资源简介

全国职业院校技能大赛
赛项规程
赛项名称： 信息安全管理与评估
英文名称： Information Security Management and Evaluation
赛项组别： 高等职业教育
赛项编号： GZ032
一、赛项信息
赛项类别
每年赛 隔年赛（单数年/双数年）
赛项组别
□中等职业教育 高等职业教育
学生赛（□个人/团体） □教师赛（试点） □师生同赛（试点）
涉及专业大类、专业类、专业及核心课程
专业大类 专业类 专业名称 核心课程
31电子与信息大类 3102 计算机类 310207 信息安全与管理 操作系统原理及安全
数据库原理及安全
Web应用安全审计
密码技术应用
网络安全系统集成
数字取证与司法鉴定
数据灾备技术
信息安全测评与风险评估
软件逆向技术
信息安全工程管理
310202 网络工程技术 路由交换技术
网络安全技术
无线网络技术
网络规划与系统集成
Linux 操作系统
310201 计算机应用工程 软件工程
服务器管理与配置
信息系统安全
网络系统集成
Web开发技术
38公安与司法大类 3802 公安技术类 380202 网络安全与执法 计算机网络
操作系统
计算机犯罪侦查
网络信息监控技术
信息安全体系结构
51电子与信息大类 5102 计算机类 510207 信息安全技术应用 操作系统安全
网络安全设备配置与安全
电子数据取证技术应用
信息安全产品配置与应用
信息安全风险评估
数据存储与容灾
Web 应用安全与防护
510216 密码技术应用 信息安全技术与实施
商用密码产品部署
公钥基础设施应用
电子商务安全应用
密码应用安全测评
信息安全工程与管理
510202 计算机网络技术 路由交换技术与应用
Linux 操作系统管理
网络系统集成
网络安全设备配置与管理
510201 计算机应用技术 数据库技术及应用
系统部署与运维
前端设计与开发
交换路由技术
58公安与司法 5802 公安技术类 580202K 安全与执法 网络安全设备配置
电子数据勘查取证技术
信息系统安全监察
网络安全管理
网络犯罪侦查
对接产业行业、对应岗位（群）及核心能力
产业行业 岗位（群） 核心能力
信息安全 网络与信息安全管理 具备信息安全工程方案规划设计和工程实施能力；具备数据存储与容灾、网络安全渗透、网络安全防护、数据库系统安全管理，对用户数据加密解密等数据安全管理的能力；具备信息技术和数字技术的应用能力以及国产软件部署与适配能力
网络安全风险评估 具备根据信息系统评估要求，进行系统安全策略部署、系统渗透测试、网络攻击防范、安全事件应急处理等能力；具备信息系统安全评估方案编制与安全测评基本能力
网络安全实施与运维 具备信息系统的安全策略部署实施和安全运维能力；具备防病毒系统部署、系统安全加固、系统升级和网络等方面的能力；具备一定的信息安全相关软件开发、工具软件应用的能力，以及安全系统测试文档撰写的能力
网络设备配置与安全 具备安全网络规划设计、网络安全设备安装、网络设备配置、安全策略配置、设备管理维护等安全防护综合能力
网络安全应急服务 具备代码审计与系统渗透测试能力，具备信息安全事件应急响应与处置的基本能力
公安网络安全与执法 具备操作系统安全、数据库原理与应用、网络犯罪侦查、电子数据勘查取证、网络攻击与防范、互联网信息巡查等能力
公安信息化应用与管理 具备网络设备安全配置与维护、操作系统安全、数据库原理与应用、应用系统安全配置与维护、风险评估与应急响应、安全基线管理等能力
二、竞赛目标
为全面贯彻落实国家网络强国战略，对接新一代信息技术产业，助推我国信息安全产业链发展，促进职普融通、产教融合、科教融汇，产教协同培养信息安全领域高素质、专业化、创新型人才。
本赛项根据国家职业技能标准和行业从业人员能力要求，通过竞赛促进参赛选手熟悉信息安全行业标准规范和信息安全测试员新职业要求，考查参赛选手网络和信息安全相关的理论知识，重点考查参赛选手信息安全产品配置与应用、网络设备配置与管理、电子数据分析与取证、系统安全评估、网络安全渗透测试等能力，校验参赛队计划组织和团队协作等综合职业素养，强调学生创新能力和实践能力培养，提升学生职业能力和就业质量。
本赛项衔接国家信息安全技术应用等高等职业教育专业标准，内容覆盖“信息安全技术与实施”“网络安全设备配置与管理”“信息安全风险评估”“操作系统安全”“Web应用安全与防护”等专业核心课程内容。
赛项基于信息安全领域主流技术和现行业务流程设计，信息安全行业专家与院校教育专家紧密合作，赛前完成竞赛内容向教学改革的成果转化，实现以赛促教、以赛促学、以赛促改、以赛促建的教产融合的赛事创新。推动提升高等职业院校的人才培养水平，解决信息安全产业规模增长迅速与专业人才严重短缺的矛盾，实现人才到岗即用。
三、竞赛内容
根据《网络与信息安全管理员》国家职业技能标准、《信息安全测试员》国家职业技能标准、《信息安全技术 网络安全从业人员能力基本要求》（GB/T 42446-2023）等标准要求，结合企业实际岗位能力需求和具体工作任务，主要考查参赛选手网络和信息安全相关的理论知识掌握程度，重点考查参赛选手网络和信息安全相关的理论知识，以及信息安全产品配置与应用、网络设备配置与管理、电子数据分析与取证、系统安全评估、网络安全渗透测试等综合实践能力，要求参赛选手能够根据赛项要求，设计信息安全防护方案，实现设备互联互通。
本赛项为团队赛，竞赛分为操作和理论两个部分。理论部分主要考查参赛选手的网络与信息安全知识掌握情况和职业素养。操作部分考查参赛选手的综合实践能力，让选手尝试解决实际问题并不断优化自己的信息安全防护方案，同时根据网络业务需求配置各种安全策略，防范并解决网络恶意入侵和攻击行为，考查参赛选手的网络规划能力、实践操作能力和临场应变能力，检验参赛队的团队协作、质量意识、效益意识和创新意识等。
竞赛具体内容
竞赛内容具体包括以下六个部分：
1.根据大赛提供的赛项要求，设计信息安全防护方案，并且能够提供详细的信息安全防护设备拓扑图。
2.根据业务需求和实际的工程应用环境，实现网络设备、安全设备、服务器的连接，通过调试，实现设备互联互通。
3.在赛项提供的网络设备及服务器上配置各种协议和服务，实现网络系统的运行，并根据网络业务需求配置各种安全策略，组建网络以满足应用需求。
4.根据企业所发现的安全事件，展开网络安全事件的调查、分析和取证工作，收集、保存、处理、分析和提供与计算机相关的证据，审计黑客的入侵行为，恢复被黑客破坏的文件。
5.利用一系列网络安全攻击渗透工具对所提供的网络安全攻击靶场环境进行综合分析、挖掘和渗透。
6.网络和信息安全相关的理论技能与职业素养。
竞赛模块及分值
表1 竞赛模块、时长及分值一览表
模块名称 主要内容 竞赛时长 分值
模块一 网络平台搭建与设备安全防护 180分钟 300
模块二 网络安全事件响应、数字取证调查、应用程序安全 180分钟 300
模块三 网络安全渗透、理论技能与职业素养 180分钟 400
四、竞赛方式
竞赛以团体赛方式进行，为线下比赛。
每支参赛队由3名选手（设队长1名）组成，不得跨校组队，同一学校参赛队不超过1队，参赛选手必须是高等职业学校专科、高等职业学校本科全日制在籍学生或五年制高职中四至五年级（含四年级）的全日制在籍学生，凡在往届全国职业院校技能大赛中获一等奖的选手，不能再参加同一项目同一组别的比赛。
指导教师须为本校专职教师，每队不超过2名指导教师。
五、竞赛流程
竞赛流程图
图1 竞赛流程图
竞赛时间表
竞赛限定在2天内进行，竞赛场次为3场，赛项竞赛时间为9小时，具体安排如下。
表2 竞赛时间一览表
日期 时间 事项 参加人员 地点
竞赛 前2日 20:00前 裁判、监督仲裁报到 工作人员 住宿酒店
竞赛 前1日 09:00-12:00 参赛队报到，安排住宿，领取资料 工作人员、参赛队 住宿酒店
09:00-12:00 裁判工作会议 裁判长、裁判员、监督仲裁组 会议室
13:00-14:30 领队工作会议 各参赛队领队、裁判长 会议室
15:00-16:00 参观赛场 各参赛队领队 竞赛场地
16:00-20:00 检查封闭赛场 裁判长、监督仲裁组 竞赛场地
竞赛 第1天 07:00-08:00 参赛选手检录 参赛选手、现场裁判 竞赛场地
08:00-08:50 选手抽签第一次加密 选手抽签第二次加密 参赛代表队入场 参赛选手、加密裁判 竞赛场地
08:50-09:00 宣读考场纪律 发放第一阶段赛题 参赛选手、现场裁判 竞赛场地
09:00-12:00 第一阶段正式比赛 参赛选手、现场裁判 竞赛场地
12:00-12:30 第一阶段结果提交 第三次加密 参赛选手、现场裁判 竞赛场地
12:30-13:50 参赛选手午餐 参赛选手、现场裁判 竞赛场地
13:50-14:00 参赛代表队就位 发放第二阶段赛题 参赛选手、现场裁判 竞赛场地
14:00-17:00 第二阶段正式比赛 参赛选手、现场裁判 竞赛场地
17:00-17:30 第二阶段结果提交 参赛选手、现场裁判 竞赛场地
17:30-19:30 申诉受理 参赛选手、现场裁判、监督仲裁员 监督 仲裁室
竞赛 第2天 07:00-08:00 参赛选手检录 参赛选手、现场裁判 竞赛场地
08:00-08:50 选手抽签第一次加密 选手抽签第二次加密 参赛代表队入场 参赛选手、加密裁判 竞赛场地
08:50-09:00 宣读考场纪律 发放第三阶段赛题和理论测试系统使用说明 参赛选手、现场裁判 竞赛场地
09:00-12:00 第三阶段正式比赛 参赛选手、现场裁判 竞赛场地
12:00-12:30 第三阶段结果提交 参赛选手、现场裁判 竞赛场地
12:30-14:30 申诉受理 参赛选手、现场裁判、监督仲裁员 监督 仲裁室
12:30-21:00 评分核分 裁判长、评分裁判、监督仲裁员 裁判评分室
21:00-21:30 抽检复核 裁判长、评分裁判、监督仲裁员 裁判评分室
21:30-22:00 解密 裁判长、加密裁判、监督仲裁员 裁判评分室
22:00-24:00 成绩汇总报送，成绩公布 评分裁判、裁判长、专家、监督仲裁 竞赛场地 和参赛队住宿酒店
竞赛 后1日 09:30-10:00 闭幕式 领导、嘉宾、裁判、各参赛队、专家组 会议室
六、竞赛规则
选手报名
大赛报名通过全国职业技能大赛赛务管理系统（https://chinaskills..cn）或通过大赛网络信息发布平台（www.chinaskills-jsw.org）进行技能大赛报名。报名方式和时间等要求，根据大赛组委会具体通知为准。
熟悉场地
参赛选手报到后，根据大赛指南中规定的时间安排，前往竞赛场地，在指定区域熟悉场地情况。
入场规则
参赛选手根据检录号，进行一次加密顺序号及二次加密工位号的抽取，入场时工位号进行检录查询赛场的位置，并按照工位位置就位等候竞赛开始。
赛场规则
1.竞赛工位通过抽签决定，竞赛期间参赛选手不得离开竞赛工位。
2.竞赛所需的硬件设备、系统软件和辅助工具由赛项执委会统一安排，参赛选手不得自带硬件设备、软件、移动存储、辅助工具、移动通信等进入竞赛现场。
3.参赛队在赛前10分钟进入竞赛工位，并确认设备是否正常，竞赛正式开始后方可展开相关工作。
4.竞赛过程中，选手须严格遵守操作规程，确保人身及设备安全，并接受裁判员的监督和警示。若因选手造成设备故障或损坏，无法继续竞赛，裁判长有权决定终止该队竞赛；若因非参赛人员造成设备故障，由裁判长视具体情况做出裁决。
5.竞赛结束后，参赛队要确认已成功提交所有竞赛文档，裁判员与参赛队队长一起签字确认，参赛队在确认后不得再进行任何操作。
离场规则
竞赛结束，参赛选手必须清洁桌面，扫除垃圾，整理工作现场，所有移动过的仪器、设备都必须恢复原状。参赛选手与裁判办理终结手续后，裁判统一宣布离场后，所有选手方可离场。
成绩评定与结果公布
结果评分
由评分裁判依据评分表，对参赛队所提交的答案（结果性评分）和系统自动统计的数据（机考评分）进行评分（总分为1000分）。
解密
裁判长正式提交工位号评分结果并复核无误后，加密裁判在监督人员监督下对加密结果进行逐层解密，形成成绩表，并由裁判长、监督员签字确认。
成绩公布
将解密后的各参赛队得分结果汇总，经裁判长、监督员和专家组长及巡视员签字后，在指定地点，以纸质形式向全体参赛队进行公布，并在成绩发布会上予以宣布。
七、技术规范
（一）标准与规范
本赛项涉及的信息网络安全工程在设计、组建过程中，主要有以下9项国家或国际标准，参赛队在实施竞赛项目中要求遵循如下规范。
表3 标准和技术规范一览表
序号 标准号 中文标准名称
1 WSC2022_WSO554_Cyber_Security 《世界技能大赛网络安全项目职业标准》
2 4-04-04-02 《网络与信息安全管理员》
3 4-04-04-04 《信息安全测试员》
4 GB∕T 22239-2019 《信息安全技术网络安全等级保护基本要求》
5 GB∕T 28448-2019 《信息安全技术网络安全等级保护测评要求》
6 GB∕T 36627-2018 《信息安全技术网络安全等级保护测试评估技术指南》
7 GB／T 31509-2015 《信息安全技术信息安全风险评估实施指南》
8 ISO17799 《信息安全管理实施细则》
9 ISO/IEC 27001 《信息安全管理体系》
（二）知识点和技能点
本赛项涉及的知识点与技能点如下。
表4 知识点和技能点一览表
序号 内容模块 具体内容 知识点或技能点
第一阶段 网络平台搭建 网络规划 VLSM、CIDR等
基础网络 VLAN、WLAN、STP、SVI、RIPV2、OSPF、BGP、IPv6、组播等
网络安全设备配置与防护 访问控制 保护网络应用安全；实现防DOS、DDOS攻击；实现包过滤、应用层代理、状态化包过滤、URL过滤；基于IP、协议、应用、用户角色、自定义数据流和时间等方式的带宽控制、QoS策略等
密码学和VPN 密码学基本理论、L2L IPSec VPN、GRE Over IPSec、L2TP Over IPSec、IKE：PSK、IKE：PKI、SSL VPN等
数据分析 利用日志系统对网络内的数据进行分析、安全管理等
第二阶段 网络安全事件响应、数字取证调查、应用程序安全 网络安全事件响应 操作系统日志、应用系统/中间件日志、系统进程分析、系统安全漏洞及加固等
数字取证调查 内存镜像分析、编码转换、加解密、数据隐写、文件分析取证、网络流量包分析等
应用程序安全 程序逆向分析、移动应用程序代码分析、恶意脚本代码分析等
第三阶段 网络安全渗透 针对预设的环境进行渗透测试 SQL注入、文件上传、命令执行、缓冲区溢出、信息收集、逆向文件分析、二进制漏洞利用、应用服务漏洞利用、操作系统漏洞利用、密码学分析等
理论技能与 职业素养 网络与信息安全理论知识和职业素养 信息安全与网络基础、操作系统安全、网络协议安全、网络设备安全、网络数据安全、程序代码安全、网络安全渗透、安全运维与应急服务、密码技术、网络安全法律法规和职业素养等
八、技术环境
（一）竞赛环境
竞赛场地配置：保证良好的采光、照明和通风。提供稳定的水、电、网络和供电应急设备。竞赛场地面积需≥参赛队伍数量*10 m 。
竞赛工位配置：每个操作平台面积≥8m 、工位间隔＞1.5m，需注明工位号并配备符合安全标准的220V电源。
赛场区域配置：选手竞赛区、裁判工作区、技术支持区、裁判评分区、观摩区、仲裁室等。
（二）竞赛设备
表5 竞赛设备一览表
序号 设备名称 数量 技术参数
1 PC机 3台/组 CPU：I5 10代及以上，主频≥2.9GHZ； 硬盘：SSD 1TB及以上； 内存：16GB及以上
2 三层交换机 1台/组 不低于24个千兆以太网电口，4个复用千兆SFP光口，4个10G SFP； 支持虚拟化技术
3 防火墙 1台/组 不低于8个10/100/1000M以太网电口
4 Web应用防火墙 1台/组 不低于6个千兆电口，1个Console
5 网络日志系统 1台/组 不低于6个千兆电口，1个Console
6 无线交换机 1台/组 不低于4个万兆SFP光口，24个千兆电口； 支持CLI配置； 支持双交流供电接口
7 无线接入点 1台/组 802.11ac wave2 室内放装型无线AP； 支持802.11a/n/ac wave2和802.11b/g/n同时工作； 不低于支持1个千兆电口； 支持POE供电
8 服务器 1台/组 处理器≥10核； 内存：64GB及以上； 硬盘：SSD 2TB及以上； 千兆网口2个及以上
（三）竞赛软件
表6 竞赛软件一览表
序号 软件 版本
1 Windows 操作系统 Windows 10及以上版本
2 Microsoft Office Microsoft Office 2010及以上版本
4 VMware Workstation Version 12及以上版本
5 Windows Server DataCenter 2016及以上版本
6 Linux(CentOS) Version 7.6.1810
7 Ubuntu 20.04
8 Wireshark 3.4.9
9 bind 9.11.4
10 Kali Version2021.3
11 IDA free 7.0
12 OllyDbg Version1.10及以上版本
13 PDF Reader
14 Volatility Version2.6及以上版本
15 Autopsy Version4.0及以上版本
16 WinDbg Version4.0及以上版本
17 Jadx-gui 1.2.0
18 apktool 2.6.1
19 Android Studio 2021.3.1
20 HxD Hex Editor Version 2.X及以上版本
21 Android Emulator API27
22 StegSolve 1.4
23 audacity 3.1.0
24 Parrot-security 4.11.2
25 gdb-pwndbg 2021.06.22
26 sagemath 9.2
27 pwntools 4.5.0
28 pycryptodome 3.14.1
29 frida-server 15.1.10
30 frida-tools 10.4.1
31 VsCode X64-1.6.1
32 Frp 0.38.0
33 Neo-reGeorg v3.7.0
34 EmEditor Free V21.5.2
35 Putty 0.68及以上版本
36 VNC viewer 1.2.1.2
37 Virtual Box 6.1.28
38 CaptfEncoder 2.1.0
39 BeautifulSoup4 4.9.3
40 one_gadget 1.7.4
41 超级终端 设备调试连接工具
九、竞赛样题
2023年全国职业院校技能大赛（高等职业教育）
“信息安全管理与评估”样题
竞赛需要完成三个阶段的任务，分别完成三个模块，总分共计1000分。三个模块内容和分值分别是：
1.第一阶段：模块一 网络平台搭建与设备安全防护（180分钟，300分）。
2.第二阶段：模块二 网络安全事件响应、数字取证调查、应用程序安全（180分钟，300分）。
3.第三阶段：模块三 网络安全渗透、理论技能与职业素养（180分钟，400分）。
【注意事项】
1.第一个阶段需要按裁判组专门提供的U盘中的“XXX-答题模板”提交答案。
第二阶段请根据现场具体题目要求操作。
第三阶段网络安全渗透部分请根据现场具体题目要求操作，理论测试部分根据测试系统说明进行登录测试。
2.所有竞赛任务都可以由参赛选手根据基础设施列表中指定的设备和软件完成。
第一阶段
模块一 网络平台搭建与设备安全防护
一、竞赛内容
第一阶段竞赛内容包括：网络平台搭建、网络安全设备配置与防护，共2个子任务。
竞赛阶段 任务阶段 竞赛任务 竞赛时间 分值
第一阶段 网络平台搭建与设备安全防护 任务1 网络平台搭建 XX:XX- XX:XX 50
任务2 网络安全设备配置与防护 250
总分 300
二、竞赛时长
本阶段竞赛时长为180分钟，共300分。
三、注意事项
第一阶段请按裁判组专门提供的U盘中的“XXX-答题模板”中的要求提交答案。
选手需要在U盘的根目录下建立一个名为“GWxx”的文件夹（xx用具体的工位号替代），所完成的“XXX-答题模板”放置在文件夹中作为竞赛结果提交。
例如：08工位，则需要在U盘根目录下建立“GW08”文件夹，并在“GW08”文件夹下直接放置第一个阶段的所有“XXX-答题模板”文件。
【特别提醒】
只允许在根目录下的“GWxx”文件夹中体现一次工位信息，不允许在其它文件夹名称或文件名称中再次体现工位信息，否则按作弊处理。
五、赛项环境设置
1.网络拓扑图
图1 网络拓扑图
2.IP地址规划表
设备名称 接口 IP地址 对端设备
防火墙 FW ETH0/1-2（AG1） AG1.113 10.1.0.254/30 （Trust安全域） SW ETH1/0/1 SW ETH1/0/2
AG1.114 10.2.0.254/30 （Trust安全域）
ETH0/3 10.3.0.254/30 （Trust安全域） BC ETH3
ETH0/4 10.4.0.254/30 （Trust安全域） BC ETH4
ETH0/5 10.100.18.1/27 （untrust安全域） IDC SERVER 10.100.18.2
ETH0/6 200.1.1.1/28 （untrust安全域） INTERNET
Loopback1 10.11.0.1/24 （Trust安全域） -
Loopback2 10.12.0.1/24 （Trust安全域）
Loopback3 10.13.0.1/24 （Trust安全域）
Loopback4 10.14.0.1/24 （Trust安全域）
路由交换机SW VLAN 40 ETH1/0/4-8 172.16.40.62/26 PC2
VLAN 50 ETH1/0/3 172.16.50.62/26 PC3
VLAN 51 ETH1/0/23 10.51.0.254/30 BC ETH5
VLAN 52 ETH1/0/24 10.52.0.254/24 WAF ETH3
VLAN 113 ETH1/0/1 VLAN113 OSPF 10.1.0.253/30 FW ETH0/1
VLAN 114 ETH1/0/2 VLAN114 OSPF 10.2.0.253/30 FW ETH0/2
VLAN 117 ETH E1/0/17 10.3.0.253/30 BC ETH1
VLAN 118 SW ETH E1/0/18 10.4.0.253/30 BC ETH2
ETH1/0/20 VLAN 100 192.168.100.1/30 2001::192:168:100:1/112 VLAN115 OSPF 10.5.0.254/30 VLAN116 OSPF 10.6.0.254/30 AC ETH1/0/20
无线控制器AC ETH1/0/20 VLAN 100 192.168.100.2/30 2001::192:168:100:2/112 VLAN 115 10.5.0.253/30 VLAN 116 10.6.0.253/30 SW ETH1/0/20
VLAN 30 ETH1/0/3 172.16.30.62/26 PC1
无线管理VLAN VLAN 101 ETH1/0/21 需配置 AP
VLAN 10 需配置 无线1
VLAN 20 需配置 无线2
网络日志系统BC ETH1 网桥 FW
ETH3 SW ETH E1/0/17
ETH2 网桥 FW
ETH4 SW ETH E1/0/18
ETH5 10.51.0.253/30 SW ETH E1/0/23
Web应用 防火墙 WAF ETH3 10.52.0.253/30 SW ETH E1/0/24
ETH4 堡垒服务器
第一阶段 任务书
任务1 网络平台搭建（50分）
题号 网络需求
1 按照IP地址规划表，对防火墙的名称、各接口IP地址进行配置
2 按照IP地址规划表，对三层交换机的名称进行配置，创建VLAN并将相应接口划入VLAN, 对各接口IP地址进行配置
3 按照IP地址规划表，对无线交换机的名称进行配置，创建VLAN并将相应接口划入VLAN,对接口IP地址进行配置
4 按照IP地址规划表，对网络日志系统的名称、各接口IP地址进行配置
5 按照IP地址规划表，对Web应用防火墙的名称、各接口IP地址进行配置
任务2 网络安全设备配置与防护（250分）
1.SW开启telnet登录功能，用户名skills01，密码skills01，密码呈现需加密。
2.总部交换机SW配置简单网络管理协议，计划启用V3版本，V3版本在安全性方面做了极大的扩充。配置引擎号分别为62001；创建认证用户为skills01，采用3des算法进行加密，密钥为：skills01，哈希算法为SHA，密钥为：skills01；加入组ABC，采用最高安全级别；配置组的读、写视图分别为：2023_R、2023_W；当设备有异常时，需要使用本地的VLAN100地址发送Trap消息至网管服务器10.51.0.203，采用最高安全级别。
3.接入SW Eth4，仅允许IP地址172.16.40.62-80为源的数据包为合法包，以其它IP地址为源地址，交换机直接丢弃。
4.为减少内部ARP广播询问VLAN网关地址，在全局下配置SW每隔300S发送免费ARP。
5.勒索蠕虫病毒席卷全球，爆发了堪称史上最大规模的网络攻击，通过对总部核心交换机SW所有业务VLAN下配置访问控制策略实现双向安全防护。
6.SW配置IPv6地址，使用相关特性实现VLAN50的IPv6终端可自动从网关处获得IPv6有状态地址。
7.AC配置IPv6地址，开启路由公告功能，路由器公告的生存期为2小时，确保VLAN30的IPv6终端可以获得IPv6无状态地址。
8.AC与SW之间配置RIPng，使PC1与PC3可以通过IPv6通信。
9.IPv6业务地址规划如下，其它IPv6地址自行规划：
业务 IPV6地址
VLAN30 2001:30::254/64
VLAN50 2001:50::254/64
10.FW、SW、AC之间配置OSPF area 0 开启基于链路的MD5认证，密钥自定义,传播访问INTERNET默认路由。
11.FW与SW建立两对IBGP邻居关系，使用AS 65500，FW上loopback1-4为模拟AS 65500中网络，为保证数据通信的可靠性和负载，完成以下配置，要求如下：
SW通过BGP到达loopback1,2网路下一跳为10.3.0.254；
SW通过BGP到达loopback3,4网络下一跳为10.4.0.254。
12.FW与SW建立两对IBGP邻居关系，使用AS 65500，FW上loopback1-4为模拟AS 65500中网络，为保证数据通信的可靠性和负载，通过BGP实现到达loopback1,2,3,4的网络冗余，请完成配置。
13.FW与SW建立两对IBGP邻居关系，使用AS 65500，FW上loopback1-4为模拟AS 65500中网络，为保证数据通信的可靠性和负载，使用IP前缀列表匹配上述业务数据流，请完成配置。
14.FW与SW建立两对IBGP邻居关系，使用AS 65500，FW上loopback1-4为模拟AS 65500中网络，为保证数据通信的可靠性和负载，完成以下配置，使用LP属性进行业务选路，只允许使用route-map来改变LP属性、实现路由控制，LP属性可配置的参数数值为：200。
15.配置使总部VLAN50业务的用户访问IDC SERVER的数据流经过FW 10.1.0.254, IDC SERVER返回数据流经过FW 10.2.0.254，且对双向数据流开启所有安全防护，参数和行为为默认。
16.在端口ethernet1/0/7上，将属于网段172.16.40.62/26内的报文带宽限制为10M比特/秒，突发4M字节，超过带宽的该网段内的报文一律丢弃。
17.在FW上配置，连接LAN接口开启PING等所有管理方式，连接Internet接口关闭所有管理方式，配置trust区域与Untrust之间的安全策略且禁止从外网访问内网的任何设备。
18.总部VLAN业务用户通过防火墙访问Internet时，复用公网IP： 200.1.1.28/28，保证每一个源IP产生的所有会话将被映射到同一个固定的IP地址，当有流量匹配本地址转换规则时产生日志信息，将匹配的日志发送至10.51.0.253的 UDP 2000端口。
19.为了合理利用网络出口带宽，需要对内网用户访问Internet进行流量控制，园区总出口带宽为200M，对除无线用户以外的用户限制带宽，每天上午9:00到下午6:00每个IP最大下载速率为2Mbps，上传速率为1Mbps。
20.配置L2TP VPN，名称为VPN，满足远程办公用户通过拨号登陆访问内网，创建隧道接口为tunnel 1、并加入untrust安全域，地址池名称为AddressPool，LNS 地址池为10.100.253.1/24-10.100.253.100/24，网关为最大可用地址，认证账号skills01,密码skills01。
21.Internet端有一分支结构路由器，需要在总部防火墙FW上完成以下预配，保证总部与分支机构的安全连接：防火墙FW与Internet端路由器202.5.17.2建立GRE隧道，并使用IPSec保护GRE隧道，保证分支结构中2.2.2.2与总部VLAN40安全通信。
16.Internet端有一分支结构路由器，需要在总部防火墙FW上完成以下预配，保证总部与分支机构的安全连接：
第一阶段 采用pre-share认证 加密算法:3DES；
第二阶段 采用ESP协议， 加密算法:3DES，预设共享秘钥: skills01。
22.Vlan30内的工作人员涉及到商业机密，因此在FW上配置不允许vlan30内所有用户访问外网。
23.配置出于安全考虑，无线用户访问因特网需要采用认证，在防火墙上配置Web认证，采用本地认证，用户名为test，test1，test2，密码为123456。
24.已知原AP管理地址为10.81.0.0/15，为了避免地址浪费请重新规划和配置IP地址段，使用原AP所在网络进行地址划分，请完成配置。
25.已知原AP管理地址为10.81.0.0/15，为了避免地址浪费请重新规划和配置IP地址段，现无线用户VLAN 10中需要127个终端，无线用户VLAN 20需要50个终端，请完成配置。
26.已知原AP管理地址为10.81.0.0/15，为了避免地址浪费请重新规划和配置IP地址段，要求完成在AC上配置DHCP，管理VLAN为VLAN101,为AP下发管理地址，网段中第一个可用地址为AP管理地址，最后一个可用地址为AC管理地址，保证完成AP二层注册；为无线用户VLAN10,20下发IP地址，最后一个可用地址为网关。
27.在NETWORK下配置SSID，需求如下：
NETWORK 1下设置SSID 2023skills-2.4G，VLAN10，加密模式为wpa-personal,其口令为skills01；
NETWORK 20下设置SSID 2023skills-5G，VLAN20不进行认证加密,做相应配置隐藏该SSID。
28.配置一个SSID 2023skills_IPv6，属于VLAN21用于IPv6无线测试，用户接入无线网络时需要采用基于WPA-personal加密方式，其口令为“skills01”，该网络中的用户从AC DHCP获取IPv6地址，地址范围为：2001:10:81::/112。
WORK 1开启内置portal+本地认证的认证方式，账号为GUEST密码为123456,保障无线信息的覆盖性，无线AP的发射功率设置为90%。禁止MAC地址为80-45-DD-77-CC-48的无线终端连接。
30.2023skills-5G最多接入20个用户，用户间相互隔离，并对2023skills-5G网络进行流控，上行速率1Mbps，下行速率2Mbps。
31.在AC上配置使radio 1的射频类型为IEEE 802.11b/g,并且设置RTS的门限值为256字节，当MPDU的长度超过该值时，802.11MAC启动RTS/CTS交互机制。
32.在AC上配置一条基于SSID时间点时周一0点到6点的禁止用户接入的策略（限时策略）。
33.通过配置防止多AP和AC相连时过多的安全认证连接而消耗CPU资源，检测到AP与AC在10分钟内建立连接5次就不再允许继续连接，两小时后恢复正常。
34.配置所有无线接入用户相互隔离，Network模式下限制每天0点到6点禁止终端接入，开启ARP抑制功能。
35.在公司总部的BC上配置，设备部署方式为透明模式。增加非admin账户skills01，密码skills01，该账户仅用于用户查询设备的日志信息和统计信息；要求对内网访问Internet全部应用进行日志记录。
36.BC上配置用户认证识别功能。
37.在公司总部的BC上配置，在工作日（每周一到周五上班）期间针对所有无线网段访问互联网进行审计，如果发现访问互联网的无线用户就断网，不限制其他用户在工作日（每周一到周五上班）期间访问互联网。
38.使用BC对内网所有上网用户进行上网本地认证，要求认证后得用户3小时候重新认证，并且对HTTP服务器172.16.10.45的80端口进行免认证。
39. BC配置应用“即时聊天”，在周一至周五9：00-21：00监控内网中所有用户的微信账号使用记录，并记录数据。
40.在BC上配置激活NTP，本地时区+8:00，并添加NTP服务器名称清华大学，域名为s1b.time.。
41. BC配置内容管理，对邮件内容包含“比赛答案”字样的邮件，记录且邮件报警。
42.BI监控周一至周五工作时间VLAN40用户使用“迅雷”的记录，每天工作时间为9:00-18:00。
43.在公司总部的WAF上配置，设备部署方式为透明模式。要求对内网HTTP服务器172.16.10.45/32进行安全防护。
44.方便日志的保存和查看，需要在把WAF上攻击日志、访问日志、DDoS日志以JSON格式发给IP地址为172.16.10.200的日志服务器上。
45.在WAF上配置基础防御功能，开启SQL注入、XXS攻击、信息泄露等防御功能，要求针对这些攻击阻断并发送邮件告警。
46.为防止www.网站资源被其他网站利用，通过WAF对资源链接进行保护，通过Referer方式检测，设置严重级别为中级，一经发现阻断并发送邮件告警。
47.在公司总部的WAF上配置，编辑防护策略，定义HTTP请求体的最大长度为256，防止缓冲区溢出攻击。
48.对公司内网用户访问外网进行网页关键字过滤，网页内容包含“暴力”“赌博”的禁止访问。
49.为了安全考虑，无线用户移动性较强，访问因特网时需要实名认证，在BC上开启web认证使用http方式，采用本地认证，密码账号都为web2023。
50.在WAF上保护HTTP服务器上的www.网站爬虫攻击，从而影响服务器性能，设置严重级别为高级，一经发现攻击阻断并发送邮件告警。
第二阶段
模块二 网络安全事件响应、数字取证调查、应用程序安全
一、竞赛内容
第二阶段竞赛内容包括：网络安全事件响应、数字取证调查和应用程序安全。
竞赛阶段 任务阶段 竞赛任务 竞赛时间 分值
第二阶段 网络安全事件响应、数字取证调查和应用程序安全 网络安全事件响应 任务1 应用响应 XX:XX- XX:XX 70
数字取证调查 任务2 操作系统取证 40
任务3 网络数据包分析 50
任务4 计算机单机取证 60
应用程序安全 任务5 恶意代码分析 50
任务6 代码审计 30
总分 300
二、竞赛时长
本阶段竞赛时长为180分钟，共300分。
三、注意事项
1.本部分的所有工作任务素材或环境均已放置在指定的计算机上，参赛选手完成后，填写在电脑桌面上“信息安全管理与评估竞赛-第二阶段答题卷”中。
2.选手的电脑中已经安装好 Office 软件并提供必要的软件工具 （Tools 工具包）。
【特别提醒】
竞赛有固定的开始和结束时间，选手必须决定如何有效的分配时间。请阅读以下指引！
1.当竞赛结束，离开时请不要关机；
2.所有配置应当在重启后有效；
3.除了CD-ROM/HDD/NET驱动器，请不要修改实体机的配置和虚拟机本身的硬件设置。
第二阶段 任务书
任务描述
随着网络和信息化水平的不断发展，网络安全事件也层出不穷，网络恶意代码传播、信息窃取、信息篡改、远程控制等各种网络攻击行为已严重威胁到信息系统的机密性、完整性和可用性。因此，对抗网络攻击，组织安全事件应急响应，采集电子证据等技术工作是网络安全防护的重要部分。现在，A集团已遭受来自不明组织的非法恶意攻击，您的团队需要帮助A集团追踪此网络攻击来源，分析恶意攻击行为的证据线索，找出操作系统和应用程序中的漏洞或者恶意代码，帮助其巩固网络安全防线。
本模块主要分为以下几个部分：
网络安全事件响应；
数字取证调查；
应用程序安全。
第一部分 网络安全事件响应
任务1 应急响应（70分）
A集团的WebServer服务器被黑客入侵，该服务器的Web应用系统被上传恶意软件，系统文件被恶意软件破坏，您的团队需要帮助该公司追踪此网络攻击的来源，在服务器上进行全面的检查，包括日志信息、进程信息、系统文件、恶意文件等，从而分析黑客的攻击行为，和残留的关键证据信息。
本任务素材清单：Server服务器虚拟机
受攻击的Server服务器已整体打包成虚拟机文件保存，请选手自行导入分析。
虚拟机用户名：root，密码：123456，若题目中未明确规定，请使用默认配置。
请按要求完成该部分工作任务，答案有多项内容的请用换行分隔。
任务1 应急响应
序号 任务要求 答案
1 提交攻击者的两个内网IP地址
2 提交网站管理员用户的用户名与密码
3 提交黑客得到MySQL服务的root账号密码的时间（格式：dd/MM/yyyy:hh:mm:ss）
4 查找黑客在Web应用文件中写入的恶意代码，提交文件绝对路径
5 查找黑客在Web应用文件中写入的恶意代码，提交代码的最简形式（格式：< php xxxx >）
6 分析攻击者的提权手法，提交攻击者通过哪一个指令成功提权
7 服务器内与动态恶意程序相关的三个文件绝对路径
8 恶意程序对外连接的目的ip地址
第二部分 数字取证调查
任务2 操作系统取证（40分）
A集团某电脑系统感染恶意程序，导致系统关键文件被破坏，请分析A集团提供的系统镜像和内存镜像，找到系统镜像中的恶意软件，分析恶意软件行为。
本任务素材清单：操作系统镜像、内存镜像（*.dump、*.img）
请按要求完成该部分的工作任务。
任务2 操作系统取证
序号 任务要求 答案
1 提交恶意进程名称（两个）
2 被破坏的文件位置
3 加密数据的内存地址
4 原文件内容
5 分析恶意程序行为
任务3 网络数据包分析（50分）
A集团的网络安全监控系统发现有恶意攻击者对集团官方网站进行攻击，并抓取了部分可疑流量包。请您根据捕捉到的流量包，搜寻出网络攻击线索，并分析黑客的恶意行为。
本任务素材清单：捕获的网络数据包文件（*.pcapng）
请按要求完成该部分的工作任务，答案有多项内容的请用换行分隔。
任务3 网络数据包分析
序号 任务要求 答案
1 提交恶意程序传输协议 （只提交一个协议，两个以上视为无效）
2 恶意程序对外连接目标IP
3 恶意程序加载的dll文件名称
4 解密恶意程序传输内容
5 分析恶意程序行为
任务4 计算机单机取证（60分）
对给定取证镜像文件进行分析，搜寻证据关键字（线索关键字为“evidence 1”“evidence 2”……“evidence 10”，有文本形式也有图片形式，不区分大小写），请提取和固定比赛要求的标的证据文件，并按样例的格式要求填写相关信息，证据文件在总文件数中所占比例不低于15%。取证的信息可能隐藏在正常的、已删除的或受损的文件中，您可能需要运用编码转换技术、加解密技术、隐写技术、数据恢复技术，还需要熟悉常用的文件格式（如办公文档、压缩文档、图片等）。
本任务素材清单：取证镜像文件
请根据赛题环境及现场答题卡任务要求提交正确答案。
任务4 计算机单机取证
证据编号 原始文件名 （不包含路径） 镜像中原文件Hash码 （MD5，不区分大小写）
evidence 1
evidence 2
evidence 3
evidence 4
evidence 5
evidence 6
evidence 7
evidence 8
evidence 9
evidence 10
第三部分 应用程序安全
任务5 恶意程序分析（50分）
A集团发现其发布的应用程序文件遭到非法篡改，您的团队需要协助A集团对该恶意程序样本进行逆向分析、对其攻击/破坏的行为进行调查取证。
本任务素材清单：恶意程序代码
请按要求完成该部分的工作任务。
任务5 恶意程序分析
序号 任务内容 答案
1 请提交素材中的恶意应用回传数据的url地址
2 请提交素材中的恶意代码保存数据文件名称（含路径）
3 请描述素材中恶意代码的行为
4 ......
任务6 代码审计（30分）
代码审计是指对源代码进行检查，寻找代码存在的脆弱性，这是一项需要多方面技能的技术。作为一项软件安全检查工作，代码安全审查是非常重要的一部分，因为大部分代码从语法和语义上来说是正确的，但存在着可能被利用的安全漏洞，你必须依赖你的知识和经验来完成这项工作。
本任务素材清单：源文件
请按要求完成该部分的工作任务。
任务6 代码审计
序号 任务内容 答案
1 请指出存在安全漏洞的代码行
2 请指出可能利用该漏洞的威胁名称
3 请提出加固修改建议
4 ......
