早在2017年9月,西安電子科技大學、東南大學、武漢大學、北京航空航天大學、四川大學、中國科學技術大學、戰略支援部隊信息工程大學共7所高校入選首批一流網絡安全學院建設示范高校。第二批一流網絡安全學院建設示范高校名單的出爐,共有華中科技大學、北京郵電大學、上海交通大學、山東大學4所實力強勁的知名高校入選。
國內最頂級的網絡安全競賽有哪些?
(1)CTF賽事的代表性線下賽事
國際上這類的頂級賽事,當屬DEFCON。國內最優秀的戰隊會參加。現在國內藍蓮花、0ops戰隊都會在互聯網公司的支持下組織聯合戰隊參戰。
【XCTF】國內最早的CTF大賽是藍蓮花戰隊在百度支持下組織的BCTF,后來南京賽寧公司將其發展為現在國內最大的CTF聯賽——XCTF。其代表人物就是核心組織者諸葛建偉。
【WCTF】現在國內市值最大的網絡安全公司奇虎360主辦。在賽事規模、邀請的國際戰隊水平,都非常不錯。這個賽事和360操辦的中國互聯網安全大會ISW一樣,出手不凡。背后的平台技術支持有永信至誠的身影。
【TCTF】騰訊安全聯合實驗室的七大實驗室領銜,聯合上海交大0ops戰隊,組織了這個有特色的CTF賽事。2017年舉辦的第一屆。分為主賽和高校賽。賽事邀請了國際著名戰隊參加,而且冠軍有DEFCON外卡。在舉辦CTF比賽上騰訊雖然比360晚,就像騰訊舉辦CSS領袖峰會比360的ISW晚,但是騰訊的出手從來都是大手筆,比賽也能一舉成為國內三大頂級商業CTF賽事之一。
2020年,騰訊A*0*E聯合戰隊以970分的成績斬獲賽事總冠軍,刷新了中國戰隊在DEF CON CTF的最好紀錄,向全球安全領域展示了中國極客力量。據了解,騰訊A*0*E聯合戰隊由騰訊eee戰隊、浙江大學AAA戰隊、復旦大學sixstars戰隊和上海交通大學0ops戰隊共同組成。
(2)CTF初賽+AWD決賽的經典賽
現在常見的賽制都采用了線上初賽+線下決賽的賽制組成。線上初賽常常用解題賽模式和少量線上實踐操作賽,線下決賽采用AWD的攻防結合賽。
而且這些賽事,常常面向的參賽主體是大學生。
【強網杯】這是由信息工程大學舉辦的全國性賽事。雖然是一個大學舉辦,但是因為其背后的行業背景和學校特色水平,決定了這個比賽的高水平。
【X-NUCA】這是有中科院信工所舉辦的全國性賽事。信工所是聚集了中科院體系幾乎所有安全精英的超級研究體,其支持的賽事自然也決定了其水平。
(3)大學生賽
【全國大學生信息安全競賽(作品賽)】這是已經舉辦了10屆的大賽,今年是第11屆在武漢大學舉辦。比賽采用作品專家評議選拔的方式。
【全國大學生網絡安全創新實踐賽】大學生競賽在作品賽之外增加攻防賽,是從第9屆開始的。今年是第3屆。第一屆在上海交大、第二屆在西電,今年決賽在清華大學。比賽分為初賽、分區決賽、總決賽三個階段。初賽主要是線上解題、分區決賽以AWD為主(參賽隊提供部分賽題)、總決賽賽制與分區總決賽類似。
(4)面向崗位需求的賽制設置
【信息安全鐵人三項】是一個面向崗位需求的綜合賽事。2016年創辦,第一賽季2016-2017賽季。信息安全鐵人三項分為三項賽制:(一)數據分析賽;(二)企業計算環境賽(以企業網絡和應用環境為競賽背景環境,還包括工控系統,分攻擊賽和防御賽);(三)個人計算環境賽(以個人所用系統為競賽背景環境)。賽制分賽區賽和總決賽。比賽強調校企聯合訓練營作為中堅力量。第一賽季總決賽冠軍是西電的戰隊,亞軍是北航的戰隊。這個賽事的創意算是鍵人的傑作。
【等保測評能力驗證與攻防大賽】是國內規模最大、參與人數最多的網絡安全等級保護測評能力驗證與攻防比賽,全國169家網絡安全等級保護測評機構680多人參賽。公安部11局、CNAS、CETC15所(信息產業信息安全測評中心)主辦。這種大規模高壓力的賽事,背后常常是永信至誠的平台技術支撐。等保能力已經成為網安崗位一個重要崗位能力,本系列賽的規模估計會年年增加吧。
【高校網絡信息安全管理 運維挑戰賽】這是由中國高等教育學會教育信息化分會主辦,2017年第二屆是由上交大承辦。這是各個大學信息中心為主體操辦的賽事。運維崗位技能賽將是一項重要的賽事類型。
【全國電子數據取證大賽】由刑警學院和美亞柏科操辦。面向專業取證崗位的技能要求。2017年已經舉辦了三屆。
【CCF大數據與智能分析大賽】這個賽事不是安全專門的賽事,這是在我國大數據領域最權威的賽事。在其中的專門安全賽題的水平,絕對是數據分析領域的最高級別。之所以把這個賽事列在這里是因為鍵人認為,數據分析賽必然是將來安全大賽的專門品種,對應未來一個重要安全崗位類型——安全數據分析崗位。在這個品類中的還有信息安全鐵人三項的數據分析賽。
