為積極響應(yīng)國(guó)家網(wǎng)絡(luò)空間安全人才戰(zhàn)略,加快攻防兼?zhèn)鋭?chuàng)新人才培養(yǎng)步伐,實(shí)現(xiàn)以賽促學(xué)、以賽促教、以賽促用,推動(dòng)網(wǎng)絡(luò)空間安全人才培養(yǎng)和產(chǎn)學(xué)研用生態(tài)發(fā)展,由四川大學(xué)承辦,永信至誠(chéng)科技集團(tuán)股份有限公司提供平臺(tái)技術(shù)支撐,成都鋒衛(wèi)科技有限公司、博智安全科技股份有限公司、深信服科技股份有限公司、成都網(wǎng)域探行科技有限公司等贊助的第十七屆全國(guó)大學(xué)生信息安全競(jìng)賽—創(chuàng)新實(shí)踐能力賽全國(guó)總決賽將于2024年7月在四川成都舉行。
一、賽事安排
(1)比賽時(shí)間和地點(diǎn)
比賽時(shí)間:2024年7月20日至7月21日
比賽地點(diǎn):四川大學(xué)望江校區(qū)體育館(四川省成都市武侯區(qū)一環(huán)路南一段24號(hào))
注:參賽人員可持身份證從四川大學(xué)南門、西門和北門進(jìn)入,其中北門上午9點(diǎn)以后方可通行。
(2)參賽對(duì)象
全國(guó)8個(gè)分區(qū)賽一等獎(jiǎng)獲獎(jiǎng)隊(duì)伍。
(3)總決賽獎(jiǎng)項(xiàng)
1.總決賽成績(jī)排名第1-22名的隊(duì)伍獲得全國(guó)一等獎(jiǎng);
2.總決賽成績(jī)排名第23-46名的隊(duì)伍獲得全國(guó)二等獎(jiǎng);
3.總決賽成績(jī)排名第47名以后的隊(duì)伍獲得全國(guó)三等獎(jiǎng);
4.組委會(huì)根據(jù)各個(gè)分賽項(xiàng)比賽情況評(píng)選10-20名隊(duì)伍授予網(wǎng)絡(luò)安全挑戰(zhàn)創(chuàng)新單項(xiàng)獎(jiǎng)。
(4)賽事日程安排
表1 日程安排表
日期 | 時(shí)間 | 環(huán)節(jié) | 內(nèi)容 |
7月12日至7月16日 | 12日10:00 -16日18:00 | Build環(huán)節(jié) | 按照Build環(huán)節(jié)賽題要求完成創(chuàng)新應(yīng)用開(kāi)發(fā) |
7月19日 | 14:00-18:00 | 報(bào)到 | 1.選手前往報(bào)到處進(jìn)行身份驗(yàn)證(須攜帶本人有效身份證件、學(xué)生證及學(xué)校出具的在讀證明) 2.領(lǐng)取參賽相關(guān)資料 3.報(bào)到地點(diǎn):四川大學(xué)望江校區(qū)體育館 |
17:00-19:00 | 比賽網(wǎng)絡(luò)環(huán)境測(cè)試 | 選手前往比賽場(chǎng)地調(diào)試電腦設(shè)備及測(cè)試網(wǎng)絡(luò)連通性 | |
7月20日 | 8:00-8:30 | 選手簽到 | 1.選手簽到,復(fù)核身份,收取手機(jī) 2.選手確認(rèn)比賽網(wǎng)絡(luò)連通性 |
8:30-9:00 | 開(kāi)幕式 | 1.介紹出席開(kāi)幕式領(lǐng)導(dǎo)及嘉賓 2.全體起立,升國(guó)旗,奏唱中華人民共和國(guó)國(guó)歌 3.領(lǐng)導(dǎo)致辭 4.裁判長(zhǎng)宣讀比賽規(guī)則 5.裁判代表宣誓 6.參賽選手代表宣誓 7.宣布比賽開(kāi)始 | |
9:00-15:00 | 比賽環(huán)節(jié) | 1.CTF解題賽+AWDP攻防賽 2.午餐由組委會(huì)提供盒飯,用餐期間比賽正常進(jìn)行 | |
