Post on 24-Jan-2021
2019年江西省职业院校技能大赛信息安全管理与评估赛技能竞赛方案(高职组)
各高等职业院校:根据江西省教育厅《关于举办 2019 年江西省职业院校技
能大赛的通知》(赣教职成字〔2019〕27 号)文件精神,现举办 2019 年江西省职业院校技能大赛信息安全管理与评估赛赛项技能竞赛,为了确保竞赛工作顺利开展,特制定本竞赛方案。
一、竞赛时间、地点报名时间:2019 年 9 月 25 日-2019 年 9 月 30 日比赛时间:2019 年 11 月 1 日下午报到,11 月 2 日比赛。地点:江西工业职业技术学院(南昌市昌东高校园区天祥
大道 388 号)二、比赛形式信息安全管理与评估(团体赛,3 人)三、参赛对象与组队原则参赛对象:高职组参赛选手须为普通高等学校全日制在籍专科学生。
本科院校高职类全日制在籍学生可报名参加高职组比赛。五年——1——
制高职学生四、五年级参加高职组比赛。高职组参赛选手年龄须不超过 25 周岁,年龄计算的截止时间以 2019 年 5 月 1 日为准。
组队原则:此赛项为团体赛,由 3 名选手组成,每队不能跨校组队,
每所职业院校限报 2 队,每队限报 2 名指导老师。四、组织领导主办单位:江西省教育厅承办单位:江西工业职业技术学院协办单位:南昌工程学院职教师资培训基地为保证比赛顺利进行,设立江西省职业院校技能大赛高职
组信息安全管理与评估技能竞赛执行委员会和仲裁委员会。赛项执委会构成如下:主 任:姚小英 江西工业职业技术学院书记副主任:郭才顺 南昌工程学院职教师资培训基地主任
支卫兵 江西工业职业技术学院副院长成 员:刘 磊 江西工业职业技术学院电信分院院长
张建群 南昌工程学院职教师资培训中心科长周 玫 江西工业职业技术学院电信分院副院长
——2——
王海艳 江西工业职业技术学院电信分院副院长陈长印 江西工业职业技术学院计算机教研室主任
仲裁委员会构成如下:主 任:郭才顺 南昌工程学院职教师资培训基地主任成员:略五、奖项设置1.参赛选手奖本赛项设一、二、三等奖,奖项设置按实际参赛人数(队
数)四舍五入方法确定,其中:一等奖 占参赛人数(队数)10%二等奖 占参赛人数(队数)15%三等奖 占参赛人数(队数)20%2.优秀指导教师获赛项一、二、三等奖的选手,其指导老师获优秀指导老
师奖,由大赛组委会颁发“优秀指导老师”奖。六、竞赛规程
根据 2019 年全国职业院校技能大赛规程,组织专家制定江西省职业院校技能大赛信息安全管理与评估技能竞赛规程(见附件),对比赛进行公平、公正、公开的评判。
——3——
七、选手资格审查协办单位对参赛选手的参赛条件进行统一身份核查(以学
籍系统注册信息为准),对不符合参赛条件的选手将作出禁止参赛处理。参赛选手需提供以下证明材料:
1.参赛选手报到时需提供加盖了本校印章的《参赛证》(通过《报名系统》打印)。
2.本人身份证原件及复印件(无身份证者需提供附本人照片的户籍证明)。
3.高职院校需提供盖有省考试院印章的录取花名册原件及复印件。
以上材料均需提供原件及复印件。参赛证及其它原件查核后当场退回,复印件留查。对于各代表队赛前报到时,材料不符合要求以及身份造假的选手将取消其参赛资格,赛后若发现参赛选手身份造假的,将收回证书,并通报批评。八、竞赛费用省级竞赛不收取任何参赛费用竞赛期间食宿自理,由承办
学校统一安排,参加竞赛的学校领队、教师、学生旅差费、食宿费、交通费按标准回原单位报销。
比赛期间,各代表队须为每位参赛选手办理意外伤害险。
——4——
九、比赛注意事项大赛筹备处(会务组)设在江西工业职业技术学院(南昌
市昌东高校园区天祥大道 388 号,邮编:330095)联系人:刘磊(赛事负责人)15970633297
陈长印 15807001800电话:0791-88351816竞赛用QQ 群:618054060十、申诉与仲裁1.各参赛队对不符合大赛和赛项规程规定的仪器、设备、
工装、材料、物件、计算机软硬件、竞赛使用工具、用品,竞赛执裁、赛场管理,以及工作人员的不规范行为等,参赛选手可向现场裁判提出示意,由裁判长根据实际情况作出现场处理。
2.选手成绩申诉须通过本参赛队领队,按照规定时限(比赛成绩张榜公示后 2 小时内)以书面形式向赛项仲裁工作组提出。赛项仲裁工作组在接到申诉后的 24 小时内答复,并及时将结果通知领队。
——5——
2019年江西省职业院校技能大赛(高职组)“信息安全管理与评估”赛项竞赛规程
一、赛项名称信息安全管理与评估赛二、竞赛目的
通过赛项检验参赛选手网络组建、按照等保要求加固网络、安全架构、渗透测试等技术能力,检验参赛队计划组织和团队协作等综合职业素养,培养学生创新能力和实践动手能力,提升学生职业能力和就业竞争力。通过大赛引领专业教学改革,丰富完善学习领域课程建设,使人才培养更贴近岗位实际,实现以赛促教、以赛促学、以赛促改的产教结合格局,提升专业培养服务社会和行业发展的能力,为国家信息安全行业培养选拔技术技能型人才。
三、竞赛方式与内容(一)竞赛方式本赛项为团体赛,以院校为单位组队参赛,不得跨校组队。每支参赛队由 3 名
选手(设队长 1 名)和不超过 2 名指导教师组成,每校限报 2 支参赛队。参赛选手须为全省高职院校 2019年春季在籍学生(含本科院校高职学生,1995 年5月 1
