高职组GZ-024信息安全管理与评估赛项任务书.docx

全国职业院校技能大赛高职组“神州数码”杯“信息安全管理与评估”赛项任务书一、 赛项时间9:00-15:00，合计6小时，含赛题发放、收卷及午餐时间二、 赛项信息竞赛阶段任务阶段竞赛任务竞赛时间分值第一阶段平台搭建与配备任务1网络平台搭建9:00-13:3060任务2网络安全设备配备与防护240第二阶段系统安全攻防及运维安全管控任务1SQL注入攻防55任务2XSS和CSRF攻防65任务3命令注入与文献涉及攻防50任务4MAC合同安全攻防45任务5ARP合同安全攻防45任务6SpanningTree合同安全攻防40中场收卷13:30-14:00第三阶段分组对抗系统加固14:00-14:15100系统攻防14:15-15:00300三、 赛项内容本次大赛，各位选手需要完毕三个阶段的任务，其中前两个阶段需要提交任务操作文档留存备案，所有文档需要寄存在裁判组专门提供的U盘中第三阶段请根据现场具体题目规定操作选手一方面需要在U盘的根目录下建立一种名为“xx工位”的文献夹（xx用品体的工位号替代），并在“xx工位”文献夹下，建立“第一阶段”、“第二阶段”两个文献夹，赛题两个阶段的文档分别归类放置在相应的文献夹中。

例如：08工位，则需要在U盘根目录下建立“08工位”文献夹，并在“08工位”文献夹下建立“第一阶段”、“第二阶段”两个文献夹特别阐明：只容许在根目录下的“08工位”文献夹中体现一次工位信息，不容许在其她文献夹名称或文献名称中再次体现工位信息，否则按作弊解决一) 赛项环境设立赛项环境设立涉及了三个竞赛阶段的基本信息：网络拓扑图、IP地址规划表、设备初始化信息1. 网络拓扑图PC环境阐明：PC-1（须使用物理机中的虚拟机）：物理机操作系统：Windows7 64位旗舰版VMware Workstation 12 Pro虚拟机操作系统：WindowsXP虚拟机安装服务/工具1：Microsoft Internet Explorer 6.0虚拟机安装服务/工具2：Ethereal 0.10.10.0虚拟机安装服务/工具3：HttpWatch Professional Edition虚拟机网卡与物理机网卡之间的关系：Bridge（桥接）PC-2（须使用物理机中的虚拟机）：物理机操作系统：Windows7 64位旗舰版VMware Workstation 12 Pro虚拟机操作系统：WindowsXP虚拟机安装服务/工具1：Microsoft Internet Explorer 6.0虚拟机安装服务/工具2：Ethereal 0.10.10.0虚拟机安装服务/工具3：HttpWatch Professional Edition虚拟机网卡与物理机网卡之间的关系：Bridge（桥接）PC-3（须使用物理机中的虚拟机）：物理机操作系统：Windows7 64位旗舰版VMware Workstation 12 Pro虚拟机操作系统：Kali Linux（Debian7 64Bit）虚拟机安装服务/工具：Metasploit Framework虚拟机网卡与物理机网卡之间的关系：Bridge（桥接）2. IP地址规划表设备名称接口IP地址互联可用IP数量防火墙DCFWEthXx.x.x.x/x与PC-2相连见赛场IP参数表EthXx.x.x.x/x与DCFS相连见赛场IP参数表地址池x.x.x.x/xVPN地址池见赛场IP参数表网络流控系统DCFSEthX无与DCFW相连见赛场IP参数表EthXx.x.x.x/x与DCRS相连见赛场IP参数表Web应用防火墙WAFEthXx.x.x.x/x 与DCRS相连见赛场IP参数表EthX无与DCST相连见赛场IP参数表三层互换机DCRSVlan 2x.x.x.x/x与DCFS相连见赛场IP参数表Vlan 10x.x.x.x/x与WAF相连见赛场IP参数表Vlan 20x.x.x.x/x与PC-1相连见赛场IP参数表Vlan 30x.x.x.x/x与PC-3相连见赛场IP参数表Vlan 40x.x.x.x/x与NETLOG相连见赛场IP参数表Vlan 100x.x.x.x/x直连服务器区见赛场IP参数表Vlan 110x.x.x.x/x直连顾客区见赛场IP参数表地址池x.x.x.x/xDHCP地址池见赛场IP参数表网络日记系统NETLOGEthXx.x.x.x/x与DCRS相连见赛场IP参数表EthX无与DCRS相连见赛场IP参数表堡垒服务器DCSTEthX无与WAF相连见赛场IP参数表PC-1无x.x.x.x/x与DCRS相连见赛场IP参数表PC-3无x.x.x.x/x与DCRS相连见赛场IP参数表PC-2无x.x.x.x/x与DCFW相连见赛场IP参数表服务器场景-1无见系统安全攻防加固赛题部分服务器场景-2无见系统安全攻防加固赛题部分服务器场景-3无见系统安全攻防加固赛题部分服务器场景-4无见系统安全攻防加固赛题部分服务器场景-5无见系统安全攻防加固赛题部分备注1.赛题可用IP地址范畴见《赛场IP参数表》；2.具体网络连接接口见《赛场IP参数表》-“赛场互联接口参数表”；3.设备互联网段内可用地址数量见《赛场IP参数表》；4.IP地址分派规定，最节省IP地址，子网有效地址规划遵循2n-2的原则；5.参赛选手按照《赛场IP参数表》规定，自行分派IP地址段、设备互联接口；6.将分派的IP地址段和接口填入《赛场IP参数表》中（《赛场IP参数表》电子文献存于U盘“第一阶段”文献夹中，请填写完整后提交。