第三阶段
模块三 网络安全渗透、理论技能与职业素养
一、竞赛内容
第三阶段竞赛内容是：网络安全渗透、理论技能与职业素养。
本阶段分为两个部分。第一部分主要是在一个模拟的网络环境中实现网络安全渗透测试工作，要求参赛选手作为攻击方，运用所学的信息收集、漏洞发现、漏洞利用等渗透测试技术完成对网络的渗透测试；并且能够通过各种信息安全相关技术分析获取存在的flag值。第二部分是在理论测试系统中进行考核。
竞赛阶段 任务阶段 竞赛任务 竞赛 时间 分值
第三阶段 网络安全渗透、理论技能与职业素养 网络安全渗透 第一部分：网站 任务1～任务3 XX:XX- XX:XX 45
第二部分：应用系统 任务4～任务5 30
第三部分：应用服务器1 任务6～任务13 165
第四部分：应用服务器2 任务14 30
第五部分：应用服务器2 任务15 30
第六部分：理论技能与职业素养 100
总分 400
二、竞赛时长
本阶段竞赛时长为180分钟，其中网络安全渗透300分，理论技能与职业素养100分，共400分。
三、注意事项
通过找到正确的flag值来获取得分，flag统一格式如下所示：
flag{}
这种格式在某些环境中可能被隐藏甚至混淆。所以，注意一些敏感信息并利用工具把它找出来。
【特别提醒】部分flag可能非统一格式，若存在此情况将会在题目描述中明确指出flag格式，请注意审题。
第三阶段 任务书
任务描述
在A集团的网络中存在几台服务器，各服务器存在着不同业务服务。在网络中存在着一定网络安全隐患，请利用您所掌握的渗透测试技术，通过信息收集、漏洞挖掘等渗透测试技术，完成指定项目的渗透测试，在测试中获取flag值。网络环境参考样例请查看附录A。
本模块所使用到的渗透测试技术包含但不限于如下技术领域：
数据库攻击；
枚举攻击；
权限提升攻击；
基于应用系统的攻击；
基于操作系统的攻击；
逆向分析；
密码学分析；
隐写分析。
所有设备和服务器的IP地址请查看现场提供的设备列表，请根据赛题环境及现场答题卡任务要求提交正确答案。
第一部分 网站（45分）
任务编号 任务描述 答案 分值
任务1 门户网站存在漏洞，请利用漏洞并找到flag，并将flag提交。 flag格式flag{}
任务2 门户网站存在漏洞，请利用漏洞并找到flag，并将flag提交。 flag格式flag{}
任务3 门户网站存在漏洞，请利用漏洞并找到flag，并将flag提交。 flag格式flag{}
第二部分 应用系统（30分）
任务编号 任务描述 答案 分值
任务4 应用系统存在漏洞，请利用漏洞并找到flag，并将flag提交。 flag格式flag{}
任务5 应用系统存在漏洞，请利用漏洞并找到flag，并将flag提交。 flag格式flag{}
第三部分 应用服务器1（165分）
任务编号 任务描述 答案 分值
任务6 请获取FTP服务器上对应的文件进行分析，找出其中隐藏的flag，并将flag提交。 flag格式flag{}
任务7 请获取FTP服务器上对应的文件进行分析，找出其中隐藏的flag，并将flag提交。 flag格式flag{}
任务8 请获取FTP服务器上对应的文件进行分析，找出其中隐藏的flag，并将flag提交。 flag格式flag{}
任务9 请获取FTP服务器上对应的文件进行分析，找出其中隐藏的flag，并将flag提交。 flag格式flag{}
任务10 请获取FTP服务器上对应的文件进行分析，找出其中隐藏的flag，并将flag提交。 flag格式flag{}
任务11 请获取FTP服务器上对应的文件进行分析，找出其中隐藏的flag，并将flag提交。 flag格式flag{}
任务12 请获取FTP服务器上对应的文件进行分析，找出其中隐藏的flag，并将flag提交。 flag格式flag{}
任务13 请获取FTP服务器上对应的文件进行分析，找出其中隐藏的flag，并将flag提交。 flag格式flag{}
第四部分 应用服务器2（30分）
任务编号 任务描述 答案 分值
任务14 应用系统服务器10000端口存在漏洞，获取FTP服务器上对应的文件进行分析，请利用漏洞找到flag，并将flag提交。 flag格式flag{}
第五部分 应用服务器3（30分）
任务编号 任务描述 答案 分值
任务15 应用系统服务器10001端口存在漏洞，获取FTP服务器上对应的文件进行分析，请利用漏洞找到flag，并将flag提交。 flag格式flag{}
附录A
图2 网络拓扑结构图
第六部分 理论技能与职业素养（100分）
2023年全国职业院校技能大赛（高等职业教育）
“信息安全管理与评估”测试题（样题）
【注意事项】
1.理论测试前请仔细阅读提供的测试系统使用说明书，按提供的账号和密码登录测试系统进行测试，账号只限1人登录。
2.该部分答题时长包含在第三阶段竞赛时长内，请在临近竞赛结束前提交。
3.参赛团队可根据自身情况，可选择1-3名参赛选手进行作答，参赛队内部可以进行交流，但不得影响其他团队。
单选题（每题2分，共35题，共70分）
1.将用户user123修改为管理员权限命令是（ ）。
net user localgroup administrators user123 /add
net use localgroup administrators user123 /add
net localgroup administrators user123 /add
net localgroup administrator user123 /add
2. SQL注入出password 的字段值为“YWRtaw44ODg=”，这是采用了哪种加密方式？（ ）
md5
base64
AES
DES
3.下列哪个工具可以进行Web程序指纹识别？（ ）
Nmap
OpenVAS
御剑
WhatWeb
4.ELK日志解决方案中，Elasticsearch的作用是？（ ）
收集日志并分析
保存日志并搜索日志
收集日志并保存
保存日志并展示日志
5.RIP路由协议有RIP v1 和RIP v2两个版本，下面关于这两个版本的说法错误的是（ ）。
RIP v1和RIP v2都具有水平分割功能
RIP v1 是有类路由协议，RIP v2是无类路由协议
RIP v1 和 RIP v2 都是以跳数作为度量值
RIP v1 规定跳数的最大值为15，16跳视为不可达，而RIP v2
无此限制
6.如果明文为abc，经凯撒密码-加密后，密文bcd，则密钥是（ ）。
1
2
3
4
7.哪个关键词可以在Python中进行处理错误操作？（ ）
try
catch
finderror
error
8.关闭默认共享C$的命令是（ ）。
net share C$ /del
net share C$ /close
net use C$ /del
net user C$ /del
9.DNS服务器根据查询方式可以分为多种，以下（ ）方式可以通过IP查找域名。
递归查询
迭代查询
正向查询
反向查询
10.域完整性指特定列的项的有效性。那么通过（ ）可以强制域完整性限制格式。
UNIQUE约束
CHECK约束和规则
PRIMARY KEY约束
FOREIGN KEY约束
11.客户机从DHCP服务器获得IP地址的过程称为DHCP的租约过程，在服务器发送DHCP Offer 广播包时，DHCP Offer中的目的地址是（ ）。
255.0.0.0
255.255.0.0
255.255.255.0
255.255.255.255
12.通过使用下列（ ）方式，无法获取对方密码。
DDOS攻击
字典攻击
网络钓鱼
暴力破解
13.在常见的安全扫描工具中，以下（ ）主要用来分析Web站点的漏洞，可以针对数千种常见的网页漏洞或安全风险进行检测。
SuperScan
Fluxay（流光）
Wikto
MBSA
14.在PKI公钥体系应用中，数据机密性指的是（ ）。
确认用户的身份标识
保证数据在传送过程中没有被修改
防止非授权的用户获取数据
确保用户不能冒充其他用户的身份
15.AES结构由以下四个不同的模块组成，其中（ ）是非线性模块。
字节代换
行位移
列混淆
轮密钥加
16.Skipjack是一个密钥长度为（ ）位。
56
64
80
128
17.现今非常流行的SQL（数据库语言）注入攻击属于下列哪一项漏洞的利用？（ ）
域名服务的欺骗漏洞
邮件服务器的编程漏洞
WWW服务的编程漏洞
FTP服务的编程漏洞
18.ARP欺骗的实质是（ ）。
提供虚拟的MAC与IP地址的组合
让其他计算机知道自己的存在
窃取用户在网络中的传输的数据
扰乱网络的正常运行
19.下列哪一种网络欺骗技术是实施交换式（基于交换机的网络环境）嗅探攻击的前提（ ）。
IP欺骗
DNS欺骗
ARP欺骗
路由欺骗
20.目标计算机与网关通信失败，更会导致通信重定向的攻击形式是？（ ）
病毒
木马
DOS
ARP欺骗
21.IP数据报分片后的重组通常发生在？（ ）
源主机和数据报经过的路由器上
源主机上
数据报经过的路由器上
目的主机上
22.以下关于VPN说法正确的是（ ）。
VPN 指的是用户自己租用线路，和公共网络物理上完全隔离的、安全的线路
VPN 指的是用户通过公用网络建立的临时的、安全的连接
VPN不能做到信息验证和身份认证
VPN只能提供身份认证、不能提供加密数据的功能
23.Linux系统中，关于uname命令说法错误的是？（ ）
-a：显示所有信息
-v：详细显示信息
-r：内核的release发行号
-n：主机名
24.IPSec包括报文验证头协议AH 协议号（ ）和封装安全载荷协议ESP协议号（ ）。
51 50
50 51
47 48
48 47
25.利用虚假IP地址进行ICMP报文传输的攻击方法称为？（ ）
ICMP泛洪
死亡之ping
LAND攻击
Smurf攻击
26.MD5散列算法具有（ ）位摘要值。
56
128
160
168
27.AH协议报文头中，32bit的（ ）结合防重放窗口和报文验证来防御重放攻击。
安全参数索引SPI
序列号
验证数据
填充字段
28.下列不属于信息完整性破坏的是哪一项？（ ）
篡改
删除
复制
在信息插入其他信息
29.下列选项哪列不属于网络安全机制？（ ）
加密机制
数据签名机制
解密机制
认证机制
30.下列关于网络嗅探技术说明错误的是？（ ）
嗅探技术对于已加密的数据无能为力
将网卡设置为混杂模式来进行嗅探对于使用交换机且进行了端口和MAC绑定的局域网无能为力
将网卡设置为混杂模式可以对任意局域网内的数据包进行窃听
可以通过配置交换机端口镜像来实现对镜像端口的数据包进行窃听
31.下面不是计算机网络面临的主要威胁的是 （ ）
恶意程序威胁
计算机软件面临威胁
计算机网络实体面临威胁
计算机网络系统面临威胁
32. AH 协议报文头中，32bit的（ ）结合防重放窗口和报文验证来防御重放攻击。
安全参数索引SPI
序列号
验证数据
填充字段
33.Linux中，通过chmod修改权限设置，正确的是？（ ）
chmod test.jpg +x
chmod u+8 test.jpg
chmod 777 test.jpg
chmod 888 test.jpg
34.小李在使用nmap对目标网络进行扫描时发现，某一个主机开放了25和110端口，此主机最有可能是什么？（ ）
文件服务器
邮件服务器
WEB服务器
DNS服务器
35.《中华人民共和国网络安全法》于（ ）起正式施行。
2019年6月1日
2018年6月1日
2017年6月1日
2016年6月1日
多选题（每题3分，共10题，共30分）
1.下列哪些选项属于误用入侵检测技术？（ ）
统计检测
基于状态转移的入侵检测
基于专家系统的入侵检测
基于神经网络的入侵检测
2.利用Metasploit进行缓冲区溢出渗透的基本步骤包括（ ）。
选择利用的漏洞类型
选择meterpreter或者shell 类型的payload
设置渗透目标IP、本机IP地址和监听端口号
选择合适的目标类型
3.分组密码常用的算法设计方法包括（ ）。
代换
扩散和混淆
线性反馈移位寄存器
J-K触发器
4.VPN设计中常用于提供用户识别功能的是（ ）。
RADIUS
TOKEN卡
数字证书
8O2.1
5.在反杀伤链中，情报可以分为那几个层次？（ ）
战斗
战略
战区
战术
6.防火墙的主要技术有哪些？（ ）
简单包过滤技术
网络技术地址转换技术
应用代理技术
复合技术
7.安全业务指安全防护措施，包括（ ）。
保密业务
认证业务
完整性业务
不可否认业务
8.安全的网络通信必须考虑以下哪些方面？（ ）
加密算法
用于加密算法的秘密信息
秘密信息的分布和共享
使用加密算法和秘密信息以获得安全服务所需的协议
9.信息道德包括（ ）。
网络信息道德
学术性信息道德
思想品德
社会公德
10.我国现行的信息安全法律体系框架分为哪三个层面？（ ）
信息安全相关的国家法律
信息安全相关的行政法规和部分规章
信息安全相关的地方法规/规章和行业规定
信息安全相关的个人职业素养
十、赛项安全
（一）组织保障
1.成立由赛项执委会主任为组长的赛项安全保障小组，职责分工明确。
2.与地方相关部门建立协调机制，制定应急预案，及时处置突发事件，保证比赛安全进行。
（二）赛项安全管理要求
1.赛场布置，赛场内的器材、设备，应符合国家有关安全规定，并在竞赛现场安排技术支持人员，保障赛项设备安全稳定。
2.竞赛工位张贴安全操作说明。
3.赛前赛项执委会对全体裁判和工作人员进行安全培训，裁判员要严防选手出现具有危险性的操作。
（三）竞赛环境安全要求
1.承办单位赛前须按照执委会要求进行现场考察，排除安全隐患。
2.承办单位制定安全制度和应急预案，并配备急救人员与设施。
3.制定人员疏导方案。赛场环境中存在人员密集、车流人流交错的区域，除了设置齐全的指示标志外，须增加引导人员，并开辟备用通道。
4.竞赛现场需要进行网络安全控制，同时严禁易燃易爆以及各类危险品进入。
（四）参赛队伍安全责任
1.各参赛单位须为参赛选手购买大赛期间的人身意外伤害保险。
2.各参赛单位须制定相关管理制度，并对所有选手、指导教师进行安全教育。
3.各参赛单位须加强对参与竞赛人员的安全管理，实现与赛场安全管理的对接。
十一、成绩评定
（一）裁判工作原则
按照《全国职业院校技能大赛专家和裁判工作管理办法》建立全国职业院校技能大赛赛项裁判库，裁判长由赛项执委会向大赛执委会推荐，由大赛执委会聘任。赛前建立健全裁判组。裁判组为裁判长负责制，划分裁判小组（2人为一组），并设有专职督导仲裁员1-2名，负责竞赛过程全程监督，防止营私舞弊。本赛项计划需要裁判26名，现场裁判10名，评分裁判13名，加密裁判3名。
表7 裁判建议一览表
序号 专业技术 方向 知识能力要求 执裁、教学、 工作经历 专业技术 职称 人数
1 网络与信息安全 （裁判长） 全面掌握网络平台搭建与设备安全防护、网络安全事件响应、数字取证调查、应用程序安全、网络安全渗透等信息安全技术。 省级以上执裁和组织执裁经验；具有领导能力，组织协调能力；5年以上相关专业教学经验或相关行业工作经验。 专业相关高级职称 （高级职业资格证书/技能等级） 1
2 网络与信息安全 （现场裁判、评分裁判） 至少掌握三个竞赛模块中的一个。 省级以上执裁经验；5年以上相关专业教学经验或相关行业工作经验。 原则上应具有副高级以上专业技术职称或高级技师职业资格 22
3 理工类 （加密裁判） 能熟练运用电脑办公软件，认真细致负责完成加密工作。 有责任心，与参赛队无利益关系。 中级以上职称 3
赛项需进行三次加密，加密后参赛选手中途不得擅自离开赛场。分别由3组加密裁判组织实施加密工作，管理加密结果。监督仲裁员全程监督加密过程。
第一组加密裁判，组织参赛选手进行第一次抽签，产生参赛编号，替换选手参赛证等个人身份信息，填写一次加密记录表连同选手参赛证等个人身份信息证件，装入一次加密结果密封袋中单独保管。
第二组加密裁判，组织参赛选手进行第二次抽签，确定赛位号，替换选手参赛编号，填写二次加密记录表连同选手参赛编号，装入二次加密结果密封袋中单独保管。
第三组加密裁判对提交的竞赛文档进行加密。确定竞赛文档号，替换赛位号，填写三次加密记录表，装入三次加密结果密封袋中单独保管。
所有加密结果密封袋的封条均需相应加密裁判和监督仲裁员签字。密封袋在监督仲裁员监督下，由加密裁判放置于保密室的保险柜中保存。
（二）裁判评分方法
裁判组负责竞赛机考评分和结果性评分，由裁判长负责竞赛全过程。裁判员提前报到，报到后所有裁判的手机等通信设备全部上缴并统一保管，评分结束后返还，保证竞赛的公平与公正。
竞赛现场有监督仲裁员、现场裁判员、技术支持队伍等组成，分工明确。根据现场环境，每位现场裁判负责一定数量的参赛队，由多名技术支持人员负责所有工位的设备应急。现场裁判负责与参赛队伍的交流沟通及试卷等材料的收发，以及设备问题确认和现场执裁，技术支持人员负责执行现场裁判员确认后的设备应急处理。
（三）成绩产生办法
评分裁判执裁过程中，各模块由分组评分裁判进行独立评分，由评分裁判负责裁定成绩一致后，提交到成绩统计组，统计组再次核对每小题的得分，并汇总产生每套竞赛文档号的对应成绩。
裁判长正式提交竞赛文档号对应的评分结果并复核无误后，加密裁判在监督仲裁员的监督下，对加密结果进行逐层解密，形成成绩一览表，成绩表由裁判长、监督仲裁员签字确认。
竞赛评分严格按照公平、公正、公开的原则，评分标准注重考查参赛选手以下各方面的能力和水平。
表8 评分细则和评分方式一览表
竞赛 阶段 具体内容及占比 评分细则和评分方式
第一阶段 权重30% 网络平台搭建 权重5% 防火墙、网络日志系统、Web应用防火墙、无线控制器、三层交换机，物理连接，命名、IP地址等配置。 满分50分。 结果评分-客观。
网络安全设备配置与防护 权重25% 防火墙路由、安全策略、NAT、VPN等配置和测试；网络日志系统网络检测、统计、告警等配置；Web应用防火墙防护策略、过滤策略、告警等配置；无线管理、无线网络设置、安全策略等配置和测试；三层交换机路由、二层安全等配置和测试。 满分250分；结果评分-客观。
第二阶段 权重30% 网络安全事件响应、数字取证调查和应用安全 权重30% 操作系统和应用系统的日志分析，漏洞分析，系统进程分析，内存分析，系统安全加固，程序逆向分析，编码转换，加解密技术，数据隐写，文件分析取证，网络流量包分析，移动应用程序分析，代码审计。 满分300分；结果评分-客观及主观。
第三阶段 权重40% 网络安全渗透 权重30% 使用渗透测试技术利用SQL注入、文件上传、命令执行、栈溢出、缓冲区溢出等漏洞对目标靶机进行渗透测试；通过信息收集、逆向文件分析、二进制漏洞利用、应用服务漏洞利用、操作系统漏洞利用、密码学分析及一些杂项信息分析等信息安全技术获取靶机内的关键内容。 满分300分；结果评分-客观。
理论技能与职业素养权重10% 通过理论测试系统进行理论技能与职业素养考核，主要考查信息安全与网络基础、操作系统安全、网络协议安全、网络设备安全、网络数据安全、程序代码安全、网络安全渗透、安全运维与应急服务、密码技术、网络安全法律法规及职业素养等职业素养。 满分100分；结果评分-客观。
十二、奖项设置
（一）奖项设置
本赛项奖项设团体奖。以赛项实际参赛队总数为基础，一等奖占比10%，二等奖占比20%，三等奖占比30%。
获得一等奖的参赛队指导教师获“优秀指导教师奖”，授予荣誉证书。
（二）排序办法
按照总分进行名次排序，如出现参赛队总分相同情况，按模块三得分排序，如模块三得分相同，再以模块二得分进行排序，以此类推。
十三、赛项预案
（一）设备问题
1.为避免突发停电引起竞赛设备关机，应提供UPS保电，确保停电后赛事有效进行。
2.预留充足备用PC和交换机等竞赛设备，当出现设备掉电、故障等意外时经现场裁判确认后由赛场技术支持人员予以更换。
3.竞赛过程中出现设备掉电、故障等意外时，现场裁判需及时确认情况，安排技术支持人员进行处理，现场裁判登记细情况，填写补时登记表，报裁判长批准后，可安排延长补足相应选手的竞赛时间。
（二）题目问题
1.若发现题目无法正常访问，在5分钟内无法正常恢复，即开启同题型备用题目，并及时通告选手。
2.若发现题目被恶意修改，应在2分钟内重启题目宿主机或恢复宿主机镜像。
（三）平台问题
1.当发现平台访问缓慢，即部分选手可正常访问，部分选手访问异常或访问平台响应时间过长，应首先排查交换机、平台网络负载情况，然后建议参赛选手更换网络。
2.当发现平台无法正常访问，即所有选手访问平台异常，平台保障人员应在1分钟内做出响应，及时排查故障，应在5分钟内恢复平台的正常运行。
3.若排除故障时间超过5分钟，应及时上报，裁判长根据修复时间可适当延长竞赛时长。
（四）其他突发性事件预案
1.若出现重大突发事件和重大安全问题，经赛项执委会和专家组同意，暂停竞赛，由涉及人员有关领导，如裁判长、领队、技术支持公司负责人、执委会领导和承办校负责人协调处理解决；如若不能处理，中止竞赛，是否停赛由赛区执委会决定。事后，赛区执委会应向大赛执委会报告详细情况。
2.竞赛期间发生意外伤害、意外疾病等重大事故，裁判长立即中止相关人员竞赛，第一时间由应急医疗组负责抢救，严重时送往医院。
十四、申诉与仲裁
各参赛队对不符合大赛和赛项规程规定的设备、工具、材料、计算机软硬件，竞赛执裁、赛场管理以及工作人员的不规范行为等持有异议时，可向赛项监督仲裁工作组提出书面申诉。
申诉主体为参赛队领队。
监督仲裁员的姓名、联系方式应该在竞赛期间向参赛队和工作人员公示，确保信息畅通并同时接受大众监督。
申诉启动时，应以参赛队领队签字同意的书面报告形式递交赛项监督仲裁工作组。报告应对申诉事件的现象、发生时间、涉及人员、申诉依据等进行充分、实事求是的叙述。非书面申诉不予受理。
提出申诉应在竞赛结束后（选手竞赛内容全部完成）2小时内提出，超过时效不予受理。
赛项监督仲裁工作组在接到申诉报告后的2小时内组织复议，并及时将复议结果以书面形式告知申诉方。申诉方对复议结果仍有异议，可由领队向赛区仲裁委员会提出申诉。赛区仲裁委员会的仲裁结果为最终结果。
仲裁结果由申诉人签收，不能代收。如在约定时间和地点申诉人离开，视为自行放弃申诉。
申诉方可随时提出放弃申诉。
申诉方必须提供真实的申诉信息并严格遵守申诉程序，提出无理申诉或采取过激行为扰乱赛场秩序的应给予取消参赛成绩等处罚。
十五、竞赛须知
（一）参赛队须知
1.参赛队名称统一使用规定的代表队名称。
2.各参赛队需为参赛选手购买交通意外保险以及人身安全保险。
3.各参赛队要注意饮食卫生，防止食物中毒。
4.各参赛队应该参加赛项承办单位组织的闭赛式等各项赛事活动。
5.在赛事期间，领队及参赛队其他成员不得私自接触裁判，凡发现有弄虚作假者，取消其参赛资格，成绩无效。
6.所有参赛人员须按照赛项规程要求完成赛项评价工作。
7.对于有碍比赛公正和比赛正常进行的参赛队，视其情节轻重，按照《全国职业院校技能大赛奖惩办法》给予警告、取消比赛成绩、通报批评等处理。
（二）参赛领队须知
1.由省、自治区、直辖市、新疆生产建设兵团教育行政部门确定赛项领队1人，赛项领队应该由参赛院校中层以上管理人员或教育行政部门人员担任，熟悉赛项流程，具备管理与组织协调能力。
2.领队应按时参加赛前领队会议，不得无故缺席。
3.领队负责组织本省参赛队参加各项赛事活动。
4.领队应积极做好本省参赛队的服务工作，协调各参赛队与赛项组织机构、承办院校的对接。
5.参赛队认为存在不符合竞赛规定的设备、工具、软件，有失公正的评判、奖励，以及工作人员的违规行为等情况时，须由领队向赛项监督仲裁组提交书面申诉材料。各参赛队领队应带头服从和执行申诉的最终仲裁结果，并要求指导教师、选手服从和执行。
（三）指导教师须知
1.指导教师应根据专业教学计划和赛项规程合理制定训练方案，认真指导选手训练，培养选手的综合职业能力和良好的职业素养，克服功利化思想，避免为赛而学、以赛代学。
2.指导老师应及时查看大赛专用网页有关赛项的通知和内容，认真研究和掌握本赛项规程、技术规范和赛场要求，指导选手做好赛前的一切技术准备和竞赛准备。
3.指导教师应根据赛项规程要求做好参赛选手保险办理工作，并积极做好选手的安全教育。
4.指导教师参加赛项观摩等活动，不得违反赛项规定进入赛场，干扰比赛正常进行。
5.指导教师必须是参赛选手所在学校的在职专任教师，每个团队不超过2名指导教师，指导教师一经确定不得随意变更。
6.指导老师要发扬道德风尚，听从指挥，服从裁判，不弄虚作假。
7.对申诉的仲裁结果，领队和指导老师应带头服从和执行，还应说服参赛选手服从和执行。
（四）参赛选手须知
1.参赛选手应按有关要求如实填报个人信息，否则取消竞赛资格。
2.参赛选手应持统一印制的参赛证，带齐身份证、注册的学生证。在赛场的着装，应符合职业要求。在赛场的表现，应体现自己良好的职业习惯和职业素养。
3.参赛选手应遵守比赛规则，尊重裁判和赛场工作人员，自觉遵守赛场秩序，服从裁判的管理。
4.参赛选手应按照规定时间抵达赛场，凭参赛证、身份证件检录，按要求入场，不得迟到早退。
5.参加选手请勿携带任何电子设备及其他资料、用品进入赛场。
6.参赛选手应按有关要求在指定位置就坐。
7.参赛选手须在确认竞赛内容和现场设备等无误后开始竞赛。在竞赛过程中，确因计算机软件或硬件故障，致使操作无法继续的，经项目裁判长确认，予以启用备用计算机。
8.竞赛过程中不准互相交谈，不得大声喧哗；不得有影响其他选手比赛的行为，不准有旁窥、夹带等作弊行为。
9.竞赛过程中需要去洗手间，应报告现场裁判，由裁判或赛场工作人员陪同离开赛场。
10.各参赛选手必须按规范要求操作竞赛设备。一旦出现较严重的安全事故，经裁判长批准后将立即取消其参赛资格。
11.参赛选手需详细阅读赛题中竞赛文档命名的要求，不得在提交的竞赛文档中标识出任何关于参赛选手地名、校名、姓名、参赛编号等信息，否则取消竞赛成绩。
12.完成竞赛任务后，需要在竞赛结束前离开赛场，应向现场裁判示意，在赛场记录上填写离场时间并签工位号确认后，方可离开赛场到指定区域，离开赛场后不可再次进入。未完成竞赛任务，因病或其他原因需要终止竞赛离开赛场，需经裁判长同意，在赛场记录表的相应栏目填写离场原因、离场时间并签工位号确认后，方可离开；离开后，不能再次进入赛场，离开赛场时不得带走任何资料。
13.裁判长发出停止竞赛的指令，选手（包括需要补时的选手）应立即停止操作，在现场裁判的指挥下离开赛场到达指定的区域等候评分。需要补时的选手在离场后，由现场裁判召唤进场补时。
14.遇突发事件，立即报告裁判和赛场工作人员，按赛场裁判和工作人员的指令行动。
15.在竞赛期间，未经执委会批准，参赛选手不得接受其他单位和个人进行的与竞赛内容相关的采访。参赛选手不得将竞赛的相关信息私自公布。
（五）工作人员须知
1.工作人员必须服从赛项组委会统一指挥，佩戴工作人员标识，认真履行职责，忠于职守，秉公办理，保守秘密，做好服务赛场、服务选手的工作。
2.工作人员按照分工准时上岗，不得擅自离岗，应认真履行各自的工作职责，保证竞赛工作的顺利进行。
3.注意文明礼貌，保持良好形象，熟悉赛项指南。
4.提前30分钟到达赛场，严守工作岗位，不迟到，不早退，不得无故离岗，特殊情况需向工作组组长请假。
5.熟悉竞赛规程，严格按照工作程序和有关规定办事，如遇突发事件，按照应急预案，组织指挥人员疏散，确保人员安全。
6.工作人员在竞赛中若有舞弊行为，立即撤销其工作资格，并严肃处理。
7.保持通讯畅通，服从统一领导，严格遵守竞赛纪律，加强协作配合，提高工作效率。
十六、竞赛观摩
为保障竞赛公平、公正、公开，本赛项设置观摩区，可以使用大屏实时显示竞赛情况。
竞赛环境依据竞赛需求和职业特点设计，在竞赛不被干扰的前提下可以开放部分赛场区域。观摩人员需佩戴观摩证件在工作人员带领下，可以沿指定路线，在指定区域内到现场观赛。观摩人员不得违反赛项规定进入赛场，不得同参赛选手、裁判交流，不得传递信息，不得采录竞赛现场数据资料，不得影响竞赛的正常进行。
十七、竞赛直播
本赛项采用全过程、全方位实况摄录的形式，可以设置大屏，同步显示赛场内竞赛状况，以确保比赛的公平、公正、公开。
1.赛前对赛题保密、设备安装调试、软件安装等关键环节进行实况摄录。
2.赛场内布置无盲点录像设备，能实时摄录并播送赛场情况。
3.竞赛直播采用全程摄录的形式，对比赛的开闭幕式、选手签到、抽签、竞赛过程、竞赛结果等各环节在大赛官方网络宣传直播平台中进行实况直播与录制。
4.手工评卷、成绩核算等裁判评分过程进行摄录。
5.本赛项在赛后将制作大赛优秀选手采访、优秀指导教师采访、裁判专家点评和企业人士采访视频资料，扩大宣传范围，弘扬“工匠精神”，提升大赛影响力。
十八、赛项成果
依照《全国职业院校技能大赛制度汇编》的有关要求，赛后赛项执委会向大赛办公室提交大赛成果资源转化方案如下表，半年内完成资源转化工作。
表9 竞赛资源转化一览表
资源名称 表现形式 资源数量 资源要求 完成时间
基本资源 风采展示 赛项宣传片 视频 1 15分钟以上 赛后30天
风采展示片 视频 1 10分钟以上 赛后30天
技能概要 技能介绍 技能要点 评价指标 文本资料 3 电子版资料 赛后60天
教学资源 专业教材 文本资料 1 补充完善 定期再版 赛后90天
拓展资源 案例库 文本资料 1 电子版资料 赛后60天
试题库 文本资料 1 电子版资料 赛后60天
赛后还需加强师资队伍建设，促进资源转化能够在教学中有效应用。2023年大赛完毕后计划进行2期研讨会，以及2期师资培训,培训内容定为信息安全在工作与生活中的应用、系统信息安全实战、网络信息安全实战、数据安全及取证技术、数据中心灾备技术等内容。
表10 竞赛师资培训及研讨会安排一览表
序号 活动名称 计划时间 备注
1 研讨会第1期 2023年7月
2 师资培训第1期 2023年7月
3 师资培训第2期 2023年10月
4 研讨会第2期 2023年12月全国职业院校技能大赛
高等职业教育组
信息安全管理与评估
赛题七
模块一
网络平台搭建与设备安全防护
赛项时间
共计180分钟。
赛项信息
竞赛阶段 任务阶段 竞赛任务 竞赛时间 分值
第一阶段 网络平台搭建与设备安全防护 任务1 网络平台搭建 XX:XX- XX:XX 50
任务2 网络安全设备配置与防护 250
赛项内容
本次大赛，各位选手需要完成三个阶段的任务，其中第一个阶段需要按裁判组专门提供的U盘中的“XXX-答题模板”提交答案。第二、三阶段请根据现场具体题目要求操作。
选手首先需要在U盘的根目录下建立一个名为“GWxx”的文件夹（xx用具体的工位号替代），赛题第一阶段所完成的“XXX-答题模板”放置在文件夹中。
例如：08工位，则需要在U盘根目录下建立“GW08”文件夹，并在“GW08”文件夹下直接放置第一个阶段的所有“XXX-答题模板”文件。
特别说明：只允许在根目录下的“GWxx”文件夹中体现一次工位信息，不允许在其他文件夹名称或文件名称中再次体现工位信息，否则按作弊处理。
赛项环境设置
某集团公司原在北京建立了总部，在南京设立了分公司。总部设有销售、产品、财务、信息技术4个部门，分公司设有销售、产品、财务3个部门，统一进行IP及业务资源的规划和分配，全网采用OSPF动态路由协议和静态路由协议进行互连互通。公司规模在2023年快速发展，业务数据量和公司访问量增长巨大。为了更好管理数据，提供服务，集团决定建立自己的中型数据中心及业务服务平台，以达到快速、可靠交换数据，以及增强业务部署弹性的目的。集团、分公司的网络结构详见拓扑图。其中总公司使用一台SW交换机用于总部核心和终端高速接入，采用一台BC作为总公司因特网出口；分公司采用一台FW防火墙作为因特网出口设备，一台AC作为分公司核心，同时作为集团有线无线智能一体化控制器，通过与AP高性能企业级AP配合实现集团无线覆盖，总部有一台WEB服务器，为了安全考虑总公司部署了一台WAF对服务器进行web防护。在2023年公司进行IPV6网络改造，内部网络采用双栈模式。Ipv6 网络采用ospf V3实现互通。
网络拓扑图
IP地址规划表
设备名称 接口 IP地址 对端设备 接口
防火墙FW ETH0/1-2 20.1.0.1/30（trust1安全域） SW eth1/0/1-2
20.1.1.1/30（untrust1安全域） SW
222.22.1.1/29（untrust） SW
ETH0/3 20.10.28.1/24(DMZ) WAF
Eth0/4-5 20.1.0.13/30 2001:da8:192:168:10:1::1/96 AC Eth1/0/21-22
Loopback1 20.0.0.254/32（trust） Router-id
L2TP Pool 192.168.10.1/26 可用IP数量为20 L2tp VPN地址池
三层交换机SW ETH1/0/4 财务专线 VPN CW AC ETH1/0/4
ETH1/0/5 trunk AC ETH1/0/5
ETH1/0/6 trunk AC ETH1/0/6
VLAN21 ETH1/0/1-2 20.1.0.2/30 FW Eth1/0/1-2
VLAN22 ETH1/0/1-2 20.1.1.2/30 FW Eth1/0/1-2
VLAN 222 ETH1/0/1-2 222.22.1.2/29 FW Eth1/0/1-2
VLAN 24 ETH1/0/24 223.23.1.2/29 BC Eth 5
Vlan 25 Eth 1/0/3 20.1.0.9/30 Ipv6:2001:da8:20:1:0::1/96 BC Eth 1
VLAN 30 ETH1/0/4 20.1.0.5/30 AC 1/0/4 Vlan name CW
VLAN 31 Eth1/0/10-12 10口配置Loopback 20.1.3.1/25 Vlan name CW
VLAN 40 ETH1/0/8-9 192.168.40.1/24 IPV6 2001:DA8:192:168:40::1/96 Vlan name 销售
VLAN 50 ETH1/0/13-14 192.168.50.1/24 IPV6 2001:DA8:192:168:50::1/96 PC3 Vlan name 产品
Vlan 60 Eth1/0/15-16 192.168.60.1/24 IPV6 2001:DA8:192:168:60::1/96 Vlan name 信息
VLAN 100 ETH 1/0/20 需设定 Vlan name AP-Manage
Loopback1 20.0.0.253/32(router-id)
无线控制器AC VLAN 30 ETH1/0/4 20.1.0.6/30 SW Vlan name TO-CW
VLAN 10 Ipv4:需设定 2001:da8:172:16:1::1/96 无线1 Vlan name WIFI-vlan10
VLAN 20 Ipv4:需设定 2001:da8:172:16:2::1/96 无线2 Vlan name WIFI-vlan20
VLAN 31 20.1.3.129/25 Vlan name CW
VLAN 140 ETH1/0/5 172.16.40.1/24 SW 1/0/5 Vlan name 销售
Vlan 150 Eth1/0/13-14 172.16.50.1/24 IPV6 2001:DA8:172:16:60::1/96 Vlan name 产品
Vlan 60 Eth1/0/15-18 192.168.60.2/24 IPV6 2001:DA8:192:168:60::2/96 Vlan name 信息
Vlan 70 Eth1/0/21-22 20.1.0.14/30 2001:da8:192:168:10:1::1/96 FW Eth1/0/4-5
Loopback1 20.1.1.254/24(router-id)
日志服务器BC Eth1 20.1.0.10/30 Ipv6:2001:da8:20:1:0::2/96 SW Eth1/0/3
Eth5 223.23.1.1/29 SW
eth3 192.168.28.1/24 WAF
PPTP-pool 192.168.10.129/26（10个地址）
WEB应用防火墙WAF ETH2 192.168.28.2/24 SERVER
ETH3 FW
AP Eth1 SW（20口）
SERVER 网卡 192.168.28.10/24
第一阶段任务书
任务1：网络平台搭建 （50分）
题号 网络需求
1 根据网络拓扑图所示，按照IP地址参数表，对FW的名称、各接口IP地址进行配置。
2 根据网络拓扑图所示，按照IP地址参数表，对SW的名称进行配置，创建VLAN并将相应接口划入VLAN。
3 根据网络拓扑图所示，按照IP地址参数表，对AC的各接口IP地址进行配置。
4 根据网络拓扑图所示，按照IP地址参数表，对BC的名称、各接口IP地址进行配置。
5 按照IP 地址规划表，对WEB 应用防火墙的名称、各接口IP 地址进行配置。
任务2：网络安全设备配置与防护（250分）
北京总公司和南京分公司有两条裸纤采用了骨干链路配置，做必要的配置，只允许必要的vlan通过，不允许其他vlan信息通过包含vlan1。
SW和AC开启telnet登录功能，telnet登录账户仅包含“***2023”，密码为明文“***2023”，采用telnet方式登录设备时需要输入enable密码，密码设置为明文“12345” 。
北京总公司和南京分公司租用了运营商三条裸光纤，实现内部办公互通。一条裸光纤承载公司财务部门业务，另外两条裸光纤承载其他内部有业务。使用相关技术实现总公司财务段路由表与公司其它业务网段路由表隔离，财务业务位于VPN 实例名称CW 内，总公司财务和分公司财务能够通信，财务部门总公司和分公司之间采用RIP路由实现互相访问。
SW和AC之间启用MSTP，实现网络二层负载均衡和冗余备份，要求如下：无线用户关联实例 1，信息部门关联实例2，名称为SKILLS，修订版本为1，设置AC为根交换机，走5口链路转发、信息部门通过6口链路转发，同时实现链路备份。除了骨干接口，关闭其他接口生成树协议。
总公司产品部门启用端口安全功能，最大安全MAC地址数为20，当超过设定MAC地址数量的最大值，不学习新的MAC、丢弃数据包、发 snmp trap、同时在syslog日志中记录，端口的老化定时器到期后，在老化周期中没有流量的部分表项老化，有流量的部分依旧保留，恢复时间为10分钟；禁止采用访问控制列表，只允许IP主机位为20-50的数据包进行转发；禁止配置访问控制列表，实现端口间二层流量无法互通，组名称FW。
由于总公司出口带宽有限，需要在交换机上对总公司销售部门访问因特网http服务做流量控制，访问http流量最大带宽限制为20M比特/秒，突发值设为4M字节，超过带宽的该网段内的报文一律丢弃。
在SW上配置将8端口收到的源IP为10.0.41.111的帧重定向到9端口，即从8端口收到的源IP为10.0.41.111的帧通过9端口转发出去。
总公司SW交换机模拟因特网交换机，通过某种技术实现本地路由和因特网路由进行隔离，因特网路由实例名internet。
对SW上VLAN60开启以下安全机制：启用环路检测，环路检测的时间间隔为10s，发现环路以后关闭该端口，恢复时间为30分钟； 如私设DHCP服务器关闭该端口;开启防止ARP网关欺骗。
配置使北京公司内网用户通过总公司出口BC访问因特网，分公司内网用户通过分公司出口FW访问因特网，要求总公司销售部门的用户访问因特网的流量往反数据流都要经过防火墙，在通过BC访问因特网;防火墙untrust和trust1开启安全防护，参数采用默认参数。
总部核心交换机上配置 SNMP，引擎 id 分别为 1；创建组 GROUP2023，采用最高安全级别，配置组的读、写视图分别为：SKILLS_R、SKILLS_W；创建认证用户为USER2023，采用aes算法进行加密，密钥为Pass-1234，哈希算法为sha，密钥为Pass-1234；当设备有异常时，需要用本地的环回地址。loopback1发送v3 Trap消息至集团网管服务器20.10.11.99、采用最高安全级别；当财务部门对应的用户接口发生UP DOWN事件时，禁止发送trap消息至上述集团网管服务器。
总公司和分公司今年进行IPv6试点，要求总公司和分公司销售部门用户能够通过IPV6相互访问，IPV6业务通过租用裸纤承载。实现分公司和总公司ipv6业务相互访问；FW、AC与SW之间配置动态路由OSPF V3 使总公司和分公司可以通过IPv6通信。
在总公司核心交换机SW配置IPv6地址，开启路由公告功能，路由器公告的生存期为2小时，确保销售部门的IPv6终端可以通过DHCP SERVER 获取IPv6地址，在SW上开启IPV6 dhcp server功能。
在南京分公司上配置IPv6地址，使用相关特性实现销售部的IPv6终端可自动从网关处获得IPv6无状态地址。
FW、SW、AC、BC之间配置OSPF area 0 开启基于链路的MD5认证，密钥自定义，SW与AC手动配置 INTERNET 默认路由，让总公司和分公司内网用户能够相互访问包含AC上loopback1地址。
分公司销售部门通过防火墙上的DHCP SERVER获取IP地址，server IP地址为20.0.0.254，地址池范围172.16.40.10-172.16.40.100，dns-server 8.8.8.8。
如果SW的11端口的收包速率超过30000则关闭此端口，恢复时间5分钟；为了更好地提高数据转发的性能，SW交换中的数据包大小指定为1600字节；
为实现对防火墙的安全管理，在防火墙FW的Trust安全域开启PING,HTTP，telnet，SNMP功能，Untrust安全域开启SSH、HTTPS功能。
在分部防火墙上配置，分部VLAN业务用户通过防火墙访问Internet时，转换为公网IP： 182.22.1.1/29；保证每一个源IP 产生的所有会话将被映射到同一个固定的IP 地址，当有流量匹配本地址转换规则时产生日志信息，将匹配的日志发送至20.10.28.10 的UDP 2000 端口。
远程移动办公用户通过专线方式接入分公司网络，在防火墙FW上配置，采用L2TP方式实现仅允许对内网信息部门的访问，端口号使用4455，用户名密码均为ABC2023，地址池参见地址表。
分公司部署了一台AC为了便于远程管理，需要把AC的web映射到外网，让外网通过能通过防火墙外网口地址访问AC的web服务，AC地址为loopback地址。
为了安全考虑，无线用户移动性较强，访问因特网时需要在BC上开启web认证使用https方式，采用本地认证，密码账号都为web2023，同一用户名只能在一个客户端登录，设置超时时间为30分钟。
由于分公司到因特网链路带宽比较低，出口只有200M带宽，需要在防火墙配置iQOS，系统中 P2P 总的流量不能超过 100M ，同时限制每用户最大下载带宽为2M，上传为1M，优先保障HTTP应用，为http预留100M带宽。
为净化上网环境，要求在防火墙FW做相关配置，禁止无线用户周一至周五工作时间9：00-18：00的邮件内容中含有“病毒”、“赌博”的内容，且记录日志。
由于总公司无线是通过分公司的无线控制器统一管理，为了防止专线故障导致无线不能使用，总公司和分公司使用互联网作为总公司无线ap和AC相互访问的备份链路。FW和BC之间通过IPSEC技术实现AP管理段与无线AC之间联通，具体要求为采用预共享密码为 ***2023，IKE 阶段 1 采用 DH 组 1、3DES 和 MD5 加密方，IKE 阶段 2 采用 ESP-3DES，MD5。
总公司用户，通过BC访问因特网，BC采用路由方式，在BC上做相关配置，让总公司内网用户（不包含财务）通过ip：183.23.1.1/29访问因特网。
在BC上配置PPTP vpn 让外网用户能够通过PPTP vpn访问总公司SW上内网地址，用户名为GS2023，密码123456。
为了提高分公司出口带宽，尽可能加大分公司AC和出口FW之间带宽。
在BC上开启IPS策略，对分公司内网用户访问外网数据进行IPS防护，保护服务器、客户端和恶意软件检测，检测到攻击后进行拒绝并记录日志。
对分公司内网用户访问外网数据进行防病毒防护，检查协议类型包含HTTP、FTP、POP3、SMTP，文件类型包含exe、bat、vbs、txt，检测到攻击后进行记录日志并阻断。
总公司出口带宽较低，总带宽只有200M，为了防止内网用户使用p2p迅雷下载占用大量带宽需要限制内部员工使用P2P工具下载的流量，最大上下行带宽都为50M，以免P2P流量占用太多的出口网络带宽, 启用阻断记录。
通过BC设置分公司用户在上班时间周一到周五9:00到18:00禁止玩游戏,并启用阻断记录。
限制总公司内网用户访问因特网web视频和即时通信上传最大带宽为10M，启用阻断记录。
BC上开启黑名单告警功能，级别为预警状态，并进行邮件告警和记录日志，发现cpu使用率大于80%，内存使用大于80%时进行邮件告警并记录日志，级别为严重状态。发送邮件地址为123@，接收邮件为133139123456@。
分公司内部有一台网站服务器直连到WAF，地址是192.168.28.10，端口是8080，配置将服务访问日志、WEB防护日志、服务监控日志信息发送syslog日志服务器， IP地址是192.168.28.6，UDP的514端口。
要求能自动识别内网HTTP服务器上的WEB主机，请求方法采用GET、POST方式。
在WAF上针对HTTP服务器进行URL最大个数为10，Cookies最大个数为30，Host最大长度为1024，Accept最大长度64等参数校验设置，设置严重级别为中级，超出校验数值阻断并发送邮件告警。
为防止www.网站资源被其他网站利用，通过WAF对资源链接进行保护，通过Referer方式检测，设置严重级别为中级，一经发现阻断并发送邮件告警。
为更好对服务器192.168.28.10进行防护，防止信息泄露，禁止美国地区访问服务器。
在WAF上配置基础防御功能，建立特征规则“HTTP防御”，开启SQL注入、XSS攻击、信息泄露等防御功能，要求针对这些攻击阻断并保存日志发送邮件告警。
在WAF上配置定期每周六1点对服务器的http://192.168.28.10/进行最大深度的漏洞扫描测试。
为了对分公司用户访问因特网行为进行审计和记录，需要把AC连接防火墙的流量镜像到8口。
由于公司IP地址为统一规划，原有无线网段IP地址为 172.16.0.0/22,为了避免地址浪费需要对ip地址进行重新分配；要求如下：未来公司预计部署ap 150台；办公无线用户vlan 10预计300人，来宾用户vlan20以及不超过50人。
BC上配置DHCP，管理VLAN 为VLAN100,为AP 下发管理地址，网段中第一个可用地址为AP 管理地址，最后一个可用地址为网关地址，AP通过DHCP opion 43注册，AC地址为loopback1地址；为无线用户VLAN10,20下发IP 地址，最后一个可用地址为网关；AP上线需要采用MAC地址认证。
AC配置dhcpv4和dhcpv6，分别为总公司产品段vlan50分配地址；ipv4地址池名称分别为POOLv4-50，ipv6 地址池名称分别为 POOLv6-50；ipv6地址池用网络前缀表示；排除网关；DNS分别为 114.114.114.114 和 2400:3200::1；为 PC1 保留地址 192.168.50.9 和 2001:da8:192:168:50::9， SW上中继地址为AC loopback1 地址。
在NETWORK下配置SSID，需求如下：NETWORK 1下设置SSID ***2023，VLAN10，加密模式为wpa-personal,其口令为20232023。
NETWORK 2下设置SSID GUEST，VLAN20不进行认证加密,做相应配置隐藏该SSID； NETWORK 2开启内置portal+本地认证的认证方式，账号为test密码为test2023。
配置SSID GUEST每天早上0点到6点禁止终端接入; GUSET最多接入10个用户，并对GUEST网络进行流控，上行1M，下行2M；配置所有无线接入用户相互隔离。
配置当AP上线，如果AC中储存的Image版本和AP的Image版本号不同时，会触发AP自动升级；配置AP发送向无线终端表明AP存在的帧时间间隔为2秒；配置AP失败状态超时时间及探测到的客户端状态超时时间都为2小时；配置AP在脱离AC管理时依然可以正常工作。
为防止外部人员蹭网，现需在设置信号值低于50%的终端禁止连接无线信号；为防止非法AP假冒合法SSID，开启AP威胁检测功能。
全国职业院校技能大赛
高等职业教育组
信息安全管理与评估
模块二
网络安全事件响应、数字取证调查、应用程序安全
竞赛项目赛题
本文件为信息安全管理与评估项目竞赛-第二阶段样题，内容包括：网络安全事件响应、数字取证调查、应用程序安全。
本次比赛时间为180分钟。
介绍
竞赛有固定的开始和结束时间，参赛队伍必须决定如何有效的分配时间。请认真阅读以下指引！
（1）当竞赛结束，离开时请不要关机；
（2）所有配置应当在重启后有效；
（3）请不要修改实体机的配置和虚拟机本身的硬件设置。
所需的设备、机械、装置和材料
所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完成。
评分方案
本阶段总分数为300分。
项目和任务描述
随着网络和信息化水平的不断发展，网络安全事件也层出不穷，网络恶意代码传播、信息窃取、信息篡改、远程控制等各种网络攻击行为已严重威胁到信息系统的机密性、完整性和可用性。因此，对抗网络攻击，组织安全事件应急响应，采集电子证据等技术工作是网络安全防护的重要部分。现在，A集团已遭受来自不明组织的非法恶意攻击，您的团队需要帮助A集团追踪此网络攻击来源，分析恶意攻击攻击行为的证据线索，找出操作系统和应用程序中的漏洞或者恶意代码，帮助其巩固网络安全防线。
本模块主要分为以下几个部分：
网络安全事件响应
数字取证调查
应用程序安全
本部分的所有工作任务素材或环境均已放置在指定的计算机上，参赛选手完成后，填写在电脑桌面上“信息安全管理与评估竞赛-答题卷”中，竞赛结束时每组将答案整合到一份PDF文档提交。选手的电脑中已经安装好 Office 软件并提供必要的软件工具。
工作任务
第一部分 网络安全事件响应
任务1：Windows服务器应急响应（70分）
A集团的Windows服务器被黑客入侵，该服务器的Web应用系统被上传恶意软件，系统文件被恶意软件破坏，您的团队需要帮助该公司追踪此网络攻击的来源，在服务器上进行全面的检查，包括日志信息、进程信息、系统文件、恶意文件等，从而分析黑客的攻击行为，发现系统中的漏洞，并对发现的漏洞进行修复。
本任务素材清单：Windows服务器虚拟机。
受攻击的Server服务器已整体打包成虚拟机文件保存，请选手自行导入分析。
注意：Server服务器的基本配置参见附录，若题目中未明确规定，请使用默认配置。
请按要求完成该部分的工作任务。
任务1：Windows server服务器应急响应
序号 任务内容 答案
1 请提交攻击者攻击成功的第一时间，格式：YY:MM:DD hh:mm:ss
2 请提交攻击者的浏览器版本
3 请提交攻击者目录扫描所使用的工具名称
4 找到攻击者写入的恶意后门文件，提交文件名（完整路径）
5 找到攻击者隐藏在正常web应用代码中的恶意代码，提交该文件名（完整路径）
6 请提交内存中可疑进程的PID
7 请提交攻击者执行过几次修改文件访问权限的命令
8 请指出可疑进程采用的自动启动的方式
第二部分 数字取证调查
任务2 ：基于Linux的内存取证（40分）
A集团某服务器系统感染恶意程序，导致系统关键文件被破坏，请分析A集团提供的系统镜像和内存镜像，找到系统镜像中的恶意软件，分析恶意软件行为。
本任务素材清单：存储镜像、内存镜像。
请按要求完成该部分的工作任务。
任务2：基于Linux的内存取证
序号 任务内容 答案
1 请提交用户目录下压缩包的解压密码
2 请提交root账户的登录密码
3 请指出攻击者通过什么命令实现提权操作
4 请指出内存中恶意进程的PID
5 请指出恶意进程加密文件的文件类型
任务3：通信数据分析取证（USB）（50分）
A集团的网络安全监控系统发现恶意份子正在实施高级可持续攻击（APT），并抓取了部分可疑流量包。请您根据捕捉到的流量包，搜寻出网络攻击线索，分解出隐藏的恶意程序，并分析恶意程序的行为。
本任务素材清单：捕获的通信数据文件。
请按要求完成该部分的工作任务。
任务3：通信数据分析取证（USB）
序号 任务内容 答案
1 请提交攻击者一共上传了几个文件
2 请提交攻击者上传的木马文件的MD5值
3 请写出攻击者运行木马文件的命令（含参数）
4 攻击者获取主机权限之后，进行了回连操作，请提交回连的IP地址
任务4： 基于MacOS计算机单机取证（60分）
对给定取证镜像文件进行分析，搜寻证据关键字（线索关键字为“evidence 1”、“evidence 2”、……、“evidence 10”，有文本形式也有图片形式，不区分大小写），请提取和固定比赛要求的标的证据文件，并按样例的格式要求填写相关信息，证据文件在总文件数中所占比例不低于15%。取证的信息可能隐藏在正常的、已删除的或受损的文件中，您可能需要运用编码转换技术、加解密技术、隐写技术、数据恢复技术，还需要熟悉常用的文件格式（如办公文档、压缩文档、图片等）。
本任务素材清单：取证镜像文件。
请按要求完成该部分的工作任务。
任务4：基于MacOS计算机单机取证
证据编号 在取证镜像中的文件名 镜像中原文件Hash码（MD5，不区分大小写）
evidence 1 提交文件名正确得分
evidence 2 提交文件名正确得分
evidence 3 提交文件名正确得分
evidence 4 提交文件名正确得分
evidence 5 提交文件名正确得分
evidence 6 提交文件名正确得分
evidence 7 提交文件名正确得分
evidence 8 提交文件名正确得分
evidence 9 提交文件名正确得分
evidence 10 提交文件名正确得分
第三部分 应用程序安全
任务5：Android恶意程序分析（50分）
A集团发现其发布的Android移动应用程序文件遭到非法篡改，您的团队需要协助A集团对该恶意程序样本进行逆向分析、对其攻击/破坏的行为进行调查取证。
本任务素材清单：Android的apk文件。
请按要求完成该部分的工作任务。
任务5：Android恶意程序分析
序号 任务内容 答案
1 请提交恶意应用回传数据的url地址
2 请提交恶意应用保存数据文件名称（含路径）
3 请提交恶意应用解密数据的密钥
4 请描述恶意应用的行为
任务6：PHP代码审计（30分）
A集团发现其发布的web应用程序中被黑客种植了webshell，文件遭到非法篡改，您的团队需要协助A集团对该恶意脚本程序样本进行分析、对其攻击/破坏的行为进行调查取证。
本任务素材清单：PHP文件。
请按要求完成该部分的工作任务。
任务6：PHP代码审计
序号 任务内容 答案
1 请提交存在安全漏洞的代码行
2 请指出安全漏洞的名称
3 请修改该代码行使其变得安全
全国职业院校技能大赛
高等职业教育组
信息安全管理与评估
模块三
网络安全渗透、理论技能与职业素养
竞赛项目赛题
本文件为信息安全管理与评估项目竞赛-第三阶段样题，内容包括：网络安全渗透、理论技能与职业素养。
本次比赛时间为180分钟。
介绍
网络安全渗透的目标是作为一名网络安全专业人员在一个模拟的网络环境中实现网络安全渗透测试工作。
本模块要求参赛者作为攻击方，运用所学的信息收集、漏洞发现、漏洞利用等技术完成对网络的渗透测试；并且能够通过各种信息安全相关技术分析获取存在的flag值。
所需的设施设备和材料
所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完成。
评分方案
本测试项目模块分数为400分，其中，网络安全渗透300分，理论技能与职业素养100分。
项目和任务描述
在A集团的网络中存在几台服务器，各服务器存在着不同业务服务。在网络中存在着一定网络安全隐患，请通过信息收集、漏洞挖掘等渗透测试技术，完成指定项目的渗透测试，在测试中获取flag值。网络环境参考样例请查看附录A。
本模块所使用到的渗透测试技术包含但不限于如下技术领域：
数据库攻击
枚举攻击
权限提升攻击
基于应用系统的攻击
基于操作系统的攻击
逆向分析
密码学分析
隐写分析
所有设备和服务器的IP地址请查看现场提供的设备列表。
特别提醒
通过找到正确的flag值来获取得分，flag统一格式如下所示：
flag{}
这种格式在某些环境中可能被隐藏甚至混淆。所以，注意一些敏感信息并利用工具把它找出来。
注：部分flag可能非统一格式，若存在此情况将会在题目描述中明确指出flag格式，请注意审题。
工作任务
商城购物系统（45分）
任务编号 任务描述 答案 分值
任务一 请对商城购物系统进行黑盒测试，利用漏洞找到flag1，并将flag1提交。flag1格式flag1{}
任务二 请对商城购物系统进行黑盒测试，利用漏洞找到flag2，并将flag2提交。flag2格式flag2{}
任务三 请对商城购物系统进行黑盒测试，利用漏洞找到flag3，并将flag3提交。flag3格式flag3{}
企业云盘系统（30分）
任务编号 任务描述 答案 分值
任务四 请对企业云盘系统进行黑盒测试，利用漏洞找到flag1，并将flag1提交。flag1格式flag1{}
任务五 请对企业云盘系统进行黑盒测试，利用漏洞找到flag2，并将flag2提交。flag2格式flag2{}
FTP服务器（165分）
任务编号 任务描述 答案 分值
任务六 请获取FTP服务器上task6目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务七 请获取FTP服务器上task7目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务八 请获取FTP服务器上task8目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务九 请获取FTP服务器上task9目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务十 请获取FTP服务器上task10目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务十一 请获取FTP服务器上task11目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务十二 请获取FTP服务器上task12目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务十三 请获取FTP服务器上task13目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
存储服务器（30分）
任务编号 任务描述 答案 分值
任务十四 存储服务器10000端口存在漏洞，获取FTP服务器上task14目录下的文件进行分析，请利用漏洞找到flag，并将flag提交。flag格式flag{}
大数据服务器（30分）
任务编号 任务描述 答案 分值
任务十五 大数据服务器10001端口存在漏洞，获取FTP服务器上task15目录下的文件进行分析，请利用漏洞找到flag，并将flag提交。flag格式flag{}
