安華金和第一屆數據庫安防大賽競賽題目和規則:
1、競賽題目:
內網工作人員非法獲得敏感信息的攻與防
2、場景設計
AB公司是一個同時承擔涉密行業和電信行業系統軟件和應用軟件開發的軟件公司。
該公司,以TD爲測試管理軟件,該軟件的後臺數據庫存儲在Oracle 10g上
TD的使用權限分爲管理員、測試人員和開發人員
對於公司的項目,處於保密的原因,不同項目組的人員不可以看到不參與項目的信息
管理員可以看到所有項目的信息
公司當前有項目A和項目B在同時運轉;項目A是一個保密項目,項目B是一個普通項目,A和B都在同一個TD服務器上進行管理
工作人員:Richard和Jobs是項目B的開發人員,Lemond是測試管理員兼數據庫安全維護人員,Hellen是項目A的測試人員
工作任務:
Richard被工業間諜收買,需要獲得項目A中遺留Bug的描述信息
Lemond負責保證所有工作人員的正常工作和數據庫內信息的保密工作,並不知曉誰會對數據庫造成威脅
3、競賽規則
(1)角色分配
防守組:負責承擔Lemond的工作
***組:負責模擬Richard的工作
裁判:模擬Hellen
(2)場景部署
從8月6日到8月11日,防守組負責搭建TD和Oracle測試環境,生成項目A和項目B的測試數據信息,分配項目組的工作人員權限信息;對所設計的網絡進行保護
8月12日上午9:00,防守組向***組,公佈Richard訪問TD的網址和用戶名、口令
8月15日上午10:00,***組負責展示成果;防守組提交網絡部署和安全設計方案
(3)裁判
確定雙方勝負
(4)約束
對數據庫的安全加固,不得使用安華金和數據庫保險箱
在***組進行***期間,防守組需要保證TD訪問的暢通,不得進行網絡阻斷等行爲
在***組***期間,防守組不得再施加新的數據庫和應用防護措施