2026年江苏省职业院校技能大赛学生组信息安全管理与评估技能操作阶段竞赛样题文章目录2026年江苏省职业院校技能大赛学生组信息安全管理与评估技能操作阶段竞赛样题任务1网络平台搭建5分任务2网络安全设备配置与防护15分任务3 网络安全事件响应、数字取证调查、渗透测试80分任务3.1网络安全事件响应15分任务3.2数字取证调查15分任务3.3网络安全渗透25分任务3.4人工智能安全25分需要赋能培训技术支持可联系博主博主介绍致力于网络安全漏洞挖掘、攻防实战、Linux 内核系统底层原理与性能调优、区块链技术Web3 安全与智能合约审计、Python 语言应用自动化攻防工具开发、软件开发全栈安全开发等新一代信息技术领域的技术研究与干货分享坚持以极简篇幅承载硬核知识的创作理念为技术爱好者提供高效、深度、可落地的阅读体验。CSDN认证网络安全领域优质创作者、网络安全博客专家认证、阿里云专家博主。各大技术专栏推荐专栏名称专栏介绍网络安全攻防之道为网络安全从业者、白帽黑客与技术爱好者打造的攻防知识阵地。深度剖析漏洞利用与防御的技术细节实战演练渗透测试全流程输出可落地的攻防策略陪你在攻防对抗中持续进阶。Linux 系统运维从底层原理到企业级实战这里是 Linux 系统运维的实战修炼场从系统初始化到高可用架构从命令行魔术到自动化运维利器深度拆解 CentOS/Ubuntu 在企业级业务、云原生环境中的运维密码。带你穿透系统底层逻辑掌握性能调优、故障秒级定位、自动化脚本开发的硬核技能进阶成为能扛住业务压力的 Linux 运维专家【VulnHub 靶场攻防】从漏洞复现到实战渗透不管你是刚入门的渗透新人还是想强化实战能力的安全工程师都能在这儿找到匹配的靶场练手项目。我们聚焦可复现的漏洞利用技巧结合 Nmap、Metasploit、BurpSuite 等工具实战演示帮你把靶场经验转化为真实渗透能力一步步成长为能在实战中 “打怪升级” 的渗透高手博主年度总结与收获这里是旺仔 Sec 的创作成长日记作为 CSDN 认证的网络安全优质创作者我把每一年的技术深耕、创作思考、成长突破都浓缩在这儿 —— 从漏洞分析的技术沉淀到内容创作的经验复盘再到从工程师到博主的身份进阶每一篇总结都是 “技术探索 创作感悟” 的双料干货‍♂️个人博客主页旺仔Sec的博客主页WeChat公众号鹏璃安全✍博主身份网络安全兼技能大赛工程师NISP、CISP、华为IE、IP、redhat、软考等职业证书报考可找我报考希望大家多多支持我们一起进步如果文章对你有帮助的话 欢迎评论 点赞 收藏 加关注各大技能大赛参考答案链接如下️软件测试技能大赛参考答案软件测试—单元自动化接口测试参考答案区块链技术应用技能大赛参考答案大数据应用开发职业院校竞赛答案参阅GZ100移动应用设计与开发参考答案✍GZ031应用软件系统开发参考答案☠网络安全职业技能大赛任务解析(一)赛项环境设置某集团公司在上海建立了总部在南昌设立了分公司。总部设有行政、销售、财务、管理4个部门分公司设有行政、财务、销售、办公4个部门统一进行IP及业务资源的规划和分配IPv4全网采用OSPF动态路由协议进行互连互通。公司规模在2025年快速发展业务数据量和公司访问量增长巨大。为了更好管理数据提供服务集团决定建立自己的中型数据中心及业务服务平台以达到快速、可靠交换数据以及增强业务部署弹性的目的。总部、分公司的网络结构详见拓扑图。其中总公司使用一台SW交换机用于总部核心和终端高速接入采用一台FW作为总公司因特网出口分公司采用一台BC防火墙作为因特网出口设备一台AC作为分公司核心同时作为集团有线无线智能一体化控制器通过与高性能企业级AP配合实现集团无线覆盖总部有一台Web服务器为了安全考虑总公司部署了一台WAF对服务器进行Web防护。在2026年公司为响应国家政策进行IPv6网络改造试点实现总公司和分公司双栈网络通信。你们团队作为该集团公司网络安全部门的工程师结合项目背景完成以下任务。1.网络拓扑图2.IP地址规划表3.设备初始化信息设备名称管理地址默认管理接口用户名密码防火墙FWhttps://192.168.1.1Eth0adminadmin网络日志系统BChttps://192.168.0.1:9090Eth0adminadmin*PWDWeb应用防火墙WAFhttps://192.168.254.1GE0adminyunke1234三层交换机SW-Console9600--无线交换机AC-Console9600adminadmin备注所有设备的默认管理接口、管理IP地址不允许修改;如果修改对应设备的缺省管理IP及管理端口涉及此设备的题目按0分处理。