网络安全学科竞赛的创新与发展

◎邬江兴 院士

邬江兴院士

1996 年，美国DEFCON 全球黑客大会首次推出了CTF 竞赛，这是一种在特定的平台上进行攻防竞技的方式，代表了之前黑客们通过互相发起真实攻击进行技术比拼的方式。随着进一步的发展，学科竞赛的字典中出现了网络安全学科竞赛这个名词。经过30 多年的发展，CTF 已经风靡全球并在中国取得了蓬勃发展，到2018 年我国的CTF 竞赛已经超过了1000 场。

在取得成绩的同时，我们也需要思考，网络安全学科竞赛繁华之后如何发展？如何与网络强国战略有机结合？如何促进产业的发展？这是我们需要在繁华之后进行的一些思考。

一、网络安全学科竞赛的模式回顾

目前网络安全学科竞赛有三大类，第一种是CTF 类，包括三种模式：一是解题模式。这是一种与ACM 和信息安全类竞赛比较类似的一种模式，以网络安全技术挑战题目的分值和时间来排名，通常用于在线选拔赛。二是攻防模式。比赛队伍互相进行攻击和防守，挖掘网络服务漏洞并攻击对手服务来得分，修补自身服务漏洞进行防御来避免丢分。三是机器对抗模式。比赛过程全自动，无任何人工干预，考验机器自动漏洞挖掘、自动软件加固、自动漏洞利用和自动网络防护水平，有点像人工智能导入以后的机器对抗。CTF 类模式的评分，国际比赛参考CTF-time 比赛的权重分数，国内比赛参考CTF-rank 评分。

第二种是漏洞挖掘类，它有两种模式：一是企业SRC。鼓励安全从业人员以及白帽黑客发现目标产品中存在的漏洞或安全问题，并给予一定奖金。二是国家漏洞库。最早是由美国国安局支持建立的CVE 漏洞库，旨在发现手机特别是大厂商各式各样的漏洞以加强美国国家网络安全。我国在今年建立了CNNVD、CNVD 等漏洞库。

第三种是实网攻防类。这类比赛依托实网组织模拟攻防演练，著名的赛事活动包括美国的网络风暴演习、贵阳大数据演练等。

二、网络安全学科竞赛面临的问题

一是过度商业化。国内CTF 竞赛目前过度商业化倾向有增无减，冠军奖金动辄上百万，有的比赛已经喊出了2000 万奖池。在高额奖金的诱惑下，有的竞赛虽然看似噱头不小，奖金诱人，但是赛后评价并不高，被人戏称为一次高规格的推介展示会。依靠高额奖金提高竞赛知名度的做法，已经失去了比赛的初心。

二是选手职业化。竞赛的功利性越来越浓，热衷于参赛且能够取得名次的趋于集中在少数几支战队。有人戏称不少CTF 竞赛已成为赛棍游走、串场的作秀场，再难见到脱颖而出的天才、黑马。

三是赛题同质化。国内不少的比赛只是为了比赛而比赛，政府相关部门、竞赛组织方在自身没有出题水平的情况下，委托机构出的题目往往是套路题，比赛的营养价值不高，比赛题目也毫无新意。千篇一律的竞技，一定程度上限制了对网络安全人才的选拔和培养。

四是办赛效益差。美国国防部曾经悬赏邀请民间高手挖掘五角大楼网站漏洞，当时的国防部长卡特说，这比花钱请人来做要划算得多。而我国的大部分网络安全竞赛，依旧停留在赛场之内，赛用脱节的问题比较严重。

五是缺乏国际化。以发现漏洞、利用漏洞为基本思路的比赛，不可避免在漏洞的问题上引起各方面的顾虑。漏洞现在已成为国家战略性资源，我们的选手不能把漏洞带到国际比赛上去，国外的选手也不能顺畅地到国内参加比赛。这种竞赛资源的限制，也将使竞赛的国际化水准大打折扣。

