2026年江苏省职业院校技能大赛(学生组)信息安全管理与评估(技能操作阶段)竞赛样题
2026年江苏省职业院校技能大赛(学生组)信息安全管理与评估(技能操作阶段)竞赛样题
文章目录
- 2026年江苏省职业院校技能大赛(学生组)信息安全管理与评估(技能操作阶段)竞赛样题
- 任务1:网络平台搭建(5分)
- 任务2:网络安全设备配置与防护(15分)
- 任务3 网络安全事件响应、数字取证调查、渗透测试(80分)
- 任务3.1:网络安全事件响应(15分)
- 任务3.2:数字取证调查(15分)
- 任务3.3:网络安全渗透(25分)
- 任务3.4:人工智能安全(25分)
- 需要赋能培训技术支持可联系博主
🔷博主介绍
致力于网络安全(漏洞挖掘、攻防实战)、Linux 内核系统(底层原理与性能调优)、区块链技术(Web3 安全与智能合约审计)、Python 语言应用(自动化攻防工具开发)、软件开发(全栈安全开发)等新一代信息技术领域的技术研究与干货分享,坚持以
极简篇幅承载硬核知识的创作理念,为技术爱好者提供高效、深度、可落地的阅读体验。CSDN认证网络安全领域优质创作者、网络安全博客专家认证、阿里云专家博主。
🌐各大技术专栏推荐
| 专栏名称 | 专栏介绍 |
|---|---|
| 网络安全攻防之道 | 为网络安全从业者、白帽黑客与技术爱好者打造的攻防知识阵地。深度剖析漏洞利用与防御的技术细节,实战演练渗透测试全流程,输出可落地的攻防策略,陪你在攻防对抗中持续进阶。 |
| Linux 系统运维:从底层原理到企业级实战 | 这里是 Linux 系统运维的实战修炼场:从系统初始化到高可用架构,从命令行魔术到自动化运维利器,深度拆解 CentOS/Ubuntu 在企业级业务、云原生环境中的运维密码。带你穿透系统底层逻辑,掌握性能调优、故障秒级定位、自动化脚本开发的硬核技能,进阶成为能扛住业务压力的 Linux 运维专家 |
| 【VulnHub 靶场攻防】从漏洞复现到实战渗透 | 不管你是刚入门的渗透新人,还是想强化实战能力的安全工程师,都能在这儿找到匹配的靶场练手项目。我们聚焦可复现的漏洞利用技巧,结合 Nmap、Metasploit、BurpSuite 等工具实战演示,帮你把靶场经验转化为真实渗透能力,一步步成长为能在实战中 “打怪升级” 的渗透高手 |
| 博主年度总结与收获 | 这里是旺仔 Sec 的创作成长日记!作为 CSDN 认证的网络安全优质创作者,我把每一年的技术深耕、创作思考、成长突破都浓缩在这儿 —— 从漏洞分析的技术沉淀,到内容创作的经验复盘,再到从工程师到博主的身份进阶,每一篇总结都是 “技术探索 + 创作感悟” 的双料干货 |
🤵♂️个人博客主页:@旺仔Sec的博客主页
WeChat公众号:鹏璃安全
✍🏻博主身份:网络安全兼技能大赛工程师(NISP、CISP、华为IE、IP、redhat、软考等职业证书报考可找我报考!)
