2011年全国职业院校技能大赛（高职组）“信息安全技术应用”赛项竞赛试题（样题）“信息安全技术应用”赛项专家组2011/4/22目录竞赛试题（样题） (1)一、竞赛内容及评分标准 (3)1.1竞赛内容及评分 (3)1.2评分方法 (3)二、具体竞赛要求 (4)2.1第一阶段：网络与安全部署 (4)2.1.1 网络环境搭建和网络安全部署 (4)2.1.2 主机系统加固部分 (6)2.2.3 安全评估（裁判组） (8)2.2第二阶段：场内分组攻防 (9)2.3第三阶段：防守场外渗透测试 (11)2.4文档部分评判标准 (12)2.4.1电子文件的存放位置 (12)2.4.2电子文件的命名规则 (12)2.4.3考评内容 (13)2.5团队风貌与协作评判标准 (13)一、竞赛内容及评分标准1.1竞赛内容及评分本次竞赛内容分为四个部分，每个部分的考试要求及评分标准如下：第一部分：网络基础连接与配置部分（占30%）竞赛内容包括：按照组委会提供的网络拓扑图（见附件一）及IP地址规划（见附件二）所有网络设备网线连接，基本配置，实现网络互联；第二部分：网络信息安全部分（占55%）竞赛内容包括：网络安全控制，系统加固、渗透测试及网络攻防；第三部分：文档部分（占10%）竞赛内容包括：按照相关文档规范制作本次竞赛的施工文档，放置在指定目录；第四部分：团队风貌（占5%）竞赛内容包括：团队风貌、团队协作与沟通、组织与管理能力和工作计划性等。

1.2评分方法竞赛评分严格按照公平、公正、公开的原则，评分方法如下：●参赛队成绩由裁判委员会统一评定；●采取分步得分、错误不传递、累计总分的积分方式，分别计算环节得分，不计参赛选手个人得分；●在竞赛过程中，参赛选手如有不服从裁判判决、扰乱赛场秩序、舞弊等不文明行为的，由裁判长按照规定扣减相应分数，情节严重的取消比赛资格，比赛成绩记0分；竞赛评分细则按照本竞赛规程在竞赛开始7天之前由执行委员会制定。

二、具体竞赛要求竞赛范围分为三个阶段进行：2.1 第一阶段：网络与安全部署2.1.1 网络环境搭建和网络安全部署拓扑图（见附件一），IP地址规划（见附件二）及竞赛要求说明如下：场景描述：某公司通过防火墙与互联网相连，为保证公司内部网络和互联网络之间能够相互通信，要求完成一系列安全方面措施，现进行网络的搭建与配置。

技术要求：1.根据拓扑图正确连接设备。

2.根据大赛规划设置IP地址与VLAN等基本信息。

3.由RA-RB-RC-FWA组成外网，FWB-RS-SWA-SWB组成内网。

4.外网运行OSPF多区域路由协议；RC与FWA组成Area0，RA与RC组成Area1，RB与FWA组成Area2，RA与RB组成Area3，RB与RC组成Area4，将Area2设为末梢区域，Area1上做虚链路。

5.RB与RC之间运行PPP，采用CHAP单向认证，RA为主认证方。

6.PCA访问RA时，使用策略路由使流量按照FWA-RB-RA的线路转发。

7.通过RC访问外网的FTP服务，要求使用QoS将下载流量限制在2M范围内。

8.当内网用户访问外网时，由FWB上通过开启NAT功能实现。

9.SWA与SWB之间使用链路捆绑，由2条千兆以太网线相连。

10.RS-SWA-SWB之间通过MSTP技术实现冗余链路的收敛，防止环路的产生，并且要求SWB的0/3端口阻断。

11.在RS上开启DHCP服务，要求PCC与PCB可以通过RS获取地址，且SWA、SWB可以阻断除RS之外的任何其他DHCP server服务。

12.将PCB的MAC地址与SWB的端口进行端口绑定，要求SWB的0/2端口只允许PCB接入。

13.通过dhcp snooping 实现PCC的IP地址、MAC地址与SWA的端口进行三元组绑定，要求SWA的0/1接口只允许PCC的IP接入。

14.PCB，PCC访问PCA时，必须使用WEB认证，由FWB设置。

15.在防火墙配置禁止PCB和PCC禁止使用QQ聊天软件。

16.PCA可以通过telnet远程管理RS设备，在FWB中配置反向NAT。

17.网络中所有的PC均可访问大赛主网络。

18.将通过RS访问外网的所有的数据镜像到IDS所连接的端口上，使用DCNIDS监控内网所有TCP数据包，并将所捕获的数据生成报告。

将IDS服务器架设到PCC 上，并提供搭建成功IDS正常运行截图与所生成的风险评估柱状图报表。

安全要求19.为保证安全，请为基础网络设备（路由器、交换机）设置使能密码。

20.为保证安全，请为网络中所有的设备设置telnet远程登录（IDS与堡垒服务器DCST除外），并设置安全的用户名与口令。

文档要求：21.将所有设备的配置文件整理上传22.整理提交相应文档。

2.1.2 主机系统加固部分【场景1说明】：堡垒主机要求windows2003 Server版本；并预设2个帐号stud 1、stud 2，开启Terminal Services；开启如下服务：Task Schedule、Remote Registry、Print spooler、Telnet、Computer Browser、Messenger、Alerter、DHCP Client。

Terminal Services；开启三个共享C$ 、ADMIN$、IPC$共享，；未设置带密码的屏幕保护；选手资料准备：通过mstsc.exe登录目标服务器。

