全国职业院校技能大赛

高等职业教育组

信息安全管理与评估

赛题二

模块一

网络平台搭建与设备安全防护

赛项时间

共计180分钟。

赛项信息

竞赛阶段

任务阶段

竞赛任务

竞赛时间

分值

第一阶段

网络平台搭建与设备安全防护

任务1

网络平台搭建

XX:XX- XX:XX

任务2

网络安全设备配置与防护

250

赛项内容

本次大赛，各位选手需要完成三个阶段的任务，其中第一个阶段需要按裁判组专门提供的U盘中的“XXX-答题模板”提交答案。第二、三阶段请根据现场具体题目要求操作。

选手首先需要在U盘的根目录下建立一个名为“GWxx”的文件夹（xx用具体的工位号替代），赛题第一阶段所完成的“XXX-答题模板”放置在文件夹中。

例如：08工位，则需要在U盘根目录下建立“GW08”文件夹，并在“GW08”文件夹下直接放置第一个阶段的所有“XXX-答题模板”文件。

特别说明：只允许在根目录下的“GWxx”文件夹中体现一次工位信息，不允许在其他文件夹名称或文件名称中再次体现工位信息，否则按作弊处理。

赛项环境设置

网络拓扑图

IP地址规划表

第一阶段任务书

任务1：网络平台搭建（50分）

题号	网络需求
1	根据网络拓扑图所示，按照IP地址参数表，对FW的名称、各接口IP地址进行配置。
2	根据网络拓扑图所示，按照IP地址参数表，对SW的名称进行配置，创建VLAN并将相应接口划入VLAN。

3	根据网络拓扑图所示，按照IP地址参数表，对AC的各接口IP地址进行配置。
4	根据网络拓扑图所示，按照IP地址参数表，对BC的名称、各接口IP地址进行配置。
5	按照IP 地址规划表，对WEB 应用防火墙的名称、各接口IP 地址进行配置。

任务2：网络安全设备配置与防护（250分）

SW和AC开启SSH登录功能，SSH登录账户仅包含“USER-SSH”，密码为明文“123456”，采用SSH方式登录设备时需要输入enable密码，密码设置为明文“enable” 。
应网监要求，需要对上海总公司用户访问因特网行为进行记录，需要在交换机上做相关配置，把访问因特网的所有数据镜像到交换机1/0/18口便于对用户上网行为进行记录。
尽可能加大上海总公司核心和出口之间带宽，端口模式采用lacp模式。
上海总公司和南昌分公司租用了运营商两条裸光纤，实现内部办公互通，要求两条链路互为备份，同时实现流量负载均衡，流量负载模式基于Dst-src-mac模式。
上海总公司和南昌分公司链路接口只允许必要的vlan通过，禁止其它vlan包括vlan1二层流量通过。
为防止非法用户接入网络，需要在核心交互上开启DOT1X认证，对vlan40用户接入网络进行认证，radius-server 为192.168.100.200。
为了便于管理网络，能够让网管软件实现自动拓朴连线，在总公司核心和分公司AC上开启某功能，让设备可以向网络中其他节点公告自身的存在，并保存各个邻近设备的发现信息。
ARP 扫描是一种常见的网络攻击方式，攻击源将会产生大量的 ARP 报文在网段内广播，这些广播报文极大的消耗了网络的带宽资源，为了防止该攻击对网络造成影响，需要在总公司交换机上开启防扫描功能，对每端口设置阈值为40，超过将关闭该端口20分钟后自动恢复，设置和分公司互联接口不检查。
总公司SW交换机模拟因特网交换机，通过某种技术实现本地路由和因特网路由进行隔离，因特网路由实例名internet。
对SW上VLAN40开启以下安全机制：

业务内部终端相互二层隔离，启用环路检测，环路检测的时间间隔为10s，发现环路以后关闭该端口，恢复时间为30分钟；如私设DHCP服务器关闭该端口;开启防止ARP网关欺骗攻击。

