1、 第 1 页 共 8 页2017 年云南省中等职业学校技能大赛网络信息安全项目试题比赛时间:180 分钟(含理论测试)重要说明:a. 禁止携带和使用移动存储设备、计算器、通讯工具及参考资料。b. 请根据大赛所提供的比赛环境,检查所列的硬件设备、软件清单、材料清单是否齐全,计算机设备是否能正常使用。c. 本赛试共有试卷和答卷两个部分、请选手仔细阅读比赛赛题,按照赛题要求完成各项操作。d. 操作过程中,需要及时保存设备配置。比赛结束后,所有设备保持运行状态,评判以最后的硬件连接为最终结果。e. 比赛完成后,比赛设备、软件和赛题请保留在座位上,禁止将比赛所用的所有物品(包括试卷和草纸)带离赛场。f.
2、 禁止在纸质资料上填写与竞赛无关的标记,如违反规定,可视为 0 分。g. 交换机、路由器设备配置结果以“设备名称.txt”格式保存。防火墙、无线、系统配置中界面操作步骤需要按操作顺序编号截图保存(同一题目操作截屏以顺序先后编号命名,如 fw-port-1,fw-port-2) 。 “任务一”所有文档保存至服务器 1 桌面“Mission1_X”(X 为工位号)文件夹中。 “任务二”所有文档保存至服务器 1 桌面“Mission2_X”文件夹中。 “任务三”所有文档保存至服务器 1 桌面“Mission3_X”文件夹中。 “任务四”所有文档保存至服务器 1 桌面“Mission4_X”文件夹中。
3、裁判以各参赛队的文档为主要评分依据。无文档相关环节视为 0 分。文件夹中,文件名、扩展名和存放位置错误,涉及到的所有操作分值记为 0 分。h. 与比赛相关的工具软件放置在 D:soft 文件夹中。题目要求的虚拟机均安装于每台主机的 D:virtualPC 目录,即路径为 D:virtualPC虚拟机主机名称。任务一,组建一个办公网络1、任务描述:云城信息服务集团需要建立一个更安全的办公网络环境,采用以下设备进行组网,路由器(DCR-2655) ,三层交换机(DCRS-5650-28) 、防火墙(DCFW-1800E-N3002) 、无线 AP (WL8200-I2)安全网关(VSG-350A)
4、各一台。要求按照拓扑结构连接办公网络,企业办公环境接入互联网使用专线,专线的固定 IP 为 59.199.250.250.X/24(X 为工位号)。第 2 页 共 8 页1. VSG-350A 安全网关使用透明网桥方式接入网络,DCRS 三层交换机作为办公网络汇聚交换机。交换机与路由器之间使用 RIPv2 动态路由协议,路由器与防火墙之间采用 OSPF 动态路由协议,使全网互通2. 公司接入网络以 NAT 方式,通过防火墙接入互联网,同时分为职员办公和防客使用接入两种类型,职员使用有线方式连接网络,访客网络使用无线连接网络。接入公司网络的计算机采用自动分配 IP 地址方式。3. 将专线 IP
5、的 80 端口映射到公司服务器网络中的 Wangzhan 服务器对应端口,使得互联网中的客户可以通过专线 IP 直接访问到公司网站。4. 为保障公司网络的安全性,在防火墙上做以下防护部署:(1)IP 地址扫描攻击防护功能,其中在秒时间内,有 10 个以上相同 IP 地址的 ICMP 包请示,则发出警报,ICMP 洪水攻击防护警戒值为 70,行为为丢弃,但允许数据包通行。(2)配置 SYN Flood 攻击防护功能,警戒值为 300,行为丢弃。(3)配置 ARP 欺骗防护功能。5. 在交换机上开启 SSH 管理功能,用户名 user_X(X 为工位号),密码为:ACbd123,关闭设备的 Web
6、 管理方式,仅允许使用 console、ssl 和 telnet 方式管理设备。6. 公司的职员用户分为三大类型:技术部,销售部,部门经理三类用户,要求使用子网络三类 IP 进行隔离。将 192.168.20.0/24 划分为 4 个子网,每个子网至少包含 50 个信息点。技术部使用第一个子网,销售部使用第二个子网,部门经理使用第三个子网。7. 公司内网上网用户需通过 WEB 密码认证才能防问网络。8. 访客网络的 SSID 设定为 yunchengX(X 为工位号) ,访客分配使用的 IP 在192.168.200.1-192.168.200.100 范围内。为保证公司网络安全,访客只允许访