日之后出生)同校学生,性别不限。参赛选手在报名获得确认后,原则上不再更换,允许队员缺席比赛。
(二)竞赛内容
——6——
赛项竞赛时间为 3 小时,重点考核参赛选手进行网络组建、安全架构、渗透测试、网络安全运维的综合实践能力,具体包括:
1.参赛选手能够根据大赛提供的赛项要求,设计信息安全防护方案。2.参赛选手能够根据业务需求和实际的工程应用环境,实现网络设备、安全设
备、服务器的连接,通过调试,实现设备互联互通。3.参赛选手能够在赛项提供的网络设备及服务器上配置各种协议和服务,实现
网络系统的运行,并根据网络业务需求配置各种安全策略,以满足应用需求。4.参赛选手能够根据网络实际运行中面临的安全威胁,指定安全策略并部署实
施,防范并解决网络恶意入侵和攻击行为。5.参赛选手能够按照要求准确撰写工作总结。四、竞赛规则
1. 竞赛工位通过抽签决定,竞赛期间参赛选手不得离开竞赛工位。2. 竞赛所需设备(含设备配置线)由参赛院校自备(PC 机除外)、系统软件
和辅助工具由组委会统一安排,参赛选手不得自带软件、移动存储、辅助工具、移动通信等违规物品进入竞赛现场。
3. 参赛队自行决定选手分工、工作程序和时间安排。4. 参赛队在赛前 10 分钟进入竞赛工位并领取竞赛任务,竞赛正式开始后方可
展开相关工作。5. 竞赛过程中,选手须严格遵守操作规程,确保人身及设备安全,并接受裁判
员的监督和警示。若因选手因素造成设备故障或损坏,无法继续竞赛,裁判长有权决定终止该队竞赛;若因非选手个人因素造成设备故障,由裁判长视具体情况做出裁决。
——7——
6. 竞赛结束(或提前完成)后,参赛队要确认已成功提交所有竞赛文档,裁判员与参赛队队长一起签字确认,参赛队在确认后不得再进行任何操作。
7. 竞赛命题规则(1)竞赛题目以实际项目为基础,体现网络信息安全领域的先进技术、主流
产品和应用,符合行业应用相关的工程规范及标准,体现网络信息安全领域的人才需求特点。
(2)竞赛题目设计和评分规则体现竞赛的选拔性,具有一定难度。(3)赛项专家组封闭命题,理论与实践、知识与能力并重,注重参赛选手综
合职业能力的考核,体现高职计算机信息安全类专业人才培养特色。五、竞赛流程与竞赛范围
竞赛知识与技能点序号 内容模块 考核范围
第一阶段
网络平台搭建网络规划,VLSM、CIDR 等。基础网络,VLAN、WLAN、STP、SVI、RIPV2、OSPF等。
网络安全设备配置与防护
1.保护网络应用安全,实现防DOS、DDOS攻击、实现包过滤、应用层代理、状态化包过滤、URL 过滤、基于 IP、协议、应用、用户角色、自定义数据流和时间等方式的带宽控制,QOS策略等;2.密码学基本理论,L2L IPSec VPN、GRE Over IPSec、L2TP Over IPSec、IKE:PSK、IKE:PKI、SSL VPN 等;3.能够利用日志系统对网络内的数据进行日志分析,把控网络安全等。
第二阶段
系统安全攻防及运维安全管控
1.网络渗透测试及其加固技术。MAC渗透测试及其加固、DHCP渗透测试及其加固、ARP渗透测试及
——8——
其加固、STP渗透测试及其加固、VLAN渗透测试及其加固、路由协议(RIPV2、OSPF)渗透测试及其加固。2.操作系统渗透测试及其加固。Windows、Linux操作系统服务缓冲区溢出渗透测试及其加固。3.Web应用和数据库渗透测试及其加固技术。SQL Injection(SQL 注入)漏洞渗透测试及其安全编程、Command Injection(命令注入)漏洞渗透测试及其安全编程、File Upload(文件上传)漏洞渗透测试及其安全编程、Directory Traversing(目录穿越)漏洞渗透测试及其安全编程、XSS(Cross Site Script)漏洞渗透测试及其安全编程、CSRF(Cross Site Request Forgeries)漏洞渗透测试及其安全编程、Cookie Stole(Cookie盗用)漏洞渗透测试及其安全编程、Session Hijacking(会话劫持)漏洞渗透测试及其安全编程、配置 WAF(Web应用防火墙)加固Web应用等。
第三阶段
制作相关工程文档 工作总结报告、文档。
六、评分标准与奖项设置(一)评分方式1.制定原则竞赛评分严格按照公平、公正、公开的原则,评分标准注重考查参赛选手以下
各方面的能力和水平:(1)信息安全网络组建能力。(2)信息安全管理的整体内容全面性、目标机漏洞定位的准确性、主机加固
操作正确性、信息安全设备配置与防护的正确性、规范性和合理性。(3)相关文档的准确性与规范性。
——9——
(4)团队风貌、团队协作与沟通、组织与管理能力和工作计划性等。2.评分方法参赛队成绩由赛项裁判组统一评定;采取分步得分、错误不传递、累计总分的
计分方式,分别计算环节得分,不计参赛选手个人得分。竞赛过程中,参赛选手如有不服从裁判判决、扰乱赛场秩序、舞弊等不文明行
为,由裁判长按照规定扣减相应分数,情节严重的取消竞赛资格,竞赛成绩记 0 分。(二)奖项设置本项目获奖奖项按照《关于举办 2019 年江西省职业院校技能大赛的通知》
(赣教职成字〔2019〕27 号)文件设置。
——10——
2019年江西省职业院校技能大赛(高职组)“信息安全管理与评估”项目技术规范