附录A
图1 网络拓扑结构图
理论技能与职业素养（100分）
2023年全国职业院校技能大赛（高等职业教育组）
“信息安全管理与评估”测试题（样题）
【注意事项】
1.理论测试前请仔细阅读测试系统使用说明文档，按提供的账号和密码登录测试系统进行测试，账号只限1人登录。
2.该部分答题时长包含在第三阶段比赛时长内，请在临近竞赛结束前提交。
3.参赛团队可根据自身情况，可选择1-3名参赛选手进行作答，团队内部可以交流，但不得影响其他参赛队。
一、 单选题 （每题2分，共35题，共70分）
1、脏数据是指（ ）。
A、 不健康的数据
B、 缺失的数据
C、 多余的数据
D、 被撤销的事务曾写入库中的数据
2、滥发各种广告和虚假信息传播计算机病毒等信息道德与信息安全失范行为是从以下（ ）角度出发来定义。
A、信息获取角度
B、信息处理角度
C、信息传播角度
D、以上都不是
3、检查点能减少数据库完全恢复时所必须执行的日志，提高数据库恢复速度。下列有关检查点的说法，错误的是（ ） 。
A、 检查点记录的内容包括建立检查点时正在执行的事务清单和这些事务最近一个日志记录的地址
B、 在检查点建立的同时，数据库管理系统会将当前数据缓冲区中的所有数据记录写入数据库中
C、 数据库管理员应定时手动建立检查点，保证数据库系统出现故障时可以快速恢复数据库数据
D、 使用检查点进行恢复时需要从"重新开始文件"中找到最后一个检查点记录在日志文件中的地址
4、在数据库系统中,死锁属于（ ） 。
A、 系统故障
B、 事务故障
C、 介质保障
D、 程序故障
5、下列选项哪列不属于网络安全机制？（ ）
A、 加密机制
B、 数据签名机制
C、 解密机制
D、 认证机制
6、SQL中的ROLLBACK语句的主要作用是（ ） 。
A、 终止程序
B、 中断程序
C、 事务提交
D、 事务回退
7、在强制存取控制机制中，当主体的许可证级别等于客体的密级时，主体可以对客体进行如下操作（ ） 。
A、 读取
B、 写入
C、 不可操作
D、 读取、写入
8、端口扫描的原理是向目标主机的________端口发送探测数据包，并记录目标主机的响应。（ ）
A、 FTP
B、 UDP
C、 TCP/IP
D、 WWW
9、计算复杂性是密码分析技术中分析计算量和研究破译密码的固有难度的基础，算法的运行时间为难解的是？（ ）
A、 O(1)
B、 O(n)
C、 O(n2)
D、 O(2^n)
10、一个基于特征的IDS应用程序需要下列选项中的哪一项来对一个攻击做出反应？（ ）
A、 正确配置的DNS
B、 正确配置的规则
C、 特征库
D、 日志
11、如果想在文件test.txt中追加内容，应该使用下列哪个选项？（ ）
A、 a=open('test.txt',"a")
B、 a=open('test.txt',"r")
C、 a=open('test.txt',"d")
D、 a=open('test.txt',"w")
12、关于IP提供的服务，下列哪种说法是正确的？（ ）
A、 IP提供不可靠的数据投递服务，因此数据包投递不能受到保障
B、 IP提供不可靠的数据投递服务，因此它可以随意丢弃报文
C、 IP提供可靠的数据投递服务，因此数据报投递可以受到保障
D、 IP提供可靠的数据投递服务，因此它不能随意丢弃报文
13、下列哪一项攻击防火墙不能发现而入侵检测系统可以发现？（ ）
A、 拒绝服务攻击
B、 端口扫描
C、 蠕虫病毒攻击
D、 局域网内非法登陆
14、m-序列本身是适宜的伪随机序列产生器，但只有在（ ） 下，破译者才不能破解这个伪随机序列。
A、 唯密文攻击
B、 已知明文攻击
C、 选择明文攻击
D、 选择密文攻击
15、MD5 的压缩函数中， 512bit 的消息被分为 16 块输入到步函数，每一块输入（ ） 次。
A、 3
B、 4
C、 5
D、 8
16、在RSA算法中，取P=3，q=11,e=3，则d等于多少？（ ）
A、 33
B、 20
C、 14
D、 7
17、包过滤型防火墙工作在 （ ）
A、 会话层
B、 应用层
C、 网络层
D、 数据链路层
18、关于TCP协议的描述中，错误的是？（ ）
A、 提供全双工服务
B、 采用重发机制实现流量控制
C、 采用三次握手确保连接建立
D、 采用自适应方法确定重发前等待时间
19、入侵检测的目的是（ ）
A、 实现内外网隔离与访问控制
B、 提供实时的检测及采取相应的防护手段，阻止黑客的入侵
C、 记录用户使用计算机网络系统进行所有活动的过程
D、 预防、检测和消除病毒
20、print 'aaa' > 'Aaa'将返回？（ ）
A、 TRUE
B、 FALSE
C、 SyntaxError: invalid syntax
D、 1
21、已知各变量的类型说明如下: int k,AB; unsigned long w= 5; double x=1.42; 则以下不符合C语言语法的表达式是？（ ）
A、 x%(一3)
B、 w+=-2
C、 k=(a=2,b=3,a+b)
D、 a+= a一=(b=4)*(a=3)
22、Str='heiheihei' print str[3:]将输出？（ ）
A、 hei
B、 heihei
C、 eih
D、 ihe
23、关于并行数据库，下列说法错误的是（ ） 。
A、 层次结构可以分为两层，顶层是无共享结构，底层是共享内存或共享磁盘结构
B、 无共享结构通过最小化共享资源来降低资源竞争，因此具有很高的可扩展性，适合于OLTP应用
C、 并行数据库系统经常通过负载均衡的方法来提高数据库系统的业务吞吐率
D、 并行数据库系统的主要目的是实现场地自治和数据全局透明共享
24、\x32\x2E\x68\x74\x6D此加密是几进制加密？（ ）
A、 二进制
B、 八进制
C、 十进制
D、 十六进制
25、假设系统中有n个用户，他们使用对称加密体制实现保密通信，那么系统中共需要管理（ n(n-1)/2）个密钥，每个用户需要保存（ ） 个密钥。
A、 n-1
B、 2n
C、 Cn2
D、 n！
26、Python中哪个占位符表示字符串数据？（ ）
A、 %s
B、 %S
C、 %d
D、 %b
27、Linux系统中，格式化分区通常使用那个命令？（ ）
A、 du
B、 fdisk
C、 netstat
D、 lsmod
28、禁止目录浏览，配置方法是？（ ）
A、 去掉根目录的Indexes属性
B、 改变服务端口号
C、 修改目录名称
D、 将目录设置为只读属性
29、能显示TCP和UDP连接信息的命令是？（ ）
A、 netstat -s
B、 netstat -e
C、 netstat -r
D、 netstat -a
30、以下关于VI的说法正确的是？（ ）
A、 VI和VIM没有任何关系
B、 使用VI打开一个文件后可以立即编辑文件内容
C、 VI编辑器一次只能编辑一个文件
D、 以上说法全是错误的
31、RIP路由协议有RIP v1 和RIP v2两个版本，下面关于这两个版本的说法错误的是（ ） 。
A、 RIP v1和RIP v2都具有水平分割功能
B、 RIP v1 是有类路由协议，RIP v2是无类路由协议
C、 RIP v1 和 RIP v2 都是以跳数作为度量值
D、 RIP v1 规定跳数的最大值为15，16跳视为不可达；而RIP v2无此限制
32、适合文件加密，而且有少量错误时不会造成同步失败，是软件加密的最好选择,这种分组密码的操作模式是指？（ ）
A、 电子密码本模式
B、 密码分组链接模式
C、 密码反馈模式
D、 输出反馈模式
33、生日攻击是针对下面哪种密码算法的分析方法？（ ）
A、 DES
B、 AES
C、 RC4
D、 MD5
34、VIM命令中，用于删除光标所在行的命令是？（ ）
A、 dd
B、 dw
C、 de
D、 db
35、按目前的计算能力，RC4算法的密钥长度至少应为（ ） 才能保证安全强度。
A、 任意位
B、 64位
C、 128位
D、 256位
二、 多选题 （每题3分，共10题，共30分）
1、以下属于多表代换的密码是？（ ）
A、 Playfair
B、 Polybius
C、 Vigenere
D、 Hill密码
2、安全业务指安全防护措施，包括（ ） 。
A、 保密业务
B、 认证业务
C、 完整性业务
D、 不可否认业务
3、在SQL Server中数据库用户的权限分为以下几个级别（ ） 。
A、 服务器级别
B、 数据库级别
C、 数据库对象级别
D、 数据库对象字段权限
4、SQL Server 中的预定义服务器角色有（ ） 。
A、 Sysadmin
B、 Serveradmm
C、 Setupadmin
D、 Securityadmin
5、netwox工具拥有以下哪些功能？（ ）
A、 嗅探
B、 SQL注入
C、 欺骗
D、 地址转换
6、关于yum命令，说法正确的有哪些？（ ）
A、 -y 自动应答yes
B、 -e 静默执行
C、 -t 延迟安装
D、 -R[分钟] 设置等待时间
7、关于类的说法，下面哪些是错误的？（ ）
A、 私有方法和私有变量只能在类的内部使用
B、 一个类只能创建一个实例
C、 两个不同的类中的方法不能重名
D、 创建类的实例时，传入的变量类型要和类中定义的一致
8、以下Linux命令中，跟网络管理相关的命令有哪些？（ ）
A、 ifconfig
B、 df
C、 lsmod
D、 netstat
9、VPN 组网中常用的站点到站点接入方式是()。（ ）
A、 L2TP
B、 IPSEC
C、 GRE+IPSEC
D、 .L2TP+IPSEC
10、APTECH公司的管理员使用DPM 2007对Exchange Server 2007中的邮件进行备份还原，当通过Exchange Server 2007中的恢复存储组进行还原时，下列选项中说法正确的是（ ） 。
A、 可以对单个用户的邮箱数据进行还原
B、 只能够对整个存储组的所有用户邮箱数据进行还原
C、 其他存储组的用户邮箱不可用
D、 需要停止Microsoft Exchange Information Store服务全国职业院校技能大赛
高等职业教育组
信息安全管理与评估
赛题二
模块一
网络平台搭建与设备安全防护
赛项时间
共计180分钟。
赛项信息
竞赛阶段 任务阶段 竞赛任务 竞赛时间 分值
第一阶段 网络平台搭建与设备安全防护 任务1 网络平台搭建 XX:XX- XX:XX 50
任务2 网络安全设备配置与防护 250
赛项内容
本次大赛，各位选手需要完成三个阶段的任务，其中第一个阶段需要按裁判组专门提供的U盘中的“XXX-答题模板”提交答案。第二、三阶段请根据现场具体题目要求操作。
选手首先需要在U盘的根目录下建立一个名为“GWxx”的文件夹（xx用具体的工位号替代），赛题第一阶段所完成的“XXX-答题模板”放置在文件夹中。
例如：08工位，则需要在U盘根目录下建立“GW08”文件夹，并在“GW08”文件夹下直接放置第一个阶段的所有“XXX-答题模板”文件。
特别说明：只允许在根目录下的“GWxx”文件夹中体现一次工位信息，不允许在其他文件夹名称或文件名称中再次体现工位信息，否则按作弊处理。
赛项环境设置
网络拓扑图
IP地址规划表
设备名称 接口 IP地址 对端设备 接口
防火墙FW ETH0/1-2 10.10.255.1/30（trust安全域） 2001:DA8:10:10:255::1/127 SW eth1/0/1-2
10.10.255.5/30（trust安全域） 2001:DA8:10:10:255::5/127 SW
ETH0/3 20.23.1.1/30（untrust安全域） 223.20.23.1/29(nat-pool) 2001:DA8:223:20:23::1/64 SW Eth1/0/23
Loopback1 10.0.0.254/32（trust） Router-id
SSL Pool 192.168.10.1/26 可用IP数量为20 SSL VPN地址池
三层交换机 SW ETH1/0/4 专线 AC ETH1/0/4
ETH1/0/5 专线 AC ETH1/0/5
VLAN21 ETH1/0/1-2 10.10.255.2/30 2001:DA8:10:10:255::2/127 FW Vlan name TO-FW1
VLAN22 ETH1/0/1-2 10.10.255.6/30 2001:DA8:10:10:255::6/127 FW Vlan name TO-FW2
VLAN 23 ETH1/0/23 20.23.1.2/30 2001:DA8:223:20:23::2/127 FW Vlan name TO-internet
VLAN 24 ETH1/0/24 223.20.23.10/29 2001:DA8:223:20:23::10/127 BC Vlan name TO-BC
VLAN 10 172.16.10.1/24 无线1 Vlan name WIFI-vlan10
VLAN 20 172.16.20.1/24 无线2 Vlan name WIFI-vlan20
VLAN 30 ETH1/0/6-7 192.168.30.1/24 2001:DA8:192:168:30:1::1/96 Vlan name XZ
VLAN 31 Eth1/0/8-9 192.168.31.1/24 2001:DA8:192:168:31:1::1/96 Vlan name sales
VLAN 40 ETH1/0/10-11 192.168.40.1/24 2001:DA8:192:168:40:1::1/96 Vlan name CW
Vlan 50 Eth1/0/13-14 192.168.50.1/24 2001:DA8:192:168:50:1::1/96 Vlan name manage
Vlan1001 10.10.255.9/30 2001:DA8:10:10:255::9/127 TO-AC1
Vlan1002 10.10.255.13/30 2001:DA8:10:10:255::13/127 TO-AC2
VLAN 1000 ETH 1/0/20 172.16.100.1/24 Vlan name AP-Manage
Loopback1 10.0.0.253/32(router-id)
无线控制器 AC VLAN 10 192.168.10.1/24 2001:DA8:192:168:10:1::1/96 Vlan name TO-CW
VLAN 20 192.168.20.1/24 2001:DA8:192:168:20:1::1/96 Vlan name CW
VLAN 1001 10.10.255.10/30 2001:DA8:10:10:255::10/127
VLAN 1002 10.10.255.14/30 2001:DA8:10:10:255::14/127
Vlan 60 Eth1/0/13-14 192.168.60.1/24 2001:DA8:192:168:60:1::1/96 Vlan name sales
Vlan 61 Eth1/0/15-18 192.168.61.1/24 2001:DA8:192:168:61:1::1/96 Vlan name BG
Vlan 100 Eth1/0/21 10.10.255.17/30 2001:DA8:10:10:255::17/127 BC eth2 Vlan name TO-BC
VLAN 2000 ETH 1/0/19 192.168.100.1/24 沙盒
Loopback1 10.1.1.254/32(router-id)
日志服务器 BC eth2 10.10.255.18/30 2001:DA8:10:10:255::18/127 AC
ETH3 223.20.23.9/29 2001:DA8:223:20:23::9/127 SW
PPTP-pool 192.168.10.129/26（10个地址）
WEB应用防火墙WAF ETH2 192.168.50.2/24 PC3
ETH3 SWEth1/0/13
AP Eth1 SW（20口）
PC1 网卡 eth1/0/7 SW
沙盒 192.168.100.10/24 AC ETH1/0/19
第一阶段任务书
任务1：网络平台搭建 （50分）
题号 网络需求
1 根据网络拓扑图所示，按照IP地址参数表，对FW的名称、各接口IP地址进行配置。
2 根据网络拓扑图所示，按照IP地址参数表，对SW的名称进行配置，创建VLAN并将相应接口划入VLAN。
3 根据网络拓扑图所示，按照IP地址参数表，对AC的各接口IP地址进行配置。
4 根据网络拓扑图所示，按照IP地址参数表，对BC的名称、各接口IP地址进行配置。
5 按照IP 地址规划表，对WEB 应用防火墙的名称、各接口IP 地址进行配置。
任务2：网络安全设备配置与防护（250分）
SW和AC开启SSH登录功能，SSH登录账户仅包含“USER-SSH”，密码为明文“123456”，采用SSH方式登录设备时需要输入enable密码，密码设置为明文“enable” 。
应网监要求，需要对上海总公司用户访问因特网行为进行记录，需要在交换机上做相关配置，把访问因特网的所有数据镜像到交换机1/0/18口便于对用户上网行为进行记录。
尽可能加大上海总公司核心和出口之间带宽，端口模式采用lacp模式。
上海总公司和南昌分公司租用了运营商两条裸光纤，实现内部办公互通，要求两条链路互为备份，同时实现流量负载均衡，流量负载模式基于Dst-src-mac模式。
上海总公司和南昌分公司链路接口只允许必要的vlan通过，禁止其它vlan包括vlan1二层流量通过。
为防止非法用户接入网络，需要在核心交互上开启DOT1X认证，对vlan40用户接入网络进行认证，radius-server 为192.168.100.200。
为了便于管理网络，能够让网管软件实现自动拓朴连线，在总公司核心和分公司AC上开启某功能，让设备可以向网络中其他节点公告自身的存在，并保存各个邻近设备的发现信息。
ARP 扫描是一种常见的网络攻击方式，攻击源将会产生大量的 ARP 报文在网段内广播，这些广播报文极大的消耗了网络的带宽资源，为了防止该攻击对网络造成影响，需要在总公司交换机上开启防扫描功能，对每端口设置阈值为40，超过将关闭该端口20分钟后自动恢复，设置和分公司互联接口不检查。
总公司SW交换机模拟因特网交换机，通过某种技术实现本地路由和因特网路由进行隔离，因特网路由实例名internet。
对SW上VLAN40开启以下安全机制：
业务内部终端相互二层隔离，启用环路检测，环路检测的时间间隔为10s，发现环路以后关闭该端口，恢复时间为30分钟； 如私设DHCP服务器关闭该端口;开启防止ARP网关欺骗攻击。
配置使上海公司核心交换机VLAN31业务的用户访问因特网数据流经过10.10.255.1返回数据通过10.10.255.5。要求有测试结果。
为响应国家号召，公司实行IPV6网络升级改造，公司采用双栈模式，同时运行ipv4和ipv6，IPV6网络运行OSPF V3协议，实现内部ipv6全网互联互通，要求总公司和分公司之间路由优先走vlan1001，vlan1002为备份。
在总公司核心交换机SW配置IPv6地址，开启路由公告功能，路由器公告的生存期为2小时，确保销售部门的IPv6终端可以通过DHCP SERVER 获取IPv6地址，在SW上开启IPV6 dhcp server功能，ipv6地址范围2001:da8:192:168:31:1::2-2001:da8:192:168:31:1::100。
在南昌分公司上配置IPv6地址，使用相关特性实现销售部的IPv6终端可自动从网关处获得IPv6无状态地址。
FW、SW、AC之间配置OSPF，实现ipv4网络互通。要求如下：区域为 0 同时开启基于链路的MD5认证，密钥自定义，传播访问INTERNET 默认路由，分公司内网用户能够与总公司相互访问包含loopback地址；分公司AC和BC之间运行静态路由。
总公司销售部门通过防火墙上的DHCP SERVER获取IP地址，server IP地址为10.0.0.254，地址池范围192.168.31.10-192.168.31.100，dns-server 8.8.8.8。
总公司交换机上开启dhcp server 为无线用户分配ip地址，地址租约时间为10小时，dns-server 为114.114.114.114，前20个地址不参与分配,第一个地址为网关地址。
如果SW的11端口的收包速率超过30000则关闭此端口，恢复时间5分钟；为了更好地提高数据转发的性能，SW交换中的数据包大小指定为1600字节。
交换机的端口 10不希望用户使用 ftp，也不允许外网 ping 此网段的任何一台主机。
交换机vlan 30 端口连接的网段IPV6 的地址为 2001:da8:192:168:30:1::0/96 网段，管理员不希望除了2001:da8:192:168:30:1:1::0/112网段用户访问外网。
为实现对防火墙的安全管理，在防火墙FW的Trust安全域开启PING,HTTP，telnet，SNMP功能，Untrust安全域开启ping、SSH、HTTPS功能。
在总部防火墙上配置，总部VLAN业务用户通过防火墙访问Internet时，复用公网IP： 223.20.23.1/29，保证每一个源IP 产生的所有会话将被映射到同一个固定的IP 地址，当有流量匹配本地址转换规则时产生日志信息，将匹配的日志发送至192.168.100.10 的UDP 2000 端口。
远程移动办公用户通过专线方式接入总部网络，在防火墙FW上配置，采用SSL方式实现仅允许对内网VLAN 30的访问，端口号使用4455，用户名密码均为ABC2023，地址池参见地址表。
总公司部署了一台WEB服务器ip为192.168.50.10，为外网用户提供web服务，要求外网用户能访问服务器上的web服务（端口80）和远程管理服务器（端口3389），外网用户只能通过223.20.23.2外网地址访问服务器web服务和3389端口。
为了安全考虑，需要对内网销售部门用户访问因特网进行实名认证，要求在防火墙上开启web认证使用https方式，采用本地认证，密码账号都为web2023，同一用户名只能在一个客户端登录，设置超时时间为30分钟。
由于总公司到因特网链路带宽比较低，出口只有200M带宽，需要在防火墙配置iQOS，系统中 P2P 总的流量不能超过 100M ，同时限制每用户最大下载带宽为4M，上传为2M，http访问总带宽为50M。
财务部门和公司账务有关，为了安全考虑，禁止财务部门访问因特网，要求在防火墙FW做相关配置
由于总公司销售和分公司销售部门使用的是同一套CRM系统，为了防止专线故障导致系统不能使用，总公司和分公司使用互联网作为总公司销售和分公司销售相互访问的备份链路。FW和BC之间通过IPSEC技术实现总公司销售段与分公司销售之间联通，具体要求为采用预共享密码为 ***2023，IKE 阶段 1 采用 DH 组 1、3DES 和 MD5 加密方，IKE 阶段 2 采用 ESP-3DES，MD5。
分公司用户，通过BC访问因特网，BC采用路由方式，在BC上做相关配置，让分公司内网用户通过BC外网口ip访问因特网。
在BC上配置PPTP vpn 让外网用户能够通过PPTP vpn访问分公司AC上内网资源，用户名为GS01，密码GS0123。
分公司部署了一台安全攻防平台，用来公司安全攻防演练，为了方便远程办公用户访问安全攻防平台，在BC上配置相关功能，让外网用户能通过BC的外网口接口IP，访问内部攻防平台服务器，攻防平台服务器地址为192.168.100.10端口：8080。
在BC上配置url过滤策略，禁止分公司内网用户在周一到周五的早上8点到晚上18点访问外网www.。
对分公司内网用户访问外网进行网页关键字过滤，网页内容包含“暴力”“赌博”的禁止访问
为了安全考虑，无线用户移动性较强，访问因特网时需要实名认证，在BC上开启web认证使用http方式，采用本地认证，密码账号都为web2023。
DOS攻击/DDoS 攻击通常是以消耗服务器端资源、迫使服务停止响应为目标，通过伪造超过服务器处理能力的请求数据造成服务器响应阻塞，从而使正常的用户请求得不到应答，以实现其攻击目的，在分公司内网区域开起DOS攻击防护，阻止内网的机器中毒或使用攻击工具发起的 DOS 攻击，检测到攻击进行阻断。
分公司BC上配置NAT64，实现分公司内网ipv6用户通过BC出口ipv4地址访问因特网。
分公司内网攻防平台，对Internet提供服务，在BC上做相关配置让外网IPV6用户能够通过BC外网口IPV6地址访问攻防平台的web服务端口号为80。
BC上开启病毒防护功能，无线用户在外网下载exe、rar、bat文件时对其进行杀毒检测，防止病毒进入内网，协议流量选择HTTP杀毒、FTP杀毒、POP3、SMTP。
公司内部有一台网站服务器直连到WAF，地址是192.168.50.10，端口是8080，配置将访问日志、攻击日志、防篡改日志信息发送syslog日志服务器， IP地址是192.168.100.6，UDP的514端口。
编辑防护策略，在“专家规则”中定义HTTP请求体的最大长度为256，防止缓冲区溢出攻击。
WAF上配置开启爬虫防护功能，防护规则名称为http爬虫，url为www.，自动阻止该行为；封禁时间为3600秒。
WAF上配置，开启防盗链，名称为http盗链，保护url为www.，检测方式referer+cookie，处理方式为阻断，并记录日志。
WAF上配置开启IDP防护策略，采用最高级别防护，出现攻击对攻击进行阻断。
WAF上配置开启DDOS防护策略，防护等级高级并记录日志。
在公司总部的WAF上配置，内部web服务器进行防护安全防护，防护策略名称为web_p，记录访问日志，防护规则为扫描防护规则采用增强规则、HTTP协议校验规则采用专家规则、特征防护规则采用专家规则、开启爬虫防护、开启防盗链、开启敏感信息检测
AC上配置DHCP，管理VLAN 为VLAN1000,为AP 下发管理地址，AP通过DHCP opion 43注册，AC地址为loopback1地址。
在NETWORK下配置SSID，需求如下：
NETWORK 1下设置SSID SKILL-WIFI，VLAN10，加密模式为wpa-peSWonal,其口令为12345678，开启隔离功能。
NETWORK 2下设置SSID GUEST，VLAN20不进行认证加密,做相应配置隐藏该SSID，NETWORK 2开启内置portal+本地认证的认证方式，账号为XXX密码为test2023。
为了合理利用AP性能，需要在AP上开启5G优先配置5G优先功能的客户端的信号强度门限为40
通过配置防止多AP和AC相连时过多的安全认证连接而消耗CPU资源，检测到AP与AC在10分钟内建立连接5次就不再允许继续连接，两小时后恢复正常；GUSET最多接入50个用户，并对GUEST网络进行流控，上行1M，下行2M。
全国职业院校技能大赛
高等职业教育组
信息安全管理与评估
模块二
网络安全事件响应、数字取证调查、应用程序安全
竞赛项目赛题
本文件为信息安全管理与评估项目竞赛-第二阶段样题，内容包括：网络安全事件响应、数字取证调查、应用程序安全。
本次比赛时间为180分钟。
介绍
竞赛有固定的开始和结束时间，参赛队伍必须决定如何有效的分配时间。请认真阅读以下指引！
（1）当竞赛结束，离开时请不要关机；
（2）所有配置应当在重启后有效；
（3）请不要修改实体机的配置和虚拟机本身的硬件设置。
所需的设备、机械、装置和材料
所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完成。
评分方案
本测试项目模块分数为300分。
项目和任务描述
随着网络和信息化水平的不断发展，网络安全事件也层出不穷，网络恶意代码传播、信息窃取、信息篡改、远程控制等各种网络攻击行为已严重威胁到信息系统的机密性、完整性和可用性。因此，对抗网络攻击，组织安全事件应急响应，采集电子证据等技术工作是网络安全防护的重要部分。现在，A集团已遭受来自不明组织的非法恶意攻击，您的团队需要帮助A集团追踪此网络攻击来源，分析恶意攻击攻击行为的证据线索，找出操作系统和应用程序中的漏洞或者恶意代码，帮助其巩固网络安全防线。
本模块主要分为以下几个部分：
网络安全事件响应
数字取证调查
应用程序安全
本部分的所有工作任务素材或环境均已放置在指定的计算机上，参赛选手完成后，填写在电脑桌面上“信息安全管理与评估竞赛-答题卷”中，竞赛结束时每组将答案整合到一份PDF文档提交。选手的电脑中已经安装好 Office 软件并提供必要的软件工具。
工作任务
第一部分 网络安全事件响应
任务1：Linux服务器应急响应（70分）
A集团的Linux服务器被黑客入侵，该服务器的Web应用系统被上传恶意软件，系统文件被恶意软件破坏，您的团队需要帮助该公司追踪此网络攻击的来源，在服务器上进行全面的检查，包括日志信息、进程信息、系统文件、恶意文件等，从而分析黑客的攻击行为，发现系统中的漏洞，并对发现的漏洞进行修复。
本任务素材清单：Linux服务器虚拟机
受攻击的Server服务器已整体打包成虚拟机文件保存，请选手自行导入分析。
注意：Server服务器的基本配置参见附录，若题目中未明确规定，请使用默认配置。
请按要求完成该部分的工作任务。
任务1：Linux服务器应急响应
序号 任务内容 答案
1 请提交攻击者的IP地址
2 请提交攻击者使用的操作系统
3 请提交攻击者进入网站后台的密码
4 请提交攻击者首次攻击成功的时间，格式：DD/MM/YY:hh:mm:ss
5 请提交攻击者上传的恶意文件名（含路径）
6 请提交攻击者写入的恶意后门文件的连接密码
7 请提交攻击者创建的用户账户名称
8 请提交恶意进程的名称
第二部分 数字取证调查
任务2 ：基于windows的内存取证（40分）
A集团某服务器系统感染恶意程序，导致系统关键文件被破坏，请分析A集团提供的系统镜像和内存镜像，找到系统镜像中的恶意软件，分析恶意软件行为。
本任务素材清单：存储镜像、内存镜像。
请按要求完成该部分的工作任务。
任务2：基于windows的内存取证
序号 任务内容 答案
1 请提交内存中恶意进程的名称
2 请提交恶意进程写入的文件名称（不含路径）
3 请提交admin账户的登录密码
4 请提交攻击者创建的账户名称
5 请提交在桌面某文件中隐藏的flag信息，格式：flag{...}
任务3：通信数据分析取证（TPC/IP）（50分）
A集团的网络安全监控系统发现恶意份子正在实施高级可持续攻击（APT），并抓取了部分可疑通信数据。请您根据捕捉到的通信数据，搜寻出网络攻击线索，分解出隐藏的恶意程序，并分析恶意程序的行为。
本任务素材清单：捕获的通信数据文件。
请按要求完成该部分的工作任务。
任务3：通信数据分析取证（TPC/IP）
序号 任务内容 答案
1 请指出攻击者使用什么协议传输了敏感信息
2 请提交两个攻击者用于收信息的二级域名
3 请提交攻击者传输的敏感信息key1，格式：key1{xxx}
4 请提交攻击者获取的flag，格式：flag{xxx}
任务4： 基于Linux计算机单机取证（60分）
对给定取证镜像文件进行分析，搜寻证据关键字（线索关键字为“evidence 1”、“evidence 2”、……、“evidence 10”，有文本形式也有图片形式，不区分大小写），请提取和固定比赛要求的标的证据文件，并按样例的格式要求填写相关信息，证据文件在总文件数中所占比例不低于15%。取证的信息可能隐藏在正常的、已删除的或受损的文件中，您可能需要运用编码转换技术、加解密技术、隐写技术、数据恢复技术，还需要熟悉常用的文件格式（如办公文档、压缩文档、图片等）。
本任务素材清单：取证镜像文件。
请按要求完成该部分的工作任务。
任务4：基于Linux计算机单机取证
证据编号 在取证镜像中的文件名 镜像中原文件Hash码（MD5，不区分大小写）
evidence 1
evidence 2
evidence 3
evidence 4
evidence 5
evidence 6
evidence 7
evidence 8
evidence 9
evidence 10
第三部分 应用程序安全
任务5：Windows恶意程序分析（50分）
A集团发现其发布的应用程序文件遭到非法篡改，您的团队需要协助A集团对该恶意程序样本进行逆向分析、对其攻击/破坏的行为进行调查取证。
本任务素材清单：Windows恶意程序
请按要求完成该部分的工作任务。
任务5：Windows恶意程序分析
序号 任务内容 答案
1 请指出恶意程序的壳名称
2 请提交恶意程序反向连接的IP地址
3 请提交恶意程序用于解密数据的函数名称
4 请提交恶意程序反弹shell的命令（含参数）
任务6：C语言代码审计（30分）
代码审计是指对源代码进行检查，寻找代码存在的脆弱性，这是一项需要多方面技能的技术。作为一项软件安全检查工作，代码安全审查是非常重要的一部分，因为大部分代码从语法和语义上来说是正确的，但存在着可能被利用的安全漏洞，你必须依赖你的知识和经验来完成这项工作。
本任务素材清单：C源文件
请按要求完成该部分的工作任务。
任务6：C语言代码审计
序号 任务内容 答案
1 请指出存在安全漏洞的代码行
2 请指出可能利用该漏洞的威胁名称
3 请提出加固修改建议
全国职业院校技能大赛
高等职业教育组
信息安全管理与评估
模块三
网络安全渗透、理论技能与职业素养
竞赛项目赛题
本文件为信息安全管理与评估项目竞赛-第三阶段样题，内容包括：网络安全渗透、理论技能与职业素养。
介绍
网络安全渗透的目标是作为一名网络安全专业人员在一个模拟的网络环境中实现网络安全渗透测试工作。
本模块要求参赛者作为攻击方，运用所学的信息收集、漏洞发现、漏洞利用等技术完成对网络的渗透测试；并且能够通过各种信息安全相关技术分析获取存在的flag值。
所需的设施设备和材料
所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完成。
评分方案
本测试项目模块分数为400分，其中，网络安全渗透300分，理论技能与职业素养100分。
项目和任务描述
在A集团的网络中存在几台服务器，各服务器存在着不同业务服务。在网络中存在着一定网络安全隐患，请通过信息收集、漏洞挖掘等渗透测试技术，完成指定项目的渗透测试，在测试中获取flag值。网络环境参考样例请查看附录A。
本模块所使用到的渗透测试技术包含但不限于如下技术领域：
数据库攻击
枚举攻击
权限提升攻击
基于应用系统的攻击
基于操作系统的攻击
逆向分析
密码学分析
隐写分析
所有设备和服务器的IP地址请查看现场提供的设备列表。
特别提醒
通过找到正确的flag值来获取得分，flag统一格式如下所示：
flag{}
这种格式在某些环境中可能被隐藏甚至混淆。所以，注意一些敏感信息并利用工具把它找出来。
注：部分flag可能非统一格式，若存在此情况将会在题目描述中明确指出flag格式，请注意审题。
工作任务
一、人力资源管理系统（45分）
任务编号 任务描述 答案 分值
任务一 请对人力资源管理系统进行黑盒测试，利用漏洞找到flag1，并将flag1提交。flag1格式flag1{}
任务二 请对人力资源管理系统进行黑盒测试，利用漏洞找到flag2，并将flag2提交。flag2格式flag2{}
任务三 请对人力资源管理系统进行黑盒测试，利用漏洞找到flag3，并将flag3提交。flag3格式flag3{}
邮件系统（30分）
任务编号 任务描述 答案 分值
任务四 请对邮件系统进行黑盒测试，利用漏洞找到flag1，并将flag1提交。flag1格式flag1{}
任务五 请对邮件系统进行黑盒测试，利用漏洞找到flag2，并将flag2提交。flag2格式flag2{}
FTP服务器（165分）
任务编号 任务描述 答案 分值
任务六 请获取FTP服务器上task6目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务七 请获取FTP服务器上task7目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务八 请获取FTP服务器上task8目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务九 请获取FTP服务器上task9目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务十 请获取FTP服务器上task10目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务十一 请获取FTP服务器上task11目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务十二 请获取FTP服务器上task12目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务十三 请获取FTP服务器上task13目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
认证服务器（30分）
任务编号 任务描述 答案 分值
任务十四 认证服务器10000端口存在漏洞，获取FTP服务器上task14目录下的文件进行分析，请利用漏洞找到flag，并将flag提交。flag格式flag{}
运维服务器（30分）
任务编号 任务描述 答案 分值
任务十五 运维服务器10001端口存在漏洞，获取FTP服务器上task15目录下的文件进行分析，请利用漏洞找到flag，并将flag提交。flag格式flag{}
附录A
图1 网络拓扑结构图
理论技能与职业素养（100分）
2023年全国职业院校技能大赛（高等职业教育组）
“信息安全管理与评估”测试题（样题）
【注意事项】
1.理论测试前请仔细阅读测试系统使用说明文档，按提供的账号和密码登录测试系统进行测试，账号只限1人登录。
2.该部分答题时长包含在第三阶段比赛时长内，请在临近竞赛结束前提交。
3.参赛团队可根据自身情况，可选择1-3名参赛选手进行作答，团队内部可以交流，但不得影响其他参赛队。
一、 单选题 （每题2分，共35题，共70分）
1、《中华人民共和国网络安全法》已由中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议通过，自（ ）起施行。
A、 2019年6月1日
B、 2018年6月1日
C、 2017年6月1日
D、 2016年6月1日
2、下列( )行为属于信息道德与信息安全失范行为。
A、上网
B、朋友圈恶作剧
C、网络诈骗
D、网上购物
3、设在RSA 的公钥密码体制中，公钥为（e,n）=（13，35），则私钥d=？（ ）。
A、 11
B、 13
C、 15
D、 17
4、关于函数，下面哪个说法是错误的？（ ）
A、 函数必须有参数
B、 函数可以有多个函数
C、 函数可以调用本身
D、 函数内可以定义其他函数
5、以下哪一项描述不正确？（ ）
A、 ARP是地址解析协议
B、 TCP/IP传输层协议有TCP和UDP
C、 UDP协议提供的是可靠传输
D、 IP协议位于TCP/IP网际层
6、下列选项中不是 Hydra工具中的-e参数的值是？（ ）
A、 o
B、 n
C、 s
D、 r
7、网络监听（嗅探）的这种攻击形式破坏了下列哪一项内容？（ ）
A、 网络信息的抗抵赖性
B、 网络信息的保密性
C、 网络服务的可用性
D、 网络信息的完整性
8、下面程序的运行结果是: ＃i nclude <stdio. h> main() { int x,i; for(j-1;i<=100;i++) {x=i; if(++x%2==0) if(++x%3==0) if(++x%7==0) printf("%d",x); } } 。（ ）
A、 26 68
B、 28 70
C、 39 81
D、 42 84
9、IPSEC包括报文验证头协议AH协议号（）和封装安全载荷协议ESP协议号。（ ）
A、 51 50
B、 50 51
C、 47 48
D、 48 47
10、在远程管理Linux服务器时，以下(）方式采用加密的数据传输。（ ）
A、 rsh
B、 telnet
C、 ssh
D、 rlogin
11、在wireshark中下列表达式能捕获设置了PSH位的TCP数据包的是？（ ）
A、 tcp[13]&4==4
B、 tcp[13]&2==2
C、 tcp[13]&16==16
D、 tcp[13]&8==8
12、什么是数据库安全的第一道保障（ ）。
A、 操作系统的安全
B、 数据库管理系统层次
C、 网络系统的安全
D、 数据库管理员
13、以下不属于防火墙作用的是（ ）。
A、 过滤信息
B、 管理进程
C、 清除病毒
D、 审计监测
14、在数据库系统中,死锁属于（ ）。
A、 系统故障
B、 事务故障
C、 介质保障
D、 程序故障
15、哪个关键字可以在python中定义函数？（ ）
A、 dcf
B、 def
C、 class
D、 public
16、下面哪些选项可以让输出的字符串换行？（ ）
A、 print '''im Happy'''
B、 print 'im \nhappy'
C、 print 'im /nhappy'
D、 print ''im happy''
17、小李在使用nmap对目标网络进行扫描时发现，某一个主机开放了25和110端口，此主机最有可能是什么？（ ）
A、 文件服务器
B、 邮件服务器
C、 WEB服务器
D、 DNS服务器
18、手动脱压缩壳一般是用下列哪种方法？（ ）
A、 使用upx 脱壳
B、 使用winhex 工具脱壳
C、 使用fi扫描后，用unaspack脱壳
D、 确定加壳类型后，ollyice 调试脱壳
19、下面不是 Oracle 数据库提供的审计形式的是（ ）。
A、 备份审计
B、 语句审计
C、 特权审计
D、 模式对象设计
20、如果想在类中创建私有方法，下面哪个命名是正确的？（ ）
A、 _add_one
B、 add_one
C、 __add_one
D、 add_one__
21、POP3服务器使用的监听端口是？（ ）
A、 TCP的25端口
B、 TCP的110端口
C、 UDP的25端口
D、 UDP的110端口
22、下列哪个工具可以进行web程序指纹识别？（ ）
A、 nmap
B、 openVAs
C、 御剑
D、 whatweb
23、在需求分析阶段规定好不同用户所允许访问的视图，这属于数据库应用系统的（ ）。
A、 功能需求分析
B、 性能需求分析
C、 存储需求分析
D、 安全需求分析
24、假如你向一台远程主机发送特定的数据包，却不想远程主机响应你的数据包，这时你可以使用以下哪一种类型的进攻手段？（ ）
A、 缓冲区溢出
B、 暴力攻击
C、 地址欺骗
D、 拒绝服务
25、下面那个名称不可以作为自己定义的函数的合法名称？（ ）
A、 print
B、 len
C、 error
D、 Haha
26、以下关于正则表达式，说法错误的是？（ ）
A、 ‘root’表示匹配包含root字符串的内容
B、 ‘.’表示匹配任意字符
C、 [0-9]表示匹配数字
D、 ‘^root’表示取反
27、哪个关键词可以在python中进行处理错误操作？（ ）
A、 try
B、 catch
C、 finderror
D、 error
28、VIM退出命令中，能强制保存并退出的是？（ ）
A、 x
B、 wq
C、 q
D、 wq!
29、下列不属于网络安全CIA需求属性的是哪一项？（ ）
A、 机密性
B、 可抵赖性
C、 完整性
D、 可用性
30、在一台Cisco路由器R1上进行了如下ACL配置: R1（config）#access-list 1 permit any R1（config）#access-list 1 deny 192.168.21.1 0.0.0.0 R1（config）#interface f0/0 R1（config）#ip access-group 1 in 以上设置可以实现在路由器R1的F0/0接口的（ ）功能。
A、 拒绝来自主机192.168.21.1的数据包
B、 只允许来自主机192.168.21.1的数据包
C、 允许所有报文通过
D、 拒绝所有报文转发
31、在RHEL5系统中，使用lvextend为逻辑卷扩容以后，还需要进行（ ）操作以便系统能够识别新的卷大小。
A、 Lvscan
B、 Partprobe
C、 Reboot
D、 resize2fs
32、Linux软件管理rpm命令，说法不正确的是？（ ）
A、 -v 显示详细信息
B、 -h: 以#显示进度；每个#表示2%
C、 -q PACKAGE_NAME：查询指定的包是否已经安装
D、 -e 升级安装包
33、SYN Flood属于？（ ）
A、 拒绝服务攻击
B、 缓存区溢出攻击
C、 操作系统漏洞攻击
D、 社会工程学攻击
34、差分分析是针对下面那种密码算法的分析方法？（ ）
A、 DES
B、 AES
C、 RC4
D、 MD5
35、按目前的计算能力，RC4算法的密钥长度至少应为（ ）才能保证安全强度。
A、 任意位
B、 64位
C、 128位
D、 256位
二、 多选题 （共10题，30分）
1、下面标准可用于评估数据库的安全级别的有（ ）。
A、 TCSEC
B、 IFTSEC
C、 CC DBMS.PP
D、 GB17859-1999E.TD
2、Bash编程中，常见的循环有？（ ）
A、 foreach
B、 while
C、 for
D、 until
3、关于yum命令，说法正确的有哪些？（ ）
A、 -y 自动应答yes
B、 -e 静默执行
C、 -t 延迟安装
D、 -R[分钟] 设置等待时间
4、源代码泄露可能让攻击者分析出哪些其它漏洞？（ ）
A、 SQL注入
B、 命令执行
C、 文件上传
D、 XSS
5、下列关于SQL Server 2008中guest用户的说法，正确的是（ ）。
A、 guest用户没有对应的登录账户名
B、 通过授权语句可以启用数据库中的guest用户
C、 所有数据库用户都继承该数据库中guest用户的权限
D、 任何SQL Server登录账户都可以访问启用了guest用户的数据库
6、隐藏Apache服务器信息的方法包括？（ ）
A、 隐藏HTTP头部信息
B、 禁止显示错误信息
C、 自定义错误页面，消除服务器的相关信息
D、 修改服务IP地址
7、在RHEL5系统中，以下（ ）操作将在分区/dev/sdb7上创建EXT3文件系统。
A、 mkfs –t ext3 /dev/sdb7
B、 mkfs.ext3 /dev/sdb7
C、 fdisk –t ext3 /dev/sdb7
D、 format /dev/sdb7 –t ext3
8、IKE的主要功能包括( )
A、 建立IPSec安全联盟
B、 防御重放攻击
C、 数据源验证
D、 自动协商交换密钥
9、利用Metasploit进行缓冲区溢出渗透的基本步骤包括（ ）。
A、 选择利用的漏洞类型
B、 选择meterpreter或者shell 类型的payload
C、 设置渗透目标IP、本机IP地址和监听端口号
D、 选择合适的目标类型
10、以下Linux命令中，跟目录及文件基本操作相关的命令有哪些？（ ）
A、 cd
B、 touch
C、 rm
D、 userdel全国职业院校技能大赛
高等职业教育组
信息安全管理与评估
赛题九
模块一
网络平台搭建与设备安全防护
赛项时间
共计180分钟。
赛项信息
竞赛阶段 任务阶段 竞赛任务 竞赛时间 分值
第一阶段 网络平台搭建与设备安全防护 任务1 网络平台搭建 XX:XX- XX:XX 50
任务2 网络安全设备配置与防护 250
赛项内容
本次大赛，各位选手需要完成三个阶段的任务，其中第一个阶段需要按裁判组专门提供的U盘中的“XXX-答题模板”提交答案。第二、三阶段请根据现场具体题目要求操作。
选手首先需要在U盘的根目录下建立一个名为“GWxx”的文件夹（xx用具体的工位号替代），赛题第一阶段所完成的“XXX-答题模板”放置在文件夹中。
例如：08工位，则需要在U盘根目录下建立“GW08”文件夹，并在“GW08”文件夹下直接放置第一个阶段的所有“XXX-答题模板”文件。
特别说明：只允许在根目录下的“GWxx”文件夹中体现一次工位信息，不允许在其他文件夹名称或文件名称中再次体现工位信息，否则按作弊处理。
赛项环境设置
某集团公司原在北京建立了总部，在南京设立了分公司。总部设有销售、产品、财务、信息技术4个部门，分公司设有销售、产品、财务3个部门，统一进行IP及业务资源的规划和分配，全网采用OSPF动态路由协议和静态路由协议进行互连互通。公司规模在2023年快速发展，业务数据量和公司访问量增长巨大。为了更好管理数据，提供服务，集团决定建立自己的中型数据中心及业务服务平台，以达到快速、可靠交换数据，以及增强业务部署弹性的目的。集团、分公司的网络结构详见拓扑图。其中总公司使用一台SW交换机用于总部核心和终端高速接入，采用一台BC作为总公司因特网出口；分公司采用一台FW防火墙作为因特网出口设备，一台AC作为分公司核心，同时作为集团有线无线智能一体化控制器，通过与AP高性能企业级AP配合实现集团无线覆盖，总部有一台WEB服务器，为了安全考虑总公司部署了一台WAF对服务器进行web防护。在2023年公司进行IPV6网络改造，内部网络采用双栈模式。Ipv6 网络采用ospf V3实现互通。
网络拓扑图
IP地址规划表
设备名称 接口 IP地址 对端设备 接口
防火墙FW ETH0/1-2 20.1.0.1/30（trust1安全域） SW eth1/0/1-2
20.1.1.1/30（untrust1安全域） SW
222.22.1.1/29（untrust） SW
ETH0/3 20.10.28.1/24(DMZ) WAF
Eth0/4-5 20.1.0.13/30 2001:da8:192:168:10:1::1/96 AC Eth1/0/21-22
Loopback1 20.0.0.254/32（trust） Router-id
L2TP Pool 192.168.10.1/26 可用IP数量为20 L2tp VPN地址池
三层交换机SW ETH1/0/4 财务专线 VPN CW AC ETH1/0/4
ETH1/0/5 trunk AC ETH1/0/5
ETH1/0/6 trunk AC ETH1/0/6
VLAN21 ETH1/0/1-2 20.1.0.2/30 FW Eth1/0/1-2
VLAN22 ETH1/0/1-2 20.1.1.2/30 FW Eth1/0/1-2
VLAN 222 ETH1/0/1-2 222.22.1.2/29 FW Eth1/0/1-2
VLAN 24 ETH1/0/24 223.23.1.2/29 BC Eth 5
Vlan 25 Eth 1/0/3 20.1.0.9/30 Ipv6:2001:da8:20:1:0::1/96 BC Eth 1
VLAN 30 ETH1/0/4 20.1.0.5/30 AC 1/0/4 Vlan name CW
VLAN 31 Eth1/0/10-12 10口配置Loopback 20.1.3.1/25 Vlan name CW
VLAN 40 ETH1/0/8-9 192.168.40.1/24 IPV6 2001:DA8:192:168:40::1/96 Vlan name 销售
VLAN 50 ETH1/0/13-14 192.168.50.1/24 IPV6 2001:DA8:192:168:50::1/96 PC3 Vlan name 产品
Vlan 60 Eth1/0/15-16 192.168.60.1/24 IPV6 2001:DA8:192:168:60::1/96 Vlan name 信息
VLAN 100 ETH 1/0/20 需设定 Vlan name AP-Manage
Loopback1 20.0.0.253/32(router-id)
无线控制器AC VLAN 30 ETH1/0/4 20.1.0.6/30 SW Vlan name TO-CW
VLAN 10 Ipv4:需设定 2001:da8:172:16:1::1/96 无线1 Vlan name WIFI-vlan10
VLAN 20 Ipv4:需设定 2001:da8:172:16:2::1/96 无线2 Vlan name WIFI-vlan20
VLAN 31 20.1.3.129/25 Vlan name CW
VLAN 140 ETH1/0/5 172.16.40.1/24 SW 1/0/5 Vlan name 销售
Vlan 150 Eth1/0/13-14 172.16.50.1/24 IPV6 2001:DA8:172:16:60::1/96 Vlan name 产品
Vlan 60 Eth1/0/15-18 192.168.60.2/24 IPV6 2001:DA8:192:168:60::2/96 Vlan name 信息
Vlan 70 Eth1/0/21-22 20.1.0.14/30 2001:da8:192:168:10:1::1/96 FW Eth1/0/4-5
Loopback1 20.1.1.254/24(router-id)
日志服务器BC Eth1 20.1.0.10/30 Ipv6:2001:da8:20:1:0::2/96 SW Eth1/0/3
Eth5 223.23.1.1/29 SW
eth3 192.168.28.1/24 WAF
PPTP-pool 192.168.10.129/26（10个地址）
WEB应用防火墙WAF ETH2 192.168.28.2/24 SERVER
ETH3 FW
AP Eth1 SW（20口）
SERVER 网卡 192.168.28.10/24
第一阶段任务书
任务1：网络平台搭建 （50分）
题号 网络需求
1 根据网络拓扑图所示，按照IP地址参数表，对FW的名称、各接口IP地址进行配置。
2 根据网络拓扑图所示，按照IP地址参数表，对SW的名称进行配置，创建VLAN并将相应接口划入VLAN。
3 根据网络拓扑图所示，按照IP地址参数表，对AC的各接口IP地址进行配置。
4 根据网络拓扑图所示，按照IP地址参数表，对BC的名称、各接口IP地址进行配置。
5 按照IP 地址规划表，对WEB 应用防火墙的名称、各接口IP 地址进行配置。
任务2：网络安全设备配置与防护（250分）
北京总公司和南京分公司有两条裸纤采用了骨干链路配置，做必要的配置，只允许必要的vlan通过，不允许其他vlan信息通过包含vlan1。
SW和AC开启telnet登录功能，telnet登录账户仅包含“***2023”，密码为明文“***2023”，采用telnet方式登录设备时需要输入enable密码，密码设置为明文“12345” 。
北京总公司和南京分公司租用了运营商三条裸光纤，实现内部办公互通。一条裸光纤承载公司财务部门业务，另外两条裸光纤承载其他内部有业务。使用相关技术实现总公司财务段路由表与公司其它业务网段路由表隔离，财务业务位于VPN 实例名称CW 内，总公司财务和分公司财务能够通信，财务部门总公司和分公司之间采用RIP路由实现互相访问。
SW和AC之间启用MSTP，实现网络二层负载均衡和冗余备份，要求如下：无线用户关联实例 1，信息部门关联实例2，名称为SKILLS，修订版本为1，设置AC为根交换机，走5口链路转发、信息部门通过6口链路转发，同时实现链路备份。除了骨干接口，关闭其他接口生成树协议。
总公司产品部门启用端口安全功能，最大安全MAC地址数为20，当超过设定MAC地址数量的最大值，不学习新的MAC、丢弃数据包、发 snmp trap、同时在syslog日志中记录，端口的老化定时器到期后，在老化周期中没有流量的部分表项老化，有流量的部分依旧保留，恢复时间为10分钟；禁止采用访问控制列表，只允许IP主机位为20-50的数据包进行转发；禁止配置访问控制列表，实现端口间二层流量无法互通，组名称FW。
由于总公司出口带宽有限，需要在交换机上对总公司销售部门访问因特网http服务做流量控制，访问http流量最大带宽限制为20M比特/秒，突发值设为4M字节，超过带宽的该网段内的报文一律丢弃。
在SW上配置将8端口收到的源IP为10.0.41.111的帧重定向到9端口，即从8端口收到的源IP为10.0.41.111的帧通过9端口转发出去。
总公司SW交换机模拟因特网交换机，通过某种技术实现本地路由和因特网路由进行隔离，因特网路由实例名internet。
对SW上VLAN60开启以下安全机制：
启用环路检测，环路检测的时间间隔为10s，发现环路以后关闭该端口，恢复时间为30分钟； 如私设DHCP服务器关闭该端口;开启防止ARP网关欺骗；
配置使北京公司内网用户通过总公司出口BC访问因特网，分公司内网用户通过分公司出口FW访问因特网，要求总公司销售部门的用户访问因特网的流量往反数据流都要经过防火墙，在通过BC访问因特网;防火墙untrust和trust1开启安全防护，参数采用默认参数。
总部核心交换机上配置 SNMP，引擎 id 分别为 1；创建组 GROUP2023，采用最高安全级别，配置组的读、写视图分别为：SKILLS_R、SKILLS_W；创建认证用户为USER2023，采用aes算法进行加密，密钥为Pass-1234，哈希算法为sha，密钥为Pass-1234；当设备有异常时，需要用本地的环回地址loopback1发送v3 Trap消息至集团网管服务器20.10.11.99、采用最高安全级别；当财务部门对应的用户接口发生UP DOWN事件时，禁止发送trap消息至上述集团网管服务器。
总公司和分公司今年进行IPv6试点，要求总公司和分公司销售部门用户能够通过IPV6相互访问，IPV6业务通过租用裸纤承载。实现分公司和总公司ipv6业务相互访问；FW、AC与SW之间配置动态路由OSPF V3 使总公司和分公司可以通过IPv6通信
在总公司核心交换机SW配置IPv6地址，开启路由公告功能，路由器公告的生存期为2小时，确保销售部门的IPv6终端可以通过DHCP SERVER 获取IPv6地址，在SW上开启IPV6 dhcp server功能。
在南京分公司上配置IPv6地址，使用相关特性实现销售部的IPv6终端可自动从网关处获得IPv6无状态地址
FW、SW、AC、BC之间配置OSPF area 0 开启基于链路的MD5认证，密钥自定义，SW与AC手动配置 INTERNET 默认路由，让总公司和分公司内网用户能够相互访问包含AC上loopback1地址。
分公司销售部门通过防火墙上的DHCP SERVER获取IP地址，server IP地址为20.0.0.254，地址池范围172.16.40.10-172.16.40.100，dns-server 8.8.8.8。
如果SW的11端口的收包速率超过30000则关闭此端口，恢复时间5分钟；为了更好地提高数据转发的性能，SW交换中的数据包大小指定为1600字节；
