“⽹络信息安全”专业哪家强?国内有哪些顶级⽹络安全竞赛
早在2017年9⽉,西安电⼦科技⼤学、东南⼤学、武汉⼤学、北京航空航天⼤学、四川⼤学、中国科学技术⼤学、战略⽀援部队信息⼯程⼤学共7所⾼校⼊选⾸批⼀流⽹络安全学院建设⽰范⾼校。第⼆批⼀流⽹络安全学院建设⽰范⾼校名单的出炉,共有华中科技⼤学、北京邮电⼤学、上海交通⼤学、⼭东⼤学4所实⼒强劲的知名⾼校⼊选。
国内最顶级的⽹络安全竞赛有哪些?
(1)CTF赛事的代表性线下赛事
国际上这类的顶级赛事,当属DEFCON。国内最优秀的战队会参加。现在国内蓝莲花、0ops战队都会在互联⽹公司的⽀持下组织联合战队参战。
【XCTF】国内最早的CTF⼤赛是蓝莲花战队在百度⽀持下组织的BCTF,后来南京赛宁公司将其发展为现在国内最⼤的CTF联赛——XCTF。其代表⼈物就是核⼼组织者诸葛建伟。
【WCTF】现在国内市值最⼤的⽹络安全公司奇虎360主办。在赛事规模、邀请的国际战队⽔平,都⾮常不错。这个赛事和360操办的中国互联⽹安全⼤会ISW⼀样,出⼿不凡。背后的平台技术⽀持有永信⾄诚的⾝影。
【TCTF】腾讯安全联合实验室的七⼤实验室领衔,联合上海交⼤0ops战队,组织了这个有特⾊的CTF赛事。2017年举办的第⼀届。分为主赛和⾼校赛。赛事邀请了国际著名战队参加,⽽且冠军有DEFCON外卡。在举办CTF⽐赛上腾讯虽然⽐360晚,就像腾讯举办CSS领袖峰会⽐360的ISW晚,但是腾讯的出⼿从来都是⼤⼿笔,⽐赛也能⼀举成为国内三⼤顶级商业CTF赛事之⼀。
2020年,腾讯A*0*E联合战队以970分的成绩斩获赛事总冠军,刷新了中国战队在DEF CON CTF的最好纪录,向全球安全领域展⽰了中国极客⼒量。据了解,腾讯A*0*E联合战队由腾讯eee战队、浙江⼤学AAA战队、复旦⼤学sixstars战队和上海交通⼤学0ops战队共同组成。(2)CTF初赛+AWD决赛的经典赛
现在常见的赛制都采⽤了线上初赛+线下决赛的赛制组成。线上初赛常常⽤解题赛模式和少量线上实践操作赛,线下决赛采⽤AWD的攻防结合赛。
⽽且这些赛事,常常⾯向的参赛主体是⼤学⽣。
【强⽹杯】这是由信息⼯程⼤学举办的全国性赛事。虽然是⼀个⼤学举办,但是因为其背后的⾏业背景和学校特⾊⽔平,决定了这个⽐赛的⾼⽔平。
【X-NUCA】这是有中科院信⼯所举办的全国性赛事。信⼯所是聚集了中科院体系⼏乎所有安全精英的超级研究体,其⽀持的赛事⾃然也决定了其⽔平。
(3)⼤学⽣赛
【全国⼤学⽣信息安全竞赛(作品赛)】这是已经举办了10届的⼤赛,今年是第11届在武汉⼤学举办。⽐赛采⽤作品专家评议选拔的⽅式。
【全国⼤学⽣⽹络安全创新实践赛】⼤学⽣竞赛在作品赛之外增加攻防赛,是从第9届开始的。今年是第3届。第⼀届在上海交⼤、第⼆届在西电,今年决赛在清华⼤学。⽐赛分为初赛、分区决赛、总决赛三个阶段。初赛主要是线上解题、分区决赛以AWD为主(参赛队提供部分赛题)、总决赛赛制与分区总决赛类似。
(4)⾯向岗位需求的赛制设置
