对中国网络安全行业来说,2015年无疑是浓墨重笔的一年;但如果再要从激情澎湃的网络安全领域挑选两个最重大的事件的话,51CTO记者认为,一是中国网络安全立法工作取得了重大突破,另一个就是中国网络安全竞技领域的迅速崛起——前者是国家战略,后者却是民间推动。甚至可以说,2015年就是中国网络安全竞赛的元年!这一年,无论对中国的网络安全竞技领域还是中国网络安全人才的培养,都发生了重大变化,且将产生深远的影响。
数量过百场:竞赛热突然爆发遍布神州
网络安全竞赛源于一种黑客之间的对抗游戏。1996年,全球顶级黑客大会DEFCON率先举行了CTF(Catch The Flag,一般译为“夺旗赛”)安全竞技大赛,此后每年与DEFCON大会同期举行,逐步形成类似“世界杯”足球赛的世界顶级安全竞技大赛。
中国的安全竞技行业在2014年之前的发展其实相当缓慢。2010年前后,CTF竞赛通过各种渠道陆续进入中国,首先在中国的部分高校陆续组建了一些安全竞赛的战队雏形。2012年,由清华大学蓝莲花战队、成都信息工程学院(现成都信息工程大学)三叶草战队和上海交大0ops战队等组成中国联队首次参加DEFCON CTF大赛,闯入前20名。此后三年,以蓝莲花为首的中国战队连续三年闯入前6名。中国网络安全战队在世界有了一席之地。
但与世界大赛的迅速发展相比,中国国内的安全竞技比赛发展并不快速。记者查询了网上的资料,能查到的全国性质比赛基本上是从2014年开始的,稍有影响力(或者说尚能查到的)只有3月的BCTF、北京首届“429”网络安全日、5月CNCERT首届比赛、7月的四川省大学生比赛以及年底的“湖湘杯”比赛等聊聊几场而已。但一跨入2015,情况发生了极其明显的改观!
记者通过对各方进行了解,并结合互联网上的资料,整理了一下这份2015年中国国内网络安全竞赛不完整名单:
之所以说是“不完整”名单,一方面记者听说还有不少的比赛,但可惜资料不全;第二是仅51CTO记者所知,就有约30场部分行业、单位组织的不公开的安全竞赛。初步估算,2015年全国举行的各级各类安全竞赛肯定超过百场!
安全竞赛需要一个相当复杂准备,尤其是攻防对抗的比赛比单纯的答题赛需要准备的时间更长、复杂性更高,而这些工作其实一直都是一些安全企业的研发和服务人员兼职。曾服务“湖湘杯”的北京某公司技术专家刘博鹤曾在2015年中期告诉记者,从3月之后,他每个月都有比赛要支撑,这频度是他此前从未想象过的;而2015年底记者再见到他,他基本上已经全职负责比赛支持了。在这一年,仅他参与支持的比赛就超过30场!
必须说明的是,2015年中国网络安全竞赛增加的不仅仅是数量。从上表可以看出,如今组织网络安全竞赛的单位已经跨越多个行业、多个地域。从华东到西部,从电信到教育,从普及型的比赛到专业、规范的XCTF,各级各类比赛已经遍布神州!所有这些,都让我们有足够的理由宣布:中国网络安全竞赛,已经进入了一个全新的时代。
高水平:赛制变化引发比赛更难更好看
2015年的网络安全竞赛与此前明显不同的其实还有比赛的组织形式和参赛人员的技战术水平。
2015年以前,中国为数不多的网络安全竞赛基本上是以答题为主。这种赛制组织相对简便,参赛人员可以比较多;但其弊端也非常明显,那就是发展到一定程度之后,比赛就变成了类似“奥数”的知识竞赛,这就与网络安全本身希望培养攻防实战能力初衷出现了偏移。
回顾从近两年的网络安全比赛历史,记者发现2014年12月的“湖湘杯”比赛应该是中国网络安全竞赛的赛制发展上值得关注的一场比赛。这场全国级别的比赛率先采用两级赛制,初赛采用答题方式,最终的决赛采用现场对抗方式——所有这些,与全球的CTF比赛模式已经相当接近。
