2023年山东省职业院校技能大赛信息安全管理与评估样题
竞赛需要完成三个阶段的任务,分别完成三个模块,总分共计 1000 分。三个模块内容和分值分别是:
\1. 第一阶段:模块一 网络平台搭建与设备安全防护(240 分钟, 300 分)。
\2. 第二阶段:模块二 网络安全事件响应、数字取证调查、应用程序安全(240 分钟,300 分)。
\3. 第三阶段:模块三 网络安全渗透、理论技能与职业素养(240 分钟,400 分)。
【注意事项】
Geek极安云科专注技能竞赛技术提升,基于各大赛项提供全面的系统性培训,拥有完整的培训体系。团队拥有曾获国奖、大厂在职专家等专业人才担任讲师,培训效果显著,通过培训帮助各大院校备赛学生取得各省 国家级奖项,获各大院校一致好评。
\1. 第一个阶段需要按裁判组专门提供的U 盘中的“XXX-答题模板” 提交答案。
第二阶段请根据现场具体题目要求操作。
第三阶段网络安全渗透部分请根据现场具体题目要求操作,理论测试部分根据测试系统说明进行登录测试。
\2. 所有竞赛任务都可以由参赛选手根据基础设施列表中指定的设
备和软件完成。
第一阶段
模块一 网络平台搭建与设备安全防护
一、竞赛内容
第一阶段竞赛内容包括:网络平台搭建、网络安全设备配置与防护,共 2 个子任务。
| 竞赛阶段 | 任务阶段 | 竞赛任务 | 竞赛时间 | 分值 |
|---|---|---|---|---|
| 第一阶段 网络平台搭建与设备安全防护 | 任务 1 | 网络平台搭建 | XX:XX- XX:XX | 50 |
| 任务 2 | 网络安全设备配置与防护 | 250 | ||
| 总分 | 300 |
二、竞赛时长
本阶段竞赛时长为 240 分钟,共 300 分。
三、注意事项
第一阶段请按裁判组专门提供的 U 盘中的“XXX-答题模板”中的要求提交答案。
选手需要在 U 盘的根目录下建立一个名为“GWxx”的文件夹(xx 用具体的工位号替代),所完成的“XXX-答题模板”放置在文件夹中作为竞赛结果提交。
例如:08 工位,则需要在 U 盘根目录下建立“GW08”文件夹,并在“GW08”文件夹下直接放置第一个阶段的所有“XXX-答题模板”文件。
【特别提醒】
只允许在根目录下的“GWxx”文件夹中体现一次工位信息,不允许在其它文件夹名称或文件名称中再次体现工位信息,否则按作弊处理。
五、赛项环境设置
1. 网络拓扑图
2. IP 地址规划表
任务 1 网络平台搭建(50 分)
| 题号 | 网络需求 |
|---|---|
| 1 | 按照 IP 地址规划表,对防火墙的名称、各接口 IP 地址进行配置 |
| 2 | 按照 IP 地址规划表,对三层交换机的名称进行配置,创建 VLAN 并将相应接口划 入 VLAN, 对各接口 IP 地址进行配置 |
| 3 | 按照 IP 地址规划表,对无线交换机的名称进行配置,创建 VLAN 并将相应接口划 入 VLAN,对接口 IP 地址进行配置 |
| 4 | 按照 IP 地址规划表,对网络日志系统的名称、各接口 IP 地址进行配置 |
| 5 | 按照 IP 地址规划表,对 Web 应用防火墙的名称、各接口 IP 地址进行配置 |
任务 2 网络安全设备配置与防护(250 分)
\1. SW 开启telnet 登录功能,用户名 skills01,密码 skills01,密码呈现需加密。
\2. 总部交换机SW 配置简单网络管理协议,计划启用V3 版本,
V3 版本在安全性方面做了极大的扩充。配置引擎号分别为 62001; 创建认证用户为skills01,采用 3des 算法进行加密,密钥为:skills01, 哈希算法为SHA,密钥为:skills01;加入组ABC,采用最高安全级别;配置组的读、写视图分别为:2023_R、2023_W;当设备有异常 时,需要使用本地的VLAN100 地址发送Trap 消息至网管服务器 10.51.0.203,采用最高安全级别。
\3. 接入SW Eth4,仅允许IP 地址 172.16.40.62-80 为源的数据包为合法包,以其它IP 地址为源地址,交换机直接丢弃。
\4. 为减少内部ARP 广播询问VLAN 网关地址,在全局下配置 SW 每隔 300S 发送免费ARP。
\5. 勒索蠕虫病毒席卷全球,爆发了堪称史上最大规模的网络攻击, 通过对总部核心交换机SW 所有业务VLAN 下配置访问控制策略实现双向安全防护。
\6. SW 配置IPv6 地址,使用相关特性实现VLAN50 的 IPv6 终端可自动从网关处获得IPv6 有状态地址。
\7. AC 配置IPv6 地址,开启路由公告功能,路由器公告的生存期为 2 小时,确保VLAN30 的 IPv6 终端可以获得IPv6 无状态地址。
\8. AC 与SW 之间配置RIPng,使PC1 与PC3 可以通过IPv6 通信。
