第47屆世界技能大賽網(wǎng)絡(luò)安全項(xiàng)目江蘇省選拔賽-模塊A樣題

第47屆世界技能大賽網(wǎng)絡(luò)安全項(xiàng)目江蘇省選拔賽

網(wǎng)絡(luò)安全-模塊A

企業(yè)基礎(chǔ)設(shè)施安全

目錄

目錄......................................................................................................................................................................................1

1競(jìng)賽項(xiàng)目簡(jiǎn)介.....................................................................................................................................................................2

1.1介紹..............................................................................................................................................................................2

1.2任務(wù)描述......................................................................................................................................................................2

1.3競(jìng)賽說(shuō)明......................................................................................................................................................................2

1.4所需設(shè)施設(shè)備和材料..................................................................................................................................................3

1.5評(píng)分方案......................................................................................................................................................................3

2競(jìng)賽項(xiàng)目工作任務(wù).............................................................................................................................................................4

2.1基本配置驗(yàn)證..............................................................................................................................................................4

2.2登錄及密碼策略配置..................................................................................................................................................4

2.2.1賬戶(hù)密碼策略配置..............................................................................................................................................4

2.2.2賬戶(hù)登錄安全策略配置......................................................................................................................................5

2.3網(wǎng)絡(luò)設(shè)備加固..............................................................................................................................................................5

2.3.1基礎(chǔ)設(shè)備安全功能配置......................................................................................................................................5

2.3.2分支機(jī)構(gòu)間通信和遠(yuǎn)程工作人員遠(yuǎn)程訪問(wèn)策略..................................................................................................6

2.4公共服務(wù)保護(hù)..............................................................................................................................................................6

2.5安全審核策略配置......................................................................................................................................................7

2.5.1windows域配置................................................................................................................................................7

2.5.2審核策略必須與列出的事件匹配......................................................................................................................7

2.5.3網(wǎng)絡(luò)設(shè)備安全審核策略配置..............................................................................................................................8

2.6防火墻策略..................................................................................................................................................................8

附錄A:分值分配表..............................................................................................................................................................9

附錄B:基礎(chǔ)設(shè)施列表........................................................................................................................................................10

附錄C:網(wǎng)絡(luò)拓?fù)鋱D............................................................................................................................................................11

1

1競(jìng)賽項(xiàng)目簡(jiǎn)介

本文件為：第47屆世界技能大賽網(wǎng)絡(luò)安全項(xiàng)目江蘇省選拔賽競(jìng)賽樣題-模塊A；

本次比賽時(shí)間為5個(gè)小時(shí)。

1.1介紹

目前，網(wǎng)絡(luò)安全知識(shí)對(duì)于任何想要從事IT領(lǐng)域工作的人來(lái)說(shuō)已變得越來(lái)越重要。本競(jìng)賽

項(xiàng)目的任務(wù)根據(jù)實(shí)際IT集成、IT外包中的工作任務(wù)進(jìn)行設(shè)計(jì)，如果選手能高質(zhì)量完成本項(xiàng)

目的競(jìng)賽任務(wù)，說(shuō)明選手已經(jīng)具備了為企業(yè)典型的網(wǎng)絡(luò)架構(gòu)進(jìn)行安全策略設(shè)計(jì)和實(shí)施的基本

能力。

1.2任務(wù)描述

本競(jìng)賽項(xiàng)目以典型的企業(yè)信息系統(tǒng)網(wǎng)絡(luò)架構(gòu)為基礎(chǔ)，相關(guān)的服務(wù)均可以正常運(yùn)行，但沒(méi)

有對(duì)所提供的服務(wù)的安全性進(jìn)行配置。選手需要使用各種網(wǎng)絡(luò)安全技術(shù)對(duì)已有的網(wǎng)絡(luò)和服務(wù)

進(jìn)行安全配置和加固。一些安全配置非常簡(jiǎn)單，但另外一些安全配置則為不同的實(shí)現(xiàn)選項(xiàng)預(yù)

留了選擇空間，選手需要按照指定的任務(wù)要求，實(shí)現(xiàn)相應(yīng)設(shè)備的安全配置與加固。選手應(yīng)該

熟悉Cisco、Microsoft、linux等的安全配置和加固技術(shù)。本項(xiàng)目任務(wù)分為以下幾個(gè)部分：

1）登錄和密碼策略

2）網(wǎng)絡(luò)設(shè)備加固

3）公共服務(wù)保護(hù)

4）安全審核策略配置

5）防火墻策略

1.3競(jìng)賽說(shuō)明

1）在進(jìn)行任何配置之前，請(qǐng)閱讀每個(gè)部分中的任務(wù)。一些項(xiàng)目可能需要完成之前或之后

的其他項(xiàng)目才能實(shí)現(xiàn)。

2）在開(kāi)始競(jìng)賽項(xiàng)目之前，確認(rèn)拓?fù)渲械乃性O(shè)備都處于正常工作狀態(tài)。在競(jìng)賽期間，選