三、“强网杯”进行的有益探索

一是突出问题导向。“强网杯”之所以能够发展到如此规模，一个重要的原因是以网络安全领域发展的问题作为导向，更加注重实效，无论是线上赛、线下赛，都是为最后的精英赛服务，通过揭榜挂帅方式，查找信息系统的薄弱环节。

二是突出赛制创新。这一届“强网杯”挑战赛，在赛制上进行了较大创新，应该说把传统的CTF比赛模式全部综合在一起，做一个整体呈现。解题模式、攻防模式、挖掘模式、人工智能模式在赛事的不同阶段先后出现。

三是突出公平公正。作为一个国家级的比赛，公平公正是生命线。“强网杯”每队题目隔离并设置带有追溯水印的动态答案，设定了诸多反作弊、防串联的规则限制，线上赛发现了40 起作弊，2 支赛队被禁赛。这次比赛还引入国家公证，进一步推进竞赛的规范化。

四是突出军地融合。“强网杯”具有天然的军民融合基因，也是综合运用社会资源为网络国防建设服务的探索和示范，形成了地方政府、军队院校、行业机构、骨干企业良性互动的局面，为比赛的可持续发展奠定了基础。

四、网络安全竞赛模式的新选择

拟态防御国际精英挑战赛，今年是第二届，有29 支国际顶尖战队，包括国际顶尖队伍美国Shellphish，进行了20 个小时、290 余万次高强度攻击。比赛最大的亮点是建立一种人机对抗的网络安全竞赛模式，颠覆了传统人人对抗的CTF 竞赛模式，坊间比喻这是国际黑客大战。这一对抗模式我们称之为BWM 模式〔注：指包括黑盒（Black-box）测试、白盒（White-Box）测试、巅峰（Mountain）对决三个环节〕，创新网络安全竞赛的第四种模式，它不是解题游戏，不是挖洞，也不是水平认证，而是基于开放性众测的一种竞赛模式，提供全球众测，看看真金是否不怕火炼，而不是游戏。

这个竞赛的主体已经不是人与人之间，而是人与机器，所以它的对抗主题跟CTF 不同，它是人机对抗，关键是设置了一种合理的竞赛场景和竞赛规则，这就是网安界的AlphaGo。

竞赛的载体不再是题目，而是在用的COT 级网络设备，让全世界来检验。所以，BWM 赛一经亮相，参赛选手第一反应就是没有赛题了。COT 本身就是赛题，这是在检验一生二、二生三、三生万物的中国哲学思辨能力，有着无穷无尽的赛题，选手们依靠自己的思维发现题点，依靠自己的判断攻克赛题。

竞赛的目的不仅仅是选拔锻炼人才，而是赋予了科学度量网络安全性的新职能。传统基于人的网络安全竞赛，其核心是发现锻炼人才。BWM 赛巧妙地引入了众测的理念，大大提升了比赛的效益，使得度量网络产品的安全性成为了可能，290 万次攻击，无一得手。

竞赛的方式不再是一锤子买卖，而是常态化测试和集中式竞赛有机结合。这次拟态精英挑战赛同时发布了永久在线的内生安全实验场，从6月26 日开始，全天时的接受全球白帽黑客的有赏众测，也包括富有挑战精神的骇客。未来的比赛，特别是无差别的常态化竞赛，与集中式的白盒、黑盒BWM 竞赛相结合，鼓励更多有创意、有兴趣的技能人才参与。

竞赛的焦点不再是漏洞，而是推进网络空间命运共同体建设。在BWM 模式下，0day 漏洞后门已不是制胜法宝，甚至可以自己去预先布设一个，打造网络空间命运共同体就有了可靠的抓手，美国人不能再拿网络安全说事。

所以，我们的目的是要向世人证明，网络空间漏洞后门等潘多拉魔鬼是可以被制服的，技术的问题终究可以通过技术的方式来解决，网络空间命运共同体不再是乌托邦。

未来的网络安全学科竞赛将会多种模式共同发展，CTF 类的比赛也会不断改革，BWM 模式将作为非CTF 模式比赛走向前台，希望大家在实践中不断创新和丰富，推动各类比赛效益最大化，为建设网络强国来服务。