\9. IPv6 业务地址规划如下,其它IPv6 地址自行规划:
| 业务 | IPV6 地址 |
|---|---|
| VLAN30 | 2001:30::254/64 |
| VLAN50 | 2001:50::254/64 |
\10. FW、SW、AC 之间配置OSPF area 0 开启基于链路的MD5 认证,密钥自定义,传播访问INTERNET 默认路由。
\11. FW 与 SW 建立两对IBGP 邻居关系,使用AS 65500,FW 上loopback1-4 为模拟AS 65500 中网络,为保证数据通信的可靠性和负载,完成以下配置,要求如下:
l SW 通过BGP 到达loopback1,2 网路下一跳为 10.3.0.254;
l SW 通过BGP 到达loopback3,4 网络下一跳为 10.4.0.254。
\12. FW 与 SW 建立两对IBGP 邻居关系,使用AS 65500,FW 上loopback1-4 为模拟AS 65500 中网络,为保证数据通信的可靠性和负载,通过BGP 实现到达loopback1,2,3,4 的网络冗余,请完成配置。
\13. FW 与 SW 建立两对IBGP 邻居关系,使用AS 65500,FW 上loopback1-4 为模拟AS 65500 中网络,为保证数据通信的可靠性和负载,使用IP 前缀列表匹配上述业务数据流,请完成配置。
\14. FW 与 SW 建立两对IBGP 邻居关系,使用AS 65500,FW 上loopback1-4 为模拟AS 65500 中网络,为保证数据通信的可靠性和负载, 完成以下配置,使用 LP 属性进行业务选路,只允许使用 route-map 来改变LP 属性、实现路由控制,LP 属性可配置的参数数值为:200。
\15. 配置使总部VLAN50 业务的用户访问IDC SERVER 的数据流经过FW 10.1.0.254, IDC SERVER 返回数据流经过FW 10.2.0.254,且对双向数据流开启所有安全防护,参数和行为为默认。
\16. 在端口ethernet1/0/7 上,将属于网段 172.16.40.62/26 内的报文 带宽限制为 10M 比特/秒,突发 4M 字节,超过带宽的该网段内的报文一律丢弃。
\17. 在 FW 上配置,连接LAN 接口开启PING 等所有管理方式, 连接Internet 接口关闭所有管理方式,配置trust 区域与 Untrust 之间的安全策略且禁止从外网访问内网的任何设备。
\18. 总部VLAN 业务用户通过防火墙访问Internet 时,复用公网IP: 200.1.1.28/28,保证每一个源IP 产生的所有会话将被映射到同一个固定的IP 地址,当有流量匹配本地址转换规则时产生日志信息, 将匹配的日志发送至 10.51.0.253 的 UDP 2000 端口。
\19. 为了合理利用网络出口带宽,需要对内网用户访问 Internet 进行流量控制,园区总出口带宽为 200M,对除无线用户以外的用户限 制带宽,每天上午 9:00 到下午 6:00 每个IP 最大下载速率为 2Mbps, 上传速率为 1Mbps。
\20. 配置L2TP VPN,名称为VPN,满足远程办公用户通过拨号登陆访问内网,创建隧道接口为tunnel 1、并加入untrust 安全域,地址池名称为AddressPool,LNS 地址池为 10.100.253.1/24-10.100.253.100/24,网关为最大可用地址,认证账号skills01,密码skills01。
\21. Internet 端有一分支结构路由器,需要在总部防火墙FW 上完成以下预配,保证总部与分支机构的安全连接:防火墙 FW 与 Internet 端路由器 202.5.17.2 建立GRE 隧道,并使用IPSec 保护GRE 隧道, 保证分支结构中 2.2.2.2 与总部VLAN40 安全通信。
\22. Vlan30 内的工作人员涉及到商业机密,因此在FW 上配置不允许vlan30 内所有用户访问外网。
\23. 配置出于安全考虑,无线用户访问因特网需要采用认证,在防火墙上配置 Web 认证,采用本地认证,用户名为 test,test1,test2, 密码为 123456。
\24. 已知原AP 管理地址为 10.81.0.0/15,为了避免地址浪费请重新规划和配置IP 地址段,使用原 AP 所在网络进行地址划分,请完成配置。
\25. 已知原AP 管理地址为 10.81.0.0/15,为了避免地址浪费请重新规划和配置IP 地址段,现无线用户 VLAN 10 中需要 127 个终端, 无线用户VLAN 20 需要 50 个终端,请完成配置。