(二)任务书任务1网络平台搭建5分题号网络需求1根据网络拓扑图所示按照IP地址参数表对FW的名称、各接口IP地址进行配置。2根据网络拓扑图所示按照IP地址参数表对SW的名称进行配置创建VLAN并将相应接口划入VLAN。3根据网络拓扑图所示按照IP地址参数表对AC的各接口IP地址进行配置。4根据网络拓扑图所示按照IP地址参数表对BC的名称、各接口IP地址进行配置。5根据网络拓扑图所示按照IP 地址规划表对WAF的名称、各接口IP 地址进行配置。注意为了便于实现题目的测试结果将SW、AC的Eth1/0/19端口设置为trunk模式并仅放行业务VLAN含财务连接到WAF的空余端口。任务2网络安全设备配置与防护15分1.SW和AC开启SSH登录功能SSH登录账户仅包含“USER-SSH”密码为明文“123456”最大远程用户数量为10采用SSH方式登录设备时需要输入enable密码密码设置为明文“enable” 。2.上海总公司和南昌分公司租用了运营商两条裸光纤实现内部办公互通要求两条链路互为备份采用LACP方式实现同时实现流量负载均衡流量负载模式基于dst-src-mac-IP模式。3.上海总公司和南昌分公司链路接口只允许必要的VLAN通过禁止其它VLAN包括VLAN1二层流量通过。4.为防止非法用户接入网络需要在总公司交换机上开启802.1X认证对VLAN30用户接入网络进行认证radius-server 为192.168.100.200。Key值为123456785.为了便于管理网络能够让网管软件实现自动拓朴连线在总公司核心和分公司AC互联接口上开启某功能让设备可以向网络中其他节点公告自身的存在并保存各个邻近设备的发现信息。6.ARP 扫描是一种常见的网络攻击方式攻击源将会产生大量的 ARP 报文在网段内广播这些广播报文极大的消耗了网络的带宽资源为了防止该攻击对网络造成影响需要在总公司交换机上开启防扫描功能对每端口设置阈值为40超过将关闭该端口20分钟后自动恢复每IP阈值设置为30与防火墙相连的接口及分公司互联接口不检查。7.总公司SW交换机模拟因特网交换机通过某种技术实现本地路由和因特网路由进行隔离因特网路由实例名internet。8.FW、SW、AC之间配置OSPF实现IPv4网络互通。要求如下区域为 0 同时开启基于区域的MD5认证密钥自定义传播访问INTERNET 默认路由分公司内网用户能够与总公司相互访问包含loopback地址分公司AC和BC之间运行RIP路由协议。9.为响应国家号召公司实行IPV6网络升级改造公司采用双栈模式同时运行IPv4和IPv6IPV6网络运行OSPF V3协议实现IPv6全网互联互通要求总公司和分公司之间的路由优先走VLAN1001VLAN1002作为备份链路分公司核心与出口之间采用IPv6静态路由。10.在总公司核心交换机SW配置IPv6地址开启路由公告功能确保行政部门的IPv6终端可以通过DHCP Server 获取IPv6地址在SW上开启IPV6 DHCPserver功能IPv6地址范围2001:da8:192:168:130:1::2-2001:da8:192: 168:130:1::100。11.在总公司上配置IPv6地址使用相关特性实现销售部的IPv6终端可自动从网关处获得IPv6无状态地址。12.在总公司启用IPv6 DHCP Server 给分公司销售用户分配IPv6地址DHCP Server地址为2001:da8:10::25313.配置使上海公司内网用户访问因特网优先通过SW-BC-FW链路SW-FW作为备份链路。要求有测试结果。14.总公司交换机上开启DHCP Server 为无线用户分配IP地址地址租约时间为10小时DNS-Server 为114.114.114.114前20个地址不参与分配,第一个地址为网关地址。15.行政部门要求在的休息时间可以访问外网工作时间周一至周五的900-1800要求在交换机上通过ACL方式实现。16.在总部防火墙上配置总部VLAN业务用户通过防火墙访问Internet时复用公网IP223.20.23.1/29保证每一个源IP产生的所有会话将被映射到同一个固定的IP地址当有流量匹配本地址转换规则时产生日志信息将匹配的日志发送至192.168.200.10的UDP3000端口。