2023年全國行業職業技能競賽——第二屆全國

工業和信息化技術技能大賽網絡與信息安全管

理員（工業互聯網安全方向）賽項

廣東省選拔賽

實操賽題（樣例）

2023年9月

工位號：

選手須知：

1、任務書共14頁，如出現任務書缺頁、字跡不清等問題，請及時向裁

判申請更換任務書。

2、本場比賽總共五項任務，采用三人團體賽，時間為3小時；選手

在競賽過程中所需的賽題文件或工程文件位于SCADA監控主機“C:\技能

大賽”文件夾下。

3、參賽選手應針對每道題目提供詳盡的解題說明，包括解題過程中

所涉及的所有操作步驟的文字說明與操作結果或執行效果截圖，因缺少

操作步驟導致操作結果或執行效果無法復現的，本題不得分。解題說明

以word文檔的形式書寫，以PDF格式保存，文件命名格式為“工位號-任

務X-子任務X-題目X”（X為對應的任務、子任務或題目序號）。

4、選手在比賽過程中應及時提交答案文件。裁判宣布比賽結束后選

手將無法再提交新的答案文件或更改已提交的答案文件。

5、選手提交的答案文件內容不得出現學校、企業、姓名等與身份有

關的信息，否則成績無效。

6、請根據大賽所提供的比賽環境，檢查所列的軟件及工具組件清單

是否齊全，設備是否能正常使用。

7、在完成任務過程中，請及時保存程序及數據。

任務描述：

假定你是某集成電路制造企業的網絡安全工程師，對于企業的集成

電路生產業務，根據任務要求完成網絡架構安全設計、業務安全加固實

施、業務安全評估評測、安全事件應急處置、安全事件分析研判等工作。

競賽平臺基本信息如下：

（1）工業互聯網平臺

IP地址20/16

用戶名：root

操作系統用戶名及口令

口令：123

登錄地址：20:9000

Web界面登錄方式用戶名：admin

口令：admin

（2）MES

IP地址00/16

用戶名：root

操作系統用戶名及口令

口令：123456

登錄地址：00/site2

Web界面登錄方式用戶名：admin

口令：123456

（3）SCADA監控主機

IP地址6/24

用戶名：admin

操作系統用戶名及口令

口令：admin123

（4）HMI

IP地址7/24

VNC連接口令111111

-3-

（5）PLC

IP地址5/24

（6）數采網關

IP地址7/24

登錄地址：

7/user/login

Web界面登錄方式

用戶名：adm

口令：123456

（7）交換機1、交換機2

登錄地址：

Web界面登錄方式用戶名：admin

口令：admin

（8）工業防火墻

IP地址2/24

登錄地址：2/

Web界面登錄方式用戶名：operator

口令：admin@123456

（9）工業日志審計

IP地址1/24

登錄地址：1/

Web界面登錄方式用戶名：operator

口令：admin@123456

（10）智能攝像頭

IP地址4/24

登錄地址：4/

Web界面登錄方式用戶名：admin

口令：abc123456

-4-

任務一：網絡架構安全設計

根據圖1中給出的網絡拓撲圖，完成以下任務：

圖1競賽平臺網絡拓撲

