“人一定有漏洞”

“小姐姐，我真的特别想当空姐！”

受邀扮演“机场工作人员”的小田接连收了好几条看上去非常诚恳的求职消息，对方还发来了一张自称“特别符合条件”的照片。明知这可能是攻击者（红组）的伎俩，小田还是按捺不住好奇心，点开了照片，随后电脑立即失去了控制——显然是中了木马病毒。

小田所在的绿组，扮演的是关键基础设施业务团队和普通网民。按照剧情设定，她需要做出符合角色行为的判断。“假如我真的在机场工作，有人自称是机场的安全维修人员，说我的电脑有个高危漏洞需要打补丁，我可能真的会信！”她感叹，有些情况的确防不胜防。

用看似日常的对话降低他人的防备心，是4WebDogs队员何立人在比赛中惯用的手段。“一次、两次可能拒绝，但不可能一直都能做到那么严密的防守，所以到后面就可能成功”，思维跳跃、手速极快的他用这个方法攻破了不少节点，他相信“系统是人为操控的，而人一定有漏洞”。

显示赛况的大屏幕上，“机场”板块没有任何异样，依然闪烁着代表系统安全的白光，但平静的表面之下，整个机场的安全岌岌可危。不难猜测，红方的下一个目标是整个机场系统，一旦系统内的其它电脑被木马感染，白光也将变为代表系统瘫痪的红光。

白光代表系统安全，红光代表系统瘫痪。图/蒋琳

在真实世界中，何立人的行为叫做“社会工程学攻击”——利用人的好奇、贪婪、恐惧等弱点，进行欺骗和破坏。此前曾见诸媒体的“订单失效需要退款”“你儿子在我手里”等骗术，就是社会工程学攻击的典型。

目前，国内主流网络安全赛事多为CTF和 AWD 形式，前者可理解为人机对抗，更强调攻击和解题；后者可理解为人人对抗，参赛者攻击别人的同时，又要注意防守。但两种形式，本质上考验的都是参赛者的技术水平。融入社会工程学攻击、涉及心理因素的赛事，在国内并不多见。白组裁判大海说，“巅峰极客”大赛这样的设计，是为了更贴近真实的网络对抗。

比赛现场。图/主办方

“广诚市”32小时无眠

几乎在小田点开“求职者照片”的同一时间，负责运维和安全防御的蓝组就接到了机场系统的报警。在蓝组队员伍俊毓面前的电脑屏幕上，新增了一个发生在“机场”的安全事件，并标出了被感染的节点和IP地址。

蓝组队员伍俊毓的操作界面。图/蒋琳

他立刻查看操作日志寻找漏洞，根据事件类型、节点的重要程度选择紧急程度后，将这次安全事件报告给了扮演“网警”角色的紫组。在蓝组对漏洞进行安全加固的同时，紫组不断尝试对攻击方进行追踪溯源，被成功溯源的团队将遭到断网10分钟的处罚。

广诚市内部署着上千个节点。为了避开紫组的“追捕”，攻击者往往会先对小田这样的网民场景以及中小网络中的节点进行渗透，把他们作为“跳板”，多次转换身份，隐藏自己的真实信息，然后再入侵关键基础设施等大型系统。不过，在攻击者的一轮轮攻击中，防御方团队也不甘示弱，极为活跃的GeekPie、飞沙堰、Nu1L等红组团队均得到了数次处罚。

16日上午10点，经历了25个小时攻击，广诚市的12大场景中已经有多处亮起了“红灯”，市论坛、电视台、新闻网悉数瘫痪，只有地铁、交通、监管局的安全指数坚守在100%。

键盘和鼠标的哒哒声回响在近1000平米的赛场上。成都的秋天已有些许凉意，30支攻击方队伍和14支防御方队伍的你来我往，却让靶场机房的温度不断上升。每一支队伍的桌边都堆满了功能饮料、巧克力、泡面盒、饼干盒，队员们发红的双眼成为通宵鏖战的注脚。

参赛队伍的桌边堆满了泡面盒、饼干盒。图/蒋琳

上午11点，大赛组委会发布官方公告：将在一个小时后重置部分场景。很快，一个名为“赛事组委会”的账号出现在系统聊天室内，向绿组成员群发“12点重置机器安排说明.doc”文件。

不少绿组成员点开这个文件以了解重置详情。20分钟后，广诚市水力公司瘫痪。原来，“12点重置机器安排说明.doc”是一支队伍放出的病毒，成功感染了广诚市水力公司的所有节点。这一招，让裁判大海都暗叹“精彩”。

“城市安全指数：62%。风险预警等级：中危。承受攻击总流量：2千万次。平均溯源时间：2小时。溯源成功率：93%。”下午5点，红方团队纷纷退离广诚市，32个小时的城市保卫战结束，城市安全状态定格在“中危”。来自成都本地的4WebDogs、黑猫警长，以及来自湖南的剁椒鱼头三支战队分获比赛的第一、二、三名。

