2016信息安全管理与评估赛项样题

1/27“信息安全管理与评估”项目竞赛样题题目：XX公司网络系统安全评估及安全整改内容目录一、竞赛任务.....................................................2二、竞赛时间.....................................................2三、任务要求与技术参数...........................................3第一阶段：网络搭建、风险评估与网络改造.....................3任务一：网络搭建.......................................3任务二：系统安全管理...................................6任务三：系统安全评估与整改.............................9第二阶段：网络渗透与防护..................................10任务四：网络渗透与防护................................10任务五：撰写《信息安全管理与评估竞赛工作报告》..............11四、技术文件等电子文档提交要求..................................11五、评分标准.....................................错误!未定义书签。六、附件........................................................13附件一：《网络审计报告》模板..............................14附件二《系统风险评估报告》模板...........................18附件三《系统整改方案》模板...............................222/272012年全国职业院校技能大赛高职组“信息安全管理与评估”项目竞赛样题题目：XX公司网络系统安全评估及安全整改一、竞赛任务根据应用需求对XX公司进行基础网络的搭建和网络的安全管理，并能对网络系统进行安全评估和安全改造；完成网络系统的渗透测试和系统加固，并撰写网络安全工作报告。具体任务内容如下：1.根据网络功能需求，完成XX公司基础网络的搭建与配置2.完成XX公司WINDOWS服务器和相关应用服务的配置3.完成XX公司LINUX服务器和相关应用服务的配置4.完成XX公司网络的安全加固5.按照等级保护标准对XX公司网络安全进行定级6.按照等级保护标准对XX公司网络进行审计和风险评估，并完成审计和评估报告7.按照等级保护标准要求对XX公司网络进行整改，并完成整改方案8.完成对服务器的渗透测试和系统加固9.撰写《信息安全管理与评估竞赛工作报告》（简称《竞赛工作报告》）二、竞赛时间竞赛时间共为6小时。阶段（任务）任务内容竞赛时间（小时）第一阶段任务一：网络搭建任务二：安全管理任务三：系统审计、评估与整改4第二阶段任务四：网络渗透与防护1（总时长）任务五任务五：撰写《信息安全管理与评估竞赛工作报告》13/27三、任务要求与技术参数第一阶段：网络搭建、风险评估与网络改造本阶段需要完成三个任务：任务一：网络搭建；任务二：系统安全管理；任务三：系统审计、评估与整改。任务一：网络搭建（一）任务描述XX公司总部设在北京，并在广州开设分公司。现要求对其基础网络进行搭建，并在内、外网服务器上部署相应服务及安全策略。（二）功能需求与技术参数1.拓扑图如下：外网服务器1PC1PC2PC3外网服务器23434612125北京总公司广州分公司Internet北京总公司机房内网服务器DCFW2DCFW1DCRSDCR拓扑说明：北京总公司：三层交换机1台，防火墙1台，内网服务器和外网服务器1台，内网主机2台。广州分公司：路由器1台，防火墙1台，外网服务器1台，内网主机1台。4/27功能需求：（1）北京总公司与广州分公司内网都运行RIPv2（2）公司两防火墙外网全部运行OSPF（3）公司两个出口防火墙上要配置IPSECVPN2.IP地址规划表地址表中的X代表本参赛队的工位号，如：工位6的工位号为6，DCR的1接口ip地址为：10.6.0.1。设备类型设备名称接口编号接口地址备注路由器DCR3接口10.X.0.2/244接口10.X.1.1/24防火墙DCFW11接口200.X.1.2/24接机架上方公网配线架8口2接口10.X.0.1/24防火墙DCFW21接口10.X.2.1/242接口200.X.2.2/24接机架上方公网配线架16口三层交换机DCRS3接口Vlan30:10.X.3.1/244接口Vlan40:10.X.4.1/245接口Vlan50:10.X.5.1/24接机架下方内网配线架10口6-24接口Vlan60:10.X.2.2/24PC机PC110.X.3.2/24PC210.X.4.2/24PC310.X.1.2/24（三）任务要求序号任务要求1根据网络拓扑图所示，按照IP地址规划表，对DCR的名称、各接口IP地址进行配置；5/272根据网络拓扑图所示,按照IP地址规划表,对DCRS的名称、各接口IP地址进行配置；3根据网络拓扑图所示，按照IP地址规划表，对DCFW1的名称、各接口IP地址进行配置；4根据网络拓扑图所示，按照IP地址规划表，对DCFW2的名称、各接口IP地址进行配置；5根据网络拓扑图所示，按照IP地址规划表，在DCRS交换机上创建相应的VLAN，并将相应接口划入VLAN；6总公司内网的核心交换机DCRS采用MSTP技术，创建生成树实例1，将VLAN30和VLAN40加入到实例1，并设置实例1的优先级为4096；7总公司内网的核心交换机DCRS采用MSTP技术，创建生成树实例2，将VLAN50和VLAN60加入到实例2，并设置实例2的优先级为8192；8根据网络拓扑结构所示，在北京总公司内网配置RIPv2，使内网能正常通信；9根据网络拓扑结构所示，在广州分公司内网配置RIPv2，使内网能正常通信；10根据网络拓扑结构所示，在DCFW1上做PAT，使得内网用户可以正常访问托管的外网服务器1，转换地址为防火墙外接口IP；11根据网络拓扑结构所示，在DCFW2上做PAT，使得内网用户可以正常访问托管的外网服务器1，转换地址为防火墙外接口IP；12根据网络拓扑结构所示，在北京与广州两公司的防火墙上做单区OSPF，区域ID为0；13北京总公司与广州分公司之间使用广域网传输数据，为保证数据的安全性，需要在总公司和分公司接入广域网的防火墙上使用IPSec技术对数据进行加密。