（一）網絡拓撲構建

根據任務書提供的競賽平臺網絡拓撲圖完成競賽網絡拓撲構建：

設備接口VLANIP地址對端設備

G1/0/1//30SW2G1/0/1

G1/0/551/24工業日志審計MGMT

G1/0/652/24工業防火墻MGMT

交換機鏡像口

//工業日志審計LAN1

SW1G1/0/7

G1/0/82/企業外部網絡交換機

VLANIF11/24/

VLANIF22/16/

-5-

G1/0/1//30SW1G1/0/1

G1/0/246/24SCADAEth0

G1/0/347/24HMIEth0

G1/0/447/24數采網關Eth0

交換機

SW2G1/0/544/24智能攝像頭Eth0

G1/0/64網橋工業防火墻LAN1

鏡像口

//工業日志審計LAN2

G1/0/7

VLANIF44/24/

MGMT/2/24SW1G1/0/6

工業防

LAN2/網橋SW2G1/0/6

火墻

LAN3/網橋PLCEth0

MGMT/1/24SW1G1/0/5

工業日

LAN1//SW1G1/0/7

志審計

LAN3//SW2G1/0/7

（二）網絡設備配置

對競賽平臺中的網絡設備進行配置，完成該任務應能夠實現以下效

果：

1.MES、工業互聯網平臺同處于VLAN2下，工業防火墻、工業日志審

計的管理口同處于VLAN5下，操作人員可通過三層交換機SW1的G1/0/2訪

問MES、工業互聯網平臺的Web頁面，通過G1/0/3訪問工業日志審計管理頁

面、工業防火墻管理頁面；

2.SCADA、HMI、數采網關、攝像頭同處于VLAN4下，操作人員可通過

三層交換機SW2的G1/0/8可以訪問數采網關Web頁面和攝像頭Web頁面；

-6-

3.通過工業互聯網平臺可以查看已接入的攝像頭列表，并可實時顯

示監控畫面；

4.通過工業日志審計能夠監控流經交換機SW1和交換機SW2的流量數

據。

（三）安全設備配置

對競賽平臺中的工業防火墻與工業日志審計進行配置，完成該任務

應能夠實現以下效果：

1.數采網關僅能訪問PLC的102端口，不允許訪問PLC的504端口；

2.允許HMI控制PLC，控制PLC清零累計用電量；

3.允許SCADA控制PLC，控制PLC的啟動、停止；

4.通過工業日志審計能夠查看到從HMI發出的清零累計用電量的指令；

5.通過工業日志審計能夠查看到從SCADA發出的啟動PLC的指令。

任務二：業務安全加固實施

（一）工業互聯網平臺安全加固實施

對競賽平臺中的工業互聯網平臺進行安全加固，完成該任務應能夠

實現以下效果：

1.對其所使用的操作系統重設root賬戶口令，開啟口令復雜度檢查，

至少包含小寫字母、大寫字母、數字、特殊字符4類字符，設置最小口令

長度為8位，且新口令必須與舊口令有3位不同；

2.對其所使用的數據庫配置訪問策略，使其僅允許工業互聯網平臺

所在系統訪問；

-7-

3.在工業互聯網平臺配置管理頁面中進行賬戶權限劃分，新增綜合

管理崗用戶，用戶名zhgl，僅授予“物聯網”模塊的“設備管理”和

“運維管理”；新增監控管理崗用戶，用戶名jkgl，僅授予“視頻平臺”