获得冠军的4WebDogs战队。图/主办方

比赛获奖名单。图/主办方

“让错发生在靶场”

“巅峰极客” 大赛身上，有两个值得注意的首次。其一，是2014年以来国家网络安全宣传周期间首次举办网络安全赛事。其二，是在国内网络安全赛事中首次推出城市网络空间仿真靶场。

有参赛者评价， “广诚市” 就像是网络空间的朱日和。与传统的网络安全赛事不同，靶场的角色不仅局限于红方与蓝方，网民、网络安全团队、厂商、网络运营者以及网络安全执法团队都参与其中，更贴近实战。

参与决赛的30支队伍，有24支是从3263支报名队伍中杀出重围，还有6支是来自360等知名企业的特邀队伍。“所有的选手都是比较尖端的安全从业者，整个网络场景里面是是充满着火药味的。”白组裁判孙义说。

参赛者凝神思考。图/主办方

赛事总控、永信至诚助理总裁付磊表示，比赛的效果已经超出了他此前的设想。 “在这次尝试过程中，我们很高兴地看到，所有团队都尽可能感受到了自己应尽的义务和责任，在防守方的协同、红蓝方对抗、对违规者的判罚上都得到了充分锻炼” ，他说。

付磊透露，广诚市内各大场景的安全等级与薄弱环节，是根据实际情形设计的。这也是为什么媒体和高校在比赛中最先被攻陷。另外，此次获得冠亚军的战队分别来自安全公司和公安局，是因为他们都积累了很多攻防一线上的实战经验，才能在比赛中厚积薄发。

“如今网络安全技术已经发展到了很高的层面，但在应用上依然有很多‘千年老洞’。比如去年一夜之间席卷了全球1/5系统的WannaCry，其实微软早就公布了这个补丁，但是很多行业和企业都没有更新”，付磊说，此次比赛的目的是希望让各行各业了解到，提升企业安全在于防微杜渐，要“把木桶的每一块短板都补齐”，才能提升整个安全系数。

大赛特邀嘉宾、中国科学院院士郑建华在接受媒体采访时表示，很高兴看到成都市和永信至诚一起，把关系到城市网络安全的多种角色聚集起来。城市靶场不仅是一场比赛，还是无数网络安全专家在网络攻防一线奋斗多年经验的结晶。“希望城市靶场可以让我们的时代生长出自己的网络安全免疫力。”郑建华说。

“把冠军留在成都”

“作为成都的参赛队伍，特别想把冠军留在成都。” 何立人这下如愿以偿了。94年的他如今在成都安全公司无糖信息工作，坦言很喜欢这座城市。16日晚的颁奖典礼上，这个从十几岁就自学网络安全的大男孩，从四川省网信办主任房方手中接过一等奖获奖证书，露出灿烂笑容。

四川省网信办主任房方与冠军战队4WebDogs，左一为何立人。图/蒋琳

事实上，本次大赛提供给网安人才的利好，远不只获奖证书这么简单。成都高新区党群工作部人才处处长王磊介绍，这次比赛算是为人才引进开通绿色通道，直连“金熊猫”项目评审，如果一、二、三等奖的获奖团队或项目在成都高新区做科技成果转化、注册公司，分别可以获得100万、80万、50万的启动资金支持。除此之外，还有其他配套政策支持，如场地资金补贴、人才公寓、市场开拓等非纯资金的支持。没有获奖的团队也可以参加项目评审，获得相应的资金支持。

据了解，成都高新区发布的“金熊猫”人才计划由提供投融资支持、提供科技成果转移转化支持、鼓励高层次人才创业企业可持续发展、鼓励海外人才离岸创新创业、支持校地合作培养使用人才、鼓励人才服务中介机构建设、提供人才住房保障等12个方面的50条政策构成。“金熊猫”项目一年评审两次，去年一共评审了303个项目，累计发放1.37亿的政策扶持。

颁奖典礼现场的“天府成都欢迎您”。图/主办方

永信至诚相关负责人认为，通过举办巅峰极客大赛、推出城市靶场，成都市政府创造了一个政府与安全企业、安全团队沟通交流的平台，有助于进一步吸引网络安全人才，提升成都本土网络安全的实力。其他城市也可以参考借鉴成都建立城市靶场的成功经验，打造自身的城市靶场，围绕城市靶场打造网络安全产业集群，提升城市的网络安全能力，促进经济、就业等多方面的快速发展。

本届大赛由四川省网信办指导，成都市人民政府主办，成都市网信办、成都高新区管委会和自主可控信息技术专委会承办，中国电子信息产业发展研究院、成都市网络安全创新服务中心、四川省教育厅易班建设和发展中心、四川大学网络空间安全学院、电子科技大学信息与软件工程学院、西南交通大学信息科学与技术学院和成都信息工程大学网络空间安全学院协办，北京永信至诚科技股份有限公司作为技术支持单位为大赛提供专业的赛事运营及平台保证。