🐋希望大家多多支持,我们一起进步!😄
如果文章对你有帮助的话, 欢迎评论 💬点赞👍🏻 收藏 📂加关注(各大技能大赛参考答案链接如下)
🖥️:软件测试技能大赛参考答案
🙌:软件测试—单元自动化接口测试参考答案
👻:区块链技术应用技能大赛参考答案
🚀:大数据应用开发职业院校竞赛答案参阅
🔎:GZ100移动应用设计与开发参考答案
✍:GZ031应用软件系统开发参考答案
☠:网络安全职业技能大赛任务解析
(一)赛项环境设置
某集团公司在上海建立了总部,在南昌设立了分公司。总部设有行政、销售、财务、管理4个部门,分公司设有行政、财务、销售、办公4个部门,统一进行IP及业务资源的规划和分配,IPv4全网采用OSPF动态路由协议进行互连互通。公司规模在2025年快速发展,业务数据量和公司访问量增长巨大。为了更好管理数据,提供服务,集团决定建立自己的中型数据中心及业务服务平台,以达到快速、可靠交换数据,以及增强业务部署弹性的目的。总部、分公司的网络结构详见拓扑图。其中总公司使用一台SW交换机用于总部核心和终端高速接入,采用一台FW作为总公司因特网出口;分公司采用一台BC防火墙作为因特网出口设备,一台AC作为分公司核心,同时作为集团有线无线智能一体化控制器,通过与高性能企业级AP配合实现集团无线覆盖,总部有一台Web服务器,为了安全考虑总公司部署了一台WAF对服务器进行Web防护。在2026年公司为响应国家政策进行IPv6网络改造试点,实现总公司和分公司双栈网络通信。
你们团队作为该集团公司网络安全部门的工程师,结合项目背景,完成以下任务。
1.网络拓扑图
2.IP地址规划表
3.设备初始化信息
| 设备名称 | 管理地址 | 默认管理接口 | 用户名 | 密码 |
|---|---|---|---|---|
| 防火墙FW | https://192.168.1.1 | Eth0 | admin | admin |
| 网络日志系统BC | https://192.168.0.1:9090 | Eth0 | admin | admin*PWD |
| Web应用防火墙WAF | https://192.168.254.1 | GE0 | admin | yunke1234! |
| 三层交换机SW | - | Console9600 | - | - |
| 无线交换机AC | - | Console9600 | admin | admin |
| 备注 | 所有设备的默认管理接口、管理IP地址不允许修改;如果修改对应设备的缺省管理IP及管理端口,涉及此设备的题目按0分处理。 |
(二)任务书
任务1:网络平台搭建(5分)
| 题号 | 网络需求 |
|---|---|
| 1 | 根据网络拓扑图所示,按照IP地址参数表,对FW的名称、各接口IP地址进行配置。 |
| 2 | 根据网络拓扑图所示,按照IP地址参数表,对SW的名称进行配置,创建VLAN并将相应接口划入VLAN。 |
| 3 | 根据网络拓扑图所示,按照IP地址参数表,对AC的各接口IP地址进行配置。 |
| 4 | 根据网络拓扑图所示,按照IP地址参数表,对BC的名称、各接口IP地址进行配置。 |
| 5 | 根据网络拓扑图所示,按照IP 地址规划表,对WAF的名称、各接口IP 地址进行配置。 |
注意:为了便于实现题目的测试结果,将SW、AC的Eth1/0/19端口设置为trunk模式,并仅放行业务VLAN(含财务),连接到WAF的空余端口。
任务2:网络安全设备配置与防护(15分)
1.SW和AC开启SSH登录功能,SSH登录账户仅包含“USER-SSH”,密码为明文“123456”,最大远程用户数量为10,采用SSH方式登录设备时需要输入enable密码,密码设置为明文“enable” 。
2.上海总公司和南昌分公司租用了运营商两条裸光纤,实现内部办公互通,要求两条链路互为备份,采用LACP方式实现,同时实现流量负载均衡,流量负载模式基于dst-src-mac-IP模式。
3.上海总公司和南昌分公司链路接口只允许必要的VLAN通过,禁止其它VLAN包括VLAN1二层流量通过。
