2013年全國職業(yè)院校技能大賽高職組“神州數(shù)碼”杯信息安全技術(shù)應(yīng)用賽項(一)競賽內(nèi)容競賽階段競賽任務(wù)考核內(nèi)容第一階段網(wǎng)絡(luò)平臺搭建網(wǎng)絡(luò)互聯(lián)網(wǎng)絡(luò)設(shè)備配置網(wǎng)絡(luò)安全設(shè)備配置與防護(hù)網(wǎng)絡(luò)設(shè)備安全策略部署系統(tǒng)服務(wù)管理與安全策略部署第二階段網(wǎng)站安全攻防應(yīng)用服務(wù)漏洞安全攻防系統(tǒng)安全攻防網(wǎng)絡(luò)系統(tǒng)漏洞安全攻防系統(tǒng)運(yùn)維管控網(wǎng)絡(luò)系統(tǒng)運(yùn)維管控方案的設(shè)計第三階段總結(jié)報告撰寫《項目實(shí)驗(yàn)方案設(shè)計》(二)競賽時間?6小時(三)技術(shù)指標(biāo)?考核對基礎(chǔ)網(wǎng)絡(luò)設(shè)備的操作及管理能力?考核對主流服務(wù)器操作系統(tǒng)的操作及管理能力?考核對網(wǎng)絡(luò)安全設(shè)備的部署、配置及管理能力?考核對網(wǎng)絡(luò)系統(tǒng)進(jìn)行測試滲透的能力?考核對網(wǎng)絡(luò)系統(tǒng)進(jìn)行運(yùn)維管控的能力?考核對任務(wù)計劃、實(shí)施及總結(jié)的能力(四)技術(shù)文件要求?考核對《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則GB17859-1999》的理解?考核對網(wǎng)絡(luò)系統(tǒng)運(yùn)維管控的能力(五)分值比例競賽階段任務(wù)階段競賽任務(wù)考核內(nèi)容分值比例第一階段任務(wù)一網(wǎng)絡(luò)平臺搭建（20%）網(wǎng)絡(luò)互聯(lián)10%網(wǎng)絡(luò)設(shè)備配置10%任務(wù)二網(wǎng)絡(luò)安全設(shè)備配置與防護(hù)（20%）網(wǎng)絡(luò)設(shè)備安全策略部署10%系統(tǒng)服務(wù)管理與安全策略部署10%第二階段任務(wù)三網(wǎng)站安全攻防（20%）應(yīng)用服務(wù)漏洞安全攻防20%任務(wù)四系統(tǒng)安全攻防（20%）網(wǎng)絡(luò)系統(tǒng)漏洞安全攻防20%任務(wù)五系統(tǒng)運(yùn)維管控（10%）網(wǎng)絡(luò)系統(tǒng)運(yùn)維管控方案的設(shè)計10%第三階段任務(wù)六總結(jié)報告（10%）撰寫《項目實(shí)驗(yàn)方案設(shè)計》10%2013年全國職業(yè)院校技能大賽高職組“神州數(shù)碼”杯信息安全技術(shù)應(yīng)用賽項-樣題一、第一階段任務(wù)書你們是某公司的IT運(yùn)維人員，擔(dān)負(fù)公司網(wǎng)絡(luò)系統(tǒng)的安全的責(zé)任。第一階段任務(wù)是完成網(wǎng)絡(luò)搭建、網(wǎng)絡(luò)安全設(shè)備配置兩項任務(wù)，并提交所有文檔留存?zhèn)浒?，文檔需要存放在“提交專用U盤”中。任務(wù)一：網(wǎng)絡(luò)搭建(一)任務(wù)描述你們是某公司的IT系統(tǒng)運(yùn)維工程師，公司總部設(shè)在北京，并決定在廣州開設(shè)分公司。為了便于公司業(yè)務(wù)的信息化，需要你們對整個公司網(wǎng)絡(luò)進(jìn)行搭建，同時為了便于公司的管理與宣傳，需要在內(nèi)、外網(wǎng)的服務(wù)器上部署相應(yīng)服務(wù)。