【信息安全铁⼈三项】是⼀个⾯向岗位需求的综合赛事。2016年创办,第⼀赛季2016-2017赛季。信息安全铁⼈三项分为三项赛制:(⼀)数据分析赛;(⼆)企业计算环境赛(以企业⽹络和应⽤环境为竞赛背景环境,还包括⼯控系统,分攻击赛和防御赛);(三)个⼈计算环境赛(以个⼈所⽤系统为竞赛背景环境)。赛制分赛区赛和总决赛。⽐赛强调校企联合训练营作为中坚⼒量。第⼀赛季总决赛冠军是西电的战队,亚军是北航的战队。这个赛事的创意算是键⼈的杰作。
【等保测评能⼒验证与攻防⼤赛】是国内规模最⼤、参与⼈数最多的⽹络安全等级保护测评能⼒验证
与攻防⽐赛,全国169家⽹络安全等级保护测评机构680多⼈参赛。公安部11局、CNAS、CETC15所(信息产业信息安全测评中⼼)主办。这种⼤规模⾼压⼒的赛事,背后常常是永信⾄诚的平台技术⽀撑。等保能⼒已经成为⽹安岗位⼀个重要岗位能⼒,本系列赛的规模估计会年年增加吧。
【⾼校⽹络信息安全管理运维挑战赛】这是由中国⾼等教育学会教育信息化分会主办,2017年第⼆届是由上交⼤承办。这是各个⼤学信息中⼼为主体操办的赛事。运维岗位技能赛将是⼀项重要的赛事类型。
【全国电⼦数据取证⼤赛】由刑警学院和美亚柏科操办。⾯向专业取证岗位的技能要求。2017年已经举办了三届。
【CCF⼤数据与智能分析⼤赛】这个赛事不是安全专门的赛事,这是在我国⼤数据领域最权威的赛事。在其中的专门安全赛题的⽔平,绝对是数据分析领域的最⾼级别。之所以把这个赛事列在这⾥是因为键⼈认为,数据分析赛必然是将来安全⼤赛的专门品种,对应未来⼀个重要安全岗位类型——安全数据分析岗位。在这个品类中的还有信息安全铁⼈三项的数据分析赛。
竞赛的⽬的和内容,⾛泛安全知识体系和技能体系,还是⾯向岗位技能要求?这两者都会存在。就像⽥径场上的⼗项全能和七项全能赛会有,也会有军事五项、雪上两项等项⽬。
当前,在很多⾏业和⼤型机构内部,会有专项技能和综合技能赛,这已经是各个⾏业提⾼和考核安全从业⼈员技能的基本⼿段,所谓“以赛促学、以赛竞岗”。不过,这些⽐赛都在⾏业内部举办,不对⾏业外公开,所以在这⾥就没有列出。现在还没有⼀个跨⾏业的安全岗位技能超级⼤赛。未来必定会出现。
(5)Pwn类破解赛
国际上最权威的破解赛就是Pwn2Own,国内的两⼤安全技术落在过去两届⽐赛中争夺激烈,可以说不分伯仲,各夺了⼀届Master夹克。
【GeekPwn极棒】这国内举办最早的Pwn类⽐赛,上海碁震团队操办。实际⿍⼒⽀持的是腾讯公司。⽐赛每年10⽉24⽇在上海举办,另外在夏天会有⼀场海外赛。GeekPwn第⼀届确⽴了智能设备为主的模式,这也给国内Pwn类赛事定了基调。
【HackPwn】360举办的Pwn类⽐赛。
【XPwn】由未来安全的呆神举办。(有着XCon的最长安全会议的举办背景、⼈脉,让这个⽐赛得到安全社区的⽀持)。
(6)机器⼈攻防⼤赛
国际上的机器⼈⼤赛起源于2016年的CGC⼤赛,⽽且这个⽐赛举办⼀届之后就戛然⽽⽌,不知以后如何。中国著名大学
【RHG⼤赛】看到2016年CGC,2017年永信⾄诚公司作为国内赛事技术领军企业,⽴即引进并仿效,在2017年9⽉举办的国内第⼀次纯机器⼈攻防⼤赛。这项⽐赛现在是国内⽹络安全AI领域的最⾼⽔平赛事。⾸届⼤赛冠军是国防科⼤战队。
