2017年全国职业院校技能大赛高职组“信息安全管理与评估”赛项任务书

12017年全国职业院校技能大赛高职组“信息安全管理与评估”赛项任务书一、赛项时间9:00-15:00，共计6小时，含赛题发放、收卷及午餐时间。二、赛项信息竞赛阶段任务阶段竞赛任务竞赛时间分值第一阶段平台搭建与安全设备配置防护任务1网络平台搭建9:00-13:3060任务2网络安全设备配置与防护240第二阶段系统安全攻防及运维安全管控任务1缓冲区溢出漏洞渗透测试50任务2Web应用程序安全攻防50任务3ARP扫描渗透测试50任务4操作系统判断渗透测试50任务5数据库访问渗透测试及其加固50任务6网络协议渗透测试及其加固50中场收卷13:30-14:00第三阶段分组对抗系统加固14:00-15:00400系统攻防三、赛项内容本次大赛，各位选手需要完成三个阶段的任务，其中第一个阶段需要提交任务“操作文档”，“操作文档”需要存放在裁判组专门提供的U盘中。第二、三阶段请根据现场具体题目要求操作。选手首先需要在U盘的根目录下建立一个名为“xx工位”的文件夹（xx用具体的工位号替代），赛题第一阶段完成任务操作的文档放置在文件夹中。例如：08工位，则需要在U盘根目录下建立“08工位”文件夹，并在“08工位”文件夹下直接放置第一个阶段的操作文档文件。特别说明：只允许在根目录下的“08工位”文件夹中体现一次工位信息，不允许在其他文件夹名称或文件名称中再次体现工位信息，否则按作弊处理。2(一)赛项环境设置赛项环境设置包含了三个竞赛阶段的基础信息：网络拓扑图、IP地址规划表、设备初始化信息。1.网络拓扑图PC环境说明：PC-1（须使用物理机中的虚拟机）：物理机操作系统：Windows764位旗舰版VMwareWorkstation12Pro虚拟机操作系统：WindowsXP虚拟机安装服务/工具1：MicrosoftInternetExplorer6.0虚拟机安装服务/工具2：Ethereal0.10.10.0虚拟机安装服务/工具3：HttpWatchProfessionalEdition虚拟机网卡与物理机网卡之间的关系：Bridge（桥接）PC-2（须使用物理机中的虚拟机）：物理机操作系统：Windows764位旗舰版VMwareWorkstation12Pro虚拟机操作系统：WindowsXP虚拟机安装服务/工具1：MicrosoftInternetExplorer6.0虚拟机安装服务/工具2：Ethereal0.10.10.03虚拟机安装服务/工具3：HttpWatchProfessionalEdition虚拟机网卡与物理机网卡之间的关系：Bridge（桥接）PC-3（须使用物理机中的虚拟机）：物理机操作系统：Windows764位旗舰版VMwareWorkstation12Pro虚拟机操作系统：KaliLinux（Debian764Bit）虚拟机安装服务/工具：MetasploitFramework虚拟机网卡与物理机网卡之间的关系：Bridge（桥接）2.IP地址规划表设备名称接口IP地址互联可用IP数量防火墙DCFWEthXx.x.x.x/x与PC-3相连见赛场IP参数表地址池x.x.x.x/xSSLVPN地址池见赛场IP参数表无线交换机DCWSEthXx.x.x.x/x与DCRS相连见赛场IP参数表地址池x.x.x.x/xDCHP地址池见赛场IP参数表WEB应用防火墙WAFEthXx.x.x.x/x与DCRS相连见赛场IP参数表EthX与DCST相连见赛场IP参数表三层交换机DCRSVlan2x.x.x.x/x与DCWS相连见赛场IP参数表Vlan10x.x.x.x/x与WAF相连见赛场IP参数表Vlan20x.x.x.x/x与PC-1所在用户区相连见赛场IP参数表Vlan30x.x.x.x/x与PC-2所在用户区相连见赛场IP参数表Vlan40x.x.x.x/x与DCBI相连见赛场IP参数表Vlan100x.x.x.x/x直连服务器区见赛场IP参数表Vlan110x.x.x.x/x直连用户区见赛场IP参数表网络日志系统DCBIEthXx.x.x.x/x与DCRS相连见赛场IP参数表堡垒服务器DCSTEthXx.x.x.x/x与WAF相连见赛场IP参数表PC-1无x.x.x.x/x与DCRS相连见赛场IP参数表PC-2无x.x.x.x/x与DCFW相连见赛场IP参数表PC-3无x.x.x.x/x与DCFW相连见赛场IP参数表服务器场景-1无见系统安全攻防加固赛题部分服务器场景-2无见系统安全攻防加固赛题部分服务器场景-3无见系统安全攻防加固赛题部分服务器场景-4无见系统安全攻防加固赛题部分服务器场景-5无见系统安全攻防加固赛题部分备注1.赛题可用IP地址范围见“赛场IP参数表”；2.具体网络连接接口见“赛场互联接口参数表”；3.设备互联网段内可用地址数量见“赛场IP参数表”；44.IP地址分配要求，最节省IP地址，子网有效地址规划遵循2n-2的原则；5.参赛选手按照“赛场IP参数表”要求，自行分配IP地址段、设备互联接口；6.将分配的IP地址段和接口填入“赛场IP参数表”中（“赛场IP参数表”电子文件存于U盘“第一阶段”文件夹中，请填写完整后提交。）3.设备初始化信息设备名称管理地址默认管理接口用户名密码防火墙DCFW应用防火墙WAF–Eth9参见“DCST登录用户表”备注所有设备的默认管理接口、管理IP地址不允许修改;如果修改对应设备的缺省管理IP及管理端口，涉及此设备的题目按0分处理。5(二)第一阶段任务书（300分）该阶段需要提交配置或截图文档，命名如下表所示：阶段任务序号文档名称第一阶段任务11任务12赛场IP参数表任务23任务2-DCFW4任务2-DCBI5任务2-WAF6任务2-DCRS7任务2-DCWS任务1：网络平台搭建（60分）平台搭建要求如下：题号网络需求1根据网络拓扑图所示，按照IP地址参数表，对WAF的名称、各接口IP地址进行配置。2根据网络拓扑图所示，按照IP地址参数表，对DCRS的名称、各接口IP地址进行配置。3根据网络拓扑图所示，按照IP地址参数表，对DCFW的名称、各接口IP地址进行配置。4根据网络拓扑图所示，按照IP地址参数表，对DCWS的各接口IP地址进行配置。5根据网络拓扑图所示，按照IP地址参数表，对DCBI的名称、各接口IP地址进行配置。6根据网络拓扑图所示，按照IP地址参数表，在DCRS交换机上创建相应的VLAN，并将相应接口划入VLAN。7采用静态路由的方式，全网络互连。8完整填写“赛场IP参数表”。6任务2：网络安全设备配置与防护（240分）DCFW:1.在总公司的DCFW上配置，连接LAN接口开启PING,HTTP,HTTPS功能，连接Internet接口开启PING、HTTPS功能；并且新增一个用户，用户名dcn2017，密码dcn2017，该用户只有读-执行权限；2.DCFW配置NTP和LOG，ServerIP为X.X.X.X，NTP认证密码为Dcn2017；3.DCFW连接LAN的接口配置二层防护，ARPFlood超过500个每秒时丢弃超出的ARP包，ARP扫描攻击超过300个每秒时弃超出的ARP包；配置静态ARP绑定，MAC地址880B.0A0B.0C0D与IP地址X.X.X.X绑定；4.DCFW连接Internet的区域上配置以下攻击防护：FW1，FW2攻击防护启以下Flood防护：ICMP洪水攻击防护，警戒值2000，动作丢弃；UDP供水攻击防护，警戒值1500，动作丢弃；SYN洪水攻击防护，警戒值5000，动作丢弃；开启以下DOS防护：PingofDeath攻击防护；Teardrop攻击防护；IP选项，动作丢弃；ICMP大包攻击防护，警戒值2048，动作丢弃；5.