为实现对防火墙的安全管理，在防火墙FW的Trust安全域开启PING,HTTP，telnet，SNMP功能，Untrust安全域开启SSH、HTTPS功能;
在分部防火墙上配置，分部VLAN业务用户通过防火墙访问Internet时，转换为公网IP： 182.22.1.1/29；保证每一个源IP 产生的所有会话将被映射到同一个固定的IP 地址，当有流量匹配本地址转换规则时产生日志信息，将匹配的日志发送至20.10.28.10 的UDP 2000 端口；
远程移动办公用户通过专线方式接入分公司网络，在防火墙FW上配置，采用L2TP方式实现仅允许对内网信息部门的访问，端口号使用4455，用户名密码均为ABC2023，地址池参见地址表；
分公司部署了一台AC为了便于远程管理，需要把AC的web映射到外网，让外网通过能通过防火墙外网口地址访问AC的web服务，AC地址为loopback地址。
为了安全考虑，无线用户移动性较强，访问因特网时需要在BC上开启web认证使用https方式，采用本地认证，密码账号都为web2023，同一用户名只能在一个客户端登录，设置超时时间为30分钟。
由于分公司到因特网链路带宽比较低，出口只有200M带宽，需要在防火墙配置iQOS，系统中 P2P 总的流量不能超过 100M ，同时限制每用户最大下载带宽为2M，上传为1M，优先保障HTTP应用，为http预留100M带宽。
为净化上网环境，要求在防火墙FW做相关配置，禁止无线用户周一至周五工作时间9：00-18：00的邮件内容中含有“病毒”、“赌博”的内容，且记录日志；
由于总公司无线是通过分公司的无线控制器统一管理，为了防止专线故障导致无线不能使用，总公司和分公司使用互联网作为总公司无线ap和AC相互访问的备份链路。FW和BC之间通过IPSEC技术实现AP管理段与无线AC之间联通，具体要求为采用预共享密码为 ***2023，IKE 阶段 1 采用 DH 组 1、3DES 和 MD5 加密方，IKE 阶段 2 采用 ESP-3DES，MD5。
总公司用户，通过BC访问因特网，BC采用路由方式，在BC上做相关配置，让总公司内网用户（不包含财务）通过ip：183.23.1.1/29访问因特网。
在BC上配置PPTP vpn 让外网用户能够通过PPTP vpn访问总公司SW上内网地址，用户名为GS2023，密码123456。
为了提高分公司出口带宽，尽可能加大分公司AC和出口FW之间带宽。
在BC上开启IPS策略，对分公司内网用户访问外网数据进行IPS防护，保护服务器、客户端和恶意软件检测，检测到攻击后进行拒绝并记录日志。
对分公司内网用户访问外网数据进行防病毒防护，检查协议类型包含HTTP、FTP、POP3、SMTP，文件类型包含exe、bat、vbs、txt，检测到攻击后进行记录日志并阻断。
总公司出口带宽较低，总带宽只有200M，为了防止内网用户使用p2p迅雷下载占用大量带宽需要限制内部员工使用P2P工具下载的流量，最大上下行带宽都为50M，以免P2P流量占用太多的出口网络带宽, 启用阻断记录。
通过BC设置分公司用户在上班时间周一到周五9:00到18:00禁止玩游戏,并启用阻断记录。
限制总公司内网用户访问因特网web视频和即时通信上传最大带宽为10M，启用阻断记录；
BC上开启黑名单告警功能，级别为预警状态，并进行邮件告警和记录日志，发现cpu使用率大于80%，内存使用大于80%时进行邮件告警并记录日志，级别为严重状态。发送邮件地址为123@，接收邮件为133139123456@。
分公司内部有一台网站服务器直连到WAF，地址是192.168.28.10，端口是8080，配置将服务访问日志、WEB防护日志、服务监控日志信息发送syslog日志服务器， IP地址是192.168.28.6，UDP的514端口;
要求能自动识别内网HTTP服务器上的WEB主机，请求方法采用GET、POST方式。
在WAF上针对HTTP服务器进行URL最大个数为10，Cookies最大个数为30，Host最大长度为1024，Accept最大长度64等参数校验设置，设置严重级别为中级，超出校验数值阻断并发送邮件告警;
为防止www.网站资源被其他网站利用，通过WAF对资源链接进行保护，通过Referer方式检测，设置严重级别为中级，一经发现阻断并发送邮件告警;
为更好对服务器192.168.28.10进行防护，防止信息泄露，禁止美国地区访问服务器;
在WAF上配置基础防御功能，建立特征规则“HTTP防御”，开启SQL注入、XSS攻击、信息泄露等防御功能，要求针对这些攻击阻断并保存日志发送邮件告警;
在WAF上配置定期每周六1点对服务器的http://192.168.28.10/进行最大深度的漏洞扫描测试;
为了对分公司用户访问因特网行为进行审计和记录，需要把AC连接防火墙的流量镜像到8口。
由于公司IP地址为统一规划，原有无线网段IP地址为 172.16.0.0/22,为了避免地址浪费需要对ip地址进行重新分配；要求如下：未来公司预计部署ap 150台；办公无线用户vlan 10预计300人，来宾用户vlan20以及不超过50人；
BC上配置DHCP，管理VLAN 为VLAN100,为AP 下发管理地址，网段中第一个可用地址为AP 管理地址，最后一个可用地址为网关地址，AP通过DHCP opion 43注册，AC地址为loopback1地址；为无线用户VLAN10,20下发IP 地址，最后一个可用地址为网关；AP上线需要采用MAC地址认证。
AC配置dhcpv4和dhcpv6，分别为总公司产品段vlan50分配地址；ipv4地址池名称分别为POOLv4-50，ipv6 地址池名称分别为 POOLv6-50；ipv6地址池用网络前缀表示；排除网关；DNS分别为 114.114.114.114 和 2400:3200::1；为 PC1 保留地址 192.168.50.9 和 2001:da8:192:168:50::9， SW上中继地址为AC loopback1 地址。
在NETWORK下配置SSID，需求如下：
NETWORK 1下设置SSID ***2023，VLAN10，加密模式为wpa-personal,其口令为20232023；
NETWORK 2下设置SSID GUEST，VLAN20不进行认证加密,做相应配置隐藏该SSID； NETWORK 2开启内置portal+本地认证的认证方式，账号为test密码为test2023；
配置SSID GUEST每天早上0点到6点禁止终端接入; GUSET最多接入10个用户，并对GUEST网络进行流控，上行1M，下行2M；配置所有无线接入用户相互隔离；配置当AP上线，如果AC中储存的Image版本和AP的Image版本号不同时，会触发AP自动升级；配置AP发送向无线终端表明AP存在的帧时间间隔为2秒；配置AP失败状态超时时间及探测到的客户端状态超时时间都为2小时；配置AP在脱离AC管理时依然可以正常工作；为防止外部人员蹭网，现需在设置信号值低于50%的终端禁止连接无线信号；为防止非法AP假冒合法SSID，开启AP威胁检测功能；
全国职业院校技能大赛
高等职业教育组
信息安全管理与评估
模块二
网络安全事件响应、数字取证调查、应用程序安全
竞赛项目赛题
本文件为信息安全管理与评估项目竞赛-第二阶段样题，内容包括：网络安全事件响应、数字取证调查、应用程序安全。
本次比赛时间为180分钟。
介绍
竞赛有固定的开始和结束时间，参赛队伍必须决定如何有效的分配时间。请认真阅读以下指引！
（1）当竞赛结束，离开时请不要关机；
（2）所有配置应当在重启后有效；
（3）请不要修改实体机的配置和虚拟机本身的硬件设置。
所需的设备、机械、装置和材料
所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完成。
评分方案
本阶段总分数为300分。
项目和任务描述
随着网络和信息化水平的不断发展，网络安全事件也层出不穷，网络恶意代码传播、信息窃取、信息篡改、远程控制等各种网络攻击行为已严重威胁到信息系统的机密性、完整性和可用性。因此，对抗网络攻击，组织安全事件应急响应，采集电子证据等技术工作是网络安全防护的重要部分。现在，A集团已遭受来自不明组织的非法恶意攻击，您的团队需要帮助A集团追踪此网络攻击来源，分析恶意攻击攻击行为的证据线索，找出操作系统和应用程序中的漏洞或者恶意代码，帮助其巩固网络安全防线。
本模块主要分为以下几个部分：
网络安全事件响应
数字取证调查
应用程序安全
本部分的所有工作任务素材或环境均已放置在指定的计算机上，参赛选手完成后，填写在电脑桌面上“信息安全管理与评估竞赛-答题卷”中，竞赛结束时每组将答案整合到一份PDF文档提交。选手的电脑中已经安装好 Office 软件并提供必要的软件工具。
工作任务
第一部分 网络安全事件响应
任务1：Linux服务器应急响应（70分）
A集团的Linux服务器被黑客入侵，该服务器的Web应用系统被上传恶意软件，系统文件被恶意软件破坏，您的团队需要帮助该公司追踪此网络攻击的来源，在服务器上进行全面的检查，包括日志信息、进程信息、系统文件、恶意文件等，从而分析黑客的攻击行为，发现系统中的漏洞，并对发现的漏洞进行修复。
本任务素材清单：Linux服务器虚拟机
受攻击的Server服务器已整体打包成虚拟机文件保存，请选手自行导入分析。
注意：Server服务器的基本配置参见附录，若题目中未明确规定，请使用默认配置。
请按要求完成该部分的工作任务。
任务1：Linux服务器应急响应
序号 任务内容 答案
1 请提交攻击者的IP地址
2 请提交攻击者使用的操作系统
3 请提交攻击者进入网站后台的密码
4 请提交攻击者首次攻击成功的时间，格式：DD/MM/YY:hh:mm:ss
5 请提交攻击者上传的恶意文件名（含路径）
6 请提交攻击者写入的恶意后门文件的连接密码
7 请提交攻击者创建的用户账户名称
8 请提交恶意进程的名称
第二部分 数字取证调查
任务2 ：基于windows的内存取证（40分）
A集团某服务器系统感染恶意程序，导致系统关键文件被破坏，请分析A集团提供的系统镜像和内存镜像，找到系统镜像中的恶意软件，分析恶意软件行为。
本任务素材清单：存储镜像、内存镜像。
请按要求完成该部分的工作任务。
任务2：基于windows的内存取证
序号 任务内容 答案
1 请提交内存中恶意进程的名称
2 请提交恶意进程写入的文件名称（不含路径）
3 请提交admin账户的登录密码
4 请提交攻击者创建的账户名称
5 请提交在桌面某文件中隐藏的flag信息，格式：flag{...}
任务3：通信数据分析取证（TPC/IP）（50分）
A集团的网络安全监控系统发现恶意份子正在实施高级可持续攻击（APT），并抓取了部分可疑通信数据。请您根据捕捉到的通信数据，搜寻出网络攻击线索，分解出隐藏的恶意程序，并分析恶意程序的行为。
本任务素材清单：捕获的通信数据文件。
请按要求完成该部分的工作任务。
任务3：通信数据分析取证（TPC/IP）
序号 任务内容 答案
1 请指出攻击者使用什么协议传输了敏感信息
2 请提交两个攻击者用于收信息的二级域名
3 请提交攻击者传输的敏感信息key1，格式：key1{xxx}
4 请提交攻击者获取的flag，格式：flag{xxx}
任务4： 基于Linux计算机单机取证（60分）
对给定取证镜像文件进行分析，搜寻证据关键字（线索关键字为“evidence 1”、“evidence 2”、……、“evidence 10”，有文本形式也有图片形式，不区分大小写），请提取和固定比赛要求的标的证据文件，并按样例的格式要求填写相关信息，证据文件在总文件数中所占比例不低于15%。取证的信息可能隐藏在正常的、已删除的或受损的文件中，您可能需要运用编码转换技术、加解密技术、隐写技术、数据恢复技术，还需要熟悉常用的文件格式（如办公文档、压缩文档、图片等）。
本任务素材清单：取证镜像文件。
请按要求完成该部分的工作任务。
任务4：基于Linux计算机单机取证
证据编号 在取证镜像中的文件名 镜像中原文件Hash码（MD5，不区分大小写）
evidence 1 提交文件名正确得分
evidence 2 提交文件名正确得分
evidence 3 提交文件名正确得分
evidence 4 提交文件名正确得分
evidence 5 提交文件名正确得分
evidence 6 提交文件名正确得分
evidence 7 提交文件名正确得分
evidence 8 提交文件名正确得分
evidence 9 提交文件名正确得分
evidence 10 提交文件名正确得分
第三部分 应用程序安全
任务5：Windows恶意程序分析（50分）
A集团发现其发布的应用程序文件遭到非法篡改，您的团队需要协助A集团对该恶意程序样本进行逆向分析、对其攻击/破坏的行为进行调查取证。
本任务素材清单：Windows恶意程序
请按要求完成该部分的工作任务。
任务5：Windows恶意程序分析
序号 任务内容 答案
1 请指出恶意程序的壳名称
2 请提交恶意程序反向连接的IP地址
3 请提交恶意程序用于解密数据的函数名称
4 请提交恶意程序反弹shell的命令（含参数）
任务6：C语言代码审计（30分）
代码审计是指对源代码进行检查，寻找代码存在的脆弱性，这是一项需要多方面技能的技术。作为一项软件安全检查工作，代码安全审查是非常重要的一部分，因为大部分代码从语法和语义上来说是正确的，但存在着可能被利用的安全漏洞，你必须依赖你的知识和经验来完成这项工作。
本任务素材清单：C源文件
请按要求完成该部分的工作任务。
任务6：C语言代码审计
序号 任务内容 答案
1 请指出存在安全漏洞的代码行
2 请指出可能利用该漏洞的威胁名称
3 请提出加固修改建议
全国职业院校技能大赛
高等职业教育组
信息安全管理与评估
模块三
网络安全渗透、理论技能与职业素养
竞赛项目赛题
本文件为信息安全管理与评估项目竞赛-第三阶段样题，内容包括：网络安全渗透、理论技能与职业素养。
本次比赛时间为180分钟。
介绍
网络安全渗透的目标是作为一名网络安全专业人员在一个模拟的网络环境中实现网络安全渗透测试工作。
本模块要求参赛者作为攻击方，运用所学的信息收集、漏洞发现、漏洞利用等技术完成对网络的渗透测试；并且能够通过各种信息安全相关技术分析获取存在的flag值。
所需的设施设备和材料
所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完成。
评分方案
本测试项目模块分数为400分，其中，网络安全渗透300分，理论技能与职业素养100分。
项目和任务描述
在A集团的网络中存在几台服务器，各服务器存在着不同业务服务。在网络中存在着一定网络安全隐患，请通过信息收集、漏洞挖掘等渗透测试技术，完成指定项目的渗透测试，在测试中获取flag值。网络环境参考样例请查看附录A。
本模块所使用到的渗透测试技术包含但不限于如下技术领域：
数据库攻击
枚举攻击
权限提升攻击
基于应用系统的攻击
基于操作系统的攻击
逆向分析
密码学分析
隐写分析
所有设备和服务器的IP地址请查看现场提供的设备列表。
特别提醒
通过找到正确的flag值来获取得分，flag统一格式如下所示：
flag{}
这种格式在某些环境中可能被隐藏甚至混淆。所以，注意一些敏感信息并利用工具把它找出来。
注：部分flag可能非统一格式，若存在此情况将会在题目描述中明确指出flag格式，请注意审题。
工作任务
门户网站（45分）
任务编号 任务描述 答案 分值
任务一 门户网站存在漏洞，请利用漏洞并找到flag，并将flag提交。flag格式flag{}
任务二 门户网站存在漏洞，请利用漏洞并找到flag，并将flag提交。flag格式flag{}
任务三 门户网站存在漏洞，请利用漏洞并找到flag，并将flag提交。flag格式flag{}
办公系统（30分）
任务编号 任务描述 答案 分值
任务四 办公系统存在漏洞，请利用漏洞并找到flag，并将flag提交。flag格式flag{}
任务五 办公系统存在漏洞，请利用漏洞并找到flag，并将flag提交。flag格式flag{}
FTP服务器（165分）
任务编号 任务描述 答案 分值
任务六 请获取FTP服务器上对应的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务七 请获取FTP服务器上对应的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务八 请获取FTP服务器上对应的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务九 请获取FTP服务器上对应的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务十 请获取FTP服务器上对应的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务十一 请获取FTP服务器上对应的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务十二 请获取FTP服务器上对应的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务十三 请获取FTP服务器上对应的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
应用系统服务器（30分）
任务编号 任务描述 答案 分值
任务十四 应用系统服务器10000端口存在漏洞，获取FTP服务器上对应的文件进行分析，请利用漏洞找到flag，并将flag提交。flag格式flag{}
测试系统服务器（30分）
任务编号 任务描述 答案 分值
任务十五 应用系统服务器10001端口存在漏洞，获取FTP服务器上对应的文件进行分析，请利用漏洞找到flag，并将flag提交。flag格式flag{}
附录A
图1 网络拓扑结构图
理论技能与职业素养（100分）
2023年全国职业院校技能大赛（高等职业教育组）
“信息安全管理与评估”测试题（样题）
【注意事项】
1.理论测试前请仔细阅读测试系统使用说明文档，按提供的账号和密码登录测试系统进行测试，账号只限1人登录。
2.该部分答题时长包含在第三阶段比赛时长内，请在临近竞赛结束前提交。
3.参赛团队可根据自身情况，可选择1-3名参赛选手进行作答，团队内部可以交流，但不得影响其他参赛队。
一、 单选题 （每题2分，共35题，共70分）
1、下列不属于口令安全威胁的是？（ ）
A、 弱口令
B、 明文传输
C、 MD5加密
D、 多账户共用一个密码
2、在学校或单位如果发现自己的计算机感染了病毒,应首先采取什么措施( )。
A、断开网络
B、告知领导
C、杀毒
D、重启
答案：A
3、检查点能减少数据库完全恢复时所必须执行的日志，提高数据库恢复速度。下列有关检查点的说法，错误的是（ ） 。
A、 检查点记录的内容包括建立检查点时正在执行的事务清单和这些事务最近一个日志记录的地址
B、 在检查点建立的同时，数据库管理系统会将当前数据缓冲区中的所有数据记录写入数据库中
C、 数据库管理员应定时手动建立检查点，保证数据库系统出现故障时可以快速恢复数据库数据
D、 使用检查点进行恢复时需要从"重新开始文件"中找到最后一个检查点记录在日志文件中的地址
4、下列哪个不属于密码破解的方式？（ ）
A、 密码学分析
B、 撞库
C、 暴力破解
D、 字典破解
5、下列不属于应用层安全协议的是哪一项？（ ）
A、 Secure shell
B、 超文本传输协议
C、 电子交易安全协议SET
D、 SSL协议
6、\x32\x2E\x68\x74\x6D此加密是几进制加密？（ ）
A、 二进制
B、 八进制
C、 十进制
D、 十六进制
7、下列关于SQL Server 2008中分离和附加数据库的说法，错误的是（ ）
A、 在分离数据库之前，必须先断开所有用户与该数据库的连接
B、 分离数据库只分离数据文件，不会分离日志文件
C、 附加数据库时文件存储位置可以与分离数据库时文件所处的存储位置不同
D、 进行分离数据库操作时不能停止SQL Server服务
8、C语言中的标识符只能由字母、数字和下划线三种字符组成,且第一个字符 ？（ ）
A、 必须为字母
B、 必须为下划线
C、 必须为字母或下划线
D、 可以是字母,数字和下划线中任一种字符
9、下面那个名称不可以作为自己定义的函数的合法名称？（ ）
A、 print
B、 len
C、 error
D、 Haha
10、现今非常流行的SQL（数据库语言）注入攻击属于下列哪一项漏洞的利用？（ ）
A、 域名服务的欺骗漏洞
B、 邮件服务器的编程漏洞
C、 WWW服务的编程漏洞
D、 FTP服务的编程漏洞
11、.IPSec包括报文验证头协议AH 协议号（）和封装安全载荷协议ESP协议号（ ） 。
A、 51 50
B、 50 51
C、 47 48
D、 48 47
12、SYN攻击属于DOS攻击的一种，它利用（）协议缺陷，通过发送大量的半连接请求，耗费CPU和内存资源？（ ）
A、 UDP
B、 ICMP
C、 TCP
D、 OSPF
13、POP3服务器使用的监听端口是？（ ）
A、 TCP的25端口
B、 TCP的110端口
C、 UDP的25端口
D、 UDP的110端口
14、一个基于特征的IDS应用程序需要下列选项中的哪一项来对一个攻击做出反应？（ ）
A、 正确配置的DNS
B、 正确配置的规则
C、 特征库
D、 日志
15、下列工具中可以直接从内存中读取windows 密码的是？（ ）
A、 getpass
B、 QuarkssPwDump
C、 SAMINSIDE
D、 John
16、利用虚假IP地址进行ICMP报文传输的攻击方法称为？（ ）
A、 ICMP泛洪
B、 死亡之ping
C、 LAND攻击
D、 Smurf攻击
17、关于函数，下面哪个说法是错误的？（ ）
A、 函数必须有参数
B、 函数可以有多个函数
C、 函数可以调用本身
D、 函数内可以定义其他函数
18、在TCP/IP参考模型中，与OSI参考模型的网络层对应的是？（ ）
A、 主机-网络层
B、 传输层
C、 互联网层
D、 应用层
19、MD5的主循环有（ ） 轮。
A、 3
B、 4
C、 5
D、 8
20、Open函数中w 参数的作用是？（ ）
A、 读文件内容
B、 写文件内容
C、 删除文件内容
D、 复制文件内容
21、根据工信部明确的公共互联网网络安全突发事件应急预案文件，公共互联网网络突发事件等级最高可标示的颜色是什么？（ ）
A、 红色
B、 黄色
C、 蓝色
D、 橙色
22、下列选项哪列不属于网络安全机制？（ ）
A、 加密机制
B、 数据签名机制
C、 解密机制
D、 认证机制
23、以下选项中，不属于结构化程序设计方法的是哪个选项？（ ）
A、 可封装
B、 自顶向下
C、 逐步求精
D、 模块化
24、关于并行数据库，下列说法错误的是（ ） 。
A、 层次结构可以分为两层，顶层是无共享结构，底层是共享内存或共享磁盘结构
B、 无共享结构通过最小化共享资源来降低资源竞争，因此具有很高的可扩展性，适合于OLTP应用
C、 并行数据库系统经常通过负载均衡的方法来提高数据库系统的业务吞吐率
D、 并行数据库系统的主要目的是实现场地自治和数据全局透明共享
25、下面不是 Oracle 数据库支持的备份形式的是（ ） 。
A、 冷备份
B、 温备份
C、 热备份
D、 逻辑备份
26、Linux中，通过chmod修改权限设置，正确的是？（ ）
A、 chmod test.jpg +x
B、 chmod u+8 test.jpg
C、 chmod 777 test.jpg
D、 chmod 888 test.jpg
27、windows自带FTP服务器的日志文件后缀为？（ ）
A、 evt或.evtx
B、 log
C、 w3c
D、 txt
28、部署IPSEC VPN时，配置什么样的安全算法可以提供更可靠的数据加密（ ）。
A、 DES
B、 3DES
C、 SHA
D、 128位的MD5
29、如果明文为abc，经恺撒密码-加密后，密文bcd，则密钥为？（ ）
A、 1
B、 2
C、 3
D、 4
30、部署IPSEC VPN 网络时我们需要考虑IP地址的规划，尽量在分支节点使用可以聚合的IP地址段，其中每条加密ACL将消耗多少IPSEC SA资源（ ） 。
A、 1个
B、 2个
C、 3个
D、 4个
31、部署IPSEC VPN 网络时我们需要考虑IP地址的规划，尽量在分支节点使用可以聚合的IP地址段，其中每条加密ACL将消耗多少IPSEC SA资源（ ） 。
A、 1个
B、 2个
C、 3个
D、 4个
32、DES的秘钥长度是多少Bit （ ）
A、 6
B、 56
C、 128
D、 32
33、VIM命令中，用于删除光标所在行的命令是？（ ）
A、 dd
B、 dw
C、 de
D、 db
34、Linux软件管理rpm命令，说法不正确的是？（ ）
A、 -v 显示详细信息
B、 -h: 以#显示进度；每个#表示2%
C、 -q PACKAGE_NAME：查询指定的包是否已经安装
D、 -e 升级安装包
35、RIP路由协议有RIP v1 和RIP v2两个版本，下面关于这两个版本的说法错误的是（ ） 。
A、 RIP v1和RIP v2都具有水平分割功能
B、 RIP v1 是有类路由协议，RIP v2是无类路由协议
C、 RIP v1 和 RIP v2 都是以跳数作为度量值
D、 RIP v1 规定跳数的最大值为15，16跳视为不可达；而RIP v2无此限制
二、 多选题 （每题3分，共10题，共30分）
1、Bash变量类型，包括以下哪些？（ ）
A、 用户自定义变量
B、 环境变量
C、 预定义变量
D、 高级变量
2、关于函数中变量的定义，哪些说法是正确的？（ ）
A、 即使函数外已经定义了这个变量，函数内部仍然可以定义
B、 如果一个函数已经定义了name变量，那么其他的函数就不能再定义
C、 函数可以直接引用函数外部定义过的变量
D、 函数内部只能定义一个变量
3、移动用户常用的VPN接入方式是（ ） 。
A、 L2TP
B、 IPSECHIKE野蛮模式
C、 GRE+IPSEC
D、 L2TP+IPSEC
4、RC4加密算法被广泛应用，包括（ ） 。
A、 SSL/TLS
B、 WEP协议
C、 WPA协议
D、 数字签名
5、关于类的说法下面哪些是正确的？（ ）
A、 我们把类中定义的函数称为方法
B、 可以不通过类直接调用类中的方法
C、 可以在方法前加上__来声明这是一个私有方法
D、 类中必须定义__init__方法
6、安全的网络通信必须考虑以下哪些方面？（ ）
A、 加密算法
B、 用于加密算法的秘密信息
C、 秘密信息的分布和共享
D、 使用加密算法和秘密信息以获得安全服务所需的协议
7、以下Linux命令中，跟用户与用户组管理相关的命令有哪些？（ ）
A、 usermod
B、 mkdir
C、 groupdel
D、 useradd
8、VPN 组网中常用的站点到站点接入方式是（ ） 。
A、 L2TP
B、 IPSEC
C、 GRE+IPSEC
D、 .L2TP+IPSEC
9、信息道德包括（ ）。
A、网络信息道德
B、学术性信息道德
C、思想品德
D、社会公德
10、下列说法正确的是（ ）。
A、离岗离职人员也要遵守信息安全管理制度不能泄露岗位机密信息
B、滥发广告、随心所欲散发虚假信息和新闻、利用互联网传播淫秽物品牟利属于信息道德与信息安全失范行为
C、网络的开放性致使学生们比以往传统社会面临更多的道德冲突
D、《中华人民共和国计算机信息系统安全保护条例》中关于信息安全的定义是“保障计算机及其相关的和配套的设备、设施( 网络)的安全运行环境的安全，保障信息安全保障计算机功能的正常发挥以维护计算机系统的安全。全国职业院校技能大赛
高等职业教育组
信息安全管理与评估
赛题四
模块一
网络平台搭建与设备安全防护
赛项时间
共计180分钟。
赛项信息
竞赛阶段 任务阶段 竞赛任务 竞赛时间 分值
第一阶段 网络平台搭建与设备安全防护 任务1 网络平台搭建 XX:XX- XX:XX 50
任务2 网络安全设备配置与防护 250
赛项内容
本次大赛，各位选手需要完成三个阶段的任务，其中第一个阶段需要按裁判组专门提供的U盘中的“XXX-答题模板”提交答案。第二、三阶段请根据现场具体题目要求操作。
选手首先需要在U盘的根目录下建立一个名为“GWxx”的文件夹（xx用具体的工位号替代），赛题第一阶段所完成的“XXX-答题模板”放置在文件夹中。
例如：08工位，则需要在U盘根目录下建立“GW08”文件夹，并在“GW08”文件夹下直接放置第一个阶段的所有“XXX-答题模板”文件。
特别说明：只允许在根目录下的“GWxx”文件夹中体现一次工位信息，不允许在其他文件夹名称或文件名称中再次体现工位信息，否则按作弊处理。
赛项环境设置
网络拓扑图
IP地址规划表
设备名称 接口 IP地址 对端设备 接口
防火墙FW ETH0/1-2 10.10.255.1/30（trust安全域） 2001:DA8:10:10:255::1/127 SW eth1/0/1-2
10.10.255.5/30（trust安全域） 2001:DA8:10:10:255::5/127 SW
ETH0/3 20.23.1.1/30（untrust安全域） 223.20.23.1/29(nat-pool) 2001:DA8:223:20:23::1/64 SW Eth1/0/23
Loopback1 10.0.0.254/32（trust） Router-id
SSL Pool 192.168.10.1/26 可用IP数量为20 SSL VPN地址池
三层交换机 SW ETH1/0/4 专线 AC ETH1/0/4
ETH1/0/5 专线 AC ETH1/0/5
VLAN21 ETH1/0/1-2 10.10.255.2/30 2001:DA8:10:10:255::2/127 FW Vlan name TO-FW1
VLAN22 ETH1/0/1-2 10.10.255.6/30 2001:DA8:10:10:255::6/127 FW Vlan name TO-FW2
VLAN 23 ETH1/0/23 20.23.1.2/30 2001:DA8:223:20:23::2/127 FW Vlan name TO-internet
VLAN 24 ETH1/0/24 223.20.23.10/29 2001:DA8:223:20:23::10/127 BC Vlan name TO-BC
VLAN 10 172.16.10.1/24 无线1 Vlan name WIFI-vlan10
VLAN 20 172.16.20.1/24 无线2 Vlan name WIFI-vlan20
VLAN 30 ETH1/0/6-7 192.168.30.1/24 2001:DA8:192:168:30:1::1/96 Vlan name XZ
VLAN 31 Eth1/0/8-9 192.168.31.1/24 2001:DA8:192:168:31:1::1/96 Vlan name sales
VLAN 40 ETH1/0/10-11 192.168.40.1/24 2001:DA8:192:168:40:1::1/96 Vlan name CW
Vlan 50 Eth1/0/13-14 192.168.50.1/24 2001:DA8:192:168:50:1::1/96 Vlan name manage
Vlan1001 10.10.255.9/30 2001:DA8:10:10:255::9/127 TO-AC1
Vlan1002 10.10.255.13/30 2001:DA8:10:10:255::13/127 TO-AC2
VLAN 1000 ETH 1/0/20 172.16.100.1/24 Vlan name AP-Manage
Loopback1 10.0.0.253/32(router-id)
无线控制器 AC VLAN 10 192.168.10.1/24 2001:DA8:192:168:10:1::1/96 Vlan name TO-CW
VLAN 20 192.168.20.1/24 2001:DA8:192:168:20:1::1/96 Vlan name CW
VLAN 1001 10.10.255.10/30 2001:DA8:10:10:255::10/127
VLAN 1002 10.10.255.14/30 2001:DA8:10:10:255::14/127
Vlan 60 Eth1/0/13-14 192.168.60.1/24 2001:DA8:192:168:60:1::1/96 Vlan name sales
Vlan 61 Eth1/0/15-18 192.168.61.1/24 2001:DA8:192:168:61:1::1/96 Vlan name BG
Vlan 100 Eth1/0/21 10.10.255.17/30 2001:DA8:10:10:255::17/127 BC eth2 Vlan name TO-BC
VLAN 2000 ETH 1/0/19 192.168.100.1/24 沙盒
Loopback1 10.1.1.254/32(router-id)
日志服务器 BC eth2 10.10.255.18/30 2001:DA8:10:10:255::18/127 AC
ETH3 223.20.23.9/29 2001:DA8:223:20:23::9/127 SW
PPTP-pool 192.168.10.129/26（10个地址）
WEB应用防火墙WAF ETH2 192.168.50.2/24 PC3
ETH3 SWEth1/0/13
AP Eth1 SW（20口）
PC1 网卡 eth1/0/7 SW
沙盒 192.168.100.10/24 AC ETH1/0/19
第一阶段任务书
任务1：网络平台搭建 （50分）
题号 网络需求
1 根据网络拓扑图所示，按照IP地址参数表，对FW的名称、各接口IP地址进行配置。
2 根据网络拓扑图所示，按照IP地址参数表，对SW的名称进行配置，创建VLAN并将相应接口划入VLAN。
3 根据网络拓扑图所示，按照IP地址参数表，对AC的各接口IP地址进行配置。
4 根据网络拓扑图所示，按照IP地址参数表，对BC的名称、各接口IP地址进行配置。
5 按照IP 地址规划表，对WEB 应用防火墙的名称、各接口IP 地址进行配置。
任务2：网络安全设备配置与防护（250分）
SW和AC开启SSH登录功能，SSH登录账户仅包含“USER-SSH”，密码为明文“123456”，采用SSH方式登录设备时需要输入enable密码，密码设置为明文“enable” 。
应网监要求，需要对上海总公司用户访问因特网行为进行记录，需要在交换机上做相关配置，把访问因特网的所有数据镜像到交换机1/0/18口便于对用户上网行为进行记录。
尽可能加大上海总公司核心和出口之间带宽，端口模式采用lacp模式。
上海总公司和南昌分公司租用了运营商两条裸光纤，实现内部办公互通，要求两条链路互为备份，同时实现流量负载均衡，流量负载模式基于Dst-src-mac模式。
上海总公司和南昌分公司链路接口只允许必要的vlan通过，禁止其它vlan包括vlan1二层流量通过。
为防止非法用户接入网络，需要在核心交互上开启DOT1X认证，对vlan40用户接入网络进行认证，radius-server 为192.168.100.200。
为了便于管理网络，能够让网管软件实现自动拓朴连线，在总公司核心和分公司AC上开启某功能，让设备可以向网络中其他节点公告自身的存在，并保存各个邻近设备的发现信息。
ARP 扫描是一种常见的网络攻击方式，攻击源将会产生大量的 ARP 报文在网段内广播，这些广播报文极大的消耗了网络的带宽资源，为了防止该攻击对网络造成影响，需要在总公司交换机上开启防扫描功能，对每端口设置阈值为40，超过将关闭该端口20分钟后自动恢复，设置和分公司互联接口不检查。
总公司SW交换机模拟因特网交换机，通过某种技术实现本地路由和因特网路由进行隔离，因特网路由实例名internet。
对SW上VLAN40开启以下安全机制：业务内部终端相互二层隔离，启用环路检测，环路检测的时间间隔为10s，发现环路以后关闭该端口，恢复时间为30分钟； 如私设DHCP服务器关闭该端口;开启防止ARP网关欺骗攻击。
配置使上海公司核心交换机VLAN31业务的用户访问因特网数据流经过10.10.255.1返回数据通过10.10.255.5。要求有测试结果。
为响应国家号召，公司实行IPV6网络升级改造，公司采用双栈模式，同时运行ipv4和ipv6，IPV6网络运行OSPF V3协议，实现内部ipv6全网互联互通，要求总公司和分公司之间路由优先走vlan1001，vlan1002为备份。
在总公司核心交换机SW配置IPv6地址，开启路由公告功能，路由器公告的生存期为2小时，确保销售部门的IPv6终端可以通过DHCP SERVER 获取IPv6地址，在SW上开启IPV6 dhcp server功能，ipv6地址范围2001:da8:192:168:31:1::2-2001:da8:192:168:31:1::100。
在南昌分公司上配置IPv6地址，使用相关特性实现销售部的IPv6终端可自动从网关处获得IPv6无状态地址。
FW、SW、AC之间配置OSPF，实现ipv4网络互通。要求如下：区域为 0 同时开启基于链路的MD5认证，密钥自定义，传播访问INTERNET 默认路由，分公司内网用户能够与总公司相互访问包含loopback地址；分公司AC和BC之间运行静态路由。
总公司销售部门通过防火墙上的DHCP SERVER获取IP地址，server IP地址为10.0.0.254，地址池范围192.168.31.10-192.168.31.100，dns-server 8.8.8.8。
总公司交换机上开启dhcp server 为无线用户分配ip地址，地址租约时间为10小时，dns-server 为114.114.114.114，前20个地址不参与分配,第一个地址为网关地址。
如果SW的11端口的收包速率超过30000则关闭此端口，恢复时间5分钟；为了更好地提高数据转发的性能，SW交换中的数据包大小指定为1600字节。
交换机的端口 10不希望用户使用 ftp，也不允许外网 ping 此网段的任何一台主机。
交换机vlan 30 端口连接的网段IPV6 的地址为 2001:da8:192:168:30:1::0/96 网段，管理员不希望除了2001:da8:192:168:30:1:1::0/112网段用户访问外网。
为实现对防火墙的安全管理，在防火墙FW的Trust安全域开启PING,HTTP，telnet，SNMP功能，Untrust安全域开启ping、SSH、HTTPS功能。
在总部防火墙上配置，总部VLAN业务用户通过防火墙访问Internet时，复用公网IP： 223.20.23.1/29，保证每一个源IP 产生的所有会话将被映射到同一个固定的IP 地址，当有流量匹配本地址转换规则时产生日志信息，将匹配的日志发送至192.168.100.10 的UDP 2000 端口。
远程移动办公用户通过专线方式接入总部网络，在防火墙FW上配置，采用SSL方式实现仅允许对内网VLAN 30的访问，端口号使用4455，用户名密码均为ABC2023，地址池参见地址表。
总公司部署了一台WEB服务器ip为192.168.50.10，为外网用户提供web服务，要求外网用户能访问服务器上的web服务（端口80）和远程管理服务器（端口3389），外网用户只能通过223.20.23.2外网地址访问服务器web服务和3389端口。
为了安全考虑，需要对内网销售部门用户访问因特网进行实名认证，要求在防火墙上开启web认证使用https方式，采用本地认证，密码账号都为web2023，同一用户名只能在一个客户端登录，设置超时时间为30分钟。
由于总公司到因特网链路带宽比较低，出口只有200M带宽，需要在防火墙配置iQOS，系统中 P2P 总的流量不能超过 100M ，同时限制每用户最大下载带宽为4M，上传为2M，http访问总带宽为50M。
财务部门和公司账务有关，为了安全考虑，禁止财务部门访问因特网，要求在防火墙FW做相关配置。
由于总公司销售和分公司销售部门使用的是同一套CRM系统，为了防止专线故障导致系统不能使用，总公司和分公司使用互联网作为总公司销售和分公司销售相互访问的备份链路。FW和BC之间通过IPSEC技术实现总公司销售段与分公司销售之间联通，具体要求为采用预共享密码为 ***2023，IKE 阶段 1 采用 DH 组 1、3DES 和 MD5 加密方，IKE 阶段 2 采用 ESP-3DES，MD5。
分公司用户，通过BC访问因特网，BC采用路由方式，在BC上做相关配置，让分公司内网用户通过BC外网口ip访问因特网。
在BC上配置PPTP vpn 让外网用户能够通过PPTP vpn访问分公司AC上内网资源，用户名为GS01，密码GS0123。
分公司部署了一台安全攻防平台，用来公司安全攻防演练，为了方便远程办公用户访问安全攻防平台，在BC上配置相关功能，让外网用户能通过BC的外网口接口IP，访问内部攻防平台服务器，攻防平台服务器地址为192.168.100.10端口：8080。
在BC上配置url过滤策略，禁止分公司内网用户在周一到周五的早上8点到晚上18点访问外网www.。
对分公司内网用户访问外网进行网页关键字过滤，网页内容包含“暴力”“赌博”的禁止访问
为了安全考虑，无线用户移动性较强，访问因特网时需要实名认证，在BC上开启web认证使用http方式，采用本地认证，密码账号都为web2023。
DOS攻击/DDoS 攻击通常是以消耗服务器端资源、迫使服务停止响应为目标，通过伪造超过服务器处理能力的请求数据造成服务器响应阻塞，从而使正常的用户请求得不到应答，以实现其攻击目的，在分公司内网区域开起DOS攻击防护，阻止内网的机器中毒或使用攻击工具发起的 DOS 攻击，检测到攻击进行阻断。
分公司BC上配置NAT64，实现分公司内网ipv6用户通过BC出口ipv4地址访问因特网。
分公司内网攻防平台，对Internet提供服务，在BC上做相关配置让外网IPV6用户能够通过BC外网口IPV6地址访问攻防平台的web服务端口号为80。
BC上开启病毒防护功能，无线用户在外网下载exe、rar、bat文件时对其进行杀毒检测，防止病毒进入内网，协议流量选择HTTP杀毒、FTP杀毒、POP3、SMTP。
公司内部有一台网站服务器直连到WAF，地址是192.168.50.10，端口是8080，配置将访问日志、攻击日志、防篡改日志信息发送syslog日志服务器， IP地址是192.168.100.6，UDP的514端口。
编辑防护策略，在“专家规则”中定义HTTP请求体的最大长度为256，防止缓冲区溢出攻击。
WAF上配置开启爬虫防护功能，防护规则名称为http爬虫，url为www.，自动阻止该行为；封禁时间为3600秒。
WAF上配置，开启防盗链，名称为http盗链，保护url为www.，检测方式referer+cookie，处理方式为阻断，并记录日志。
WAF上配置开启IDP防护策略，采用最高级别防护，出现攻击对攻击进行阻断。
WAF上配置开启DDOS防护策略，防护等级高级并记录日志。
在公司总部的WAF上配置，内部web服务器进行防护安全防护，防护策略名称为web_p，记录访问日志，防护规则为扫描防护规则采用增强规则、HTTP协议校验规则采用专家规则、特征防护规则采用专家规则、开启爬虫防护、开启防盗链、开启敏感信息检测
AC上配置DHCP，管理VLAN 为VLAN1000,为AP 下发管理地址，AP通过DHCP opion 43注册，AC地址为loopback1地址。
在NETWORK下配置SSID，需求如下：
NETWORK 1下设置SSID SKILL-WIFI，VLAN10，加密模式为wpa-peSWonal,其口令为12345678，开启隔离功能。
NETWORK 2下设置SSID GUEST，VLAN20不进行认证加密,做相应配置隐藏该SSID，NETWORK 2开启内置portal+本地认证的认证方式，账号为XXX密码为test2023。
为了合理利用AP性能，需要在AP上开启5G优先配置5G优先功能的客户端的信号强度门限为40
通过配置防止多AP和AC相连时过多的安全认证连接而消耗CPU资源，检测到AP与AC在10分钟内建立连接5次就不再允许继续连接，两小时后恢复正常；GUSET最多接入50个用户，并对GUEST网络进行流控，上行1M，下行2M。
全国职业院校技能大赛
高等职业教育组
信息安全管理与评估
模块二
网络安全事件响应、数字取证调查、应用程序安全
竞赛项目赛题
本文件为信息安全管理与评估项目竞赛-第二阶段样题，内容包括：网络安全事件响应、数字取证调查、应用程序安全。
本次比赛时间为180分钟。
介绍
竞赛有固定的开始和结束时间，参赛队伍必须决定如何有效的分配时间。请认真阅读以下指引！
（1）当竞赛结束，离开时请不要关机；
（2）所有配置应当在重启后有效；
（3）请不要修改实体机的配置和虚拟机本身的硬件设置。
所需的设备、机械、装置和材料
所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完成。
评分方案
本阶段总分数为300分。
项目和任务描述
随着网络和信息化水平的不断发展，网络安全事件也层出不穷，网络恶意代码传播、信息窃取、信息篡改、远程控制等各种网络攻击行为已严重威胁到信息系统的机密性、完整性和可用性。因此，对抗网络攻击，组织安全事件应急响应，采集电子证据等技术工作是网络安全防护的重要部分。现在，A集团已遭受来自不明组织的非法恶意攻击，您的团队需要帮助A集团追踪此网络攻击来源，分析恶意攻击攻击行为的证据线索，找出操作系统和应用程序中的漏洞或者恶意代码，帮助其巩固网络安全防线。
本模块主要分为以下几个部分：
网络安全事件响应
数字取证调查
应用程序安全
本部分的所有工作任务素材或环境均已放置在指定的计算机上，参赛选手完成后，填写在电脑桌面上“信息安全管理与评估竞赛-答题卷”中，竞赛结束时每组将答案整合到一份PDF文档提交。选手的电脑中已经安装好 Office 软件并提供必要的软件工具。
工作任务
第一部分 网络安全事件响应
任务1：Unix服务器应急响应（70分）
A集团的Debian服务器被黑客入侵，该服务器的Web应用系统被上传恶意软件，系统文件被恶意软件破坏，您的团队需要帮助该公司追踪此网络攻击的来源，在服务器上进行全面的检查，包括日志信息、进程信息、系统文件、恶意文件等，从而分析黑客的攻击行为，发现系统中的漏洞，并对发现的漏洞进行修复。
本任务素材清单：Unix服务器虚拟机
受攻击的Server服务器已整体打包成虚拟机文件保存，请选手自行导入分析。
注意：Server服务器的基本配置参见附录，若题目中未明确规定，请使用默认配置。
请按要求完成该部分的工作任务。
任务1：Unix服务器虚拟机
序号 任务内容 答案
1 请提交攻击者的IP地址
2 请提交攻击者使用的操作系统
3 请提交攻击者进入网站后台的密码
4 请提交攻击者首次攻击成功的时间，格式：DD/MM/YY:hh:mm:ss
5 请提交攻击者上传的恶意文件名（含路径）
6 请提交攻击者写入的恶意后门文件的连接密码
7 请提交攻击者创建的用户账户名称
8 请提交恶意进程的名称
9 请提交恶意进程对外连接的IP地址
第二部分 数字取证调查
任务2：基于MacOS的内存取证（40分）
A集团某服务器系统感染恶意程序，导致系统关键文件被破坏，请分析A集团提供的系统镜像和内存镜像，找到系统镜像中的恶意软件，分析恶意软件行为。
本任务素材清单：存储镜像、内存镜像。
请按要求完成该部分的工作任务。
任务2：基于MacOS的内存取证
序号 任务内容 答案
1 请提交用户目录下压缩包的解压密码
2 请提交root账户的登录密码
3 请指出攻击者通过什么命令实现提权操作
4 请指出内存中恶意进程的PID
5 请指出恶意进程加密文件的文件类型
任务3：通信数据分析取证(工控)（50分）
A集团的网络安全监控系统发现恶意份子正在实施高级可持续攻击（APT），并抓取了部分可疑流量包。请您根据捕捉到的流量包，搜寻出网络攻击线索，分解出隐藏的恶意程序，并分析恶意程序的行为。
本任务素材清单：捕获的通信数据文件。
请按要求完成该部分的工作任务。
任务3：通信数据分析取证(工控)
序号 任务内容 答案
1 请提交攻击者通过什么协议发起的攻击
2 请提交攻击者第一次攻击成功的时间
3 请提交攻击者在目标主机上上传的文件名
4 请解密出上传的文件内容
任务4：基于Windows计算机单机取证（60分）
对给定取证镜像文件进行分析，搜寻证据关键字（线索关键字为“evidence 1”、“evidence 2”、……、“evidence 10”，有文本形式也有图片形式，不区分大小写），请提取和固定比赛要求的标的证据文件，并按样例的格式要求填写相关信息，证据文件在总文件数中所占比例不低于15%。取证的信息可能隐藏在正常的、已删除的或受损的文件中，您可能需要运用编码转换技术、加解密技术、隐写技术、数据恢复技术，还需要熟悉常用的文件格式（如办公文档、压缩文档、图片等）。
本任务素材清单：取证镜像文件。
请按要求完成该部分的工作任务。
任务4：基于Windows计算机单机取证
证据编号 在取证镜像中的文件名 镜像中原文件Hash码（MD5，不区分大小写）
evidence 1
evidence 2
evidence 3
evidence 4
evidence 5
evidence 6
evidence 7
evidence 8
evidence 9
evidence 10
第三部分 应用程序安全
任务5：Linux恶意程序分析（50分）
A集团发现其发布的应用程序文件遭到非法篡改，您的团队需要协助A集团对该恶意程序样本进行逆向分析、对其攻击/破坏的行为进行调查取证。
本任务素材清单：Linux恶意程序
请按要求完成该部分的工作任务。
任务5：Linux恶意程序分析
序号 任务内容 答案
1 请提交恶意程序回传数据的url地址
2 请指出恶意程序会加密哪些类型的文件
3 请指出恶意程序加密文件的算法
4 请指出恶意程序创建的子进程名称
任务6：JAVA语言代码审计（30分）
代码审计是指对源代码进行检查，寻找代码存在的脆弱性，这是一项需要多方面技能的技术。作为一项软件安全检查工作，代码安全审查是非常重要的一部分，因为大部分代码从语法和语义上来说是正确的，但存在着可能被利用的安全漏洞，你必须依赖你的知识和经验来完成这项工作。
本任务素材清单：Java源文件
请按要求完成该部分的工作任务。
任务6：JAVA语言代码审计
序号 任务内容 答案
1 请指出存在安全漏洞的代码行
2 请指出可能利用该漏洞的威胁名称
3 请修改该代码行使其变得安全
全国职业院校技能大赛
高等职业教育组
信息安全管理与评估
模块三
网络安全渗透、理论技能与职业素养
竞赛项目赛题
本文件为信息安全管理与评估项目竞赛-第三阶段样题，内容包括：网络安全渗透、理论技能与职业素养。
本次比赛时间为180分钟。
介绍
网络安全渗透的目标是作为一名网络安全专业人员在一个模拟的网络环境中实现网络安全渗透测试工作。
本模块要求参赛者作为攻击方，运用所学的信息收集、漏洞发现、漏洞利用等技术完成对网络的渗透测试；并且能够通过各种信息安全相关技术分析获取存在的flag值。
所需的设施设备和材料
所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完成。
评分方案
本测试项目模块分数为400分，其中，网络安全渗透300分，理论技能与职业素养100分。
项目和任务描述
在A集团的网络中存在几台服务器，各服务器存在着不同业务服务。在网络中存在着一定网络安全隐患，请通过信息收集、漏洞挖掘等渗透测试技术，完成指定项目的渗透测试，在测试中获取flag值。网络环境参考样例请查看附录A。
本模块所使用到的渗透测试技术包含但不限于如下技术领域：
数据库攻击
枚举攻击
权限提升攻击
基于应用系统的攻击
基于操作系统的攻击
逆向分析
密码学分析
隐写分析
所有设备和服务器的IP地址请查看现场提供的设备列表。
特别提醒
通过找到正确的flag值来获取得分，flag统一格式如下所示：
flag{}
这种格式在某些环境中可能被隐藏甚至混淆。所以，注意一些敏感信息并利用工具把它找出来。
注：部分flag可能非统一格式，若存在此情况将会在题目描述中明确指出flag格式，请注意审题。
工作任务
门户网站（45分）
任务编号 任务描述 答案 分值
任务一 请对门户网站进行黑盒测试，利用漏洞找到flag1，并将flag1提交。flag1格式flag1{}
任务二 请对门户网站进行黑盒测试，利用漏洞找到flag2，并将flag2提交。flag2格式flag2{}
任务三 请对门户网站进行黑盒测试，利用漏洞找到flag3，并将flag3提交。flag3格式flag3{}
办公系统（30分）
任务编号 任务描述 答案 分值
任务四 请对办公系统进行黑盒测试，利用漏洞找到flag1，并将flag1提交。flag1格式flag1{}
任务五 请对办公系统进行黑盒测试，利用漏洞找到flag2，并将flag2提交。flag2格式flag2{}
FTP服务器（165分）
任务编号 任务描述 答案 分值
任务六 请获取FTP服务器上task6目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务七 请获取FTP服务器上task7目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务八 请获取FTP服务器上task8目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务九 请获取FTP服务器上task9目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务十 请获取FTP服务器上task10目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务十一 请获取FTP服务器上task11目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务十二 请获取FTP服务器上task12目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务十三 请获取FTP服务器上task13目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
应用系统服务器（30分）
任务编号 任务描述 答案 分值
任务十四 应用系统服务器10000端口存在漏洞，获取FTP服务器上task14目录下的文件进行分析，请利用漏洞找到flag，并将flag提交。flag格式flag{}
测试系统服务器（30分）
任务编号 任务描述 答案 分值
任务十五 应用系统服务器10001端口存在漏洞，获取FTP服务器上task15目录下的文件进行分析，请利用漏洞找到flag，并将flag提交。flag格式flag{}
附录A
图1 网络拓扑结构图
理论技能与职业素养（100分）
2023年全国职业院校技能大赛（高等职业教育组）
“信息安全管理与评估”测试题（样题）
【注意事项】
1.理论测试前请仔细阅读测试系统使用说明文档，按提供的账号和密码登录测试系统进行测试，账号只限1人登录。
2.该部分答题时长包含在第三阶段比赛时长内，请在临近竞赛结束前提交。
3.参赛团队可根据自身情况，可选择1-3名参赛选手进行作答，团队内部可以交流，但不得影响其他参赛队。
一、 单选题 （每题2分，共35题，共70分）
1、为了保护计算机信息系统的安全，促进计算机的应用和发展，保障社会主义现代化建设的顺利进行制定的条例。由中华人民共和国国务院于（ ）年2月18日发布实施《中华人民共和国计算机信息系统安全保护条例》，（ ）年1月8日修订。
A、 1994 2010
B、 1995 2011
C、 1994 2011
D、 1995 2010
2、随意下载、使用、传播他人软件或资料属于（ ）信息道德与信息安全失范行为。
A、黑客行为
B、侵犯他人隐私
C、侵犯知识产权
D、信息传播
3、部署大中型 IPSEC VPN 时，从安全性和维护成本考虑，建议采取什么样的技术手段提供设备间的身份验证。（ ）
A、 预共享密钥
B、 数字证书
C、 路由协议验证
D、 802.1x
4、针对Windows系统主机，攻击者可以利用文件共享机制上的Netbios“空会话”连接漏洞，获取众多对其攻击有利的敏感信息，获取的信息中不包含下列哪一项信息？（ ）
A、 系统的用户和组信息
B、 系统的共享信息
C、 系统的版本信息
D、 系统的应用服务和软件信息
5、IP数据报分片后的重组通常发生在？（ ）
A、 源主机和数据报经过的路由器上
B、 源主机上
C、 数据报经过的路由器上
D、 目的主机上
6、下面不属于SYN FLOODING攻击的防范方法的是？（ ）
A、 缩短SYN Timeout（连接等待超时）时间
B、 利用防火墙技术
C、 TCP段加密
D、 根据源IP记录SYN连接
7、当数据库系统出现故障时，可以通过数据库日志文件进行恢复。下列关于数据库日志文件的说法，错误的是（ ）。
A、 数据库出现事务故障和系统故障时需使用日志文件进行恢复
B、 使用动态转储机制时，必须使用日志文件才能将数据库恢复到一致状态
C、 在OLTP系统中，数据文件的空间使用量比日志文件大得多，使用日志备份可以降低数据库的备份空间
D、 日志文件的格式主要有以记录为单位的日志文件和以数据块为单位的日志文件两种
8、SQL的GRANT和REVOKE语句可以用来实现（ ）。
A、 自主存取控制
B、 强制存取控制
C、 数据库角色创建
D、 数据库审计
9、下面对于数据库视图的描述正确的是（ ）。
A、 数据库视图也是物理存储的表
B、 可通过视图访问的数据不作为独特的对象存储，数据库内实际存储的是 SELECT语句
C、 数据库视图也可以使用 UPDATE 或 DELETE 语句生成
D、 对数据库视图只能查询数据，不能修改数据
10、有一种攻击不断对网络服务系统进行干扰，改变其正常的作业流程，执行无关程序使系统显影减慢甚至瘫痪。它影响正常用户的使用，甚至使合法用户被排斥而不能得到服务。这种攻击叫做（ ）。
A、 可用性攻击
B、 拒绝性攻击
C、 保密性攻击
D、 真实性攻击
11、16模20的逆元是？（ ）
A、 3
B、 4
C、 5
D、 不存在
12、PKZIP 算法广泛应用于（ ）程序。
A、 文档数据加密
B、 数据传输加密
C、 数字签名
D、 文档数据压缩
13、下列选项哪列不属于网络安全机制？（ ）
A、 加密机制
B、 数据签名机制
C、 解密机制
D、 认证机制
14、一个C程序的执行是从哪里开始的？（ ）
A、 本程序的main函数开始，到main函数结束
B、 本程序文件的第一个函数开始，到本程序main函数结束
C、 本程序的main函数开始，到本程序文件的最后一个函数结束