一、 竞赛项目行业、职业技术标准网络工程在设计、组建信息系统过程中主要有以下 15 项标准,参赛代表队在
实施竞赛项目中要求遵循如下规范:序号 标准号 中文标准名称
1 GB 17859-1999 《计算机信息系统安全保护等级划分准则》2 GB/T 20271-
2006 《信息安全技术信息系统通用安全技术要求》3 GB/T 20270-
2006 《信息安全技术网络基础安全技术要求》4 GB/T 20272-
2006 《信息安全技术操作系统安全技术要求》5 GB/T 20273-
2006 《信息安全技术数据库管理系统安全技术要求》
6 GA/T 671-2006《信息安全技术终端计算机系统安全等级技术要求》
7 GB/T 20269-2006 《信息安全技术信息系统安全管理要求》
8 ISO OSI OSI 开放系统互连参考模型9 IEEE 802.1 局域网概述,体系结构,网络管理和性能测量10 IEEE 802.2 逻辑链路控制 LLC
11 IEEE 802.3总线网介质访问控制协议CSMA/CD及物理层技术规范
——11——
12 IEEE 802.6城域网(Metropolitan Area Networks)MAC
介质访问控制协议DQDB及其物理层技术规范13 IEEE 802.10 局域网安全技术标准
14 IEEE 802.11无线局域网的介质访问控制协议CSMA/CA及其物理层技术规范
15 BG/T 22239-2008 信息安全技术信息系统安全等级保护基本要求
二、 竞赛场地和环境标准1.赛场环境设计赛场每个工位内设有操作平台并配备 220V 电源,工位内的电缆线应符合安全
要求。每间竞赛工位面积 6㎡,以确保参赛队之间互不干扰。竞赛工位标明工位号,并配备竞赛平台和技术工作要求的软、硬件。环境标准要求保证赛场采光(大于500lux)、照明和通风良好,每支参赛队提供一个垃圾箱。
2.竞赛环境依据竞赛需求和职业特点设计,在竞赛不被干扰的前提下限制性开放。指导教师或领队沿指定路线,在规定的时间和指定区域内到现场参观。
三、 竞赛设备技术平台(一)竞赛软件竞赛组委会提供个人计算机(安装Windows操作系统),用以配置相关设备
与网络组建,并安装Office、RAR 和 Adobe Reader 等常用应用软件。序号 软 件 介 绍
1 Windows 操作系统2 Microsoft Office 文档编辑工具
——12——
3 WINRAR 解压与压缩文件4 Adobe Reader PDF 文件阅读器5 VMware 虚拟机运行环境6 谷歌浏览器 设备调试连接工具7 超级终端 设备调试连接工具
竞赛组委会提供服务器环境,按照大赛要求提供网络服务。序号 软 件 介 绍
1 Windows 7\Windows XP Windows客户机操作系统2 Windows Server 2003\2008 Windows服务器操作系统3 Ubuntu\Debian 渗透测试机操作系统4 Linux CentOS Linux服务器操作系统
(二)竞赛设备型号参考清单序号 设备名称 数量 参考型号
1 三层虚拟化交换机 1 神州数码CS6200交换机2 防火墙 1 神州数码DCFW-1800E-N30023 堡垒服务器 1 神州数码DCST-6000B4 WEB应用防火墙 1 神州数码DCFW-1800-WAF-LAB5 网络日志系统 1 神州数码DCBI-NetLog-LAB6 无线交换机 1 神州数码DCWS-60287 无线接入点 1 神州数码WL8200-I2
8 PC 机 3
多核 CPU,CPU 主频>=3.0GHZ,内存>=8G,具有串口或者配置 USB转串口的配置线,支持硬件虚拟化。
——13——
——14——
2019年江西省职业院校技能大赛(高职组)“信息安全管理与评估”项目竞赛须知
一、参赛队须知1.参赛队名称:统一使用规定的学校代表队名称,不接受跨市、跨校组队报名。2.参赛队组成:每支参赛队由 3 名选手(设队长 1 名),每校限报 2 支参赛队。
参赛选手须为全省高职院校 2019 年春季在籍学生(含本科院校高职学生,1995
年 5 月 1 日之后出生)同校学生,性别不限。3.指导教师:每支参赛队最多可配指导教师 2 名,指导教师经报名并通过资格
审查后确定。二、指导教师须知
1. 严格遵守赛场的规章制度,服从裁判,文明竞赛。持证进入赛场参观,禁止将通讯工具和存储设备带入赛场。
2. 进场参观的指导教师必须预先报名,确定后不允许更换。指导教师以实名制进入赛场参观。
3. 竞赛过程中,指导教师应严格遵守竞赛的统一安排进场参观,准时进场、准时离场,不能借故拖延。
三、参赛选手须知1. 参赛选手严格遵守赛场规章、操作规程,保证人身及设备安全,接受裁判
员的监督和警示,文明竞赛。2. 选手凭证进入赛场,在赛场内操作期间应当始终佩带参赛凭证以备检查。
——15——
3. 参赛选手进入赛场,不允许携带任何书籍和其他纸质资料(相关技术资料的电子文档由组委会提供),不允许携带通讯工具和存储设备。
4. 各参赛队应在竞赛开始前一天规定的时间段进入赛场熟悉环境,入场后,赛场工作人员与参赛选手共同确认操作条件及设备状况,设备、材料、工具清点后,由参赛队长签字认可。