3. 设备初始化信息设备名称管理地址默认管理接口顾客名密码防火墙DCFWhttp://192.168.1.1ETH0adminadmin网络流控系统DCFShttps://192.168.1.254:9999ETH0adminAdmin123网络日记系统NETLOGhttps://192.168.5.254ETH0admin123456web应用防火墙WAFhttps://192.168.45.1ETH5adminadmin123堡垒服务器DCSThttp://192.168.1.100Eth0–Eth9参见“DCST登录顾客表”注意：所有设备的默认管理接口、管理IP地址不容许修改;如果修改相应设备的缺省管理IP及管理端口，波及此设备的题目按 0 分解决二) 第一阶段任务书（300分）提示：该阶段答案文档命名格式为：“第X阶段”-“任务X”-“任务名称”例：“第一阶段、任务2、网络安全设备配备与防护”的答案提交文档，文献名称为：第一阶段-任务2-网络安全设备配备与防护.doc或第一阶段-任务2-网络安全设备配备与防护.docx任务1：网络平台搭建（60分）提示：需要提交所有设备配备文献，其中DCRS设备规定提供show run配备文献保存到WORD文档，DCFW、DCFS、WAF、NETLOG设备需要提交配备过程截图存入WORD文档，并在截图中加配备阐明。

提交的答案保存到一种WORD文档中，需标明题号，按顺序答题平台搭建规定如下：题号网络需求分值1根据网络拓扑图所示，按照IP地址参数表，对WAF的名称、各接口IP地址进行配备5分2根据网络拓扑图所示，按照IP地址参数表，对DCRS的名称、各接口IP地址进行配备5分3根据网络拓扑图所示，按照IP地址参数表，对DCFW的名称、各接口IP地址进行配备5分4根据网络拓扑图所示，按照IP地址参数表，对DCFS的各接口IP地址进行配备5分5根据网络拓扑图所示，按照IP地址参数表，对NETLOG的名称、各接口IP地址进行配备5分6根据网络拓扑图所示，按照IP地址参数表，在DCRS互换机上创立相应的VLAN，并将相应接口划入VLAN5分7采用RIPV2路由合同，全网络互连6分8完整填写“赛场IP参数表” 24分任务2：网络安全设备配备与防护（240分）提示：需要提交所有设备配备文献，其中DCRS设备规定提供show run配备文献保存到WORD文档，DCFW、DCFS、WAF、NETLOG设备需要提交配备过程截图存入WORD文档，并在截图中加以阐明请顺序答题，并标注题号每个设备提交的答案各自保存到不同的WORD文档中（本任务可以保存5个WORD文档）。

例：“第一阶段、任务2、网络安全设备配备与防护”有关NETLOG设备的答案提交文档，文献名称为：第一阶段-任务2-网络安全设备配备与防护-NETLOG.doc或第一阶段-任务2-网络安全设备配备与防护-NETLOG.docx1. 在公司总部的DCFW上配备，连接互联网的接口属于WAN安全域、连接内网的接口属于LAN安全域6分）2. 在公司总部的DCFW上配备，启动DCFW针对如下袭击的防护功能：ICMP洪水袭击防护、UDP洪水袭击防护、SYN洪水袭击防护、WinNuke袭击防护、IP地址欺骗袭击防护、IP地址扫描袭击防护、端口扫描防护、Ping of Death袭击防护、Teardrop袭击防护、IP分片防护、IP选项、Smurf或者Fraggle袭击防护、Land袭击防护、ICMP大包袭击防护、TCP选项异常、DNS查询洪水袭击防护、DNS递归查询洪水袭击防护6分）3. 在公司总部的DCFW上新增2个顾客，顾客1（顾客名：User1；密码：User1）：只拥有配备查看权限，不能进行任何的配备添加与修改，删除 顾客2（顾客名：User2；密码：User2）：拥有所有的查看权限，拥有除“顾客升级、应用特性库升级、重启设备、配备 日记”模块以外的所有模块的配备添加与修改，删除权限。

6分）4. 在公司总部的DCFW上配备，内网可以访问互联网任何服务，互联网不可以访问内网6分）5. 在公司总部的DCFW上配备网页内容过滤：内网顾客不能访问互联网网站：.com；（6分）6. 在公司总部的DCFW上配备，使公司总部的DCST服务器可以通过互联网被访问，从互联网访问的地址是公网地址的第三个可用地址（公网IP地址段参照“赛场IP参数表”），且仅容许PC-2通过互联网访问DCST设备6分）7. 在公司总部的DCFW上配备，使内网所有顾客网段和服务器区网段都可以通过DCFW外网接口IP地址访问互联网6分）8. 为了保证正常工作，在公司总部的DCFW上配备：对于上班时间（8：00-17：00）公司总部内网浏览Internet网页，连接总数不超过；（6分）9. 在公司总部的DCFW上配备，使内网访问Internet网站时，不容许访问MSI(.msi)、EXE(.exe)、COM(.com)、(.bat)类型的文献6分）1。