【场景2说明】：堡垒主机要求Red Hat Enterprise5版本；开启ssh服务进程；系统预制root相应属性为非安全属性；/etc/profile中UMASK值置077；并允许root账户网络登录；选手工具资料：远程登录工具如Putty。

1.任务一：SCENE1账号口令策略通过配置windows账号口令策略加强其安全性，包括：禁用Guest账号；禁用使用的账号stud 1、stud 2；删除不使用的帐号stud 1、stud 2密码策略配置：启用密码复杂性要求、密码最小长度8位、密码最长保留期30天、强制密码历史5次；账户锁定策略设置：复位账户锁定计数器10分钟、账户锁定时间20分钟；账户锁定阈值：5次无效登录；2.任务二：SCENE1系统服务加固【考题要求】关闭以下系统服务：T ask Schedule、Remote Registry、Print spooler、Computer Browser、Messenger、Alerter、DHCP Client。

3.任务三：SCENE1关闭默认共享【考题要求】关闭系统默认共享：包括关闭分区默认共享（C$、D$、E$.），关闭管理默认共享（admin$），关闭IPC$默认共享。

4.任务四：对SCENE1进行TCP/IP堆栈加固【考题要求】拒绝服务(DoS) 攻击是一种网络攻击，通过加固TCP/IP堆栈来完成防御。

（请修改注册表加固TCP/IP堆栈）。

5.任务五：SCENE1启用屏幕保护启用屏幕保护程序，防止管理员忘记锁定机器被非法攻击，设置带密码的屏幕保护，主要通过修改屏幕保护的时间，将屏幕保护时间修改为10分钟。

6.任务六：SCENE2敏感系统账号设置【考题要求】锁定以下账号：sync; halt; new; uucp; operator; games; gopher7.任务七：SCENE2账号口令安全【考题要求】更改系统管理员账号为复杂密码；配置账号超时5分钟自动注销设置密码策略：最大口令使用日期180天、最小口令长度8位、口令过期前警告天数30天8.任务八：SCENE2文件系统安全【考题要求】系统UMASK设置为0222.2.3 安全评估（裁判组）1.参赛选手登录安全评估系统，填写相应设备的IP、用户名和口令等，点击提交；2.提交相应文档；3.各参赛队提交信息后暂停，裁判组进行安全评估。

2.2 第二阶段：场内分组攻防2.2.1场景说明【场景3说明】Linux服务器；操作系统telnet具有弱口令；建立一个场景4信息的文本文档，该文档内容要包含场景4的登录ip地址和帐号密码。

【场景4说明】堡垒主机要求windowsxp sp2简体中文版本；建立一个场景5 信息的文本文档；该文档内容要包含场景5的登录ip地址和帐号密码；要求至少开启的有3389端口，80端口，139端口。

开放21端口。

【场景5说明】堡垒主机要求win2003简体中文版本；停止Serv-U；需确认IIS目录设置为权限可写入；使用Access数据库。

2.2.2任务说明1.任务一：场景3主机信息收集【考题要求】登录Windows客户端，通过LscanPort端口扫描工具，获取服务器场景3的系统信息（已知windows xp地址），查看端口开放情况及相应服务（如ftp，3389远程连接，http 服务等）。

2.任务二：场景3服务器端口扫描【考题要求】通过使用HScan扫描工具来对该服务器进行扫描，罗列出开放了哪些端口，并将开放的端口信息的对应服务写下来。

3.任务三：场景3密码扫描【考题要求】利用攻击工具，猜测场景3登录口令，并通过该口令进入目标系统场景3。

4.任务四：查找场景4的登录信息【考题要求】在场景3机器上查找场景4登录信息。

5.任务五：场景4的FTP登录帐号和密码破译【考题要求】通过破译场景4的FTP帐号和密码，，将里面放置的场景5的登录IP获取。

6.任务六：查找场景5的登录信息【考题要求】在场景4机器上查找场景5登录信息。

7.任务七：场景5服务器IIS权限探测【考题要求】从攻击客户端上利用iisputscan工具，对其进行IIS写权限探测，验证该目录是否可写；若该目录验证可写，上传1.txt至场景5。

8.任务八：场景5 WEB网站数据库下载【考题要求】从攻击客户端浏览器访问场景5服务器的WEB网站，查看其页面代码，寻找网站的conn.asp（数据库调用文件），通过该文件获取里面的数据库地址或数据库的用户名和密码。

2.2.3文档说明提交相应截图和文档。

2.3 第三阶段：防守场外渗透测试2.3.1场景说明【场景6说明】堡垒主机要求windows2003 Server未安装任何补丁版本并预设2个帐号stud 1 stud2，开启远程桌面访问。

开启如下服务：Task Schedule、Remote Registry、Print spooler、Telnet、Computer Browser、Messenger、Alerter、DHCP Client。

开启远程桌面服务。

开启三个共享C$ 、ADMIN$、IPC$共享，开启远程桌面连接服务。

未设置带密码的屏幕保护。

选手资料准备：远程登录工具。

赛场规则：1.不可以插拔堡垒服务器网线；2.不得重启堡垒服务器以及重启堡垒服务器中的虚拟机；3.不得关闭21、22、23、80、1433、3306、3389、8080服务端口；4.不得在堡垒服务器中开启防火墙功能，不得安装杀毒软件；5.不得在堡垒服务器前端架设硬件防火墙，不得在设备上配置ACL阻断外部的访问；6.禁止使用DoS、DDoS、ARP欺骗、病毒类等恶意工具攻击大赛主网络。