不知道是不是受到“湖湘杯”的影响,接下来举办的两场第二届国家级别的大型比赛——2015年4月和6月分别举行的北京“429”首都网络安全日第二届网络安全技术大赛和CNCERT第二届中国网络安全攻防大赛——都不约而同地改变了第一届的答题赛制,变为类似人人对抗和人机对抗混合的实战对抗方式,也都取得了非常好的效果。自此之后,2015年几乎所有国家级的主流网络安全竞赛模式都采用了类似模式,从而实现了与国际赛制的接轨。
国家互联网应急中心(CNCERT)运行处副处长李佳在2015年6月曾接受过51CTO记者的采访,他介绍说:“和传统的夺旗(答题)赛相比,我们采用了新的AWD(攻防兼备)的比赛模式,这种模式环境搭建复杂度增加了很多,对技术支持的要求也增加了很多,我们和技术支持单位为之付出了巨大的努力。”承担了2015年半数以上安全竞赛技术支持的北京永信至诚科技股份有限公司总经理李炜说:“比赛的形式除了教育公众之外,也是要发现好的苗子,这对很多单位、企业还是一个刚需;但从院校等传统方式培养的人才实际经验不足,达不到他们所期待的水平。正是因为有这样的供需矛盾,才促使我们研发出AWD(攻守兼备)模式的竞赛形式,来考验选手的综合能力,选拔出真正的人才。”
与赛制相适应的当然是参赛水平的提高。新的比赛形式,要求参赛队伍的综合能力更高,对抗性更强,对攻击和防御两方面的能力要求更高。而随着比赛的密度逐步增加,参赛队员的水平水涨船高。2015年ISC比赛冠军团队、华东交通大学参赛选手严敏睿在接受采访时介绍说:“相比之前,2015年选手的整体水平上升了,打酱油的少了很多,‘赛棍’也越来越多了,经常看到一些熟悉的面孔。题目上的水平也提高了。”类似的感觉并不在少数。核心骨干出自著名的蓝莲花战队的北京长亭科技组成“长亭外”战队,在上半年连续征战北京“429”和CNCERT两场大赛,志在必得的他们连续得到了两个第二名,战队主力陈宇森在表达遗憾之余,也对国内比赛总体水平的提高感到高兴。参与过数十场比赛的北京某公司现场支持许学伟对记者提起一个印象颇深的“好玩的事儿”,2015年11月在上海举行的“东华春秋杯”,0ops战队可能出于锻炼队伍的目的派出新选手,但因战队在圈内知名度最高,反成主要攻击对象,从比赛开始就被其他各队一直攻击到比赛结束,最后竟然不幸成为“吊车尾”。许学伟能明显感觉到,下半年的比赛水平和激烈程度,比上半年已经有了大幅度的提升。
也许可以作为国内比赛水平逐步提升的一种例证,在2015年8月举办的DEFCON CTF大赛上,中国三支战队——百度蓝莲花、0ops和台湾HITCON战队——分获4-6位。而三支参赛队伍的绝大多数队员,其实都已经在XCTF联赛上经受了种种考验,这种经历在2014年之前是不可想象的。
还有一个赛制引起的连锁反应必须要提及,那就是新赛制引发的现场比赛可看性明显增强,现场直播逐步成为2015年网络安全竞赛的“标配”,这一点和2014年之前的类似于笔试场面的网络安全竞赛形成了鲜明的对比。记者在现场看到,在四川省高校安全竞赛的时候,原本每次比赛开始后各位领导老师们会趁空闲开会,但这次进行了现场直播,现场的攻防对抗和得分情况实时体现在会议室的大屏幕上,就算在中午吃饭时间,还有几个老师紧盯着屏幕不肯离开。ISC比赛期间3位年轻小伙子实现了全天约7个小时的不间断现场直播讲解,让比赛现场从始至终都围满了观战的人群。这些虽然不是比赛的核心点,但也给2015年的网络安全竞赛添加了一抹亮色——安全竞赛不仅能让内行看得目不转睛,也可以让“外行”觉得“有趣”,这无疑对网络安全技术的大众化普及意义颇深,甚至可以说对整个行业的发展都将起到积极的促进作用。
影响深:竞赛兴起促人才培养与选拔模式变革
之所以将2015年定义为“网络安全竞赛元年”,也是因为在这一年,安全竞赛这种形式真正开始形成了自己的产业链,深入影响到其他领域,特别是安全人才培养领域。