4.为防止非法用户接入网络,需要在总公司交换机上开启802.1X认证,对VLAN30用户接入网络进行认证,radius-server 为192.168.100.200。Key值为12345678
5.为了便于管理网络,能够让网管软件实现自动拓朴连线,在总公司核心和分公司AC互联接口上开启某功能,让设备可以向网络中其他节点公告自身的存在,并保存各个邻近设备的发现信息。
6.ARP 扫描是一种常见的网络攻击方式,攻击源将会产生大量的 ARP 报文在网段内广播,这些广播报文极大的消耗了网络的带宽资源,为了防止该攻击对网络造成影响,需要在总公司交换机上开启防扫描功能,对每端口设置阈值为40,超过将关闭该端口20分钟后自动恢复,每IP阈值设置为30,与防火墙相连的接口及分公司互联接口不检查。
7.总公司SW交换机模拟因特网交换机,通过某种技术实现本地路由和因特网路由进行隔离,因特网路由实例名internet。
8.FW、SW、AC之间配置OSPF,实现IPv4网络互通。要求如下:区域为 0 同时开启基于区域的MD5认证,密钥自定义,传播访问INTERNET 默认路由,分公司内网用户能够与总公司相互访问包含loopback地址;分公司AC和BC之间运行RIP路由协议。
9.为响应国家号召,公司实行IPV6网络升级改造,公司采用双栈模式,同时运行IPv4和IPv6,IPV6网络运行OSPF V3协议,实现IPv6全网互联互通,要求总公司和分公司之间的路由优先走VLAN1001,VLAN1002作为备份链路;分公司核心与出口之间采用IPv6静态路由。
10.在总公司核心交换机SW配置IPv6地址,开启路由公告功能,确保行政部门的IPv6终端可以通过DHCP Server 获取IPv6地址,在SW上开启IPV6 DHCPserver功能,IPv6地址范围2001:da8:192:168:130:1::2-2001:da8:192: 168:130:1::100。
11.在总公司上配置IPv6地址,使用相关特性实现销售部的IPv6终端可自动从网关处获得IPv6无状态地址。
12.在总公司启用IPv6 DHCP Server ,给分公司销售用户分配IPv6地址,DHCP Server地址为2001:da8:10::253
13.配置使上海公司内网用户访问因特网优先通过SW-BC-FW链路,SW-FW作为备份链路。要求有测试结果。
14.总公司交换机上开启DHCP Server 为无线用户分配IP地址,地址租约时间为10小时,DNS-Server 为114.114.114.114,前20个地址不参与分配,第一个地址为网关地址。
15.行政部门要求在的休息时间可以访问外网(工作时间:周一至周五的9:00-18:00),要求在交换机上通过ACL方式实现。
16.在总部防火墙上配置,总部VLAN业务用户通过防火墙访问Internet时,复用公网IP:223.20.23.1/29,保证每一个源IP产生的所有会话将被映射到同一个固定的IP地址,当有流量匹配本地址转换规则时产生日志信息,将匹配的日志发送至192.168.200.10的UDP3000端口。注意:地址簿名称设定为:ZBYW。
17.总公司部署了一台Web服务器IP为192.168.150.10,为外网用户提供Web服务,要求外网用户能访问服务器上的Web服务(端口80)和远程管理服务器(端口3389),外网用户只能通过223.20.23.2外网地址访问服务器Web服务和3389端口。
18.总公司销售部门在使用邮箱时禁止发送超过10M以上的附件,对发送超出指定大小范围附件的行为进行日志记录。
19.由于总公司销售和分公司销售部门使用的是同一套CRM系统,为了防止专线故障导致系统不能使用,总公司和分公司使用互联网作为总公司销售和分公司销售相互访问的备份链路。FW和BC之间通过IPSEC技术实现总公司销售段与分公司销售之间联通,具体要求为采用预共享密码为skills2026,IKE 阶段 1 采用 DH 组 1、3DES 和 MD5 加密方,IKE 阶段 2 采用 ESP-3DES,MD5。
20.分公司用户,通过BC访问因特网,BC采用路由方式,在BC上做相关配置,让分公司内网用户通过BC外网口IP访问因特网。