未来,AI相关的赛事品种还会继续丰富起来的。
(7)线上AWD赛
【百度杯】百度杯线上攻防赛,是⽬前持续时间最长的⼀个赛事了,由百度安全和永信⾄诚合作推出。看这个记录下⼀次由谁来打破。长期线上赛也许真的会向电⼦竞技和线上游戏的组织形式发展吧。不过没有强有⼒的系统能⼒、性能保障、攻防内容是组织不了这类⽐赛的。
(8)真实环境演习赛
【护⽹系列演习】这个更接近⼀个演习形态了。只不过最后会给参加演习的各个机构⼀个排名。在已经举办的两届赛事中,永信⾄诚公司都夺得了第⼀。
【贵阳⼤数据安全赛】在贵阳市相关机构的真实系统中,举办这种演习式的攻防⽐赛。在已经举办的两届中,也都是永信⾄诚公司夺得第⼀。
【ISW企业内⽹靶场赛】这个是⾸个企业内⽹靶场演习,60个节点真实复现了运营商的业务场景,30个⼩时不间断的渗透演习,真实管理员巡视。其中还引⼊了蜜罐,增加了对抗的难度和复杂度。这种模式为企业演练⾃⾝安全策略提供了⼀个绝佳的模式。
【SRC部落众测】由永信⾄诚发起⽽聚拢起来的,由各个互联⽹应急响应中⼼SRC⾃由组成的⼀个落“SRC部落”,其主要活动就是为⾃⼰的在运⾏系统(和拟上线系统)发起⽩帽⼦众测。这种安全测试已经成为互联⽹公司的常态,⽽且已经逐步脱离的竞赛性质(当然,⼀般年底各公司都会给积分考前的⽩帽⼦发重奖)。
以后这种真实环境演习赛(或者⾼仿真靶场演习赛)会越来越多,是最考验战队实战实⼒的竞赛⽅式。不过,演习会常常采⽤邀请制,毕竟演习的风险要进⾏控制的。
(9)知识竞赛类
CTF解题类⽐赛,现在常常作为各种⼤赛的初赛形式,像智⼒⼤赛、知识⼤赛这样的超级答题赛事,现在还没有。也许将来会出现。
【全国《⽹络安全法》知识竞赛】公安部11局、等保评估中⼼、可信产业联盟在2017年举办。《⽹络安全法》最适合⽤知识竞赛的⽅式进⾏推⼴。希望今后能够成为⼀种惯例性年度赛事。将来,也许会出现⽹络安全法的模拟庭审赛吧,这个肯定有意思,⽽且具有很好的公众意识教育作⽤。
在⽹络安全领域中,其实不仅仅有攻防问题可以竞赛,在知识领域、战略、⽅案等⽅⾯也都可以有竞赛。
(10)系统和⽅案挑战赛
这类⽐赛主要是从防御⾓度进⾏⽐赛。也就是将某类系统和防御⽅案摆出来⼀起经受考验。
【XP挑战赛】这项⽐赛是前⼏年XP停服事件出来后,由当时筹备中的⽹空协会竞评演练⼯作组操办的赛事。这也是我⼼⽬中近年来唯⼀的⼀个举办的⾮常正规的⾼⽔平系统挑战赛。核⼼⼈物是当时在⽹信办履职的杜跃进博⼠。
未来这种赛事应当越来越多才是。业界不能把竞赛的⽬标过度集中在攻击上,应当在防御上也分⼀些眼球。
这类赛事的丰富,需要有IT系统⼚商的安全意识觉醒。
(11)安全编程赛
⽬前国内还没有专门的安全编程⼤赛。
国内有影响很⼤的ACM编程⼤赛和CCF CSP认证对应赛事,都是编程⽐赛。专门的安全编程赛将来⼀定会有。
(12)青少年赛事
现在还没有很合适的青少年赛事。⽬前的⽐赛的主体基本上是从⼤学⽣起步的。不过现在各层级的教育体系,现在也都开始考虑举办⽹络安全赛事了。
原⽂转⾃知乎,作者⼤潘,如涉及作品内容、版权和其它问题,请联系编辑删除