D、 本程序文件的第一个函数开始，到本程序文件的最后一个函数结束
15、检查点能减少数据库完全恢复时所必须执行的日志，提高数据库恢复速度。下列有关检查点的说法，错误的是（ ）。
A、 检查点记录的内容包括建立检查点时正在执行的事务清单和这些事务最近一个日志记录的地址
B、 在检查点建立的同时，数据库管理系统会将当前数据缓冲区中的所有数据记录写入数据库中
C、 数据库管理员应定时手动建立检查点，保证数据库系统出现故障时可以快速恢复数据库数据
D、 使用检查点进行恢复时需要从"重新开始文件"中找到最后一个检查点记录在日志文件中的地址
16、下列不属于口令安全威胁的是？（ ）
A、 弱口令
B、 明文传输
C、 MD5加密
D、 多账户共用一个密码
17、在远程管理Linux服务器时，以下（ ）方式采用加密的数据传输。
A、 rsh
B、 telnet
C、 ssh
D、 rlogin
18、在C语言中（以16位PC机为例），5种基本数据类型的存储空间长度的排列顺序为 （ ）
A、 charB、 char=intC、 charD、 char=int=long int<=float19、下列方法中不能用来进行DNS欺骗的是？（ ）
A、 缓存感染
B、 DNS信息劫持
C、 DNS重定向
D、 路由重定向
20、以下对DoS攻击的描述，正确的是？（ ）
A、 不需要侵入受攻击的系统
B、 以窃取目标系统上的机密信息为目的
C、 导致目标系统无法正常处理用户的请求
D、 若目标系统没有漏洞，远程攻击就不会成功
21、通过TCP序号猜测，攻击者可以实施下列哪一种攻击？（ ）
A、 端口扫描攻击
B、 ARP欺骗攻击
C、 网络监听攻击
D、 TCP会话劫持攻击
22、下面不是保护数据库安全涉及到的任务是（）。（ ）
A、 确保数据不能被未经过授权的用户执行存取操作
B、 防止未经过授权的人员删除和修改数据
C、 向数据库系统开发商索要源代码，做代码级检查
D、 监视对数据的访问和更改等使用情况
23、下面不是 Oracle 数据库提供的审计形式的是（ ）。
A、 备份审计
B、 语句审计
C、 特权审计
D、 模式对象设计
24、在一下古典密码体制中，属于置换密码的是？（ ）
A、 移位密码
B、 倒叙密码
C、 仿射密码
D、 PlayFair 密码
25、一个基于网络的IDS应用程序利用什么来检测攻击？（ ）
A、 正确配置的DNS
B、 特征库
C、 攻击描述
D、 信息包嗅探器
26、下列工具中可以对web表单进行暴力破解的是 （ ）
A、 Burp suite
B、 Nmap
C、 sqlmap
D、 Appscan
27、在( )年，美国国家标准局NBS把IBM的Tuchman-Meyer方案确定数据加密标准，即 DES。（ ）
A、 1949
B、 1972
C、 1977
D、 2001
28、VIM模式切换的说法中，正确的是？（ ）
A、 命令模式通过i命令进入输入模式
B、 输入模式通过:切换到末行模式
C、 命令模式通过ESC键进入末行模式
D、 末行模式通过i进入输入模式
29、密码学的目的是 （ ）
A、 研究数据加密
B、 研究数据解密
C、 研究数据保密
D、 研究信息安全
30、能显示TCP和UDP连接信息的命令是？（ ）
A、 netstat -s
B、 netstat -e
C、 netstat -r
D、 netstat -a
31、重合指数法对下面哪种密码算法的破解最有效？（ ）
A、 置换密码
B、 单表代换密码
C、 多表代换密码
D、 序列密码
32、Python中哪个占位符表示字符串数据？（ ）
A、 %s
B、 %S
C、 %d
D、 %b
33、关于sed操作命令中，说法错误的是？（ ）
A、 a 命令在行的前面另起一行新增
B、 p 命令打印相关行，配合-n使用
C、 c 命令替换行
D、 d 命令删除行
34、RIP路由协议有RIP v1 和RIP v2两个版本，下面关于这两个版本的说法错误的是（ ）。
A、 RIP v1和RIP v2都具有水平分割功能
B、 RIP v1 是有类路由协议，RIP v2是无类路由协议
C、 RIP v1 和 RIP v2 都是以跳数作为度量值
D、 RIP v1 规定跳数的最大值为15，16跳视为不可达；而RIP v2无此限制
35、在RHEL5系统中，对Postfix邮件服务的配置主要通过修改（ ）文件来进行。
A、 Main.cf
B、 Smtpd.conf
C、 Postfix.cf
D、 Postfix.conf
二、 多选题 （每题3分，共10题，共30分）
1、Apache服务器外围加固措施包括？（ ）
A、 部署WAF
B、 部署IPS
C、 部署IDS
D、 部署蜜罐系统
2、数据库系统可能的潜在安全风险包括（ ）。
A、 操作系统安全风险，包括软件的缺陷、未进行软件安全漏洞修补工作、脆弱的服务和选择不安全的默认配置
B、 数据库系统中可用的但并未正确使用的安全选项、危险的默认设置、给用户不适当的权限、对系统配置的未经授权的改动等
C、 不及时更改登录密码或密码太过简单，存在对重要数据的非法访问以及窃取数据库内容或恶意破坏等
D、 数据库系统的内部风险，如内部用户的恶意操作等
3、关于函数，下面哪些说法是错误的？（ ）
A、 函数必须返回一个结果
B、 函数不能调用自身
C、 函数命名只能以字母或数字开头
D、 在同一个文件中，不应定义重名的函数
4、netwox工具拥有以下哪些功能？（ ）
A、 嗅探
B、 SQL注入
C、 欺骗
D、 地址转换
5、移动用户常用的VPN接入方式是（ ）。
A、 L2TP
B、 IPSECHIKE野蛮模式
C、 GRE+IPSEC
D、 L2TP+IPSEC
6、以下关于TCP和UDP协议的说法错误的是？（ ）
A、 没有区别，两者都是在网络上传输数据
B、 TCP是一个定向的可靠的传输层协议，而UDP是一个不可靠的传输层协议
C、 UDP是一个局域网协议，不能用于Interner传输，TCP则相反
D、 TCP协议占用带宽较UDP协议多
7、APTECH公司的管理员使用DPM 2007对Exchange Server 2007中的邮件进行备份还原，当通过Exchange Server 2007中的恢复存储组进行还原时，下列选项中说法正确的是（ ）。
A、 可以对单个用户的邮箱数据进行还原
B、 只能够对整个存储组的所有用户邮箱数据进行还原
C、 其他存储组的用户邮箱不可用
D、 需要停止Microsoft Exchange Information Store服务
8、Bash环境变量中，常见的环境变量有？（ ）
A、 HOSTNAME
B、 PASS
C、 SHELL
D、 USER
9、防火墙的主要技术有哪些？（ ）
A、 简单包过滤技术
B、 状态检测包过滤技术
C、 应用代理技术
D、 复合技术
10、关于IKE的描述正确的是（ ）
A、 IKE不是在网络上直接传送密钥，而是通过一系列数据的交换，最终计算出双方共享的密钥
B、 IKE是在网络上传送加密后的密钥，以保证密钥的安全性
C、 IKE采用完善前向安全特性PFS，一个密钥被破解，并不影响其他密钥的安全性
D、 IKE 采用DH算法计算出最终的共享密钥全国职业院校技能大赛
高等职业教育组
信息安全管理与评估
赛题十
模块一
网络平台搭建与设备安全防护
赛项时间
共计180分钟。
赛项信息
竞赛阶段 任务阶段 竞赛任务 竞赛时间 分值
第一阶段 网络平台搭建与设备安全防护 任务1 网络平台搭建 XX:XX- XX:XX 50
任务2 网络安全设备配置与防护 250
赛项内容
本次大赛，各位选手需要完成三个阶段的任务，其中第一个阶段需要按裁判组专门提供的U盘中的“XXX-答题模板”提交答案。第二、三阶段请根据现场具体题目要求操作。
选手首先需要在U盘的根目录下建立一个名为“GWxx”的文件夹（xx用具体的工位号替代），赛题第一阶段所完成的“XXX-答题模板”放置在文件夹中。
例如：08工位，则需要在U盘根目录下建立“GW08”文件夹，并在“GW08”文件夹下直接放置第一个阶段的所有“XXX-答题模板”文件。
特别说明：只允许在根目录下的“GWxx”文件夹中体现一次工位信息，不允许在其他文件夹名称或文件名称中再次体现工位信息，否则按作弊处理。
赛项环境设置
网络拓扑图
IP地址规划表
设备名称 接口 IP地址 对端设备 接口
防火墙 FW ETH0/1-2 20.1.0.1/30（trust1安全域） SW eth1/0/1-2
20.1.1.1/30（untrust1安全域） SW
202.22.1.1/29（untrust） SW
ETH0/3 20.10.28.1/24(DMZ) WAF
Eth0/4-5 20.1.0.14/30 AC Eth1/0/21-22
Loopback1 20.0.0.254/32（trust） Router-id
SSL Pool 192.168.10.1/26 可用IP数量为20 SSL VPN地址池
三层交换机SW ETH1/0/4 财务专线 AC ETH1/0/4
ETH1/0/5 办公专线 AC ETH1/0/5
VLAN21 ETH1/0/1-2 20.1.0.2/30 FW Vlan name TO-FW1
VLAN22 ETH1/0/1-2 20.1.1.2/30 FW Vlan name TO-FW2
VLAN 23 ETH1/0/1-2 202.22.1.2/29 FW Vlan name TO-internet
VLAN 24 ETH1/0/24 203.23.1.1/29 BC Vlan name TO-BC
Vlan 25 Eth 1/0/18-19 20.1.0.17/30 BC Vlan name TO-BC-N
VLAN 10 需设定 无线1 Vlan name WIFI-vlan10
VLAN 20 需设定 无线2 Vlan name WIFI-vlan20
VLAN 30 ETH1/0/4 20.1.0.5/30 AC 1/0/4 Vlan name T0-SW
VLAN 31 Eth1/0/10-12 20.1.3.1/25 Vlan name SW
VLAN 40 ETH1/0/5 20.1.0.9/30 AC 1/0/5 Vlan name TO-IPV6
VLAN 41 ETH1/0/6-9 20.1.41.1/24 PC3 Vlan name BG
Vlan 50 Eth1/0/13-14 20.1.50.1/24 IPV6 2001:DA8:50::1/64 Vlan name Sales
VLAN 100 ETH 1/0/20 需设定 Vlan name AP-Manage
Loopback1 20.0.0.253/32(router-id)
无线控制器AC VLAN 30 ETH1/0/4 20.1.0.6/30 SW 1/0/4 Vlan name TO-SW
VLAN 31 20.1.3.129/25 Vlan name SW
VLAN 40 ETH1/0/5 20.1.0.10/30 SW 1/0/5 Vlan name TO-IPV6
Vlan 60 Eth1/0/13-14 20.1.60.1/24 IPV6 2001:DA8:60::1/64 Vlan name sales
Vlan 61 Eth1/0/15-18 20.1.61.1/24 Vlan name BG
Vlan 100 Eth1/0/21-22 20.1.0.13/30 FW Eth1/0/4-5 Vlan name TO-FW
Loopback1 20.1.1.254/32(router-id)
日志服务器BC LAN2-3 20.1.0.18/30 SW
WAN2 203.23.1.2/29 SW
PPTP-pool 192.168.10.129/26（10个地址）
WEB应用防火墙WAF ETH2 20.10.28.2/24 SERVER
ETH3 FW
AP Eth1 SW（20口）
PC1 网卡 eth1/0/7 SW
SERVER 网卡 20.10.28.10/24
第一阶段任务书
任务1：网络平台搭建 （50分）
题号 网络需求
1 根据网络拓扑图所示，按照IP地址参数表，对FW的名称、各接口IP地址进行配置。设备名称根据网络拓扑图所示配置；（8分）
2 根据网络拓扑图所示，按照IP地址参数表，对SW的名称进行配置，创建VLAN并将相应接口划入VLAN。设备名称根据网络拓扑图所示配置；（16分）
3 根据网络拓扑图所示，按照IP地址参数表，对AC的各接口IP地址进行配置。设备名称根据网络拓扑图所示配置；（10）
4 根据网络拓扑图所示，按照IP地址参数表，对BC的名称、各接口IP地址进行配置。设备名称根据网络拓扑图所示配置；（8分）
5 根据网络拓扑图所示，按照IP 地址规划表，对WEB 应用防火墙的名称、各接口IP 地址进行配置。设备名称根据网络拓扑图所示配置；（8）
任务2：网络安全设备配置与防护（250分）
SW和AC开启telnet登录功能，telnet登录账户仅包含“ABC4321”，密码为明文“ABC4321”，采用telnet方式登录设备时需要输入enable密码，密码设置为明文“12345” 。
北京总公司和南京分公司租用了运营商两条裸光纤，实现内部办公互通。一条裸光纤承载公司财务部门业务，一条裸光纤承载其他内部业务。使用相关技术实现总公司财务段路由表与公司其它业务网段路由表隔离，财务业务位于VPN 实例名称SW 内，总公司财务和分公司财务能够通信，财务部门总公司和分公司之间采用RIP路由实现互相访问。
尽可能加大总公司核心和出口BC之间的带宽。
为防止终端产生MAC地址泛洪攻击，请配置端口安全，已划分VLAN41的端口最多学习到5个MAC 地址，发生违规阻止后续违规流量通过，不影响已有流量并产生LOG 日志；连接PC1 的接口为专用接口，限定只允许PC1的MAC 地址可以连接。
总公司核心交换机端口ethernet1/0/6上，将属于网段20.1.41.0内的报文带宽限制为10M比特/秒，突发值设为4M字节，超过带宽的该网段内的报文一律丢弃。
在SW上配置将8端口收到的源IP为20.1.41.111的帧重定向到9端口，即从8端口收到的源IP为20.1.41.111的帧通过9端口转发出去。
总公司SW交换机模拟因特网交换机，通过某种技术实现本地路由和因特网路由进行隔离，因特网路由实例名internet。
对SW上VLAN50开启以下安全机制。业务内部终端相互二层隔离，启用环路检测，环路检测的时间间隔为10s，发现环路以后关闭该端口，恢复时间为30分钟； 如私设DHCP服务器关闭该端口;开启防止ARP欺骗攻击。
配置使北京公司内网用户通过总公司出口BC访问因特网，分公司内网用户通过分公司出口FW访问因特网，要求总公司核心交换机9口VLAN41业务的用户访问因特网的流量往反数据流经过防火墙在通过BC访问因特网;防火墙untrust和trust1开启安全防护，参数采用默认参数。
为了防止DOS攻击的发生，在总部交换机vlan50接口下对MAC、ARP、ND表项数量进行限制，具体要求为：最大可以学习20个动态MAC地址、20个动态ARP地址、50个NEIGHBOR表项。
总公司和分公司今年进行IPv6试点，要求总公司和分公司销售部门用户能够通过IPV6相互访问，IPV6业务通过租用裸纤承载。实现分公司和总公司ipv6业务相互访问；AC与SW之间配置静态路由 使VLAN50与VLAN60可以通过IPv6通信；IPv6业务地址规划如下，其它IPv6地址自行规划。
业务 IPV6地址
总公司VLAN50 2001::DA8:50：:1/64
分公司VLAN60 2001::DA8:60：:1/64
在总公司核心交换机SW配置IPv6地址，开启路由公告功能，路由器公告的生存期为2小时，确保销售部门的IPv6终端可以通过DHCP SERVER 获取IPv6地址，在SW上开启IPV6 dhcp server功能，ipv6地址范围2001:da8:50::2-2001:da8:50::100。
在南京分公司上配置IPv6地址，使用相关特性实现销售部的IPv6终端可自动从网关处获得IPv6无状态地址。
SW与AC，AC与FW之间配置OSPF area 0 开启基于链路的MD5认证，密钥自定义，传播访问INTERNET 默认路由，让总公司和分公司内网用户能够相互访问包含AC上loopback1地址；分公司SW和BC之间运行静态路由协议。
分公司销售部门通过防火墙上的DHCP SERVER获取IP地址，server IP地址为20.0.0.254，地址池范围20.1.60.10-20.1.60.100，dns-server 8.8.8.8。
如果SW的11端口的收包速率超过30000则关闭此端口，恢复时间5分钟，为了更好地提高数据转发的性能，SW交换中的数据包大小指定为1600字节。
为实现对防火墙的安全管理，在防火墙FW的Trust安全域开启PING,HTTP，telnet，SNMP功能，Untrust安全域开启SSH、HTTPS功能。
在分部防火墙上配置，分部VLAN业务用户通过防火墙访问Internet时，复用公网IP： 202.22.1.3、202.22.1.4；保证每一个源IP 产生的所有会话将被映射到同一个固定的IP 地址，当有流量匹配本地址转换规则时产生日志信息，将匹配的日志发送至20.10.28.10 的UDP 2000 端口。
远程移动办公用户通过专线方式接入分公司网络，在防火墙FW上配置，采用SSL方式实现仅允许对内网VLAN 61的访问，端口号使用4455，用户名密码均为ABC4321，地址池参见地址表。
分公司部署了一台WEB服务器ip为20.10.28.10，接在防火墙的DMZ区域为外网用户提供web服务，要求内网用户能,ping通web服务器和访问服务器上的web服务（端口80）和远程管理服务器（端口3389），外网用户只能访问通过防火墙外网地址访问服务器web服务。
为了安全考虑，无线用户移动性较强，访问因特网时需要在BC上开启web认证，采用本地认证，密码账号都为web4321。
由于分公司到因特网链路带宽比较低，出口只有200M带宽，需要在防火墙配置iQOS，系统中 P2P 总的流量不能超过 100M ，同时限制每用户最大下载带宽为2M，上传为1M，优先保障HTTP应用，为http预留100M带宽。
为净化上网环境，要求在防火墙FW做相关配置，禁止无线用户周一至周五工作时间9：00-18：00的邮件内容中含有“病毒”、“赌博”的内容，且记录日志。
由于总公司无线是通过分公司的无线控制器统一管理，为了防止专线故障导致无线不能使用，总公司和分公司使用互联网作为总公司无线ap和AC相互访问的备份链路。FW和BC之间通过IPSEC技术实现AP管理段与无线AC之间联通，具体要求为采用预共享密码为 ABC4321，IKE 阶段 1 采用 DH 组 1、DES 和 MD5 加密方，IKE 阶段 2 采用 ESP-DES，MD5。
总公司用户，通过BC访问因特网，BC采用路由方式，在BC上做相关配置，让总公司内网用户（不包含财务）通过BC外网口ip访问因特网。
在BC上配置PPTP vpn 让外网用户能够通过PPTP vpn访问总公司SW上内网地址，用户名为test，密码test23。
为了提高分公司出口带宽，尽可能加大分公司AC和出口FW之间带宽。
在BC上开启上网审计策略，对总公司内网用户启用web全部记录、记录即时通讯的登录信息、记录邮件的全部记录，要求全部审计，记录所有网页访问。
为了防止总公司内网用户私接小路由上网，需要在BC上做相关配置，内网私接小路由进行惩罚，强制下线。
总公司出口带宽较低，总带宽只有200M，为了防止内网用户使用p2p迅雷下载占用大量带宽需要限制内部员工使用P2P工具下载的流量，最大上下行带宽都为50M，以免P2P流量占用太多的出口网络带宽，启用阻断记录。
通过BC设置总公司用户在上班时间周一到周五9:00到18:00禁止玩游戏,并启用阻断记录。
限制总公司内网用户访问因特网web视频和即时通信最大带宽为20M，上传为10M，启用阻断记录。
BC上开启黑名单告警功能，级别为预警状态，并进行邮件告警和记录日志，发现cpu使用率大于80%，内存使用大于80%时进行邮件告警并记录日志，级别为严重状态。发送邮件地址为123@，接收邮件为133139123456@。
分公司内部有一台网站服务器直连到WAF，地址是20.10.28.10，端口是8080，配置将服务访问日志、WEB防护日志、服务监控日志信息发送syslog日志服务器， IP地址是20.10.28.6，UDP的514端口;
在分公司的WAF上配置，阻止常见的WEB攻击数据包访问到公司内网服务器，防止某源IP地址在短时间内发送大量的恶意请求，影响公司网站正常服务，大量请求的确认值是：10秒钟超过1000次请求。
编辑防护策略，定义HTTP请求体的最大长度为256，防止缓冲区溢出攻击。
WAF上配置开启爬虫防护功能，当爬虫标识为Spider360，自动阻止该行为；WAF上配置阻止用户上传ZIP、DOC、JPG、RAR格式文件;WAF上配置编辑防护策略，要求客户机访问内部网站时，禁止访问*.bat的文件;
WAF上配置，使用WAF的漏洞立即扫描功能检测服务器（20.10.28.10）的安全漏洞情况，要求包括信息泄露、SQL注入、跨站脚本编制。
WAF上配置开启防护策略，将请求报头DATA 自动重写为DATE。
WAF上配置开启错误代码屏蔽功能，屏蔽404错误代码。
由于公司IP地址为统一规划，原有无线网段IP地址为 172.16.0.0/22,为了避免地址浪费需要对ip地址进行重新分配；要求如下：未来公司预计部署ap 50台；办公无线用户vlan 10预计300人，来宾用户vlan20以及不超过50人。
AC 上配置DHCP，管理VLAN 为VLAN100,为AP 下发管理地址，网段中第一个可用地址为AP 管理地址，最后一个可用地址为网关地址，AP通过DHCP opion 43注册，AC地址为loopback1地址；为无线用户VLAN10,20下发IP 地址，最后一个可用地址为网关。
在NETWORK下配置SSID，需求如下：NETWORK 1下设置SSID ABC4321，VLAN10，加密模式为wpa-peSWonal,其口令为43214321。
NETWORK 2下设置SSID GUEST，VLAN20不进行认证加密,做相应配置隐藏该SSID。
NETWORK 2开启内置portal+本地认证的认证方式，账号为test密码为test4321。
配置SSID GUEST每天早上0点到6点禁止终端接入; GUSET最多接入10个用户，并对GUEST网络进行流控，上行1M，下行2M；配置所有无线接入用户相互隔离。
配置当AP上线，如果AC中储存的Image版本和AP的Image版本号不同时，会触发AP自动升级；配置AP发送向无线终端表明AP存在的帧时间间隔为2秒；配置AP失败状态超时时间及探测到的客户端状态超时时间都为2小时；配置AP在脱离AC管理时依然可以正常工作。
为防止外部人员蹭网，现需在设置信号值低于50%的终端禁止连接无线信号；为防止非法AP假冒合法SSID，开启AP威胁检测功能。
SW、AC运行静态组播路由和因特网组管理协议第二版本；总公司办公段和分公司办公段启用组播协议，总公司采用三层组播，使用密集模式，分公司采用二层组播。
PC1启用组播，使用VLC工具串流播放视频文件1.mpg，组地址228.10.10.10，端口：1234，实现PC2可以通过组播查看视频播放。
全国职业院校技能大赛
高等职业教育组
信息安全管理与评估
模块二
网络安全事件响应、数字取证调查、应用程序安全
竞赛项目赛题
本文件为信息安全管理与评估项目竞赛-第二阶段样题，内容包括：网络安全事件响应、数字取证调查、应用程序安全。
本次比赛时间为180分钟。
介绍
竞赛有固定的开始和结束时间，参赛队伍必须决定如何有效的分配时间。请认真阅读以下指引！
（1）当竞赛结束，离开时请不要关机；
（2）所有配置应当在重启后有效；
（3）请不要修改实体机的配置和虚拟机本身的硬件设置。
所需的设备、机械、装置和材料
所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完成。
评分方案
本阶段总分数为300分。
项目和任务描述
随着网络和信息化水平的不断发展，网络安全事件也层出不穷，网络恶意代码传播、信息窃取、信息篡改、远程控制等各种网络攻击行为已严重威胁到信息系统的机密性、完整性和可用性。因此，对抗网络攻击，组织安全事件应急响应，采集电子证据等技术工作是网络安全防护的重要部分。现在，A集团已遭受来自不明组织的非法恶意攻击，您的团队需要帮助A集团追踪此网络攻击来源，分析恶意攻击攻击行为的证据线索，找出操作系统和应用程序中的漏洞或者恶意代码，帮助其巩固网络安全防线。
本模块主要分为以下几个部分：
网络安全事件响应
数字取证调查
应用程序安全
本部分的所有工作任务素材或环境均已放置在指定的计算机上，参赛选手完成后，填写在电脑桌面上“信息安全管理与评估竞赛-答题卷”中，竞赛结束时每组将答案整合到一份PDF文档提交。选手的电脑中已经安装好 Office 软件并提供必要的软件工具。
工作任务
第一部分 网络安全事件响应
任务1：Windows服务器应急响应（70分）
A集团的Windows服务器被黑客入侵，该服务器的Web应用系统被上传恶意软件，系统文件被恶意软件破坏，您的团队需要帮助该公司追踪此网络攻击的来源，在服务器上进行全面的检查，包括日志信息、进程信息、系统文件、恶意文件等，从而分析黑客的攻击行为，发现系统中的漏洞，并对发现的漏洞进行修复。
本任务素材清单：Windows服务器虚拟机。
受攻击的Server服务器已整体打包成虚拟机文件保存，请选手自行导入分析。
注意：Server服务器的基本配置参见附录，若题目中未明确规定，请使用默认配置。
请按要求完成该部分的工作任务。
任务1：Windows server服务器应急响应
序号 任务内容 答案
1 请提交攻击者攻击成功的第一时间，格式：YY:MM:DD hh:mm:ss
2 请提交攻击者的浏览器版本
3 请提交攻击者目录扫描所使用的工具名称
4 找到攻击者写入的恶意后门文件，提交文件名（完整路径）
5 找到攻击者隐藏在正常web应用代码中的恶意代码，提交该文件名（完整路径）
6 请提交内存中可疑进程的PID
7 请提交攻击者执行过几次修改文件访问权限的命令
8 请指出可疑进程采用的自动启动的方式
第二部分 数字取证调查
任务2 ：基于Linux的内存取证（40分）
A集团某服务器系统感染恶意程序，导致系统关键文件被破坏，请分析A集团提供的系统镜像和内存镜像，找到系统镜像中的恶意软件，分析恶意软件行为。
本任务素材清单：存储镜像、内存镜像。
请按要求完成该部分的工作任务。
任务2：基于Linux的内存取证
序号 任务内容 答案
1 请提交用户目录下压缩包的解压密码
2 请提交root账户的登录密码
3 请指出攻击者通过什么命令实现提权操作
4 请指出内存中恶意进程的PID
5 请指出恶意进程加密文件的文件类型
任务3：通信数据分析取证（USB）（50分）
A集团的网络安全监控系统发现恶意份子正在实施高级可持续攻击（APT），并抓取了部分可疑流量包。请您根据捕捉到的流量包，搜寻出网络攻击线索，分解出隐藏的恶意程序，并分析恶意程序的行为。
本任务素材清单：捕获的通信数据文件。
请按要求完成该部分的工作任务。
任务3：通信数据分析取证（USB）
序号 任务内容 答案
1 请提交攻击者一共上传了几个文件
2 请提交攻击者上传的木马文件的MD5值
3 请写出攻击者运行木马文件的命令（含参数）
4 攻击者获取主机权限之后，进行了回连操作，请提交回连的IP地址
任务4： 基于MacOS计算机单机取证（60分）
对给定取证镜像文件进行分析，搜寻证据关键字（线索关键字为“evidence 1”、“evidence 2”、……、“evidence 10”，有文本形式也有图片形式，不区分大小写），请提取和固定比赛要求的标的证据文件，并按样例的格式要求填写相关信息，证据文件在总文件数中所占比例不低于15%。取证的信息可能隐藏在正常的、已删除的或受损的文件中，您可能需要运用编码转换技术、加解密技术、隐写技术、数据恢复技术，还需要熟悉常用的文件格式（如办公文档、压缩文档、图片等）。
本任务素材清单：取证镜像文件。
请按要求完成该部分的工作任务。
任务4：基于MacOS计算机单机取证
证据编号 在取证镜像中的文件名 镜像中原文件Hash码（MD5，不区分大小写）
evidence 1 提交文件名正确得分
evidence 2 提交文件名正确得分
evidence 3 提交文件名正确得分
evidence 4 提交文件名正确得分
evidence 5 提交文件名正确得分
evidence 6 提交文件名正确得分
evidence 7 提交文件名正确得分
evidence 8 提交文件名正确得分
evidence 9 提交文件名正确得分
evidence 10 提交文件名正确得分
第三部分 应用程序安全
任务5：Android恶意程序分析（50分）
A集团发现其发布的Android移动应用程序文件遭到非法篡改，您的团队需要协助A集团对该恶意程序样本进行逆向分析、对其攻击/破坏的行为进行调查取证。
本任务素材清单：Android的apk文件。
请按要求完成该部分的工作任务。
任务5：Android恶意程序分析
序号 任务内容 答案
1 请提交恶意应用回传数据的url地址
2 请提交恶意应用保存数据文件名称（含路径）
3 请提交恶意应用解密数据的密钥
4 请描述恶意应用的行为
任务6：PHP代码审计（30分）
A集团发现其发布的web应用程序中被黑客种植了webshell，文件遭到非法篡改，您的团队需要协助A集团对该恶意脚本程序样本进行分析、对其攻击/破坏的行为进行调查取证。
本任务素材清单：PHP文件。
请按要求完成该部分的工作任务。
任务6：PHP代码审计
序号 任务内容 答案
1 请提交存在安全漏洞的代码行
2 请指出安全漏洞的名称
3 请修改该代码行使其变得安全
全国职业院校技能大赛
高等职业教育组
信息安全管理与评估
模块三
网络安全渗透、理论技能与职业素养
竞赛项目赛题
本文件为信息安全管理与评估项目竞赛-第三阶段样题，内容包括：网络安全渗透、理论技能与职业素养。
本次比赛时间为180分钟。
介绍
网络安全渗透的目标是作为一名网络安全专业人员在一个模拟的网络环境中实现网络安全渗透测试工作。
本模块要求参赛者作为攻击方，运用所学的信息收集、漏洞发现、漏洞利用等技术完成对网络的渗透测试；并且能够通过各种信息安全相关技术分析获取存在的flag值。
所需的设施设备和材料
所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完成。
评分方案
本测试项目模块分数为400分，其中，网络安全渗透300分，理论技能与职业素养100分。
项目和任务描述
在A集团的网络中存在几台服务器，各服务器存在着不同业务服务。在网络中存在着一定网络安全隐患，请通过信息收集、漏洞挖掘等渗透测试技术，完成指定项目的渗透测试，在测试中获取flag值。网络环境参考样例请查看附录A。
本模块所使用到的渗透测试技术包含但不限于如下技术领域：
数据库攻击
枚举攻击
权限提升攻击
基于应用系统的攻击
基于操作系统的攻击
逆向分析
密码学分析
隐写分析
所有设备和服务器的IP地址请查看现场提供的设备列表。
特别提醒
通过找到正确的flag值来获取得分，flag统一格式如下所示：
flag{}
这种格式在某些环境中可能被隐藏甚至混淆。所以，注意一些敏感信息并利用工具把它找出来。
注：部分flag可能非统一格式，若存在此情况将会在题目描述中明确指出flag格式，请注意审题。
工作任务
人力资源管理系统（45分）
任务编号 任务描述 答案 分值
任务一 人力资源管理系统存在漏洞，请利用漏洞并找到flag，并将flag提交。flag格式flag{}
任务二 人力资源管理系统存在漏洞，请利用漏洞并找到flag，并将flag提交。flag格式flag{}
任务三 人力资源管理系统存在漏洞，请利用漏洞并找到flag，并将flag提交。flag格式flag{}
邮件系统（30分）
任务编号 任务描述 答案 分值
任务四 邮件系统存在漏洞，请利用漏洞并找到flag，并将flag提交。flag格式flag{}
任务五 邮件系统存在漏洞，请利用漏洞并找到flag，并将flag提交。flag格式flag{}
FTP服务器（165分）
任务编号 任务描述 答案 分值
任务六 请获取FTP服务器上对应的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务七 请获取FTP服务器上对应的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务八 请获取FTP服务器上对应的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务九 请获取FTP服务器上对应的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务十 请获取FTP服务器上对应的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务十一 请获取FTP服务器上对应的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务十二 请获取FTP服务器上对应的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务十三 请获取FTP服务器上对应的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
应用系统服务器（30分）
任务编号 任务描述 答案 分值
任务十四 应用系统服务器10000端口存在漏洞，获取FTP服务器上对应的文件进行分析，请利用漏洞找到flag，并将flag提交。flag格式flag{}
测试系统服务器（30分）
任务编号 任务描述 答案 分值
任务十五 应用系统服务器10001端口存在漏洞，获取FTP服务器上对应的文件进行分析，请利用漏洞找到flag，并将flag提交。flag格式flag{}
附录A
图1 网络拓扑结构图
理论技能与职业素养（100分）
2023年全国职业院校技能大赛（高等职业教育组）
“信息安全管理与评估”测试题（样题）
【注意事项】
1.理论测试前请仔细阅读测试系统使用说明文档，按提供的账号和密码登录测试系统进行测试，账号只限1人登录。
2.该部分答题时长包含在第三阶段比赛时长内，请在临近竞赛结束前提交。
3.参赛团队可根据自身情况，可选择1-3名参赛选手进行作答，团队内部可以交流，但不得影响其他参赛队。
一、 单选题 （每题2分，共35题，共70分）
1、外部数据包过滤路由器只能阻止一种类型的IP欺骗，即（ ） ，而不能阻止DNS欺骗？（ ）
A、 内部主机伪装成外部主机的IP
B、 内部主机伪装成内部主机的IP
C、 外部主机伪装成外部主机的IP
D、 外部主机伪装成内部主机的IP
2、Open函数中w 参数的作用是？（ ）
A、 读文件内容
B、 写文件内容
C、 删除文件内容
D、 复制文件内容
3、通过设置网络接口（网卡）的（ ） ，可以使其接受目的地址并不指向自己的网络数据包，从而达到网络嗅探攻击的目的？
A、 共享模式
B、 交换模式
C、 混杂模式
D、 随机模式
4、以下不属于入侵监测系统的是（ ） 。
A、 AAFID系统
B、 SNORT系统
C、 IETF系统
D、 NETEYE系统
5、通过TCP序号猜测，攻击者可以实施下列哪一种攻击？（ ）
A、 端口扫描攻击
B、 ARP欺骗攻击
C、 网络监听攻击
D、 TCP会话劫持攻击
6、下面不是数据库的基本安全机制的是（ ） 。
A、 用户认证
B、 用户授权
C、 审计功能
D、 电磁屏蔽
7、假设创建了名为f的实例，如何在f中调用类的add_food函数？（ ）
A、 f(add_food())
B、 f.[add_food()]
C、 f.add_food
D、 f.add_food()
8、aspx 的网站配置文件一般存放在哪个文件里？（ ）
A、 conn.asp
B、 config.php
C、 web.config
D、 index.aspx
9、一个基于特征的IDS应用程序需要下列选项中的哪一项来对一个攻击做出反应？（ ）
A、 正确配置的DNS
B、 正确配置的规则
C、 特征库
D、 日志
10、完成数据库应用系统的设计并进行实施后，数据库系统进入运行维护阶段。下列工作中不属于数据库运行维护工作的是（ ） 。
A、 恢复数据库数据以核查问题
B、 为了保证安全，定期修改数据库用户的密码
C、 更换数据库服务器以提高应用系统运行速度
D、 使用开发人员提供的SQL语句易始化数据库中的表
11、以下不属入侵检测中要收集的信息的是（ ） 。
A、 系统和网络日志文件
B、 目录和文件的内容
C、 程序执行中不期望的行为
D、 物理形式的入侵信息
12、POP3服务器使用的监听端口是？（ ）
A、 TCP的25端口
B、 TCP的110端口
C、 UDP的25端口
D、 UDP的110端口
13、目标计算机与网关通信失败，更会导致通信重定向的攻击形式是？（ ）
A、 病毒
B、 木马
C、 DOS
D、 ARP欺骗
14、________的目的是发现目标系统中存在的安全隐患，分析所使用的安全机制是否能够保证系统的机密性、完整性和可用性。（ ）
A、 漏洞分析
B、 入侵检测
C、 安全评估
D、 端口扫描
15、以下哪一项描述不正确？（ ）
A、 ARP是地址解析协议
B、 TCP/IP传输层协议有TCP和UDP
C、 UDP协议提供的是可靠传输
D、 IP协议位于TCP/IP网际层
16、如果想在类中创建私有方法，下面哪个命名是正确的？（ ）
A、 _add_one
B、 add_one
C、 __add_one
D、 add_one__
17、MD5的主循环有（ ） 轮。
A、 3
B、 4
C、 5
D、 8
18、根据网络安全应急处理流程，应急启动后，应该进行哪一步（ ） 。
A、 归类&定级
B、 应急处置
C、 信息通报
D、 后期处理
19、( )是一种架构在公用通信基础设施上的专用数据通信网络，利用 IPSec 等网络层安全协议和建立在 PKI 上的加密与签名技术来获得私有性。（ ）
A、 SET
B、 DDN
C、 VPN
D、 PKIX
20、假设系统中有n个用户，他们使用对称加密体制实现保密通信，那么系统中共需要管理（ n(n-1)/2）个密钥，每个用户需要保存（ ） 个密钥。
A、 n-1
B、 2n
C、 Cn2
D、 n！
21、什么是数据库安全的第一道保障（）。（ ）
A、 操作系统的安全
B、 数据库管理系统层次
C、 网络系统的安全
D、 数据库管理员
22、下列方法中不能用来进行DNS欺骗的是？（ ）
A、 缓存感染
B、 DNS信息劫持
C、 DNS重定向
D、 路由重定向
23、下列选项哪列不属于网络安全机制？（ ）
A、 加密机制
B、 数据签名机制
C、 解密机制
D、 认证机制
24、部署大中型 IPSEC VPN 时，从安全性和维护成本考虑，建议采取什么样的技术手段提供设备间的身份验证。（ ）
A、 预共享密钥
B、 数字证书
C、 路由协议验证
D、 802.1x
25、现今非常流行的SQL（数据库语言）注入攻击属于下列哪一项漏洞的利用？（ ）
A、 域名服务的欺骗漏洞
B、 邮件服务器的编程漏洞
C、 WWW服务的编程漏洞
D、 FTP服务的编程漏洞
26、维吉利亚(Vigenere)密码是古典密码体制比较有代表性的一种密码，其密码体制采用的是（ ） 。
A、 置换密码
B、 单表代换密码
C、 多表代换密码
D、 序列密码
27、如果VPN网络需要运行动态路由协议并提供私网数据加密,通常采用什么技术手段实现（ ） 。
A、 GRE
B、 GRE+IPSEC
C、 L2TP
D、 L2TP+IPSEC
28、过滤所依据的信息来源不包括？（ ）
A、 IP包头
B、 TCP包头
C、 UDP包头
D、 IGMP包头
29、bind9的日志默认保存在？（ ）
A、 /var/log/named.log
B、 /var/log/named/named.log
C、 /var/named/data/named.run
D、 /var/log/data/named.run
30、一个完整的密码体制，不包括以下（ ）要素。
A、 明文空间
B、 密文空间
C、 数字签名
D、 密钥空间
31、Linux系统中，添加用户的命令是？（ ）
A、 net user test /add
B、 user add test
C、 useradd test
D、 test useradd
32、以下关于正则表达式，说法错误的是？（ ）
A、 ‘root’表示匹配包含root字符串的内容
B、 ‘.’表示匹配任意字符
C、 [0-9]表示匹配数字
D、 ‘^root’表示取反
33、将用户user123修改为管理员权限命令是 （ ） 。
A、 net user localgroup administrators user123 /add
B、 net use localgroup administrators user123 /add
C、 net localgroup administrators user123 /add
D、 net localgroup administrator user123 /add
34、VIM模式切换的说法中，正确的是？（ ）
A、 命令模式通过i命令进入输入模式
B、 输入模式通过:切换到末行模式
C、 命令模式通过ESC键进入末行模式
D、 末行模式通过i进入输入模式
35、在常见的安全扫描工具中，以下（ ） 主要用来分析Web站点的漏洞，可以针对数千种常见的网页漏洞或安全风险进行检测。
A、 SuperScan
B、 Fluxay（流光）
C、 Wikto
D、 MBSA
二、 多选题 （每题3分，共10题，共30分）
1、SQL Server提供了DES、RC2、RC4和AES等加密算法，没有某种算法能适应所有要求，每种算法都有优劣势，但选择算法需要有如下共通之处（ ） 。
A、 强加密通常会比较弱的加密占用更多的CPU资源
B、 长密钥通常会比短密钥生成更强的加密
C、 如果加密大量数据，应使用对称密钥来加密数据，并使用非对称密钥来加密该对称密钥
D、 可以先对数据进行加密，然后再对其进行压缩
2、以下关于TCP和UDP协议的说法错误的是？（ ）
A、 没有区别，两者都是在网络上传输数据
B、 TCP是一个定向的可靠的传输层协议，而UDP是一个不可靠的传输层协议
C、 UDP是一个局域网协议，不能用于Interner传输，TCP则相反
D、 TCP协议占用带宽较UDP协议多
3、关于函数中变量的定义，哪些说法是正确的？（ ）
A、 即使函数外已经定义了这个变量，函数内部仍然可以定义
B、 如果一个函数已经定义了name变量，那么其他的函数就不能再定义
C、 函数可以直接引用函数外部定义过的变量
D、 函数内部只能定义一个变量
4、下面标准可用于评估数据库的安全级别的有（ ）
A、 TCSEC
B、 IFTSEC
C、 CC DBMS.PP
D、 GB17859-1999E.TD
5、安全的网络通信必须考虑以下哪些方面？（ ）
A、 加密算法
B、 用于加密算法的秘密信息
C、 秘密信息的分布和共享
D、 使用加密算法和秘密信息以获得安全服务所需的协议
6、RC4加密算法被广.泛应用，包括（ ）
A、 SSL/TLS
B、 WEP协议
C、 WPA协议
D、 数字签名
7、VIM的工作模式，包括哪些？（ ）
A、 命令模式
B、 输入模式
C、 高亮模式
D、 底行模式
8、在反杀伤链中，情报可以分为那几个层次？（ ）
A、 战斗
B、 战略
C、 战区
D、 战术
9、我国现行的信息安全法律体系框架分为（ ）三个层面。
A、信息安全相关的国家法律
B、信息安全相关的行政法规和部分规章
C、信息安全相关的地方法规/规章和行业规定
D、信息安全相关的个人职业素养
10、信息道德与信息安全问题一直存在的原因有（ ）。
A、信息系统防护水平不高
B、信息安全意识不强
C、信息安全法律法规不完善
D、网络行为道德规范尚未形成全国职业院校技能大赛
高等职业教育组
信息安全管理与评估
赛题三
模块一
网络平台搭建与设备安全防护
赛项时间
共计180分钟。
赛项信息
竞赛阶段 任务阶段 竞赛任务 竞赛时间 分值
第一阶段 网络平台搭建与设备安全防护 任务1 网络平台搭建 XX:XX- XX:XX 50
任务2 网络安全设备配置与防护 250
赛项内容
本次大赛，各位选手需要完成三个阶段的任务，其中第一个阶段需要按裁判组专门提供的U盘中的“XXX-答题模板”提交答案。第二、三阶段请根据现场具体题目要求操作。
选手首先需要在U盘的根目录下建立一个名为“GWxx”的文件夹（xx用具体的工位号替代），赛题第一阶段所完成的“XXX-答题模板”放置在文件夹中。
例如：08工位，则需要在U盘根目录下建立“GW08”文件夹，并在“GW08”文件夹下直接放置第一个阶段的所有“XXX-答题模板”文件。
特别说明：只允许在根目录下的“GWxx”文件夹中体现一次工位信息，不允许在其他文件夹名称或文件名称中再次体现工位信息，否则按作弊处理。
赛项环境设置
某集团公司原在北京建立了总部，在南京设立了分公司。总部设有销售、产品、财务、信息技术4个部门，分公司设有销售、产品、财务3个部门，统一进行IP及业务资源的规划和分配，全网采用OSPF动态路由协议和静态路由协议进行互连互通。公司规模在2023年快速发展，业务数据量和公司访问量增长巨大。为了更好管理数据，提供服务，集团决定建立自己的中型数据中心及业务服务平台，以达到快速、可靠交换数据，以及增强业务部署弹性的目的。集团、分公司的网络结构详见拓扑图。其中总公司使用一台SW交换机用于总部核心和终端高速接入，采用一台BC作为总公司因特网出口；分公司采用一台FW防火墙作为因特网出口设备，一台AC作为分公司核心，同时作为集团有线无线智能一体化控制器，通过与AP高性能企业级AP配合实现集团无线覆盖，总部有一台WEB服务器，为了安全考虑总公司部署了一台WAF对服务器进行web防护。在2023年公司进行IPV6网络改造，内部网络采用双栈模式。Ipv6 网络采用ospf V3实现互通。
网络拓扑图
IP地址规划表
设备名称 接口 IP地址 对端设备 接口
防火墙FW ETH0/1-2 20.1.0.1/30（trust1安全域） SW eth1/0/1-2
20.1.1.1/30（untrust1安全域） SW
222.22.1.1/29（untrust） SW
ETH0/3 20.10.28.1/24(DMZ) WAF
Eth0/4-5 20.1.0.13/30 2001:da8:192:168:10:1::1/96 AC Eth1/0/21-22
Loopback1 20.0.0.254/32（trust） Router-id
L2TP Pool 192.168.10.1/26 可用IP数量为20 L2tp VPN地址池
三层交换机SW ETH1/0/4 财务专线 VPN CW AC ETH1/0/4
ETH1/0/5 trunk AC ETH1/0/5
ETH1/0/6 trunk AC ETH1/0/6
VLAN21 ETH1/0/1-2 20.1.0.2/30 FW Eth1/0/1-2
VLAN22 ETH1/0/1-2 20.1.1.2/30 FW Eth1/0/1-2
VLAN 222 ETH1/0/1-2 222.22.1.2/29 FW Eth1/0/1-2
VLAN 24 ETH1/0/24 223.23.1.2/29 BC Eth 5
Vlan 25 Eth 1/0/3 20.1.0.9/30 Ipv6:2001:da8:20:1:0::1/96 BC Eth 1
VLAN 30 ETH1/0/4 20.1.0.5/30 AC 1/0/4 Vlan name CW
VLAN 31 Eth1/0/10-12 10口配置Loopback 20.1.3.1/25 Vlan name CW
VLAN 40 ETH1/0/8-9 192.168.40.1/24 IPV6 2001:DA8:192:168:40::1/96 Vlan name 销售
VLAN 50 ETH1/0/13-14 192.168.50.1/24 IPV6 2001:DA8:192:168:50::1/96 PC3 Vlan name 产品
Vlan 60 Eth1/0/15-16 192.168.60.1/24 IPV6 2001:DA8:192:168:60::1/96 Vlan name 信息
VLAN 100 ETH 1/0/20 需设定 Vlan name AP-Manage
Loopback1 20.0.0.253/32(router-id)
无线控制器AC VLAN 30 ETH1/0/4 20.1.0.6/30 SW Vlan name TO-CW
VLAN 10 Ipv4:需设定 2001:da8:172:16:1::1/96 无线1 Vlan name WIFI-vlan10
VLAN 20 Ipv4:需设定 2001:da8:172:16:2::1/96 无线2 Vlan name WIFI-vlan20
VLAN 31 20.1.3.129/25 Vlan name CW
VLAN 140 ETH1/0/5 172.16.40.1/24 SW 1/0/5 Vlan name 销售
Vlan 150 Eth1/0/13-14 172.16.50.1/24 IPV6 2001:DA8:172:16:60::1/96 Vlan name 产品
Vlan 60 Eth1/0/15-18 192.168.60.2/24 IPV6 2001:DA8:192:168:60::2/96 Vlan name 信息
Vlan 70 Eth1/0/21-22 20.1.0.14/30 2001:da8:192:168:10:1::1/96 FW Eth1/0/4-5
Loopback1 20.1.1.254/24(router-id)
日志服务器BC Eth1 20.1.0.10/30 Ipv6:2001:da8:20:1:0::2/96 SW Eth1/0/3
Eth5 223.23.1.1/29 SW
eth3 192.168.28.1/24 WAF
PPTP-pool 192.168.10.129/26（10个地址）
WEB应用防火墙WAF ETH2 192.168.28.2/24 SERVER
ETH3 FW
AP Eth1 SW（20口）
SERVER 网卡 192.168.28.10/24
第一阶段任务书
任务1：网络平台搭建 （50分）
题号 网络需求
1 根据网络拓扑图所示，按照IP地址参数表，对FW的名称、各接口IP地址进行配置。
2 根据网络拓扑图所示，按照IP地址参数表，对SW的名称进行配置，创建VLAN并将相应接口划入VLAN。
3 根据网络拓扑图所示，按照IP地址参数表，对AC的各接口IP地址进行配置。
4 根据网络拓扑图所示，按照IP地址参数表，对BC的名称、各接口IP地址进行配置。
5 按照IP 地址规划表，对WEB 应用防火墙的名称、各接口IP 地址进行配置。
任务2：网络安全设备配置与防护（250分）
北京总公司和南京分公司有两条裸纤采用了骨干链路配置，做必要的配置，只允许必要的vlan通过，不允许其他vlan信息通过包含vlan1。
SW和AC开启telnet登录功能，telnet登录账户仅包含“***2023”，密码为明文“***2023”，采用telnet方式登录设备时需要输入enable密码，密码设置为明文“12345” 。
北京总公司和南京分公司租用了运营商三条裸光纤，实现内部办公互通。一条裸光纤承载公司财务部门业务，另外两条裸光纤承载其他内部有业务。使用相关技术实现总公司财务段路由表与公司其它业务网段路由表隔离，财务业务位于VPN 实例名称CW 内，总公司财务和分公司财务能够通信，财务部门总公司和分公司之间采用RIP路由实现互相访问。
SW和AC之间启用MSTP，实现网络二层负载均衡和冗余备份，要求如下：无线用户关联实例 1，信息部门关联实例2，名称为SKILLS，修订版本为1，设置AC为根交换机，走5口链路转发、信息部门通过6口链路转发，同时实现链路备份。除了骨干接口，关闭其他接口生成树协议。
总公司产品部门启用端口安全功能，最大安全MAC地址数为20，当超过设定MAC地址数量的最大值，不学习新的MAC、丢弃数据包、发 snmp trap、同时在syslog日志中记录，端口的老化定时器到期后，在老化周期中没有流量的部分表项老化，有流量的部分依旧保留，恢复时间为10分钟；禁止采用访问控制列表，只允许IP主机位为20-50的数据包进行转发；禁止配置访问控制列表，实现端口间二层流量无法互通，组名称FW。
由于总公司出口带宽有限，需要在交换机上对总公司销售部门访问因特网http服务做流量控制，访问http流量最大带宽限制为20M比特/秒，突发值设为4M字节，超过带宽的该网段内的报文一律丢弃。
在SW上配置将8端口收到的源IP为10.0.41.111的帧重定向到9端口，即从8端口收到的源IP为10.0.41.111的帧通过9端口转发出去。
总公司SW交换机模拟因特网交换机，通过某种技术实现本地路由和因特网路由进行隔离，因特网路由实例名internet。
对SW上VLAN60开启以下安全机制：
启用环路检测，环路检测的时间间隔为10s，发现环路以后关闭该端口，恢复时间为30分钟； 如私设DHCP服务器关闭该端口;开启防止ARP网关欺骗。
配置使北京公司内网用户通过总公司出口BC访问因特网，分公司内网用户通过分公司出口FW访问因特网，要求总公司销售部门的用户访问因特网的流量往反数据流都要经过防火墙，在通过BC访问因特网;防火墙untrust和trust1开启安全防护，参数采用默认参数。
总部核心交换机上配置 SNMP，引擎 id 分别为 1；创建组 GROUP2023，采用最高安全级别，配置组的读、写视图分别为：SKILLS_R、SKILLS_W；创建认证用户为USER2023，采用aes算法进行加密，密钥为Pass-1234，哈希算法为sha，密钥为Pass-1234；当设备有异常时，需要用本地的环回地址loopback1发送v3 Trap消息至集团网管服务器20.10.11.99、采用最高安全级别；当财务部门对应的用户接口发生UP DOWN事件时，禁止发送trap消息至上述集团网管服务器。
总公司和分公司今年进行IPv6试点，要求总公司和分公司销售部门用户能够通过IPV6相互访问，IPV6业务通过租用裸纤承载。实现分公司和总公司ipv6业务相互访问；FW、AC与SW之间配置动态路由OSPF V3 使总公司和分公司可以通过IPv6通信。
在总公司核心交换机SW配置IPv6地址，开启路由公告功能，路由器公告的生存期为2小时，确保销售部门的IPv6终端可以通过DHCP SERVER 获取IPv6地址，在SW上开启IPV6 dhcp server功能。
在南京分公司上配置IPv6地址，使用相关特性实现销售部的IPv6终端可自动从网关处获得IPv6无状态地址。
FW、SW、AC、BC之间配置OSPF area 0 开启基于链路的MD5认证，密钥自定义，SW与AC手动配置 INTERNET 默认路由，让总公司和分公司内网用户能够相互访问包含AC上loopback1地址。
分公司销售部门通过防火墙上的DHCP SERVER获取IP地址，server IP地址为20.0.0.254，地址池范围172.16.40.10-172.16.40.100，dns-server 8.8.8.8。
如果SW的11端口的收包速率超过30000则关闭此端口，恢复时间5分钟；为了更好地提高数据转发的性能，SW交换中的数据包大小指定为1600字节。
为实现对防火墙的安全管理，在防火墙FW的Trust安全域开启PING,HTTP，telnet，SNMP功能，Untrust安全域开启SSH、HTTPS功能。
在分部防火墙上配置，分部VLAN业务用户通过防火墙访问Internet时，转换为公网IP： 182.22.1.1/29；保证每一个源IP 产生的所有会话将被映射到同一个固定的IP 地址，当有流量匹配本地址转换规则时产生日志信息，将匹配的日志发送至20.10.28.10 的UDP 2000 端口。
远程移动办公用户通过专线方式接入分公司网络，在防火墙FW上配置，采用L2TP方式实现仅允许对内网信息部门的访问，端口号使用4455，用户名密码均为ABC2023，地址池参见地址表。
分公司部署了一台AC为了便于远程管理，需要把AC的web映射到外网，让外网通过能通过防火墙外网口地址访问AC的web服务，AC地址为loopback地址。
为了安全考虑，无线用户移动性较强，访问因特网时需要在BC上开启web认证使用https方式，采用本地认证，密码账号都为web2023，同一用户名只能在一个客户端登录，设置超时时间为30分钟。
由于分公司到因特网链路带宽比较低，出口只有200M带宽，需要在防火墙配置iQOS，系统中 P2P 总的流量不能超过 100M ，同时限制每用户最大下载带宽为2M，上传为1M，优先保障HTTP应用，为http预留100M带宽。
为净化上网环境，要求在防火墙FW做相关配置，禁止无线用户周一至周五工作时间9：00-18：00的邮件内容中含有“病毒”、“赌博”的内容，且记录日志。
由于总公司无线是通过分公司的无线控制器统一管理，为了防止专线故障导致无线不能使用，总公司和分公司使用互联网作为总公司无线ap和AC相互访问的备份链路。FW和BC之间通过IPSEC技术实现AP管理段与无线AC之间联通，具体要求为采用预共享密码为 ***2023，IKE 阶段 1 采用 DH 组 1、3DES 和 MD5 加密方，IKE 阶段 2 采用 ESP-3DES，MD5。
总公司用户，通过BC访问因特网，BC采用路由方式，在BC上做相关配置，让总公司内网用户（不包含财务）通过ip：183.23.1.1/29访问因特网。
在BC上配置PPTP vpn 让外网用户能够通过PPTP vpn访问总公司SW上内网地址，用户名为GS2023，密码123456。
为了提高分公司出口带宽，尽可能加大分公司AC和出口FW之间带宽。
在BC上开启IPS策略，对分公司内网用户访问外网数据进行IPS防护，保护服务器、客户端和恶意软件检测，检测到攻击后进行拒绝并记录日志。
对分公司内网用户访问外网数据进行防病毒防护，检查协议类型包含HTTP、FTP、POP3、SMTP，文件类型包含exe、bat、vbs、txt，检测到攻击后进行记录日志并阻断。
总公司出口带宽较低，总带宽只有200M，为了防止内网用户使用p2p迅雷下载占用大量带宽需要限制内部员工使用P2P工具下载的流量，最大上下行带宽都为50M，以免P2P流量占用太多的出口网络带宽, 启用阻断记录。
通过BC设置分公司用户在上班时间周一到周五9:00到18:00禁止玩游戏,并启用阻断记录。