7、问互联网,不能访问公司内网资源。第 3 页 共 8 页9. 为了方便管理和提高工作效率,公司规定技术部人员与销售部人员之间的计算机不能相互访问,但部门经理与其他人员之间的计算机可以相互访问。10.网络设备之间连通所用的地址请自行设计。2、任务要求说明:1. 在服务器 1 的桌面建立文件夹“Mission1_X” ,并把任务一要求的配置文件和截屏(以JPG 图片格式保存)在文件夹“Mission1_X”中。 (否则影响评改)2. 将设置防火墙的操作过程截屏保存为 Zone-序号。 (序号表示你设置界面操作过程的顺序,如第一步操作界面截屏命名为 Zone-1,第二步操作截屏命名为 Zone-2,如
8、此类推。以后出现的“序号”均表示相同意思。 )3. 将设置网络地址转换的操作过程截屏保存为 NAT-序号。4. 将设置端口映射的操作过程截屏保存为 Port-序号。5. 将服务器 1 通过无线接入到访客网络,将 CMD 控制台运行 ipconfig/all 的完整结果截屏保存为 WifiNet;将 CMD 控制台运行 tracert 59.199.250.250 的完整结果截屏保存为tracert1.6. 断开服务器 1 无线网络,并接入到部门经理网络,将 CMD 控制台运行 ipconfig/all 的完整结果截屏保存为 JingliNet;将 CMD 控制台运行 tracert 59.19
9、9.250.250 完整结果截屏保存为 tracert2。7. 将服务器 2 接入到技术部人员网络,服务器 1 接入到部门经理网络,服务器 3 接入到销售部人员网络,在服务器 2 的 CMD 控制台运行 ipconfig/all,并执行 ping 命令访问服务器 1 和服务器 3,将三条命令的完整结果截屏保存在一个文件 BgsNet 中;将服务器 2 的 CMD 控制台运行 tracert 59.199.250.250 的完整结果截屏保存为 tracert3 。8. 将服务器 2 接入到技术部人员网络,服务器 1 接入到部门经理网络,服务器 3 接入到销售部人员网络,在服务器 3 的 CMD
10、控制台运行 ipconfig/all,并执行 ping 命令访问服务器 1 和服务器 2,将三条命令的完整结果截屏保存在一个文件 XiaoshouNet 中;将 CMD 控制台运行tracert 59.199.250.250 的完整结果截屏保存为 tracert4 。9. 网络测试完成后,三台服务器可以自由选择接入网络。任务二,系统安全配置1、任务描述1. 公司需要搭建一系列服务器,并保证这些服务的安全性。请安装一下表格要求安装虚拟机第 4 页 共 8 页宿主机 虚拟机(系统)名称 操作系统服务器 1 DCX(X 为工位号) WindowsServer2008R2服务器 1 Web Windo
11、wsServer2008R2服务器 3 Windows Windows7服务器 2 Wangzhan WindowsServer2003服务器 3 Linux CentOS2. DCX 升级为公司的域控制服务器,域名为 3. DCX 上安装证书服务,设置为企业根,有效期为 5 年,为企业内部自动回复证书申请。4. 公司内部组织结构如下表,根据组织结构建立域用户的管理结构。以部门拼音首字为组名。所有操作系统账号按照密码规则设置相同的一个密码,并填写在答卷中。部门 员工jishubu1jishubu2技术部jishubu 3xiaoshoubu1xiaoshoubu2销售部xiaoshoubu3j
12、inglibu1经理部jinglibu25. 为公司的域控制器配置组策略如下:(1)禁止用户使用可移动存储策略,但经理不做限制。(2)设置 IE 首页地址为:http:/,禁止客户端更改;(3) 当员工用户登录时,自动在登入的计算机桌面上建立一个 网址快捷方式。6. 为方便网络管理员远程管域控制器,请开启域控制器远程桌面管理功能,允许 DcAadmin的用户远程登录。7. Wangzhan 作为公司宣传网站的 Web 服务器,安装 apache,php 和 MySQL,启动 wangzhan的系统防火墙保护网络服务,开放 Web 服务对应的协议,端口,保证网络用户能正常访问 Web网站。8.
