2018年第十一届全国大学生信息安全竞赛由教育部高等学校信息安全专业教学指导委员会主办,由武汉大学、清华大学承办。本次竞赛的目的是为培养、选拔、推荐优秀信息安全专业人才创造条件,促进高等学校信息安全专业课程体系、教学内容和方法的改革,培养学生的创新意识与团队合作精神,普及信息安全知识,增强学生信息安全意识,提高学生的网络空间安全创新能力与实践技能。
本指南为学生、指导教师和高校如何参与本次竞赛中的“创新实践能力”类比赛提供具体指导。
2018年第十一届全国大学生信息安全竞赛创新实践能力赛分为在线初赛、分区半决赛和总决赛三个阶段赛事,其中在线初赛由赛宁网安、清华大学联合承办,赛宁网安提供竞赛平台支撑;分区半决赛分别由南开大学(华北赛区)、哈尔滨工业大学(东北赛区)、甘肃政法学院(西北赛区)、电子科技大学(西南赛区)、华中科技大学(华中赛区)、广东外语外贸大学(华南赛区)、东南大学(华东北赛区)、复旦大学(华东南赛区)承办;总决赛由清华大学承办,赛宁网安提供竞赛平台支撑。
一、学生参赛及报名
1、报名截止日期内具有正式学籍的全日制在校研究生、本科、专科生均可报名参赛。评审时,如发现参赛队员不符合参赛规定,将取消参赛队伍的参赛或获奖资格。
2、每支参赛队不超过10名学生(包括1名队长),每支参赛队限指定1名指导教师,每名学生限参加1支参赛队,各高校参赛队数不限,不可跨校组队。每个高校只能有成绩最好的一支队伍进入分区半决赛和总决赛阶段,高校在不同城市的校区视为不同高校,可分别组队参赛并入围到所在分区的半决赛,以及总决赛阶段。
3、报名:各参赛队伍学生通过竞赛网站注册(详细参赛步骤见网站),网址为http://www.ciscn.cn。
4、报名起止时间:2018年3月20日——2018年4月23日24时。
5、报名获得参赛资格并通过在线初赛入围分区半决赛后,各参赛队须将队伍信息上报本校教学管理部门,并得到赛事组织方审核通过后,方可进行后续比赛。
二、在线初赛
1、2018年全国大学生信息安全竞赛创新实践能力赛分在线初赛、分区半决赛和总决赛。凡成功报名取得参赛资格的参赛队均自动进入在线初赛。
2、在线初赛报名截止时间为2018年4月23日24时。各参赛队应在此时间前,在竞赛官网www.ciscn.cn完成网上报名,并提供充分参赛人员信息,以便参加初赛。
3、在线初赛时间:2018年4月28日9点——2018年4月29日9点。
4、在线初赛比赛网址为https://ciscn.xctf.org.cn,参赛队需提前使用官网报名信息注册登录后,按时参加比赛。
5、在线初赛由创新实践能力赛技术委员会命题,采用在线答题模式,题目覆盖多种创新实践能力基础知识与技能,参赛队需通过解题与技能实战获取得分,最终按总分在各分区排名,决出优胜入围分区半决赛的参赛队伍。
6、在线初赛题目分为创新实践基础知识题和创新实践基础能力题两大类。
7、创新实践基础知识题以单项选择题和多项选择题方式考察,包括50个单项选择题和50个多项选择题,单项选择题每题5分,多项选择题每题10分,采用限时答题方式,知识点覆盖移动安全、接入安全、主机安全、网络安全、办公安全、应用安全、数据库安全、云安全、密码学、法律法规、安全防护、安全运维等网络安全理论知识,每支赛队报名参赛队员均需参加作答,取赛队每位队员的平均分作为知识题的最终得分。
8、创新实践基础能力题以在线实操解题方式考察,覆盖Web安全、逆向分析、移动安全、二进制漏洞挖掘利用、密码学、安全编程等技能范围,每题初始分值500分,采用动态积分方式(即题目分值随解出队伍数量增加呈反比递减),分值范围为100-500分,并对前三支解出赛题的赛队进行动态分值5%、3%、1%的奖励。
