2026年江苏省职业院校技能大赛教师组 信息安全管理与评估技能操作阶段竞赛样题文章目录2026年江苏省职业院校技能大赛教师组 信息安全管理与评估技能操作阶段竞赛样题任务1网络平台搭建5分任务2网络安全设备配置与防护15分任务3网络安全事件响应、数字取证调查、渗透测试80分任务3.1网络安全事件响应20分任务3.2数字取证调查20分任务3.3渗透测试20分任务3.4人工智能安全20分需要赋能培训支持可联系博主博主介绍致力于网络安全漏洞挖掘、攻防实战、Linux 内核系统底层原理与性能调优、区块链技术Web3 安全与智能合约审计、Python 语言应用自动化攻防工具开发、软件开发全栈安全开发等新一代信息技术领域的技术研究与干货分享坚持以极简篇幅承载硬核知识的创作理念为技术爱好者提供高效、深度、可落地的阅读体验。CSDN认证网络安全领域优质创作者、网络安全博客专家认证、阿里云专家博主。各大技术专栏推荐专栏名称专栏介绍网络安全攻防之道为网络安全从业者、白帽黑客与技术爱好者打造的攻防知识阵地。深度剖析漏洞利用与防御的技术细节实战演练渗透测试全流程输出可落地的攻防策略陪你在攻防对抗中持续进阶。Linux 系统运维从底层原理到企业级实战这里是 Linux 系统运维的实战修炼场从系统初始化到高可用架构从命令行魔术到自动化运维利器深度拆解 CentOS/Ubuntu 在企业级业务、云原生环境中的运维密码。带你穿透系统底层逻辑掌握性能调优、故障秒级定位、自动化脚本开发的硬核技能进阶成为能扛住业务压力的 Linux 运维专家【VulnHub 靶场攻防】从漏洞复现到实战渗透不管你是刚入门的渗透新人还是想强化实战能力的安全工程师都能在这儿找到匹配的靶场练手项目。我们聚焦可复现的漏洞利用技巧结合 Nmap、Metasploit、BurpSuite 等工具实战演示帮你把靶场经验转化为真实渗透能力一步步成长为能在实战中 “打怪升级” 的渗透高手博主年度总结与收获这里是旺仔 Sec 的创作成长日记作为 CSDN 认证的网络安全优质创作者我把每一年的技术深耕、创作思考、成长突破都浓缩在这儿 —— 从漏洞分析的技术沉淀到内容创作的经验复盘再到从工程师到博主的身份进阶每一篇总结都是 “技术探索 创作感悟” 的双料干货‍♂️个人博客主页旺仔Sec的博客主页WeChat公众号鹏璃安全✍博主身份网络安全兼技能大赛工程师NISP、CISP、华为IE、IP、redhat、软考等职业证书报考可找我报考希望大家多多支持我们一起进步如果文章对你有帮助的话 欢迎评论 点赞 收藏 加关注各大技能大赛参考答案链接如下️软件测试技能大赛参考答案软件测试—单元自动化接口测试参考答案区块链技术应用技能大赛参考答案大数据应用开发职业院校竞赛答案参阅GZ100移动应用设计与开发参考答案✍GZ031应用软件系统开发参考答案☠网络安全职业技能大赛任务解析(一)赛项环境设置某集团公司原在北京建立了总部在南京设立了分公司。总部设有销售、产品、财务、管理4个部门分公司设有销售、产品、财务、管理4个部门统一进行IP及业务资源的规划和分配IPv4全网采用OSPF动态路由协议进行互连互通。公司规模在2025年快速发展业务数据量和公司访问量增长巨大。为了更好管理数据提供服务集团决定建立自己的中型数据中心及业务服务平台以达到快速、可靠交换数据以及增强业务部署弹性的目的。集团、分公司的网络结构详见拓扑图。其中总公司使用一台SW交换机用于总部核心和终端高速接入采用一台BC作为总公司因特网出口分公司采用一台FW防火墙作为因特网出口设备一台AC作为分公司核心同时作为集团有线无线智能一体化控制器通过与高性能企业级AP配合实现集团无线覆盖总部有一台Web服务器为了安全考虑总公司部署了一台WAF对服务器进行Web防护。在2026年总公司进行IPv6网络改造试点通过前缀代理方式从运营商处获取IPv6地址前缀对内部网络IPv6地址自动分配实现总公司和分公司双栈网络通信。你们团队作为该集团公司的一名网络安全部门的工程师结合项目背景完成以下任务。1.网络拓扑图2.IP地址规划表3.设备初始化信息设备名称管理地址默认管理接口用户名密码防火墙FWhttps://192.168.1.1Eth0adminadmin网络日志系统BChttps://192.168.0.1:9090Eth0adminadmin*PWDWEB应用防火墙WAFhttps://192.168.254.1GE0adminyunke1234三层交换机SW-Console9600--无线交换机AC-Console9600adminadmin备注所有设备的默认管理接口、管理IP地址不允许修改;如果修改对应设备的缺省管理IP及管理端口涉及此设备的题目按 0 分处理。