为积极响应国家网络空间安全人才战略,加快攻防兼备创新人才培养步伐,实现以赛促学、以赛促教、以赛促用,推动网络空间安全人才培养和产学研用生态发展,由四川大学承办,永信至诚科技集团股份有限公司提供平台技术支撑,成都锋卫科技有限公司、博智安全科技股份有限公司、深信服科技股份有限公司、成都网域探行科技有限公司等赞助的第十七届全国大学生信息安全竞赛—创新实践能力赛全国总决赛将于2024年7月在四川成都举行。
一、赛事安排
(1)比赛时间和地点
比赛时间:2024年7月20日至7月21日
比赛地点:四川大学望江校区体育馆(四川省成都市武侯区一环路南一段24号)
注:参赛人员可持身份证从四川大学南门、西门和北门进入,其中北门上午9点以后方可通行。
(2)参赛对象
全国8个分区赛一等奖获奖队伍。
(3)总决赛奖项
1.总决赛成绩排名第1-22名的队伍获得全国一等奖;
2.总决赛成绩排名第23-46名的队伍获得全国二等奖;
3.总决赛成绩排名第47名以后的队伍获得全国三等奖;
4.组委会根据各个分赛项比赛情况评选10-20名队伍授予网络安全挑战创新单项奖。
(4)赛事日程安排
表1 日程安排表
日期 | 时间 | 环节 | 内容 |
7月12日至7月16日 | 12日10:00 -16日18:00 | Build环节 | 按照Build环节赛题要求完成创新应用开发 |
7月19日 | 14:00-18:00 | 报到 | 1.选手前往报到处进行身份验证(须携带本人有效身份证件、学生证及学校出具的在读证明) 2.领取参赛相关资料 3.报到地点:四川大学望江校区体育馆 |
17:00-19:00 | 比赛网络环境测试 | 选手前往比赛场地调试电脑设备及测试网络连通性 | |
7月20日 | 8:00-8:30 | 选手签到 | 1.选手签到,复核身份,收取手机 2.选手确认比赛网络连通性 |
8:30-9:00 | 开幕式 | 1.介绍出席开幕式领导及嘉宾 2.全体起立,升国旗,奏唱中华人民共和国国歌 3.领导致辞 4.裁判长宣读比赛规则 5.裁判代表宣誓 6.参赛选手代表宣誓 7.宣布比赛开始 | |
9:00-15:00 | 比赛环节 | 1.CTF解题赛+AWDP攻防赛 2.午餐由组委会提供盒饭,用餐期间比赛正常进行 | |
7月21日 | 8:00-14:00 | 比赛环节 | 1.CTF解题赛+综合渗透赛 2.午餐由组委会提供盒饭,用餐期间比赛正常进行 |
14:30-17:00 | 论坛及颁奖 | 1.网安人才培养论坛 2.冠军解题思路分享 3.颁奖仪式 4.地点:西五教演播厅 | |
17:30-19:00 | 晚宴 | 成都祥宇宾馆 祥云厅 |
二、比赛方案
(1)赛制说明
1.决赛采用半开放命题形式的攻防竞赛模式,由 Build(创新安全应用开发)、Break&Fix(攻击、防御综合对抗)两个环节组成,其中Build环节占比总分10%,Break&Fix环节占比总分90%;
2.Build环节比赛时间为7月12日至7月16日,比赛形式为线上参赛,比赛内容为模拟工控场景下的一组攻击行为,并编写访问控制和密码应用逻辑来对抗这些攻击行为,具体比赛细则参照官网Build环节创新应用设计指南;
3.Break&Fix环节比赛时间为7月20日至7月21日,比赛形式为CTF解题赛+AWDP攻防赛+综合渗透赛的混合赛制,从多个方面综合考察个人的安全综合技术能力及团队协作解决实际网络安全问题的能力。
4.CTF解题赛中,参赛队伍通过与在线环境交互或文件离线分析,解决网络安全技术挑战并获取题目预设的flag值从而获取相应分值。比赛时间为7月20日至7月21日,比赛第一天题目无法在第二天进行解答。CTF模式题目涵盖可信计算、工控安全、车联网安全等,详情见表2。