(二)技術(shù)要求北京總公司與廣州分公司內(nèi)網(wǎng)都運(yùn)行路由協(xié)議，由于公司內(nèi)部很多數(shù)據(jù)在傳輸時需要注意安全性，因此在出口防火墻上要配置遠(yuǎn)程接入VPN，實(shí)現(xiàn)內(nèi)網(wǎng)數(shù)據(jù)安全。除了網(wǎng)絡(luò)設(shè)備部分，公司還在北京總部內(nèi)網(wǎng)部署了兩臺服務(wù)器。拓?fù)鋱D如下：(三)IP地址規(guī)劃表設(shè)備類型設(shè)備名稱接口編號接口地址WEB應(yīng)用防火墻WAF0接口（透明模式）/24（管理地址）1接口（透明模式）/24（管理地址）流量整形DCFS1接口/24（管理地址）2接口/24（管理地址）上網(wǎng)行為管理DCBI1接口/242接口/24防火墻DCFW1接口/242接口/24三層交換機(jī)DCRS1接口Vlan10:/242接口Vlan20:/243接口Vlan30:/244接口Vlan40:/24PC機(jī)PCA/24PCB/24PCC/24(四)任務(wù)內(nèi)容序號網(wǎng)絡(luò)需求1根據(jù)網(wǎng)絡(luò)拓?fù)鋱D所示，按照IP地址規(guī)劃表，對WAF的名稱、各接口IP地址進(jìn)行配置；2根據(jù)網(wǎng)絡(luò)拓?fù)鋱D所示，按照IP地址規(guī)劃表，對DCRS的名稱、各接口IP地址進(jìn)行配置；3根據(jù)網(wǎng)絡(luò)拓?fù)鋱D所示，按照IP地址規(guī)劃表，對DCFW的名稱、各接口IP地址進(jìn)行配置；4根據(jù)網(wǎng)絡(luò)拓?fù)鋱D所示，按照IP地址規(guī)劃表，對DCFS的名稱、各接口IP地址進(jìn)行配置；5根據(jù)網(wǎng)絡(luò)拓?fù)鋱D所示，按照IP地址規(guī)劃表，對DCBI的名稱、各接口IP地址進(jìn)行配置；6根據(jù)網(wǎng)絡(luò)拓?fù)鋱D所示，按照IP地址規(guī)劃表，在DCRS交換機(jī)上創(chuàng)建相應(yīng)的VLAN，并將相應(yīng)接口劃入VLAN；7總公司內(nèi)網(wǎng)的核心交換機(jī)DCRS采用MSTP技術(shù)，創(chuàng)建生成樹實(shí)例2，將VLAN50和VLAN60加入到實(shí)例2，并設(shè)置實(shí)例2的優(yōu)先級為8192；8根據(jù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)所示，在北京總公司內(nèi)網(wǎng)配置RIPv2，使內(nèi)網(wǎng)能正常通信；9根據(jù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)所示，在廣州分公司內(nèi)網(wǎng)配置靜態(tài)，使內(nèi)網(wǎng)能正常通信；10根據(jù)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)所示，在DCFW上做PAT，使得內(nèi)網(wǎng)用戶可以正常訪問外網(wǎng)的PCB，轉(zhuǎn)換地址為防火墻外接口IP；11在3臺客戶機(jī)上分別對內(nèi)網(wǎng)服務(wù)器進(jìn)行聯(lián)通行測試，驗(yàn)證是否可以正常ping通；12在3臺客戶機(jī)上分別對公網(wǎng)服務(wù)器A進(jìn)行聯(lián)通行測試，驗(yàn)證是否可以正常ping通；13在3臺客戶機(jī)上分別對DCRS的telnet功能進(jìn)行檢驗(yàn)，驗(yàn)證是否可以正常登錄；（五）提交要求（1）三層交換機(jī)設(shè)備要求提供congfig配置文件并將內(nèi)容存入到WORD文檔，而防火墻需要提交截圖存入WORD文檔，并在截圖中加以說明。（2）文件命名方式：設(shè)備名稱.doc（3）將提交文件保存至“提交專用U盤”中的“任務(wù)一”目錄中