限制总公司内网用户访问因特网web视频和即时通信上传最大带宽为10M，启用阻断记录。
BC上开启黑名单告警功能，级别为预警状态，并进行邮件告警和记录日志，发现cpu使用率大于80%，内存使用大于80%时进行邮件告警并记录日志，级别为严重状态。发送邮件地址为123@，接收邮件为133139123456@。
分公司内部有一台网站服务器直连到WAF，地址是192.168.28.10，端口是8080，配置将服务访问日志、WEB防护日志、服务监控日志信息发送syslog日志服务器， IP地址是192.168.28.6，UDP的514端口。
要求能自动识别内网HTTP服务器上的WEB主机，请求方法采用GET、POST方式。
在WAF上针对HTTP服务器进行URL最大个数为10，Cookies最大个数为30，Host最大长度为1024，Accept最大长度64等参数校验设置，设置严重级别为中级，超出校验数值阻断并发送邮件告警。
为防止www.网站资源被其他网站利用，通过WAF对资源链接进行保护，通过Referer方式检测，设置严重级别为中级，一经发现阻断并发送邮件告警。
为更好对服务器192.168.28.10进行防护，防止信息泄露，禁止美国地区访问服务器。
在WAF上配置基础防御功能，建立特征规则“HTTP防御”，开启SQL注入、XSS攻击、信息泄露等防御功能，要求针对这些攻击阻断并保存日志发送邮件告警。
在WAF上配置定期每周六1点对服务器的http://192.168.28.10/进行最大深度的漏洞扫描测试。
为了对分公司用户访问因特网行为进行审计和记录，需要把AC连接防火墙的流量镜像到8口。
由于公司IP地址为统一规划，原有无线网段IP地址为 172.16.0.0/22,为了避免地址浪费需要对ip地址进行重新分配；要求如下：未来公司预计部署ap 150台；办公无线用户vlan 10预计300人，来宾用户vlan20以及不超过50人。
BC上配置DHCP，管理VLAN 为VLAN100,为AP 下发管理地址，网段中第一个可用地址为AP 管理地址，最后一个可用地址为网关地址，AP通过DHCP opion 43注册，AC地址为loopback1地址；为无线用户VLAN10,20下发IP 地址，最后一个可用地址为网关；AP上线需要采用MAC地址认证。
AC配置dhcpv4和dhcpv6，分别为总公司产品段vlan50分配地址；ipv4地址池名称分别为POOLv4-50，ipv6 地址池名称分别为 POOLv6-50；ipv6地址池用网络前缀表示；排除网关；DNS分别为 114.114.114.114 和 2400:3200::1；为 PC1 保留地址 192.168.50.9 和 2001:da8:192:168:50::9， SW上中继地址为AC loopback1 地址。
在NETWORK下配置SSID，需求如下：NETWORK 1下设置SSID ***2023，VLAN10，加密模式为wpa-personal,其口令为20232023。
NETWORK 2下设置SSID GUEST，VLAN20不进行认证加密,做相应配置隐藏该SSID； NETWORK 2开启内置portal+本地认证的认证方式，账号为test密码为test2023。
配置SSID GUEST每天早上0点到6点禁止终端接入; GUSET最多接入10个用户，并对GUEST网络进行流控，上行1M，下行2M；配置所有无线接入用户相互隔离。
配置当AP上线，如果AC中储存的Image版本和AP的Image版本号不同时，会触发AP自动升级；配置AP发送向无线终端表明AP存在的帧时间间隔为2秒；配置AP失败状态超时时间及探测到的客户端状态超时时间都为2小时；配置AP在脱离AC管理时依然可以正常工作。
为防止外部人员蹭网，现需在设置信号值低于50%的终端禁止连接无线信号；为防止非法AP假冒合法SSID，开启AP威胁检测功能。
全国职业院校技能大赛
高等职业教育组
信息安全管理与评估
模块二
网络安全事件响应、数字取证调查、应用程序安全
竞赛项目赛题
本文件为信息安全管理与评估项目竞赛-第二阶段样题，内容包括：网络安全事件响应、数字取证调查、应用程序安全。
本次比赛时间为180分钟。
介绍
竞赛有固定的开始和结束时间，参赛队伍必须决定如何有效的分配时间。请认真阅读以下指引！
（1）当竞赛结束，离开时请不要关机；
（2）所有配置应当在重启后有效；
（3）请不要修改实体机的配置和虚拟机本身的硬件设置。
所需的设备、机械、装置和材料
所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完成。
评分方案
本阶段总分数为300分。
项目和任务描述
随着网络和信息化水平的不断发展，网络安全事件也层出不穷，网络恶意代码传播、信息窃取、信息篡改、远程控制等各种网络攻击行为已严重威胁到信息系统的机密性、完整性和可用性。因此，对抗网络攻击，组织安全事件应急响应，采集电子证据等技术工作是网络安全防护的重要部分。现在，A集团已遭受来自不明组织的非法恶意攻击，您的团队需要帮助A集团追踪此网络攻击来源，分析恶意攻击攻击行为的证据线索，找出操作系统和应用程序中的漏洞或者恶意代码，帮助其巩固网络安全防线。
本模块主要分为以下几个部分：
网络安全事件响应
数字取证调查
应用程序安全
本部分的所有工作任务素材或环境均已放置在指定的计算机上，参赛选手完成后，填写在电脑桌面上“信息安全管理与评估竞赛-答题卷”中，竞赛结束时每组将答案整合到一份PDF文档提交。选手的电脑中已经安装好 Office 软件并提供必要的软件工具。
工作任务
第一部分 网络安全事件响应
任务1：Unix服务器应急响应（70分）
A集团的Debian服务器被黑客入侵，该服务器的Web应用系统被上传恶意软件，系统文件被恶意软件破坏，您的团队需要帮助该公司追踪此网络攻击的来源，在服务器上进行全面的检查，包括日志信息、进程信息、系统文件、恶意文件等，从而分析黑客的攻击行为，发现系统中的漏洞，并对发现的漏洞进行修复。
本任务素材清单：Unix服务器虚拟机
受攻击的Server服务器已整体打包成虚拟机文件保存，请选手自行导入分析。
注意：Server服务器的基本配置参见附录，若题目中未明确规定，请使用默认配置。
请按要求完成该部分的工作任务。
任务1：Unix服务器虚拟机
序号 任务内容 答案
1 请提交攻击者的IP地址
2 请提交攻击者使用的操作系统
3 请提交攻击者进入网站后台的密码
4 请提交攻击者首次攻击成功的时间，格式：DD/MM/YY:hh:mm:ss
5 请提交攻击者上传的恶意文件名（含路径）
6 请提交攻击者写入的恶意后门文件的连接密码
7 请提交攻击者创建的用户账户名称
8 请提交恶意进程的名称
第二部分 数字取证调查
任务2：基于MacOS的内存取证（40分）
A集团某服务器系统感染恶意程序，导致系统关键文件被破坏，请分析A集团提供的系统镜像和内存镜像，找到系统镜像中的恶意软件，分析恶意软件行为。
本任务素材清单：存储镜像、内存镜像。
请按要求完成该部分的工作任务。
任务2：基于MacOS的内存取证
序号 任务内容 答案
1 请提交用户目录下压缩包的解压密码
2 请提交root账户的登录密码
3 请指出攻击者通过什么命令实现提权操作
4 请指出内存中恶意进程的PID
5 请指出恶意进程加密文件的文件类型
任务3：通信数据分析取证(工控)（50分）
A集团的网络安全监控系统发现恶意份子正在实施高级可持续攻击（APT），并抓取了部分可疑流量包。请您根据捕捉到的流量包，搜寻出网络攻击线索，分解出隐藏的恶意程序，并分析恶意程序的行为。
本任务素材清单：捕获的通信数据文件。
请按要求完成该部分的工作任务。
任务3：通信数据分析取证(工控)
序号 任务内容 答案
1 请提交攻击者通过什么协议发起的攻击
2 请提交攻击者第一次攻击成功的时间
3 请提交攻击者在目标主机上上传的文件名
4 请解密出上传的文件内容
任务4：基于Windows计算机单机取证（60分）
对给定取证镜像文件进行分析，搜寻证据关键字（线索关键字为“evidence 1”“evidence 2”……“evidence 10”，有文本形式也有图片形式，不区分大小写），请提取和固定比赛要求的标的证据文件，并按样例的格式要求填写相关信息，证据文件在总文件数中所占比例不低于15%。取证的信息可能隐藏在正常的、已删除的或受损的文件中，您可能需要运用编码转换技术、加解密技术、隐写技术、数据恢复技术，还需要熟悉常用的文件格式（如办公文档、压缩文档、图片等）。
本任务素材清单：取证镜像文件。
请按要求完成该部分的工作任务。
任务4：基于Windows计算机单机取证
证据编号 在取证镜像中的文件名 镜像中原文件Hash码（MD5，不区分大小写）
evidence 1
evidence 2
evidence 3
evidence 4
evidence 5
evidence 6
evidence 7
evidence 8
evidence 9
evidence 10
第三部分 应用程序安全
任务5：Linux恶意程序分析（50分）
A集团发现其发布的应用程序文件遭到非法篡改，您的团队需要协助A集团对该恶意程序样本进行逆向分析、对其攻击/破坏的行为进行调查取证。
本任务素材清单：Linux恶意程序
请按要求完成该部分的工作任务。
任务5：Linux恶意程序分析
序号 任务内容 答案
1 请提交恶意程序回传数据的url地址
2 请指出恶意程序会加密哪些类型的文件
3 请指出恶意程序加密文件的算法
4 请指出恶意程序创建的子进程名称
任务6：JAVA语言代码审计（30分）
代码审计是指对源代码进行检查，寻找代码存在的脆弱性，这是一项需要多方面技能的技术。作为一项软件安全检查工作，代码安全审查是非常重要的一部分，因为大部分代码从语法和语义上来说是正确的，但存在着可能被利用的安全漏洞，你必须依赖你的知识和经验来完成这项工作。
本任务素材清单：Java源文件
请按要求完成该部分的工作任务。
任务6：JAVA语言代码审计
序号 任务内容 答案
1 请指出存在安全漏洞的代码行
2 请指出可能利用该漏洞的威胁名称
3 请修改该代码行使其变得安全
全国职业院校技能大赛
高等职业教育组
信息安全管理与评估
模块三
网络安全渗透、理论技能与职业素养
竞赛项目赛题
本文件为信息安全管理与评估项目竞赛-第三阶段样题，内容包括：网络安全渗透、理论技能与职业素养。
本次比赛时间为180分钟。
介绍
网络安全渗透的目标是作为一名网络安全专业人员在一个模拟的网络环境中实现网络安全渗透测试工作。
本模块要求参赛者作为攻击方，运用所学的信息收集、漏洞发现、漏洞利用等技术完成对网络的渗透测试；并且能够通过各种信息安全相关技术分析获取存在的flag值。
所需的设施设备和材料
所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完成。
评分方案
本测试项目模块分数为400分，其中，网络安全渗透300分，理论技能与职业素养100分。
项目和任务描述
在A集团的网络中存在几台服务器，各服务器存在着不同业务服务。在网络中存在着一定网络安全隐患，请通过信息收集、漏洞挖掘等渗透测试技术，完成指定项目的渗透测试，在测试中获取flag值。网络环境参考样例请查看附录A。
本模块所使用到的渗透测试技术包含但不限于如下技术领域：
数据库攻击
枚举攻击
权限提升攻击
基于应用系统的攻击
基于操作系统的攻击
逆向分析
密码学分析
隐写分析
所有设备和服务器的IP地址请查看现场提供的设备列表。
特别提醒
通过找到正确的flag值来获取得分，flag统一格式如下所示：
flag{}
这种格式在某些环境中可能被隐藏甚至混淆。所以，注意一些敏感信息并利用工具把它找出来。
注：部分flag可能非统一格式，若存在此情况将会在题目描述中明确指出flag格式，请注意审题。
工作任务
商城购物系统（45分）
任务编号 任务描述 答案 分值
任务一 请对商城购物系统进行黑盒测试，利用漏洞找到flag1，并将flag1提交。flag1格式flag1{}
任务二 请对商城购物系统进行黑盒测试，利用漏洞找到flag2，并将flag2提交。flag2格式flag2{}
任务三 请对商城购物系统进行黑盒测试，利用漏洞找到flag3，并将flag3提交。flag3格式flag3{}
企业云盘系统（30分）
任务编号 任务描述 答案 分值
任务四 请对企业云盘系统进行黑盒测试，利用漏洞找到flag1，并将flag1提交。flag1格式flag1{}
任务五 请对企业云盘系统进行黑盒测试，利用漏洞找到flag2，并将flag2提交。flag2格式flag2{}
FTP服务器（165分）
任务编号 任务描述 答案 分值
任务六 请获取FTP服务器上task6目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务七 请获取FTP服务器上task7目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务八 请获取FTP服务器上task8目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务九 请获取FTP服务器上task9目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务十 请获取FTP服务器上task10目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务十一 请获取FTP服务器上task11目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务十二 请获取FTP服务器上task12目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务十三 请获取FTP服务器上task13目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
存储服务器（30分）
任务编号 任务描述 答案 分值
任务十四 存储服务器10000端口存在漏洞，获取FTP服务器上task14目录下的文件进行分析，请利用漏洞找到flag，并将flag提交。flag格式flag{}
大数据服务器（30分）
任务编号 任务描述 答案 分值
任务十五 大数据服务器10001端口存在漏洞，获取FTP服务器上task15目录下的文件进行分析，请利用漏洞找到flag，并将flag提交。flag格式flag{}
附录A
图1 网络拓扑结构图
理论技能与职业素养（100分）
2023年全国职业院校技能大赛（高等职业教育组）
“信息安全管理与评估”测试题（样题）
【注意事项】
1.理论测试前请仔细阅读测试系统使用说明文档，按提供的账号和密码登录测试系统进行测试，账号只限1人登录。
2.该部分答题时长包含在第三阶段比赛时长内，请在临近竞赛结束前提交。
3.参赛团队可根据自身情况，可选择1-3名参赛选手进行作答，团队内部可以交流，但不得影响其他参赛队。
一、 单选题 （每题2分，共35题，共70分）
1、《中华人民共和国个人信息保护法》是为了保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用，根据宪法，制定的法规，自（ ）起施行。
A、 2020年11月1日
B、 2021年11月1日
C、 2022年1月1日
D、 2021年1月1日
2、下列( )方式不适合对学生进行信息道德与信息安全教育。
A、观看相关新闻
B、观看相关视频
C、信息技术课
D、一起玩游戏
3、有关数据库加密，下面说法不正确的是（ ）。
A、 索引字段不能加密
B、 关系运算的比较字段不能加密
C、 字符串字段不能加密
D、 表间的连接码字段不能加密
4、入侵检测的目的是（ ）。
A、 实现内外网隔离与访问控制
B、 提供实时的检测及采取相应的防护手段，阻止黑客的入侵
C、 记录用户使用计算机网络系统进行所有活动的过程
D、 预防、检测和消除病毒
5、\x32\x2E\x68\x74\x6D此加密是几进制加密？（ ）
A、 二进制
B、 八进制
C、 十进制
D、 十六进制
6、现代密码学中很多应用包含散列运算，而下面应用中不包含散列运算的是？（ ）
A、 消息机密性
B、 消息完整性
C、 消息认证码
D、 数字签名
7、目标计算机与网关通信失败，更会导致通信重定向的攻击形式是？（ ）
A、 病毒
B、 木马
C、 DOS
D、 ARP欺骗
8、设在RSA 的公钥密码体制中，公钥为（e,n）=（13，35），则私钥d=？（ ）
A、 11
B、 13
C、 15
D、 17
9、Shell变量命令，说法错误的是？（ ）
A、 变量名必须以字母或下划线开头，且只能由字母、数字和下划线组成
B、 变量名的长度不得超过100个字符
C、 变量名在有效的范围内必须是唯一
D、 在bash中，变量的默认类型都是字符串型
10、SQL的GRANT和REVOKE语句可以用来实现（ ）。
A、 自主存取控制
B、 强制存取控制
C、 数据库角色创建
D、 数据库审计
11、Str='heiheihei' print str[3:]将输出？（ ）
A、 hei
B、 heihei
C、 eih
D、 ihe
12、能修改系统引导扇区，在计算机系统启动时首先取得控制权的病毒属于（ ）。
A、 文件病毒
B、 引导型病毒
C、 混合型病毒
D、 恶意代码
13、下列哪个不是密码字典？（ ）
A、 弱口令字典
B、 社工字典
C、 彩虹表
D、 《康熙字典》
14、Skipjack是一个密钥长度为( )位。
A、 56
B、 64
C、 80
D、 128
15、在RSA算法中，取P=3，q=11,e=3，则d等于多少？（ ）
A、 33
B、 20
C、 14
D、 7
16、已知字母A的ASCII码为十进制数65,且c2为字符型,则执行语句c2='A'+'6'-'3';后,c2中的值为？（ ）
A、 D
B、 68
C、 58
D、 24
17、Burp suite是用于攻击（ ）的集成平台。
A、 web应用程序
B、 客户机
C、 服务器
D、 浏览器
18、远程windows 口令破解的工具是？（ ）
A、 NtScan
B、 getpass
C、 Hydra
D、 Saminside
19、如果想在文件test.txt中追加内容，应该使用下列哪个选项？（ ）
A、 a=open('test.txt',"a")
B、 a=open('test.txt',"r")
C、 a=open('test.txt',"d")
D、 a=open('test.txt',"w")
20、在强制存取控制机制中，当主体的许可证级别等于客体的密级时，主体可以对客体进行如下操作（ ）。
A、 读取
B、 写入
C、 不可操作
D、 读取、写入
21、关于数据库应用系统的设计，下列说法正确的是（ ）。
A、 数据库应用系统设计需要考虑数据组织与存储、数据访问与处理、应用设计等几个方面
B、 数据库概念设计阶段，采用自上而下的E-R设计时，首先设计局部E-R图，然后合并各局部E-R图得到全局E-R图
C、 在数据库逻辑设计阶段，将关系模式转换为具体DBMS平台支持的关系表
D、 在数据库物理设计阶段，一般需要设计视图和关系模式的完整性约束
22、如果想在类中创建私有方法，下面哪个命名是正确的？（ ）
A、 _add_one
B、 add_one
C、 __add_one
D、 add_one__
23、nmap的-SV是什么操作？（ ）
A、 TCP全连接扫描
B、 FIN扫描
C、 版本扫描
D、 全面扫描
24、扫描器之王NMAP中，全面扫描的命令是什么？（ ）
A、 -o
B、 -SV
C、 -sP
D、 -a
25、一个基于特征的IDS应用程序需要下列选项中的哪一项来对一个攻击做出反应？（ ）
A、 正确配置的DNS
B、 正确配置的规则
C、 特征库
D、 日志
26、一个完整的密码体制，不包括以下（ ）要素。
A、 明文空间
B、 密文空间
C、 数字签名
D、 密钥空间
27、如果VPN网络需要运行动态路由协议并提供私网数据加密,通常采用什么技术手段实现（ ）。
A、 GRE
B、 GRE+IPSEC
C、 L2TP
D、 L2TP+IPSEC
28、在现有的计算能力条件下，对于椭圆曲线密码算法(ECC)，被认为是安全的最小密钥长度 是？（ ）
A、 128位
B、 160位
C、 512位
D、 1024位
29、在( )年，美国国家标准局NBS把IBM的Tuchman-Meyer方案确定数据加密标准，即 DES。
A、 1949
B、 1972
C、 1977
D、 2001
30、过滤所依据的信息来源不包括？（ ）
A、 IP包头
B、 TCP包头
C、 UDP包头
D、 IGMP包头
31、SEAL使用了四个（ ）位寄存器。
A、 24
B、 32
C、 48
D、 56
32、维吉利亚(Vigenere)密码是古典密码体制比较有代表性的一种密码，其密码体制采用的是（ ）。
A、 置换密码
B、 单表代换密码
C、 多表代换密码
D、 序列密码
33、Linux中，使用哪一个命令删除非空文件夹？（ ）
A、 mv
B、 rm
C、 rmdir
D、 del
34、下面哪一项不是hash函数的等价提法？（ ）
A、 压缩信息函数
B、 哈希函数
C、 单向散列函数
D、 杂凑函数
35、差分分析是针对下面那种密码算法的分析方法？（ ）
A、 DES
B、 AES
C、 RC4
D、 MD5
二、 多选题 （每题3分，共10题，共30分）
1、分组密码的常见的四中运行模式中，如果其中一个密文分组有一个比特的错误，不会将该错误进行传播的模式是？（ ）
A、 ECB
B、 CBC
C、 CFB
D、 OFB
2、Apache服务器外围加固措施包括？（ ）
A、 部署WAF
B、 部署IPS
C、 部署IDS
D、 部署蜜罐系统
3、Bash编程中，常见的循环有？（ ）
A、 foreach
B、 while
C、 for
D、 until
4、netwox工具拥有以下哪些功能？（ ）
A、 嗅探
B、 SQL注入
C、 欺骗
D、 地址转换
5、如何在不改变原始网络拓扑和业务的前提下，消除或者避免ICMP重定向攻击？（ ）
A、 关掉ip redirects
B、 代理ARP
C、 使用访问控制表（ACL）
D、 不同掩码长度子网划分
6、移动用户常用的VPN接入方式是（ )。
A、 L2TP
B、 IPSECHIKE野蛮模式
C、 GRE+IPSEC
D、 L2TP+IPSEC
7、Linux的ls命令，下列说法正确的是？（ ）
A、 -d：选项是查看目录属性
B、 -l：选项是显示详细信息
C、 -h：选项是人性化显示文件大小
D、 -i：选项是显示文件索引号
8、以下Linux命令中，跟网络管理相关的命令有哪些？（ ）
A、 ifconfig
B、 df
C、 lsmod
D、 netstat
9、防火墙一般需要检测哪些扫描行为？（ ）
A、 Port-scan
B、 Icmp-scan
C、 Udp-scan
D、 Tcp-synflood
10、在RHEL5系统中，以下（ ）操作将在分区/dev/sdb7上创建EXT3文件系统。
A、 mkfs –t ext3 /dev/sdb7
B、 mkfs.ext3 /dev/sdb7
C、 fdisk –t ext3 /dev/sdb7
D、 format /dev/sdb7 –t ext3全国职业院校技能大赛
高等职业教育组
信息安全管理与评估
赛题八
模块一
网络平台搭建与设备安全防护
赛项时间
共计180分钟。
赛项信息
竞赛阶段 任务阶段 竞赛任务 竞赛时间 分值
第一阶段 网络平台搭建与设备安全防护 任务1 网络平台搭建 XX:XX- XX:XX 50
任务2 网络安全设备配置与防护 250
赛项内容
本次大赛，各位选手需要完成三个阶段的任务，其中第一个阶段需要按裁判组专门提供的U盘中的“XXX-答题模板”提交答案。第二、三阶段请根据现场具体题目要求操作。
选手首先需要在U盘的根目录下建立一个名为“GWxx”的文件夹（xx用具体的工位号替代），赛题第一阶段所完成的“XXX-答题模板”放置在文件夹中。
例如：08工位，则需要在U盘根目录下建立“GW08”文件夹，并在“GW08”文件夹下直接放置第一个阶段的所有“XXX-答题模板”文件。
特别说明：只允许在根目录下的“GWxx”文件夹中体现一次工位信息，不允许在其他文件夹名称或文件名称中再次体现工位信息，否则按作弊处理。
赛项环境设置
网络拓扑图
IP地址规划表
设备名称 接口 IP地址 对端设备 接口
防火墙FW ETH0/1-2 10.10.255.1/30（trust安全域） 2001:DA8:10:10:255::1/127 SW eth1/0/1-2
10.10.255.5/30（trust安全域） 2001:DA8:10:10:255::5/127 SW
ETH0/3 20.23.1.1/30（untrust安全域） 223.20.23.1/29(nat-pool) 2001:DA8:223:20:23::1/64 SW Eth1/0/23
Loopback1 10.0.0.254/32（trust） Router-id
SSL Pool 192.168.10.1/26 可用IP数量为20 SSL VPN地址池
三层交换机 SW ETH1/0/4 专线 AC ETH1/0/4
ETH1/0/5 专线 AC ETH1/0/5
VLAN21 ETH1/0/1-2 10.10.255.2/30 2001:DA8:10:10:255::2/127 FW Vlan name TO-FW1
VLAN22 ETH1/0/1-2 10.10.255.6/30 2001:DA8:10:10:255::6/127 FW Vlan name TO-FW2
VLAN 23 ETH1/0/23 20.23.1.2/30 2001:DA8:223:20:23::2/127 FW Vlan name TO-internet
VLAN 24 ETH1/0/24 223.20.23.10/29 2001:DA8:223:20:23::10/127 BC Vlan name TO-BC
VLAN 10 172.16.10.1/24 无线1 Vlan name WIFI-vlan10
VLAN 20 172.16.20.1/24 无线2 Vlan name WIFI-vlan20
VLAN 30 ETH1/0/6-7 192.168.30.1/24 2001:DA8:192:168:30:1::1/96 Vlan name XZ
VLAN 31 Eth1/0/8-9 192.168.31.1/24 2001:DA8:192:168:31:1::1/96 Vlan name sales
VLAN 40 ETH1/0/10-11 192.168.40.1/24 2001:DA8:192:168:40:1::1/96 Vlan name CW
Vlan 50 Eth1/0/13-14 192.168.50.1/24 2001:DA8:192:168:50:1::1/96 Vlan name manage
Vlan1001 10.10.255.9/30 2001:DA8:10:10:255::9/127 TO-AC1
Vlan1002 10.10.255.13/30 2001:DA8:10:10:255::13/127 TO-AC2
VLAN 1000 ETH 1/0/20 172.16.100.1/24 Vlan name AP-Manage
Loopback1 10.0.0.253/32(router-id)
无线控制器 AC VLAN 10 192.168.10.1/24 2001:DA8:192:168:10:1::1/96 Vlan name TO-CW
VLAN 20 192.168.20.1/24 2001:DA8:192:168:20:1::1/96 Vlan name CW
VLAN 1001 10.10.255.10/30 2001:DA8:10:10:255::10/127
VLAN 1002 10.10.255.14/30 2001:DA8:10:10:255::14/127
Vlan 60 Eth1/0/13-14 192.168.60.1/24 2001:DA8:192:168:60:1::1/96 Vlan name sales
Vlan 61 Eth1/0/15-18 192.168.61.1/24 2001:DA8:192:168:61:1::1/96 Vlan name BG
Vlan 100 Eth1/0/21 10.10.255.17/30 2001:DA8:10:10:255::17/127 BC eth2 Vlan name TO-BC
VLAN 2000 ETH 1/0/19 192.168.100.1/24 沙盒
Loopback1 10.1.1.254/32(router-id)
日志服务器 BC eth2 10.10.255.18/30 2001:DA8:10:10:255::18/127 AC
ETH3 223.20.23.9/29 2001:DA8:223:20:23::9/127 SW
PPTP-pool 192.168.10.129/26（10个地址）
WEB应用防火墙WAF ETH2 192.168.50.2/24 PC3
ETH3 SWEth1/0/13
AP Eth1 SW（20口）
PC1 网卡 eth1/0/7 SW
沙盒 192.168.100.10/24 AC ETH1/0/19
第一阶段任务书
任务1：网络平台搭建 （50分）
题号 网络需求
1 根据网络拓扑图所示，按照IP地址参数表，对FW的名称、各接口IP地址进行配置。
2 根据网络拓扑图所示，按照IP地址参数表，对SW的名称进行配置，创建VLAN并将相应接口划入VLAN。
3 根据网络拓扑图所示，按照IP地址参数表，对AC的各接口IP地址进行配置。
4 根据网络拓扑图所示，按照IP地址参数表，对BC的名称、各接口IP地址进行配置。
5 按照IP 地址规划表，对WEB 应用防火墙的名称、各接口IP 地址进行配置。
任务2：网络安全设备配置与防护（250分）
SW和AC开启SSH登录功能，SSH登录账户仅包含“USER-SSH”，密码为明文“123456”，采用SSH方式登录设备时需要输入enable密码，密码设置为明文“enable” 。
应网监要求，需要对上海总公司用户访问因特网行为进行记录，需要在交换机上做相关配置，把访问因特网的所有数据镜像到交换机1/0/18口便于对用户上网行为进行记录。
尽可能加大上海总公司核心和出口之间带宽，端口模式采用lacp模式。
上海总公司和南昌分公司租用了运营商两条裸光纤，实现内部办公互通，要求两条链路互为备份，同时实现流量负载均衡，流量负载模式基于Dst-src-mac模式。
上海总公司和南昌分公司链路接口只允许必要的vlan通过，禁止其它vlan包括vlan1二层流量通过。
为防止非法用户接入网络，需要在核心交互上开启DOT1X认证，对vlan40用户接入网络进行认证，radius-server 为192.168.100.200。
为了便于管理网络，能够让网管软件实现自动拓朴连线，在总公司核心和分公司AC上开启某功能，让设备可以向网络中其他节点公告自身的存在，并保存各个邻近设备的发现信息。
ARP 扫描是一种常见的网络攻击方式，攻击源将会产生大量的 ARP 报文在网段内广播，这些广播报文极大的消耗了网络的带宽资源，为了防止该攻击对网络造成影响，需要在总公司交换机上开启防扫描功能，对每端口设置阈值为40，超过将关闭该端口20分钟后自动恢复，设置和分公司互联接口不检查。
总公司SW交换机模拟因特网交换机，通过某种技术实现本地路由和因特网路由进行隔离，因特网路由实例名internet。
对SW上VLAN40开启以下安全机制：业务内部终端相互二层隔离，启用环路检测，环路检测的时间间隔为10s，发现环路以后关闭该端口，恢复时间为30分钟； 如私设DHCP服务器关闭该端口;开启防止ARP网关欺骗攻击。
配置使上海公司核心交换机VLAN31业务的用户访问因特网数据流经过10.10.255.1返回数据通过10.10.255.5。要求有测试结果。
为响应国家号召，公司实行IPV6网络升级改造，公司采用双栈模式，同时运行ipv4和ipv6，IPV6网络运行OSPF V3协议，实现内部ipv6全网互联互通，要求总公司和分公司之间路由优先走vlan1001，vlan1002为备份。
在总公司核心交换机SW配置IPv6地址，开启路由公告功能，路由器公告的生存期为2小时，确保销售部门的IPv6终端可以通过DHCP SERVER 获取IPv6地址，在SW上开启IPV6 dhcp server功能，ipv6地址范围2001:da8:192:168:31:1::2-2001:da8:192:168:31:1::100。
在南昌分公司上配置IPv6地址，使用相关特性实现销售部的IPv6终端可自动从网关处获得IPv6无状态地址。
FW、SW、AC之间配置OSPF，实现ipv4网络互通。要求如下：区域为 0 同时开启基于链路的MD5认证，密钥自定义，传播访问INTERNET 默认路由，分公司内网用户能够与总公司相互访问包含loopback地址；分公司AC和BC之间运行静态路由。
总公司销售部门通过防火墙上的DHCP SERVER获取IP地址，server IP地址为10.0.0.254，地址池范围192.168.31.10-192.168.31.100，dns-server 8.8.8.8。
总公司交换机上开启dhcp server 为无线用户分配ip地址，地址租约时间为10小时，dns-server 为114.114.114.114，前20个地址不参与分配,第一个地址为网关地址。
如果SW的11端口的收包速率超过30000则关闭此端口，恢复时间5分钟；为了更好地提高数据转发的性能，SW交换中的数据包大小指定为1600字节。
交换机的端口 10不希望用户使用 ftp，也不允许外网 ping 此网段的任何一台主机。
交换机vlan 30 端口连接的网段IPV6 的地址为 2001:da8:192:168:30:1::0/96 网段，管理员不希望除了2001:da8:192:168:30:1:1::0/112网段用户访问外网。
为实现对防火墙的安全管理，在防火墙FW的Trust安全域开启PING,HTTP，telnet，SNMP功能，Untrust安全域开启ping、SSH、HTTPS功能。
在总部防火墙上配置，总部VLAN业务用户通过防火墙访问Internet时，复用公网IP： 223.20.23.1/29，保证每一个源IP 产生的所有会话将被映射到同一个固定的IP 地址，当有流量匹配本地址转换规则时产生日志信息，将匹配的日志发送至192.168.100.10 的UDP 2000 端口。
远程移动办公用户通过专线方式接入总部网络，在防火墙FW上配置，采用SSL方式实现仅允许对内网VLAN 30的访问，端口号使用4455，用户名密码均为ABC2023，地址池参见地址表。
总公司部署了一台WEB服务器ip为192.168.50.10，为外网用户提供web服务，要求外网用户能访问服务器上的web服务（端口80）和远程管理服务器（端口3389），外网用户只能通过223.20.23.2外网地址访问服务器web服务和3389端口。
为了安全考虑，需要对内网销售部门用户访问因特网进行实名认证，要求在防火墙上开启web认证使用https方式，采用本地认证，密码账号都为web2023，同一用户名只能在一个客户端登录，设置超时时间为30分钟。
由于总公司到因特网链路带宽比较低，出口只有200M带宽，需要在防火墙配置iQOS，系统中 P2P 总的流量不能超过 100M ，同时限制每用户最大下载带宽为4M，上传为2M，http访问总带宽为50M。
财务部门和公司账务有关，为了安全考虑，禁止财务部门访问因特网，要求在防火墙FW做相关配置。
由于总公司销售和分公司销售部门使用的是同一套CRM系统，为了防止专线故障导致系统不能使用，总公司和分公司使用互联网作为总公司销售和分公司销售相互访问的备份链路。FW和BC之间通过IPSEC技术实现总公司销售段与分公司销售之间联通，具体要求为采用预共享密码为 ***2023，IKE 阶段 1 采用 DH 组 1、3DES 和 MD5 加密方，IKE 阶段 2 采用 ESP-3DES，MD5。
分公司用户，通过BC访问因特网，BC采用路由方式，在BC上做相关配置，让分公司内网用户通过BC外网口ip访问因特网。
在BC上配置PPTP vpn 让外网用户能够通过PPTP vpn访问分公司AC上内网资源，用户名为GS01，密码GS0123。
分公司部署了一台安全攻防平台，用来公司安全攻防演练，为了方便远程办公用户访问安全攻防平台，在BC上配置相关功能，让外网用户能通过BC的外网口接口IP，访问内部攻防平台服务器，攻防平台服务器地址为192.168.100.10端口：8080。
在BC上配置url过滤策略，禁止分公司内网用户在周一到周五的早上8点到晚上18点访问外网www.。
对分公司内网用户访问外网进行网页关键字过滤，网页内容包含“暴力”“赌博”的禁止访问。
为了安全考虑，无线用户移动性较强，访问因特网时需要实名认证，在BC上开启web认证使用http方式，采用本地认证，密码账号都为web2023。
DOS攻击/DDoS 攻击通常是以消耗服务器端资源、迫使服务停止响应为目标，通过伪造超过服务器处理能力的请求数据造成服务器响应阻塞，从而使正常的用户请求得不到应答，以实现其攻击目的，在分公司内网区域开起DOS攻击防护，阻止内网的机器中毒或使用攻击工具发起的 DOS 攻击，检测到攻击进行阻断。
分公司BC上配置NAT64，实现分公司内网ipv6用户通过BC出口ipv4地址访问因特网。
分公司内网攻防平台，对Internet提供服务，在BC上做相关配置让外网IPV6用户能够通过BC外网口IPV6地址访问攻防平台的web服务端口号为80。
BC上开启病毒防护功能，无线用户在外网下载exe、rar、bat文件时对其进行杀毒检测，防止病毒进入内网，协议流量选择HTTP杀毒、FTP杀毒、POP3、SMTP。
公司内部有一台网站服务器直连到WAF，地址是192.168.50.10，端口是8080，配置将访问日志、攻击日志、防篡改日志信息发送syslog日志服务器， IP地址是192.168.100.6，UDP的514端口。
编辑防护策略，在“专家规则”中定义HTTP请求体的最大长度为256，防止缓冲区溢出攻击。
WAF上配置开启爬虫防护功能，防护规则名称为http爬虫，url为www.，自动阻止该行为；封禁时间为3600秒。
WAF上配置，开启防盗链，名称为http盗链，保护url为www.，检测方式referer+cookie，处理方式为阻断，并记录日志。
WAF上配置开启IDP防护策略，采用最高级别防护，出现攻击对攻击进行阻断。
WAF上配置开启DDOS防护策略，防护等级高级并记录日志。
在公司总部的WAF上配置，内部web服务器进行防护安全防护，防护策略名称为web_p，记录访问日志，防护规则为扫描防护规则采用增强规则、HTTP协议校验规则采用专家规则、特征防护规则采用专家规则、开启爬虫防护、开启防盗链、开启敏感信息检测。
AC上配置DHCP，管理VLAN 为VLAN1000,为AP 下发管理地址，AP通过DHCP opion 43注册，AC地址为loopback1地址。
在NETWORK下配置SSID，需求如下：NETWORK 1下设置SSID SKILL-WIFI，VLAN10，加密模式为wpa-peSWonal,其口令为12345678，开启隔离功能。
NETWORK 2下设置SSID GUEST，VLAN20不进行认证加密,做相应配置隐藏该SSID，NETWORK 2开启内置portal+本地认证的认证方式，账号为XXX密码为test2023。
为了合理利用AP性能，需要在AP上开启5G优先配置5G优先功能的客户端的信号强度门限为40。
通过配置防止多AP和AC相连时过多的安全认证连接而消耗CPU资源，检测到AP与AC在10分钟内建立连接5次就不再允许继续连接，两小时后恢复正常；GUSET最多接入50个用户，并对GUEST网络进行流控，上行1M，下行2M。
全国职业院校技能大赛
高等职业教育组
信息安全管理与评估
模块二
网络安全事件响应、数字取证调查、应用程序安全
竞赛项目赛题
本文件为信息安全管理与评估项目竞赛-第二阶段样题，内容包括：网络安全事件响应、数字取证调查、应用程序安全。
本次比赛时间为180分钟。
介绍
竞赛有固定的开始和结束时间，参赛队伍必须决定如何有效的分配时间。请认真阅读以下指引！
（1）当竞赛结束，离开时请不要关机；
（2）所有配置应当在重启后有效；
（3）请不要修改实体机的配置和虚拟机本身的硬件设置。
所需的设备、机械、装置和材料
所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完成。
评分方案
本阶段总分数为300分。
项目和任务描述
随着网络和信息化水平的不断发展，网络安全事件也层出不穷，网络恶意代码传播、信息窃取、信息篡改、远程控制等各种网络攻击行为已严重威胁到信息系统的机密性、完整性和可用性。因此，对抗网络攻击，组织安全事件应急响应，采集电子证据等技术工作是网络安全防护的重要部分。现在，A集团已遭受来自不明组织的非法恶意攻击，您的团队需要帮助A集团追踪此网络攻击来源，分析恶意攻击攻击行为的证据线索，找出操作系统和应用程序中的漏洞或者恶意代码，帮助其巩固网络安全防线。
本模块主要分为以下几个部分：
网络安全事件响应
数字取证调查
应用程序安全
本部分的所有工作任务素材或环境均已放置在指定的计算机上，参赛选手完成后，填写在电脑桌面上“信息安全管理与评估竞赛-答题卷”中，竞赛结束时每组将答案整合到一份PDF文档提交。选手的电脑中已经安装好 Office 软件并提供必要的软件工具。
工作任务
第一部分 网络安全事件响应
任务1：Unix服务器应急响应（70分）
A集团的Debian服务器被黑客入侵，该服务器的Web应用系统被上传恶意软件，系统文件被恶意软件破坏，您的团队需要帮助该公司追踪此网络攻击的来源，在服务器上进行全面的检查，包括日志信息、进程信息、系统文件、恶意文件等，从而分析黑客的攻击行为，发现系统中的漏洞，并对发现的漏洞进行修复。
本任务素材清单：Unix服务器虚拟机
受攻击的Server服务器已整体打包成虚拟机文件保存，请选手自行导入分析。
注意：Server服务器的基本配置参见附录，若题目中未明确规定，请使用默认配置。
请按要求完成该部分的工作任务。
任务1：Unix服务器虚拟机
序号 任务内容 答案
1 请提交攻击者的IP地址
2 请提交攻击者使用的操作系统
3 请提交攻击者进入网站后台的密码
4 请提交攻击者首次攻击成功的时间，格式：DD/MM/YY:hh:mm:ss
5 请提交攻击者上传的恶意文件名（含路径）
6 请提交攻击者写入的恶意后门文件的连接密码
7 请提交攻击者创建的用户账户名称
8 请提交恶意进程的名称
9 请提交恶意进程对外连接的IP地址
第二部分 数字取证调查
任务2：基于MacOS的内存取证（40分）
A集团某服务器系统感染恶意程序，导致系统关键文件被破坏，请分析A集团提供的系统镜像和内存镜像，找到系统镜像中的恶意软件，分析恶意软件行为。
本任务素材清单：存储镜像、内存镜像。
请按要求完成该部分的工作任务。
任务2：基于MacOS的内存取证
序号 任务内容 答案
1 请提交用户目录下压缩包的解压密码
2 请提交root账户的登录密码
3 请指出攻击者通过什么命令实现提权操作
4 请指出内存中恶意进程的PID
5 请指出恶意进程加密文件的文件类型
任务3：通信数据分析取证(工控)（50分）
A集团的网络安全监控系统发现恶意份子正在实施高级可持续攻击（APT），并抓取了部分可疑流量包。请您根据捕捉到的流量包，搜寻出网络攻击线索，分解出隐藏的恶意程序，并分析恶意程序的行为。
本任务素材清单：捕获的通信数据文件。
请按要求完成该部分的工作任务。
任务3：通信数据分析取证(工控)
序号 任务内容 答案
1 请提交攻击者通过什么协议发起的攻击
2 请提交攻击者第一次攻击成功的时间
3 请提交攻击者在目标主机上上传的文件名
4 请解密出上传的文件内容
任务4：基于Windows计算机单机取证（60分）
对给定取证镜像文件进行分析，搜寻证据关键字（线索关键字为“evidence 1”、“evidence 2”、……、“evidence 10”，有文本形式也有图片形式，不区分大小写），请提取和固定比赛要求的标的证据文件，并按样例的格式要求填写相关信息，证据文件在总文件数中所占比例不低于15%。取证的信息可能隐藏在正常的、已删除的或受损的文件中，您可能需要运用编码转换技术、加解密技术、隐写技术、数据恢复技术，还需要熟悉常用的文件格式（如办公文档、压缩文档、图片等）。
本任务素材清单：取证镜像文件。
请按要求完成该部分的工作任务。
任务4：基于Windows计算机单机取证
证据编号 在取证镜像中的文件名 镜像中原文件Hash码（MD5，不区分大小写）
evidence 1 提交文件名正确得分
evidence 2 提交文件名正确得分
evidence 3 提交文件名正确得分
evidence 4 提交文件名正确得分
evidence 5 提交文件名正确得分
evidence 6 提交文件名正确得分
evidence 7 提交文件名正确得分
evidence 8 提交文件名正确得分
evidence 9 提交文件名正确得分
evidence 10 提交文件名正确得分
第三部分 应用程序安全
任务5：Linux恶意程序分析（50分）
A集团发现其发布的应用程序文件遭到非法篡改，您的团队需要协助A集团对该恶意程序样本进行逆向分析、对其攻击/破坏的行为进行调查取证。
本任务素材清单：Linux恶意程序
请按要求完成该部分的工作任务。
任务5：Linux恶意程序分析
序号 任务内容 答案
1 请提交恶意程序回传数据的url地址
2 请指出恶意程序会加密哪些类型的文件
3 请指出恶意程序加密文件的算法
4 请指出恶意程序创建的子进程名称
任务6：JAVA语言代码审计（30分）
代码审计是指对源代码进行检查，寻找代码存在的脆弱性，这是一项需要多方面技能的技术。作为一项软件安全检查工作，代码安全审查是非常重要的一部分，因为大部分代码从语法和语义上来说是正确的，但存在着可能被利用的安全漏洞，你必须依赖你的知识和经验来完成这项工作。
本任务素材清单：Java源文件
请按要求完成该部分的工作任务。
任务6：JAVA语言代码审计
序号 任务内容 答案
1 请指出存在安全漏洞的代码行
2 请指出可能利用该漏洞的威胁名称
3 请修改该代码行使其变得安全
全国职业院校技能大赛
高等职业教育组
信息安全管理与评估
模块三
网络安全渗透、理论技能与职业素养
竞赛项目赛题
本文件为信息安全管理与评估项目竞赛-第三阶段样题，内容包括：网络安全渗透、理论技能与职业素养。
本次比赛时间为180分钟。
介绍
网络安全渗透的目标是作为一名网络安全专业人员在一个模拟的网络环境中实现网络安全渗透测试工作。
本模块要求参赛者作为攻击方，运用所学的信息收集、漏洞发现、漏洞利用等技术完成对网络的渗透测试；并且能够通过各种信息安全相关技术分析获取存在的flag值。
所需的设施设备和材料
所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完成。
评分方案
本测试项目模块分数为400分，其中，网络安全渗透300分，理论技能与职业素养100分。
项目和任务描述
在A集团的网络中存在几台服务器，各服务器存在着不同业务服务。在网络中存在着一定网络安全隐患，请通过信息收集、漏洞挖掘等渗透测试技术，完成指定项目的渗透测试，在测试中获取flag值。网络环境参考样例请查看附录A。
本模块所使用到的渗透测试技术包含但不限于如下技术领域：
数据库攻击
枚举攻击
权限提升攻击
基于应用系统的攻击
基于操作系统的攻击
逆向分析
密码学分析
隐写分析
所有设备和服务器的IP地址请查看现场提供的设备列表。
特别提醒
通过找到正确的flag值来获取得分，flag统一格式如下所示：
flag{}
这种格式在某些环境中可能被隐藏甚至混淆。所以，注意一些敏感信息并利用工具把它找出来。
注：部分flag可能非统一格式，若存在此情况将会在题目描述中明确指出flag格式，请注意审题。
工作任务
人力资源管理系统（45分）
任务编号 任务描述 答案 分值
任务一 请对人力资源管理系统进行黑盒测试，利用漏洞找到flag1，并将flag1提交。flag1格式flag1{}
任务二 请对人力资源管理系统进行黑盒测试，利用漏洞找到flag2，并将flag2提交。flag2格式flag2{}
任务三 请对人力资源管理系统进行黑盒测试，利用漏洞找到flag3，并将flag3提交。flag3格式flag3{}
邮件系统（30分）
任务编号 任务描述 答案 分值
任务四 请对邮件系统进行黑盒测试，利用漏洞找到flag1，并将flag1提交。flag1格式flag1{}
任务五 请对邮件系统进行黑盒测试，利用漏洞找到flag2，并将flag2提交。flag2格式flag2{}
FTP服务器（165分）
任务编号 任务描述 答案 分值
任务六 请获取FTP服务器上task6目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务七 请获取FTP服务器上task7目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务八 请获取FTP服务器上task8目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务九 请获取FTP服务器上task9目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务十 请获取FTP服务器上task10目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务十一 请获取FTP服务器上task11目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务十二 请获取FTP服务器上task12目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务十三 请获取FTP服务器上task13目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
认证服务器（30分）
任务编号 任务描述 答案 分值
任务十四 认证服务器10000端口存在漏洞，获取FTP服务器上task14目录下的文件进行分析，请利用漏洞找到flag，并将flag提交。flag格式flag{}
运维服务器（30分）
任务编号 任务描述 答案 分值
任务十五 运维服务器10001端口存在漏洞，获取FTP服务器上task15目录下的文件进行分析，请利用漏洞找到flag，并将flag提交。flag格式flag{}
附录A
图1 网络拓扑结构图
理论技能与职业素养（100分）
2023年全国职业院校技能大赛（高等职业教育组）
“信息安全管理与评估”测试题（样题）
【注意事项】
1.理论测试前请仔细阅读测试系统使用说明文档，按提供的账号和密码登录测试系统进行测试，账号只限1人登录。
2.该部分答题时长包含在第三阶段比赛时长内，请在临近竞赛结束前提交。
3.参赛团队可根据自身情况，可选择1-3名参赛选手进行作答，团队内部可以交流，但不得影响其他参赛队。
一、 单选题 （每题2分，共35题，共70分）
1、( )是指在信息的采集、加工、存储、传播和利用的各个环节中，用来规范期间产生的各种社会关系的道德意识、道德规范和道德行为的总和。
A、信息规范
B、信息规则
C、信息道德
D、信息行为
2、以下能够大幅度提高信息安全的做法是( )。
A、不再网络条件下使用计算机
B、定期使用安全软件
C、尽量少用计算机
D、多用纸质工具工作
3、以下不属于入侵监测系统的是（ ） 。
A、 AAFID系统
B、 SNORT系统
C、 IETF系统
D、 NETEYE系统
4、当数据库系统出现故障时，可以通过数据库日志文件进行恢复。下列关于数据库日志文件的说法，错误的是（ ） 。
A、 数据库出现事务故障和系统故障时需使用日志文件进行恢复
B、 使用动态转储机制时，必须使用日志文件才能将数据库恢复到一致状态
C、 在OLTP系统中，数据文件的空间使用量比日志文件大得多，使用日志备份可以降低数据库的备份空间
D、 日志文件的格式主要有以记录为单位的日志文件和以数据块为单位的日志文件两种
5、下面不是 SQL Server 支持的身份认证方式的是（ ） 。
A、 Windows NT 集成认证
B、 SQL Server 认证
C、 SQL Server混合认证
D、 生物认证
6、下面那个名称不可以作为自己定义的函数的合法名称？（ ）
A、 print
B、 len
C、 error
D、 Haha
7、SHA-1接受任何长度的输入消息，并产生长度为（ ） 比特的hash值。
A、 64
B、 160
C、 128
D、 512
8、下列选项中不是 Hydra工具中的-e参数的值是？（ ）
A、 o
B、 n
C、 s
D、 r
9、在Google Hacking 中，下面哪一个是搜索指定文件类型的语句？（ ）
A、 intext
B、 Intitle
C、 site
D、 filetype
10、以下选项中，对文件的描述错误的是哪个选项？（ ）
A、 文件中可以包含任何数据内容
B、 文本文件和二进制文件都是文件
C、 文本文件不能用二进制文件方式读入
D、 文件是一个存储在辅助存储器上的数据序列
11、以下关于TCP和UDP协议的描述中，正确的是？（ ）
A、 TCP是端到端的协议，UDP是点到点的协议
B、 TCP是点到点的协议，UDP是端到端的协议
C、 TCP和UDP都是端到端的协议
D、 TCP和UDP都是点到点的协议
12、攻击者在使用nmap对目标网络进行扫描时发现，某个主机开放了25和110端口，此主机最有可能是？（ ）
A、 文件服务器
B、 邮件服务器
C、 WEB服务器
D、 DNS服务器
13、在数据库系统中,死锁属于（ ） 。
A、 系统故障
B、 事务故障
C、 介质保障
D、 程序故障
14、在TCP/IP参考模型中，与OSI参考模型的网络层对应的是？（ ）
A、 主机-网络层
B、 传输层
C、 互联网层
D、 应用层
15、下面程序的运行结果是: ＃i nclude&lt;stdio.h&gt; { int k=0; char c='A'; do {switch(c++) {case 'A':k++;break; case 'B':k--; case 'C':k+=2;break; case 'D':k=k%2;continue。（ ）
A、 k=0
B、 k=2
C、 k=3
D、 k=4
16、如果想在类中创建私有方法，下面哪个命名是正确的？（ ）
A、 _add_one
B、 add_one
C、 __add_one
D、 add_one__
17、如果想在文件test.txt中追加内容，应该使用下列哪个选项？（ ）
A、 a=open('test.txt',"a")
B、 a=open('test.txt',"r")
C、 a=open('test.txt',"d")
D、 a=open('test.txt',"w")
18、当下各大厂商均有相关的应急响应中心部门，奖励均根据漏洞等级来进行划分。根据相应的安全标准，下列哪项不符合该要求？（ ）
A、 警告
B、 中危
C、 低危
D、 超危
19、SYN攻击属于DOS攻击的一种，它利用（）协议缺陷，通过发送大量的半连接请求，耗费CPU和内存资源？（ ）
A、 UDP
B、 ICMP
C、 TCP
D、 OSPF
20、外部数据包过滤路由器只能阻止一种类型的IP欺骗，即（），而不能阻止DNS欺骗？（ ）
A、 内部主机伪装成外部主机的IP
B、 内部主机伪装成内部主机的IP
C、 外部主机伪装成外部主机的IP
D、 外部主机伪装成内部主机的IP
21、当发现原有的IDS不能检测到新的攻击类型时，你应该采取哪种措施？（ ）
A、 购买或更新特征库
B、 配置防火墙
C、 关闭IDS直到得到新的IDS应用程序
D、 定义一个新的规则来检测攻击
22、下列工具中可以直接从内存中读取windows 密码的是？（ ）
A、 getpass
B、 QuarkssPwDump
C、 SAMINSIDE
D、 John
23、下面不是计算机网络面临的主要威胁的是 （ ）
A、 恶意程序威胁
B、 计算机软件面临威胁
C、 计算机网络实体面临威胁
D、 计算机网络系统面临威胁
24、数据库管理员应该定期对数据库进行重组，以保证数据库性能。下列有关数据库重组工作的说法，错误的是（ ） 。
A、 重组工作中可能会对数据库数据的磁盘分区方法和存储空间进行调整
B、 重组工作一般会修改数据库的内模式和模式，一般不改变数据库外模式
C、 重组工作一般在数据库运行一段时间后进行，不应频繁进行数据库重组
D、 重组工作中应尤其注意频繁修改数据的表，因为这些表很容易出现存储碎片，导致效率下降
25、os.getcwd()函数的作用是？（ ）
A、 返回当前目录下的文件
B、 返回当前目录的路径
C、 返回上一层目录的路径
D、 返回当前目录下的文件夹列表
26、哪个关键词可以在python中进行处理错误操作？（ ）
A、 try
B、 catch
C、 finderror
D、 error
27、下面哪一项不是hash函数的主要应用？（ ）
A、 文件校验
B、 数字签名
C、 数据加密
D、 鉴权协议
28、Geffe发生器使用了（ ） 个LFSR。
A、 1
B、 2
C、 3
D、 4
29、ELK日志解决方案中，Elasticsearch的作用是？（ ）
A、 收集日志并分析
B、 保存日志并搜索日志
C、 收集日志并保存
D、 保存日志并展示日志
30、CVE-2016-8704（ ）
A、 CVE-2016-8704
B、 CVE-2016-8705
C、 CVE-2018-8174
D、 CVE-2016-8706
31、下面哪种密码算法抵抗频率分析攻击能力最强，而对已知明文攻击最弱？（ ）
A、 仿射密码
B、 维吉利亚
C、 轮转密码
D、 希尔密码
32、re.match函数中参数Flag的作用是？（ ）
A、 声明正则表达式的内容
B、 声明正则表达式的名称
C、 控制正则表达式的匹配方式
D、 声明要匹配的字符串
33、部署IPSEC VPN 网络时我们需要考虑IP地址的规划，尽量在分支节点使用可以聚合的IP地址段，其中每条加密ACL将消耗多少IPSEC SA资源（)。（ ）
A、 1个
B、 2个
C、 3个
D、 4个
34、VIM退出命令中，能强制保存并退出的是？（ ）
A、 x
B、 wq
C、 q
D、 wq!