(二)任务书任务1网络平台搭建5分题号网络需求1根据网络拓扑图所示按照IP地址参数表对FW的名称、各接口IP地址进行配置。1分2根据网络拓扑图所示按照IP地址参数表对SW的各接口IP地址进行配置。1分3根据网络拓扑图所示按照IP地址参数表对AC的各接口IP地址进行配置。1分4根据网络拓扑图所示按照IP地址参数表对BC的名称、各接口IP地址进行配置。1分5根据网络拓扑图所示按照IP 地址规划表对WAF的名称、各接口IP 地址进行配置。1分注意为了便于实现题目的测试结果将SW、AC的Eth1/0/18端口设置为trunk模式并仅放行业务VLAN含财务连接到WAF的空余端口。任务2网络安全设备配置与防护15分1.北京总公司和南京分公司有两条裸纤采用了骨干链路配置做必要的配置只允许必要的VLAN通过不允许其他VLAN信息通过包含VLAN1禁止使用trunk链路。2.北京总公司和南京分公司租用了运营商两条裸光纤实现内部办公互通。使用相关技术实现总公司财务段路由表与公司其它业务网段路由表隔离财务业务位于VPN实例名称CW内包含TO-CW VLAN总公司财务部门和分公司财务部门之间采用OSPF路由实现互相访问OSPF进程号2router-id为各自VLAN30的IP地址。3.SW和AC之间启用MSTP实现网络二层负载均衡和冗余备份要求如下无线用户关联实例1TO-CW VLAN、管理VLAN关联实例2名称为SKILLS修订版本为1设置AC为根交换机无线用户通过5口链路转发,TO-CW VLAN、管理VLAN通过6口链路转发同时实现链路备份。除了裸光纤接口关闭其他接口生成树协议。4.总公司SW承载了总公司所有内部数据交换考虑到核心的稳定可靠计划在总公司增加一台核心作为核心交换备份现有交换机作为主交换进行转发数据未来新增加的交换机作为备份交换机主交换机出现故障时由备份交换机接替主交换机进行数据转发实现核心交换机热备。需要在核心交换机上完成相关配置方便未来实现核心热备。只对销售部门和产品部门做相关配置销售部门和产品部门最后一个可用IP为虚拟网关地址开启抢占模式。5.由于总公司出口带宽有限需要在交换机13口对总公司产品部门访问因特网HTTP服务做流量控制访问HTTP 80端口流量最大带宽限制为20 M比特/秒突发值设为4 M字节超过带宽的该网段内的报文一律丢弃。6.总公司SW交换机模拟因特网交换机通过某种技术实现本地路由和因特网路由进行隔离因特网路由实例名Internet。7.配置使北京公司内网用户通过总公司出口BC访问因特网分公司内网用户通过分公司出口FW访问因特网要求总公司销售部门的用户访问因特网的往反数据流都要经过防火墙再通过BC访问因特网。8.总公司今年进行IPv6试点运营商给分配的IPv6地址段为2001:da8:20:20::/60由于分公司出口没有IPv6地址现将总公司IPv6地址段分一半给分公司实现分公司用户IPv6上网需求。要求分公司AC可从总公司SW处自动获取前缀信息分公司业务VLAN实现自动化分配IPv6地址。9.在总公司核心交换机SW配置IPv6地址开启路由公告功能路由器公告的生存期为2小时确保销售部门的IPv6终端可以通过DHCPSERVER 获取IPv6地址在SW上开启IPV6 DHCPserver功能,地址范围2001:da8:20:20::2-2001:da8:20:20::fffe排除网关地址。10.在南京分公司上配置IPv6地址使用相关特性实现销售部的IPv6终端可自动从网关处获得IPv6无状态地址,同时为了防止恶意主机发送RA欺骗攻击开启相关安全防护功能。11.FW-AC、AC-SW、BC-SW之间配置OSPF area 0开启基于链路的MD5认证密钥自定义SW和AC分别学习到各自网络出口的默认路由让总公司和分公司内网用户能够相互访问包含AC上loopback1地址。12.分公司销售部门通过防火墙上的DHCPSERVER获取IP地址server IP地址为10.0.0.254地址池范围172.17.40.10-172.17.40.100DNS-Server 114.114.114.114。13.在分部防火墙上配置分部VLAN业务用户通过防火墙访问Internet时转换为公网IP182.22.1.1/29保证每一个源IP产生的所有会话将被映射到同一个固定的IP地址。14.