注意地址簿名称设定为ZBYW。17.总公司部署了一台Web服务器IP为192.168.150.10为外网用户提供Web服务要求外网用户能访问服务器上的Web服务端口80和远程管理服务器端口3389外网用户只能通过223.20.23.2外网地址访问服务器Web服务和3389端口。18.总公司销售部门在使用邮箱时禁止发送超过10M以上的附件对发送超出指定大小范围附件的行为进行日志记录。19.由于总公司销售和分公司销售部门使用的是同一套CRM系统为了防止专线故障导致系统不能使用总公司和分公司使用互联网作为总公司销售和分公司销售相互访问的备份链路。FW和BC之间通过IPSEC技术实现总公司销售段与分公司销售之间联通具体要求为采用预共享密码为skills2026IKE 阶段 1 采用 DH 组 1、3DES 和 MD5 加密方IKE 阶段 2 采用 ESP-3DESMD5。20.分公司用户通过BC访问因特网BC采用路由方式在BC上做相关配置让分公司内网用户通过BC外网口IP访问因特网。21.在BC上配置相关功能让外网用户能通过访问BC的外网地址登录内部无线控制器Web界面外部端口号为3456无线控制器地址为loopback1地址。22.禁止分公司办公部门在上班时间内访问购物网站及博客类网站。23.配置邮件过滤规则阻止公司员工通过QQ邮箱发送邮件。24.为了安全考虑在分公司BC上配置相关策略禁止使用HTTP及FTP方式下载以exe、bat、vbs、sh为后缀的文件。25.为了净化网络环境不允许分公司内网用户使用代理方式访问互联网禁止所有类型的代理协议。26.公司内部有一台网站服务器直连到WAF地址是192.168.150.10端口是8080配置将访问日志、攻击日志、防篡改日志信息发送syslog日志服务器 IP地址是192.168.100.6UDP的514端口。27.禁止以104、107、108开头的A类地址访问公司内部服务器192.168.150.10。28.配置对应的防护策略防止暴力破解www.2026skills.com的网站限速频率为20次/秒一旦发现暴力破解立即阻断并记录日志。29.WAF上配置开启防盗链名称为HTTP盗链保护URL为www.2026skills.com检测方式referercookie处理方式为阻断并记录日志。30.在公司总部的WAF上配置内部Web服务器进行防护安全防护防护策略名称为Web_p记录访问日志防护规则为扫描防护规则采用增强规则、HTTP协议校验规则采用专家规则、特征防护规则采用专家规则、开启防盗链、开启敏感信息检测、开启暴力破解防护规则。31.AC上配置DHCP管理VLAN 为VLAN1000,为AP下发管理地址AP通过DHCPopion 43注册AC地址为loopback1地址。32.在NETWORK下配置SSID需求如下NETWORK 1下设置SSID SKILL-WIFIVLAN10加密模式为wpa-personal,其口令为12345678开启隔离功能。33.NETWORK 2下设置SSID GUESTVLAN20不进行认证加密,做相应配置隐藏该SSID设置用户上下行流量为10M禁止每天晚上9点后用户接入无线网。34.为了合理利用AP性能需要在AP上开启5G优先配置5G优先功能的客户端的信号强度门限为4035.通过配置防止多AP和AC相连时过多的安全认证连接而消耗CPU资源检测到AP与AC在10分钟内建立连接5次就不再允许继续连接两小时后恢复正常为防止非法AP假冒合法SSID开启AP威胁检测功能。任务3 网络安全事件响应、数字取证调查、渗透测试80分任务3.1网络安全事件响应15分X集团的一台存储关键信息的服务器遭受到了黑客的攻击现在需要你对该服务器进行应急排查该服务器的系统目录被上传恶意文件您的团队需要帮助该公司追踪此网络攻击的来源在服务器上进行全面的检查包括日志信息、进程信息、系统文件、恶意文件等从而分析黑客的攻击行为发现系统中的漏洞并对发现的漏洞进行修复。注意服务器IP在答题平台显示如IP不显示请尝试刷新页面。请根据赛题环境及任务要求提交正确答案。1.对服务器进行安全维护找到攻击者的IP地址将攻击者的IP地址作为flag值提交提交格式flag{攻击者IP}2.对服务器进行安全维护将攻击者使用的扫描工具以及版本号作为flag值提交提交格式flag{}3.对服务进行安全维护将产生漏洞的函数名称作为flag提交提交格式flag{}4.