35、将用户user123修改为管理员权限命令是 （ ）。
A、 net user localgroup administrators user123 /add
B、 net use localgroup administrators user123 /add
C、 net localgroup administrators user123 /add
D、 net localgroup administrator user123 /add
二、 多选题 （每题3分，共10题，共30分）
1、安全业务指安全防护措施，包括（ ） 。
A、 保密业务
B、 认证业务
C、 完整性业务
D、 不可否认业务
2、下列哪些选项属于木马程序？（ ）
A、 X—Scan
B、 流光
C、 BO
D、 冰河
3、关于函数，下面哪些说法是错误的？（ ）
A、 函数必须返回一个结果
B、 函数不能调用自身
C、 函数命名只能以字母或数字开头
D、 在同一个文件中，不应定义重名的函数
4、下面哪些函数的执行结果将返回一个元组？（ ）
A、 os.stat
B、 os.path.split
C、 os.listdir
D、 os.getcwd
5、Python中哪些符号可以包含字符串数据？（ ）
A、 单引号
B、 双引号
C、 两个双引号
D、 三个双引号
6、数据库的完整性分为以下种类（ ） 。
A、 实体完整性
B、 域完整性
C、 参照完整性
D、 用户定义完整性
7、VIM的工作模式，包括哪些？（ ）
A、 命令模式
B、 输入模式
C、 高亮模式
D、 底行模式
8、上传文件夹权限管理方法包括 ？（ ）
A、 取消执行权限
B、 限制上传文件大小
C、 设置用户umask值
D、 在上传目录关闭php解析引擎
9、IPSec的安全联盟与IKE的安全联盟的区别是（ ）。
A、 IPSec的安全联盟是单向的
B、 IPSec的安全联盟是双向的
C、 IKE的安全联盟是单向的
D、 IKE的安全联盟是双向的
10、Bash环境变量中，常见的环境变量有？（ ）
A、 HOSTNAME
B、 PASS
C、 SHELL
D、 USER全国职业院校技能大赛
高等职业教育组
信息安全管理与评估
赛题五
模块一
网络平台搭建与设备安全防护
赛项时间
共计180分钟。
赛项信息
竞赛阶段 任务阶段 竞赛任务 竞赛时间 分值
第一阶段 网络平台搭建与设备安全防护 任务1 网络平台搭建 XX:XX- XX:XX 50
任务2 网络安全设备配置与防护 250
赛项内容
本次大赛，各位选手需要完成三个阶段的任务，其中第一个阶段需要按裁判组专门提供的U盘中的“XXX-答题模板”提交答案。第二、三阶段请根据现场具体题目要求操作。
选手首先需要在U盘的根目录下建立一个名为“GWxx”的文件夹（xx用具体的工位号替代），赛题第一阶段所完成的“XXX-答题模板”放置在文件夹中。
例如：08工位，则需要在U盘根目录下建立“GW08”文件夹，并在“GW08”文件夹下直接放置第一个阶段的所有“XXX-答题模板”文件。
特别说明：只允许在根目录下的“GWxx”文件夹中体现一次工位信息，不允许在其他文件夹名称或文件名称中再次体现工位信息，否则按作弊处理。
赛项环境设置
某集团公司原在北京建立了总部，在南京设立了分公司。总部设有销售、产品、财务、信息技术4个部门，分公司设有销售、产品、财务3个部门，统一进行IP及业务资源的规划和分配，全网采用OSPF动态路由协议和静态路由协议进行互连互通。公司规模在2023年快速发展，业务数据量和公司访问量增长巨大。为了更好管理数据，提供服务，集团决定建立自己的中型数据中心及业务服务平台，以达到快速、可靠交换数据，以及增强业务部署弹性的目的。集团、分公司的网络结构详见拓扑图。其中总公司使用一台SW交换机用于总部核心和终端高速接入，采用一台BC作为总公司因特网出口；分公司采用一台FW防火墙作为因特网出口设备，一台AC作为分公司核心，同时作为集团有线无线智能一体化控制器，通过与AP高性能企业级AP配合实现集团无线覆盖，总部有一台WEB服务器，为了安全考虑总公司部署了一台WAF对服务器进行web防护。在2023年公司进行IPV6网络改造，内部网络采用双栈模式。Ipv6 网络采用ospf V3实现互通。
网络拓扑图
IP地址规划表
设备名称 接口 IP地址 对端设备 接口
防火墙 FW ETH0/1-2 20.1.0.1/30（trust1安全域） SW eth1/0/1-2
20.1.1.1/30（untrust1安全域） SW
222.22.1.1/29（untrust） SW
ETH0/3 20.10.28.1/24(DMZ) WAF
Eth0/4-5 20.1.0.13/30 2001:da8:192:168:10:1::1/96 AC Eth1/0/21-22
Loopback1 20.0.0.254/32（trust） Router-id
L2TP Pool 192.168.10.1/26 可用IP数量为20 L2tp VPN地址池
三层 交换机 SW ETH1/0/4 财务专线 VPN CW AC ETH1/0/4
ETH1/0/5 trunk AC ETH1/0/5
ETH1/0/6 trunk AC ETH1/0/6
VLAN21 ETH1/0/1-2 20.1.0.2/30 FW Eth1/0/1-2
VLAN22 ETH1/0/1-2 20.1.1.2/30 FW Eth1/0/1-2
VLAN 222 ETH1/0/1-2 222.22.1.2/29 FW Eth1/0/1-2
VLAN 24 ETH1/0/24 223.23.1.2/29 BC Eth 5
Vlan 25 Eth 1/0/3 20.1.0.9/30 Ipv6:2001:da8:20:1:0::1/96 BC Eth 1
VLAN 30 ETH1/0/4 20.1.0.5/30 AC 1/0/4 Vlan name CW
VLAN 31 Eth1/0/10-12 10口配置Loopback 20.1.3.1/25 Vlan name CW
VLAN 40 ETH1/0/8-9 192.168.40.1/24 IPV6 2001:DA8:192:168:40::1/96 Vlan name 销售
VLAN 50 ETH1/0/13-14 192.168.50.1/24 IPV6 2001:DA8:192:168:50::1/96 PC3 Vlan name 产品
Vlan 60 Eth1/0/15-16 192.168.60.1/24 IPV6 2001:DA8:192:168:60::1/96 Vlan name 信息
VLAN 100 ETH 1/0/20 需设定 Vlan name AP-Manage
Loopback1 20.0.0.253/32(router-id)
无线 控制器 AC VLAN 30 ETH1/0/4 20.1.0.6/30 SW Vlan name TO-CW
VLAN 10 Ipv4:需设定 2001:da8:172:16:1::1/96 无线1 Vlan name WIFI-vlan10
VLAN 20 Ipv4:需设定 2001:da8:172:16:2::1/96 无线2 Vlan name WIFI-vlan20
VLAN 31 20.1.3.129/25 Vlan name CW
VLAN 140 ETH1/0/5 172.16.40.1/24 SW 1/0/5 Vlan name 销售
Vlan 150 Eth1/0/13-14 172.16.50.1/24 IPV6 2001:DA8:172:16:60::1/96 Vlan name 产品
Vlan 60 Eth1/0/15-18 192.168.60.2/24 IPV6 2001:DA8:192:168:60::2/96 Vlan name 信息
Vlan 70 Eth1/0/21-22 20.1.0.14/30 2001:da8:192:168:10:1::1/96 FW Eth1/0/4-5
Loopback1 20.1.1.254/24(router-id)
日志 服务器 BC Eth1 20.1.0.10/30 Ipv6:2001:da8:20:1:0::2/96 SW Eth1/0/3
Eth5 223.23.1.1/29 SW
eth3 192.168.28.1/24 WAF
PPTP-pool 192.168.10.129/26（10个地址）
WEB应用防火墙WAF ETH2 192.168.28.2/24 SERVER
ETH3 FW
AP Eth1 SW（20口）
SERVER 网卡 192.168.28.10/24
第一阶段任务书
任务1：网络平台搭建 （50分）
题号 网络需求
1 根据网络拓扑图所示，按照IP地址参数表，对FW的名称、各接口IP地址进行配置。
2 根据网络拓扑图所示，按照IP地址参数表，对SW的名称进行配置，创建VLAN并将相应接口划入VLAN。
3 根据网络拓扑图所示，按照IP地址参数表，对AC的各接口IP地址进行配置。
4 根据网络拓扑图所示，按照IP地址参数表，对BC的名称、各接口IP地址进行配置。
5 按照IP 地址规划表，对WEB 应用防火墙的名称、各接口IP 地址进行配置。
任务2：网络安全设备配置与防护（250分）
北京总公司和南京分公司有两条裸纤采用了骨干链路配置，做必要的配置，只允许必要的vlan通过，不允许其他vlan信息通过包含vlan1。
SW和AC开启telnet登录功能，telnet登录账户仅包含“***2023”，密码为明文“***2023”，采用telnet方式登录设备时需要输入enable密码，密码设置为明文“12345” 。
北京总公司和南京分公司租用了运营商三条裸光纤，实现内部办公互通。一条裸光纤承载公司财务部门业务，另外两条裸光纤承载其他内部有业务。使用相关技术实现总公司财务段路由表与公司其它业务网段路由表隔离，财务业务位于VPN 实例名称CW 内，总公司财务和分公司财务能够通信，财务部门总公司和分公司之间采用RIP路由实现互相访问。
SW和AC之间启用MSTP，实现网络二层负载均衡和冗余备份，要求如下：无线用户关联实例 1，信息部门关联实例2，名称为SKILLS，修订版本为1，设置AC为根交换机，走5口链路转发、信息部门通过6口链路转发，同时实现链路备份。除了骨干接口，关闭其他接口生成树协议。
总公司产品部门启用端口安全功能，最大安全MAC地址数为20，当超过设定MAC地址数量的最大值，不学习新的MAC、丢弃数据包、发 snmp trap、同时在syslog日志中记录，端口的老化定时器到期后，在老化周期中没有流量的部分表项老化，有流量的部分依旧保留，恢复时间为10分钟；禁止采用访问控制列表，只允许IP主机位为20-50的数据包进行转发；禁止配置访问控制列表，实现端口间二层流量无法互通，组名称FW。
由于总公司出口带宽有限，需要在交换机上对总公司销售部门访问因特网http服务做流量控制，访问http流量最大带宽限制为20M比特/秒，突发值设为4M字节，超过带宽的该网段内的报文一律丢弃。
在SW上配置将8端口收到的源IP为10.0.41.111的帧重定向到9端口，即从8端口收到的源IP为10.0.41.111的帧通过9端口转发出去。
总公司SW交换机模拟因特网交换机，通过某种技术实现本地路由和因特网路由进行隔离，因特网路由实例名internet。
对SW上VLAN60开启以下安全机制：
启用环路检测，环路检测的时间间隔为10s，发现环路以后关闭该端口，恢复时间为30分钟； 如私设DHCP服务器关闭该端口;开启防止ARP网关欺骗。
配置使北京公司内网用户通过总公司出口BC访问因特网，分公司内网用户通过分公司出口FW访问因特网，要求总公司销售部门的用户访问因特网的流量往反数据流都要经过防火墙，在通过BC访问因特网;防火墙untrust和trust1开启安全防护，参数采用默认参数。
总部核心交换机上配置 SNMP，引擎 id 分别为 1；创建组 GROUP2023，采用最高安全级别，配置组的读、写视图分别为：SKILLS_R、SKILLS_W；创建认证用户为USER2023，采用aes算法进行加密，密钥为Pass-1234，哈希算法为sha，密钥为Pass-1234；当设备有异常时，需要用本地的环回地址loopback1发送v3 Trap消息至集团网管服务器20.10.11.99、采用最高安全级别；当财务部门对应的用户接口发生UP DOWN事件时，禁止发送trap消息至上述集团网管服务器。
总公司和分公司今年进行IPv6试点，要求总公司和分公司销售部门用户能够通过IPV6相互访问，IPV6业务通过租用裸纤承载。实现分公司和总公司ipv6业务相互访问；FW、AC与SW之间配置动态路由OSPF V3 使总公司和分公司可以通过IPv6通信。
在总公司核心交换机SW配置IPv6地址，开启路由公告功能，路由器公告的生存期为2小时，确保销售部门的IPv6终端可以通过DHCP SERVER 获取IPv6地址，在SW上开启IPV6 dhcp server功能。
在南京分公司上配置IPv6地址，使用相关特性实现销售部的IPv6终端可自动从网关处获得IPv6无状态地址。
FW、SW、AC、BC之间配置OSPF area 0 开启基于链路的MD5认证，密钥自定义，SW与AC手动配置 INTERNET 默认路由，让总公司和分公司内网用户能够相互访问包含AC上loopback1地址。
分公司销售部门通过防火墙上的DHCP SERVER获取IP地址，server IP地址为20.0.0.254，地址池范围172.16.40.10-172.16.40.100，dns-server 8.8.8.8。
如果SW的11端口的收包速率超过30000则关闭此端口，恢复时间5分钟；为了更好地提高数据转发的性能，SW交换中的数据包大小指定为1600字节。
为实现对防火墙的安全管理，在防火墙FW的Trust安全域开启PING,HTTP，telnet，SNMP功能，Untrust安全域开启SSH、HTTPS功能。
在分部防火墙上配置，分部VLAN业务用户通过防火墙访问Internet时，转换为公网IP： 182.22.1.1/29；保证每一个源IP 产生的所有会话将被映射到同一个固定的IP 地址，当有流量匹配本地址转换规则时产生日志信息，将匹配的日志发送至20.10.28.10 的UDP 2000 端口。
远程移动办公用户通过专线方式接入分公司网络，在防火墙FW上配置，采用L2TP方式实现仅允许对内网信息部门的访问，端口号使用4455，用户名密码均为ABC2023，地址池参见地址表。
分公司部署了一台AC为了便于远程管理，需要把AC的web映射到外网，让外网通过能通过防火墙外网口地址访问AC的web服务，AC地址为loopback地址。
为了安全考虑，无线用户移动性较强，访问因特网时需要在BC上开启web认证使用https方式，采用本地认证，密码账号都为web2023，同一用户名只能在一个客户端登录，设置超时时间为30分钟。
由于分公司到因特网链路带宽比较低，出口只有200M带宽，需要在防火墙配置iQOS，系统中 P2P 总的流量不能超过 100M ，同时限制每用户最大下载带宽为2M，上传为1M，优先保障HTTP应用，为http预留100M带宽。
为净化上网环境，要求在防火墙FW做相关配置，禁止无线用户周一至周五工作时间9：00-18：00的邮件内容中含有“病毒”、“赌博”的内容，且记录日志。
由于总公司无线是通过分公司的无线控制器统一管理，为了防止专线故障导致无线不能使用，总公司和分公司使用互联网作为总公司无线ap和AC相互访问的备份链路。FW和BC之间通过IPSEC技术实现AP管理段与无线AC之间联通，具体要求为采用预共享密码为 ***2023，IKE 阶段 1 采用 DH 组 1、3DES 和 MD5 加密方，IKE 阶段 2 采用 ESP-3DES，MD5。
总公司用户，通过BC访问因特网，BC采用路由方式，在BC上做相关配置，让总公司内网用户（不包含财务）通过ip：183.23.1.1/29访问因特网。
在BC上配置PPTP vpn 让外网用户能够通过PPTP vpn访问总公司SW上内网地址，用户名为GS2023，密码123456。
为了提高分公司出口带宽，尽可能加大分公司AC和出口FW之间带宽。
在BC上开启IPS策略，对分公司内网用户访问外网数据进行IPS防护，保护服务器、客户端和恶意软件检测，检测到攻击后进行拒绝并记录日志。
对分公司内网用户访问外网数据进行防病毒防护，检查协议类型包含HTTP、FTP、POP3、SMTP，文件类型包含exe、bat、vbs、txt，检测到攻击后进行记录日志并阻断。
总公司出口带宽较低，总带宽只有200M，为了防止内网用户使用p2p迅雷下载占用大量带宽需要限制内部员工使用P2P工具下载的流量，最大上下行带宽都为50M，以免P2P流量占用太多的出口网络带宽, 启用阻断记录。
通过BC设置分公司用户在上班时间周一到周五9:00到18:00禁止玩游戏,并启用阻断记录。
限制总公司内网用户访问因特网web视频和即时通信上传最大带宽为10M，启用阻断记录；
BC上开启黑名单告警功能，级别为预警状态，并进行邮件告警和记录日志，发现cpu使用率大于80%，内存使用大于80%时进行邮件告警并记录日志，级别为严重状态。发送邮件地址为123@，接收邮件为133139123456@。
分公司内部有一台网站服务器直连到WAF，地址是192.168.28.10，端口是8080，配置将服务访问日志、WEB防护日志、服务监控日志信息发送syslog日志服务器， IP地址是192.168.28.6，UDP的514端口;
要求能自动识别内网HTTP服务器上的WEB主机，请求方法采用GET、POST方式。
在WAF上针对HTTP服务器进行URL最大个数为10，Cookies最大个数为30，Host最大长度为1024，Accept最大长度64等参数校验设置，设置严重级别为中级，超出校验数值阻断并发送邮件告警。
为防止www.网站资源被其他网站利用，通过WAF对资源链接进行保护，通过Referer方式检测，设置严重级别为中级，一经发现阻断并发送邮件告警。
为更好对服务器192.168.28.10进行防护，防止信息泄露，禁止美国地区访问服务器。
在WAF上配置基础防御功能，建立特征规则“HTTP防御”，开启SQL注入、XSS攻击、信息泄露等防御功能，要求针对这些攻击阻断并保存日志发送邮件告警。
在WAF上配置定期每周六1点对服务器的http://192.168.28.10/进行最大深度的漏洞扫描测试。
为了对分公司用户访问因特网行为进行审计和记录，需要把AC连接防火墙的流量镜像到8口。
由于公司IP地址为统一规划，原有无线网段IP地址为 172.16.0.0/22,为了避免地址浪费需要对ip地址进行重新分配；要求如下：未来公司预计部署ap 150台；办公无线用户vlan 10预计300人，来宾用户vlan20以及不超过50人。
BC上配置DHCP，管理VLAN 为VLAN100,为AP 下发管理地址，网段中第一个可用地址为AP 管理地址，最后一个可用地址为网关地址，AP通过DHCP opion 43注册，AC地址为loopback1地址；为无线用户VLAN10,20下发IP 地址，最后一个可用地址为网关；AP上线需要采用MAC地址认证。
AC配置dhcpv4和dhcpv6，分别为总公司产品段vlan50分配地址；ipv4地址池名称分别为POOLv4-50，ipv6 地址池名称分别为 POOLv6-50；ipv6地址池用网络前缀表示；排除网关；DNS分别为 114.114.114.114 和 2400:3200::1；为 PC1 保留地址 192.168.50.9 和 2001:da8:192:168:50::9， SW上中继地址为AC loopback1 地址。
在NETWORK下配置SSID，需求如下：
NETWORK 1下设置SSID ***2023，VLAN10，加密模式为wpa-personal,其口令为20232023。
NETWORK 2下设置SSID GUEST，VLAN20不进行认证加密,做相应配置隐藏该SSID； NETWORK 2开启内置portal+本地认证的认证方式，账号为test密码为test2023。
配置SSID GUEST每天早上0点到6点禁止终端接入; GUSET最多接入10个用户，并对GUEST网络进行流控，上行1M，下行2M；配置所有无线接入用户相互隔离。
配置当AP上线，如果AC中储存的Image版本和AP的Image版本号不同时，会触发AP自动升级；配置AP发送向无线终端表明AP存在的帧时间间隔为2秒；配置AP失败状态超时时间及探测到的客户端状态超时时间都为2小时；配置AP在脱离AC管理时依然可以正常工作。
为防止外部人员蹭网，现需在设置信号值低于50%的终端禁止连接无线信号；为防止非法AP假冒合法SSID，开启AP威胁检测功能。
全国职业院校技能大赛
高等职业教育组
信息安全管理与评估
模块二
网络安全事件响应、数字取证调查、应用程序安全
竞赛项目赛题
本文件为信息安全管理与评估项目竞赛-第二阶段样题，内容包括：网络安全事件响应、数字取证调查、应用程序安全。
本次比赛时间为180分钟。
介绍
竞赛有固定的开始和结束时间，参赛队伍必须决定如何有效的分配时间。请认真阅读以下指引！
（1）当竞赛结束，离开时请不要关机；
（2）所有配置应当在重启后有效；
（3）请不要修改实体机的配置和虚拟机本身的硬件设置。
所需的设备、机械、装置和材料
所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完成。
评分方案
本阶段总分数为300分。
项目和任务描述
随着网络和信息化水平的不断发展，网络安全事件也层出不穷，网络恶意代码传播、信息窃取、信息篡改、远程控制等各种网络攻击行为已严重威胁到信息系统的机密性、完整性和可用性。因此，对抗网络攻击，组织安全事件应急响应，采集电子证据等技术工作是网络安全防护的重要部分。现在，A集团已遭受来自不明组织的非法恶意攻击，您的团队需要帮助A集团追踪此网络攻击来源，分析恶意攻击攻击行为的证据线索，找出操作系统和应用程序中的漏洞或者恶意代码，帮助其巩固网络安全防线。
本模块主要分为以下几个部分：
网络安全事件响应
数字取证调查
应用程序安全
本部分的所有工作任务素材或环境均已放置在指定的计算机上，参赛选手完成后，填写在电脑桌面上“信息安全管理与评估竞赛-答题卷”中，竞赛结束时每组将答案整合到一份PDF文档提交。选手的电脑中已经安装好 Office 软件并提供必要的软件工具。
工作任务
第一部分 网络安全事件响应
任务1：Windows服务器应急响应（70分）
A集团的Windows服务器被黑客入侵，该服务器的Web应用系统被上传恶意软件，系统文件被恶意软件破坏，您的团队需要帮助该公司追踪此网络攻击的来源，在服务器上进行全面的检查，包括日志信息、进程信息、系统文件、恶意文件等，从而分析黑客的攻击行为，发现系统中的漏洞，并对发现的漏洞进行修复。
本任务素材清单：Windows服务器虚拟机。
受攻击的Server服务器已整体打包成虚拟机文件保存，请选手自行导入分析。
注意：Server服务器的基本配置参见附录，若题目中未明确规定，请使用默认配置。
请按要求完成该部分的工作任务。
任务1：Windows server服务器应急响应
序号 任务内容 答案
1 请提交攻击者攻击成功的第一时间，格式：YY:MM:DD hh:mm:ss
2 请提交攻击者的浏览器版本
3 请提交攻击者目录扫描所使用的工具名称
4 找到攻击者写入的恶意后门文件，提交文件名（完整路径）
5 找到攻击者隐藏在正常web应用代码中的恶意代码，提交该文件名（完整路径）
6 请提交内存中可疑进程的PID
7 请提交攻击者执行过几次修改文件访问权限的命令
8 请指出可疑进程采用的自动启动的方式
第二部分 数字取证调查
任务2 ：基于Linux的内存取证（40分）
A集团某服务器系统感染恶意程序，导致系统关键文件被破坏，请分析A集团提供的系统镜像和内存镜像，找到系统镜像中的恶意软件，分析恶意软件行为。
本任务素材清单：存储镜像、内存镜像。
请按要求完成该部分的工作任务。
任务2：基于Linux的内存取证
序号 任务内容 答案
1 请提交用户目录下压缩包的解压密码
2 请提交root账户的登录密码
3 请指出攻击者通过什么命令实现提权操作
4 请指出内存中恶意进程的PID
5 请指出恶意进程加密文件的文件类型
任务3：通信数据分析取证（USB）（50分）
A集团的网络安全监控系统发现恶意份子正在实施高级可持续攻击（APT），并抓取了部分可疑流量包。请您根据捕捉到的流量包，搜寻出网络攻击线索，分解出隐藏的恶意程序，并分析恶意程序的行为。
本任务素材清单：捕获的通信数据文件。
请按要求完成该部分的工作任务。
任务3：通信数据分析取证（USB）
序号 任务内容 答案
1 请提交攻击者一共上传了几个文件
2 请提交攻击者上传的木马文件的MD5值
3 请写出攻击者运行木马文件的命令（含参数）
4 攻击者获取主机权限之后，进行了回连操作，请提交回连的IP地址
任务4： 基于MacOS计算机单机取证（60分）
对给定取证镜像文件进行分析，搜寻证据关键字（线索关键字为“evidence 1”、“evidence 2”、……、“evidence 10”，有文本形式也有图片形式，不区分大小写），请提取和固定比赛要求的标的证据文件，并按样例的格式要求填写相关信息，证据文件在总文件数中所占比例不低于15%。取证的信息可能隐藏在正常的、已删除的或受损的文件中，您可能需要运用编码转换技术、加解密技术、隐写技术、数据恢复技术，还需要熟悉常用的文件格式（如办公文档、压缩文档、图片等）。
本任务素材清单：取证镜像文件。
请按要求完成该部分的工作任务。
任务4：基于MacOS计算机单机取证
证据编号 在取证镜像中的文件名 镜像中原文件Hash码（MD5，不区分大小写）
evidence 1
evidence 2
evidence 3
evidence 4
evidence 5
evidence 6
evidence 7
evidence 8
evidence 9
evidence 10
第三部分 应用程序安全
任务5：Android恶意程序分析（50分）
A集团发现其发布的Android移动应用程序文件遭到非法篡改，您的团队需要协助A集团对该恶意程序样本进行逆向分析、对其攻击/破坏的行为进行调查取证。
本任务素材清单：Android的apk文件。
请按要求完成该部分的工作任务。
任务5：Android恶意程序分析
序号 任务内容 答案
1 请提交恶意应用回传数据的url地址
2 请提交恶意应用保存数据文件名称（含路径）
3 请提交恶意应用解密数据的密钥
4 请描述恶意应用的行为
任务6：PHP代码审计（30分）
A集团发现其发布的web应用程序中被黑客种植了webshell，文件遭到非法篡改，您的团队需要协助A集团对该恶意脚本程序样本进行分析、对其攻击/破坏的行为进行调查取证。
本任务素材清单：PHP文件。
请按要求完成该部分的工作任务。
任务6：PHP代码审计
序号 任务内容 答案
1 请提交存在安全漏洞的代码行
2 请指出安全漏洞的名称
3 请修改该代码行使其变得安全
全国职业院校技能大赛
高等职业教育组
信息安全管理与评估
模块三
网络安全渗透、理论技能与职业素养
竞赛项目赛题
本文件为信息安全管理与评估项目竞赛-第三阶段样题，内容包括：网络安全渗透、理论技能与职业素养。
本次比赛时间为180分钟。
介绍
网络安全渗透的目标是作为一名网络安全专业人员在一个模拟的网络环境中实现网络安全渗透测试工作。
本模块要求参赛者作为攻击方，运用所学的信息收集、漏洞发现、漏洞利用等技术完成对网络的渗透测试；并且能够通过各种信息安全相关技术分析获取存在的flag值。
所需的设施设备和材料
所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完成。
评分方案
本测试项目模块分数为400分，其中，网络安全渗透300分，理论技能与职业素养100分。
项目和任务描述
在A集团的网络中存在几台服务器，各服务器存在着不同业务服务。在网络中存在着一定网络安全隐患，请通过信息收集、漏洞挖掘等渗透测试技术，完成指定项目的渗透测试，在测试中获取flag值。网络环境参考样例请查看附录A。
本模块所使用到的渗透测试技术包含但不限于如下技术领域：
数据库攻击
枚举攻击
权限提升攻击
基于应用系统的攻击
基于操作系统的攻击
逆向分析
密码学分析
隐写分析
所有设备和服务器的IP地址请查看现场提供的设备列表。
特别提醒
通过找到正确的flag值来获取得分，flag统一格式如下所示：
flag{}
这种格式在某些环境中可能被隐藏甚至混淆。所以，注意一些敏感信息并利用工具把它找出来。
注：部分flag可能非统一格式，若存在此情况将会在题目描述中明确指出flag格式，请注意审题。
工作任务
人力资源管理系统（45分）
任务编号 任务描述 答案 分值
任务一 请对人力资源管理系统进行黑盒测试，利用漏洞找到flag1，并将flag1提交。flag1格式flag1{}
任务二 请对人力资源管理系统进行黑盒测试，利用漏洞找到flag2，并将flag2提交。flag2格式flag2{}
任务三 请对人力资源管理系统进行黑盒测试，利用漏洞找到flag3，并将flag3提交。flag3格式flag3{}
邮件系统（30分）
任务编号 任务描述 答案 分值
任务四 请对邮件系统进行黑盒测试，利用漏洞找到flag1，并将flag1提交。flag1格式flag1{}
任务五 请对邮件系统进行黑盒测试，利用漏洞找到flag2，并将flag2提交。flag2格式flag2{}
FTP服务器（165分）
任务编号 任务描述 答案 分值
任务六 请获取FTP服务器上task6目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务七 请获取FTP服务器上task7目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务八 请获取FTP服务器上task8目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务九 请获取FTP服务器上task9目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务十 请获取FTP服务器上task10目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务十一 请获取FTP服务器上task11目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务十二 请获取FTP服务器上task12目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务十三 请获取FTP服务器上task13目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
认证服务器（30分）
任务编号 任务描述 答案 分值
任务十四 认证服务器10000端口存在漏洞，获取FTP服务器上task14目录下的文件进行分析，请利用漏洞找到flag，并将flag提交。flag格式flag{}
运维服务器（30分）
任务编号 任务描述 答案 分值
任务十五 运维服务器10001端口存在漏洞，获取FTP服务器上task15目录下的文件进行分析，请利用漏洞找到flag，并将flag提交。flag格式flag{}
附录A
图1 网络拓扑结构图
理论技能与职业素养（100分）
2023年全国职业院校技能大赛（高等职业教育组）
“信息安全管理与评估”测试题（样题）
【注意事项】
1.理论测试前请仔细阅读测试系统使用说明文档，按提供的账号和密码登录测试系统进行测试，账号只限1人登录。
2.该部分答题时长包含在第三阶段比赛时长内，请在临近竞赛结束前提交。
3.参赛团队可根据自身情况，可选择1-3名参赛选手进行作答，团队内部可以交流，但不得影响其他参赛队。
一、 单选题 （每题2分，共35题，共70分）
1、外部数据包过滤路由器只能阻止一种类型的IP欺骗，即（ ） ，而不能阻止DNS欺1、《中华人民共和国网络安全法》已由中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议通过，自（ ）起施行。
A、 2019年6月1日
B、 2018年6月1日
C、 2017年6月1日
D、 2016年6月1日
2、传播计算机病毒属于以下（ ）问题行为。
A、信息道德与信息安全失范行为
B、侵害他人财产
C、危害国家安全
D、传播有害文件
3、一个基于网络的IDS应用程序利用什么来检测攻击？（ ）
A、 正确配置的DNS
B、 特征库
C、 攻击描述
D、 信息包嗅探器
4、你检测到一次针对你的网络的攻击，你的服务器日志显示了攻击的源IP地址，但是你需要确定这个地址来自哪个域，你应该？（ ）
A、 Ping根服务器
B、 进行反向DNS查找
C、 检查你的DNS服务器的A记录
D、 请你的互联网服务供应商为你寻找需要的信息
5、扫描器之王NMAP中，全面扫描的命令是什么？（ ）
A、 -o
B、 -SV
C、 -sP
D、 -a
6、根据网络安全应急处理流程，应急启动后，应该进行哪一步（ ） 。
A、 归类&定级
B、 应急处置
C、 信息通报
D、 后期处理
7、能修改系统引导扇区，在计算机系统启动时首先取得控制权的病毒属于（ ） 。
A、 文件病毒
B、 引导型病毒
C、 混合型病毒
D、 恶意代码
8、你有一个共享文件夹，你将它的NTFS权限设置为sam用户可以修改，共享权限设置为sam用户可以读取，当sam从网络访问这个共享文件夹的时候，他有什么样的权限？（ ）
A、 读取
B、 写入
C、 修改
D、 完全控制
9、通过设置网络接口（网卡）的（），可以使其接受目的地址并不指向自己的网络数据包，从而达到网络嗅探攻击的目的？（ ）
A、 共享模式
B、 交换模式
C、 混杂模式
D、 随机模式
10、下面那个名称不可以作为自己定义的函数的合法名称？（ ）
A、 print
B、 len
C、 error
D、 Haha
11、下列有关数据库系统及相关内容的说法中，错误的是（ ） 。
A、 数据库系统是由计算机软硬件组成的复杂系统，其体系结构与系统硬件平台密切相关
B、 数据库管理系统提供了查询、插入、删除、更新等通用数据操作，但没有提供各种面向具体应用领域的业务处理
C、 数据库中的数据是按照一定的数据模型组织和存储的、可供多个用户共享的、具有最小冗余度的相关数据集合
D、 数据字典记录数据库系统运行时数据库操作情况的日志信息，通常由数据库管理员管理和维护
12、下列对计算机网络的攻击方式中，属于被动攻击的是？（ ）
A、 口令嗅探
B、 重放
C、 拒绝服务
D、 物理破坏
13、关于分布式数据库，下列说法正确的是（ ） 。
A、 分布式数据库的事务管理包括恢复控制和并发控制，恢复控制一般采用的策略是基于两阶段提交协议
B、 在分布式数据库查询中，导致数据传输通信代价大的主要原因是各个站点分片的连接和并操作
C、 分布式数据库中的分布透明性包括分片透明性、位置透明性、局部数据模型透明性，其中分片透明性是最高层次的透明性
D、 分布式数据库的目标是本地自治、非集中式管理、高可用性、位置独立性、数据分片独立性等
14、MD5算法以（ ）位分组来处理输入文本。
A、 64
B、 128
C、 256
D、 512
15、关于函数，下面哪个说法是错误的？（ ）
A、 函数必须有参数
B、 函数可以有多个函数
C、 函数可以调用本身
D、 函数内可以定义其他函数
16、根据我国网络安全应急响应的法律法规，网络安全事件可以分为7类，下列哪项不属于有害程序事件。（ ）
A、 蠕虫事件
B、 特洛伊事件
C、 信息泄露事件
D、 混合程序攻击事件
17、攻击者在使用nmap对目标网络进行扫描时发现，某个主机开放了25和110端口，此主机最有可能是？（ ）
A、 文件服务器
B、 邮件服务器
C、 WEB服务器
D、 DNS服务器
18、关于IP提供的服务，下列哪种说法是正确的？（ ）
A、 IP提供不可靠的数据投递服务，因此数据包投递不能受到保障
B、 IP提供不可靠的数据投递服务，因此它可以随意丢弃报文
C、 IP提供可靠的数据投递服务，因此数据报投递可以受到保障
D、 IP提供可靠的数据投递服务，因此它不能随意丢弃报文
19、ICMP泛洪利用了？（ ）
A、 ARP命令的功能
B、 traceroute命令的功能
C、 ping命令的功能
D、 route命令的功能
20、根据工信部明确的公共互联网网络安全突发事件应急预案文件，公共互联网网络突发事件等级最高可标示的颜色是什么？（ ）
A、 红色
B、 黄色
C、 蓝色
D、 橙色
21、黑客利用IP地址进行攻击的方法有？（ ）
A、 IP欺骗
B、 解密
C、 窃取口令
D、 发送病毒
22、在强制存取控制机制中，当主体的许可证级别等于客体的密级时，主体可以对客体进行如下操作（）。（ ）
A、 读取
B、 写入
C、 不可操作
D、 读取、写入
23、ARP欺骗的实质是？（ ）
A、 提供虚拟的MAC与IP地址的组合
B、 让其他计算机知道自己的存在
C、 窃取用户在网络中的传输的数据
D、 扰乱网络的正常运行
24、函数的__doc__属性表示？（ ）
A、 函数的名称
B、 函数中的说明
C、 函数中定义的变量
D、 函数的返回值
25、下列不属于口令安全威胁的是？（ ）
A、 弱口令
B、 明文传输
C、 MD5加密
D、 多账户共用一个密码
26、维吉利亚(Vigenere)密码是古典密码体制比较有代表性的一种密码，其密码体制采用的是（ ） 。
A、 置换密码
B、 单表代换密码
C、 多表代换密码
D、 序列密码
27、DES的秘钥长度是多少Bit （ ）
A、 6
B、 56
C、 128
D、 32
28、MD5散列算法具有（ ） 位摘要值。
A、 56
B、 128
C、 160
D、 168
29、VIM模式切换的说法中，正确的是？（ ）
A、 命令模式通过i命令进入输入模式
B、 输入模式通过:切换到末行模式
C、 命令模式通过ESC键进入末行模式
D、 末行模式通过i进入输入模式
30、Shell编程条件判断中，说法错误的是？（ ）
A、 -b 判断文件是否存在，并且是否为块设备文件
B、 -c 判断文件是否存在，并且是否为字符设备文件
C、 -d 判断文件是否存在，并且是否为目录文件
D、 -e 判断文件是否存在，并且是否为普通文件
31、Linux软件管理rpm命令，说法不正确的是？（ ）
A、 -v 显示详细信息
B、 -h: 以#显示进度；每个#表示2%
C、 -q PACKAGE_NAME：查询指定的包是否已经安装
D、 -e 升级安装包
32、关于sed操作命令中，说法错误的是？（ ）
A、 a 命令在行的前面另起一行新增
B、 p 命令打印相关行，配合-n使用
C、 c 命令替换行
D、 d 命令删除行
33、部署大中型IPSEC VPN 时，从安全性和维护成本考虑，建议采取什么样的技术手段提供设备间的身份验证 （ ）
A、 预共享密钥
B、 数字证书
C、 路由协议验证
D、 802.1x
34、Jennings 发生器用了一个复合器来组合（ ）个LFSR。
A、 1
B、 2
C、 3
D、 4
35、vim命令中，用于查找并替换的命令，正确的是？（ ）
A、 xw
B、 1,$s/test/360/g
C、 cw
D、 p
二、 多选题 （共每题3分，共10题，共30分）
1、安全业务指安全防护措施，包括（ ） 。
A、 保密业务
B、 认证业务
C、 完整性业务
D、 不可否认业务
2、SQL Server提供了DES、RC2、RC4和AES等加密算法，没有某种算法能适应所有要求，每种算法都有优劣势，但选择算法需要有如下共通之处（ ） 。
A、 强加密通常会比较弱的加密占用更多的CPU资源
B、 长密钥通常会比短密钥生成更强的加密
C、 如果加密大量数据，应使用对称密钥来加密数据，并使用非对称密钥来加密该对称密钥
D、 可以先对数据进行加密，然后再对其进行压缩
3、Python中哪些符号可以包含字符串数据？（ ）
A、 单引号
B、 双引号
C、 两个双引号
D、 三个双引号
4、下面哪些选项是类的属性？（ ）
A、 __doc__
B、 __init__
C、 __module__
D、 __class__
5、下面那些方法可以检测恶意ICMP流量？（ ）
A、 检测同一来源ICMP数据包的数量
B、 注意那些ICMP数据包中payload大于64比特的数据包
C、 寻找那些响应数据包中payload跟请求数据包不一致的ICMP数据包
D、 检查ICMP数据包的协议标签
6、使用os.walk函数可以得到哪些内容？（ ）
A、 目录的路径
B、 子目录的列表
C、 非目录的文件列表
D、 目录中文件的大小
7、VPN设计中常用于提供用户识别功能的是（ ） 。
A、 RADIUS
B、 TOKEN卡
C、 数字证书
D、 8O2.1xAA.OOcIn.com
8、上传文件夹权限管理方法包括 ？（ ）
A、 取消执行权限
B、 限制上传文件大小
C、 设置用户umask值
D、 在上传目录关闭php解析引擎
9、在反杀伤链中，情报可以分为那几个层次？（ ）
A、 战斗
B、 战略
C、 战区
D、 战术
10、以下后缀中，属于Linux中常见压缩文件后缀的有？（ ）
A、 doc
B、 zip
C、 tar.gz
D、 ppt全国职业院校技能大赛
高等职业教育组
信息安全管理与评估
赛题六
模块一
网络平台搭建与设备安全防护
赛项时间
共计180分钟。
赛项信息
竞赛阶段 任务阶段 竞赛任务 竞赛时间 分值
第一阶段 网络平台搭建与设备安全防护 任务1 网络平台搭建 XX:XX- XX:XX 50
任务2 网络安全设备配置与防护 250
赛项内容
本次大赛，各位选手需要完成三个阶段的任务，其中第一个阶段需要按裁判组专门提供的U盘中的“XXX-答题模板”提交答案。第二、三阶段请根据现场具体题目要求操作。
选手首先需要在U盘的根目录下建立一个名为“GWxx”的文件夹（xx用具体的工位号替代），赛题第一阶段所完成的“XXX-答题模板”放置在文件夹中。
例如：08工位，则需要在U盘根目录下建立“GW08”文件夹，并在“GW08”文件夹下直接放置第一个阶段的所有“XXX-答题模板”文件。
特别说明：只允许在根目录下的“GWxx”文件夹中体现一次工位信息，不允许在其他文件夹名称或文件名称中再次体现工位信息，否则按作弊处理。
赛项环境设置
网络拓扑图
IP地址规划表
设备名称 接口 IP地址 对端设备 接口
防火墙FW ETH0/1-2 10.10.255.1/30（trust安全域） 2001:DA8:10:10:255::1/127 SW eth1/0/1-2
10.10.255.5/30（trust安全域） 2001:DA8:10:10:255::5/127 SW
ETH0/3 20.23.1.1/30（untrust安全域） 223.20.23.1/29(nat-pool) 2001:DA8:223:20:23::1/64 SW Eth1/0/23
Loopback1 10.0.0.254/32（trust） Router-id
SSL Pool 192.168.10.1/26 可用IP数量为20 SSL VPN地址池
三层 交换机 SW ETH1/0/4 专线 AC ETH1/0/4
ETH1/0/5 专线 AC ETH1/0/5
VLAN21 ETH1/0/1-2 10.10.255.2/30 2001:DA8:10:10:255::2/127 FW Vlan name TO-FW1
VLAN22 ETH1/0/1-2 10.10.255.6/30 2001:DA8:10:10:255::6/127 FW Vlan name TO-FW2
VLAN 23 ETH1/0/23 20.23.1.2/30 2001:DA8:223:20:23::2/127 FW Vlan name TO-internet
VLAN 24 ETH1/0/24 223.20.23.10/29 2001:DA8:223:20:23::10/127 BC Vlan name TO-BC
VLAN 10 172.16.10.1/24 无线1 Vlan name WIFI-vlan10
VLAN 20 172.16.20.1/24 无线2 Vlan name WIFI-vlan20
VLAN 30 ETH1/0/6-7 192.168.30.1/24 2001:DA8:192:168:30:1::1/96 Vlan name XZ
VLAN 31 Eth1/0/8-9 192.168.31.1/24 2001:DA8:192:168:31:1::1/96 Vlan name sales
VLAN 40 ETH1/0/10-11 192.168.40.1/24 2001:DA8:192:168:40:1::1/96 Vlan name CW
Vlan 50 Eth1/0/13-14 192.168.50.1/24 2001:DA8:192:168:50:1::1/96 Vlan name manage
Vlan1001 10.10.255.9/30 2001:DA8:10:10:255::9/127 TO-AC1
Vlan1002 10.10.255.13/30 2001:DA8:10:10:255::13/127 TO-AC2
VLAN 1000 ETH 1/0/20 172.16.100.1/24 Vlan name AP-Manage
Loopback1 10.0.0.253/32(router-id)
无线 控制器 AC VLAN 10 192.168.10.1/24 2001:DA8:192:168:10:1::1/96 Vlan name TO-CW
VLAN 20 192.168.20.1/24 2001:DA8:192:168:20:1::1/96 Vlan name CW
VLAN 1001 10.10.255.10/30 2001:DA8:10:10:255::10/127
VLAN 1002 10.10.255.14/30 2001:DA8:10:10:255::14/127
Vlan 60 Eth1/0/13-14 192.168.60.1/24 2001:DA8:192:168:60:1::1/96 Vlan name sales
Vlan 61 Eth1/0/15-18 192.168.61.1/24 2001:DA8:192:168:61:1::1/96 Vlan name BG
Vlan 100 Eth1/0/21 10.10.255.17/30 2001:DA8:10:10:255::17/127 BC eth2 Vlan name TO-BC
VLAN 2000 ETH 1/0/19 192.168.100.1/24 沙盒
Loopback1 10.1.1.254/32(router-id)
日志 服务器 BC eth2 10.10.255.18/30 2001:DA8:10:10:255::18/127 AC
ETH3 223.20.23.9/29 2001:DA8:223:20:23::9/127 SW
PPTP-pool 192.168.10.129/26（10个地址）
WEB 应用 防火墙WAF ETH2 192.168.50.2/24 PC3
ETH3 SWEth1/0/13
AP Eth1 SW（20口）
PC1 网卡 eth1/0/7 SW
沙盒 192.168.100.10/24 AC ETH1/0/19
第一阶段任务书
任务1：网络平台搭建 （50分）
题号 网络需求
1 根据网络拓扑图所示，按照IP地址参数表，对FW的名称、各接口IP地址进行配置。
2 根据网络拓扑图所示，按照IP地址参数表，对SW的名称进行配置，创建VLAN并将相应接口划入VLAN。
3 根据网络拓扑图所示，按照IP地址参数表，对AC的各接口IP地址进行配置。
4 根据网络拓扑图所示，按照IP地址参数表，对BC的名称、各接口IP地址进行配置。
5 按照IP 地址规划表，对WEB 应用防火墙的名称、各接口IP 地址进行配置。
任务2：网络安全设备配置与防护（250分）
SW和AC开启SSH登录功能，SSH登录账户仅包含“USER-SSH”，密码为明文“123456”，采用SSH方式登录设备时需要输入enable密码，密码设置为明文“enable” 。
应网监要求，需要对上海总公司用户访问因特网行为进行记录，需要在交换机上做相关配置，把访问因特网的所有数据镜像到交换机1/0/18口便于对用户上网行为进行记录。
尽可能加大上海总公司核心和出口之间带宽，端口模式采用lacp模式。
上海总公司和南昌分公司租用了运营商两条裸光纤，实现内部办公互通，要求两条链路互为备份，同时实现流量负载均衡，流量负载模式基于Dst-src-mac模式。
上海总公司和南昌分公司链路接口只允许必要的vlan通过，禁止其它vlan包括vlan1二层流量通过。
为防止非法用户接入网络，需要在核心交互上开启DOT1X认证，对vlan40用户接入网络进行认证，radius-server 为192.168.100.200。
为了便于管理网络，能够让网管软件实现自动拓朴连线，在总公司核心和分公司AC上开启某功能，让设备可以向网络中其他节点公告自身的存在，并保存各个邻近设备的发现信息。
ARP 扫描是一种常见的网络攻击方式，攻击源将会产生大量的 ARP 报文在网段内广播，这些广播报文极大的消耗了网络的带宽资源，为了防止该攻击对网络造成影响，需要在总公司交换机上开启防扫描功能，对每端口设置阈值为40，超过将关闭该端口20分钟后自动恢复，设置和分公司互联接口不检查。
总公司SW交换机模拟因特网交换机，通过某种技术实现本地路由和因特网路由进行隔离，因特网路由实例名internet。
对SW上VLAN40开启以下安全机制：
业务内部终端相互二层隔离，启用环路检测，环路检测的时间间隔为10s，发现环路以后关闭该端口，恢复时间为30分钟； 如私设DHCP服务器关闭该端口;开启防止ARP网关欺骗攻击。
配置使上海公司核心交换机VLAN31业务的用户访问因特网数据流经过10.10.255.1返回数据通过10.10.255.5。要求有测试结果。
为响应国家号召，公司实行IPV6网络升级改造，公司采用双栈模式，同时运行ipv4和ipv6，IPV6网络运行OSPF V3协议，实现内部ipv6全网互联互通，要求总公司和分公司之间路由优先走vlan1001，vlan1002为备份。
在总公司核心交换机SW配置IPv6地址，开启路由公告功能，路由器公告的生存期为2小时，确保销售部门的IPv6终端可以通过DHCP SERVER 获取IPv6地址，在SW上开启IPV6 dhcp server功能，ipv6地址范围2001:da8:192:168:31:1::2-2001:da8:192:168:31:1::100。
在南昌分公司上配置IPv6地址，使用相关特性实现销售部的IPv6终端可自动从网关处获得IPv6无状态地址。
FW、SW、AC之间配置OSPF，实现ipv4网络互通。要求如下：区域为 0 同时开启基于链路的MD5认证，密钥自定义，传播访问INTERNET 默认路由，分公司内网用户能够与总公司相互访问包含loopback地址；分公司AC和BC之间运行静态路由。
总公司销售部门通过防火墙上的DHCP SERVER获取IP地址，server IP地址为10.0.0.254，地址池范围192.168.31.10-192.168.31.100，dns-server 8.8.8.8。
总公司交换机上开启dhcp server 为无线用户分配ip地址，地址租约时间为10小时，dns-server 为114.114.114.114，前20个地址不参与分配,第一个地址为网关地址。
如果SW的11端口的收包速率超过30000则关闭此端口，恢复时间5分钟；为了更好地提高数据转发的性能，SW交换中的数据包大小指定为1600字节。
交换机的端口 10不希望用户使用 ftp，也不允许外网 ping 此网段的任何一台主机。
交换机vlan 30 端口连接的网段IPV6 的地址为 2001:da8:192:168:30:1::0/96 网段，管理员不希望除了2001:da8:192:168:30:1:1::0/112网段用户访问外网。
为实现对防火墙的安全管理，在防火墙FW的Trust安全域开启PING,HTTP，telnet，SNMP功能，Untrust安全域开启ping、SSH、HTTPS功能。
在总部防火墙上配置，总部VLAN业务用户通过防火墙访问Internet时，复用公网IP： 223.20.23.1/29，保证每一个源IP 产生的所有会话将被映射到同一个固定的IP 地址，当有流量匹配本地址转换规则时产生日志信息，将匹配的日志发送至192.168.100.10 的UDP 2000 端口。
远程移动办公用户通过专线方式接入总部网络，在防火墙FW上配置，采用SSL方式实现仅允许对内网VLAN 30的访问，端口号使用4455，用户名密码均为ABC2023，地址池参见地址表。
总公司部署了一台WEB服务器ip为192.168.50.10，为外网用户提供web服务，要求外网用户能访问服务器上的web服务（端口80）和远程管理服务器（端口3389），外网用户只能通过223.20.23.2外网地址访问服务器web服务和3389端口。
为了安全考虑，需要对内网销售部门用户访问因特网进行实名认证，要求在防火墙上开启web认证使用https方式，采用本地认证，密码账号都为web2023，同一用户名只能在一个客户端登录，设置超时时间为30分钟。
由于总公司到因特网链路带宽比较低，出口只有200M带宽，需要在防火墙配置iQOS，系统中 P2P 总的流量不能超过 100M ，同时限制每用户最大下载带宽为4M，上传为2M，http访问总带宽为50M。
财务部门和公司账务有关，为了安全考虑，禁止财务部门访问因特网，要求在防火墙FW做相关配置
由于总公司销售和分公司销售部门使用的是同一套CRM系统，为了防止专线故障导致系统不能使用，总公司和分公司使用互联网作为总公司销售和分公司销售相互访问的备份链路。FW和BC之间通过IPSEC技术实现总公司销售段与分公司销售之间联通，具体要求为采用预共享密码为 ***2023，IKE 阶段 1 采用 DH 组 1、3DES 和 MD5 加密方，IKE 阶段 2 采用 ESP-3DES，MD5。
分公司用户，通过BC访问因特网，BC采用路由方式，在BC上做相关配置，让分公司内网用户通过BC外网口ip访问因特网。
在BC上配置PPTP vpn 让外网用户能够通过PPTP vpn访问分公司AC上内网资源，用户名为GS01，密码GS0123。
分公司部署了一台安全攻防平台，用来公司安全攻防演练，为了方便远程办公用户访问安全攻防平台，在BC上配置相关功能，让外网用户能通过BC的外网口接口IP，访问内部攻防平台服务器，攻防平台服务器地址为192.168.100.10端口：8080。
在BC上配置url过滤策略，禁止分公司内网用户在周一到周五的早上8点到晚上18点访问外网www.。
对分公司内网用户访问外网进行网页关键字过滤，网页内容包含“暴力”“赌博”的禁止访问
为了安全考虑，无线用户移动性较强，访问因特网时需要实名认证，在BC上开启web认证使用http方式，采用本地认证，密码账号都为web2023。
DOS攻击/DDoS 攻击通常是以消耗服务器端资源、迫使服务停止响应为目标，通过伪造超过服务器处理能力的请求数据造成服务器响应阻塞，从而使正常的用户请求得不到应答，以实现其攻击目的，在分公司内网区域开起DOS攻击防护，阻止内网的机器中毒或使用攻击工具发起的 DOS 攻击，检测到攻击进行阻断。
分公司BC上配置NAT64，实现分公司内网ipv6用户通过BC出口ipv4地址访问因特网。
分公司内网攻防平台，对Internet提供服务，在BC上做相关配置让外网IPV6用户能够通过BC外网口IPV6地址访问攻防平台的web服务端口号为80。
BC上开启病毒防护功能，无线用户在外网下载exe、rar、bat文件时对其进行杀毒检测，防止病毒进入内网，协议流量选择HTTP杀毒、FTP杀毒、POP3、SMTP。
公司内部有一台网站服务器直连到WAF，地址是192.168.50.10，端口是8080，配置将访问日志、攻击日志、防篡改日志信息发送syslog日志服务器， IP地址是192.168.100.6，UDP的514端口。
编辑防护策略，在“专家规则”中定义HTTP请求体的最大长度为256，防止缓冲区溢出攻击。
WAF上配置开启爬虫防护功能，防护规则名称为http爬虫，url为www.，自动阻止该行为；封禁时间为3600秒。
WAF上配置，开启防盗链，名称为http盗链，保护url为www.，检测方式referer+cookie，处理方式为阻断，并记录日志。
WAF上配置开启IDP防护策略，采用最高级别防护，出现攻击对攻击进行阻断。
WAF上配置开启DDOS防护策略，防护等级高级并记录日志。
在公司总部的WAF上配置，内部web服务器进行防护安全防护，防护策略名称为web_p，记录访问日志，防护规则为扫描防护规则采用增强规则、HTTP协议校验规则采用专家规则、特征防护规则采用专家规则、开启爬虫防护、开启防盗链、开启敏感信息检测
AC上配置DHCP，管理VLAN 为VLAN1000,为AP 下发管理地址，AP通过DHCP opion 43注册，AC地址为loopback1地址。
在NETWORK下配置SSID，需求如下：
NETWORK 1下设置SSID SKILL-WIFI，VLAN10，加密模式为wpa-peSWonal,其口令为12345678，开启隔离功能。
NETWORK 2下设置SSID GUEST，VLAN20不进行认证加密,做相应配置隐藏该SSID，NETWORK 2开启内置portal+本地认证的认证方式，账号为XXX密码为test2023。
为了合理利用AP性能，需要在AP上开启5G优先配置5G优先功能的客户端的信号强度门限为40
通过配置防止多AP和AC相连时过多的安全认证连接而消耗CPU资源，检测到AP与AC在10分钟内建立连接5次就不再允许继续连接，两小时后恢复正常；GUSET最多接入50个用户，并对GUEST网络进行流控，上行1M，下行2M。
全国职业院校技能大赛
高等职业教育组
信息安全管理与评估
模块二
网络安全事件响应、数字取证调查、应用程序安全
竞赛项目赛题
本文件为信息安全管理与评估项目竞赛-第二阶段样题，内容包括：网络安全事件响应、数字取证调查、应用程序安全。
本次比赛时间为180分钟。
介绍
竞赛有固定的开始和结束时间，参赛队伍必须决定如何有效的分配时间。请认真阅读以下指引！
（1）当竞赛结束，离开时请不要关机；
（2）所有配置应当在重启后有效；
（3）请不要修改实体机的配置和虚拟机本身的硬件设置。
所需的设备、机械、装置和材料
所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完成。
评分方案
本阶段总分数为300分。
项目和任务描述
随着网络和信息化水平的不断发展，网络安全事件也层出不穷，网络恶意代码传播、信息窃取、信息篡改、远程控制等各种网络攻击行为已严重威胁到信息系统的机密性、完整性和可用性。因此，对抗网络攻击，组织安全事件应急响应，采集电子证据等技术工作是网络安全防护的重要部分。现在，A集团已遭受来自不明组织的非法恶意攻击，您的团队需要帮助A集团追踪此网络攻击来源，分析恶意攻击攻击行为的证据线索，找出操作系统和应用程序中的漏洞或者恶意代码，帮助其巩固网络安全防线。
本模块主要分为以下几个部分：
网络安全事件响应
数字取证调查
应用程序安全
本部分的所有工作任务素材或环境均已放置在指定的计算机上，参赛选手完成后，填写在电脑桌面上“信息安全管理与评估竞赛-答题卷”中，竞赛结束时每组将答案整合到一份PDF文档提交。选手的电脑中已经安装好 Office 软件并提供必要的软件工具。
工作任务
第一部分 网络安全事件响应（70分）
任务1：Linux服务器应急响应
