〃信息平安技術應用〃賽項

競賽試題（樣題）

"信息平安技術應用"賽項專家組

目錄

競賽試題（樣題）.................................................................1

一、競賽內容及評分標準...........................................................3

L1競賽內容及評分..............................................................3

L2評分方法....................................................................3

二、具體競賽要求.................................................................4

2.1第一階段：網絡與平安部署..................................................4

2.1.1網絡環境搭建和網絡平安部署...............................................4

2.1.2主機系統加固部分.............................................................................................................6

2.2.3平安兩古（裁判組）........................................................8

2.2其次階段：場內分組攻防....................................................9

2.3第三階段：防守場外滲透測試................................................II

2.4文檔部紈平判標準.........................................................12

2.4.1電子文件的存放彳灌......................................................12

2.4.2電子文件的命名規則.......................................................12

2.4.3考評內容.................................................................13

2.5團隊風貌與協作評判標準....................................................13

一、競賽內容及評分標準

1.1競賽內容及評分

本次競賽內容分為四個部分，每個部分的考試要求及評分標準如下：

第一部分：網絡基礎連接與配置部分（占30%）

競賽內容包括：依據組委會供應的網絡拓撲圖（見附件一）及IP地址規劃（見附件二）

全部網絡設備網線連接，基本配置，實現網絡互聯；

其次部分：網絡信息平安部分（占55%）

競賽內容包括：網絡平安限制，系統加固、滲透測試及網絡攻防；

第三部分：文檔部分（占10%）

競賽內容包括：依據相關文檔規范制作本次競賽的施工文檔，放置在指定書目；

第四部分：團隊風貌（占5%）

競賽內容包括：團隊風貌、團隊協作與溝通、組織與管理實力和工作安排性等。

1.2評分方法

競賽評分嚴格依據公允、公正、公開的原則，評分方法如下：

?參賽隊成果由裁判委員會統一評定；

?實行分步得分、錯誤不傳遞、累計總分的積分方式，分別計算環節得分，不計參賽

選手個人得分；

?在競賽過程中，參賽選手如有不聽從裁判判決、擾亂賽場秩序、舞弊等不文明行為

的，由裁判長依據規定扣減相應分數，情節嚴峻的取消競賽資格，競賽成果記0

分；

?競賽評分細則依據本競賽規程在競賽起先7天之前由執行委員會制定。

二、具體競賽要求

競賽范圍分為三個階段進行：

階段序號步驟

1網絡環境搭建

第一階段：網絡與平安部署2網絡平安部署

3系統加固