模塊的管理權限。

（二）MES安全加固實施

對競賽平臺中的MES進行安全加固，完成該任務應能夠實現以下效果：

1.對其所使用的操作系統刪除無用賬戶test1、test2及其主目錄，允

許test3賬戶使用su命令切換到root賬戶，不允許test4賬戶使用su命令切

換到root賬戶；

2.對其所使用的操作系統禁止SSH的root賬戶登錄，關閉TCP端口轉發

和X11轉發；

3.對其所使用的數據庫刪除默認安裝數據庫test，刪除匿名賬戶，

重設root賬戶口令，要求使用復雜口令，修改默認端口3306為13306，設

置數據庫root賬戶僅允許本地連接，上述配置完成后通過數據看板能獲

取數據。

（三）SCADA安全加固實施

對競賽平臺中的SCADA進行安全加固，完成該任務應能夠實現以下效

果：

1.對其所使用的操作系統進行賬戶管理，禁用Guest賬戶，重設系統

賬戶admin的登錄口令，啟用口令復雜性要求策略，最短口令長度為8個

字符，最長使用期限為31天；

2.對其所使用的操作系統配置賬戶鎖定策略，6次無效登錄鎖定賬戶

-8-

5分鐘；

3.對其所使用的操作系統配置日志功能，記錄用戶登錄使用的賬號，

登錄是否成功，登錄時間，以及遠程登錄時用戶使用的IP地址；

4.對SCADA工程組態軟件配置畫面用戶權限控制，添加admin賬戶，設

置口令長度為至少8位，口令包含大寫字母、小寫字母及數字。

（四）HMI安全加固實施

對競賽平臺中的HMI進行安全加固，完成該任務應能夠實現以下效果：

1.新增用戶權限，添加“工程師”賬戶，設置登錄口令長度為至少8

位，包含大寫字母、小寫字母及數字。

（五）PLC安全加固實施

對競賽平臺中的PLC系統進行安全加固，完成該任務應能夠實現以下

效果：

1.對PLC項目的程序塊進行加密，需正確輸入口令方可查看該程序塊

程序，要求口令長度為10位；

2.為上傳下載當前PLC中的程序設置權限，僅當輸入正確口令時方可

傳輸程序塊，要求口令長度為10位。

（六）交換機安全加固實施

對競賽平臺中的交換機進行安全加固，完成該任務應能夠實現以下

效果：

1.設置從用戶模式切換到特權模式的管理級密碼為ABCabc123!@#

2.配置允許連接到HTTP服務器的最大用戶數，管理員和訪客登錄到

-9-

HTTP服務器的最大數量為5和3，配置HTTP連接超時時間為15分鐘；

3.綁定SCADA主機的IP地址、MAC地址、VLAN和交換機端口。

（七）數采網關安全加固實施

對競賽平臺中的數采網關進行安全加固，完成該任務應能夠實現以

下效果：

1.進行用戶權限管理，新建操作員賬號，僅允許訪問概覽、網絡、

重啟、工具模塊，操作員賬戶名稱為czy，登錄口令為1qaz@WSX

2.修改管理頁面默認端口，設定HTTPS監聽端口為20443，超時時間為

3分鐘，停用遠程控制、SSH、Telnet以及開發者模式。

（八）智能攝像頭安全加固實施

對競賽平臺中的攝像頭進行安全加固，完成該任務應能夠實現以下

效果：

1.修改admin賬戶口令，配置頁面顯示口令認證強度為“強”；

2.開啟非法登錄鎖定，設置錯誤嘗試次數6次，配置鎖定時間5分鐘。

任務三：業務安全評估評測

（一）安全配置基線核查

對競賽平臺中的工業互聯網平臺進行安全配置基線核查，核查內容

包括：

1.檢查操作系統密碼策略是否符合基線要求，基線要求為最長有效

期不長于90天，密碼修改間隔時間不長于10天，口令失效前不短于7天通

知用戶修改密碼；

-10-

2.檢查登錄策略，要求普通用戶5分鐘之內登錄失敗次數超過5次鎖

定5分鐘，root用戶5分鐘之內登錄失敗超過5次鎖定5分鐘；

3.檢查SSH配置，基線要求禁用SSH空密碼登錄，空閑超時退出時間

至多為15分鐘，登入顯示上次登錄時間及IP地址。

4.檢查安全審計功能，基線要求開啟系統已有的audit功能，監控

SSH終端的操作，包括寫操作和屬性變化；

5.檢查文件用戶權限，基線要求對重點文件進行權限控制，其中

/etc/group和/etc/passwd所有者有讀和寫的權限，群組用戶、其他用戶

只有讀權限，/etc/shadow和/etc/gshadow僅所有者有讀權限。

（二）安全漏洞測試驗證

對競賽平臺中的SCADA監控主機進行安全漏洞測試驗證，驗證內容包

括：

1.檢查SCADA上是否存在漏洞CVE-2020-0796，是否可以遠程利用獲取

SCADA的終端命令行；

2.檢查SCADA上是否存在漏洞CVE-2023-21554，是否會導致mqsvc.exe

崩潰。

（三）代碼安全審計

對競賽平臺中MES如下圖所示的一段代碼進行安全審計：

-11-

1.請指出存在漏洞的代碼位置；

2.請指出該行代碼存在的漏洞類型（應按照GB/T30279-2020《信息

安全技術網絡安全漏洞分類分級指南》中的類別進行描述，需精確至最

低一級子類別）。

任務四：安全事件應急處置

（一）有害程序事件應急處置

對競賽平臺中的有害程序進行處置，完成該任務應能夠實現以下效

果：

1.查找并刪除攻擊者在SCADA監控主機中留下的“Hack$”賬戶。

（二）網絡攻擊事件應急處置

對競賽平臺中的網絡攻擊事件進行處置，完成該任務應能夠實現以

下效果：

1.業務系統正常情況為電機旋鈕處于自動狀態