7月21日 | 8:00-14:00 | 比賽環(huán)節(jié) | 1.CTF解題賽+綜合滲透賽 2.午餐由組委會(huì)提供盒飯,用餐期間比賽正常進(jìn)行 |
14:30-17:00 | 論壇及頒獎(jiǎng) | 1.網(wǎng)安人才培養(yǎng)論壇 2.冠軍解題思路分享 3.頒獎(jiǎng)儀式 4.地點(diǎn):西五教演播廳 | |
17:30-19:00 | 晚宴 | 成都祥宇賓館 祥云廳 |
二、比賽方案
(1)賽制說(shuō)明
1.決賽采用半開(kāi)放命題形式的攻防競(jìng)賽模式,由 Build(創(chuàng)新安全應(yīng)用開(kāi)發(fā))、Break&Fix(攻擊、防御綜合對(duì)抗)兩個(gè)環(huán)節(jié)組成,其中Build環(huán)節(jié)占比總分10%,Break&Fix環(huán)節(jié)占比總分90%;
2.Build環(huán)節(jié)比賽時(shí)間為7月12日至7月16日,比賽形式為線上參賽,比賽內(nèi)容為模擬工控場(chǎng)景下的一組攻擊行為,并編寫(xiě)訪問(wèn)控制和密碼應(yīng)用邏輯來(lái)對(duì)抗這些攻擊行為,具體比賽細(xì)則參照官網(wǎng)Build環(huán)節(jié)創(chuàng)新應(yīng)用設(shè)計(jì)指南;
3.Break&Fix環(huán)節(jié)比賽時(shí)間為7月20日至7月21日,比賽形式為CTF解題賽+AWDP攻防賽+綜合滲透賽的混合賽制,從多個(gè)方面綜合考察個(gè)人的安全綜合技術(shù)能力及團(tuán)隊(duì)協(xié)作解決實(shí)際網(wǎng)絡(luò)安全問(wèn)題的能力。
4.CTF解題賽中,參賽隊(duì)伍通過(guò)與在線環(huán)境交互或文件離線分析,解決網(wǎng)絡(luò)安全技術(shù)挑戰(zhàn)并獲取題目預(yù)設(shè)的flag值從而獲取相應(yīng)分值。比賽時(shí)間為7月20日至7月21日,比賽第一天題目無(wú)法在第二天進(jìn)行解答。CTF模式題目涵蓋可信計(jì)算、工控安全、車聯(lián)網(wǎng)安全等,詳情見(jiàn)表2。
表2 CTF賽制考核內(nèi)容
題目類型 | 類型描述 |
可信計(jì)算 | 在模擬的協(xié)作AI計(jì)算場(chǎng)景下,利用可信計(jì)算技術(shù)保護(hù)數(shù)據(jù)流通過(guò)程安全,防范入侵者、竊聽(tīng)者和仿冒者的威脅,要求解題者通過(guò)正確配置系統(tǒng)安全策略保護(hù)AI計(jì)算環(huán)境的安全可信,并通過(guò)可信密碼技術(shù)確保AI計(jì)算環(huán)境與不同客戶間數(shù)據(jù)交互的安全可信。 |
工控安全 | 主要包括流量分析、無(wú)線電分析、組態(tài)分析、梯形圖等方向,并且還會(huì)涉及工控程序分析、固件分析和無(wú)線電頻譜、波形、編解碼分析等。 |
車聯(lián)網(wǎng)安全 | 主要包括車載網(wǎng)絡(luò)協(xié)議安全(如CAN協(xié)議、LIN協(xié)議、FlexRay協(xié)議和MOST協(xié)議)和車載通信系統(tǒng)安全等。 |
5.AWDP攻防賽將政府、企業(yè)、院校等單位的典型網(wǎng)絡(luò)結(jié)構(gòu)和配置進(jìn)行抽象,在競(jìng)賽平臺(tái)中設(shè)置對(duì)應(yīng)的模擬網(wǎng)絡(luò)環(huán)境用于參賽隊(duì)伍競(jìng)技比拼,是對(duì)傳統(tǒng)網(wǎng)絡(luò)攻防競(jìng)賽模式的改進(jìn)。在AWDP競(jìng)賽模式中,網(wǎng)絡(luò)環(huán)境更貼近真實(shí)的互聯(lián)網(wǎng)業(yè)務(wù)應(yīng)用場(chǎng)景,各參賽隊(duì)互為攻擊方和防守方,比賽的實(shí)時(shí)性和對(duì)抗性強(qiáng),能夠盡可能全面考察參賽隊(duì)伍的攻防兼?zhèn)渚C合能力,考核詳情見(jiàn)表3。比賽時(shí)間為7月20日,共計(jì)6個(gè)小時(shí)。