5. 竞赛时,在收到开赛信号前不得启动操作,各参赛队自行决定分工、工作程序和时间安排,在指定工位上完成竞赛项目,严禁作弊行为。
6. 竞赛过程中,因严重操作失误或安全事故不能进行竞赛的(例如操作中发生短路导致赛场断电的、造成设备不能正常工作的),现场裁判员有权中止该队竞赛。
7. 在竞赛期间,选手在比赛时间内连续工作,选手休息、饮食或如厕时间均计算在竞赛时间内。
8. 凡在竞赛期间提前离开的选手,不得返回赛场。9. 为培养技能型人才的工作风格,在参赛期间,选手应当注意保持工作环境
及设备摆放,符合企业生产“5S”(即整理、整顿、清扫、清洁和素养)的原则,如果过于脏乱,裁判员有权酌情扣分。
10. 在竞赛中如遇非人为因素造成的设备故障,经裁判确认后,可向裁判长申请补足排除故障的时间。
11. 参赛队欲提前结束竞赛,应向现场裁判员举手示意,由其记录竞赛终止时间,竞赛终止后,不得再进行任何与竞赛有关的操作。
12. 各竞赛队按照竞赛要求和赛题要求提交递交竞赛成果,禁止在竞赛成果上做任何与竞赛无关的记号。
——16——
13. 竞赛操作结束后,参赛队要确认成功提交竞赛要求的文件,裁判员在竞赛结果的规定位置做标记,并与参赛队一起签字确认。
2019年江西省职业院校技能大赛 “信息安全管理与评估”赛项(省赛样题)
一、 赛项时间
9:00-12:00,共计 3 小时,含赛题发放、收卷及午餐时间。
二、 赛项信息
竞赛阶段 任务阶段 竞赛任务 竞赛时间 分值
第一阶段平台搭建与安全
设备配置防护
任务 1 网络平台搭建 9:00-12:00 100
任务 2 网络安全设备配置与防护 300
第二阶段 任务 1 Web应用程序 SQL Inject 安全 200
——17——
系统安全攻防及运维安全管控
攻防任务 2 二层网络 Sniffer监听安全攻防 200
任务 3ARP 拒绝服务(DOS/DDOS)安全攻防
200
三、 赛项内容
本次大赛,各位选手需要完成三个阶段的任务,其中第一个阶段需要提交任务“操作文档”,“操作文档”需要存放在裁判组专门提供的 U盘中。第二、三阶段请根据现场具体题目要求操作。
选手首先需要在 U盘的根目录下建立一个名为“xx 工位”的文件夹(xx用具体的工位号替代),赛题第一阶段完成任务操作的文档放置在文件夹中。例如:08 工位,则需要在 U盘根目录下建立“08 工位”文件夹,并在“08 工
位”文件夹下直接放置第一个阶段的操作文档文件。特别说明:只允许在根目录下的“08工位”文件夹中体现一次工位信息,不允
许在其他文件夹名称或文件名称中再次体现工位信息,否则按作弊处理。
(一) 赛项环境设置
——18——
赛项环境设置包含了三个竞赛阶段的基础信息:网络拓扑图、IP 地址规划表、设备初始化信息。
1. 网络拓扑图
PC环境说明:
PC-1(须使用物理机中的虚拟机):物理机操作系统:Windows7 64 位旗舰版VMware Workstation 12 Pro
虚拟机操作系统:WindowsXP
虚拟机安装服务/工具 1:Microsoft Internet Explorer 6.0
——19——
虚拟机安装服务/工具 2:Ethereal 0.10.10.0
虚拟机安装服务/工具 3:HttpWatch Professional Edition
虚拟机网卡与物理机网卡之间的关系:Bridge(桥接)
PC-2(须使用物理机中的虚拟机):物理机操作系统:Windows7 64 位旗舰版VMware Workstation 12 Pro
虚拟机操作系统:WindowsXP
虚拟机安装服务/工具 1:Microsoft Internet Explorer 6.0
虚拟机安装服务/工具 2:Ethereal 0.10.10.0
虚拟机安装服务/工具 3:HttpWatch Professional Edition
虚拟机网卡与物理机网卡之间的关系:Bridge(桥接)
PC-3(须使用物理机中的虚拟机):物理机操作系统:Windows7 64 位旗舰版VMware Workstation 12 Pro
虚拟机操作系统:Kali Linux(Debian7 64Bit)虚拟机安装服务/工具:Metasploit Framework
虚拟机网卡与物理机网卡之间的关系:Bridge(桥接)
——20——
2. IP 地址规划表
设备名称 接口 IP 地址 互联 可用 IP 数量
防火墙DCFWEthX x.x.x.x/x 与 PC-3相连 见赛场 IP 参数表地址池 x.x.x.x/x SSL VPN 地址池 见赛场 IP 参数表
无线交换机DCWS
EthX x.x.x.x/x 与 DCRS相连 见赛场 IP 参数表地址池 x.x.x.x/x DCHP 地址池 见赛场 IP 参数表
WEB应用防火墙WAF
EthX x.x.x.x/x 与 DCRS相连 见赛场 IP 参数表EthX 与 DCST相连 见赛场 IP 参数表
三层交换机DCRS
Vlan 2 x.x.x.x/x 与 DCWS相连 见赛场 IP 参数表Vlan 10 x.x.x.x/x 与 WAF相连 见赛场 IP 参数表
Vlan 20 x.x.x.x/x与 PC-1 所在用户区相连
见赛场 IP 参数表
Vlan 30 x.x.x.x/x与 PC-2 所在用户区相连
见赛场 IP 参数表
