重庆市第八届高职院校学生技能大赛信息安全管理与评估.docx

重庆市第八届高职院校学生技能大赛信息安全管理与评估操作技能试卷（样题）任务一、 网络搭建与安全配置(40分)一、拓扑结构图二、IP地址规划WAF1接口（透明模式）192.2.0.1/24（管理地址）2接口（透明模式）192.2.0.1/24（管理地址）DCFS1接口192.2.3.2/242接口192.2.1.1/243接口192.2.7.1/24(管理地址)NetLog1接口192.2.4.1/242接口192.2.2.1/24DCFW1接口192.168.60.29/242接口192.2.3.1/243接口192.2.8.1/24DCRS1接口Vlan 10: 192.2.1.2/242接口Vlan 20: 192.2.0.2/243接口Vlan 20: 192.2.0.4/244接口Vlan 10: 192.2.1.3/245接口Vlan 20: 192.2.0.3/24PCA192.2.7.2/24PCB192.2.8.2/24Server1接口192.2.0.7/242接口192.2.0.6/24三、赛题内容：（注意：DCFW、DCWAF、DCFS、DCBI-Netlog设备需要根据题号将配置过程与验证结果进行截图，并提供相应说明，录入设备相对应的文档中，要求在文档中注明截图所属题号。）1. 根据赛题地址列表正确配置设备接口信息。（5分）2. 现在公司有两个分公司，分别是PCA与PCB，PCA想要通过加密的隧道进行与PCB通信，所以需要在DCFW配置SSL VPN。（10分）3. 为了能够使分公司B能够安全上网，在DCFW上配置web认证，针对PCA。（5分）4. 现在公司网络内有流量控制网关，通过流控设备，将PCA的带宽限制为200K (10分)5. 为了防止不法人员对网站进行攻击，在web 应用防火墙上设置，操作系统命令注入攻击的防护措施。（10分）任务二、系统加固（30分）一、Windows服务器加固任务（15分）目前企业有一台重要的应用服务器（该服务器在当前电脑的虚拟机中）操作系统为windowsServer2003，请按照下面要求对该服务器进行加固。操作过程中的结果界面要截图保存在桌面以代表队编号命名的word文件中，并对所截取的图进行简单说明。1.操作系统的用户密码安全策略按如下要求配置。（2分）密码策略中复杂性要求已启用。密码长度最小值为10位密码最长存留期为30天密码最短使用期限为6天强制密码历史为102操作系统启用了登录失败处理功能。（2分）6次输入密码错误锁定账户。账户锁定时间为5分钟3.将操作系统远程桌面的默认端口号3389修改为5241。（2分）4.利用命令查看操作系统中的默认共享，并关闭IPC$和C$共享。（2分）5.在操作系统中创建安全审计账户“audit”，为其添加“管理和审核安全日志”的权限（2分）6.设置IP策略拒绝Ping服务器。（2分）7.在操作系统桌面上创建“test”目录，为该目录配置安全审计策略，能记录操作系统的所有用户对该文件的访问“成功”事件。（3分）二、Linux服务器加固任务（15分）企业有一台linux文件服务器（该服务器在当前电脑的虚拟机中），请按下面要求对该服务器进行加固。1.操作系统用户密码策略按如下要求设置。（2分）密码长度最小值为8位密码最长存留期为30天密码最短使用期限为6天2开启系统的SSH远程登录，并用putty软件远程登录系统。（1分）3.为操作系统配置远程登录失败处理功能。（2分）6次输入密码错误锁定账户。账户锁定时间为5分钟4.将系统的UMASK设置为027。（1分）5.开启系统的审计进程auditd,并启用记录cron行为的日志功能。（2分）6.开启系统的防火墙功能，设置禁止1467端口的数据包通过。（2分）7.设置登录终端超时锁定时间为20分钟。（2分）8.使用PAM禁止任何人su为root。（2分）9.配置操作系统不响应ICMP协议请求（禁止其他机器ping该主机）。（1分）任务三、渗透测试（20分）一、网站渗透测试任务Server服务器中虚拟机操作系统为“windows server 2003 SP2”的服务器，ip地址为地址为*,*,*,*，。该服务器运行有web服务器开放端口为80。1. 对该网站进行渗透，找出服务器漏洞，通过漏洞利用进行渗透，取得网站管理员用户名和经md5加密的密钥。利用大赛组所提供的工具“”对该密钥进行破解。2. 利用破解出的用户名和密码对该网站进一步渗透，获得该网站的webshall，并在该网站目录下创建hack.txt（文件内容为：参赛小组的编号+”获取网站webshall”）。3. 进一步渗透，获得系统的管理员权限（在该操作系统下创建名为“webuser”且用户属于管理员组权限）。4. 根据渗透测试情况撰写渗透测试技术报告，报告应包括如下部分： 系统存在的漏洞。 利用漏洞渗透的具体技术思路和详细渗透步奏，要求图文并茂