13、 配置 Web 服务器,为 Web 服务器申请服务器证书,启动 SSL 安全通信和安全加密的 Web第 5 页 共 8 页服务,使用 https:/ 可以访问加密后的页面 index.html。页面内容显示“安全加密页面” 。9. 加固 Web 服务器上的 MYSQL 服务,改变默认 MYSQL 管理员的名称,将系统的默认管理员root 改为 admin,防止被列举。10. Windows 是员工使用的计算机,按照答卷要求设置密码。为其添加应用程序控制策略。禁止本机操作的用户运行 winRar 程序。11. Linux 是备用服务器。加强登录的用户管理,登录用户在 10 分钟内都没有动作,那么
14、系统会自动注销这个用户。创建 etc/secfile 文件,该文件只有 root 用户才能访问和修改,其余用户不能访问和修改文件。二、任务要求说明:1. 服务器 1 桌面建立目录“Mission2_X” ,各虚拟机系统要求的截屏和结果文件统一放在该目录中。 (否则影响评改)2. 将每台安装系统完成后的虚拟机运行状态界面分别截屏,并以虚拟机名称命名截屏文件。3. 将 DCX 升级域完成后的“计算机、工作组和域”资料信息截屏保存为 Domain4. 将域中三类用户以及所包含的用户界面分别截屏保存为 jishubu,xiaoshoubu ,jinglibu5. 将域控制器设置过程截屏保存 YK-序号
15、6. 开启域控制器远程截屏保存 KQ序号7. 将 Wangzhan 防火墙设置过程截屏保存为 FW-序号8. 请将密码填写在答卷中。将 Windows 应用程序控制设置过程截屏保存为 Lock-序号9. 将申请证书颁发机构管理界面截屏保存为 CAManager,将证书申请文件命名 CArequest,颁发的证书命名为 wedSSL,访问 https 页面效果截屏保存为 https。10. 将修改 Linux 登录活动时间设置过程截屏保存为 Active-序号11. 将设置./etc/secfile 文件访问权限的过程截屏保存为 Access-序号任务三 安全网关设置一、任务描述1. 把以太网口
16、 0 与以太网口 1 组合成为网桥,网关地址为防火墙对应接地址,记录公司网第 6 页 共 8 页络用户的上网行为。2. 在安全网关中按照云城公司三类用户建立用户组,地址范围根据实际子网地址范围,以IP 作为用户名记录。3. 公司租用的 ISP 专线带宽是下行 80Mb/s,上行 40Mb/s。为保证公司的网络畅通,考虑到销售组用户流量使用较多,优先保证销售组用户使用网络,保证上下行带宽不少于 40%,最大为 85%。4. 公司规定技术部和销售部员工可以访问互联网的时间段为上班时间(周一到周五 8:00-12:00;14:00-17:00) 。每个员工每天累计正常访问外网时间不得超过 60 分钟
17、,每用户每天流量配额为 100MB。5. 新建一个管理员帐户,用户名为 YC2017,密码为:123456。该用户只有查看配置权限,不能添加配置和修改配置的权限。6. 实现无线智能终端的管理,识别无线智能终端的接入,防范无线智能终端设备接入引起无线安全漏洞导致泄密。7. 任何时候不允许内网用户在网页中下载音乐和影视文件及全天禁止用户访问视频网站。8. 公司不允许内网用户访问标题和内容含有“藏独”或“台独”词组的网页。9. 为保护公司的重要资料不外泄,公司需要对内网用户发送的邮件进行延时审计,如果外发的的邮件内容包含“企业名称”和“企业电话”字样,延时等待审计的时间 60 分钟,如果超时未审计则
