2013年全國職業院校技能大賽高職組“神州數碼”杯信息安全技術應用賽項(一)競賽內容競賽階段競賽任務考核內容第一階段網絡平臺搭建網絡互聯網絡設備配置網絡安全設備配置與防護網絡設備安全策略部署系統服務管理與安全策略部署第二階段網站安全攻防應用服務漏洞安全攻防系統安全攻防網絡系統漏洞安全攻防系統運維管控網絡系統運維管控方案的設計第三階段總結報告撰寫《項目實驗方案設計》(二)競賽時間?6小時(三)技術指標?考核對基礎網絡設備的操作及管理能力?考核對主流服務器操作系統的操作及管理能力?考核對網絡安全設備的部署、配置及管理能力?考核對網絡系統進行測試滲透的能力?考核對網絡系統進行運維管控的能力?考核對任務計劃、實施及總結的能力(四)技術文件要求?考核對《計算機信息系統安全保護等級劃分準則GB17859-1999》的理解?考核對網絡系統運維管控的能力(五)分值比例競賽階段任務階段競賽任務考核內容分值比例第一階段任務一網絡平臺搭建（20%）網絡互聯10%網絡設備配置10%任務二網絡安全設備配置與防護（20%）網絡設備安全策略部署10%系統服務管理與安全策略部署10%第二階段任務三網站安全攻防（20%）應用服務漏洞安全攻防20%任務四系統安全攻防（20%）網絡系統漏洞安全攻防20%任務五系統運維管控（10%）網絡系統運維管控方案的設計10%第三階段任務六總結報告（10%）撰寫《項目實驗方案設計》10%2013年全國職業院校技能大賽高職組“神州數碼”杯信息安全技術應用賽項-樣題一、第一階段任務書你們是某公司的IT運維人員，擔負公司網絡系統的安全的責任。第一階段任務是完成網絡搭建、網絡安全設備配置兩項任務，并提交所有文檔留存備案，文檔需要存放在“提交專用U盤”中。任務一：網絡搭建(一)任務描述你們是某公司的IT系統運維工程師，公司總部設在北京，并決定在廣州開設分公司。為了便于公司業務的信息化，需要你們對整個公司網絡進行搭建，同時為了便于公司的管理與宣傳，需要在內、外網的服務器上部署相應服務。(二)技術要求北京總公司與廣州分公司內網都運行路由協議，由于公司內部很多數據在傳輸時需要注意安全性，因此在出口防火墻上要配置遠程接入VPN，實現內網數據安全。除了網絡設備部分，公司還在北京總部內網部署了兩臺服務器。拓撲圖如下：(三)IP地址規劃表設備類型設備名稱接口編號接口地址WEB應用防火墻WAF0接口（透明模式）/24（管理地址）1接口（透明模式）/24（管理地址）流量整形DCFS1接口/24（管理地址）2接口/24（管理地址）上網行為管理DCBI1接口/242接口/24防火墻DCFW1接口/242接口/24三層交換機DCRS1接口Vlan10:/242接口Vlan20:/243接口Vlan30:/244接口Vlan40:/24PC機PCA/24PCB/24PCC/24(四)任務內容序號網絡需求1根據網絡拓撲圖所示，按照IP地址規劃表，對WAF的名稱、各接口IP地址進行配置；2根據網絡拓撲圖所示，按照IP地址規劃表，對DCRS的名稱、各接口IP地址進行配置；3根據網絡拓撲圖所示，按照IP地址規劃表，對DCFW的名稱、各接口IP地址進行配置；4根據網絡拓撲圖所示，按照IP地址規劃表，對DCFS的名稱、各接口IP地址進行配置；5根據網絡拓撲圖所示，按照IP地址規劃表，對DCBI的名稱、各接口IP地址進行配置；6根據網絡拓撲圖所示，按照IP地址規劃表，在DCRS交換機上創建相應的VLAN，并將相應接口劃入VLAN；7總公司內網的核心交換機DCRS采用MSTP技術，創建生成樹實例2，將VLAN50和VLAN60加入到實例2，并設置實例2的優先級為8192；8根據網絡拓撲結構所示，在北京總公司內網配置RIPv2，使內網能正常通信；9根據網絡拓撲結構所示，在廣州分公司內網配置靜態，使內網能正常通信；10根據網絡拓撲結構所示，在DCFW上做PAT，使得內網用戶可以正常訪問外網的PCB，轉換地址為防火墻外接口IP；11在3臺客戶機上分別對內網服務器進行聯通行測試，驗證是否可以正常ping通；12在3臺客戶機上分別對公網服務器A進行聯通行測試，驗證是否可以正常ping通；13在3臺客戶機上分別對DCRS的telnet功能進行檢驗，驗證是否可以正常登錄；（五）提交要求（1）三層交換機設備要求提供congfig配置文件并將內容存入到WORD文檔，而防火墻需要提交截圖存入WORD文檔，并在截圖中加以說明。（2）文件命名方式：設備名稱.doc（3）將提交文件保存至“提交專用U盤”中的“任務一”目錄中