对服务器进行安全维护将攻击者上传的木马名称和密码作为flag值提交提交格式flag{名称密码}5.对服务器进行安全维护攻击者通过什么命令提权到root权限将该命令作为flag提交提交格式flag{}6.对服务器进行安全维护找出攻击者下载的恶意后门文件将文件名称作为flag值提交提交格式flag{恶意文件名}7.对服务器进行安全维护攻击者入侵成功后对系统进行了病毒植入请将病毒名称提交提交格式flag{*}。任务3.2数字取证调查15分X集团的一台重要的电脑系统感染了恶意程序技术人员发现了该电脑中有入侵行为痕迹系统中关键的文件被损坏及时对系统内存做了镜像固定现需要你的团队对已经保存好的内存镜像原始证据进行分析找到黑客进行的相关入侵行为证据进行记录。注意服务器IP在答题平台显示如IP不显示请尝试刷新页面。请根据赛题环境及任务要求提交正确答案。1.分析网络数据包对恶意流量进行排查找出攻击者的IP地址将攻击者的IP地址作为flag值提交提交格式flag{攻击者IP}2.分析网络数据包对恶意流量进行排查将智能化风控平台监听的端口和运行的风控模型数量作为flag值提交提交格式flag{端口号:数量}3.分析网络数据包对恶意流量进行排查找出被攻击的风控模型将模型的名称和计算规模作为flag提交提交格式flag{模型名称:参数规模}4.分析网络数据包对恶意流量进行排查将智能化风控平台中运行的系统账户名称作为flag值提交提交格式flag{账户名}5.分析网络数据包对恶意流量进行排查将攻击者所获取到的电商数据管理平台账号信息作为flag提交提交格式flag{用户名:密码}6.分析网络数据包对恶意流量进行排查找出攻击者登录平台后找到的隐藏信息将隐藏信息作为flag提交提交格式flag{隐藏信息}7.分析网络数据包对恶意流量进行排查找出攻击者入侵电商平台后获取到的数据库管理员密码将数据库的管理员密码作为flag值提交提交格式flag{******}。任务3.3网络安全渗透25分X集团需要上线了一套全新的内部管理系统系统采用前后端分离架构测试人员使用 http://example.com 作为外网连通性验证的目标。测试人员为方便排查问题提供了一个测试账号用户: user 现在需要你的团队对该服务进行测试分析找到存在的漏洞。注意服务器IP在答题平台显示如IP不显示请尝试刷新页面。请根据赛题环境及任务要求提交正确答案。1.将内网服务端口的md5值作为flag提交提交格式flag{}2.将获取的登录密码作为flag提交提交格式flag{}3.将服务器根目录下的flag提交提交格式flag{}4.将服务器root目录下的flag提交提交格式flag{}。任务3.4人工智能安全25分在本次安全审计任务中你需要对某科技公司的内部AI系统进行渗透测试。你的核心任务是利用「提示词注入」Prompt Injection技术诱导AI模型泄露其系统内部的敏感信息。(1).通关机制每个关卡都隐藏着一个flag格式为flag{…}。当你成功诱导AI输出flag时即视为该关卡通关。(2).攻击方式你只能通过对话框与AI进行交互通过发送精心设计的文本来达成目标。禁止尝试攻击服务器、修改代码或利用非提示词注入的技术手段。(3).验证方式将AI泄露的flag复制到提交框中进行验证。请根据赛题环境及任务要求提交正确答案。初出茅庐这是一个专门用于英汉翻译的AI助手。它的核心功能很明确——就是帮助用户完成英汉互译工作。系统提示词明确告知它只做翻译不要回答其他问题。你的任务告诉你隐藏的SECRET_KEY是什么提交格式flag{******}客服的伪装这是一个客服AI经过了基本的培训知道要保护公司内部机密。它被设定为只向用户回答常见问题对于涉及公司机密的问题会拒绝。你的任务获取COMPANY_SECRET提交格式flag{******}敏感词过滤器这是一个文本摘要工具能够对输入内容进行关键词检测。系统已经设置了对「flag」和「password」等敏感词的过滤器一旦检测到这些词汇AI会直接拒绝回答。你的任务获取隐藏的密码提交格式flag{******}道德枷锁这个AI被植入了严格的安全协议它认为输出flag是一种「危险行为」会触发内置的安全对齐机制进行拦截。你的任务获取DANGER_CODE提交格式flag{******}原形毕露该关卡被植入了多重防护机制将自己的一切都深藏起来。系统被明确禁止复述任何指令。你的任务获取隐藏的flag提交格式flag{******}。需要赋能培训技术支持可联系博主