競賽的目的和內容,走泛安全知識體系和技能體系,還是面向崗位技能要求?這兩者都會存在。就像田徑場上的十項全能和七項全能賽會有,也會有軍事五項、雪上兩項等項目。
當前,在很多行業和大型機構內部,會有專項技能和綜合技能賽,這已經是各個行業提高和考核安全從業人員技能的基本手段,所謂“以賽促學、以賽競崗”。不過,這些比賽都在行業內部舉辦,不對行業外公開,所以在這里就沒有列出。現在還沒有一個跨行業的安全崗位技能超級大賽。未來必定會出現。
(5)Pwn類破解賽
國際上最權威的破解賽就是Pwn2Own,國內的兩大安全技術群落在過去兩屆比賽中爭奪激烈,可以說不分伯仲,各奪了一屆Master夾克。
【GeekPwn極棒】這國內舉辦最早的Pwn類比賽,上海碁震團隊操辦。實際鼎力支持的是騰訊公司。比賽每年10月24日在上海舉辦,另外在夏天會有一場海外賽。GeekPwn第一屆確立了智能設備為主的模式,這也給國內Pwn類賽事定了基調。
【HackPwn】360舉辦的Pwn類比賽。
【XPwn】由未來安全的呆神舉辦。(有着XCon的最長安全會議的舉辦背景、人脈,讓這個比賽得到安全社區的支持)。
(6)機器人攻防大賽
國際上的機器人大賽起源於2016年的CGC大賽,而且這個比賽舉辦一屆之后就戛然而止,不知以后如何。
【RHG大賽】看到2016年CGC,2017年永信至誠公司作為國內賽事技術領軍企業,立即引進並仿效,在2017年9月舉辦的國內第一次純機器人攻防大賽。這項比賽現在是國內網絡安全AI領域的最高水平賽事。首屆大賽冠軍是國防科大戰隊。
未來,AI相關的賽事品種還會繼續豐富起來的。
(7)線上AWD賽
【百度杯】百度杯線上攻防賽,是目前持續時間最長的一個賽事了,由百度安全和永信至誠合作推出。看這個記錄下一次由誰來打破。長期線上賽也許真的會向電子競技和線上游戲的組織形式發展吧。不過沒有強有力的系統能力、性能保障、攻防內容是組織不了這類比賽的。
(8)真實環境演習賽
【護網系列演習】這個更接近一個演習形態了。只不過最后會給參加演習的各個機構一個排名。在已經舉辦的兩屆賽事中,永信至誠公司都奪得了第一。
【貴陽大數據安全賽】在貴陽市相關機構的真實系統中,舉辦這種演習式的攻防比賽。在已經舉辦的兩屆中,也都是永信至誠公司奪得第一。
【ISW企業內網靶場賽】這個是首個企業內網靶場演習,60個節點真實復現了運營商的業務場景,30個小時不間斷的滲透演習,真實管理員巡視。其中還引入了蜜罐,增加了對抗的難度和復雜度。這種模式為企業演練自身安全策略提供了一個絕佳的模式。
【SRC部落眾測】由永信至誠發起而聚攏起來的,由各個互聯網應急響應中心SRC自由組成的一個群落“SRC部落”,其主要活動就是為自己的在運行系統(和擬上線系統)發起白帽子眾測。這種安全測試已經成為互聯網公司的常態,而且已經逐步脫離的競賽性質(當然,一般年底各公司都會給積分考前的白帽子發重獎)。
以后這種真實環境演習賽(或者高仿真靶場演習賽)會越來越多,是最考驗戰隊實戰實力的競賽方式。不過,演習會常常采用邀請制,畢竟演習的風險要進行控制的。
(9)知識競賽類
CTF解題類比賽,現在常常作為各種大賽的初賽形式,像智力大賽、知識大賽這樣的超級答題賽事,現在還沒有。也許將來會出現。
【全國《網絡安全法》知識競賽】公安部11局、等保評估中心、可信產業聯盟在2017年舉辦。《網絡安全法》最適合用知識競賽的方式進行推廣。希望今后能夠成為一種慣例性年度賽事。將來,也許會出現網絡安全法的模擬庭審賽吧,這個肯定有意思,而且具有很好的公眾意識教育作用。
在網絡安全領域中,其實不僅僅有攻防問題可以競賽,在知識領域、戰略、方案等方面也都可以有競賽。
(10)系統和方案挑戰賽
這類比賽主要是從防御角度進行比賽。也就是將某類系統和防御方案擺出來一起經受考驗。
【XP挑戰賽】這項比賽是前幾年XP停服事件出來后,由當時籌備中的網空協會競評演練工作組操辦的賽事。這也是我心目中近年來唯一的一個舉辦的非常正規的高水平系統挑戰賽。核心人物是當時在網信辦履職的杜躍進博士。
未來這種賽事應當越來越多才是。業界不能把競賽的目標過度集中在攻擊上,應當在防御上也分一些眼球。
這類賽事的豐富,需要有IT系統廠商的安全意識覺醒。
(11)安全編程賽
目前國內還沒有專門的安全編程大賽。
國內有影響很大的ACM編程大賽和CCF CSP認證對應賽事,都是編程比賽。專門的安全編程賽將來一定會有。
(12)青少年賽事
現在還沒有很合適的青少年賽事。目前的比賽的主體基本上是從大學生起步的。不過現在各層級的教育體系,現在也都開始考慮舉辦網絡安全賽事了。
原文轉自知乎,作者大潘,如涉及作品內容、版權和其它問題,請聯系編輯刪除