表3 AWDP賽制考核內(nèi)容
題目類型 | 類型描述 |
Web應(yīng)用服務(wù) | 涉及SQL注入、文件上傳、文件包含、命令執(zhí)行等漏洞,涉及PHP、Java、Python、Go等語(yǔ)言代碼審計(jì)問(wèn)題,以及針對(duì)Web漏洞的修補(bǔ)等。 |
二進(jìn)制網(wǎng)絡(luò)服務(wù) | 涉及Linux、嵌入式平臺(tái)應(yīng)用的二進(jìn)制逆向分析、漏洞挖掘、利用與修補(bǔ)技術(shù)等 |
6.綜合滲透賽是一種把真實(shí)的業(yè)務(wù)場(chǎng)景跟復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)抽象到比賽環(huán)境中的一種賽制。參賽選手需要扮演滲透測(cè)試團(tuán)隊(duì),按照參賽任務(wù)的要求,滲透到指定的網(wǎng)絡(luò)環(huán)境中獲取關(guān)鍵資產(chǎn),考核詳情見(jiàn)表4。比賽時(shí)間為7月21日,共計(jì)6個(gè)小時(shí)。
表4 綜合滲透賽賽制考核內(nèi)容
題目類型 | 類型描述 |
信息搜集 | 通過(guò)各種方法收集目標(biāo)系統(tǒng)的詳細(xì)信息,為后續(xù)滲透提供基礎(chǔ)。 |
外網(wǎng)打點(diǎn) | 利用目標(biāo)網(wǎng)絡(luò)外部入口的漏洞進(jìn)行初步滲透,獲得系統(tǒng)訪問(wèn)權(quán)限,建立立足點(diǎn)。 |
橫向移動(dòng) | 在已經(jīng)獲取訪問(wèn)權(quán)限的系統(tǒng)內(nèi)部,通過(guò)網(wǎng)絡(luò)進(jìn)行橫向擴(kuò)展,訪問(wèn)更多的主機(jī)和資源。 |
特權(quán)提升 | 在已控制的系統(tǒng)上,通過(guò)漏洞或配置錯(cuò)誤提升權(quán)限,從普通用戶變?yōu)楣芾韱T。 |
域滲透 | 針對(duì)目標(biāo)網(wǎng)絡(luò)的域環(huán)境,通過(guò)一系列技術(shù)手段獲取域內(nèi)的高級(jí)權(quán)限。 |
權(quán)限維持 | 在成功滲透目標(biāo)網(wǎng)絡(luò)后,使用后門、持久性腳本等手段維持長(zhǎng)期訪問(wèn)權(quán)限。 |
(2)單項(xiàng)計(jì)分規(guī)則
1. Build環(huán)節(jié)具體評(píng)分規(guī)則參照官網(wǎng)Build環(huán)節(jié)創(chuàng)新應(yīng)用設(shè)計(jì)指南;
2. CTF解題賽采用靜態(tài)積分機(jī)制進(jìn)行評(píng)分,獲取賽題中的flag并提交競(jìng)賽平臺(tái)而得分。CTF解題賽最終分?jǐn)?shù)計(jì)算公式如下:
最終得分=(當(dāng)前隊(duì)伍分?jǐn)?shù)/最高隊(duì)伍分?jǐn)?shù))*100分
AWDP攻防賽中,每個(gè)戰(zhàn)隊(duì)均擁有相同的起始分?jǐn)?shù),及相同配置的戰(zhàn)隊(duì)資源,每輪比賽題目積分隨攻守格局變化而改變,每輪次內(nèi)有效的攻擊和防御都會(huì)分別計(jì)分。參賽隊(duì)員需對(duì)給定的賽題環(huán)境進(jìn)行漏洞挖掘,提交正確的flag后,每一輪平臺(tái)會(huì)自動(dòng)幫助本隊(duì)攻擊其他環(huán)境,獲取積分,獲取的積分為動(dòng)態(tài)分?jǐn)?shù);參賽隊(duì)員上傳題目修補(bǔ)包經(jīng)平臺(tái)驗(yàn)證成功后,會(huì)獲得該題目的防御分。AWDP攻防賽最終分?jǐn)?shù)計(jì)算公式如下:
最終得分=(當(dāng)前隊(duì)伍分?jǐn)?shù)/最高隊(duì)伍分?jǐn)?shù))*100分
綜合滲透賽采用靜態(tài)積分機(jī)制進(jìn)行評(píng)分,參賽隊(duì)伍模擬攻擊者進(jìn)行場(chǎng)景接入、攻擊、滲透等操作,獲取賽題中的flag并提交競(jìng)賽平臺(tái)而得分。綜合滲透賽最終分?jǐn)?shù)計(jì)算公式如下:
最終得分=(當(dāng)前隊(duì)伍分?jǐn)?shù)/最高隊(duì)伍分?jǐn)?shù))*100分
(3)總成績(jī)計(jì)分規(guī)則
1. 選手以組隊(duì)形式(最多4人)參賽,成績(jī)按照?qǐng)F(tuán)隊(duì)成績(jī)計(jì)算。
2. 決賽采用加權(quán)算法,Build環(huán)節(jié)占比總分10%,Break&Fix環(huán)節(jié)占比90%。在Break&Fix環(huán)節(jié)中,CTF解題賽占比20%,AWDP攻防賽占比40%,綜合滲透賽占比40%,其具體計(jì)算方法如下:
總成績(jī)=Build環(huán)節(jié)成績(jī)*10%+(CTF解題賽成績(jī)*20% + AWDP攻防賽成績(jī)*40% + 綜合滲透賽成績(jī)*40%)*90%
初賽成績(jī)及各分區(qū)賽成績(jī)不納入決賽排名的參考依據(jù)。
(4)比賽期間注意事項(xiàng)
1.選手需自備連接網(wǎng)絡(luò)所需要的設(shè)備,如USB轉(zhuǎn)RJ45轉(zhuǎn)換器等工具;
2.需關(guān)閉瀏覽器的廣告攔截插件和網(wǎng)絡(luò)代理,保證平臺(tái)的正常訪問(wèn);
3.需使用Chrome或Firefox瀏覽器進(jìn)行答題,若使用其他瀏覽器請(qǐng)開(kāi)啟極速模式或兼容模式答題;
4.在網(wǎng)絡(luò)配置確認(rèn)階段和正式比賽期間須使用同一臺(tái)終端設(shè)備,防止因臨時(shí)調(diào)換設(shè)備導(dǎo)致網(wǎng)絡(luò)故障,影響答題。
三、比賽要求
(1)比賽前,所有參賽選手需將手機(jī)上交至組委會(huì)統(tǒng)一保管,賽后統(tǒng)一歸還;比賽期間,賽場(chǎng)將啟用信號(hào)屏蔽儀,無(wú)線鼠標(biāo)、無(wú)線鍵盤(pán)等設(shè)備或?qū)o(wú)法使用,參賽選手需根據(jù)自身需求自備有線設(shè)備;
(2)線下比賽期間,所有參賽選手需要對(duì)比賽所使用的電腦進(jìn)行屏幕錄制。參賽選手可根據(jù)不同機(jī)型及操作系統(tǒng)自行選擇錄屏軟件(推薦使用EVCapture錄屏軟件、OBS錄屏軟件、Mac自帶錄屏軟件QuickTime等),參賽選手需在賽前進(jìn)行下載安裝及調(diào)試,正式比賽時(shí)不再提供下載安裝及調(diào)試時(shí)間。使用部分錄屏軟件時(shí),錄制時(shí)長(zhǎng)過(guò)久會(huì)造成視頻數(shù)據(jù)無(wú)法及時(shí)寫(xiě)入硬盤(pán),使得內(nèi)存中堆積大量數(shù)據(jù),錄屏軟件申請(qǐng)不到新的內(nèi)存而停止,從而導(dǎo)致錄屏失敗。因此,請(qǐng)參賽選手根據(jù)不同軟件所需,每2小時(shí)或3小時(shí)保存一次錄屏文件,隨后馬上開(kāi)啟新的一次錄屏。除手動(dòng)保存錄屏文件外,比賽期間屏幕錄制不能中斷;