配置使上海公司核心交换机VLAN31业务的用户访问因特网数据流经过10.10.255.1返回数据通过10.10.255.5。要求有测试结果。
为响应国家号召，公司实行IPV6网络升级改造，公司采用双栈模式，同时运行ipv4和ipv6，IPV6网络运行OSPF V3协议，实现内部ipv6全网互联互通，要求总公司和分公司之间路由优先走vlan1001，vlan1002为备份。
在总公司核心交换机SW配置IPv6地址，开启路由公告功能，路由器公告的生存期为2小时，确保销售部门的IPv6终端可以通过DHCP SERVER 获取IPv6地址，在SW上开启IPV6 dhcp server功能，ipv6地址范围2001:da8:192:168:31:1::2-2001:da8:192:168:31:1::100。
在南昌分公司上配置IPv6地址，使用相关特性实现销售部的IPv6终端可自动从网关处获得IPv6无状态地址。
FW、SW、AC之间配置OSPF，实现ipv4网络互通。要求如下：区域为 0 同时开启基于链路的MD5认证，密钥自定义，传播访问INTERNET 默认路由，分公司内网用户能够与总公司相互访问包含loopback地址；分公司AC和BC之间运行静态路由。
总公司销售部门通过防火墙上的DHCP SERVER获取IP地址，server IP地址为10.0.0.254，地址池范围192.168.31.10-192.168.31.100，dns-server 8.8.8.8。
总公司交换机上开启dhcp server 为无线用户分配ip地址，地址租约时间为10小时，dns-server 为114.114.114.114，前20个地址不参与分配,第一个地址为网关地址。
如果SW的11端口的收包速率超过30000则关闭此端口，恢复时间5分钟；为了更好地提高数据转发的性能，SW交换中的数据包大小指定为1600字节。
交换机的端口 10不希望用户使用 ftp，也不允许外网 ping 此网段的任何一台主机。
交换机vlan 30 端口连接的网段IPV6 的地址为 2001:da8:192:168:30:1::0/96 网段，管理员不希望除了2001:da8:192:168:30:1:1::0/112网段用户访问外网。
为实现对防火墙的安全管理，在防火墙FW的Trust安全域开启PING,HTTP，telnet，SNMP功能，Untrust安全域开启ping、SSH、HTTPS功能。
在总部防火墙上配置，总部VLAN业务用户通过防火墙访问Internet时，复用公网IP： 223.20.23.1/29，保证每一个源IP 产生的所有会话将被映射到同一个固定的IP 地址，当有流量匹配本地址转换规则时产生日志信息，将匹配的日志发送至192.168.100.10 的UDP 2000 端口。
远程移动办公用户通过专线方式接入总部网络，在防火墙FW上配置，采用SSL方式实现仅允许对内网VLAN 30的访问，端口号使用4455，用户名密码均为ABC2023，地址池参见地址表。
总公司部署了一台WEB服务器ip为192.168.50.10，为外网用户提供web服务，要求外网用户能访问服务器上的web服务（端口80）和远程管理服务器（端口3389），外网用户只能通过223.20.23.2外网地址访问服务器web服务和3389端口。
为了安全考虑，需要对内网销售部门用户访问因特网进行实名认证，要求在防火墙上开启web认证使用https方式，采用本地认证，密码账号都为web2023，同一用户名只能在一个客户端登录，设置超时时间为30分钟。
由于总公司到因特网链路带宽比较低，出口只有200M带宽，需要在防火墙配置iQOS，系统中 P2P 总的流量不能超过 100M ，同时限制每用户最大下载带宽为4M，上传为2M，http访问总带宽为50M。
财务部门和公司账务有关，为了安全考虑，禁止财务部门访问因特网，要求在防火墙FW做相关配置
