2018年山东省职业院校技能大赛高职组“信息安全管理与评估”赛项任务书样题

2018年山东省职业院校技能大赛高职组“信息安全管理与评估”赛项任务书（样题）一、赛项时间8:30-13:00，共计4：30小时，含赛题发放、收卷及午餐时间。二、赛项信息竞赛阶段任务阶段竞赛任务竞赛时间分值第一阶段平台搭建与安全设备配置防护任务1网络平台搭建8：30-11：3060任务2网络安全设备配置与防护240第二阶段系统安全攻防及运维安全管控任务1Web应用程序SQLInject安全攻防150任务2二层网络Sniffer监听安全攻防150任务3ARP拒绝服务（DOS/DDOS）安全攻防100中场收卷11：30-12：00第三阶段分组对抗系统加固12：00-13：00300系统攻防三、赛项内容本次大赛，各位选手需要完成三个阶段的任务，其中第一个阶段需要提交任务“操作文档”，“操作文档”需要存放在裁判组专门提供的U盘中。第二、三阶段请根据现场具体题目要求操作。选手首先需要在U盘的根目录下建立一个名为“xx工位”的文件夹（xx用具体的工位号替代），赛题第一阶段完成任务操作的文档放置在文件夹中。例如：08工位，则需要在U盘根目录下建立“08工位”文件夹，并在“08工位”文件夹下直接放置第一个阶段的操作文档文件。特别说明：只允许在根目录下的“08工位”文件夹中体现一次工位信息，不允许在其他文件夹名称或文件名称中再次体现工位信息，否则按作弊处理。(一)赛项环境设置赛项环境设置包含了三个竞赛阶段的基础信息：网络拓扑图、IP地址规划表、设备初始化信息。1.网络拓扑图PC环境说明：PC-1（须使用物理机中的虚拟机）：物理机操作系统：Windows764位旗舰版VMwareWorkstation12Pro虚拟机操作系统：WindowsXP虚拟机安装服务/工具1：MicrosoftInternetExplorer6.0虚拟机安装服务/工具2：Ethereal0.10.10.0虚拟机安装服务/工具3：HttpWatchProfessionalEdition虚拟机网卡与物理机网卡之间的关系：Bridge（桥接）PC-2（须使用物理机中的虚拟机）：物理机操作系统：Windows764位旗舰版VMwareWorkstation12Pro虚拟机操作系统：WindowsXP虚拟机安装服务/工具1：MicrosoftInternetExplorer6.0虚拟机安装服务/工具2：Ethereal0.10.10.0虚拟机安装服务/工具3：HttpWatchProfessionalEdition虚拟机网卡与物理机网卡之间的关系：Bridge（桥接）PC-3（须使用物理机中的虚拟机）：物理机操作系统：Windows764位旗舰版VMwareWorkstation12Pro虚拟机操作系统：KaliLinux（Debian764Bit）虚拟机安装服务/工具：MetasploitFramework虚拟机网卡与物理机网卡之间的关系：Bridge（桥接）2.IP地址规划表设备名称接口IP地址互联可用IP数量防火墙DCFWEthXx.x.x.x/x与PC-3相连见赛场IP参数表地址池x.x.x.x/xSSLVPN地址池见赛场IP参数表无线交换机DCWSEthXx.x.x.x/x与DCRS相连见赛场IP参数表地址池x.x.x.x/xDCHP地址池见赛场IP参数表WEB应用防火墙WAFEthXx.x.x.x/x与DCRS相连见赛场IP参数表EthX与DCST相连见赛场IP参数表三层交换机DCRSVlan2x.x.x.x/x与DCWS相连见赛场IP参数表Vlan10x.x.x.x/x与WAF相连见赛场IP参数表Vlan20x.x.x.x/x与PC-1所在用户区相连见赛场IP参数表Vlan30x.x.x.x/x与PC-2所在用户区相连见赛场IP参数表Vlan40x.x.x.x/x与DCBI相连见赛场IP参数表Vlan100x.x.x.x/x直连服务器区见赛场IP参数表Vlan110