虎符网络安全赛道采用线上初赛、线下决赛、PK系统众测挑战的赛制,旨在通过大赛模拟典型业务场景的高频威胁,采用“行业练兵+全国比武”的模式,在真实攻防场景中提升企业日常网络安全防护水平。
初赛
夺旗对抗拼速度动态积分抢“一血”
虎符网络安全赛道线上初赛采用目前国际上较为流行的信息安全竞赛形式CTF(“CapturetheFlag”,中译为“夺旗赛”),参赛团队之间需要通过程序分析等形式,率先从主办方给出的比赛环境中得到一串具有特定格式的字符串(一般称为Flag)或其他内容,并将其提交给平台,从而夺得分数。
据虎符网络安全赛道赛题专家组介绍,此次线上初赛题目包含Web漏洞与渗透(Web)、软件逆向(ReverseEngineering),二进制漏洞挖掘和利用(Pwn)、密码学(Crypto)与杂项等共计15道赛题。根据虎符网络安全赛道“国产之光——PK系统行业实战赛”大赛定位,相关赛题的考点设定均结合真实场景中的“PK系统”及其应用上的历史漏洞展开。
线上初赛的答题积分采用动态积分模式,即每道题目的分值将根据解出队伍的数量进行动态计分,每多一队解出,该题目的分值会随之下降。因此,能拿到“一血”很重要。线上初赛最终成绩总分由高至低排列,分数相同情况下,以提交时间为准,用时短者排名高于用时较长者。这也就要求每支参赛队伍要尽可能快于对手答出问题。
决赛
攻防交替决胜负贴近实战显竞技
线下决赛采用AWD赛制,即为人人对抗的攻防兼备模式(AWD,AttackwithDefense赛制)。比赛采用零和积分方式,每个战队都拥有相同的起始分数,挖掘网络服务漏洞并攻击对手服务取得flag获得积分,被攻击方扣减相应分数;修补自身服务漏洞进行防御来避免丢分,最终以得分高低直接分出胜负。
据虎符网络安全赛道赛题专家组介绍,AWD竞赛机制之下,战队得分情况跟技术水平高低的反馈非常直接,对抗性强,而且选手会在竞赛过程中衍生出各种各样的竞技技巧及战略战术,经验丰富和技术娴熟的选手可以以压倒性的技术收割分数,对于CTF选手而言十分具有竞技性,因此这类比赛深受选手欢迎。
线下决赛中,还将加入拥有自主知识产权的中国架构——“PK系统”的现场应用,利用典型漏洞构建题目场景,考验选手对于典型漏洞的分析、利用及修复的能力,以及实战攻防过程中的即时策略能力和团队配合能力。
在攻防兼备(AWD)模式之外,组委会还线下决赛阶段增设了PK系统众测挑战区域。决赛战队的最终得分将由攻防兼备(AWD)模式得分与PK系统众测挑战区域的得分共同构成,其中PK系统众测挑战区的分数权重高达35%。
虎符网络安全赛道赛题专家组介绍称,每支战队可以随时发起PK系统众测挑战,但是每支战队最多只能发起5次挑战,每次挑战只能派出1名队员。挑战者可选择任意一档难度的题目,按照排队顺序来进行挑战,每次挑战时间不超过30分钟。本区域挑战结果经过PK系统专家确认后,即可获取相应题目的基础分。如果专家认定参赛选手在漏洞利用方式、绕过思路等对抗过程环节中具有出彩的表现,还可以给予一定值的附加分!
PK系统众测挑战
期待现场切磋,验证绝对安全
据了解,战队选手想要在PK系统众测挑战赛中得分并没有那么容易。所谓PK系统,是指基于国产飞腾(Phytium)CPU和麒麟(Kylin)操作系统的技术和产业体系,被誉为“中国架构”。
虎符网络安全赛道PK系统专家组表示,在安全性方面,“PK系统”就是本质安全。“PK系统”通过在操作系统和CPU的最底层将安全能力植入,与应用系统结合,基于“PK系统”构建的一个强大的防护体系和整体解决方案。同时,通过人、技术、数据的结合保证系统的安全,并能够即时输出安全保障,如应急响应能力和相关问题处置能力。
据了解,为响应各企业、高校的需求,让更多实力队伍参与到比赛中,虎符网络安全赛道组委会决定将赛事的报名截止时间从3月23日延长到4月13日。有意参加大赛角逐的关键基础设施行业、重保单位以及各高校等战队仍可通过大赛官网或点击下方“阅读原文”报名参赛。
撰稿 虎符网络安全赛道工作组
审稿 方杰
编审 周杰
附件:
扫一扫在手机上查看当前页面