任務二：安全管理（一）任務描述為了便于管理公司內網，且為公司員工營造一個和諧、安全的工作環境，你在公司內部引入了上網行為管理，流量整形等設備，進行內網優化。（二）技術要求?根據需求配置DCFS與DCBI；（三）任務內容序號網絡需求1公司內有一員工經常使用BT下載電影，現在使用網絡內的流量管理網關對PCB限制，禁止使用P2P軟件。2網絡內有上網行為管理設備，現在對PCB的聊天記錄進行監控。3PCB如果想通過DCFW訪問PCA，需要通過web認證。4PCA用戶不會配置IP地址，現在將DCFW作為DHCP服務器，為其分配地址。5在PCA通過DCFW訪問PCB時，禁止使用聊天軟件。6現在公司內有一臺上網行為管理設備，公司希望通過此設備能夠限制PCA與PCB的訪問，使這兩臺PC機不能訪問美國谷歌網站。7在限制PCA與PCB的同時，希望能夠同時監控服務器B對網站的訪問。8在DCFW進行安全策略添加，只允許對服務器操作必須經過安全審計系統才能進行訪問（四）提交要求（1）提交配置過程截圖存入WORD文檔，并在截圖中加以說明。（2）文件命名方式：設備名稱.doc（3）將提交文件保存至“提交專用U盤”中的“任務二”目錄中二、

第二階段任務書第二階段的參賽相關信息見附件二：《第二階段參賽文件》，該文件將在競賽現場以紙面的方式提供給選手。任務三應用服務漏洞安全攻防(一)任務描述作為公司的網絡管理者，你發現你所在的公司網站及不安全，在一次常規檢測中，發現有一名不法者入侵了公司網站，為此你要做出正確的部署，以保護網站的安全。為了能夠徹底的查清不法者入侵的手法與過程，你要正確的還原整個入侵的過程，以策劃針對網站安全的策略部署。經過仔細排查，你發現不法者總共使用三種方法入侵了你的網站，請你重現這三種入侵手段，站在不法者的角度對公司的網站進行滲透測試，并進行詳細的記錄。當你了解了不法者的手段后，為了阻止這種情況，請利用WAF設備，針對這三種入侵手段進行防護，并將配置過程進行詳細的記錄。為了驗證你的WAF設備已經成功攔截了入侵，請再次模擬不法者的入侵手法，以驗證防護成果。并將防護成果進行詳細記錄。(二)技術要求為了保證滲透測試的全面性，專門為你們小組提供一臺WEBserver用來進行滲透，在滲透成功后利用WAF防護。(三)任務內容滲透WEB服務器，每成功滲透一個漏洞，便要根據WAF中設置進行相應的防護。滲透測試所需要安全攻防工具可以在自己的參賽PC機中找到。注意：選手可以同時將三臺XP客戶機，連接到三層交換機的同一VLAN接口中，調整IP地址后，同時進行服務器加固和滲透工作。(四)提交要求（1）提交配置過程截圖存入WORD文檔，并在截圖中加以說明。（2）文件命名方式：應用服務漏洞安全攻防.doc（3）將提交文件保存至“提交專用U盤”中的“任務三”目錄中任務四網絡系統漏洞安全攻防(一)任務描述你在維護公司網絡的時候，發現在公司的服務器群中有一臺年久失修的服務器要進行報廢處理，但是里面有一個很重要的文件，但是由于太長時間沒有人進行維護管理，主機的用戶名與密碼早已丟失，為了能夠獲得這個文件，你需要進入這臺服務器。利用你有限的工具資源，進入服務器內，拿到工作文件。目前已知此服務器為一臺windows服務器，且此服務器存在兩個漏洞。請利用此漏洞進入系統(二)技術要求通過你的客戶端對服務器進行滲透。(三)任務內容為了避免今后公司中還會出現此類問題，請將進入系統的操作過程僅進行記錄。請將利用兩個漏洞的入侵過程全部詳細記錄。當你拿到工作文件后，為了能夠使這臺服務器能夠繼續的、安全的使用，請將這兩個漏洞進行修補，并將修補過程詳細記錄。(四)提交要求（1）提交配置過程截圖存入WORD文檔，并在截圖中加以說明。