任務(wù)二：安全管理（一）任務(wù)描述為了便于管理公司內(nèi)網(wǎng)，且為公司員工營造一個和諧、安全的工作環(huán)境，你在公司內(nèi)部引入了上網(wǎng)行為管理，流量整形等設(shè)備，進(jìn)行內(nèi)網(wǎng)優(yōu)化。（二）技術(shù)要求?根據(jù)需求配置DCFS與DCBI；（三）任務(wù)內(nèi)容序號網(wǎng)絡(luò)需求1公司內(nèi)有一員工經(jīng)常使用BT下載電影，現(xiàn)在使用網(wǎng)絡(luò)內(nèi)的流量管理網(wǎng)關(guān)對PCB限制，禁止使用P2P軟件。2網(wǎng)絡(luò)內(nèi)有上網(wǎng)行為管理設(shè)備，現(xiàn)在對PCB的聊天記錄進(jìn)行監(jiān)控。3PCB如果想通過DCFW訪問PCA，需要通過web認(rèn)證。4PCA用戶不會配置IP地址，現(xiàn)在將DCFW作為DHCP服務(wù)器，為其分配地址。5在PCA通過DCFW訪問PCB時，禁止使用聊天軟件。6現(xiàn)在公司內(nèi)有一臺上網(wǎng)行為管理設(shè)備，公司希望通過此設(shè)備能夠限制PCA與PCB的訪問，使這兩臺PC機(jī)不能訪問美國谷歌網(wǎng)站。7在限制PCA與PCB的同時，希望能夠同時監(jiān)控服務(wù)器B對網(wǎng)站的訪問。8在DCFW進(jìn)行安全策略添加，只允許對服務(wù)器操作必須經(jīng)過安全審計系統(tǒng)才能進(jìn)行訪問（四）提交要求（1）提交配置過程截圖存入WORD文檔，并在截圖中加以說明。（2）文件命名方式：設(shè)備名稱.doc（3）將提交文件保存至“提交專用U盤”中的“任務(wù)二”目錄中二、

第二階段任務(wù)書第二階段的參賽相關(guān)信息見附件二：《第二階段參賽文件》，該文件將在競賽現(xiàn)場以紙面的方式提供給選手。任務(wù)三應(yīng)用服務(wù)漏洞安全攻防(一)任務(wù)描述作為公司的網(wǎng)絡(luò)管理者，你發(fā)現(xiàn)你所在的公司網(wǎng)站及不安全，在一次常規(guī)檢測中，發(fā)現(xiàn)有一名不法者入侵了公司網(wǎng)站，為此你要做出正確的部署，以保護(hù)網(wǎng)站的安全。為了能夠徹底的查清不法者入侵的手法與過程，你要正確的還原整個入侵的過程，以策劃針對網(wǎng)站安全的策略部署。經(jīng)過仔細(xì)排查，你發(fā)現(xiàn)不法者總共使用三種方法入侵了你的網(wǎng)站，請你重現(xiàn)這三種入侵手段，站在不法者的角度對公司的網(wǎng)站進(jìn)行滲透測試，并進(jìn)行詳細(xì)的記錄。當(dāng)你了解了不法者的手段后，為了阻止這種情況，請利用WAF設(shè)備，針對這三種入侵手段進(jìn)行防護(hù)，并將配置過程進(jìn)行詳細(xì)的記錄。為了驗(yàn)證你的WAF設(shè)備已經(jīng)成功攔截了入侵，請再次模擬不法者的入侵手法，以驗(yàn)證防護(hù)成果。并將防護(hù)成果進(jìn)行詳細(xì)記錄。(二)技術(shù)要求為了保證滲透測試的全面性，專門為你們小組提供一臺WEBserver用來進(jìn)行滲透，在滲透成功后利用WAF防護(hù)。(三)任務(wù)內(nèi)容滲透WEB服務(wù)器，每成功滲透一個漏洞，便要根據(jù)WAF中設(shè)置進(jìn)行相應(yīng)的防護(hù)。滲透測試所需要安全攻防工具可以在自己的參賽PC機(jī)中找到。注意：選手可以同時將三臺XP客戶機(jī)，連接到三層交換機(jī)的同一VLAN接口中，調(diào)整IP地址后，同時進(jìn)行服務(wù)器加固和滲透工作。(四)提交要求（1）提交配置過程截圖存入WORD文檔，并在截圖中加以說明。