Vlan 40 x.x.x.x/x 与 DCBI相连 见赛场 IP 参数表Vlan 100 x.x.x.x/x 直连服务器区 见赛场 IP 参数表Vlan 110 x.x.x.x/x 直连用户区 见赛场 IP 参数表
网络日志系统 EthX x.x.x.x/x 与 DCRS相连 见赛场 IP 参数表
——21——
DCBI
堡垒服务器DCST
EthX x.x.x.x/x 与 WAF相连 见赛场 IP 参数表
PC-1 无 x.x.x.x/x 与 DCRS相连 见赛场 IP 参数表PC-2 无 x.x.x.x/x 与 DCFW相连 见赛场 IP 参数表PC-3 无 x.x.x.x/x 与 DCFW相连 见赛场 IP 参数表
服务器场景-1 无 见系统安全攻防加固赛题部分服务器场景-2 无 见系统安全攻防加固赛题部分服务器场景-3 无 见系统安全攻防加固赛题部分服务器场景-4 无 见系统安全攻防加固赛题部分服务器场景-5 无 见系统安全攻防加固赛题部分备注 1.赛题可用 IP 地址范围见“赛场 IP 参数表”;
2.具体网络连接接口见“赛场互联接口参数表”;3.设备互联网段内可用地址数量见“赛场 IP 参数表”;4.IP 地址分配要求,最节省 IP 地址,子网有效地址规划遵循 2n-2
的原则;5.参赛选手按照“赛场 IP 参数表”要求,自行分配 IP 地址段、设备互联接口;6.将分配的 IP 地址段和接口填入“赛场 IP 参数表”中(“赛场 IP
参数表”电子文件存于 U盘“第一阶段”文件夹中,请填写完整
——22——
后提交。)
3. 设备初始化信息
设备名称 管理地址 默认管理接口
用户名 密码
防火墙DCFW http://192.168.1.1 ETH0 admin admin
网络日志系统DCBI
https://192.168.5.254
ETH0 admin 123456
WEB应用防火墙WAF
https://192.168.45.1 ETH5 admin admin123
三层交换机 - Console - -
无线交换机DCWS
- Console - -
堡垒服务器DCST
http://192.168.1.100 Eth0–Eth9 参见“DCST登录用户表”
备注 所有设备的默认管理接口、管理 IP 地址不允许修改;
如果修改对应设备的缺省管理 IP及管理端口,涉及此设备的题目按 0 分处理。
——23——
(二) 第一阶段任务书(400分)该阶段需要提交配置或截图文档,命名如下表所示:阶段 任务 序号 文档名称
第一阶段
任务 11 任务 1
2 赛场 IP 参数表
任务 2
3 任务 2-DCFW
4 任务 2-DCBI
5 任务 2-WAF
6 任务 2-DCRS
7 任务 2-DCWS
任务1:网络平台搭建(100分)
平台搭建要求如下:题号 网络需求
1根据网络拓扑图所示,按照 IP 地址参数表,对 WAF 的名称、各接口 IP
地址进行配置。
2根据网络拓扑图所示,按照 IP 地址参数表,对 DCRS 的名称、各接口 IP
地址进行配置。
——24——
3根据网络拓扑图所示,按照 IP 地址参数表,对 DCFW 的名称、各接口 IP
地址进行配置。
4根据网络拓扑图所示,按照 IP 地址参数表,对 DCWS 的各接口 IP 地址进行配置。
5根据网络拓扑图所示,按照 IP 地址参数表,对 DCBI 的名称、各接口 IP
地址进行配置。
6根据网络拓扑图所示,按照 IP 地址参数表,在 DCRS交换机上创建相应的 VLAN,并将相应接口划入 VLAN。
7 采用静态路由的方式,全网络互连。8 完整填写“赛场 IP 参数表”。
任务2:网络安全设备配置与防护(300分)DCFW:
1. 在总公司的 DCFW上配置,连接 LAN接口开启 PING,HTTP,HTTPS功能,连接 Internet接口开启 PING、HTTPS功能;并且新增一个用户,用户名dcn2017,密码 dcn2017,该用户只有读-执行权限;
2. DCFW配置 NTP 和 LOG, Server IP 为 X.X.X.X,NTP认证密码为Dcn2017;
——25——
3. DCFW连接 LAN 的接口配置二层防护,ARP Flood 超过 500个每秒时丢弃超出的 ARP包,ARP扫描攻击超过 300个每秒时弃超出的 ARP包;配置静态ARP绑定,MAC 地址 880B.0A0B.0C0D 与 IP 地址X.X.X.X绑定;
4. DCFW连接 Internet 的区域上配置以下攻击防护: FW1,FW2攻击防护启以下 Flood防护:ICMP洪水攻击防护,警戒值 2000,动作丢弃;UDP供水攻击防护,警戒值 1500,动作丢弃;SYN洪水攻击防护,警戒值 5000,动作丢弃;开启以下 DOS防护:Ping of Death攻击防护;Teardrop攻击防护;IP 选项,动作丢弃;ICMP 大包攻击防护,警戒值 2048,动作丢弃;
5. 限制 LAN 到 Internet流媒体 RTSP应用会话数,在周一至周五 8:00-17:00
每 5秒钟会话建立不可超过 20;
——26——
DCBI:
6. 在公司总部的 DCBI上配置,设备部署方式为旁路模式,并配置监控接口与管理接口;增加非 admin账户DCN2017,密码 dcn2017,该账户仅用于用户查询设备的系统状态和统计报表;