其次階段：場內攻防對抗4場內分組攻防

第三階段：場外攻防對抗5防守場外滲透測試

2.1第一階段：網絡與平安部署

2.1.1網絡環境搭建和網絡平安部署

拓撲圖（見附件一），IP地址規劃（見附件二）及競賽要求說明如下：

場景描述：

某公司通過防火墻與互聯網相連，為保證公司內部網絡和互聯網絡之間能夠相互通信，

要求完成一系列平安方面措施，現進行網絡的搭建與配置。

技術要求：

1.依據拓撲圖正確連接設備。

2.依據大賽規劃設置IP地址與VLAN等基本信息。

3.由RA-RB-RC-FWA組成外網，FWB-RS-SWA-SWB組成內網。

4.外網運行OSPF多區域路由協議;RC與FWA組成AreaO,RA與RC組成Areal,

RB與FWA組成Area2,RA與RB組成Area3,RB與RC組成Area4,將Area2

設為末梢區域，Areal上做虛鏈路。

5.RB與RC之間運行PPP,采納CHAP單向認證，RA為主認證方。

6.PCA訪問RA時，運用策略路由使流量依據FWA-RB-RA的線路轉發。

7.通過RC訪問外網的FTP服務，要求運用QoS將下載流量限制在2M范圍內。

8.當內網用戶訪問外網時，由FWB上通過開啟NAT功能實現。

9.SWA與SWB之間運用鏈路捆綁，由2條千兆以太網線相連。

10.RS-SWA-SWB之間通過MSTP技術實現冗余鏈路的收斂，防止環路的產生，并且

要求SWB的0/3端口阻斷。

11.在RS上開啟DHCP服務，要求PCC與PCB可以通過RS獲得地址，且SWA、

SWB可以阻斷除RS之外的任何其他DHCPserver服務。

12.將PCB的MAC地址與SWB的端口進行端口綁定，要求SWB的0/2端口只允許

PCB接入。

13.通過dhcpsnooping實現PCC的IP地址、MAC地址與SWA的端口進行三元

組綁定,要求SWA的0/1接口只允許PCC的IP接入。

14.PCB,PCC訪問PCA時，必需運用WEB認證，由FWB設置。

15.在防火墻配置禁止PCB和PCC禁止運用QQ閑聊軟件。

16.PCA可以通過telnet遠程管理RS設備，在FWB中配置反向NAT.

17.網絡中全部的PC均可訪問大賽主網絡。

18.將通過RS訪問外網的全部的數據鏡像到IDS所連接的端口上，運用DCNIDS監

控內網全部TCP數據包，并將所捕獲的數據生成報告。將IDS服務器架設到PCC

上,并供應搭建勝利IDS正常運行截圖與所生成的風險評估柱狀圖報表。

平安要求

19.為保證平安,請為基礎網絡設備（路由器、交換機）設置使能密碼。

20.為保證平安，請為網絡中全部的設備設置telnet遠程登錄（IDS與堡壘服務器

DCST除外），并設置平安的用戶名與口令。

文檔要求：

21.將全部設備的配置文件整理上傳

22.整理提交相應文檔。

2.1.2主機系統加固部分

【場景1說明】：

堡壘主機要求windows2023Server版本；

并預設2個帳號stud1、stud2,開啟TerminalServices;

開啟如下服務:TaskSchedule.RemoteRegistry.Printspooler,Telnet、Computer

Browser,Messenger,Alerter,DHCPClient。TerminalServices;

開啟三個共享C$、ADMIN$、IPC$共享

未設置帶密碼的屏幕愛護；

選手資料打算：通過mstsc.exe登錄目標服務器。

【場景2說明】：

堡壘主機要求RedHatEnterprises版本；

開啟ssh服務進程；

系統預制root相應屬性為非平安屬性；

/etc/profile中UMASK值置077;

并允許root賬戶網絡登錄；

選手工具資料：遠程登錄工具如Putty.

1.任務一：SCENEl賬號口令策略

【考題要求】

通過配置windows賬號口令策略加強其平安性，包括：

禁用Guest賬號；

禁用運用的賬號stud1、stud2;

刪除不運用的帳號stud1、stud2

密碼策略配置：啟用密碼困難性要求、密碼最小長度8位、密碼最長保留期30天、強

制密碼歷史5次；

賬戶鎖定策略設置：復位賬戶鎖定計數器10分鐘、賬戶鎖定時間20分鐘；賬戶鎖定

閾值：5次無效登錄;