(3)比賽過(guò)程中禁止攻擊平臺(tái)或干擾其他選手正常比賽,禁止對(duì)題目場(chǎng)景進(jìn)行破壞;
(4)所有參賽隊(duì)員(同一隊(duì)伍的隊(duì)員除外)禁止使用即時(shí)通信軟件等渠道與其他人員進(jìn)行賽題內(nèi)容溝通交流;禁止不同隊(duì)伍之間合作或共享flag、hint等任何比賽相關(guān)信息;
(5)參賽選手不得私自搭建網(wǎng)絡(luò)代理將靶場(chǎng)環(huán)境進(jìn)行轉(zhuǎn)發(fā);
(6)比賽平臺(tái)采用嚴(yán)格的反作弊監(jiān)控機(jī)制,對(duì)于過(guò)程中發(fā)現(xiàn)作弊、串題或?qū)Ρ荣惼脚_(tái)惡意攻擊行為,將采取禁賽、直接取消比賽成績(jī)等處罰措施,情節(jié)嚴(yán)重者將由組委會(huì)通報(bào)參賽隊(duì)伍所在高校;
(7)參賽選手如有問(wèn)題,可向工作人員詢問(wèn);
(8)比賽過(guò)程中若發(fā)現(xiàn)意外情況,須聽(tīng)從工作人員管理和指揮。
四、違規(guī)處理
以下情況將視為違規(guī),裁判組將立即取消其參賽資格和比賽成績(jī),情節(jié)嚴(yán)重者將通報(bào)參賽隊(duì)伍所在高校:
(1)參賽報(bào)名信息作弊或造假;
(2)在參賽過(guò)程中出現(xiàn)違反相關(guān)法律、法規(guī)的行為;
(3)在參賽過(guò)程中發(fā)現(xiàn)或者被舉報(bào)認(rèn)定存在違反“比賽要求”的行為。
五、舉報(bào)、申訴與仲裁
(1)參賽選手可對(duì)其他隊(duì)伍的違規(guī)行為進(jìn)行舉報(bào),舉報(bào)須實(shí)名且提交佐證材料,由大賽組委會(huì)秘書(shū)處負(fù)責(zé)受理;
(2)參賽選手對(duì)成績(jī)或者評(píng)判有異議的,可向大賽組委會(huì)秘書(shū)處提出書(shū)面申訴報(bào)告,申訴報(bào)告應(yīng)明確申訴內(nèi)容且附有參賽隊(duì)伍指導(dǎo)教師及全體隊(duì)員簽名,否則申訴將不予受理;
(3)大賽組委會(huì)秘書(shū)處負(fù)責(zé)受理舉報(bào)和申訴,并報(bào)技術(shù)委員會(huì)仲裁,技術(shù)委員會(huì)做出的仲裁結(jié)果為最終決定。受理截止時(shí)間為比賽結(jié)束后2天內(nèi)。
六、聯(lián)絡(luò)信息
總決賽期間,具體活動(dòng)時(shí)間以官網(wǎng)公布為準(zhǔn)。
聯(lián)系人:
黃老師 四川大學(xué)(技術(shù)問(wèn)題) 電話:13208010264
李老師 四川大學(xué)(其他事務(wù)) 電話:18048537987
王老師 永信至誠(chéng)(平臺(tái)支持) 電話:15011466199
競(jìng)賽QQ群:979328132
教師QQ群:979376661
大賽秘書(shū)處郵箱:ciscn_scu_2024@163.com
附件:交通和住宿推薦
七、其他
本總決賽規(guī)程的最終解釋權(quán)歸第十七屆全國(guó)大學(xué)生信息安全競(jìng)賽—創(chuàng)新實(shí)踐能力賽組委會(huì)所有。
第十七屆全國(guó)大學(xué)生信息安全競(jìng)賽
——創(chuàng)新實(shí)踐能力賽競(jìng)賽組委會(huì)
(四川大學(xué)網(wǎng)絡(luò)空間安全學(xué)院 代章)
2024年7月
第十七屆全國(guó)大學(xué)生信息安全競(jìng)賽——?jiǎng)?chuàng)新實(shí)踐能力賽決賽參賽手冊(cè).pdf