7. 在公司总部的 DCBI上配置,监控周一至周五 9:00-18:00 PC-1 所在网段用户访问的 URL 中包含 xunlei 的 HTTP访问记录,并且邮件发送告警;
8. 在公司总部的 DCBI上配置,监控 PC-1 所在网段用户周一至周五 9:00-
18:00 的即时聊天记录;
WAF:
9. 在公司总部的 WAF上配置,编辑防护策略,定义HTTP请求体的最大长度为512,防止缓冲区溢出攻击;
10. 在公司总部的 WAF上配置,防止某源 IP 地址在短时间内发送大量的恶意请求,影响公司网站正常服务。大量请求的确认值是:10秒钟超过 3000次请求;
11. 在公司总部的 WAF上配置,对公司网站(X.X.X.X)进行安全评估,检查网站是否存在安全漏洞,便于在攻击没有发生的情况下提前做出防护措施;
DCRS:
12. DCRS 为接入交换机,为终端产生防止 MAC 地址防洪攻击,请配置端口安全,每个已划分 VLAN 的端口最多学习到 5个MAC 地址,发生违规阻止后续违规流量通过,不影响已有流量并产生 LOG 日志;Ex/x 为专用接口,限定 MAC
——27——
地址 00-11-11-11-11-11 可以连接; 将连接DCFW 的双向流量镜像至Netlog 进行监控和分析;
13. DCRS配置 802.1x认证,Radius服务器 IP 地址X.X.X.X,认证密码Dcn2017,
Ex/x 号端口开启 802.1x功能,接入该端口通过 PC上的 802.1x软件进行认证;
14.接入 DCRS Ex/x,仅允许 IP 地址X.X.X.X-X.X.X.X 为源的数据包为合法包,以其它 IP 地址为源地址,交换机直接丢弃;
15. 为拦截,防止非法的 MAC 地址与 IP 地址绑定的 ARP 数据包,配置动态ARP
检测功能,AC 为 DHCP服务器,限制与 AC 在同一 VLAN接口的 ARP阀值为 50;
DCWS:16. AP 通过 option43 方式进行正常注册上线; 17. 设置 AP 工作在 5G频段;18. 设置 SSID DCN,加密模式为 wpa-personal,其口令为:chinaskill;
设置 SSID GUEST 不进行认证加密; 19. GUSET最多接入 10个用户,用户间相互隔离,并对 GUEST网络进行流控,上行 1M,下行 2M;
20. 通过配置避免接入终端较多且有大量弱终端时,避免高速客户端被低速客户端“拖累”,让低速客户端不至于长时间得不到传输;
——28——
——29——
(三) 第二阶段:系统安全攻防及运维安全管控(600分)提示 1:本阶段用到堡垒服务器DCST 中的服务器场景,获取服务器 IP 地址方
式如下:Windows服务器的 IP 地址可以通过拓扑界面获得,如果获得不了,采用如下
方法获得: 通过 DCST场景里的网络拓扑图,启动连接设备 进入服务器,用户名为 administrator,密码:空 执行 ipconfig /all,即可获得服务器 IP 地址提示 2:每个任务提交一个word 文档,请在文档中标明题号,按顺序答题。
将关键步骤和操作结果进行截屏,并辅以文字说明,保存到提交文档中。提示 3:文档命名格式为:“第X阶段”-“任务X”-“任务名称”。例:“第二阶段、任务 2”的答案提交文档,文件名称为:第二阶段-任务 2-
XSS 和 CSRF攻防.doc或第二阶段-任务 2- XSS 和 CSRF攻防.docx。
任务 1:Web应用程序 SQL Inject 安全攻防(200 分)
拓扑结构:
——30——
任务环境说明:PC-1(须使用物理机中的虚拟机):物理机操作系统:Windows7 64 位旗舰版VMware Workstation 12 Pro
虚拟机操作系统:WindowsXP
虚拟机安装服务/工具 1:Microsoft Internet Explorer 6.0
虚拟机安装服务/工具 2:Ethereal0.10.10.0
虚拟机安装服务/工具 3:HttpWatch Professional Edition
虚拟机网卡与物理机网卡之间的关系:Bridge(桥接)
PC-2(须使用物理机中的虚拟机):物理机操作系统:Windows7 64 位旗舰版
——31——
VMware Workstation 12 Pro
虚拟机操作系统:WindowsXP
虚拟机安装服务/工具 1:Microsoft Internet Explorer 6.0
虚拟机安装服务/工具 2:Ethereal0.10.10.0
虚拟机安装服务/工具 3:HttpWatch Professional Edition
虚拟机网卡与物理机网卡之间的关系:Bridge(桥接)
PC-3(须使用物理机中的虚拟机):物理机操作系统:Windows7 64 位旗舰版VMware Workstation 12 Pro
虚拟机操作系统:Kali Linux(Debian7 64Bit)虚拟机安装服务/工具:Metasploit Framework
虚拟机网卡与物理机网卡之间的关系:Bridge(桥接)
DCST:服务器场景:WebServ2003