x.x.x.x/x直连用户区见赛场IP参数表网络日志系统DCBIEthXx.x.x.x/x与DCRS相连见赛场IP参数表堡垒服务器DCSTEthXx.x.x.x/x与WAF相连见赛场IP参数表PC-1无x.x.x.x/x与DCRS相连见赛场IP参数表PC-2无x.x.x.x/x与DCFW相连见赛场IP参数表PC-3无x.x.x.x/x与DCFW相连见赛场IP参数表服务器场景-1无见系统安全攻防加固赛题部分服务器场景-2无见系统安全攻防加固赛题部分服务器场景-3无见系统安全攻防加固赛题部分备注赛题IP地址和网络连接接口参见“IP地址规划表”；3.设备初始化信息设备名称管理地址默认管理接口用户名密码防火墙DCFWETH0adminadmin网络日志系统DCBIETH0admin123456WEB应用防火墙WAFETH5adminadmin123三层交换机-Console--无线交换机DCWS-Console--堡垒服务器DCSTEth1参见“DCST登录用户表”备注所有设备的默认管理接口、管理IP地址不允许修改;如果修改对应设备的缺省管理IP及管理端口，涉及此设备的题目按0分处理。(二)第一阶段任务书（300分）该阶段需要提交配置或截图文档，命名如下表所示：阶段任务序号文档名称第一阶段任务11任务12赛场IP参数表任务23任务2-DCFW4任务2-DCBI5任务2-WAF6任务2-DCRS7任务2-DCWS任务1：网络平台搭建（60分）平台搭建要求如下：题号网络需求1根据网络拓扑图所示，按照IP地址参数表，对WAF的名称、各接口IP地址进行配置。2根据网络拓扑图所示，按照IP地址参数表，对DCRS的名称、各接口IP地址进行配置。3根据网络拓扑图所示，按照IP地址参数表，对DCFW的名称、各接口IP地址进行配置。4根据网络拓扑图所示，按照IP地址参数表，对DCWS的各接口IP地址进行配置。5根据网络拓扑图所示，按照IP地址参数表，对DCBI的名称、各接口IP地址进行配置。6根据网络拓扑图所示，按照IP地址参数表，在DCRS交换机上创建相应的VLAN，并将相应接口划入VLAN。7采用静态路由的方式，全网络互连。8完整填写“赛场IP参数表”。任务2：网络安全设备配置与防护（240分）DCFW:1.在总公司的DCFW上配置，连接LAN接口开启PING,HTTP,HTTPS功能，连接Internet接口开启PING、HTTPS功能；并且新增一个用户，用户名dcn2017，密码dcn2017，该用户只有读-执行权限；2.DCFW配置NTP和LOG，ServerIP为X.X.X.X，NTP认证密码为Dcn2017；3.DCFW连接LAN的接口配置二层防护，ARPFlood超过500个每秒时丢弃超出的ARP包，ARP扫描攻击超过300个每秒时弃超出的ARP包；配置静态ARP绑定，MAC地址880B.0A0B.0C0D与IP地址X.X.X.X绑定；4.DCFW连接Internet的区域上配置以下攻击防护：FW1，FW2攻击防护启以下Flood防护：ICMP洪水攻击防护，警戒值2000，动作丢弃；UDP供水攻击防护，警戒值1500，动作丢弃；SYN洪水攻击防护，警戒值5000，动作丢弃；开启以下DOS防护：PingofDeath攻击防护；Teardrop攻击防护；IP选项，动作丢弃；ICMP大包攻击防护，警戒值2048，动作丢弃；5.限制LAN到Internet流媒体RTSP应用会话数，在周一至周五8:00-17:00每5秒钟会话建立不可超过20；DCBI:6.在公司总部的DCBI上配置，设备部署方式为旁路模式，并配置监控接口与管理接口;增加非admin账户DCN2017，密码dcn2017，该账户仅用于用户查询设备的系统状态和统计报表;7.在公司总部的DCBI上配置，监控周一至周五9：00-18：00PC-1所在网段用户访问的URL中包含xunlei的HTTP访问记录，并且邮件发送告警;8.