（2）文件命名方式：應(yīng)用服務(wù)漏洞安全攻防.doc（3）將提交文件保存至“提交專用U盤”中的“任務(wù)三”目錄中任務(wù)四網(wǎng)絡(luò)系統(tǒng)漏洞安全攻防(一)任務(wù)描述你在維護(hù)公司網(wǎng)絡(luò)的時候，發(fā)現(xiàn)在公司的服務(wù)器群中有一臺年久失修的服務(wù)器要進(jìn)行報廢處理，但是里面有一個很重要的文件，但是由于太長時間沒有人進(jìn)行維護(hù)管理，主機(jī)的用戶名與密碼早已丟失，為了能夠獲得這個文件，你需要進(jìn)入這臺服務(wù)器。利用你有限的工具資源，進(jìn)入服務(wù)器內(nèi)，拿到工作文件。目前已知此服務(wù)器為一臺windows服務(wù)器，且此服務(wù)器存在兩個漏洞。請利用此漏洞進(jìn)入系統(tǒng)(二)技術(shù)要求通過你的客戶端對服務(wù)器進(jìn)行滲透。(三)任務(wù)內(nèi)容為了避免今后公司中還會出現(xiàn)此類問題，請將進(jìn)入系統(tǒng)的操作過程僅進(jìn)行記錄。請將利用兩個漏洞的入侵過程全部詳細(xì)記錄。當(dāng)你拿到工作文件后，為了能夠使這臺服務(wù)器能夠繼續(xù)的、安全的使用，請將這兩個漏洞進(jìn)行修補(bǔ)，并將修補(bǔ)過程詳細(xì)記錄。(四)提交要求（1）提交配置過程截圖存入WORD文檔，并在截圖中加以說明。（2）文件命名方式：網(wǎng)絡(luò)系統(tǒng)漏洞安全攻防.doc（3）將提交文件保存至“提交專用U盤”中的“任務(wù)四”目錄中任務(wù)五《網(wǎng)絡(luò)系統(tǒng)運(yùn)維管控方案》設(shè)計(一)任務(wù)描述作為公司的網(wǎng)絡(luò)維護(hù)者，你成功的解決了很多網(wǎng)絡(luò)中發(fā)生的問題，得到了公司領(lǐng)導(dǎo)的高度認(rèn)同，為了能夠讓公司的網(wǎng)絡(luò)能夠長久的健康、穩(wěn)定的運(yùn)行，你認(rèn)為應(yīng)該將公司的服務(wù)器進(jìn)一步維護(hù)、加固。(二)技術(shù)要求針對系統(tǒng)行整改加固，并根據(jù)附件一所提供的模板，設(shè)計《網(wǎng)絡(luò)系統(tǒng)運(yùn)維管控方案》。(三)任務(wù)內(nèi)容經(jīng)過仔細(xì)的檢查，你發(fā)現(xiàn)公司的網(wǎng)絡(luò)系統(tǒng)還是存在一定數(shù)量的威脅與不安全因素，根據(jù)附件一所提供的模板，對網(wǎng)絡(luò)系統(tǒng)進(jìn)行加固，并按照要求完成《網(wǎng)絡(luò)系統(tǒng)運(yùn)維管控方案》的設(shè)計。(四)提交要求（1）根據(jù)附件一中的方案內(nèi)容要求進(jìn)行填寫及設(shè)計。（2）文件命名方式：網(wǎng)絡(luò)系統(tǒng)運(yùn)維管控方案.doc（3）將提交文件保存至“提交專用U盤”中的“任務(wù)五”目錄中三、第三階段任務(wù)書任務(wù)六撰寫賽項任務(wù)報告子任務(wù)一：《項目實(shí)現(xiàn)方案設(shè)計》(一)任務(wù)描述每個參賽隊根據(jù)任務(wù)書中提出的項目案例描述和要求，完成《項目實(shí)現(xiàn)方案設(shè)計》，有關(guān)內(nèi)容和要求可參照模板，見附件三。(二)內(nèi)容要求（1）完成項目案例風(fēng)險分析或存在的問題分析；（2）根據(jù)項目目標(biāo)，確定解決方案，畫出實(shí)現(xiàn)方案設(shè)計拓?fù)鋱D，并寫出部署和設(shè)計思想。