9、在线初赛的赛中将采取比赛平台严格的反作弊监控机制,赛后要求各分区排名靠前潜在入围的赛队在8小时内提交解题报告由技术委员会进行审核,以确定比赛得分和排名,对于过程中发现比赛作弊或对比赛平台攻击行为,将采取禁赛、直接取消比赛成绩等处罚措施,情节严重者将通报赛队所在高校。
三、分区半决赛
1、参加在线初赛的高校赛队根据其在各自分区排名情况入围分区半决赛,分区半决赛入围名额根据本分区报名赛队数量和承办高校场地条件由各承办高校确定,在12支—24支范围之间。分区半决赛时,由竞赛承办方统一提供附近宾馆、饭店等相关信息,食宿及相关费用由参赛学校自行安排。
2、各分区对应省市情况如下:东北赛区(辽宁、吉林、黑龙江)、华北赛区(北京、天津、河北、山西、内蒙)、西北赛区(陕西、宁夏、甘肃、青海、新疆)、华中赛区(河南、湖南、湖北)、华东北赛区(山东、安徽、江苏)、华东南赛区(上海、浙江、福建、江西、台湾)、西南赛区(重庆、四川、云南、贵州、西藏)、华南赛区(广东、广西、海南、香港、澳门)。
3、每支参赛队从在线初赛名单中选择不超过6名队员参加现场比赛,其中场上允许不超过4名队员,2名队员在场边候补,可由指导老师或场上队长申请替补上场。
4、分区半决赛时间/地点:2018年5月24日——2018年6月24日期间,具体时间/地点/赛程安排另行通知给各分区入围半决赛高校赛队。
5、分区半决赛采用开放命题形式的创新实践能力挑战赛,由BuildIt(创新安全应用开发)、BreakIt(安全应用攻击破解)、FixIt(安全应用漏洞修补)三个环节构成。
6、BuildIt环节:赛队根据技术委员会发布的应用场景开发功能与特性需求,选择其中一个场景,开发出符合所要求功能与特性的安全应用,并预设创新性的网络安全挑战,构建出靶标环境,具体场景需求、功能接口、提交靶标要求由技术委员会另行发布。赛队提交靶标环境后,由技术委员会使用Checker程序进行测试,根据通过功能特性测试的比例,给出功能实现度评价。对参赛队伍提供的EXP脚本进行预设创新性网络安全挑战测试,以能成功获取平台方配置的Flag,给出EXP通过率评价。靶标环境进入候选靶标库,根据靶标环境不在本赛队所在分区使用、不在不同竞赛时段重复使用的原则,进行抽取使用。按照每个靶标环境被其他赛队解出的次数,给出能力区分度评价。赛队在BuildIt环节得分根据功能实现度、EXP通过率、能力区分度等多个维度进行综合计分。每个赛队与该分区赛队BuildIt环节最高分的比值 * BuildIt环节权重分,得到各赛队在BuildIt环节得分。
7、BreakIt环节:各赛队对抽取的靶标环境进行预设安全挑战研究与破解,尝试检测出靶标环境中的预设安全挑战或者未预期安全漏洞,攻破靶标环境获取Flag进行得分,每个靶标环境的初始分值500分,采用动态积分方式(即题目分值随解出队伍数量增加呈反比递减),分值范围为100-500分,并对前三支解出赛题的赛队进行动态分值5%、3%、1%的奖励。BreakIt环节各赛队得分,为各队在比赛时间内解出靶标环境安全挑战所得分的总和,与该分区赛队BreakIt环节最高分的比值 * BreakIt环节权重分,得到各赛队在BreakIt环节得分。
8、FixIt环节:FixIt环节开始后,将放开赛队对各自靶标环境实例的访问权限,各赛队对靶标环境进行漏洞修复。Fix环节结束后,由赛事组织方采用EXP和Checker脚本对队伍修补靶标进行测试,保证Checker通过(或不低于初始功能实现度)而EXP不成功,则为修补成功,否者修补失败。以每个队伍成功修补的靶标环境数量进行计分。FixIt环节各队伍得分,为各队在比赛时间内成功修补靶标环境得分的总和,与该分区赛队FixIt环节最高分的比值 * FixIt环节权重分,得到各队在FixIt环节得分。