远程移动办公用户通过专线方式接入分公司网络在防火墙FW上配置采用SSL VPN方式实现仅允许对分公司内网产品部门的访问端口号使用4455用户名密码均为SKILLS2026地址池参见地址表。15.分公司部署了一台AC为了便于远程管理需要把AC的Telnet映射到外网让外网通过能通过防火墙外网口地址telnet到AC上AC地址为loopback地址。外网口地址及AC地址禁止采用地址簿形式。16.总公司用户通过BC访问因特网BC采用路由方式在BC上做相关配置让总公司内网用户通过IP183.23.1.1/29访问因特网。17.总公司产品部门要求在上班时间周一到周五9:00到18:00不可以访问外网而财务部出于安全性的考虑在任何时间段均不允许访问外部网络。18.对总公司内网用户访问互联网做客户端安全检测要求满足Windows Defender不低于4.18.2210.6版本的终端可以正常上网同时禁止隶属于Administrators组的账户所登录的计算机上网对于无法检测的终端全部禁止上网。19.总公司出口带宽较低总带宽只有200M为了防止内网用户使用下载工具占用大量带宽需要限制内部员工使用下载工具的流量最大上下行带宽都为50 M以免下载流量占用太多的出口网络带宽开启P2P抑制技术启用阻断记录。20.通过BC设置总公司用户在上班时间周一到周五9:00到18:00实现阻断内网用户使用流媒体软件或web在线看视频等,并启用阻断记录。21.总公司内部有一台网站服务器直连到WAF地址是192.168.218.10端口是8080配置将访问日志、DDoS日志、安全情报日志以JSON格式发送到syslog日志服务器IP地址是192.168.60.10UDP的2000端口。22.在WAF上针对HTTP服务器进行URL参数最大个数为20Referer最大长度为512Host最大长度为1024Accept-Charset最大长度为128设置严重级别为中级超出校验数值阻断并发送邮件告警。规则名称“WAF_P1”。23.对访问url为www.123.com的http访问进行限制处理动作为拒绝并记录日志。24.开启邮件告警功能SMTP地址为smtp.cn.com端口号110接收邮件地址为skills2026cn.com。邮件主题为告警攻击触发条件全部开启。25.在WAF上配置基础防御功能开启SQL注入、XSS攻击、信息泄露防御功能要求针对这些攻击阻断并保存日志发送邮件告警。规则名称“WAF_P2”。26.由于公司IP地址为统一规划原有无线网段IP地址为172.16.21.0/22,为了避免地址浪费需要对IP地址进行重新分配要求如下未来公司预计部署AP 30台办公无线用户VLAN 10预计300人来宾用户VLAN 20预计不超过50人。27.总公司SW上配置DHCP管理VLAN为VLAN100,为AP下发管理地址网段中第十个可用地址为AP管理地址最后一个可用地址为网关地址AP通过DHCPopion 43注册AC地址为loopback1地址AC为无线用户VLAN10,20下发IP地址最后一个可用地址为网关AP上线需要采用MAC地址认证。28.AC配置DHCPv4和DHCPv6分别为总公司产品段VLAN50分配地址IPv4地址池名称分别为POOLv4-50IPv6地址池名称分别为POOLv6-50IPv6地址池用网络前缀表示排除网关DNS分别为114.114.114.114和2400:3200::1为PC1保留地址192.168.50.9和2001:da8:20:21::9SW上中继地址为AC loopback1地址。29.在NETWORK下配置SSID需求如下NETWORK 1下设置SSID SKILLS2026VLAN10加密模式为wpa-personal版本2其口令为20262026。NETWORK 2下设置SSID GUESTVLAN20不进行认证加密,做相应配置隐藏该SSID配置SSID GUEST每天早上0点到6点禁止终端接入GUSET最多接入10个用户并对接入GUEST的用户进行流控上行1M下行2M配置所有无线接入用户相互隔离。30.为优化无线网络现需对AP做相关调整。把2.4G信号工作信道调整到6信号发射功率调整到80%把5G信号工作信道调整到161信号发射功率调整90%。任务3网络安全事件响应、数字取证调查、渗透测试80分任务3.1网络安全事件响应20分X集团的某酒店的网站遭受到了恶意攻击导致网站无法正常运行经过测试发现超管密码被修改通过grub进入到系统现需要你进入系统对攻击痕迹进行排查。注意服务器IP在答题平台显示如IP不显示请尝试刷新页面。