9月19日, 2016年国家网络安全宣传周在武汉国际会议中心拉开序幕。当天下午,宣传周重点活动——网络安全博览会也在此地面向大众开放。
21日中午12点半,正是午休的时间,网络安全博览会会场的如织人群稍稍疏散了一些。诸多参展商趁这个时间略作修整,着手整理展台。但在网络安全博览会的一侧,却人头攒动,连连爆发出欢呼声。
这是首届网络安全技能大赛圆满收官时的一幕。大屏幕上积分表和排行榜被制作成星球大战效果,在一连串的积分炫酷爆表后,国内十支顶尖战队,在激战10个小时后,终于分出了胜负。清华大学的紫荆花战队以2800分夺冠,福州大学的ROIS战队2700分、北京邮电大学的天枢战队2600分,分获二、三名。
值得一提的是,首届网络安全技能赛是网络安全宣传周官方唯一认证的比赛,也是唯一一个在五大展区拥有独立展区的活动,由中央网信办、工业和信息化部、公安部指导,武汉市人民政府、武汉市网信办主办,北京永信至诚科技股份有限公司承办,启明星辰、360、盘古、锦行网络、赛宁网安、中软吉大支持。
一场应运而生的比赛
赵克衡是永信至诚品牌探索部副总监, “这是一场应运而生的比赛。”他如此评价道。他的感慨多半是由于这是民间网络安全技术大赛首次搬上国家级别的网络安全舞台,这无疑是国家重视网络安全人才培养的又一力证。
“安全竞技是选拔网络安全人才,提升网络安全技能最直接有效的方式。” 永信至诚品牌探索部总监付磊介绍到,2015年6月,网络空间安全被设为一级学科,全国有116所高校开设信息安全相关专业,每年大概可以输入2万名网络安全人才。“事实上每年网络安全人才需求在100万人左右,区区2万人远远不够。”更雪上加霜的是,仅仅依靠学校理论知识的学习,输出的人才缺乏实践经验,走向社会就职后,很难立刻满足企业需求,实际动手能力还需要再培养。
“通过网络安全技能竞技,学生可以将理论知识转变为实际动手能力,快速弥补自己的技术短板;企业可以挑选到更优秀的安全人才;高校可以吸收到更接地气的安全教材,一举三得,这是安全竞技比赛近几年盛行的原因。” 付磊补充了一句,“这也是永信至诚一直在坚持举办安全赛事的初衷。”
比答题更难的是出题
本次网络安全技能大赛采用CTF(capture the flag)赛制。CTF是网络安全技术人员之间进行技术竞技的一种比赛形式,源起于1996年DEFCON黑客大会,代替之前黑客们通过互相发起真实攻击切磋技艺的方式,约在2010年左右被引入中国,逐步规范,发展至今。
举办一场全国范围的安全技能比赛并非易事,其中最难的环节莫过于出题。记者采访了永信至诚高级安全研究员玉米,他是本次首届网络安全技能大赛出题组的专家,对此最有发言权。他告诉记者,题目既要与国际比赛安全技术最新趋势接轨,又要做到面面俱到,能够检测出选手的实际水平,如漏洞检测、逆向攻击、密码学、网络攻防、Web渗透等方面。
记者了解到,本次比赛设置了50-200不同的分值,从选题的类型、复杂度、答题时间做了不同的设置。他告诉记者,永信至诚有一套技术统计数据,对全国各地大学生各自擅长哪个领域都有比较清晰的了解,对于比赛的难度也可以做到精准控制,在这个基础上举办的比赛才能实现公平。
永信至诚资深安全架构师姜晓东刚刚结束了湖北卫视一场中学生网络安全知识竞赛的录制,他作为出题组组长业深感出题的艰难。“宣传周是面向大众的,因为出题不能过于专业,要吸引老百姓参与,就一定要设计出贴近大众生活的题目。”为了这场中学生网络安全知识竞赛,他和出题组一起不断修改优化考题,直到录制前的凌晨才最终敲定考题。“中学生对网络安全的理解不容小觑,通过这次比赛,我对中学生的网络安全意识有了更清晰的了解。”
在首届网络安全技能大赛的比赛间隙,记者采访到了大赛评委、锦行网络CTO 吴建亮,他刚刚给比赛的选手们带来几处选题提示。“因为比赛时间有限,选手不可能在这么短的时间内去分析整套系统,所以我们一方面对系统做了精简,另一方面给选手一些提示,帮助他们更好地完成答题。”
据悉,本次竞赛采用的是永信至诚的e春秋平台作为竞赛系统。作为国内第一个过程可视化的竞赛平台,e春秋简单的操作界面和赛程可视化的性能,给赛后选手的二次学习带来极大的帮助。
来自强者的解读
记者意外地在赛场上发现了诸葛建伟老师,他作为业内殿堂级的人物,同时也是清华大学蓝莲花战队的灵魂人物,本次以评委身份参与竞赛。正所谓强将底下无弱兵,清华大学的紫荆花团队成功夺冠,恐怕也在他的意料之中。
诸葛建伟告诉记者,他本人就是参加网络安全竞技比赛的受益者,所以也愿意带领着更多的人去参与到安全技能比赛中来。“一开始创建蓝莲花,是为了锻炼自己的动手能力,很多国际的竞赛时间都是24小时,在这个时间内,要承受住压力,快速进入状态,拼命地去思索如何利用所学知识去解决难题,这本身就是一种锻炼。”
这样的观点也被参赛的选手们认可。
本次获胜的清华大学紫荆花队队长裴中煜就认为磨练自己的技能是参赛最主要的目的。他认为,通过比赛,可以最直接地了解自己知识的薄弱环节,并且可以不断接触最新网络安全知识,提升自己的能力。
公安大学宫保鸡丁队是最近一两年内颇受瞩目的战队,队长刘昇然告诉记者,每次比赛结束后,可以看到其他优秀队伍的总结报告,这也是学习的一个捷径。在赛场结交更多的同行,同时让自己的战队为更多人所知,不仅是在提升个人能力,更是在无形中让更多的人对公安大学的网络安全实力有了新认识,可谓是双赢。
虽然这次首届网络安全技能大赛已经落幕,但是网络安全人才的培育还在不断进行。
启明星辰首席战略官潘柱廷先生在颁奖仪式前进行了简短致辞。大潘表示,作为i春秋讲师团成员和本次大赛的支持单位,他一直关注网络安全人才的成长、学科建设以及网络安全环境的建设。他希望参赛队员们可以将比赛的成果、经验、友谊带回学校,让更多人热爱CTF,热爱网络安全技术。
同时他也希望优秀的战队可以积极推动CTF事业的发展,分享经验,设计平台和题目,让网络安全学习和竞赛运动遍地开花。这样才能构筑中国网络安全事业的坚实基础。而启明星辰和承办单位永信至诚都会持续不断的为渴望学习和成长的人提供资源和帮助。
就如付磊所言:“网络安全单靠一个人、一家企业的力量无法应对。只有更多的人掌握了网络安全的专业知识、技能以及拥有网络安全意识,才能加速公众网络安全事业的发展,而网络安全竞赛则推动了这一进程,帮助我们更好的培养人才,选拔人才,也吸引企业、高校以及社会各界的力量共同捍卫信息时代的安全感。”