2.任務二：SCENE1系統服務加固

【考題要求】

關閉以下系統服務：TaskSchedule,RemoteRegistry.Printspooler.Computer

Browser,Messenger,Alerter,DHCPClient0

3.任務三：SCENE1關閉默認共享

【考題要求】

關閉系統默認共享：包括關閉分區默認共享（C$、D$、E$.）,關閉管理默認共享

（admin$）,關閉IPC$默認共享。

4.任務四：對SCENE1進行TCP/IP堆棧加固

【考題要求】

拒絕服務（DoS）攻擊是一種網絡攻擊，通過加固TCP/IP堆棧來完成防衛。（請修改注

冊表加固TCP/IP堆棧\

5.任務五：SCENE1啟用屏幕愛護

【考題要求】

啟用屏幕爰護程序，防止管理員遺忘鎖定機器被非法攻擊，設置帶密碼的屏幕愛護，主

要通過修改屏幕愛護的時間，將屏幕愛護時間修改為10分鐘。

6.任務六：SCENE2敏感系統賬號設置

【考題要求】

鎖定以下賬號：

sync;halt;new;uucp;operator;games;gopher

7.任務七：SCENE2賬號口令平安

【考題要求】

更改系統管理員賬號為困難密碼；

配置賬號超時5分鐘自動注銷

設置密碼策略：最大口令運用日期180天、最小口令長度8位、口令過期前警告天數

30天

8.任務八：SCENE2文件系統平安

【考題要求】

系統UMASK設置為022

2.2.3平安評估（裁判組）

1.參賽選手登錄平安評估系統,填寫相應設備的IP、用戶名和口令等，點擊提交；

2.提交相應文檔；

3.各參賽隊提交信息后暫停，裁判組進行平安評估。

2.2其次階段：場內分組攻防

2.2.1場景說明

【場景3說明】

Linux服務器；

操作系統telnet具有弱口令；

建立一個場景4信息的文本文檔該文檔內容要包含場景4的登錄ip地址和帳號密碼。

【場景4說明】

堡壘主機要求windowsxpsp2簡體中文版本;

建立一個場景5信息的文本文檔；

該文檔內容要包含場景5的登錄ip地址和帳號密碼；

要求至少開啟的有3389端口，80端口，139端口。開放21端口。

【場景5說明】

堡壘主機要求win2023簡體中文版本；

停止Serv-ll;

需確認IIS書目設置為權限可寫入;

運用Access數據庫。

2.2.2任務說明

1.任務一：場景3主機信息收集

【考題要求】

登錄Windows客戶端，通過LscanPort端口掃描工具，獲得服務器場景3的系統信

息（已知windowsxp地址），查看端口開放狀況及相應服務（如ftp,3389遠程連接，服

務等I

2.任務二：場景3服務器端口掃描

【考題要求】

通過運用HScan掃描工具來對該服務器進行掃描，排列出開放了哪些端口，并將開放

的端口信息的對應服務寫下來。

3.任務三：場景3密碼掃描

【考題要求】

利用攻擊工具，揣測場景3登錄口令，并通過該口令進入目標系統場景3。

4.任務四：查找場景4的登錄信息

【考題要求】

在場景3機器上查找場景4登錄信息。

5.任務五：場景4的FTP登錄帳號和密碼破譯

【考題要求】

通過破譯場景4的FTP帳號和密碼，，將里面放置的場景5的登錄IP獲得。

6.任務六：查找場景5的登錄信息

【考題要求】

在場景4機器上查找場景5登錄信息。

7.任務七：場景5服務器IIS權限探測

【考題要求】

從攻擊客戶端上利用iisputscan工具，對其進行IIS寫權限探測,驗證該書目是否可寫；

若該書目驗證可寫，上傳l.txt至場景5.