手需要盡可能的恢復(fù)由于任何原因所導(dǎo)致的設(shè)備被鎖定或無(wú)法訪問(wèn)的情況。完成競(jìng)賽項(xiàng)目

后，需要確保所有的設(shè)備都可以被評(píng)委訪問(wèn)，否則將無(wú)法得分。

3）故障排除技術(shù)是在本項(xiàng)目中技能測(cè)試的一部分。

2

4）只對(duì)配置完成的項(xiàng)目給予分?jǐn)?shù)。在提交測(cè)試項(xiàng)目前，選手需要測(cè)試所有配置的完成情

況，因?yàn)樵谂渲媚承╉?xiàng)目時(shí)，有可能會(huì)破壞其它項(xiàng)目的需求或配置。

5）任何項(xiàng)目需要滿(mǎn)足所有安全要求才能獲得此項(xiàng)目的分?jǐn)?shù)。

6）選手應(yīng)當(dāng)經(jīng)常保存配置，避免意外情況發(fā)生。

7）應(yīng)確保所有配置在設(shè)備重啟后仍然有效。

8）在配置過(guò)程中，在需要輸入密碼時(shí)，若沒(méi)有特別指定，請(qǐng)使用Skills

9）在配置過(guò)程中，在需要配置用戶(hù)名和密碼時(shí)，若沒(méi)有特別指定，使用用戶(hù)名user，

密碼Skills@2022

10）請(qǐng)使用admin/Skills本地憑證訪問(wèn)windows虛擬機(jī)(域管理員使用

administrator/Skills@123)，使用root/Skills訪問(wèn)Linux虛擬機(jī)。選手在競(jìng)賽過(guò)程不要更

改這些默認(rèn)配置的密碼。

1.4所需設(shè)施設(shè)備和材料

所有測(cè)試項(xiàng)目都可以根據(jù)基礎(chǔ)設(shè)施列表中指定的設(shè)備和材料完成。

1.5評(píng)分方案

根據(jù)本項(xiàng)目的技術(shù)工作文件要求，本模塊總分為30分。

3

2競(jìng)賽項(xiàng)目工作任務(wù)

2.1基本配置驗(yàn)證

1）拓?fù)渲械脑O(shè)備是預(yù)先配置好的，所有設(shè)備的名稱(chēng)均根據(jù)拓?fù)鋱D統(tǒng)一命名。

2）IP子網(wǎng)是根據(jù)拓?fù)鋱D預(yù)先配置的。在每個(gè)子網(wǎng)中，網(wǎng)關(guān)設(shè)備使用該子網(wǎng)的最后一個(gè)

IP地址，客戶(hù)機(jī)設(shè)備的IP分配從該子網(wǎng)的第一個(gè)IP地址開(kāi)始分配。

3）基礎(chǔ)路由已預(yù)先配置，所采用的OSPF動(dòng)態(tài)路由協(xié)議暴露了內(nèi)部私有網(wǎng)絡(luò)信息，需要

參賽選手采用IPSec、NAT等技術(shù)措施進(jìn)行加固。

4）服務(wù)器預(yù)先配置了以下角色和服務(wù):

虛擬機(jī)角色\服務(wù)

活動(dòng)目錄域名服務(wù)()，DNS(-internalzone)，DHCP，網(wǎng)絡(luò)政策服

DC

務(wù)器

WWWApache2webserver（）

FTPvsFTPd()

CAApache2Webserver（），OpenSSLCA

2.2登錄及密碼策略配置

2.2.1賬戶(hù)密碼策略配置

需求應(yīng)用于VM\device

Manager，Staff，DC，WWW，F(xiàn)TP，F(xiàn)W，SW1，

a)最小密碼長(zhǎng)度不得少于12個(gè)字符

SW2，IAR

b)密碼復(fù)雜度設(shè)置要求應(yīng)包含大小寫(xiě)字母，數(shù)字和特Manager，Staff，DC，WWW，F(xiàn)TP，F(xiàn)W，SW1，

殊字符SW2，IAR

4

需求應(yīng)用于VM\device

c)所有密碼必須作為可逆密文存儲(chǔ)在配置中IAR，SW1，SW2

d)本地用戶(hù)的密碼應(yīng)作為scrypthash存儲(chǔ)在配置中SW1，SW2

e)設(shè)置enable密碼為QWEqwe258!@#FW，IAR，SW1，SW2

2.2.2賬戶(hù)登錄安全策略配置

需求應(yīng)用于VM\device

a)在用戶(hù)登錄系統(tǒng)時(shí)，應(yīng)該有“ForauthorizedManager，Staff，DC，WWW，F(xiàn)TP，F(xiàn)W，SW1，

