網絡安全學科競賽的創新與發展

◎鄔江興 院士

鄔江興院士

1996 年，美國DEFCON 全球黑客大會首次推出了CTF 競賽，這是一種在特定的平臺上進行攻防競技的方式，代表了之前黑客們通過互相發起真實攻擊進行技術比拼的方式。隨著進一步的發展，學科競賽的字典中出現了網絡安全學科競賽這個名詞。經過30 多年的發展，CTF 已經風靡全球并在中國取得了蓬勃發展，到2018 年我國的CTF 競賽已經超過了1000 場。

在取得成績的同時，我們也需要思考，網絡安全學科競賽繁華之后如何發展？如何與網絡強國戰略有機結合？如何促進產業的發展？這是我們需要在繁華之后進行的一些思考。

一、網絡安全學科競賽的模式回顧

目前網絡安全學科競賽有三大類，第一種是CTF 類，包括三種模式：一是解題模式。這是一種與ACM 和信息安全類競賽比較類似的一種模式，以網絡安全技術挑戰題目的分值和時間來排名，通常用于在線選拔賽。二是攻防模式。比賽隊伍互相進行攻擊和防守，挖掘網絡服務漏洞并攻擊對手服務來得分，修補自身服務漏洞進行防御來避免丟分。三是機器對抗模式。比賽過程全自動，無任何人工干預，考驗機器自動漏洞挖掘、自動軟件加固、自動漏洞利用和自動網絡防護水平，有點像人工智能導入以后的機器對抗。CTF 類模式的評分，國際比賽參考CTF-time 比賽的權重分數，國內比賽參考CTF-rank 評分。

第二種是漏洞挖掘類，它有兩種模式：一是企業SRC。鼓勵安全從業人員以及白帽黑客發現目標產品中存在的漏洞或安全問題，并給予一定獎金。二是國家漏洞庫。最早是由美國國安局支持建立的CVE 漏洞庫，旨在發現手機特別是大廠商各式各樣的漏洞以加強美國國家網絡安全。我國在今年建立了CNNVD、CNVD 等漏洞庫。

第三種是實網攻防類。這類比賽依托實網組織模擬攻防演練，著名的賽事活動包括美國的網絡風暴演習、貴陽大數據演練等。

二、網絡安全學科競賽面臨的問題

一是過度商業化。國內CTF 競賽目前過度商業化傾向有增無減，冠軍獎金動輒上百萬，有的比賽已經喊出了2000 萬獎池。在高額獎金的誘惑下，有的競賽雖然看似噱頭不小，獎金誘人，但是賽后評價并不高，被人戲稱為一次高規格的推介展示會。依靠高額獎金提高競賽知名度的做法，已經失去了比賽的初心。

二是選手職業化。競賽的功利性越來越濃，熱衷于參賽且能夠取得名次的趨于集中在少數幾支戰隊。有人戲稱不少CTF 競賽已成為賽棍游走、串場的作秀場，再難見到脫穎而出的天才、黑馬。

三是賽題同質化。國內不少的比賽只是為了比賽而比賽，政府相關部門、競賽組織方在自身沒有出題水平的情況下，委托機構出的題目往往是套路題，比賽的營養價值不高，比賽題目也毫無新意。千篇一律的競技，一定程度上限制了對網絡安全人才的選拔和培養。

四是辦賽效益差。美國國防部曾經懸賞邀請民間高手挖掘五角大樓網站漏洞，當時的國防部長卡特說，這比花錢請人來做要劃算得多。而我國的大部分網絡安全競賽，依舊停留在賽場之內，賽用脫節的問題比較嚴重。

五是缺乏國際化。以發現漏洞、利用漏洞為基本思路的比賽，不可避免在漏洞的問題上引起各方面的顧慮。漏洞現在已成為國家戰略性資源，我們的選手不能把漏洞帶到國際比賽上去，國外的選手也不能順暢地到國內參加比賽。這種競賽資源的限制，也將使競賽的國際化水準大打折扣。