（2）文件命名方式：網絡系統漏洞安全攻防.doc（3）將提交文件保存至“提交專用U盤”中的“任務四”目錄中任務五《網絡系統運維管控方案》設計(一)任務描述作為公司的網絡維護者，你成功的解決了很多網絡中發生的問題，得到了公司領導的高度認同，為了能夠讓公司的網絡能夠長久的健康、穩定的運行，你認為應該將公司的服務器進一步維護、加固。(二)技術要求針對系統行整改加固，并根據附件一所提供的模板，設計《網絡系統運維管控方案》。(三)任務內容經過仔細的檢查，你發現公司的網絡系統還是存在一定數量的威脅與不安全因素，根據附件一所提供的模板，對網絡系統進行加固，并按照要求完成《網絡系統運維管控方案》的設計。(四)提交要求（1）根據附件一中的方案內容要求進行填寫及設計。（2）文件命名方式：網絡系統運維管控方案.doc（3）將提交文件保存至“提交專用U盤”中的“任務五”目錄中三、第三階段任務書任務六撰寫賽項任務報告子任務一：《項目實現方案設計》(一)任務描述每個參賽隊根據任務書中提出的項目案例描述和要求，完成《項目實現方案設計》，有關內容和要求可參照模板，見附件三。(二)內容要求（1）完成項目案例風險分析或存在的問題分析；（2）根據項目目標，確定解決方案，畫出實現方案設計拓撲圖，并寫出部署和設計思想。（三）提交要求（1）《項目實現方案設計》文件命名方式：工位號-方案設計.doc（2）將《項目實現方案設計》保存至“提交專用U盤”中的“任務六”目錄中子任務二：《信息安全技術應用賽項任務總結報告》(一)任務描述每個參賽隊撰寫一份《信息安全技術應用賽項任務總結報告》，有關報告內容可參加以下要求(二)內容要求（1）工作任務的組織分工與團隊合作（2）完成工作過程中的理解思考，內容可以包括：對賽題工作任務的分析理解、解決方案和工作計劃的制定，以及通過研討解決問題等方面的內容。（三）提交要求（1）《信息安全技術應用賽項任務總結報告》文件命名方式：工位號-總結報告.doc（2）將《信息安全技術應用賽項任務總結報告》保存至“提交專用U盤”中的“任務六”目錄中四、附件附件一《系統運維管控方案》(一)任務描述作為公司的網絡維護者，你成功的解決了很多網絡中發生的問題，得到了公司領導的高度認同，為了能夠讓公司的網絡能夠長久的健康、穩定的運行，你認為應該將公司的服務器進一步維護、加固。(二)技術要求針對服務器進行整改加固。1.檢查系統中的不合法用戶（示例）序號Windows–0001弱點描述（操作原因）檢測系統中是否存在不合法的用戶。包括隱藏用戶(結尾以$結束的)及長期未使用的賬戶可能導致系統存在威脅。結果分析Administrator用戶已重命名為czbzgl,且所屬用戶組正常，無明顯安全問題。操作步驟鎖定或者刪除無用賬戶，刪除非法賬戶。查看隱藏用戶方法：打開注冊表HKEY_LOCAL_MACHINE\SAM\SAM右鍵--權限賦予administrator權限，刷新，打開domains\accounts\下的users和Names備注2.更改Windows系統文件分區屬性，使用NTFS分區序號Windows–0002弱點描述（操作原因）Windows的訪問控制需要基于NTFS，未采用NTFS將無法使用包括加密文件系統（EFS）等在內的安全功能。結果分析操作步驟備注3.檢查windows的Path環境變量異常序號Windows–0003弱點描述（操作原因）查看管理員用戶Path環境變量中存在當前不正常目錄可能會導致誤執行一個惡意文件。結果分析操作步驟備注4.關閉windows的135、445端口序號Windows–0004弱點描述（操作原因）默認安裝的Windows服務器沒關閉135、445端口.結果分析操作步驟備注5.關閉windows默認共享序號Windows–0005弱點描述（操作原因）默認情況下，任何用戶都可通過空連接連上服務器，進而枚舉出賬號，猜測密碼。結果分析操作步驟備注6.修改windows的SNMP默認public值序號Windows–0006弱點描述（操作原因）SNMP默認存在可讀字符串public和可讀寫字符串private，如果設備使用后沒有修改默認密碼，則可以導致攻擊者獲得關于該機器的有價值的信息，如關于網絡設備和當前開放連接的信息，甚至完全控制此設備。結果分析操作步驟備注附件二《第二階段參賽文件》工位號：WEB服務器IP地址：用戶名：密碼：Windows服務