usersonly”的banner提示信息。SW2，IAR

b)一分鐘內(nèi)僅允許5次登錄失敗的嘗試，超過(guò)5次，Manager，Staff，DC，WWW，F(xiàn)TP，F(xiàn)W，SW1，

登錄帳號(hào)鎖定1分鐘。SW2，IAR

c)啟用本地控制臺(tái)身份驗(yàn)證。成功驗(yàn)證后，用戶(hù)應(yīng)以

IAR，SW1，SW2

最小權(quán)限登陸用戶(hù)模式（privilegelevel1）

Manager，Staff，DC，WWW，F(xiàn)TP，F(xiàn)W，SW1，

d)非活動(dòng)超時(shí)時(shí)間不得超過(guò)1分鐘

SW2，IAR

e)禁用系統(tǒng)緩存登錄Manager，Staff

2.3網(wǎng)絡(luò)設(shè)備加固

2.3.1基礎(chǔ)設(shè)備安全功能配置

需求應(yīng)用于VM\device

a)任何端口上的mac地址的最大數(shù)量必須不大于2。SW1，SW2

在違反本安全策略的情況下，端口應(yīng)設(shè)置為

restrict狀態(tài)，不能被設(shè)置為錯(cuò)誤禁用狀態(tài)

（shutdown）。

b)關(guān)閉空閑的端口SW1，SW2

5

2.3.2分支機(jī)構(gòu)間通信和遠(yuǎn)程工作人員遠(yuǎn)程訪問(wèn)策略

需求應(yīng)用于VM\device

a)在LED與IAR之間構(gòu)建vpn隧道，使分支機(jī)構(gòu)和辦FW，IAR

公區(qū)能正常通信。要求構(gòu)建的ipsec隧道的ike

v1策略集加密參數(shù)使用aes、摘要算法使用sha、

密鑰交換算法使用pre-shared-key，ipsec變換集

使用esp-aes和esp-sha-hmac

2.4公共服務(wù)保護(hù)

需求應(yīng)用于VM\device

a)配置所有對(duì)Web網(wǎng)站的請(qǐng)求使用HTTPS協(xié)議進(jìn)行處WWW

理。必須將所有HTTP請(qǐng)求重定向到HTTPS

b)配置Web網(wǎng)站服務(wù)，禁止目錄瀏覽WWW

c)配置Web網(wǎng)站服務(wù)，隱藏web網(wǎng)站服務(wù)名稱(chēng)及版本W(wǎng)WW

號(hào)

d)設(shè)置公司FTP服務(wù)器僅接受SSL/TLS連接FTP

e)設(shè)置公司FTP服務(wù)器，禁止匿名訪問(wèn)FTP

f)禁止root用戶(hù)SSH遠(yuǎn)程登錄WWW，F(xiàn)TP

g)配置snort檢測(cè)并告警所有發(fā)向本機(jī)的超過(guò)1024WWW，F(xiàn)TP

字節(jié)的ICMP數(shù)據(jù)包，告警消息設(shè)置為ICMPFLOOD

h)配置ModSecurity添加規(guī)則，攔截所有請(qǐng)求方式WWW

為：HEAD、PUT、DELETE、CONNECT、TRACE的HTTP

數(shù)據(jù)包

6

2.5安全審核策略配置

2.5.1windows域配置

需求應(yīng)用于VM\device

a)使用user1賬戶(hù)將Manager加入域Manager

b)使用user2賬戶(hù)將Staff加入域Staff

c)域成員對(duì)安全通道數(shù)據(jù)進(jìn)行數(shù)字加密或數(shù)字簽名DC，Manager，Staff

（始終）

d)對(duì)通信進(jìn)行數(shù)字簽名（如果可能）DC，Manager，Staff

2.5.2審核策略必須與列出的事件匹配

需求要求應(yīng)用于VM\device

a)憑證驗(yàn)證成功與失敗DC，Manager，Staff

e)計(jì)算機(jī)帳戶(hù)管理成功與失敗DC，Manager，Staff

f)安全組管理成功與失敗DC，Manager，Staff

g)帳戶(hù)鎖定成功DC，Manager，Staff

h)登錄成功與失敗DC，Manager，Staff

i)注銷(xiāo)成功DC，Manager，Staff

j)敏感特權(quán)使用成功與失敗DC，Manager，Staff

7

2.5.3網(wǎng)絡(luò)設(shè)備安全審核策略配置

需求應(yīng)用于VM\device

a)開(kāi)啟日志審計(jì)功能FW、IAR、SW1、SW2

b)設(shè)置日志服務(wù)器地址為：FW、IAR、SW1、SW2

c)設(shè)置日志記錄級(jí)別為:warningsFW、IAR、SW1、SW2

d)設(shè)置日志記錄緩存區(qū)為：32000FW、IAR、SW1、SW2

2.6防火墻策略

需求應(yīng)用于VM\device

a)必須打開(kāi)所有服務(wù)器、客戶(hù)端和網(wǎng)絡(luò)設(shè)備上的防火DC、Manager、Staff、WWW、FTP

墻

b)所有設(shè)備上的防火墻規(guī)則必須配置為最小權(quán)限，僅FW、DC、Manager、Staff、WWW、FTP

允許所需的流量發(fā)送到目標(biāo)設(shè)備上

8

附錄A:分值分配表

序號(hào)描述