由于总公司销售和分公司销售部门使用的是同一套CRM系统，为了防止专线故障导致系统不能使用，总公司和分公司使用互联网作为总公司销售和分公司销售相互访问的备份链路。FW和BC之间通过IPSEC技术实现总公司销售段与分公司销售之间联通，具体要求为采用预共享密码为 ***2023，IKE 阶段 1 采用 DH 组 1、3DES 和 MD5 加密方，IKE 阶段 2 采用 ESP-3DES，MD5。
分公司用户，通过BC访问因特网，BC采用路由方式，在BC上做相关配置，让分公司内网用户通过BC外网口ip访问因特网。
在BC上配置PPTP vpn 让外网用户能够通过PPTP vpn访问分公司AC上内网资源，用户名为GS01，密码GS0123。
分公司部署了一台安全攻防平台，用来公司安全攻防演练，为了方便远程办公用户访问安全攻防平台，在BC上配置相关功能，让外网用户能通过BC的外网口接口IP，访问内部攻防平台服务器，攻防平台服务器地址为192.168.100.10端口：8080。
在BC上配置url过滤策略，禁止分公司内网用户在周一到周五的早上8点到晚上18点访问外网www.skillchina.com。
对分公司内网用户访问外网进行网页关键字过滤，网页内容包含“暴力”“赌博”的禁止访问
为了安全考虑，无线用户移动性较强，访问因特网时需要实名认证，在BC上开启web认证使用http方式，采用本地认证，密码账号都为web2023。
DOS攻击/DDoS 攻击通常是以消耗服务器端资源、迫使服务停止响应为目标，通过伪造超过服务器处理能力的请求数据造成服务器响应阻塞，从而使正常的用户请求得不到应答，以实现其攻击目的，在分公司内网区域开起DOS攻击防护，阻止内网的机器中毒或使用攻击工具发起的 DOS 攻击，检测到攻击进行阻断。
分公司BC上配置NAT64，实现分公司内网ipv6用户通过BC出口ipv4地址访问因特网。
分公司内网攻防平台，对Internet提供服务，在BC上做相关配置让外网IPV6用户能够通过BC外网口IPV6地址访问攻防平台的web服务端口号为80。
BC上开启病毒防护功能，无线用户在外网下载exe、rar、bat文件时对其进行杀毒检测，防止病毒进入内网，协议流量选择HTTP杀毒、FTP杀毒、POP3、SMTP。
公司内部有一台网站服务器直连到WAF，地址是192.168.50.10，端口是8080，配置将访问日志、攻击日志、防篡改日志信息发送syslog日志服务器， IP地址是192.168.100.6，UDP的514端口。
编辑防护策略，在“专家规则”中定义HTTP请求体的最大长度为256，防止缓冲区溢出攻击。
WAF上配置开启爬虫防护功能，防护规则名称为http爬虫，url为www.2023skills.com，自动阻止该行为；封禁时间为3600秒。
WAF上配置，开启防盗链，名称为http盗链，保护url为www.2023skills.com，检测方式referer+cookie，处理方式为阻断，并记录日志。
WAF上配置开启IDP防护策略，采用最高级别防护，出现攻击对攻击进行阻断。
WAF上配置开启DDOS防护策略，防护等级高级并记录日志。
在公司总部的WAF上配置，内部web服务器进行防护安全防护，防护策略名称为web_p，记录访问日志，防护规则为扫描防护规则采用增强规则、HTTP协议校验规则采用专家规则、特征防护规则采用专家规则、开启爬虫防护、开启防盗链、开启敏感信息检测
AC上配置DHCP，管理VLAN 为VLAN1000,为AP 下发管理地址，AP通过DHCP opion 43注册，AC地址为loopback1地址。
在NETWORK下配置SSID，需求如下：
NETWORK 1下设置SSID SKILL-WIFI，VLAN10，加密模式为wpa-peSWonal,其口令为12345678，开启隔离功能。