9、分区半决赛各赛队排名按照BuildIt、BreakIt、FixIt三个环节得分和进行排名,BuildIt、BreakIt、FixIt三个环节各占权重比例现场公布。
10、分区半决赛入围总决赛名额分配规则:每个分区至少有两个总决赛出线名额(分区半决赛前两名入围总决赛)。其他总决赛入围名额,原则上根据(每个区域在线上初赛前N名的队伍数量–2)的相对比例进行分配(N为总决赛名额,目前初步确定为24支),由大赛组委会确定最后各个分区的总决赛额外入围名额数量。
11、分区半决赛的赛中不允许参赛队使用手机、即时通信软件等渠道与外界沟通交流,采取比赛平台严格的反作弊监控机制,赛后要求排名靠前潜在入围总决赛的赛队在1小时内提交解题报告由技术委员会进行审核,以确定比赛得分和排名,对于过程中发现比赛作弊或对比赛平台攻击行为,将采取禁赛、直接取消比赛成绩等处罚措施,情节严重者将通报赛队所在高校。
四、总决赛
1、总决赛时间/地点:2018年7月24日——2018年7月26日,具体时间/地点/赛程安排另行通知给总决赛入围高校赛队。总决赛时,由竞赛承办方统一提供附近宾馆、饭店等相关信息,食宿及相关费用由参赛学校自行安排。
2、每支参赛队从在线初赛名单中选择不超过6名队员参加现场比赛,其中场上允许不超过4名队员,2名队员在场边候补,可由指导老师或场上队长申请替补上场。
3、总决赛采用开放命题形式的攻防竞赛形式,由BuildIt(创新安全应用开发)、BreakIt&MonitorIt&FixIt(攻击、监测、防御综合对抗)、ShareIt(创新思路分享)三个环节构成。
4、BuildIt环节:要求及计分规则与分区半决赛相同。
5、BreakIt&MonitorIt&FixIt环节:参赛队对其他队伍的靶标环境进行研究破解,尝试检测出靶标环境中的安全挑战或者未预期安全漏洞,攻破靶标环境获取Flag进行得分,被攻破方相应减分,或者通过协议拒绝服务漏洞攻击使得靶标环境中服务不正常,使得被攻击方减分,平分给服务正常的赛队;参赛队对己方靶标环境所遭受的攻击流量PCAP文件进行监测分析,尝试找出对手攻击行为模式,并通过设置规则进行阻断,以避免被攻击失分;比赛最后阶段放开队伍对己方靶标环境的访问权限,赛队对靶标环境进行漏洞修复、后门识别移除等防御动作,同时各赛队继续攻防对抗操作。如赛队预设创新安全挑战的靶标环境未被任何其他赛队攻破获得Flag,则其初始分值一定比例将平分给所有赛队。综合对抗环节的具体计分规则比赛前一天发布。
6、ShareIt环节:参赛队提交创新安全挑战设计报告,分享创新安全挑战设计思路,以及综合环节创新性的思路技巧,接受评委和其他赛队质疑,由评委进行打分。该环节得分不计入竞赛分,只用于评选创新网络安全挑战单项奖。
7、总决赛各赛队排名按照BuildIt、综合对抗两个环节得分和进行排名,BuildIt、综合对抗环节各占权重比例比赛前一天发布。
8、总决赛的赛中不允许参赛队使用手机、即时通信软件等渠道与外界沟通交流,采取比赛平台严格的反作弊监控机制,赛中及赛后技术委员会将对比赛成绩进行审核,以确定比赛得分和排名,对于过程中发现比赛作弊或对比赛平台攻击行为,将采取禁赛、直接取消比赛成绩等处罚措施,情节严重者将通报赛队所在高校。
五、获奖
1、本届竞赛设一等奖、二等奖和三等奖。
2、总决赛设置一等奖证书+团队冠军奖杯 1项,一等奖证书+团队亚军奖杯1项,一等奖证书+团队季军奖杯1项,一等奖证书7项,其他进入总决赛的赛队获得二等奖。
3、分区半决赛排名在本分区入围名额数量内的赛队入围总决赛,争夺二等奖及以上奖项,未能入围但排名相对靠前的赛队获得三等奖,各分区赛队获得三等奖奖项数量根据本分区报名赛队数、入围总决赛赛队数由大赛组委会统筹确定,原则上赛队总共获奖比例不超过报名队伍的40%。