有数据显示,到2017年,国内信息安全人员缺口约150万,全球范围内约450万。而相对应的是每年我们的各类专业教育机构只能输出2万名左右的相关人员。在网络安全已经上升为国家战略的情况下,人才的稀缺问题就更加凸显——无论是中国、美国还是其他国家。在这样的背景下,各个机构和行业都有需求和动机用各种方式挖掘人才;而与培养人才的长期化相比,通过竞赛的形式快速选拔和发现人才,显然是更“高效”的方式。如李炜所说,“安全竞赛是有实际意义的,那就是发现人才。这也是今年安全竞赛井喷的重要原因。”
以iOS越狱扬名世界的盘古团队(犇众信息)CEO韩争光曾亲临11月“东华春秋杯”大赛来“求贤”,他在接受记者采访时说:“企业挑选人才,光看理论知识水平,没有检验学习成果,肯定是不行的。”不难看到,当下很多企业都更强调人才在实际业务中的动手能力和综合素质,这对于网络安全领域来说,更是尤为重要。而一个安全人才从学校毕业到工作,必须经历一系列历练,在不同的历练阶段都需要知道下一步要学什么、练什么,并进行足够的自我能力完善,才能真正为企业所用;而竞赛就可以看作是对安全人才各阶段性能力的一次综合检验,它能告诉我们什么方面还有短板,下一阶段的努力方向究竟为何。“我们希望在这个竞赛抗衡的过程中,让你知道你自己的不足,然后下一步你去找相应的资源去学。通过和高手过招,把每个必要的技术点和知识点串起来,形成自己的思考;有了这种思考,安全人才就有了不断进步的动力和目标。”永信至诚CTO张凯如是说。
在安全人才需求爆发而寻找人才没有更好的途径下,安全竞赛在攻防能力检验方面的成功,就自然而然地成了众多单位 “挖人”的重要途径。2015年8月,在全国暨四川省大学生网络安全竞赛上,记者遇到了七八个单位的代表前来观摩,他们的任务很简单——挖人。比赛中表现优异的人,就会早早被他们盯上,甚至在学业未完成之前就被高薪挖走。
有“抢”的就有“保”的。在9月举行的福建省第一届网络安全技能竞赛中,主办方开出的奖励条件堪称“震撼”:国家互联网应急中心福建分中心聘任部分优秀选手为福建省网络安全专家;各主办单位也为个人成绩排名前列的选手分别颁发了一系列耀眼的荣誉称号,包括“福建省技术能手”、“福建省金牌工人”、“省五一巾帼标兵”、“福建省青年岗位能手”等;同时,比赛的优胜选手一同获得相应的职业资格证书。所有这些荣誉,别说是安全领域,就算在IT领域都是难以想象的。
编后:我们需要什么样的安全竞赛?
2015年为什么会出现国内安全竞赛的“井喷”?在51CTO记者看来,这与中国战队在国际大赛中的积累其实关系不大,也并不是中国的安全人才的水平有了多大的提升;其中的关键,其实还是中国网络和信息安全人才需求“蓝海”的一个折射。竞赛热的背后,既反映了中国安全人才需求的紧迫性,也反映了大家对攻防人才两方面需求的真实现状。
换言之,推动中国安全竞赛水平、赛制和密度的提升,关键点并不是竞赛本身的题目难度有多高,而是它究竟能在多大程度上全面体现安全人才的素质并承担选拔的目的。
采访过程中,资深安全专家李炜的一番话给记者的印象颇为深刻。在他看来,现在的安全行业需要两类人:第一,实战能力较强的人才,对实际业务的理解稍弱,但是这类人是知道在受到网络攻击的时候要怎么去防,他是解决问题的人,这种人现在是企业特别急需的;第二种人是既懂安全又懂业务的,他的技术能力不如第一种人突出,但是他的知识面广,对企业业务非常了解,他有能力将基础技术应用到业务和工作当中,这种人不论是在中小企业、大型企业还是超大型企业都非常缺少的。在未来的安全竞赛中,这两种人才的竞争和选拔必须通过不同的方式选拔出来。
所以,我们可以想象,今后的安全竞赛可能会向不同的方向拓展。2015年中国安全竞赛的突破,其实是增加了检验选手攻防对抗能力、心理素质等衡量标准;而今后的安全竞赛,我们很有可能看到更加结合企业实际生产环境、案例场景等模拟实际情况的题目,让选手在接近于行业特征的环境中迎接挑战、检验水平。
我们大胆的预言:2016年,我们将迎来更贴近实战的安全竞赛。唯此,中国的安全竞赛才能越走越快、越走越深、越来越赢得企业的欢迎和认可!