服务器场景操作系统:Microsoft Windows2003 Server
服务器场景安装服务/工具 1:Apache2.2;服务器场景安装服务/工具 2:Php6;服务器场景安装服务/工具 3:Microsoft SqlServer2000;服务器场景安装服务/工具 4:EditPlus;
——32——
1. 在 PC-1上,Web访问DCST 中的 WebServ2003服务器场景,进入login.php页面,分析该页面源程序,找到提交的变量名,并截图;(20
分)2. 对该任务题目 1页面注入点进行 SQL 注入渗透测试,使该Web站点可通
过万能用户名、任意密码登录,并将测试过程截图;(20 分)3. 进入 DCST 中的 WebServ2003服务器场景的 C:\AppServ\www目录,找到 loginAuth.php 程序,使用 EditPlus 工具分析并修改 PHP源程序,使之可以抵御 SQL 注入,并将修改后的 PHP源程序截图;(20 分)
4. 再次对该任务题目 1页面注入点进行渗透测试,验证此次利用该注入点对该DCST 中的 WebServ2003服务器场景进行 SQL 注入渗透测试无效,并将验证过程截图;(20 分)
5. 在 PC-1上,Web继续访问DCST 中的 WebServ2003服务器场景,"/"-
>"Employee Information Query",分析该页面源程序,找到提交的变量名,并截图;(20 分)
6. 对该任务题目 5页面注入点进行渗透测试,根据输入“_”的返回结果确定是注入点,并将测试过程截图;(20 分)
7. 通过对该任务题目 5页面注入点进行 SQL 注入渗透测试,在WebServ2003服务器场景中添加账号“Hacker”,并将该账号添加至管理员组,并将注入代码及测试过程截图;(20 分)
——33——
8. 进入 DCST 中的 WebServ2003服务器场景的 C:\AppServ\www目录,找到 QueryCtrl.php 程序,使用 EditPlus 工具分析并修改 PHP源程序,使之可以抵御 SQL 注入渗透测试,并将修改后的 PHP源程序截图;(20
分)9. 再次对该任务题目 5页面注入点进行渗透测试,验证此次利用注入点对该
WebServ2003服务器场景进行 SQL 注入渗透测试无效,并将验证过程截图。(40 分)
任务 2:二层网络 Sniffer监听安全攻防(200 分)
拓扑结构:
——34——
任务环境说明:PC-1(须使用物理机中的虚拟机):物理机操作系统:Windows7 64 位旗舰版VMware Workstation 12 Pro
虚拟机操作系统:WindowsXP
虚拟机安装服务/工具 1:Microsoft Internet Explorer 6.0
虚拟机安装服务/工具 2:Ethereal0.10.10.0
虚拟机安装服务/工具 3:HttpWatch Professional Edition
虚拟机网卡与物理机网卡之间的关系:Bridge(桥接)
PC-2(须使用物理机中的虚拟机):物理机操作系统:Windows7 64 位旗舰版VMware Workstation 12 Pro
虚拟机操作系统:WindowsXP
虚拟机安装服务/工具 1:Microsoft Internet Explorer 6.0
虚拟机安装服务/工具 2:Ethereal0.10.10.0
虚拟机安装服务/工具 3:HttpWatch Professional Edition
虚拟机网卡与物理机网卡之间的关系:Bridge(桥接)
PC-3(须使用物理机中的虚拟机):物理机操作系统:Windows7 64 位旗舰版VMware Workstation 12 Pro
——35——
虚拟机操作系统:Kali Linux(Debian7 64Bit)虚拟机安装服务/工具 1:Metasploit Framework
虚拟机安装服务/工具 2:Macof
虚拟机网卡与物理机网卡之间的关系:Bridge(桥接)
DCST:服务器场景:WebServ2003
服务器场景操作系统:Microsoft Windows2003 Server
服务器场景安装服务/工具 1:Apache2.2;服务器场景安装服务/工具 2:Php6;服务器场景安装服务/工具 3:Microsoft SqlServer2000;服务器场景安装服务/工具 4:EditPlus;
多层交换机:交换机操作平台:DCRS-6200
1. 使 PC-1、PC-3、DCST 中的 WebServ2003服务器场景能够在同一个网段(VLAN10)内相互 Ping 通。(30 分)
2. 查看DCRS交换机 VLAN10 的 MAC 地址表容量信息,并将 DCRS交换机配置相关参数、查看命令、查看结果截图。(30 分)
——36——
3. 从 PC-3 发起MAC Flooding渗透测试,使DCRS交换机的 MAC 地址表溢出,使其在 MAC 地址表溢出的条件下,无法学习到 PC-1 和 DCST 中的WebServ2003服务器场景的 MAC 地址表信息,查看DCRS交换机的MAC 地址表信息,并将渗透测试过程截图。(30 分)
