具：wireshark、firefox、IDAPRO、Burpsuite、VSCodeDCST:服务器场景：2020dcnweb服务器场景操作系统：Linux服务器场景安装服务：apache+php+mysql集成环境注意：服务器IP在控制台显示，如IP不显示，按ENTER刷新任务内容：1. 访问目标IP:8090，打开第一题，根据页面提示，获取根目录下的flag提交。提交格式：flag{xxx}(提交花括号里面的字段，截图保存文档提交)2. 访问目标IP:8091，打开第二题,根据页面提示，找到/tmp/目录下flag，将获取的flag提交。提交格式：flag{xxx}(提交花括号里面的字段，截图保存文档提交)3. 访问目标IP:8092，打开第三题,根据页面提示，将获取的flag提交。提交格式：flag{xxx}(提交花括号里面的字段，截图保存文档提交)4. 访问目标IP:8093，打开第四题,根据页面提示，获取数据库中flag，将获取的flag提交。提交格式：flag{xxx}(提交花括号里面的字段，截图保存文档提交)5. 访问目标IP:8094，打开第五题,根据页面提示，将获取的flag提交。提交格式：flag{xxx}(提交花括号里面的字段，截图保存文档提交)任务三：DCN_MISC任务环境说明：PC:攻击机场景：attack攻击机场景操作系统：Windows7攻击机场景工具：wireshark、firefox、IDAPRO、Burpsuite、VSCodeDCST：服务器场景：2020dcnmisc服务器场景操作系统：Linux服务器场景安装服务：apache+php+mysql集成环境注意：服务器IP在控制台显示，如IP不显示，按ENTER刷新任务内容：1. 访问目标IP:80，点击”Cam”，下载文件并获取中flag，将获取的flag提交。提交格式：flag{xxx}(提交花括号里面的字段，截图保存文档提交)2. 访问目标IP:80，点击”Hex”，下载文件并获取中flag，将获取的flag提交。提交格式：flag{xxx}(提交花括号里面的字段，截图保存文档提交)3. 访问目标IP:80，点击”rar”，下载文件并获取中flag，将获取的flag提交。提交格式：flag{xxx}(提交花括号里面的字段，截图保存文档提交)4. 访问目标IP:80，点击”four”，下载文件并获取中flag，将获取的flag提交。提交格式：flag{xxx}(提交花括号里面的字段，截图保存文档提交)5. 访问目标IP:80，点击”docx”，下载文件并获取中flag，将获取的flag提交。提交格式：flag{xxx}(提交花括号里面的字段，截图保存文档提交)6.访问目标IP:80，点击”wireshark”，下载文件并获取中flag，将获取的flag提交。提交格式：flag{xxx}(提交花括号里面的字段，截图保存文档提交)7.访问目标IP:80，点击”ping”，下载文件并获取中flag，将获取的flag提交。提交格式：flag{xxx}(提交花括号里面的字段，截图保存文档提交)8.访问目标IP:80，点击”docx2”，下载文件并获取中flag，将获取的flag提交。提交格式：flag{xxx}(提交花括号里面的字段，截图保存文档提交)9.访问目标IP:80，点击”TLS”，下载文件并获取中flag，将获取的flag提交。提交格式：flag{xxx}(提交花括号里面的字段，截图保存文档提交)第三阶段分组对抗（250分）假定各位选手是某企业的信息安全工程师，负责服务器的维护，该服务器可能存在着各种问题和漏洞（见以下漏洞列表）。你需要尽快对服务器进行加固，十五分钟之后将会有很多白帽黑客（其它参赛队选手）对这台服务器进行渗透测试。提示1：该题不需要保存文档；提示2：服务器中的漏洞可能是常规漏洞也可能是系统漏洞；提示3：加固常规漏洞；提示4：对其它参赛队系统进行渗透测试，取得FLAG值并提交到裁判服务器。十五分钟之后，各位选手将真正进入分组对抗环节。注意事项：注意1：任何时候不能关闭服务器80端口，要求站点能够被正常访问；注意2：不能对服务器、网络设备进行攻击，一经发现立即终止该参赛队的比赛，参赛选手清离赛场，并隔离到比赛结束。注意3：在加固阶段（前十五分钟，具体