限制LAN到Internet流媒体RTSP应用会话数，在周一至周五8:00-17:00每5秒钟会话建立不可超过20；6.DCFW上配置NAT功能，使PC2能够通过WEB方式正常管理到WAF，端口号使用10666;）7.总公司DCFW配置SSLVPN，建立用户dcn01，密码dcn01，要求连接InternetPC2可以拨入，配置下载客户端端口为9999，数据连接端口为9998，SSLVPN地址池参见地址表；8.DCFW加强访问Internet安全性，禁止从HTTP打开和下载可执行文件和批处理文件；9.DCFW配置禁止所有人在周一至周五工作时间9：00-18：00访问京东相同时间段禁止访问中含有“娱乐”、“新闻”的WEB页面；10.DCFW上配置ZONE和放行策略，连接Internet接口为“Untrust”区域，连接DCRS接口为“Trust”区域，连接SSLVPN接口为“VPNHUB”区域，要求配置相应的最严格安全策略；）7DCBI:11.在公司总部的DCBI上配置，设备部署方式为旁路模式，并配置监控接口与管理接口;增加非admin账户DCN2017，密码dcn2017，该账户仅用于用户查询设备的系统状态和统计报表;12.在公司总部的DCBI上配置，监控周一至周五9：00-18：00PC-1所在网段用户访问的URL中包含xunlei的HTTP访问记录，并且邮件发送告警;13.在公司总部的DCBI上配置，监控PC-1所在网段用户周一至周五9：00-18：00的即时聊天记录;14.公司总部LAN中用户访问网页中带有“MP3”、“MKV”、“RMVB”需要被DCBI记录；邮件内容中带有“银行账号”记录并发送邮件告警；15.DCBI监控LAN中用户访问网络游戏，包括“QQ游戏”、“魔兽世界”并作记录；16.DCBI配置应用及应用组“快播视频”，UDP协议端口号范围23456-23654，在周一至周五9：00-18：00监控LAN中所有用户的“快播视频”访问记录；17.DCBI上开启邮件告警，邮件服务器地址为X.X.X.X，端口号25,告警所用邮箱用户名dcnadmin,密码Dcn2017;当DCBI磁盘使用率超过75%时发送一次报警；WAF:18.在公司总部的WAF上配置，编辑防护策略，定义HTTP请求体的最大长度为512，防止缓冲区溢出攻击；19.在公司总部的WAF上配置，防止某源IP地址在短时间内发送大量的恶意请求，影响公司网站正常服务。大量请求的确认值是：10秒钟超过3000次请求；20.在公司总部的WAF上配置，对公司网站（X.X.X.X）进行安全评估，检查网站是否存在安全漏洞，便于在攻击没有发生的情况下提前做出防护措施；21.使用WAF自带标识组配置爬虫防护与扫描防护，阻断时间120秒，通过WAF组织爬虫探测和扫描服务器区域；22.在公司总部的WAF上配置，禁止HTTP请求和应答中包含敏感字段“赛题”和“答案”的报文经过WAF设备。23.公司web应用防火墙透明模式部署，为了防止不法人员对公司内的网站(X.X.X.X)进行攻击，在web应用防火墙上开启“黑名单”策略，禁止公网IP地址（X.X.X.X）访问网站服务器。24.公司web应用防火墙透明模式部署，为了防止不法人员对公司内的网站(X.X.X.X)进行攻击，在web应用防火墙上开启防止“SQL注入”攻击策略阻止攻击流量；25.在公司总部的WAF上配置，WAF设备的内存使用率超过75%每隔5分钟发送邮件和短信给管理，邮箱admin@digitalchina.com，手机13912345678；8DCRS:26.DCRS为接入交换机，为终端产生防止MAC地址防洪攻击，请配置端口安全，每个已划分VLAN的端口最多学习到5个MAC