NETWORK 2下设置SSID GUEST，VLAN20不进行认证加密,做相应配置隐藏该SSID，NETWORK 2开启内置portal+本地认证的认证方式，账号为XXX密码为test2023。

为了合理利用AP性能，需要在AP上开启5G优先配置5G优先功能的客户端的信号强度门限为40
通过配置防止多AP和AC相连时过多的安全认证连接而消耗CPU资源，检测到AP与AC在10分钟内建立连接5次就不再允许继续连接，两小时后恢复正常；GUSET最多接入50个用户，并对GUEST网络进行流控，上行1M，下行2M。

全国职业院校技能大赛

高等职业教育组

信息安全管理与评估

模块二

网络安全事件响应、数字取证调查、应用程序安全

竞赛项目赛题

本文件为信息安全管理与评估项目竞赛-第二阶段样题，内容包括：网络安全事件响应、数字取证调查、应用程序安全。

本次比赛时间为180分钟。

介绍

竞赛有固定的开始和结束时间，参赛队伍必须决定如何有效的分配时间。请认真阅读以下指引！

（1）当竞赛结束，离开时请不要关机；

（2）所有配置应当在重启后有效；

（3）请不要修改实体机的配置和虚拟机本身的硬件设置。

所需的设备、机械、装置和材料

所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完成。

评分方案

本测试项目模块分数为300分。

项目和任务描述

随着网络和信息化水平的不断发展，网络安全事件也层出不穷，网络恶意代码传播、信息窃取、信息篡改、远程控制等各种网络攻击行为已严重威胁到信息系统的机密性、完整性和可用性。因此，对抗网络攻击，组织安全事件应急响应，采集电子证据等技术工作是网络安全防护的重要部分。现在，A集团已遭受来自不明组织的非法恶意攻击，您的团队需要帮助A集团追踪此网络攻击来源，分析恶意攻击攻击行为的证据线索，找出操作系统和应用程序中的漏洞或者恶意代码，帮助其巩固网络安全防线。

本模块主要分为以下几个部分：

网络安全事件响应
数字取证调查
应用程序安全

本部分的所有工作任务素材或环境均已放置在指定的计算机上，参赛选手完成后，填写在电脑桌面上“信息安全管理与评估竞赛-答题卷”中，竞赛结束时每组将答案整合到一份PDF文档提交。选手的电脑中已经安装好 Office 软件并提供必要的软件工具。

工作任务

第一部分网络安全事件响应

任务1：Linux服务器应急响应（70分）

A集团的Linux服务器被黑客入侵，该服务器的Web应用系统被上传恶意软件，系统文件被恶意软件破坏，您的团队需要帮助该公司追踪此网络攻击的来源，在服务器上进行全面的检查，包括日志信息、进程信息、系统文件、恶意文件等，从而分析黑客的攻击行为，发现系统中的漏洞，并对发现的漏洞进行修复。

本任务素材清单：Linux服务器虚拟机

受攻击的Server服务器已整体打包成虚拟机文件保存，请选手自行导入分析。

注意：Server服务器的基本配置参见附录，若题目中未明确规定，请使用默认配置。

请按要求完成该部分的工作任务。

第二部分数字取证调查

任务2 ：基于windows的内存取证（40分）

A集团某服务器系统感染恶意程序，导致系统关键文件被破坏，请分析A集团提供的系统镜像和内存镜像，找到系统镜像中的恶意软件，分析恶意软件行为。

本任务素材清单：存储镜像、内存镜像。

请按要求完成该部分的工作任务。

任务3：通信数据分析取证（TPC/IP）（50分）

A集团的网络安全监控系统发现恶意份子正在实施高级可持续攻击（APT），并抓取了部分可疑通信数据。请您根据捕捉到的通信数据，搜寻出网络攻击线索，分解出隐藏的恶意程序，并分析恶意程序的行为。

本任务素材清单：捕获的通信数据文件。

请按要求完成该部分的工作任务。

任务4：基于Linux计算机单机取证（60分）

对给定取证镜像文件进行分析，搜寻证据关键字（线索关键字为“evidence 1”、“evidence 2”、……、“evidence 10”，有文本形式也有图片形式，不区分大小写），请提取和固定比赛要求的标的证据文件，并按样例的格式要求填写相关信息，证据文件在总文件数中所占比例不低于15%。取证的信息可能隐藏在正常的、已删除的或受损的文件中，您可能需要运用编码转换技术、加解密技术、隐写技术、数据恢复技术，还需要熟悉常用的文件格式（如办公文档、压缩文档、图片等）。

本任务素材清单：取证镜像文件。

请按要求完成该部分的工作任务。

第三部分应用程序安全

任务5：Windows恶意程序分析（50分）

A集团发现其发布的应用程序文件遭到非法篡改，您的团队需要协助A集团对该恶意程序样本进行逆向分析、对其攻击/破坏的行为进行调查取证。

本任务素材清单：Windows恶意程序

请按要求完成该部分的工作任务。

任务6：C语言代码审计（30分）

代码审计是指对源代码进行检查，寻找代码存在的脆弱性，这是一项需要多方面技能的技术。作为一项软件安全检查工作，代码安全审查是非常重要的一部分，因为大部分代码从语法和语义上来说是正确的，但存在着可能被利用的安全漏洞，你必须依赖你的知识和经验来完成这项工作。

本任务素材清单：C源文件

请按要求完成该部分的工作任务。