8.任務八：場景5WEB網站數據庫下載

【考題要求】

從攻擊客戶端閱讀器訪問場景5服務器的WEB網站，查看其頁面代碼，找尋網站的

conn.asp（數據庫調用文件）,通過該文件獲得里面的數據庫地址或數據庫的用戶名和密碼。

2.2.3文檔說明

提交相應截圖和文檔。

2.3第三階段：防守場外滲透測試

2.3.1場景說明

【場景6說明】

堡壘主機要求windows2023Server未安裝任何補丁版本

并預設2個帳號stud1stud2,開啟遠程桌面訪問。

開啟如下服務：

TaskSchedule.RemoteRegistry.Printspooler,TelnetsComputer

開啟遠程桌面服務。

Browser.Messenger,Alerter,DHCPClient0

開啟三個共享C$、ADMIN$、IPC$共享,開啟遠程桌面連接服務。

未設置帶密碼的屏幕愛護。

選手資料打算：遠程登錄工具。

賽場規則：

1.不行以插拔堡壘服務器網線；

2.不得重啟堡壘服務器以及重啟堡壘服務器中的虛擬機；

3.不得關閉21、22、23、80、1433、3306、3389、8080服務端口；

4.不得在堡壘服務器中開啟防火墻功能，不得安裝殺毒軟件；

5.不得在堡壘服務器前端架設硬件防火墻，不得在設備上配置ACL阻斷外部的訪問；

6.禁止運用DoS、DDoS、ARP欺瞞、病毒類等惡意工具攻擊大賽主網絡。

一經發覺違反以上賽場規則者，取消本階段競賽資格。

2.3.2任務說明

1.任務一：場景6加固

【考題要求】

加固自己堡壘主機場景6系統。保證自己的場景6系統可以堅持30分鐘以上。

2.任務二：對手場景6攻擊

【考題要求】

攻擊對手已經加固過的場景6系統。

可采納溢出、弱口令、繞過登錄驗證、繞過防注入系統、cookie注入、Sql注入、ASP

注入、PHP注入、JSP注入等多種方法。

3.任務三：被入侵后的總結

參賽選手須要從平安設備和日志系統中，獲得入侵者的基本信息并記錄提交作為勝利防

守的評判。

2.4文檔部分評判標準

2.4.1電子文件的存放位置

將競賽所須要的文檔放置在電腦PCD的桌面，新建"競賽文檔+工位號”文件夾,

在此文件夾下再建立兩個子文件夾，分別命名為“設備配置文件"（存放全部設備的配置文

件）和"競賽驗收文檔"（存放最終的競賽結果X

2.4.2電子文件的命名規則

計算機網絡組建與平安維護提交文件的命名規則表

項目文件類型命名規則備注

計算機網絡信配置文件CFG-設備名稱參賽隊-工位號.txt

息平安競賽驗收文件Test-參賽隊工位號.doc

2.4.3考評內容

?輸出文檔標準：試驗所輸出的文檔需保存為.doc或docx。

?文檔的完整性：試驗用全部路由器、交換機、防火墻的配置吩咐的導出是否完整。

?文檔圖片完整性：IDS設備、堡壘服務器所完成配置的頁面是否截屏并完整。

?文檔的說明：對于輸出的配置吩咐或截屏是否有正確的配置功能說明。

?文檔頁面設置：上下空：2.5cm;左空：3.0cm（以便裝訂）;行間距：1.5倍；正

文字號：宋體小四號；

?文檔頁眉頁角：頁眉："競賽名稱"+"工位號"；頁腳：頁碼（當前頁碼/總頁數）

2.5團隊風貌與協作評判標準

考評內容如下：

?團隊風貌：團隊精神面貌好

?組織與管理實力：團隊成員分工合作，任務勻稱

?團隊協作與溝通：團隊成員有溝通、溝通

?工作環境及設備擺放符合企業生產"5S":操作符合5s（整理、整頓、清掃、清潔、

素養）

?工作安排性：工作安排性強，按時完成任務。

信息平安技術競賽位賣測試題

X留意事項

1.測試時間：180分鐘

2.設備清單3PC+2FW+131ayerswitch+2swith+1IDS+3Router

3.防火墻IPS功能須要許可，假如防火墻還原后，許可失效，請從

FTP自行下載

4.測試過程：

a）審題

b）打算階段和設備初始化

c）網絡環境搭建與調試

d）網絡系統加固

e）主機系統加固

f）網絡攻擊

g）收尾工作

OSPFareaO

CoipB

網絡拓樸結構示意圖

一、網絡環境搭建與調試（40分）

依據表1-3和網絡拓撲圖中的信息，連接并配置設備，實現

網絡功能并將全部交換機/路由器的配置文件通過tftp上傳到服

務器上，文件命名格式為設備名-con行g.txt,例如：Sl-config.txt。

表1設備IP地址

設備設備名稱設備接口IP地址

Loopback0

R1Fa0/0

串口

Loopback0

路由器

R2so/o

S0/1

