下载掌阅APP,畅读海量书库
立即打开
国内外知名的网络安全竞赛有很多,参加一些高质量的网络安全竞赛,不仅能够获得技术上的提升,还能获得相应丰厚的荣誉和奖励。下面列举几个知名度较高的安全赛事。
“网鼎杯”网络安全大赛是知名的国家级高水平网络安全赛事,被称为网络安全界的“奥运会”。每年来自全国的数十类关键行业、上千家单位、上万支队伍参加安全比赛。“网鼎杯”为了比赛的公平公正,按照行业属性分成4组,分别是青龙组(高等院校、职业学校及社会团体)、白虎组(通信、交通、金融、医疗、政法及政务部门)、朱雀组(能源、电力、国防及其他行业单位)、玄武组(科研机构、科技企业、网安企业及互联网企业),采用多种赛制结合的方式,包含CTF解题赛和AWD竞赛,综合考查参赛选手的网络安全技能。
“强网杯”网络安全大赛是国内另一个非常著名的国家级网络安全赛事。参加安全竞赛的行业覆盖了国家关键信息基础设施单位、重要行业部门、高等院校、科研机构、网络安全企业、互联网企业及社会力量等行业领域。“强网杯”采用多种赛制相结合的方式,包含CTF解题赛和AWD竞赛等模式。作为国家级高水准、高质量的网络安全竞赛平台,“强网杯”致力于为网络安全从业人员、技术爱好者、院校学生、青少年等群体打造技术实践与展示自我的平台,从国家最顶尖的安全力量到冉冉兴起的国家未来网安之星,全面助力人才培养和技术创新,为网络强国建设和数字中国建设提供有力支撑。
DEFCON世界黑客大会是网络攻防技术竞赛的发源地,每年有超过7000名黑客和安全专家参加。DEFCON CTF作为DEFCON大会衍生出来的全球最有影响力的网络安全赛事之一,被誉为网络安全领域的“世界杯”,每年都会吸引全球大量的顶端技术人才参赛。DEFCON CTF分为线上的预选赛和线下的决赛,线上预赛采用CTF解题模式,而现场决赛采用AWD模式,通常在每年的8月份于美国拉斯维加斯举行。
全国大学生信息安全竞赛是国家A类赛事,是信息安全领域最具影响力的大学生赛事,自2008年起,每年举行一届,每届历时4个月,至今已成功举办14届,均由国内网络安全领域知名高校承办,全国在校全日制本、专科大学生均可参加。每届大赛都有来自全国上百所高校、上千支队伍参加。全国大学生信息安全竞赛分初赛和决赛,参赛内容以信息安全技术与应用设计为主。很多学校还为在竞赛中获奖的同学提供了丰厚的物质奖励和保研资格。
AWD是近年来国内外较为流行的一种网络安全竞赛模式,由行业专家凭借个人经验,将真实的网络安全防护设备设施加入到抽象的网络环境中,模拟企业单位典型网络结构和配置来开展的一种网络安全对抗的比赛方式。与常规的CTF竞赛相比,AWD竞赛以考验参赛队伍的攻防兼备能力及团队协作能力为主,具有实战性、实时性、对抗性等特点。
在AWD竞赛中,参赛队伍一般由3~5名成员组成。参赛队伍既是攻击方又是防守方,分别防守具有相同配置的虚拟靶机服务器。靶机服务器主要包括Web靶机和PWN靶机两种类型。图1-1为AWD竞赛环境的网络拓扑结构。每个团队都需要维护若干台具有安全漏洞的服务器和服务器中潜藏的后门,各参赛队伍在有限的博弈时间内,找到其他战队的靶机漏洞并获取flag而得分,同时也要修复服务器漏洞,防止被其他队伍攻击而被扣分。在这种赛制中,不仅考查参赛队伍的攻击和防御能力,还考查团队之间的协作能力。良好的团队协作能力和合理的成员分工,能够让队员在紧张的参赛过程中有条不紊地应对各种难题,减少竞赛过程中不必要的失误。
AWD竞赛采用零和积分的方式,即每个参赛队伍都拥有相同的起始分数,通过成功攻击其他队伍维护的虚拟靶机来获取相应的flag,从而拿到分数,被攻击队伍的分数则会被相应扣除。在每台虚拟靶机中的flag会按周期进行刷新,攻击者可以提交新的flag获取分数,但不可重复提交相同的flag。计分规则一般分为防御分和攻击分的加权,参赛队伍以最后得分由高到低进行排名,当参赛队伍分数相同时,防御队伍分值高的排名在前。
在AWD竞赛中,一般需要一名队员作为攻击方对其他队伍维护的靶标服务器进行网络探测、漏洞挖掘、后门排查、权限维持、自动化攻击、自动化提交等操作。另外两名队员中,要有一名代码编写能力比较强,能够在短时间内构造出能批量提交、自动化攻击的脚本程序,避免浪费人力在提交flag上。另一名队员则充当防护者的角色进行漏洞修复、后门排查、文件监控、弱口令排查等。
图1-1 AWD竞赛环境的网络拓扑结构