\26. 已知原AP 管理地址为 10.81.0.0/15,为了避免地址浪费请重新规划和配置IP 地址段,要求完成在 AC 上配置DHCP,管理 VLAN 为 VLAN101,为 AP 下发管理地址,网段中第一个可用地址为AP 管 理地址,最后一个可用地址为 AC 管理地址,保证完成 AP 二层注册; 为无线用户VLAN10,20 下发IP 地址,最后一个可用地址为网关。
\27. 在 NETWORK 下配置SSID,需求如下: l NETWORK 1 下设置SSID 2023skills-2.4G,VLAN10,加密模式为wpa-personal,其口令为skills01; l NETWORK 20 下设置SSID 2023skills-5G,VLAN20 不进行认证加密,做相应配置隐藏该SSID。
\28. 配置一个SSID 2023skills_IPv6,属于VLAN21 用于IPv6 无线测试,用户接入无线网络时需要采用基于WPA-personal 加密方式, 其口令为“skills01”,该网络中的用户从AC DHCP 获取IPv6 地址, 地址范围为:2001:10:81::/112。
\29. NETWORK 1 开启内置portal+本地认证的认证方式,账号为GUEST 密码为 123456,保障无线信息的覆盖性,无线AP 的发射功率设置为 90%。禁止MAC 地址为 80-45-DD-77-CC-48 的无线终端连接。
30.2023skills-5G 最多接入 20 个用户,用户间相互隔离,并对 2023skills-5G 网络进行流控,上行速率 1Mbps,下行速率 2Mbps。
31.在 AC 上配置使radio 1 的射频类型为IEEE 802.11b/g,并且设 置 RTS 的门限值为 256 字节,当MPDU 的长度超过该值时, 802.11 MAC 启动RTS/CTS 交互机制。
\32. 在 AC 上配置一条基于SSID 时间点时周一 0 点到 6 点的禁止用户接入的策略(限时策略)。
\33. 通过配置防止多AP 和 AC 相连时过多的安全认证连接而消耗CPU 资源,检测到AP 与AC 在 10 分钟内建立连接 5 次就不再允许继续连接,两小时后恢复正常。
\34. 配置所有无线接入用户相互隔离,Network 模式下限制每天 0 点到 6 点禁止终端接入,开启ARP 抑制功能。
\35. 在公司总部的BC 上配置,设备部署方式为透明模式。增加非admin 账户skills01,密码skills01,该账户仅用于用户查询设备的日志信息和统计信息;要求对内网访问 Internet 全部应用进行日志记录。
\36. BC 上配置用户认证识别功能。
\37. 在公司总部的BC 上配置,在工作日(每周一到周五上班)期间针对所有无线网段访问互联网进行审计,如果发现访问互联网的无线用户就断网,不限制其他用户在工作日(每周一到周五上班)期间访问互联网。
\38. 使用BC 对内网所有上网用户进行上网本地认证,要求认证后得用户 3 小时候重新认证,并且对HTTP 服务器 172.16.10.45 的 80 端口进行免认证。
\39. BC 配置应用“即时聊天”,在周一至周五 9:00-21:00 监控内网中所有用户的微信账号使用记录,并记录数据。
\40. 在BC 上配置激活NTP,本地时区+8:00,并添加 NTP 服务器名称清华大学,域名为s1b.time.edu.cn。
\41. BC 配置内容管理,对邮件内容包含“比赛答案”字样的邮件, 记录且邮件报警。
\42. BI 监控周一至周五工作时间VLAN40 用户使用“迅雷”的记录, 每天工作时间为 9:00-18:00。
\43. 在公司总部的 WAF 上配置,设备部署方式为透明模式。要求对内网HTTP 服务器 172.16.10.45/32 进行安全防护。
\44. 方便日志的保存和查看,需要在把 WAF 上攻击日志、访问日志、DDoS 日志以JSON 格式发给IP 地址为 172.16.10.200 的日志服务器上。
\45. 在 WAF 上配置基础防御功能,开启SQL 注入、XXS 攻击、信息泄露等防御功能,要求针对这些攻击阻断并发送邮件告警。
\46. 为防止网站资源被其他网站利用,通过WAF 对资源链接进行保护,通过 ferer 方式检测,设置严重级别为中级,一经发现阻断并发送邮件告警。
\47. 在公司总部的 WAF 上配置,编辑防护策略,定义 HTTP 请求体的最大长度为 256,防止缓冲区溢出攻击。
\48. 对公司内网用户访问外网进行网页关键字过滤,网页内容包含“暴力”“赌博”的禁止访问。
\49. 为了安全考虑,无线用户移动性较强,访问因特网时需要实名认证,在 BC 上开启web 认证使用http 方式,采用本地认证,密码账号都为web2023。
\50. 在 WAF 上保护HTTP 服务器上的网站爬虫攻击,从而影响服务器性能,设置严重级别为高级,一经发现攻击阻断并发送邮件告警。