在公司总部的DCBI上配置，监控PC-1所在网段用户周一至周五9：00-18：00的即时聊天记录;9.公司总部LAN中用户访问网页中带有“MP3”、“MKV”、“RMVB”需要被DCBI记录；邮件内容中带有“银行账号”记录并发送邮件告警；10.DCBI监控LAN中用户访问网络游戏，包括“游戏”、“魔兽世界”并作记录；WAF:11.在公司总部的WAF上配置，编辑防护策略，定义HTTP请求体的最大长度为512，防止缓冲区溢出攻击；12.在公司总部的WAF上配置，防止某源IP地址在短时间内发送大量的恶意请求，影响公司网站正常服务。大量请求的确认值是：10秒钟超过3000次请求；13.在公司总部的WAF上配置，对公司网站（X.X.X.X）进行安全评估，检查网站是否存在安全漏洞，便于在攻击没有发生的情况下提前做出防护措施；DCRS:14.DCRS为接入交换机，为终端产生防止MAC地址防洪攻击，请配置端口安全，每个已划分VLAN的端口最多学习到5个MAC地址，发生违规阻止后续违规流量通过，不影响已有流量并产生LOG日志；Ex/x为专用接口，限定MAC地址00-11-11-11-11-11可以连接；将连接DCFW的双向流量镜像至Netlog进行监控和分析；15.DCRS配置802.1x认证，Radius服务器IP地址X.X.X.X,认证密码Dcn2017,Ex/x号端口开启802.1x功能，接入该端口通过PC上的802.1x软件进行认证；16.接入DCRSEx/x，仅允许IP地址X.X.X.X-X.X.X.X为源的数据包为合法包，以其它IP地址为源地址，交换机直接丢弃；DCWS：17.AP通过option43方式进行正常注册上线；18.设置AP工作在5G频段；19.设置SSIDDCN，加密模式为wpa-personal,其口令为：chinaskill；设置SSIDGUEST不进行认证加密；20.GUSET最多接入10个用户，用户间相互隔离，并对GUEST网络进行流控，上行1M，下行2M；(三)第二阶段：系统安全攻防及运维安全管控（400分）提示1：本阶段用到堡垒服务器DCST中的服务器场景，获取服务器IP地址方式如下：Windows服务器的IP地址可以通过拓扑界面获得，如果获得不了，采用如下方法获得：通过DCST场景里的网络拓扑图，启动连接设备进入服务器，用户名为administrator，密码：空执行ipconfig/all，即可获得服务器IP地址提示2：每个任务提交一个word文档，请在文档中标明题号，按顺序答题。将关键步骤和操作结果进行截屏，并辅以文字说明，保存到提交文档中。提示3：文档命名格式为：“第X阶段”-“任务X”-“任务名称”。例：“第二阶段、任务2”的答案提交文档，文件名称为：第二阶段-任务2-XSS和CSRF攻防.doc或第二阶段-任务2-XSS和CSRF攻防.docx。任务1：Web应用程序SQLInject安全攻防（150分）拓扑结构：任务环境说明：PC-1（须使用物理机中的虚拟机）：物理机操作系统：Windows732位旗舰版VMwareWorkstation10虚拟机操作系统：WindowsXP虚拟机安装服务/工具1：MicrosoftInternetExplorer6.0虚拟机安装服务/工具2：Ethereal0.10.10.0虚拟机安装服务/工具3：HttpWatchProfessionalEdition虚拟机网卡与物理机网卡之间的关系：Bridge（桥接）PC-2（须使用物理机中的虚拟机）：物理机操作系统：Windows732位旗舰版VMwareWorkstation10虚拟机操作系统：WindowsXP虚拟机安装服务/工具1：MicrosoftInternetExplorer6.0虚拟机安装服务/工具2：Ethereal0.10.10.0虚拟机安装服务/工具3：HttpWatchProfessionalEdition虚拟机网卡与物理机网卡之间的关系：Bridge（桥接）PC-3（须使用物理机中的虚