4、设置网络安全挑战创新单项奖,分区半决赛和总决赛每场不超过3项。
5、竞赛颁发统一的获奖证书,对获奖参赛队伍予以奖励,由教育部高等学校信息安全专业教学指导委员会负责颁奖事宜。
6、所有获奖队伍及名单将以多种方式公布,并报送相关高校,作为高校评定奖学金、推荐研究生等的参考。
7、获奖队伍将获邀参加2018年全国大学生信息安全竞赛颁奖大会。
六、指导教师
1、指导教师必须是参赛队伍所在高校在职教师。
2、指导教师可以指导学生进行组队、知识技能训练,但创新网络安全挑战设计、编程开发和现场参赛必须由参赛学生独立完成。
3、指导教师负责把握所指导学生参赛过程不违反比赛规则,不对比赛平台、系统和第三方服务进行攻击,以及不与国家法律、法规相违背。
4、组委会将评选优秀指导教师,并予以表彰。
七、参赛高校
1、各高校在收到参赛通知后,指定1位教师作为联络人,负责本校竞赛相关事宜,并在竞赛网站上下载“高校联络教师登记表”,将该教师信息填写完后,发送给组委会秘书处(含电子版和盖鲜章纸质版的扫描件)。
高校联络教师登记表.doc
2、各高校负责本校范围内的竞赛组织、选拔等工作,并对本校范围内参赛队伍及指导教师的真实性负责。
3、在公布分区半决赛参赛名单1周内,各高校须汇总本校参赛队伍名单,由联络人上报组委会秘书处(含电子版和盖鲜章纸版的扫描件)。组委会秘书处电子邮箱:ciscn_2018@163.com。
高校参赛队汇总表.doc
4、在公布参赛名单1周内,各高校通过银行汇款或邮局汇款方式交纳参赛费(标准为200元/队),同时将汇款回执扫描后发至组委会秘书处邮箱:ciscn_2018@163.com。
5、本次竞赛设立“2018年全国大学生信息安全竞赛优秀组织奖”,对在竞赛组织工作中表现出色和做出贡献的高校给予表彰。
6、各高校应从培养和选拔创新人才的角度出发,对获奖学生在奖学金评定等方面予以优先考虑。
7、禁止参赛高校弄虚作假。对违反国家有关法律、法规以及大赛章程的行为,组委会将取消相关奖项,并依照有关规定进行处罚。
八、联络信息
创新实践能力赛秘书处联系电话:010-62603252
联系人:
姜 蕾 老师(大赛官网报名咨询):15010740197
秘书处电子邮箱:ciscn_2018@163.com
报名咨询,总决赛联系人:清华大学,邱实老师,18611444464,qiushi@cernet.edu.cn
秘书处通信地址:北京市海淀区清华大学FIT大楼网络科学与网络空间研究院 CISCN2018竞赛秘书处 邱实老师 邮编: 100084
在线初赛联系人:赛宁网安 闫晓静老师 15010713617 yanxj@cyberpeace.cn
华中赛区联系人:华中科技大学 韩兰胜老师 18971274240 1998010309@hust.edu.cn
西南赛区联系人:电子科技大学 王瑞锦老师 18981972881 ruijinwang@uestc.edu.cn
华东北赛区联系人:东南大学 杨望老师 13770636963 wang.yang@seu.edu.cn
华东南赛区联系人:复旦大学 陈辰老师 13817798720 chenc@fudan.edu.cn
华南赛区联系人:广东外语外贸大学 谢柏林老师 15915859126 xiebailin96@126.com
华北赛区联系人:南开大学 王志老师 13920111530 zwang@nankai.edu.cn
东北赛区联系人:哈尔滨工业大学 翟健宏老师 13313692883 zhaijh@hit.edu.cn
西北赛区联系人:甘肃政法学院 丁要军老师 15393161911 dingyj80@163.com
九、其它
本参赛介绍的最终解释权归竞赛组委会。
2018年全国大学生信息安全竞赛组委会