18、不发送。10. 为规范员工上午行为,公司需要对内网用户向外发送的内容进行审计,包括 Web BBS 发帖的内容,访问过的网站,邮件收发,IM 聊天内容等。11. 59.199.250.250 是一个 BBS 论坛的地址,论坛登录账号为 userX,密码为bbsuser2017。 59.199.250.251 是一个支持 Pop/SMTP 的邮箱服务地址,登录账号为userX,密码 user2017。所有规则设置完成后,将服务器 3 接入技术部网络,在宿主机进行下列操作:1) 访问登录 BBS,在“网络信息安全讨论”栏目中发一张贴,标题“X 组选手测试 BBS 功能” ,内容为“X 组选手完成内
19、容审计功能” 。2) 打开浏览 BBS 中“访问测试”栏目内的所有帖子。3) 安装配置 Foxmail,通过 Foxmail 软件,以小组账号向 发送一封邮件,主题为“最新资料” ,内容为“2017 年企业图纸” 。4) 完成上文要求测试操作后,通过安全网关的审计系统,导出从比赛开始全部审计日志总第 7 页 共 8 页体情况。二、任务要求说明1. 在服务器 1 桌面建立目录“Mission3_X” ,任务三所有截屏或文件都保存在此目录中(否则影响评改) 。2. 安全网关部署设置过程截屏保存 Bushu-序号3. 将建立用户组的设置过程截屏保存为 Group-序号4. 将线路命名“总线路” ,
20、通道命名为“销售线路保护” ,带宽限制设置过程截屏保存为Ba-序号5. 将限制上网时间策略命名为“策略 a”,将设置过程截屏保存为 Time-序号6. 将新建管理员设置过程截屏保存为 YC2017-序号7. 将无线智能终发现设置过程截屏保存为 Wx-序号8. 将网站限制策略命名为“策略 b”,将设置过程截屏保存为 Wz-序号9. 将敏感字过滤策略命名为“策略 c”,将设置过程截屏保存为 Word-序号10. 将邮件审计的策略命名为“策略 d”,将设置过程截屏保存为 Check-序号11. 将外发审计策略命名为“策略 e”,将设置过程截屏保存为 Post-序号12. 审计日志总体信息导出的文件命
21、名为 log。任务四,网站安全修复1、任务描述eastUnion.rar 文件是使用 PHP+Mysql 开发的一个具有若干安全漏洞的不完善的内容发布系统,请按照任务要求尽量找出相关漏洞并有效修复。修复完成后,在 Wangzhan 中搭建网站环境并发布修复后的网站:1. 安装 Zap 扫描软件,并通过软件检查网站系统的漏洞情况,请找出所有脚本攻击漏同点并修复。2. 网站可能存在注注入漏洞包括:()攻击者输入特殊的字符串可以干扰或破坏网站原有的功能 ()存在 XSS 脚本攻击漏洞,操作中可以被添加恶意脚本而导致浏览该的用户遭受攻击。第 8 页 共 8 页()信息系统在用户密码存上存敏感信息泄露的
22、威胁,用户在创建或修改密码时,可以使用过于简单的密码。密码设置必须符合以下原则:长度至少为八个字符,密码必须为字母、数字和特殊字符的组合。2、任务要求说明:1. 修复前漏洞扫描结果界面截屏保存为 scan_before,结果报告以网页格式导出命名为 report,修复后漏洞扫描结果界面截屏保存为 scan_after。2. 查询处用户表中所有字段的结果,截屏保存为 users。3. 在源代码中,每一处你开始修改代码的地方前都必须添加一个注释块“修改代码开始”标识,在结束修改代码的地方之后添加一个注释块“修改代码结束”标识。若无标识修改的代码将不予评判代码部分的分数。完成后把修改的代码段截屏,截屏文件以“code_文件名”命名(其中文件名是修改的代码所在文件对应的文件名) 。例如:修改的源代码在 index.php 文件中,则添加标识后,把该屏幕截图,然后命名为“code-index”4. 按照密码规则修改原有账号的密码,必须将相关的账号与密码填写到答卷中,否则影响答卷评分。