4. PC-3打开 wireshark,验证在 DCRS交换机 MAC 地址表溢出的条件下,可以监听到 PC-1登录DCST 中的 WebServ2003服务器场景的用户名&
密码,并将该验证过程截图。(30 分)5. 在 PC-1 和 DCST 中的 WebServ2003服务器场景之间建立 IPSec VPN,阻止 PC-3 发起 Sniffer渗透测试。(30 分)
6. 在 PC-1 和 DCST 中的 WebServ2003服务器场景之间建立 IPSec
VPN,PC-3再次打开 wireshark,监听 PC-1访问DCST 中的WebServ2003服务器场景流量,验证此时 PC-3无法监听到 PC-1访问DCST 中的 WebServ2003服务器场景的 HTTP流量,并将验证过程截图。(50 分)
任务 3:ARP 拒绝服务(DOS/DDOS)安全攻防(200 分)
拓扑结构:
——37——
任务环境说明:PC-1(须使用物理机中的虚拟机):物理机操作系统:Windows7 64 位旗舰版VMware Workstation 12 Pro
虚拟机操作系统:WindowsXP
虚拟机安装服务/工具 1:Microsoft Internet Explorer 6.0
虚拟机安装服务/工具 2:Ethereal0.10.10.0
虚拟机安装服务/工具 3:HttpWatch Professional Edition
虚拟机网卡与物理机网卡之间的关系:Bridge(桥接)
PC-2(须使用物理机中的虚拟机):物理机操作系统:Windows7 64 位旗舰版
——38——
VMware Workstation 12 Pro
虚拟机操作系统:WindowsXP
虚拟机安装服务/工具 1:Microsoft Internet Explorer 6.0
虚拟机安装服务/工具 2:Ethereal0.10.10.0
虚拟机安装服务/工具 3:HttpWatch Professional Edition
虚拟机网卡与物理机网卡之间的关系:Bridge(桥接)
PC-3(须使用物理机中的虚拟机):物理机操作系统:Windows7 64 位旗舰版VMware Workstation 12 Pro
虚拟机操作系统:Kali Linux(Debian7 64Bit)虚拟机安装服务/工具 1:Metasploit Framework
虚拟机安装服务/工具 2:Arpspoof
虚拟机安装服务/工具 3:Ettercap
虚拟机网卡与物理机网卡之间的关系:Bridge(桥接)
DCST:服务器场景:WebServ2003
服务器场景操作系统:Microsoft Windows2003 Server
服务器场景安装服务/工具 1:Apache2.2;服务器场景安装服务/工具 2:Php6;
——39——
服务器场景安装服务/工具 3:Microsoft SqlServer2000;服务器场景安装服务/工具 4:EditPlus;
多层交换机:交换机操作平台:DCRS-6200
1. 在 PC-1访问DCST 中的 WebServ2003服务器场景时,查看 PC-1 和DCST 中的 WebServ2003服务器场景的 ARP缓存信息,并将 PC-1 和DCST 中的 WebServ2003服务器场景的 ARP缓存信息截图。(30 分)
2. 在 PC-3 对 PC-1 进行 ARP DOS/DDOS渗透测试,使 PC-1无法访问DCST 中的 WebServ2003服务器场景,PC-1 的 ARP缓存为:DCST 中的 WebServ2003服务器场景 IP->PC-3 的 MAC 地址,在 PC-1 查看被PC-3毒化后的 ARP缓存信息,并将该信息截图。(30 分)
3. 在 DCRS交换机上配置私有VLAN 特性阻止 PC-3 发起ARP DOS/DDOS
渗透测试,并将 DCRS交换机该配置信息截图。(30 分)4. 在 DCRS交换机上配置私有VLAN 特性的条件下,再次在 PC-3 对 PC-1 和
DCST 中的 WebServ2003服务器场景进行 ARP DOS/DDOS渗透测试,此时 DCRS交换机的私有VLAN 特性能够阻止 PC-3 对 PC-1 和 DCST 中的WebServ2003服务器场景进行 ARP DOS/DDOS渗透测试,再次查看
——40——
PC-1 和 DCST 中的 WebServ2003服务器场景的 ARP缓存信息,并将该信息截图。(30 分)
5. 在 DCRS交换机上删除私有VLAN 特性配置,通过静态ARP来阻止 PC-3
发起ARP DOS/DDOS渗透测试,并将 DCRS交换机相关配置信息截图。(30 分)
6. 在配置静态ARP 技术的条件下,再次在 PC-3 对 PC-1 和 DCST 中的WebServ2003服务器场景进行 ARP DOS/DDOS渗透测试,验证在此条件下能够阻止 PC-3 对 PC-1 和 DCST 中的 WebServ2003服务器场景进行 ARP DOS/DDOS渗透测试,再次查看 PC-1 和 DCST 中的WebServ2003服务器场景的 ARP缓存信息,并将该信息截图。(50
分)
江西工业职业技术学院南昌工程学院职教师资培训基地
2019年8月
——41——