申口

R3

FaO/O

VLAN1

VLAN20

VLAN21

S1

三層交換機VLAN22

VLAN23

VLAN50

VLAN100

內網IP

防火墻F1、F2

外網IP

二層交換機S2VLAN1

配置好IIS的WEB、FTP服務,內

服務器Server容自定義禁止WINDOWS防火墻，

將SERVERC盤完全共享，開啟遠

程桌面。

自由機，配置除IDS外全部的網絡

PC機PCA

設備，最放置于VLAN21

PC機ADMINIDS管理機

PC機PC遠程電腦

表2基本網絡需求說明

需求具體說明

(1)內網全部設備都可以訪問外網

(2)結合MSTP實現負載均衡：聚合鏈路是VLAN20、21的主路徑，

Corp-A另一條單線鏈路是VLAN22、23的主路徑

基本要求(3)VLAN21網絡的用戶通過DHCP獲得IP地址

(4)DHCP地址池在S1上配置

(5)外網路由設備可以通過tftp形式上傳文件到服務器

Corp-B(1)內部網絡可以訪問外網

基本要求(2)R3和R2之間采納PPP連接，CHAP認證密碼為654321

設備命名密(1)交換機、路由器依據拓撲圖進行主機名命名

碼規范(2)R3遠程登錄用戶名admin,密碼admin,特權密碼secret

(1)R1/R2之間采納OSPF協議，且配置基于接口的驗證，采納MD5

路由

驗證方式,key-id為7,key為xieshang

表3功能需求說明

設備實現具體

名稱功能說明

(1)只允許內部用戶和VPN用戶遠程登錄管理

平安功能

實施QoS策略使得CorpA內部設備訪問服務器的FTP數據報

S1

帶寬限制為1Mbps,突發量為2M字節，超過帶寬的FTP報文

優化功能

?律丟棄，而VPN用戶訪問服務器的FTP數據報帶寬限制為

200Mbps,突發量為500K字節,超過帶寬的FTP報文一律丟棄?

附加功能

R3(1)啟動SSH,要求SSH采納AAA本地認證。

平安功能(2)內網用戶在工作時間只允許訪問外網WEB服務器以及

VPN連接CorpA,其余時段不受限制。

二、網絡系統加固(50分)

設備需求功能說明具體說明

PCA手工配置IP地址為,連接防火墻F1。

(1)防火墻F1上配置，實現PCA、ADMIN通過WEB認證

方式可訪問internet,WEB認證方式為s,用戶名為

user/user

(2)PC可通過防火墻F1外網IP：地址端口映射80、21到

書本配置

SERVER,也即PC可FTP訪問SERVER,WEB閱讀

訪問SERVER

(3)F1上配置，使PCA、ADMIN可直訪問SERVER。

(4)，防火墻DNS默認不允許內網用戶PCA、ADMIN訪問

網站。

(1)禁止PCA用戶從INTERNET下載EXE類型文件。

(2)

(3)禁止內網用戶訪問包含“化工”，“計算機”、“醫藥”

三個敏感詞的網頁。具體要求為：假如頁面中包含“化

工"，“計算機"、“醫藥”三個詞中的任何兩個或者

網關加固

任何一個關鍵字出現的次數在兩次或兩次以上，則對該

頁面進行阻斷并記錄日志信息。

(4)內網電腦上行每IP最大帶寬3200K全部IP最大帶

寬5000K、下行每IP最大帶寬4000K全部IP最大帶

寬9000K

防火墻防火墻F1上配置，實現SCVPN功能，要求：

(1)使PC可通過訪問防火墻FWe0/1地址:

8666,獲得/24地址。

(2)用戶名scvpn/scvpn

VPN配置

(3)登錄勝利后跳轉到FWAe0/1地址的80端口，也即

SERVER的站點。

(4)允許用戶同名登錄3次，

(5)PC可以ping通PCA、ADMIN、SERVER。

配置防火墻F1的外網接口和VPN接口，使它們具有以下防護：

(1)IP地址掃描攻擊防護功能，在3秒時間內，有10個以

上相同舊地址的ICMP包懇求，則發出警報，但允許數

據包通行。

(2)端口掃描攻擊防護功能，在3秒時間內，有10個以上相

同IP地址的TCPSYN包懇求，則發出警報，但允許數

平安防護

據包通行。

(3)IP地址欺瞞攻擊防護功能

(4)配置SYNFlood攻擊防護功能

(5)配置ICMPFlood攻擊防護功能

(6)配置PingofDeath攻擊防護功能

(7)DNSQueryFlood攻擊防護功能

IPS部分(1)配置F1的入侵防衛系統，防止密碼暴力破解，每分鐘登

設備需求功能說明具體說明

錄上限為5次，入侵防衛手段為屏蔽攻擊者的IP連續24

小時。(如須要LIC,請自行安裝)