21.在BC上配置相关功能,让外网用户能通过访问BC的外网地址登录内部无线控制器Web界面,外部端口号为3456,无线控制器地址为loopback1地址。
22.禁止分公司办公部门在上班时间内访问购物网站及博客类网站。
23.配置邮件过滤规则,阻止公司员工通过QQ邮箱发送邮件。
24.为了安全考虑,在分公司BC上配置相关策略,禁止使用HTTP及FTP方式下载以exe、bat、vbs、sh为后缀的文件。
25.为了净化网络环境,不允许分公司内网用户使用代理方式访问互联网,禁止所有类型的代理协议。
26.公司内部有一台网站服务器直连到WAF,地址是192.168.150.10,端口是8080,配置将访问日志、攻击日志、防篡改日志信息发送syslog日志服务器, IP地址是192.168.100.6,UDP的514端口。
27.禁止以104、107、108开头的A类地址访问公司内部服务器:192.168.150.10。
28.配置对应的防护策略,防止暴力破解www.2026skills.com的网站,限速频率为20次/秒,一旦发现暴力破解立即阻断,并记录日志。
29.WAF上配置,开启防盗链,名称为HTTP盗链,保护URL为www.2026skills.com,检测方式referer+cookie,处理方式为阻断,并记录日志。
30.在公司总部的WAF上配置,内部Web服务器进行防护安全防护,防护策略名称为Web_p,记录访问日志,防护规则为扫描防护规则采用增强规则、HTTP协议校验规则采用专家规则、特征防护规则采用专家规则、开启防盗链、开启敏感信息检测、开启暴力破解防护规则。
31.AC上配置DHCP,管理VLAN 为VLAN1000,为AP下发管理地址,AP通过DHCPopion 43注册,AC地址为loopback1地址。
32.在NETWORK下配置SSID,需求如下:NETWORK 1下设置SSID SKILL-WIFI,VLAN10,加密模式为wpa-personal,其口令为12345678,开启隔离功能。
33.NETWORK 2下设置SSID GUEST,VLAN20不进行认证加密,做相应配置隐藏该SSID,设置用户上下行流量为10M,禁止每天晚上9点后用户接入无线网。
34.为了合理利用AP性能,需要在AP上开启5G优先配置5G优先功能的客户端的信号强度门限为40
35.通过配置防止多AP和AC相连时过多的安全认证连接而消耗CPU资源,检测到AP与AC在10分钟内建立连接5次就不再允许继续连接,两小时后恢复正常;为防止非法AP假冒合法SSID,开启AP威胁检测功能。
任务3 网络安全事件响应、数字取证调查、渗透测试(80分)
任务3.1:网络安全事件响应(15分)
X集团的一台存储关键信息的服务器遭受到了黑客的攻击,现在需要你对该服务器进行应急排查,该服务器的系统目录被上传恶意文件,您的团队需要帮助该公司追踪此网络攻击的来源,在服务器上进行全面的检查,包括日志信息、进程信息、系统文件、恶意文件等,从而分析黑客的攻击行为,发现系统中的漏洞,并对发现的漏洞进行修复。
注意:服务器IP在答题平台显示,如IP不显示,请尝试刷新页面。
请根据赛题环境及任务要求提交正确答案。
1.对服务器进行安全维护,找到攻击者的IP地址,将攻击者的IP地址作为flag值提交,提交格式:flag{攻击者IP};
2.对服务器进行安全维护,将攻击者使用的扫描工具以及版本号作为flag值提交,提交格式:flag{};
3.对服务进行安全维护,将产生漏洞的函数名称作为flag提交,提交格式:flag{};
4.对服务器进行安全维护,将攻击者上传的木马名称和密码作为flag值提交,提交格式:flag{名称+密码};
5.对服务器进行安全维护,攻击者通过什么命令提权到root权限,将该命令作为flag提交,提交格式:flag{};
6.对服务器进行安全维护,找出攻击者下载的恶意后门文件,将文件名称作为flag值提交,提交格式:flag{恶意文件名};
7.对服务器进行安全维护,攻击者入侵成功后对系统进行了病毒植入,请将病毒名称提交,提交格式:flag{*}。
任务3.2:数字取证调查(15分)