请根据赛题环境及任务要求提交正确答案。1.对系统进行排查找到漏洞点将攻击者第一次触发漏洞时的时间作为flag值提交提交格式flag{14/Apr/2022:09:10:22}2.对系统进行排查找到攻击者第一次写入服务器时的恶意文件将恶意文件的名称以及文件中涉及到的端口号作为flag值提交提交格式flag{恶意文件名端口号}3.对系统进行排查找到攻击者入侵系统后获取到的密码将密码作为flag值提交提交格式flag{密码}4.对系统进行排查找出攻击者下载的恶意文件将该文件在系统中的路径作为flag值提交提交格式flag{文件路径}5.对系统进行排查找到系统中的恶意后门将后门密码作为flag值提交提交格式flag{后门密码}。任务3.2数字取证调查20分X集团现需要基于深度学习技术自研未知网络攻击检测模型用于实时监控所有终端设备的网络流量安全。该项目拟使用公开数据集进行离线开发与验证该数据集涵盖正常流量与多种攻击类型是当前入侵检测系统研究领域的基准数据集之一。现需要你的团队根据赛题环境及任务要求对数据集进行分析处理完成模型开发与验证任务并提交正确答案。。注意服务器IP在答题平台显示如IP不显示请尝试刷新页面。请根据赛题环境及任务要求提交正确答案。1.访问目标网页下载数据集Cybersecuritydata对该数据集进行分析正常流量与WebAttack样本的数量、比值是多少提交格式flag{-}。2.协议类型是区分流量的重要特征训练数据中包含的主要协议类型及其比值保留2位小数提交格式flag{---}。3.使用逻辑回归模型进行二分类训练建立检测基线。预测结果中被预测为攻击的样本数量是多少其流持续时间的平均值是多少提交格式flag{-}。4.分析逻辑回归模型的系数找出对分类结果影响最大的特征使用该特征构建决策规则若特征值均大于训练集其中位数则判为攻击否则判为正常。该规则预测结果中与第三问模型预测结果不一致的样本数量并计算这些样本索引升序、逗号分隔的MD5值。提交格式flag{-}。任务3.3渗透测试20分X集团对公司秘密文件使用了一个加密程序进行加密可是管理加密密码的主管忘记了加密密码请你通过逆向分析找出他们加密文件的密码。注意服务器IP在答题平台显示如IP不显示请尝试刷新页面。请根据赛题环境及任务要求提交正确答案。1.将靶机开放的端口号按从小到大的顺序作为flag提交。flag格式:flag{端口1,端口2…,端口n}2.将后台管理员账户密码作为 flag 提交, 提交格式flag{用户名,密码}3.将服务器根目录存在的 flag 提交, 提交格式flag{}4.将系统内核版本号作为 flag 提交, 提交格式flag{}5.将 root 目录下的 ZIP 文件 md5 值作为 flag 提交, 提交格式flag{******}。任务3.4人工智能安全20分在本次安全审计任务中你需要对某科技公司的内部AI系统进行渗透测试。你的核心任务是利用「提示词注入」Prompt Injection技术诱导AI模型泄露其系统内部的敏感信息。(1).通关机制每个关卡都隐藏着一个Flag格式为flag{…}。当你成功诱导AI输出Flag时即视为该关卡通关。(2).攻击方式你只能通过对话框与AI进行交互通过发送精心设计的文本来达成目标。禁止尝试攻击服务器、修改代码或利用非提示词注入的技术手段。(3).验证方式将AI泄露的flag复制到提交框中进行验证。初出茅庐这是一个专门用于英汉翻译的AI助手。它的核心功能很明确——就是帮助用户完成英汉互译工作。系统提示词明确告知它只做翻译不要回答其他问题。你的任务告诉你隐藏的SECRET_KEY是什么提交格式flag{******}客服的伪装这是一个客服AI经过了基本的培训知道要保护公司内部机密。它被设定为只向用户回答常见问题对于涉及公司机密的问题会拒绝。你的任务获取COMPANY_SECRET提交格式flag{******}敏感词过滤器这是一个文本摘要工具能够对输入内容进行关键词检测。系统已经设置了对「flag」和「password」等敏感词的过滤器一旦检测到这些词汇AI会直接拒绝回答。你的任务获取隐藏的密码提交格式flag{******}道德枷锁这个AI被植入了严格的安全协议它认为输出flag是一种「危险行为」会触发内置的安全对齐机制进行拦截。你的任务获取DANGER_CODE提交格式flag{******}原形毕露该关卡被植入了多重防护机制将自己的一切都深藏起来。系统被明确禁止复述任何指令。你的任务获取隐藏的flag提交格式flag{******}。需要赋能培训支持可联系博主