第十八屆全國(guó)大學(xué)生信息安全競(jìng)賽
(創(chuàng)新實(shí)踐能力賽)暨第二屆“長(zhǎng)城杯”
鐵人三項(xiàng)賽(防護(hù)賽)初賽技術(shù)文件
初賽技術(shù)文件主要由初賽考核大綱、賽題說(shuō)明和答題要求三部分組成,具體內(nèi)容如下。
一、考核大綱
考核大綱主要包括理論知識(shí)考核和實(shí)操技能解題,包含信息安全基礎(chǔ)知識(shí)、安全法律法規(guī)及標(biāo)準(zhǔn)規(guī)范、密碼學(xué)、WEB安全等7部分內(nèi)容。明確參賽選手應(yīng)具備的知識(shí)與技能,是大賽命題及參賽隊(duì)伍訓(xùn)練準(zhǔn)備的參考資料。
(一)信息安全基礎(chǔ)知識(shí)
考查選手對(duì)信息安全保障、信息安全管理、信息安全支撐技術(shù)、物理與網(wǎng)絡(luò)通信安全、計(jì)算環(huán)境安全、軟件安全開(kāi)發(fā)等信息安全基礎(chǔ)知識(shí)的掌握情況。
(二)安全法律法規(guī)及標(biāo)準(zhǔn)規(guī)范
考查選手對(duì)《網(wǎng)絡(luò)安全法》《個(gè)人信息安全保護(hù)法》《數(shù)據(jù)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例》等法律法規(guī)的了解程度。
考查選手對(duì)《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》《個(gè)人信息安全規(guī)范》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》等網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的了解程度。
(三)密碼學(xué)
考查選手對(duì)密碼學(xué)相關(guān)知識(shí)的掌握情況,包括編碼解碼、古典密碼學(xué)、RSA、AES、DES、SM2、SM4現(xiàn)代密碼學(xué)算法、量子密碼學(xué)等。
(四)WEB安全
考查選手對(duì)WEB應(yīng)用常見(jiàn)安全風(fēng)險(xiǎn)和網(wǎng)絡(luò)攻擊的掌握程度,包括通用框架和中間件漏洞、反序列化、SQL注入、文件包含、文件上傳、命令執(zhí)行、權(quán)限繞過(guò)、弱口令等常見(jiàn)安全問(wèn)題,及常用WEB安全檢測(cè)及對(duì)抗技術(shù)、漏洞挖掘與利用技術(shù)手段等。
(五)逆向工程
考查選手對(duì)Windows/Linux/Android等平臺(tái)的二進(jìn)制代碼的逆向分析和理解能力,主要包括多種反匯編、反編譯逆向工具的使用,脫殼、調(diào)試技巧,加解密、反調(diào)試和代碼混淆,惡意樣本分析等技術(shù)。
(六)PWN
考查選手對(duì)于二進(jìn)制漏洞的挖掘和利用能力,包括堆棧溢出、格式化漏洞等常見(jiàn)二進(jìn)制漏洞,選手需要分析并發(fā)現(xiàn)程序漏洞,并進(jìn)行利用。
(七)威脅檢測(cè)與網(wǎng)絡(luò)流量分析
考查選手對(duì)惡意代碼、程序、流量的識(shí)別、檢測(cè)分析和還原能力,包括網(wǎng)絡(luò)流量行為分析、流量還原解密、Web日志分析、惡意代碼痕跡檢測(cè),及惡意活動(dòng)進(jìn)程行為分析和數(shù)據(jù)恢復(fù)等。
初賽賽題數(shù)量及難度等級(jí)如下表所示。
表:初賽賽題數(shù)量及難度說(shuō)明
賽項(xiàng) | 考核階段 | 考核內(nèi)容 | 題目數(shù)量 | 難度等級(jí) |
初賽 | 理論知識(shí) | 信息安全基礎(chǔ)知識(shí) | 20道 | 初級(jí) |
法律法規(guī)及安全標(biāo)準(zhǔn) | 10道 | 初級(jí) | ||
實(shí)操技能 | 威脅檢測(cè)與網(wǎng)絡(luò)流量分析 | 4道 | 中高級(jí) | |
密碼學(xué) | 4道 | 中高級(jí) | ||
WEB安全 | 8道 | 中高級(jí) | ||
逆向工程 | 4道 | 高級(jí) | ||
PWN | 4道 | 高級(jí) |
命題組負(fù)責(zé)賽題的罐裝測(cè)試,并交由裁判組進(jìn)行審核確認(rèn)。賽題一經(jīng)確認(rèn),任何單位和個(gè)人不得再做修改。
三、參賽隊(duì)伍答題要求
初賽參賽隊(duì)伍答題要求如下:
(一)同一隊(duì)伍的參賽人員應(yīng)集中參賽,賽前開(kāi)啟視頻攝像頭,手持身份證和學(xué)生證原件完成身份確認(rèn);
(二)比賽期間,參賽隊(duì)伍全程開(kāi)啟房間攝像頭和個(gè)人計(jì)算機(jī)視頻攝像頭,非參賽人員(指導(dǎo)老師、領(lǐng)隊(duì)老師和非報(bào)名學(xué)生等)嚴(yán)禁出現(xiàn)在比賽場(chǎng)地;
(三)參賽隊(duì)伍嚴(yán)禁使用雙屏幕答題,嚴(yán)禁使用大模型等智能平臺(tái)輔助答題;
(四)參賽隊(duì)伍在參賽過(guò)程中不得對(duì)比賽平臺(tái)、系統(tǒng)和第三方服務(wù)進(jìn)行攻擊,所有比賽個(gè)人行為不得與國(guó)家法律、法規(guī)、公序良俗相違背;
(五)參賽選手應(yīng)全程開(kāi)啟電腦錄屏,每小時(shí)保存1份視頻文件,比賽結(jié)束后4小時(shí)內(nèi)須將錄屏視頻文件和CTF解題思路上傳網(wǎng)盤(pán)并提交賽務(wù)組存檔。
第十八屆全國(guó)大學(xué)生信息安全競(jìng)賽創(chuàng)新實(shí)踐能力賽暨第二屆“長(zhǎng)城杯”鐵人三項(xiàng)賽防護(hù)賽-技術(shù)文件.pdf