其中在IKE协商的第一阶段，数据验证采用SHA-1算法，数据加密3DES算法；在IKE协商的第二阶段，采用ESP-SHA-1-3DES算法进行数据加密与验证，其中VPN需要采用隧道模式、预共享密码为digitalchina，使得北京总公司和广州分公司可以互相访问内网资源；14在路由器与三层交换机上开启telnet管理功能，用户名为user,口令为digitalchina，使能口令为123456；15在3台客户机上分别对内网服务器进行联通行测试，验证是否可以正常ping通；16在3台客户机上分别对公网服务器1进行联通行测试，验证是否可以正常ping通；17在3台客户机上分别对公网服务器1进行联通行测试，验证是否可以正常ping通；6/2718在3台客户机上分别对DCR与DCRS的telnet功能进行检验，验证是否可以正常登录。注意：任务一完成后需要提交所有设备配置文件，并存放到“提交专用U盘”中的“任务一”目录下。其中路由器、三层交换机设备要求提供config配置文件，而防火墙及PC需要提交截图存入WORD文档，并在截图中加以说明。任务二：系统安全管理子任务1：内网服务器管理（一）任务描述在北京总公司内网部署了一台WIN2003服务器，安装光盘已经放在内网服务器的光驱中，要求为公司内部提供服务。（二）功能需求与技术参数1.北京总公司目前行政管理结构如下：总经理室两人，分别是程美、徐雪；外联部两人，分别是郭伟、田贤；产品部三人，分别是李方、陈靓、王波。功能需求：（1）根据需求管理网络用户及组；（2）部署文件服务，并严格控制用户权限；（3）部署网站服务；（4）部署系统策略，增强系统安全性。2.服务器信息系统版本：Windows2003序号技术参数1IP地址：10.X.5.10/242用户名：administrator3密码：1234564已开放3389端口（三）任务要求任务分类序号任务要求一、文件服务器1.1为所有员工都创建相应用户，命名方式采用汉语拼音即可，例如“李方”的用户名为lifang，其用户口令为DCN1234#；7/271.2创建3个组，组名采用需要使用部门名称的拼音来命名，并将相应用户加入相应组中；1.3在非系统分区创建文件夹share，在share下按照部门名称创建文件夹，在部门文件夹下按照员工名字创建文件夹，结构如下：1.4为每个文件夹设置合理的NTFS权限，要求如下：外联部和产品部的员工只能对属于自己的文件夹下的内容有读、写、修改权限，无权访问其他员工的文件夹内容；总经理室的用户不仅可以对自己的文件夹下的内容有读、写、修改权限，并且对其他部门员工的文件夹下的内容也拥有读、写、修改权限；程美与徐雪两个用户对彼此文件夹下的内容只拥有只读的权限；整个share的树形目录结构保持不变；1.5为share目录设置合理的共享权限；1.6用王波用户通过UNC方式访问徐雪的共享文件夹，验证结果；1.7用徐雪用户通过UNC方式访问郭伟的共享文件夹，验证结果；1.8用程美用户通过UNC方式访问徐雪的共享文件夹，验证结果；二、Web网站服务器2.1安装IIS；2.2停止默认的网站；2.3建立新的网站，网站的源代码在内网服务器的administrator的8/27“我的文档”中，文件名为web.rar；2.4已知这是个php网站，网站首页文件名为index.php设置正确的站点属性；2.5在客户机上通过浏览器访问该网站，测试访问结果；三、部署系统安全策略3.1增强系统账号的安全性，启用密码复杂性策略；3.2增强系统账号的安全性，设置密码长度最小为8位；3.3重新设置管理员的密码，并在提交文档中注明所设置的密码；3.4对于密码为空的本地账户只允许通过控制台登录；3.5通过TCP/IP筛选功能，仅开放需要开放的端口号。注意：子任务1任务内容的操作结果请截图并整理到“内网服务器管理.doc”文档中，并保存至“提交专用U盘”的“任务二”目录下。子任务2：外网服务器1管理（一）任务描述北京总公司在外网托管了一台linux服务器，安装光盘已经做成了AS5.ISO的镜像文件，存放在root的宿主目录下。现要求使该服务器为广域网用户提供FTP服务和网站服务。（二）功能需求与技术参数1.功能需求（1）部署FTP服务，为广域网用户提供下载资源;（2）部署WEB网站服务，用于公司外部公司产品及方案宣传;（3）部署系统策略，增强系统安全性2.服务器信息系统版本：AS5序号技术参数1IP地址：201.X.1.10/242用户名：root3密码：1234564已开放23端口（三）任务要求任务分类序号任务要求9/27一、FTP服务器1.1安装vsftpd，并启动该服务；1.2检查vsftpd包是否正确安装，并设置vsftpd服务只在运行级别3、5为on；1.3允许匿名用户登录；1.4允许匿名用户创建的文件对于其他用户是可读、可运行的；1.5允许匿名账户创建目录；1.6允许匿名账户上传文件；二、网站服务器2.1安装apache组件，并启动该服务；2.2检查apache包是否正确安装，并设置apache服务只在运行级别3、5为on；2.3建立新的网站，网站的源代码在外网服务器的root的宿主目录中，文件名为web.tar.bz2；2.4已知这是个php网站，网站首