三、“強網杯”進行的有益探索

一是突出問題導向。“強網杯”之所以能夠發展到如此規模，一個重要的原因是以網絡安全領域發展的問題作為導向，更加注重實效，無論是線上賽、線下賽，都是為最后的精英賽服務，通過揭榜掛帥方式，查找信息系統的薄弱環節。

二是突出賽制創新。這一屆“強網杯”挑戰賽，在賽制上進行了較大創新，應該說把傳統的CTF比賽模式全部綜合在一起，做一個整體呈現。解題模式、攻防模式、挖掘模式、人工智能模式在賽事的不同階段先后出現。

三是突出公平公正。作為一個國家級的比賽，公平公正是生命線。“強網杯”每隊題目隔離并設置帶有追溯水印的動態答案，設定了諸多反作弊、防串聯的規則限制，線上賽發現了40 起作弊，2 支賽隊被禁賽。這次比賽還引入國家公證，進一步推進競賽的規范化。

四是突出軍地融合。“強網杯”具有天然的軍民融合基因，也是綜合運用社會資源為網絡國防建設服務的探索和示范，形成了地方政府、軍隊院校、行業機構、骨干企業良性互動的局面，為比賽的可持續發展奠定了基礎。

四、網絡安全競賽模式的新選擇

擬態防御國際精英挑戰賽，今年是第二屆，有29 支國際頂尖戰隊，包括國際頂尖隊伍美國Shellphish，進行了20 個小時、290 余萬次高強度攻擊。比賽最大的亮點是建立一種人機對抗的網絡安全競賽模式，顛覆了傳統人人對抗的CTF 競賽模式，坊間比喻這是國際黑客大戰。這一對抗模式我們稱之為BWM 模式〔注：指包括黑盒（Black-box）測試、白盒（White-Box）測試、巔峰（Mountain）對決三個環節〕，創新網絡安全競賽的第四種模式，它不是解題游戲，不是挖洞，也不是水平認證，而是基于開放性眾測的一種競賽模式，提供全球眾測，看看真金是否不怕火煉，而不是游戲。

這個競賽的主體已經不是人與人之間，而是人與機器，所以它的對抗主題跟CTF 不同，它是人機對抗，關鍵是設置了一種合理的競賽場景和競賽規則，這就是網安界的AlphaGo。

競賽的載體不再是題目，而是在用的COT 級網絡設備，讓全世界來檢驗。所以，BWM 賽一經亮相，參賽選手第一反應就是沒有賽題了。COT 本身就是賽題，這是在檢驗一生二、二生三、三生萬物的中國哲學思辨能力，有著無窮無盡的賽題，選手們依靠自己的思維發現題點，依靠自己的判斷攻克賽題。

競賽的目的不僅僅是選拔鍛煉人才，而是賦予了科學度量網絡安全性的新職能。傳統基于人的網絡安全競賽，其核心是發現鍛煉人才。BWM 賽巧妙地引入了眾測的理念，大大提升了比賽的效益，使得度量網絡產品的安全性成為了可能，290 萬次攻擊，無一得手。

競賽的方式不再是一錘子買賣，而是常態化測試和集中式競賽有機結合。這次擬態精英挑戰賽同時發布了永久在線的內生安全實驗場，從6月26 日開始，全天時的接受全球白帽黑客的有賞眾測，也包括富有挑戰精神的駭客。未來的比賽，特別是無差別的常態化競賽，與集中式的白盒、黑盒BWM 競賽相結合，鼓勵更多有創意、有興趣的技能人才參與。

競賽的焦點不再是漏洞，而是推進網絡空間命運共同體建設。在BWM 模式下，0day 漏洞后門已不是制勝法寶，甚至可以自己去預先布設一個，打造網絡空間命運共同體就有了可靠的抓手，美國人不能再拿網絡安全說事。

所以，我們的目的是要向世人證明，網絡空間漏洞后門等潘多拉魔鬼是可以被制服的，技術的問題終究可以通過技術的方式來解決，網絡空間命運共同體不再是烏托邦。

未來的網絡安全學科競賽將會多種模式共同發展，CTF 類的比賽也會不斷改革，BWM 模式將作為非CTF 模式比賽走向前臺，希望大家在實踐中不斷創新和豐富，推動各類比賽效益最大化，為建設網絡強國來服務。