2012年湖南省职业院校技能竞赛《信息安全管理与评估》模拟题A.docVIP

PAGE 1 安全模拟题A 竞赛项目背景 XX集团是一家从事高科技产品研发、生产和销售的大型企业，总公司和分公司通过网络互连，随着业务的发展，公司原有网络已经不能满足高效企业管理的需要，公司经常遭到来自互联网络的攻击或入侵，网络安全对生产和经营的影响也越来越明显。为了满足业务的需要，公司决定构建一个高速、稳定、安全的适应企业现代化办公需求的高性能网络。 网络拓扑 网络系统搭建（20分） 选择正确的线缆，并按照拓扑结构图将设备互联； 按照要求配置正确的IP地址； 配置Hostname为拓扑图上各设备名称； 在S1上划分VLAN，将PC1加入VLAN 10，并将以太网口1-10加入到该VLAN ；将PC2加入VLAN 20，并将以太网口11-20加入到该VLAN； 在S2上划分VLAN，将Server1加入VLAN 30，并将以太网口1-10加入到该VLAN ；将Server2加入VLAN 20，并将以太网口11-20加入到该VLAN； S1与R1之间使用Rip v2使网络连通，S2与R2之间使用OSPF使网络连通， 防火墙为透明模式 路由器之间采用GRE VPN方式 实现互访。 网络安全加固（30分） 所有交换机关闭TELNET远程管理，开启SSH远程管理。 用户名 admin 密码 admin。不许设置enable密码，开启所有网络设备的日志功能，并在PC2 上架设日志服务器。 交换机端口进行安全管控，不许未授权PC 随意接入网络。 SERVER1服务器安装并开启WEB服务，并对WEB访问进行严格管理，（截图编写SERVER1服务器WEB安全配置手册）。 设置用户：创建组webuser，创建webuser组用户web_list。 设置目录的权限：web网站放在D:\hnjnds文件夹下，创建index.html网页，内容为：湖南省信息安全管理与评估竞赛+座位号；设置目录访问权限为只允许web_list用户对该网站拥有修改、读取和运行、列出文件夹目录、读取、写入访问权限，其他用户不允许访问。 IIS访问设置：不允许匿名访问，只允许web_list用户对该网站进行访问；限制网站可以使用的网络最大带宽为2M/秒。（需测试结果） IIS目录安全性设置：在D:\hnjnds文件夹下创建images文件夹，合理设置该文件夹的执行权限（该文件夹只保存图片）；网站中不允许执行.asa脚本文件；设置ip访问限制，只允许pc1访问网站，不允许PC2访问网站。 IIS日志设置：为了防止黑客入侵后删除安全事件及web日志，将日志存放在D:\webjournal文件夹下。 SERVER1服务器系统加固（截图编写SERVER1服务器系统安全配置手册） 账号管理安全设置：针对渗透中猜测、暴力破解用户名和密码等常用方法，对账号进行安全设置；交互式登陆时不显示上次用户名。 敏感文件权限分配安全设置：针对渗透中常用的敏感文件进行权限分配。 文件安全设置：设置D:\journal文件夹只有administrator用户的完全访问控制权限，并对该文件夹进行加密设置；关闭共享设置。 认证与授权安全设置：开启证书服务，用户访问web站点时，要求安全通信并启用客户端证书。（需测试结果） 服务安全设置:允许FTP、WEB服务器、安全WEB服务器、SMTP、POP3服务能被用户访问。（需测试结果）允许WINDOWS自动更新。 日志审计安全设置：开启所有审计策略，将安全日志文件保存在D:\journal文件夹下。 按要求配置防火墙， 用户和密码是admin，并开启日志功能。(截图编写防火墙安全配置手册) PS:交换机路由器 所以配置请保存在PC1 电脑桌面上。 渗透测试(24分) 公司的网站负责人觉得网站非常安全，你做为公司网络安全专家。对公司网站进行渗透攻击来检查网站的存在的问题。 在PC1 指定目录中使用攻击软件或自行编写代码 对服务器2进行渗透攻击。(PS:攻击手段 漏洞攻击，蠕虫攻击，DOS攻击，DDOS攻击，SQL注入攻击，爬虫攻击，等) 对所有有效果的步骤进行截图；编写独立的渗透攻击过程手册。 安全评估报告(20分) 作为一名成熟的安全工程师，在工作过程中发现你所控制的服务器问题非常大，为了能够让上级重视这个问题，你必须向上级反映。 对整个网络系统的安全性进行评估和审查， ( 建网目标，技术选项，网络拓扑结构，设计说明，渗透测试报告。系统脆弱性识别分析，并提供建设改造方案) 填写最终的电子版《安全评估报告》 5、竞赛环境 （1）硬件环境 赛点提供设备及材料清单如下： 序号 设备名称 设备型号 每组数量 1 三层交换机 DCRS-5526S(V3) 2 2 路由器 DCR-2611 2 3 防火墙 DCFW-1800S-L 1 4 服务器 HP服务器 2