表2 CTF赛制考核内容
题目类型 | 类型描述 |
可信计算 | 在模拟的协作AI计算场景下,利用可信计算技术保护数据流通过程安全,防范入侵者、窃听者和仿冒者的威胁,要求解题者通过正确配置系统安全策略保护AI计算环境的安全可信,并通过可信密码技术确保AI计算环境与不同客户间数据交互的安全可信。 |
工控安全 | 主要包括流量分析、无线电分析、组态分析、梯形图等方向,并且还会涉及工控程序分析、固件分析和无线电频谱、波形、编解码分析等。 |
车联网安全 | 主要包括车载网络协议安全(如CAN协议、LIN协议、FlexRay协议和MOST协议)和车载通信系统安全等。 |
5.AWDP攻防赛将政府、企业、院校等单位的典型网络结构和配置进行抽象,在竞赛平台中设置对应的模拟网络环境用于参赛队伍竞技比拼,是对传统网络攻防竞赛模式的改进。在AWDP竞赛模式中,网络环境更贴近真实的互联网业务应用场景,各参赛队互为攻击方和防守方,比赛的实时性和对抗性强,能够尽可能全面考察参赛队伍的攻防兼备综合能力,考核详情见表3。比赛时间为7月20日,共计6个小时。
表3 AWDP赛制考核内容
题目类型 | 类型描述 |
Web应用服务 | 涉及SQL注入、文件上传、文件包含、命令执行等漏洞,涉及PHP、Java、Python、Go等语言代码审计问题,以及针对Web漏洞的修补等。 |
二进制网络服务 | 涉及Linux、嵌入式平台应用的二进制逆向分析、漏洞挖掘、利用与修补技术等 |
6.综合渗透赛是一种把真实的业务场景跟复杂的网络结构抽象到比赛环境中的一种赛制。参赛选手需要扮演渗透测试团队,按照参赛任务的要求,渗透到指定的网络环境中获取关键资产,考核详情见表4。比赛时间为7月21日,共计6个小时。
表4 综合渗透赛赛制考核内容
题目类型 | 类型描述 |
信息搜集 | 通过各种方法收集目标系统的详细信息,为后续渗透提供基础。 |
外网打点 | 利用目标网络外部入口的漏洞进行初步渗透,获得系统访问权限,建立立足点。 |
横向移动 | 在已经获取访问权限的系统内部,通过网络进行横向扩展,访问更多的主机和资源。 |
特权提升 | 在已控制的系统上,通过漏洞或配置错误提升权限,从普通用户变为管理员。 |
域渗透 | 针对目标网络的域环境,通过一系列技术手段获取域内的高级权限。 |
权限维持 | 在成功渗透目标网络后,使用后门、持久性脚本等手段维持长期访问权限。 |
(2)单项计分规则
1. Build环节具体评分规则参照官网Build环节创新应用设计指南;
2. CTF解题赛采用静态积分机制进行评分,获取赛题中的flag并提交竞赛平台而得分。CTF解题赛最终分数计算公式如下:
最终得分=(当前队伍分数/最高队伍分数)*100分
AWDP攻防赛中,每个战队均拥有相同的起始分数,及相同配置的战队资源,每轮比赛题目积分随攻守格局变化而改变,每轮次内有效的攻击和防御都会分别计分。参赛队员需对给定的赛题环境进行漏洞挖掘,提交正确的flag后,每一轮平台会自动帮助本队攻击其他环境,获取积分,获取的积分为动态分数;参赛队员上传题目修补包经平台验证成功后,会获得该题目的防御分。AWDP攻防赛最终分数计算公式如下:
最终得分=(当前队伍分数/最高队伍分数)*100分
综合渗透赛采用静态积分机制进行评分,参赛队伍模拟攻击者进行场景接入、攻击、渗透等操作,获取赛题中的flag并提交竞赛平台而得分。综合渗透赛最终分数计算公式如下:
最终得分=(当前队伍分数/最高队伍分数)*100分
(3)总成绩计分规则
1. 选手以组队形式(最多4人)参赛,成绩按照团队成绩计算。
2. 决赛采用加权算法,Build环节占比总分10%,Break&Fix环节占比90%。在Break&Fix环节中,CTF解题赛占比20%,AWDP攻防赛占比40%,综合渗透赛占比40%,其具体计算方法如下:
总成绩=Build环节成绩*10%+(CTF解题赛成绩*20% + AWDP攻防赛成绩*40% + 综合渗透赛成绩*40%)*90%
初赛成绩及各分区赛成绩不纳入决赛排名的参考依据。
(4)比赛期间注意事项
1.选手需自备连接网络所需要的设备,如USB转RJ45转换器等工具;
2.需关闭浏览器的广告拦截插件和网络代理,保证平台的正常访问;
3.需使用Chrome或Firefox浏览器进行答题,若使用其他浏览器请开启极速模式或兼容模式答题;
4.在网络配置确认阶段和正式比赛期间须使用同一台终端设备,防止因临时调换设备导致网络故障,影响答题。
三、比赛要求
(1)比赛前,所有参赛选手需将手机上交至组委会统一保管,赛后统一归还;比赛期间,赛场将启用信号屏蔽仪,无线鼠标、无线键盘等设备或将无法使用,参赛选手需根据自身需求自备有线设备;
(2)线下比赛期间,所有参赛选手需要对比赛所使用的电脑进行屏幕录制。参赛选手可根据不同机型及操作系统自行选择录屏软件(推荐使用EVCapture录屏软件、OBS录屏软件、Mac自带录屏软件QuickTime等),参赛选手需在赛前进行下载安装及调试,正式比赛时不再提供下载安装及调试时间。使用部分录屏软件时,录制时长过久会造成视频数据无法及时写入硬盘,使得内存中堆积大量数据,录屏软件申请不到新的内存而停止,从而导致录屏失败。因此,请参赛选手根据不同软件所需,每2小时或3小时保存一次录屏文件,随后马上开启新的一次录屏。除手动保存录屏文件外,比赛期间屏幕录制不能中断;
(3)比赛过程中禁止攻击平台或干扰其他选手正常比赛,禁止对题目场景进行破坏;
(4)所有参赛队员(同一队伍的队员除外)禁止使用即时通信软件等渠道与其他人员进行赛题内容沟通交流;禁止不同队伍之间合作或共享flag、hint等任何比赛相关信息;
(5)参赛选手不得私自搭建网络代理将靶场环境进行转发;
(6)比赛平台采用严格的反作弊监控机制,对于过程中发现作弊、串题或对比赛平台恶意攻击行为,将采取禁赛、直接取消比赛成绩等处罚措施,情节严重者将由组委会通报参赛队伍所在高校;
(7)参赛选手如有问题,可向工作人员询问;
(8)比赛过程中若发现意外情况,须听从工作人员管理和指挥。
四、违规处理
以下情况将视为违规,裁判组将立即取消其参赛资格和比赛成绩,情节严重者将通报参赛队伍所在高校:
(1)参赛报名信息作弊或造假;
(2)在参赛过程中出现违反相关法律、法规的行为;
(3)在参赛过程中发现或者被举报认定存在违反“比赛要求”的行为。
五、举报、申诉与仲裁
(1)参赛选手可对其他队伍的违规行为进行举报,举报须实名且提交佐证材料,由大赛组委会秘书处负责受理;
(2)参赛选手对成绩或者评判有异议的,可向大赛组委会秘书处提出书面申诉报告,申诉报告应明确申诉内容且附有参赛队伍指导教师及全体队员签名,否则申诉将不予受理;
(3)大赛组委会秘书处负责受理举报和申诉,并报技术委员会仲裁,技术委员会做出的仲裁结果为最终决定。受理截止时间为比赛结束后2天内。
六、联络信息
总决赛期间,具体活动时间以官网公布为准。
联系人:
黄老师 四川大学(技术问题) 电话:13208010264
李老师 四川大学(其他事务) 电话:18048537987
王老师 永信至诚(平台支持) 电话:15011466199
竞赛QQ群:979328132
教师QQ群:979376661
大赛秘书处邮箱:ciscn_scu_2024@163.com
附件:交通和住宿推荐
七、其他
本总决赛规程的最终解释权归第十七届全国大学生信息安全竞赛—创新实践能力赛组委会所有。
第十七届全国大学生信息安全竞赛
——创新实践能力赛竞赛组委会
(四川大学网络空间安全学院 代章)
2024年7月