A集团的Linux服务器被黑客入侵，该服务器的Web应用系统被上传恶意软件，系统文件被恶意软件破坏，您的团队需要帮助该公司追踪此网络攻击的来源，在服务器上进行全面的检查，包括日志信息、进程信息、系统文件、恶意文件等，从而分析黑客的攻击行为，发现系统中的漏洞，并对发现的漏洞进行修复。
本任务素材清单：Linux服务器虚拟机
受攻击的Server服务器已整体打包成虚拟机文件保存，请选手自行导入分析。
注意：Server服务器的基本配置参见附录，若题目中未明确规定，请使用默认配置。
请按要求完成该部分的工作任务。
任务1：Linux服务器应急响应
序号 任务内容 答案
1 请提交攻击者的IP地址
2 请提交攻击者使用的操作系统
3 请提交攻击者进入网站后台的密码
4 请提交攻击者首次攻击成功的时间，格式：DD/MM/YY:hh:mm:ss
5 请提交攻击者上传的恶意文件名（含路径）
6 请提交攻击者写入的恶意后门文件的连接密码
7 请提交攻击者创建的用户账户名称
8 请提交恶意进程的名称
第二部分 数字取证调查
任务2 ：基于Windows的内存取证（40分）
A集团某服务器系统感染恶意程序，导致系统关键文件被破坏，请分析A集团提供的系统镜像和内存镜像，找到系统镜像中的恶意软件，分析恶意软件行为。
本任务素材清单：存储镜像、内存镜像。
请按要求完成该部分的工作任务。
任务2：基于windows的内存取证
序号 任务内容 答案
1 请提交内存中恶意进程的名称
2 请提交恶意进程写入的文件名称（不含路径）
3 请提交admin账户的登录密码
4 请提交攻击者创建的账户名称
5 请提交在桌面某文件中隐藏的flag信息，格式：flag{...}
任务3：通信数据分析取证（TPC/IP）（50分）
A集团的网络安全监控系统发现恶意份子正在实施高级可持续攻击（APT），并抓取了部分可疑通信数据。请您根据捕捉到的通信数据，搜寻出网络攻击线索，分解出隐藏的恶意程序，并分析恶意程序的行为。
本任务素材清单：捕获的通信数据文件。
请按要求完成该部分的工作任务。
任务3：通信数据分析取证（TPC/IP）
序号 任务内容 答案
1 请指出攻击者使用什么协议传输了敏感信息
2 请提交两个攻击者用于收信息的二级域名
3 请提交攻击者传输的敏感信息key1，格式：key1{xxx}
4 请提交攻击者获取的flag，格式：flag{xxx}
任务4： 基于Linux计算机单机取证（60分）
对给定取证镜像文件进行分析，搜寻证据关键字（线索关键字为“evidence 1”、“evidence 2”、……、“evidence 10”，有文本形式也有图片形式，不区分大小写），请提取和固定比赛要求的标的证据文件，并按样例的格式要求填写相关信息，证据文件在总文件数中所占比例不低于15%。取证的信息可能隐藏在正常的、已删除的或受损的文件中，您可能需要运用编码转换技术、加解密技术、隐写技术、数据恢复技术，还需要熟悉常用的文件格式（如办公文档、压缩文档、图片等）。
本任务素材清单：取证镜像文件。
请按要求完成该部分的工作任务。
任务4：基于Linux计算机单机取证
证据编号 在取证镜像中的文件名 镜像中原文件Hash码（MD5，不区分大小写）
evidence 1
evidence 2
evidence 3
evidence 4
evidence 5
evidence 6
evidence 7
evidence 8
evidence 9
evidence 10
第三部分 应用程序安全
任务5：Windows恶意程序分析（50分）
A集团发现其发布的应用程序文件遭到非法篡改，您的团队需要协助A集团对该恶意程序样本进行逆向分析、对其攻击/破坏的行为进行调查取证。
本任务素材清单：Windows恶意程序
请按要求完成该部分的工作任务。
任务5：Windows恶意程序分析
序号 任务内容 答案
1 请指出恶意程序的壳名称
2 请提交恶意程序反向连接的IP地址
3 请提交恶意程序用于解密数据的函数名称
4 请提交恶意程序反弹shell的命令（含参数）
任务6：C语言代码审计（30分）
代码审计是指对源代码进行检查，寻找代码存在的脆弱性，这是一项需要多方面技能的技术。作为一项软件安全检查工作，代码安全审查是非常重要的一部分，因为大部分代码从语法和语义上来说是正确的，但存在着可能被利用的安全漏洞，你必须依赖你的知识和经验来完成这项工作。
本任务素材清单：C源文件
请按要求完成该部分的工作任务。
任务6：C语言代码审计
序号 任务内容 答案
1 请指出存在安全漏洞的代码行
2 请指出可能利用该漏洞的威胁名称
3 请提出加固修改建议
全国职业院校技能大赛
高等职业教育组
信息安全管理与评估
模块三
网络安全渗透、理论技能与职业素养
竞赛项目赛题
本文件为信息安全管理与评估项目竞赛-第三阶段样题，内容包括：网络安全渗透、理论技能与职业素养。
本次比赛时间为180分钟。
介绍
网络安全渗透的目标是作为一名网络安全专业人员在一个模拟的网络环境中实现网络安全渗透测试工作。
本模块要求参赛者作为攻击方，运用所学的信息收集、漏洞发现、漏洞利用等技术完成对网络的渗透测试；并且能够通过各种信息安全相关技术分析获取存在的flag值。
所需的设施设备和材料
所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完成。
评分方案
本测试项目模块分数为400分，其中，网络安全渗透300分，理论技能与职业素养100分。
项目和任务描述
在A集团的网络中存在几台服务器，各服务器存在着不同业务服务。在网络中存在着一定网络安全隐患，请通过信息收集、漏洞挖掘等渗透测试技术，完成指定项目的渗透测试，在测试中获取flag值。网络环境参考样例请查看附录A。
本模块所使用到的渗透测试技术包含但不限于如下技术领域：
数据库攻击
枚举攻击
权限提升攻击
基于应用系统的攻击
基于操作系统的攻击
逆向分析
密码学分析
隐写分析
所有设备和服务器的IP地址请查看现场提供的设备列表。
特别提醒
通过找到正确的flag值来获取得分，flag统一格式如下所示：
flag{}
这种格式在某些环境中可能被隐藏甚至混淆。所以，注意一些敏感信息并利用工具把它找出来。
注：部分flag可能非统一格式，若存在此情况将会在题目描述中明确指出flag格式，请注意审题。
工作任务
商城购物系统（45分）
任务编号 任务描述 答案 分值
任务一 请对商城购物系统进行黑盒测试，利用漏洞找到flag1，并将flag1提交。flag1格式flag1{}
任务二 请对商城购物系统进行黑盒测试，利用漏洞找到flag2，并将flag2提交。flag2格式flag2{}
任务三 请对商城购物系统进行黑盒测试，利用漏洞找到flag3，并将flag3提交。flag3格式flag3{}
企业云盘系统（30分）
任务编号 任务描述 答案 分值
任务四 请对企业云盘系统进行黑盒测试，利用漏洞找到flag1，并将flag1提交。flag1格式flag1{}
任务五 请对企业云盘系统进行黑盒测试，利用漏洞找到flag2，并将flag2提交。flag2格式flag2{}
FTP服务器（165分）
任务编号 任务描述 答案 分值
任务六 请获取FTP服务器上task6目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务七 请获取FTP服务器上task7目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务八 请获取FTP服务器上task8目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务九 请获取FTP服务器上task9目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务十 请获取FTP服务器上task10目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务十一 请获取FTP服务器上task11目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务十二 请获取FTP服务器上task12目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务十三 请获取FTP服务器上task13目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
存储服务器（30分）
任务编号 任务描述 答案 分值
任务十四 存储服务器10000端口存在漏洞，获取FTP服务器上task14目录下的文件进行分析，请利用漏洞找到flag，并将flag提交。flag格式flag{}
大数据服务器（30分）
任务编号 任务描述 答案 分值
任务十五 大数据服务器10001端口存在漏洞，获取FTP服务器上task15目录下的文件进行分析，请利用漏洞找到flag，并将flag提交。flag格式flag{}
附录A
图1 网络拓扑结构图
理论技能与职业素养（100分）
2023年全国职业院校技能大赛（高等职业教育组）
“信息安全管理与评估”测试题（样题）
【注意事项】
1.理论测试前请仔细阅读测试系统使用说明文档，按提供的账号和密码登录测试系统进行测试，账号只限1人登录。
2.该部分答题时长包含在第三阶段比赛时长内，请在临近竞赛结束前提交。
3.参赛团队可根据自身情况，可选择1-3名参赛选手进行作答，团队内部可以交流，但不得影响其他参赛队。
一、 单选题 （每题2分，共35题，共70分）
1、《中华人民共和国个人信息保护法》是为了保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用，根据宪法，制定的法规，自（ ）起施行。
A、 2020年11月1日
B、 2021年11月1日
C、 2022年1月1日
D、 2021年1月1日
2、能够保证信息系统的操作者或者信息的处理者不能否认其行为或处理结果，这可以防止参与某次操作或通信的乙方事后否认该事件曾发生过，这属于信息安全的( )。
A、可用性
B、完整性
C、非否认性
D、机密性
3、下面那个名称不可以作为自己定义的函数的合法名称？（ ）
A、 print
B、 len
C、 error
D、 Haha
4、print 'aaa' > 'Aaa'将返回？（ ）
A、 TRUE
B、 FALSE
C、 SyntaxError: invalid syntax
D、 1
5、下列在2017 年6月1日开始施行的法律是？（ ）
A、 《网络安全法》
B、 《刑法修正案》
C、 《计算机信息系统安全保护条例》
D、 《互联网上网服务营业场所管理条例》
6、针对Windows系统主机，攻击者可以利用文件共享机制上的Netbios“空会话”连接漏洞，获取众多对其攻击有利的敏感信息，获取的信息中不包含下列哪一项信息？（ ）
A、 系统的用户和组信息
B、 系统的共享信息
C、 系统的版本信息
D、 系统的应用服务和软件信息
7、POP3服务器使用的监听端口是？（ ）
A、 TCP的25端口
B、 TCP的110端口
C、 UDP的25端口
D、 UDP的110端口
8、利用虚假IP地址进行ICMP报文传输的攻击方法称为？（ ）
A、 ICMP泛洪
B、 死亡之ping
C、 LAND攻击
D、 Smurf攻击
9、下列不属于口令安全威胁的是？（ ）
A、 弱口令
B、 明文传输
C、 MD5加密
D、 多账户共用一个密码
10、下列工具中可以直接从内存中读取windows 密码的是？（ ）
A、 getpass
B、 QuarkssPwDump
C、 SAMINSIDE
D、 John
11、什么是数据库安全的第一道保障（）。（ ）
A、 操作系统的安全
B、 数据库管理系统层次
C、 网络系统的安全
D、 数据库管理员
12、aspx 的网站配置文件一般存放在哪个文件里？（ ）
A、 conn.asp
B、 config.php
C、 web.config
D、 index.aspx
13、SQL Server 2008支持多种数据库还原级别。下列有关其数据库恢复的说法，错误的是（ ） 。
A、 在进行数据库整体还原和恢复过程中，此数据库处于脱机状态
B、 SQL Server支持对数据库的一个数据文件进行还原，在还原过程中此文件处于脱机状态，数据库中的其他文件不受影响
C、 在还原数据库之前，如果数据库的日志没有损坏，为了减少数据丢失可以进行一次尾部日志备份
D、 在进行数据库还原的过程中可以将数据库移动到其他位置
14、下面（）不包含在 MySQL 数据库系统中。（ ）
A、 数据库管理系统，即DBMS
B、 密钥管理系统
C、 关系型数据库管理系统，即 RDBMS
D、 开放源码数据库
15、外部数据包过滤路由器只能阻止一种类型的IP欺骗，即（），而不能阻止DNS欺骗？（ ）
A、 内部主机伪装成外部主机的IP
B、 内部主机伪装成内部主机的IP
C、 外部主机伪装成外部主机的IP
D、 外部主机伪装成内部主机的IP
16、下列哪个不是密码字典？（ ）
A、 弱口令字典
B、 社工字典
C、 彩虹表
D、 《康熙字典》
17、完成数据库应用系统的设计并进行实施后，数据库系统进入运行维护阶段。下列工作中不属于数据库运行维护工作的是（ ） 。
A、 恢复数据库数据以核查问题
B、 为了保证安全，定期修改数据库用户的密码
C、 更换数据库服务器以提高应用系统运行速度
D、 使用开发人员提供的SQL语句易始化数据库中的表
18、黑客利用IP地址进行攻击的方法有？（ ）
A、 IP欺骗
B、 解密
C、 窃取口令
D、 发送病毒
19、一个C程序的执行是从哪里开始的？（ ）
A、 本程序的main函数开始，到main函数结束
B、 本程序文件的第一个函数开始，到本程序main函数结束
C、 本程序的main函数开始，到本程序文件的最后一个函数结束
D、 本程序文件的第一个函数开始，到本程序文件的最后一个函数结束
20、Str='heiheihei' print str[3:]将输出？（ ）
A、 hei
B、 heihei
C、 eih
D、 ihe
21、一个基于网络的IDS应用程序利用什么来检测攻击？（ ）
A、 正确配置的DNS
B、 特征库
C、 攻击描述
D、 信息包嗅探器
22、脏数据是指（）。（ ）
A、 不健康的数据
B、 缺失的数据
C、 多余的数据
D、 被撤销的事务曾写入库中的数据
23、数据库管理员应该定期对数据库进行重组，以保证数据库性能。下列有关数据库重组工作的说法，错误的是（ ）
A、 重组工作中可能会对数据库数据的磁盘分区方法和存储空间进行调整
B、 重组工作一般会修改数据库的内模式和模式，一般不改变数据库外模式
C、 重组工作一般在数据库运行一段时间后进行，不应频繁进行数据库重组
D、 重组工作中应尤其注意频繁修改数据的表，因为这些表很容易出现存储碎片，导致效率下降
24、下面不是 SQL Server 支持的身份认证方式的是（ ）。
A、 Windows NT 集成认证
B、 SQL Server 认证
C、 SQL Server混合认证
D、 生物认证
25、ELK中的各种beats主要作用是？（ ）
A、 作为前端过滤日志
B、 作为前端定义日志的格式
C、 作为前端收集不同类型日志
D、 作为前端将日志发送给kibana
26、维吉利亚(Vigenere)密码是古典密码体制比较有代表性的一种密码，其密码体制采用的是（ ） 。
A、 置换密码
B、 单表代换密码
C、 多表代换密码
D、 序列密码
27、Shell编程条件判断中，整数比较说法错误的是？（ ）
A、 整数1 -eq 整数2，判断整数1是否和整数2相等
B、 整数1 -ge 整数2，判断整数1是否大于等于整数2
C、 整数1 -lt 整数2，判断整数1是否小于等于整数2
D、 整数1 -gt 整数2，判断整数1是否大于整数2
28、DES的秘钥长度是多少Bit （ ）
A、 6
B、 56
C、 128
D、 32
29、Shell编程条件判断中，文件权限判断说法错误的是？（ ）
A、 -r 判断该文件是否存在，并且该文件是否拥有读写权限
B、 -w 判断该文件是否存在，并且该文件是否拥有写权限
C、 -x 判断该文件是否存在，并且该文件是否拥有执行权限
D、 -u 判断该文件是否存在，并且该文件是否拥有SUID权限
30、Linux命令的基本格式中，正确的是？（ ）
A、 命令[参数][选项]
B、 命令 [选项] [参数]
C、 [选项]命令[参数]
D、 [参数]命令[选项]
31、如果VPN网络需要运行动态路由协议并提供私网数据加密,通常采用什么技术手段实现（ ） 。
A、 GRE
B、 GRE+IPSEC
C、 L2TP
D、 L2TP+IPSEC
32、VIM模式切换的说法中，正确的是？（ ）
A、 命令模式通过i命令进入输入模式
B、 输入模式通过:切换到末行模式
C、 命令模式通过ESC键进入末行模式
D、 末行模式通过i进入输入模式
33、以下关于VPN说法正确的是（ )（ ）
A、 VPN 指的是用户自己租用线路，和公共网络物理上完全隔离的、安全的线路
B、 VPN 指的是用户通过公用网络建立的临时的、安全的连接
C、 VPN不能做到信息验证和身份认证
D、 VPN只能提供身份认证、不能提供加密数据的功能
34、目前，使用最广泛的序列密码是？（ ）
A、 RC4
B、 A5
C、 SEAL
D、 PKZIP
35、2000年10月2日，NIST 正式宣布将（ ）候选算法作为高级加密标准（AES），该算法是由两位比利时密码学着提出的。
A、 MARS
B、 Rijndael
C、 Twofish
D、 Bluefish
二、 多选题 （每题3分，共10题，共30分）
1、netwox工具拥有以下哪些功能？（ ）
A、 嗅探
B、 SQL注入
C、 欺骗
D、 地址转换
2、Python中哪些符号可以包含字符串数据？（ ）
A、 单引号
B、 双引号
C、 两个双引号
D、 三个双引号
3、Apache服务器外围加固措施包括？（ ）
A、 部署WAF
B、 部署IPS
C、 部署IDS
D、 部署蜜罐系统
4、安全业务指安全防护措施，包括（ ） 。
A、 保密业务
B、 认证业务
C、 完整性业务
D、 不可否认业务
5、如果想写一个循环，遍历从1到100的所有数字，下面哪些语句是正确的？（ ）
A、 for i in range(1,101):print i
B、 i=0 while i<100: i=i+1 print i
C、 for i in range(0,101): print i
D、 for i in range(1,100): print i
6、对-rw-rw-r―权限描述，正确的说法是？（ ）
A、 所有者具有读写权限
B、 所属组具有读写权限
C、 其他人具有读写权限
D、 所有用户和组都没有执行权限
7、操作系统安全主要包括（ ）等方面 。（ ）
A、 账户密码安全和文件共享安全
B、 文件权限管理和用户权限管理
C、 日志审计和远程访问权限管理
D、 文件夹选项和安全选项
8、防火墙的主要技术有哪些？（ ）
A、 简单包过滤技术
B、 状态检测包过滤技术
C、 应用代理技术
D、 复合技术
9、VIM的工作模式，包括哪些？（ ）
A、 命令模式
B、 输入模式
C、 高亮模式
D、 底行模式
10、关于安全联盟SA，说法正确的是（ ） 。
A、 IKESA是单向的
B、 IPSEC SA 是双向的
C、 IKESA 是双向的
D、 IPSEC SA是单向的全国职业院校技能大赛
高等职业教育组
信息安全管理与评估
赛题一
模块一
网络平台搭建与设备安全防护
赛项时间
共计180分钟。
赛项信息
竞赛阶段 任务阶段 竞赛任务 竞赛时间 分值
第一阶段 网络平台搭建与设备安全防护 任务1 网络平台搭建 XX:XX- XX:XX 50
任务2 网络安全设备配置与防护 250
赛项内容
本次大赛，各位选手需要完成三个阶段的任务，其中第一个阶段需要按裁判组专门提供的U盘中的“XXX-答题模板”提交答案。第二、三阶段请根据现场具体题目要求操作。
选手首先需要在U盘的根目录下建立一个名为“GWxx”的文件夹（xx用具体的工位号替代），赛题第一阶段所完成的“XXX-答题模板”放置在文件夹中。
例如：08工位，则需要在U盘根目录下建立“GW08”文件夹，并在“GW08”文件夹下直接放置第一个阶段的所有“XXX-答题模板”文件。
特别说明：只允许在根目录下的“GWxx”文件夹中体现一次工位信息，不允许在其他文件夹名称或文件名称中再次体现工位信息，否则按作弊处理。
赛项环境设置
某集团公司原在北京建立了总部，在南京设立了分公司。总部设有销售、产品、财务、信息技术4个部门，分公司设有销售、产品、财务3个部门，统一进行IP及业务资源的规划和分配，全网采用OSPF动态路由协议和静态路由协议进行互连互通。公司规模在2023年快速发展，业务数据量和公司访问量增长巨大。为了更好管理数据，提供服务，集团决定建立自己的中型数据中心及业务服务平台，以达到快速、可靠交换数据，以及增强业务部署弹性的目的。集团、分公司的网络结构详见拓扑图。其中总公司使用一台SW交换机用于总部核心和终端高速接入，采用一台BC作为总公司因特网出口；分公司采用一台FW防火墙作为因特网出口设备，一台AC作为分公司核心，同时作为集团有线无线智能一体化控制器，通过与AP高性能企业级AP配合实现集团无线覆盖，总部有一台WEB服务器，为了安全考虑总公司部署了一台WAF对服务器进行web防护。在2023年公司进行IPV6网络改造，内部网络采用双栈模式。Ipv6 网络采用ospf V3实现互通。
网络拓扑图
IP地址规划表
设备名称 接口 IP地址 对端设备 接口
防火墙FW ETH0/1-2 20.1.0.1/30（trust1安全域） SW eth1/0/1-2
20.1.1.1/30（untrust1安全域） SW
222.22.1.1/29（untrust） SW
ETH0/3 20.10.28.1/24(DMZ) WAF
Eth0/4-5 20.1.0.13/30 2001:da8:192:168:10:1::1/96 AC Eth1/0/21-22
Loopback1 20.0.0.254/32（trust） Router-id
L2TP Pool 192.168.10.1/26 可用IP数量为20 L2tp VPN地址池
三层交换机SW ETH1/0/4 财务专线 VPN CW AC ETH1/0/4
ETH1/0/5 trunk AC ETH1/0/5
ETH1/0/6 trunk AC ETH1/0/6
VLAN21 ETH1/0/1-2 20.1.0.2/30 FW Eth1/0/1-2
VLAN22 ETH1/0/1-2 20.1.1.2/30 FW Eth1/0/1-2
VLAN 222 ETH1/0/1-2 222.22.1.2/29 FW Eth1/0/1-2
VLAN 24 ETH1/0/24 223.23.1.2/29 BC Eth 5
Vlan 25 Eth 1/0/3 20.1.0.9/30 Ipv6:2001:da8:20:1:0::1/96 BC Eth 1
VLAN 30 ETH1/0/4 20.1.0.5/30 AC 1/0/4 Vlan name CW
VLAN 31 Eth1/0/10-12 10口配置Loopback 20.1.3.1/25 Vlan name CW
VLAN 40 ETH1/0/8-9 192.168.40.1/24 IPV6 2001:DA8:192:168:40::1/96 Vlan name 销售
VLAN 50 ETH1/0/13-14 192.168.50.1/24 IPV6 2001:DA8:192:168:50::1/96 PC3 Vlan name 产品
Vlan 60 Eth1/0/15-16 192.168.60.1/24 IPV6 2001:DA8:192:168:60::1/96 Vlan name 信息
VLAN 100 ETH 1/0/20 需设定 Vlan name AP-Manage
Loopback1 20.0.0.253/32(router-id)
无线控制器AC VLAN 30 ETH1/0/4 20.1.0.6/30 SW Vlan name TO-CW
VLAN 10 Ipv4:需设定 2001:da8:172:16:1::1/96 无线1 Vlan name WIFI-vlan10
VLAN 20 Ipv4:需设定 2001:da8:172:16:2::1/96 无线2 Vlan name WIFI-vlan20
VLAN 31 20.1.3.129/25 Vlan name CW
VLAN 140 ETH1/0/5 172.16.40.1/24 SW 1/0/5 Vlan name 销售
Vlan 150 Eth1/0/13-14 172.16.50.1/24 IPV6 2001:DA8:172:16:60::1/96 Vlan name 产品
Vlan 60 Eth1/0/15-18 192.168.60.2/24 IPV6 2001:DA8:192:168:60::2/96 Vlan name 信息
Vlan 70 Eth1/0/21-22 20.1.0.14/30 2001:da8:192:168:10:1::1/96 FW Eth1/0/4-5
Loopback1 20.1.1.254/24(router-id)
日志服务器BC Eth1 20.1.0.10/30 Ipv6:2001:da8:20:1:0::2/96 SW Eth1/0/3
Eth5 223.23.1.1/29 SW
eth3 192.168.28.1/24 WAF
PPTP-pool 192.168.10.129/26（10个地址）
WEB应用防火墙WAF ETH2 192.168.28.2/24 SERVER
ETH3 FW
AP Eth1 SW（20口）
SERVER 网卡 192.168.28.10/24
第一阶段任务书
任务1：网络平台搭建 （50分）
题号 网络需求
1 根据网络拓扑图所示，按照IP地址参数表，对FW的名称、各接口IP地址进行配置。
2 根据网络拓扑图所示，按照IP地址参数表，对SW的名称进行配置，创建VLAN并将相应接口划入VLAN。
3 根据网络拓扑图所示，按照IP地址参数表，对AC的各接口IP地址进行配置。
4 根据网络拓扑图所示，按照IP地址参数表，对BC的名称、各接口IP地址进行配置。
5 按照IP 地址规划表，对WEB 应用防火墙的名称、各接口IP 地址进行配置。
任务2：网络安全设备配置与防护（250分）
北京总公司和南京分公司有两条裸纤采用了骨干链路配置，做必要的配置，只允许必要的vlan通过，不允许其他vlan信息通过包含vlan1。
SW和AC开启telnet登录功能，telnet登录账户仅包含“***2023”，密码为明文“***2023”，采用telnet方式登录设备时需要输入enable密码，密码设置为明文“12345” 。
北京总公司和南京分公司租用了运营商三条裸光纤，实现内部办公互通。一条裸光纤承载公司财务部门业务，另外两条裸光纤承载其他内部有业务。使用相关技术实现总公司财务段路由表与公司其它业务网段路由表隔离，财务业务位于VPN 实例名称CW 内，总公司财务和分公司财务能够通信，财务部门总公司和分公司之间采用RIP路由实现互相访问。
SW和AC之间启用MSTP，实现网络二层负载均衡和冗余备份，要求如下：无线用户关联实例 1，信息部门关联实例2，名称为SKILLS，修订版本为1，设置AC为根交换机，走5口链路转发、信息部门通过6口链路转发，同时实现链路备份。除了骨干接口，关闭其他接口生成树协议。
总公司产品部门启用端口安全功能，最大安全MAC地址数为20，当超过设定MAC地址数量的最大值，不学习新的MAC、丢弃数据包、发 snmp trap、同时在syslog日志中记录，端口的老化定时器到期后，在老化周期中没有流量的部分表项老化，有流量的部分依旧保留，恢复时间为10分钟；禁止采用访问控制列表，只允许IP主机位为20-50的数据包进行转发；禁止配置访问控制列表，实现端口间二层流量无法互通，组名称FW。
由于总公司出口带宽有限，需要在交换机上对总公司销售部门访问因特网http服务做流量控制，访问http流量最大带宽限制为20M比特/秒，突发值设为4M字节，超过带宽的该网段内的报文一律丢弃。
在SW上配置将8端口收到的源IP为10.0.41.111的帧重定向到9端口，即从8端口收到的源IP为10.0.41.111的帧通过9端口转发出去。
总公司SW交换机模拟因特网交换机，通过某种技术实现本地路由和因特网路由进行隔离，因特网路由实例名internet。
对SW上VLAN60开启以下安全机制：启用环路检测，环路检测的时间间隔为10s，发现环路以后关闭该端口，恢复时间为30分钟； 如私设DHCP服务器关闭该端口;开启防止ARP网关欺骗。
配置使北京公司内网用户通过总公司出口BC访问因特网，分公司内网用户通过分公司出口FW访问因特网，要求总公司销售部门的用户访问因特网的流量往反数据流都要经过防火墙，在通过BC访问因特网;防火墙untrust和trust1开启安全防护，参数采用默认参数。
总部核心交换机上配置 SNMP，引擎 id 分别为 1；创建组 GROUP2023，采用最高安全级别，配置组的读、写视图分别为：SKILLS_R、SKILLS_W；创建认证用户为USER2023，采用aes算法进行加密，密钥为Pass-1234，哈希算法为sha，密钥为Pass-1234；当设备有异常时，需要用本地的环回地址loopback1发送v3 Trap消息至集团网管服务器20.10.11.99、采用最高安全级别；当财务部门对应的用户接口发生UP DOWN事件时，禁止发送trap消息至上述集团网管服务器。
总公司和分公司今年进行IPv6试点，要求总公司和分公司销售部门用户能够通过IPV6相互访问，IPV6业务通过租用裸纤承载。实现分公司和总公司ipv6业务相互访问；FW、AC与SW之间配置动态路由OSPF V3 使总公司和分公司可以通过IPv6通信。
在总公司核心交换机SW配置IPv6地址，开启路由公告功能，路由器公告的生存期为2小时，确保销售部门的IPv6终端可以通过DHCP SERVER 获取IPv6地址，在SW上开启IPV6 dhcp server功能。
在南京分公司上配置IPv6地址，使用相关特性实现销售部的IPv6终端可自动从网关处获得IPv6无状态地址。
FW、SW、AC、BC之间配置OSPF area 0 开启基于链路的MD5认证，密钥自定义，SW与AC手动配置 INTERNET 默认路由，让总公司和分公司内网用户能够相互访问包含AC上loopback1地址。
分公司销售部门通过防火墙上的DHCP SERVER获取IP地址，server IP地址为20.0.0.254，地址池范围172.16.40.10-172.16.40.100，dns-server 8.8.8.8。
如果SW的11端口的收包速率超过30000则关闭此端口，恢复时间5分钟；为了更好地提高数据转发的性能，SW交换中的数据包大小指定为1600字节。
为实现对防火墙的安全管理，在防火墙FW的Trust安全域开启PING,HTTP，telnet，SNMP功能，Untrust安全域开启SSH、HTTPS功能。
在分部防火墙上配置，分部VLAN业务用户通过防火墙访问Internet时，转换为公网IP： 182.22.1.1/29；保证每一个源IP 产生的所有会话将被映射到同一个固定的IP 地址，当有流量匹配本地址转换规则时产生日志信息，将匹配的日志发送至20.10.28.10 的UDP 2000 端口。
远程移动办公用户通过专线方式接入分公司网络，在防火墙FW上配置，采用L2TP方式实现仅允许对内网信息部门的访问，端口号使用4455，用户名密码均为ABC2023，地址池参见地址表。
分公司部署了一台AC为了便于远程管理，需要把AC的web映射到外网，让外网通过能通过防火墙外网口地址访问AC的web服务，AC地址为loopback地址。
为了安全考虑，无线用户移动性较强，访问因特网时需要在BC上开启web认证使用https方式，采用本地认证，密码账号都为web2023，同一用户名只能在一个客户端登录，设置超时时间为30分钟。
由于分公司到因特网链路带宽比较低，出口只有200M带宽，需要在防火墙配置iQOS，系统中 P2P 总的流量不能超过 100M ，同时限制每用户最大下载带宽为2M，上传为1M，优先保障HTTP应用，为http预留100M带宽。
为净化上网环境，要求在防火墙FW做相关配置，禁止无线用户周一至周五工作时间9：00-18：00的邮件内容中含有“病毒”、“赌博”的内容，且记录日志。
由于总公司无线是通过分公司的无线控制器统一管理，为了防止专线故障导致无线不能使用，总公司和分公司使用互联网作为总公司无线ap和AC相互访问的备份链路。FW和BC之间通过IPSEC技术实现AP管理段与无线AC之间联通，具体要求为采用预共享密码为 ***2023，IKE 阶段 1 采用 DH 组 1、3DES 和 MD5 加密方，IKE 阶段 2 采用 ESP-3DES，MD5。
总公司用户，通过BC访问因特网，BC采用路由方式，在BC上做相关配置，让总公司内网用户（不包含财务）通过ip：183.23.1.1/29访问因特网。
在BC上配置PPTP vpn 让外网用户能够通过PPTP vpn访问总公司SW上内网地址，用户名为GS2023，密码123456。
为了提高分公司出口带宽，尽可能加大分公司AC和出口FW之间带宽。
在BC上开启IPS策略，对分公司内网用户访问外网数据进行IPS防护，保护服务器、客户端和恶意软件检测，检测到攻击后进行拒绝并记录日志。
对分公司内网用户访问外网数据进行防病毒防护，检查协议类型包含HTTP、FTP、POP3、SMTP，文件类型包含exe、bat、vbs、txt，检测到攻击后进行记录日志并阻断。
总公司出口带宽较低，总带宽只有200M，为了防止内网用户使用p2p迅雷下载占用大量带宽需要限制内部员工使用P2P工具下载的流量，最大上下行带宽都为50M，以免P2P流量占用太多的出口网络带宽, 启用阻断记录。
通过BC设置分公司用户在上班时间周一到周五9:00到18:00禁止玩游戏,并启用阻断记录。
限制总公司内网用户访问因特网web视频和即时通信上传最大带宽为10M，启用阻断记录。
BC上开启黑名单告警功能，级别为预警状态，并进行邮件告警和记录日志，发现cpu使用率大于80%，内存使用大于80%时进行邮件告警并记录日志，级别为严重状态。发送邮件地址为123@，接收邮件为133139123456@。
分公司内部有一台网站服务器直连到WAF，地址是192.168.28.10，端口是8080，配置将服务访问日志、WEB防护日志、服务监控日志信息发送syslog日志服务器， IP地址是192.168.28.6，UDP的514端口。
要求能自动识别内网HTTP服务器上的WEB主机，请求方法采用GET、POST方式。
在WAF上针对HTTP服务器进行URL最大个数为10，Cookies最大个数为30，Host最大长度为1024，Accept最大长度64等参数校验设置，设置严重级别为中级，超出校验数值阻断并发送邮件告警。
为防止www.网站资源被其他网站利用，通过WAF对资源链接进行保护，通过Referer方式检测，设置严重级别为中级，一经发现阻断并发送邮件告警。
为更好对服务器192.168.28.10进行防护，防止信息泄露，禁止美国地区访问服务器。
在WAF上配置基础防御功能，建立特征规则“HTTP防御”，开启SQL注入、XSS攻击、信息泄露等防御功能，要求针对这些攻击阻断并保存日志发送邮件告警。
在WAF上配置定期每周六1点对服务器的http://192.168.28.10/进行最大深度的漏洞扫描测试。
为了对分公司用户访问因特网行为进行审计和记录，需要把AC连接防火墙的流量镜像到8口。
由于公司IP地址为统一规划，原有无线网段IP地址为 172.16.0.0/22,为了避免地址浪费需要对ip地址进行重新分配；要求如下：未来公司预计部署ap 150台；办公无线用户vlan 10预计300人，来宾用户vlan20以及不超过50人。
BC上配置DHCP，管理VLAN 为VLAN100,为AP 下发管理地址，网段中第一个可用地址为AP 管理地址，最后一个可用地址为网关地址，AP通过DHCP opion 43注册，AC地址为loopback1地址；为无线用户VLAN10,20下发IP 地址，最后一个可用地址为网关；AP上线需要采用MAC地址认证。
AC配置dhcpv4和dhcpv6，分别为总公司产品段vlan50分配地址；ipv4地址池名称分别为POOLv4-50，ipv6 地址池名称分别为 POOLv6-50；ipv6地址池用网络前缀表示；排除网关；DNS分别为 114.114.114.114 和 2400:3200::1；为 PC1 保留地址 192.168.50.9 和 2001:da8:192:168:50::9， SW上中继地址为AC loopback1 地址。
在NETWORK下配置SSID，需求如下：NETWORK 1下设置SSID ***2023，VLAN10，加密模式为wpa-personal,其口令为20232023。
NETWORK 2下设置SSID GUEST，VLAN20不进行认证加密,做相应配置隐藏该SSID； NETWORK 2开启内置portal+本地认证的认证方式，账号为test密码为test2023。
配置SSID GUEST每天早上0点到6点禁止终端接入; GUSET最多接入10个用户，并对GUEST网络进行流控，上行1M，下行2M；配置所有无线接入用户相互隔离。
配置当AP上线，如果AC中储存的Image版本和AP的Image版本号不同时，会触发AP自动升级；配置AP发送向无线终端表明AP存在的帧时间间隔为2秒；配置AP失败状态超时时间及探测到的客户端状态超时时间都为2小时；配置AP在脱离AC管理时依然可以正常工作。
为防止外部人员蹭网，现需在设置信号值低于50%的终端禁止连接无线信号；为防止非法AP假冒合法SSID，开启AP威胁检测功能。
全国职业院校技能大赛
高等职业教育组
信息安全管理与评估
模块二
网络安全事件响应、数字取证调查、应用程序安全
竞赛项目赛题
本文件为信息安全管理与评估项目竞赛-第二阶段样题，内容包括：网络安全事件响应、数字取证调查、应用程序安全。
本次比赛时间为180分钟。
介绍
竞赛有固定的开始和结束时间，参赛队伍必须决定如何有效的分配时间。请认真阅读以下指引！
（1）当竞赛结束，离开时请不要关机；
（2）所有配置应当在重启后有效；
（3）请不要修改实体机的配置和虚拟机本身的硬件设置。
所需的设备、机械、装置和材料
所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完成。
评分方案
本阶段总分数为300分。
项目和任务描述
随着网络和信息化水平的不断发展，网络安全事件也层出不穷，网络恶意代码传播、信息窃取、信息篡改、远程控制等各种网络攻击行为已严重威胁到信息系统的机密性、完整性和可用性。因此，对抗网络攻击，组织安全事件应急响应，采集电子证据等技术工作是网络安全防护的重要部分。现在，A集团已遭受来自不明组织的非法恶意攻击，您的团队需要帮助A集团追踪此网络攻击来源，分析恶意攻击攻击行为的证据线索，找出操作系统和应用程序中的漏洞或者恶意代码，帮助其巩固网络安全防线。
本模块主要分为以下几个部分：
网络安全事件响应
数字取证调查
应用程序安全
本部分的所有工作任务素材或环境均已放置在指定的计算机上，参赛选手完成后，填写在电脑桌面上“信息安全管理与评估竞赛-答题卷”中，竞赛结束时每组将答案整合到一份PDF文档提交。选手的电脑中已经安装好 Office 软件并提供必要的软件工具。
工作任务
第一部分 网络安全事件响应
任务1：Windows服务器应急响应（70分）
A集团的Windows服务器被黑客入侵，该服务器的Web应用系统被上传恶意软件，系统文件被恶意软件破坏，您的团队需要帮助该公司追踪此网络攻击的来源，在服务器上进行全面的检查，包括日志信息、进程信息、系统文件、恶意文件等，从而分析黑客的攻击行为，发现系统中的漏洞，并对发现的漏洞进行修复。
本任务素材清单：Windows服务器虚拟机。
受攻击的Server服务器已整体打包成虚拟机文件保存，请选手自行导入分析。
注意：Server服务器的基本配置参见附录，若题目中未明确规定，请使用默认配置。
请按要求完成该部分的工作任务。
任务1：Windows server服务器应急响应
序号 任务内容 答案
1 请提交攻击者攻击成功的第一时间，格式：YY:MM:DD hh:mm:ss
2 请提交攻击者的浏览器版本
3 请提交攻击者目录扫描所使用的工具名称
4 找到攻击者写入的恶意后门文件，提交文件名（完整路径）
5 找到攻击者隐藏在正常web应用代码中的恶意代码，提交该文件名（完整路径）
6 请提交内存中可疑进程的PID
7 请提交攻击者执行过几次修改文件访问权限的命令
8 请指出可疑进程采用的自动启动的方式
第二部分 数字取证调查（150分）
任务2 ：基于Linux的内存取证（40分）
A集团某服务器系统感染恶意程序，导致系统关键文件被破坏，请分析A集团提供的系统镜像和内存镜像，找到系统镜像中的恶意软件，分析恶意软件行为。
本任务素材清单：存储镜像、内存镜像。
请按要求完成该部分的工作任务。
任务2：基于Linux的内存取证
序号 任务内容 答案
1 请提交用户目录下压缩包的解压密码
2 请提交root账户的登录密码
3 请指出攻击者通过什么命令实现提权操作
4 请指出内存中恶意进程的PID
5 请指出恶意进程加密文件的文件类型
任务3：通信数据分析取证（USB）（50分）
A集团的网络安全监控系统发现恶意份子正在实施高级可持续攻击（APT），并抓取了部分可疑流量包。请您根据捕捉到的流量包，搜寻出网络攻击线索，分解出隐藏的恶意程序，并分析恶意程序的行为。
本任务素材清单：捕获的通信数据文件。
请按要求完成该部分的工作任务。
任务3：通信数据分析取证（USB）
序号 任务内容 答案
1 请提交攻击者一共上传了几个文件
2 请提交攻击者上传的木马文件的MD5值
3 请写出攻击者运行木马文件的命令（含参数）
4 攻击者获取主机权限之后，进行了回连操作，请提交回连的IP地址
任务4： 基于MacOS计算机单机取证（60分）
对给定取证镜像文件进行分析，搜寻证据关键字（线索关键字为“evidence 1”、“evidence 2”、……、“evidence 10”，有文本形式也有图片形式，不区分大小写），请提取和固定比赛要求的标的证据文件，并按样例的格式要求填写相关信息，证据文件在总文件数中所占比例不低于15%。取证的信息可能隐藏在正常的、已删除的或受损的文件中，您可能需要运用编码转换技术、加解密技术、隐写技术、数据恢复技术，还需要熟悉常用的文件格式（如办公文档、压缩文档、图片等）。
本任务素材清单：取证镜像文件。
请按要求完成该部分的工作任务。
任务4：基于MacOS计算机单机取证
证据编号 在取证镜像中的文件名 镜像中原文件Hash码（MD5，不区分大小写）
evidence 1
evidence 2
evidence 3
evidence 4
evidence 5
evidence 6
evidence 7
evidence 8
evidence 9
evidence 10
第三部分 应用程序安全
任务5：Android恶意程序分析（50分）
A集团发现其发布的Android移动应用程序文件遭到非法篡改，您的团队需要协助A集团对该恶意程序样本进行逆向分析、对其攻击/破坏的行为进行调查取证。
本任务素材清单：Android的apk文件。
请按要求完成该部分的工作任务。
任务5：Android恶意程序分析
序号 任务内容 答案
1 请提交恶意应用回传数据的url地址 提交正确flag值得分
2 请提交恶意应用保存数据文件名称（含路径） 提交正确flag值得分
3 请提交恶意应用解密数据的密钥 提交正确flag值得分
4 请描述恶意应用的行为 提交正确flag值得分
任务6：PHP代码审计（30分）
A集团发现其发布的web应用程序中被黑客种植了webshell，文件遭到非法篡改，您的团队需要协助A集团对该恶意脚本程序样本进行分析、对其攻击/破坏的行为进行调查取证。
本任务素材清单：PHP文件。
请按要求完成该部分的工作任务。
任务6：PHP代码审计
序号 任务内容 答案
1 请提交存在安全漏洞的代码行
2 请指出安全漏洞的名称
3 请修改该代码行使其变得安全
全国职业院校技能大赛
高等职业教育组
信息安全管理与评估
模块三
网络安全渗透、理论技能与职业素养
竞赛项目赛题
本文件为信息安全管理与评估项目竞赛-第三阶段样题，内容包括：网络安全渗透、理论技能与职业素养。
本次比赛时间为180分钟。
介绍
网络安全渗透的目标是作为一名网络安全专业人员在一个模拟的网络环境中实现网络安全渗透测试工作。
本模块要求参赛者作为攻击方，运用所学的信息收集、漏洞发现、漏洞利用等技术完成对网络的渗透测试；并且能够通过各种信息安全相关技术分析获取存在的flag值。
所需的设施设备和材料
所有测试项目都可以由参赛选手根据基础设施列表中指定的设备和软件完成。
评分方案
本测试项目模块分数为400分，其中，网络安全渗透300分，理论技能与职业素养100分。
项目和任务描述
在A集团的网络中存在几台服务器，各服务器存在着不同业务服务。在网络中存在着一定网络安全隐患，请通过信息收集、漏洞挖掘等渗透测试技术，完成指定项目的渗透测试，在测试中获取flag值。网络环境参考样例请查看附录A。
本模块所使用到的渗透测试技术包含但不限于如下技术领域：
数据库攻击
枚举攻击
权限提升攻击
基于应用系统的攻击
基于操作系统的攻击
逆向分析
密码学分析
隐写分析
所有设备和服务器的IP地址请查看现场提供的设备列表。
特别提醒
通过找到正确的flag值来获取得分，flag统一格式如下所示：
flag{}
这种格式在某些环境中可能被隐藏甚至混淆。所以，注意一些敏感信息并利用工具把它找出来。
注：部分flag可能非统一格式，若存在此情况将会在题目描述中明确指出flag格式，请注意审题。
工作任务
门户网站（45分）
任务编号 任务描述 答案 分值
任务一 请对门户网站进行黑盒测试，利用漏洞找到flag1，并将flag1提交。flag1格式flag1{}
任务二 请对门户网站进行黑盒测试，利用漏洞找到flag2，并将flag2提交。flag2格式flag2{}
任务三 请对门户网站进行黑盒测试，利用漏洞找到flag3，并将flag3提交。flag3格式flag3{}
办公系统（30分）
任务编号 任务描述 答案 分值
任务四 请对办公系统进行黑盒测试，利用漏洞找到flag1，并将flag1提交。flag1格式flag1{}
任务五 请对办公系统进行黑盒测试，利用漏洞找到flag2，并将flag2提交。flag2格式flag2{}
FTP服务器（165分）
任务编号 任务描述 答案 分值
任务六 请获取FTP服务器上task6目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务七 请获取FTP服务器上task7目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务八 请获取FTP服务器上task8目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务九 请获取FTP服务器上task9目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务十 请获取FTP服务器上task10目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务十一 请获取FTP服务器上task11目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务十二 请获取FTP服务器上task12目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
任务十三 请获取FTP服务器上task13目录下的文件进行分析，找出其中隐藏的flag，并将flag提交。flag格式flag{}
应用系统服务器（30分）
任务编号 任务描述 答案 分值
任务十四 应用系统服务器10000端口存在漏洞，获取FTP服务器上task14目录下的文件进行分析，请利用漏洞找到flag，并将flag提交。flag格式flag{}
测试系统服务器（30分）
任务编号 任务描述 答案 分值
任务十五 应用系统服务器10001端口存在漏洞，获取FTP服务器上task15目录下的文件进行分析，请利用漏洞找到flag，并将flag提交。flag格式flag{}
附录A
图1 网络拓扑结构图
理论技能与职业素养（100分）
2023年全国职业院校技能大赛（高等职业教育组）
“信息安全管理与评估”测试题（样题）
【注意事项】
1.理论测试前请仔细阅读测试系统使用说明文档，按提供的账号和密码登录测试系统进行测试，账号只限1人登录。
2.该部分答题时长包含在第三阶段比赛时长内，请在临近竞赛结束前提交。
3.参赛团队可根据自身情况，可选择1-3名参赛选手进行作答，团队内部可以交流，但不得影响其他参赛队。
一、 单选题 （每题2分，共35题，共70分）
1、《中华人民共和国数据安全法》已由中华人民共和国第十三届全国人民代表大会常务委员会第二十九次会议通过，现予公布，自（ ）起施行。
A、2020年9月1日
B、2021年9月1日
C、2020年1月1日
D、2021年1月1日
2、下列( )方式属于对学生进行信息道德与信息安全教育。
A、用计算机播放影片
B、用计算机为某活动搜索素材
C、用计算机处理班级照片
D、播放计算机犯罪新闻专题片
3、检查点能减少数据库完全恢复时所必须执行的日志，提高数据库恢复速度。下列有关检查点的说法，错误的是（ ）。
A、 检查点记录的内容包括建立检查点时正在执行的事务清单和这些事务最近一个日志记录的地址
B、 在检查点建立的同时，数据库管理系统会将当前数据缓冲区中的所有数据记录写入数据库中
C、 数据库管理员应定时手动建立检查点，保证数据库系统出现故障时可以快速恢复数据库数据
D、 使用检查点进行恢复时需要从"重新开始文件"中找到最后一个检查点记录在日志文件中的地址
4、下面程序的运行结果是: ＃i nclude&lt;stdio.h&gt; { int k=0; char c='A'; do {switch(c++) {case 'A':k++;break; case 'B':k--; case 'C':k+=2;break; case 'D':k=k%2;continue。
A、 k=0
B、 k=2
C、 k=3
D、 k=4
5、大学遭遇到DDOS攻击，那么根据网络安全应急预案，启动应急响应方案时，可以将应急预案定为哪个等级？（ ）
A、 3级
B、 4级
C、 2级
D、 1级
6、以下不属入侵检测中要收集的信息的是（ ）。
A、 系统和网络日志文件
B、 目录和文件的内容
C、 程序执行中不期望的行为
D、 物理形式的入侵信息
7、外部数据包过滤路由器只能阻止一种类型的IP欺骗，即（ ），而不能阻止DNS欺骗？
A、 内部主机伪装成外部主机的IP
B、 内部主机伪装成内部主机的IP
C、 外部主机伪装成外部主机的IP
D、 外部主机伪装成内部主机的IP
8、部署全网状或部分网状 IPSEC VPN时为减小配置工作量可以使用哪种技术。（ ）
A、 L2tp+IPSEC
B、 DVPN
C、 IPSEC over GRE
D、 动态路由协议
9、在一下古典密码体制中，属于置换密码的是？（ ）
A、 移位密码
B、 倒叙密码
C、 仿射密码
D、 PlayFair 密码
10、数据库管理员应该定期对数据库进行重组，以保证数据库性能。下列有关数据库重组工作的说法，错误的是（ ）。
A、 重组工作中可能会对数据库数据的磁盘分区方法和存储空间进行调整
B、 重组工作一般会修改数据库的内模式和模式，一般不改变数据库外模式
C、 重组工作一般在数据库运行一段时间后进行，不应频繁进行数据库重组
D、 重组工作中应尤其注意频繁修改数据的表，因为这些表很容易出现存储碎片，导致效率下降
11、Skipjack是一个密钥长度为( )位。
A、 56
B、 64
C、 80
D、 128
12、m-序列本身是适宜的伪随机序列产生器，但只有在（ ）下，破译者才不能破解这个伪随机序列。
A、 唯密文攻击
B、 已知明文攻击
C、 选择明文攻击
D、 选择密文攻击
13、小李在使用nmap对目标网络进行扫描时发现，某一个主机开放了25和110端口，此主机最有可能是什么？（ ）
A、 文件服务器
B、 邮件服务器
C、 WEB服务器
D、 DNS服务器
14、下面不是 Oracle 数据库支持的备份形式的是（ ）。
A、 冷备份
B、 温备份
C、 热备份
D、 逻辑备份
15、以下关于TCP和UDP协议的描述中，正确的是？（ ）
A、 TCP是端到端的协议，UDP是点到点的协议
B、 TCP是点到点的协议，UDP是端到端的协议
C、 TCP和UDP都是端到端的协议
D、 TCP和UDP都是点到点的协议
16、下面不是计算机网络面临的主要威胁的是 （ ）
A、 恶意程序威胁
B、 计算机软件面临威胁
C、 计算机网络实体面临威胁
D、 计算机网络系统面临威胁
17、现今非常流行的SQL（数据库语言）注入攻击属于下列哪一项漏洞的利用？（ ）
A、 域名服务的欺骗漏洞
B、 邮件服务器的编程漏洞
C、 WWW服务的编程漏洞
D、 FTP服务的编程漏洞
18、关于并行数据库，下列说法错误的是（ ）。
A、 层次结构可以分为两层，顶层是无共享结构，底层是共享内存或共享磁盘结构
B、 无共享结构通过最小化共享资源来降低资源竞争，因此具有很高的可扩展性，适合于OLTP应用
C、 并行数据库系统经常通过负载均衡的方法来提高数据库系统的业务吞吐率
D、 并行数据库系统的主要目的是实现场地自治和数据全局透明共享
19、Str='heiheihei' print str[3:]将输出？（ ）
A、 hei
B、 heihei
C、 eih
D、 ihe
20、包过滤型防火墙工作在 （ ）
A、 会话层
B、 应用层
C、 网络层
D、 数据链路层
21、下面是个人防火墙的优点的是 （ ）
A、 运行时占用资源
B、 对公共网络只有一个物理接口
C、 只能保护单机，不能保护网络系统
D、 增加保护级别
22、关于IP提供的服务，下列哪种说法是正确的？（ ）
A、 IP提供不可靠的数据投递服务，因此数据包投递不能受到保障
B、 IP提供不可靠的数据投递服务，因此它可以随意丢弃报文
C、 IP提供可靠的数据投递服务，因此数据报投递可以受到保障
D、 IP提供可靠的数据投递服务，因此它不能随意丢弃报文
23、print type(2.0)将输出？（ ）
A、
B、
C、
D、
24、Open函数中w 参数的作用是？（ ）
A、 读文件内容
B、 写文件内容
C、 删除文件内容
D、 复制文件内容
25、一个基于特征的IDS应用程序需要下列选项中的哪一项来对一个攻击做出反应？（ ）
A、 正确配置的DNS
B、 正确配置的规则
C、 特征库
D、 日志
26、在RHEL5服务器中，查看用户vanzk密码记录的操作及输出如下所示: [root@pc05~]#grep vanzk /etc/shadow vanzk:!!$1$fKuFV9X8$VxFk0Ergj4uzP9UZGnleb.:15771:0:99999:7::: 则据此可判断用户vanzk的账号（ ）。
A、 每次设置新的密码后，有效期为7天，过期后必须重设
B、 其uid为0，具有与root用户一样的权限
C、 因密码被锁定而无法登录
D、 使用的密码长度超过8位，安全性较高
27、Shell编程条件判断中，文件权限判断说法错误的是？
A、 -r 判断该文件是否存在，并且该文件是否拥有读写权限
B、 -w 判断该文件是否存在，并且该文件是否拥有写权限
C、 -x 判断该文件是否存在，并且该文件是否拥有执行权限
D、 -u 判断该文件是否存在，并且该文件是否拥有SUID权限
28、IPSec包括报文验证头协议AH 协议号（）和封装安全载荷协议ESP协议号（ )。
A、 51 50
B、 50 51
C、 47 48
D、 48 47
29、VIM光标操作说法中错误的是？（ ）
A、 h光标向左移动一位
B、 2j 光标向下移动两行
C、 w 跳到下一个单词的词尾
D、 G 跳到文档的最后一行
30、Linux软件管理rpm命令，说法不正确的是？（ ）
A、 -v 显示详细信息
B、 -h: 以#显示进度；每个#表示2%
C、 -q PACKAGE_NAME：查询指定的包是否已经安装
D、 -e 升级安装包
31、部署IPSEC VPN 时，配置什么安全算法可以提供更可靠的数据验证（).
A、 DES
B、 3DES
C、 SHA
D、 128位的MD5
32、指数积分法（Index Calculus）针对下面那种密码算法的分析方法？
A、 背包密码体制
B、 RSA
C、 ElGamal
D、 ECC
33、Linux的基本命令ls，其选项-l 代表的是？
A、 显示详细信息
B、 查看目录属性
C、 人性化显示文件大小
D、 显示文件索引号
34、VIM命令中，用于撤销的命令是？
A、 a
B、 x
C、 p
D、 u
35、你想发送到达目标网络需要经过那些路由器，你应该使用什么命令？
A、 Ping
B、 Nslookup
C、 Traceroute
D、 Ipconfig
二、 多选题 （每题3分，共10题，共30分）
1、数据库系统可能的潜在安全风险包括（）。
A、 操作系统安全风险，包括软件的缺陷、未进行软件安全漏洞修补工作、脆弱的服务和选择不安全的默认配置
B、 数据库系统中可用的但并未正确使用的安全选项、危险的默认设置、给用户不适当的权限、对系统配置的未经授权的改动等
C、 不及时更改登录密码或密码太过简单，存在对重要数据的非法访问以及窃取数据库内容或恶意破坏等
D、 数据库系统的内部风险，如内部用户的恶意操作等
2、SQL Server 中的预定义服务器角色有（）。
A、 Sysadmin
B、 Serveradmm
C、 Setupadmin
D、 Securityadmin
3、想使用python输出im happy下面哪些写法是正确的？
A、 print (im happy)
B、 print 'im happy'
C、 echo 'im happy'
D、 print '''im happy'''
4、以下属于多表代换的密码是？
A、 Playfair
B、 Polybius
C、 Vigenere
D、 Hill密码
5、下列关于SQL Server 2008身份验证模式的说法，正确的是（）。
A、 在"Windows身份验证模式"下，不允许sa登录到SQL Server服务器
B、 在"Windows身份验证模式"下，所有Windows用户都自动具有登录到SQL Server服务器的权限
C、 不管是哪种身份验证模式，Windows中的Administrator无需授权就可登录到SQL Server服务器
D、 安装好 SQL Server之后，可以根据需要随时更改身份验证模式
6、数据库访问控制的粒度可能有（）。
A、 数据库级
B、 表级
C、 记录级 ( 行级 )
D、 属性级
7、操作系统安全主要包括（ ）等方面 。
A、 账户密码安全和文件共享安全
B、 文件权限管理和用户权限管理
C、 日志审计和远程访问权限管理
D、 文件夹选项和安全选项
8、IPSec可以提供哪些安全服务（)
A、 数据机密性
B、 数据完整性
C、 数据来源认证
D、 防重放攻击
9、关于类的说法，下面哪些是错误的？
A、 私有方法和私有变量只能在类的内部使用
B、 一个类只能创建一个实例
C、 两个不同的类中的方法不能重名
D、 创建类的实例时，传入的变量类型要和类中定义的一致
10、IKE的主要功能包括()
A、 建立IPSec安全联盟
B、 防御重放攻击
C、 数据源验证
D、 自动协商交换密钥

展开更多......

收起↑