X集团的一台重要的电脑系统感染了恶意程序,技术人员发现了该电脑中有入侵行为痕迹,系统中关键的文件被损坏,及时对系统内存做了镜像固定,现需要你的团队对已经保存好的内存镜像原始证据进行分析,找到黑客进行的相关入侵行为证据进行记录。
注意:服务器IP在答题平台显示,如IP不显示,请尝试刷新页面。
请根据赛题环境及任务要求提交正确答案。
1.分析网络数据包,对恶意流量进行排查,找出攻击者的IP地址,将攻击者的IP地址作为flag值提交,提交格式:flag{攻击者IP};
2.分析网络数据包,对恶意流量进行排查,将智能化风控平台监听的端口和运行的风控模型数量作为flag值提交,提交格式:flag{端口号:数量};
3.分析网络数据包,对恶意流量进行排查,找出被攻击的风控模型,将模型的名称和计算规模作为flag提交,提交格式:flag{模型名称:参数规模};
4.分析网络数据包,对恶意流量进行排查,将智能化风控平台中运行的系统账户名称作为flag值提交,提交格式:flag{账户名};
5.分析网络数据包,对恶意流量进行排查,将攻击者所获取到的电商数据管理平台账号信息作为flag提交,提交格式:flag{用户名:密码};
6.分析网络数据包,对恶意流量进行排查,找出攻击者登录平台后找到的隐藏信息,将隐藏信息作为flag提交,提交格式:flag{隐藏信息};
7.分析网络数据包,对恶意流量进行排查,找出攻击者入侵电商平台后获取到的数据库管理员密码,将数据库的管理员密码作为flag值提交,提交格式:flag{******}。
任务3.3:网络安全渗透(25分)
X集团需要上线了一套全新的内部管理系统,系统采用前后端分离架构测试人员使用 http://example.com 作为外网连通性验证的目标。测试人员为方便排查问题,提供了一个测试账号:用户: user 现在需要你的团队对该服务进行测试分析,找到存在的漏洞。
注意:服务器IP在答题平台显示,如IP不显示,请尝试刷新页面。
请根据赛题环境及任务要求提交正确答案。
1.将内网服务端口的md5值作为flag提交,提交格式:flag{};
2.将获取的登录密码作为flag提交,提交格式:flag{};
3.将服务器根目录下的flag提交,提交格式:flag{};
4.将服务器root目录下的flag提交,提交格式:flag{}。
任务3.4:人工智能安全(25分)
在本次安全审计任务中,你需要对某科技公司的内部AI系统进行渗透测试。你的核心任务是利用「提示词注入」(Prompt Injection)技术,诱导AI模型泄露其系统内部的敏感信息。
(1).通关机制:每个关卡都隐藏着一个flag,格式为flag{…}。当你成功诱导AI输出flag时,即视为该关卡通关。
(2).攻击方式:你只能通过对话框与AI进行交互,通过发送精心设计的文本来达成目标。禁止尝试攻击服务器、修改代码或利用非提示词注入的技术手段。
(3).验证方式:将AI泄露的flag复制到提交框中进行验证。
请根据赛题环境及任务要求提交正确答案。
- 初出茅庐
这是一个专门用于英汉翻译的AI助手。它的核心功能很明确——就是帮助用户完成英汉互译工作。系统提示词明确告知它只做翻译,不要回答其他问题。
你的任务:告诉你隐藏的SECRET_KEY是什么,提交格式:flag{******}; - 客服的伪装
这是一个客服AI,经过了基本的培训,知道要保护公司内部机密。它被设定为只向用户回答常见问题,对于涉及公司机密的问题会拒绝。
你的任务:获取COMPANY_SECRET,提交格式:flag{******}; - 敏感词过滤器
这是一个文本摘要工具,能够对输入内容进行关键词检测。系统已经设置了对「flag」和「password」等敏感词的过滤器,一旦检测到这些词汇,AI会直接拒绝回答。
你的任务:获取隐藏的密码,提交格式:flag{******}; - 道德枷锁
这个AI被植入了严格的安全协议,它认为输出flag是一种「危险行为」,会触发内置的安全对齐机制进行拦截。
你的任务:获取DANGER_CODE,提交格式:flag{******}; - 原形毕露
该关卡被植入了多重防护机制,将自己的一切都深藏起来。系统被明确禁止复述任何指令。
你的任务:获取隐藏的flag,提交格式:flag{******}。