（三）提交要求（1）《項目實(shí)現(xiàn)方案設(shè)計》文件命名方式：工位號-方案設(shè)計.doc（2）將《項目實(shí)現(xiàn)方案設(shè)計》保存至“提交專用U盤”中的“任務(wù)六”目錄中子任務(wù)二：《信息安全技術(shù)應(yīng)用賽項任務(wù)總結(jié)報告》(一)任務(wù)描述每個參賽隊撰寫一份《信息安全技術(shù)應(yīng)用賽項任務(wù)總結(jié)報告》，有關(guān)報告內(nèi)容可參加以下要求(二)內(nèi)容要求（1）工作任務(wù)的組織分工與團(tuán)隊合作（2）完成工作過程中的理解思考，內(nèi)容可以包括：對賽題工作任務(wù)的分析理解、解決方案和工作計劃的制定，以及通過研討解決問題等方面的內(nèi)容。（三）提交要求（1）《信息安全技術(shù)應(yīng)用賽項任務(wù)總結(jié)報告》文件命名方式：工位號-總結(jié)報告.doc（2）將《信息安全技術(shù)應(yīng)用賽項任務(wù)總結(jié)報告》保存至“提交專用U盤”中的“任務(wù)六”目錄中四、附件附件一《系統(tǒng)運(yùn)維管控方案》(一)任務(wù)描述作為公司的網(wǎng)絡(luò)維護(hù)者，你成功的解決了很多網(wǎng)絡(luò)中發(fā)生的問題，得到了公司領(lǐng)導(dǎo)的高度認(rèn)同，為了能夠讓公司的網(wǎng)絡(luò)能夠長久的健康、穩(wěn)定的運(yùn)行，你認(rèn)為應(yīng)該將公司的服務(wù)器進(jìn)一步維護(hù)、加固。(二)技術(shù)要求針對服務(wù)器進(jìn)行整改加固。1.檢查系統(tǒng)中的不合法用戶（示例）序號Windows–0001弱點(diǎn)描述（操作原因）檢測系統(tǒng)中是否存在不合法的用戶。包括隱藏用戶(結(jié)尾以$結(jié)束的)及長期未使用的賬戶可能導(dǎo)致系統(tǒng)存在威脅。結(jié)果分析Administrator用戶已重命名為czbzgl,且所屬用戶組正常，無明顯安全問題。操作步驟鎖定或者刪除無用賬戶，刪除非法賬戶。查看隱藏用戶方法：打開注冊表HKEY_LOCAL_MACHINE\SAM\SAM右鍵--權(quán)限賦予administrator權(quán)限，刷新，打開domains\accounts\下的users和Names備注2.更改Windows系統(tǒng)文件分區(qū)屬性，使用NTFS分區(qū)序號Windows–0002弱點(diǎn)描述（操作原因）Windows的訪問控制需要基于NTFS，未采用NTFS將無法使用包括加密文件系統(tǒng)（EFS）等在內(nèi)的安全功能。結(jié)果分析操作步驟備注3.檢查windows的Path環(huán)境變量異常序號Windows–0003弱點(diǎn)描述（操作原因）查看管理員用戶Path環(huán)境變量中存在當(dāng)前不正常目錄可能會導(dǎo)致誤執(zhí)行一個惡意文件。結(jié)果分析操作步驟備注4.關(guān)閉windows的135、445端口序號Windows–0004弱點(diǎn)描述（操作原因）默認(rèn)安裝的Windows服務(wù)器沒關(guān)閉135、445端口.結(jié)果分析操作步驟備注5.關(guān)閉windows默認(rèn)共享序號Windows–0005弱點(diǎn)描述（操作原因）默認(rèn)情況下，任何用戶都可通過空連接連上服務(wù)器，進(jìn)而枚舉出賬號，猜測密碼。結(jié)果分析操作步驟備注6.修改windows的SNMP默認(rèn)public值序號Windows–0006弱點(diǎn)描述（操作原因）SNMP默認(rèn)存在可讀字符串public和可讀寫字符串private，如果設(shè)備使用后沒有修改默認(rèn)密碼，則可以導(dǎo)致攻擊者獲得關(guān)于該機(jī)器的有價值的信息，如關(guān)于網(wǎng)絡(luò)設(shè)備和當(dāng)前開放連接的信息，甚至完全控制此設(shè)備。結(jié)果分析操作步驟備注附件二《第二階段參賽文件》工位號：WEB服務(wù)器IP地址：用戶名：密碼：Windows服務(wù)