精英汇聚 敬请期待 | 2018年“柏鹭杯”大学生网络空间安全精英赛即将来袭！

为全面贯彻落实党中央关于网络安全工作的重大决策部署

为培养、选拔、推荐优秀网络安全专业人才创造条件

提升学生网络安全技能水平

促进高等学校网络空间安全专业课程体系、教学内容和方法改革

增强高校间网络空间安全相关学科的合作交流

培养学生的创新意识与团队合作精神

普及网络安全知识

增强学生网络安全意识

11月24-25日

2018年“柏鹭杯”大学生网络空间安全精英赛

将在厦门举行

来自北航、北邮、武汉大学、南开大学

以及马来西亚等国内外高校的

近40支队伍将齐聚于此

战火一触即燃

你，期待吗？

重磅详情

不容错过

1

组织机构

指导单位：

教育部高等学校信息安全专业教学指导委员会

全国大学生创新创业实践联盟

公安部网络安全保卫局

福建省教育厅

福建省公安厅

厦门大学

中国致公党厦门市委员会

主办单位：

厦门大学教务处

厦门大学现代教育技术与实践训练中心

厦门大学信息科学与技术学院

厦门市美亚柏科信息股份有限公司

承办单位：

厦门安胜网络科技有限公司

厦门大学网络空间安全系

协办单位：

厦门服云信息科技有限公司

浪潮集团

厦门大学网络与信息中心

厦门市网络空间安全产业技术创新战略联盟

2

竞赛赛制

突围赛：CTF解题模式

突围赛采用解题模式，参赛团队通过攻击主办方提供的比赛环境中的靶机，或通过程序分析、破译密码等形式，获取比赛题目要求的内容，并将其提交到比赛答题系统中，从而夺得分数。

总决赛：AWD攻防模式

总决赛采用AWD模式比赛形式，比赛中每个队伍维护多台服务器，服务器中存在多个漏洞，利用漏洞攻击其他队伍进行得分，修复漏洞或添加防御策略可以避免被其他队伍攻击失分。

3

赛事科普

科普一下

CTF是什么？

CTF夺旗赛（Capture The Flag），是在网络安全技术人员之间进行竞技的一种比赛形式。

CTF源于1996年“DEFCON全球黑客大会”，以CTF替代原来黑客们发起“真实攻击”的技术比拼方式。2013年全球举办了超过五十场国际性CTF赛事，已经成为全球范围网络安全圈流行的竞赛形式。

作为CTF赛制的发源地，DEFCON CTF也成为了目前全球最高技术水平和影响力的CTF竞赛，堪称CTF赛场中的“世界杯” 。

01

解题模式 Jeopardy

技术与策略缺一不可

传统的Jeopardy解题模式只是CTF中的一种模式。参赛团队通过攻击比赛靶机、程序分析、密码破译等形式，获取比赛题目要求的内容，并提交至比赛答题系统中，从而夺得分数。

解题模式的流程十分简单，很容易让人误认为是单纯的实力比拼。

但实际上这是实力与策略并重检验的一种竞赛模式，这与其主流的“动态积分制”有关。

动态积分制是什么？

所有题目具有一样的标准分，实时分数在其基础上按一定权重变动，权重与答对题目队伍数量相关。答对队伍数越多，每个队伍从该题可获得的分值也随之降低。

换言之，难度越高的题目，对队伍能力的要求越高，解题所花费时间越多，答对的队伍数越少，分值则相对较高。

所以通过该模式选拔出的经常是“术业有专攻”的精英队伍，或者是“分类方向，各个突破”的全能型队伍。

02

攻防模式 Attack with Defence

参赛队伍在比赛设置的网络空间中，同时扮演着攻击者与防守者的角色，互相进行攻击与防守。

攻方，通过挖掘网络服务漏洞，并攻击对手服务来得分；守方，通过修补自身服务漏洞或添加防御策略，从而进行防御以避免丢分。

传统的AWD攻防模式通常是以一个SSH对应一个堡垒机，参赛者通过SSH登录自己的服务器，进行审计漏洞，从而修补漏洞进行防守，或者通过漏洞攻击其他队伍得到分数。

但也会有人制造恶意违规行为，如：

“直接关闭网络连接，关闭网络访问”

“过度修改堡垒机，导致网站不可正常访问”

“直接攻击答题平台，获取题目信息或篡改分数”

  ……

目前这些问题可通过规则、健康检查等方式进行规避。

但是，真正难以解决的不是这些违规行为，而是一些“不违规，却严重影响竞赛体验”的情况，如通过使用一次性脚本等现成工具，封堵赛场环境设置的堡垒机漏洞，导致环境失衡。

在某种意义上，这是单方面提前吹响了“终止哨”的行为，其他人又何来竞技体验、竞技趣味呢？

鉴于此，此次“柏鹭杯”增加WAF防御，化解了这个尴尬问题。

传统模式

“柏鹭杯”创新模式

“柏鹭杯”创新模式

Q1.创新模式在流程上有何不同？

Q2：对于比赛本身有什么影响呢？

保障了比赛的持久性，加重了比赛的考验性，提升了比赛的趣味性。

持久性：赛场环境的所有漏洞永续存在，保证所有队伍的可被攻击性；

考验性：所有防守均需在漏洞审计后，编写对应防御策略（正则表达式），配置于防火墙生效，考验对漏洞和对防守规则的理解，而非仅仅的工具使用。

 趣味性：平台对于防御策略设定了长度限制，不存在一条防御策略一劳永逸的情况，选手需要根据赛场情况，不断优化策略编写，增加竞赛博弈感。

赛事彩蛋

4

往届回顾

这场考验个人专业水平

团队协作能力的

2018年“柏鹭杯”大学生网络空间安全精英赛

即将开赛

谁将夺得最后的桂冠

让我们拭目以待！