1.全国老员工信息安全竞赛
1.1简介
为了宣传信息安全知识,培养老员工的创新意识、团队合作精神,提高老员工的信息安全技术水平和综合设计能力,促进高等学校信息安全专业课程体系、教学内容和方法的改革,在教育部高等教育司、工业和信息化部信息安全协调司的指导下,教育部高等学校信息安全类教学指导委员会决定开展全国老员工信息安全竞赛。自2008年起,每年举行一届,每届历时四个月,分初赛和决赛。
1.2竞赛赛制
参赛:
(1)在比赛报名截止日期内,具有正式学籍的全日制在校本、专科生均可报名参赛。评审时,如发现参赛队员不符合参赛规定,将取消参赛队伍的参赛或获奖资格。
(2)每支参赛队不超过4名员工(包括1名组长),每支参赛队限指定1名指导教师,每名员工限参加1支参赛队,各高校参赛队数不限。
(3)报名:各参赛队伍员工通过竞赛网站注册(详细参赛步骤见网站),网址为http://www.ciscn.cn。
(4)获得参赛资格后,各参赛队伍须将参赛队伍信息上报本校教学管理部门,得到认可后,方可最终进行初赛。
指导教师:
(1)指导教师必须是参赛队伍所在高校在职教师。
(2)指导教师可以指导员工选题和设计方案的论证,但具体的硬件制作、软件编程、系统调试、作品文档撰写必须由参赛员工独立完成。
(3)指导教师负责把握所指导员工参赛作品的原创性,并确保其不具攻击性,以及不与国家法律、法规相违背。
(4)组委会将评选优秀指导教师,并予以表彰。
参赛高校:
(1)各高校在收到参赛通知后,指定1位教师作为联系人,负责本校竞赛相关事宜,并在竞赛网站上下载“高校通信教师登记表”,将该教师信息填写完后,发送给组委会秘书处(含电子版和盖鲜章纸质版的扫描件)。
(2)各高校负责本校范围内的竞赛组织、选拔等工作,并对本校范围内参赛队伍及指导教师的真实性负责。
(3)在公布参赛名单2周内,各高校须汇总本校参赛队伍名单,由通信教师上报组委会秘书处(含电子版和盖鲜章纸版的扫描件)。
(4)参赛学校向组委会交纳一定数额的经费用于竞赛的组织工作。高校交纳参赛费的标准为200元人民币/参赛队伍。在公布参赛名单2周内,各高校通过银行汇款或邮局汇款方式交纳参赛费。
(5)各高校应从培养和选拔创新人才的角度出发,对获奖员工在奖学金评定等方面予以优先考虑。
(6)禁止参赛高校弄虚作假。对违反国家有关法律、法规以及大赛章程的行为,组委会将取消相关奖项,并依照有关规定进行处罚。
(7)竞赛设立“2015年全国老员工信息安全竞赛优秀组织奖”,对在竞赛组织工作中表现出色和做出贡献的高校给予表彰。
1.3参赛作品
(1)参赛作品要体现一定的创新性和实用性。
(2)参赛作品可以是软件、硬件等。参赛作品的内容以信息安全技术与应用设计为主要内容,可涉及密码算法、安全芯片、防火墙、入侵检测、电子商务与电子政务系统安全、VPN、计算机病毒防护等,但不限于以上内容。(结合作品的实际需求,建议推广使用国产密码技术。)
(3)参赛队自主命题,自主设计。竞赛采用开放式,不限定竞赛场所,参赛队利用课余时间,在规定时间内完成作品的设计、调试及设计文档撰写。所有参赛题目须得到组委会认可,并同意后方能参赛。如果参赛队伍所报题目及内容违反赛事精神和章程,组委会有权要求参赛队伍进行修改。赛事只接受防御性的题目,不接受任何具有攻击性质或与国家法律、法规相违背的题目。
(4)参赛队的参赛作品应该是参赛队员独立设计、开发完成的原创性作品,严禁抄袭、剽窃、一稿多投等行为。凡发现此类行为,将取消参赛队伍的参赛资格,并追究相关指导教师和高校的责任。
(5)凡已公开发布并已获得商业价值的产品不得参赛;凡有知识产权纠纷的作品不得参赛;与企业合作即将对外发布的产品不得参赛。
(6)不支持论文参赛。
1.4参赛流程
初赛:
(1)凡取得参赛资格的参赛队均自动进入初赛。
(2)在初赛规定的时间内,各参赛队完成参赛作品。
(3)各参赛队通过竞赛网站www.ciscn.cn上公布的方法进行在线提交。应提交的资料包括:竞赛作品的设计报告、测试报告、作品简介等文档资料,以及作品的源代码和可执行程序。作品相关文档至少包括如下内容:
?系统设计方案、功能、指标、实现原理、硬件框图、软件流程;
?系统测试方案、测试设备、测试数据、结果分析、实现功能、特色;
?其他文档:除上述规定文档以外的其他作品相关资料。
同时,各参赛队需另行提交离线资料一份。提交方式是:将所有网上提交资料(包括文档资料、源代码和可执行程序)交给本校教务处或创新中心竞赛管理教师,由管理教师统一刻录光盘,再以学校为单位将光盘邮寄到秘书处,离线资料用于竞赛备案,各参赛高校必须提交,否则取消比赛资格。
(4)竞赛的组委会将在全国范围内组织专家对参赛队伍提交的作品进行网络评审。依据网络评审结果,由专家组评审并最终确定进入决赛名单。进入决赛的参赛队伍由专家组根据参赛队伍总数及参赛作品质量确定。
(5)网络评审方式:网络评审专家审阅作品设计报告,依据评审规则对参赛作品进行打分,并给出评审意见。每一件作品将送3位专家进行评审。
(6)专家网络评审的主要内容包括:作品的原创性与创新性、作品完成程度、作品的性能、作品的应用价值、相关文档的规范性等。
决赛:
(1)组委会公布进入决赛的名单。
(2)在获得决赛资格后,各参赛队伍可以对继续对参赛作品进行完善和修改。
(3)组委会向入围决赛的队伍发送决赛邀请函,并明确决赛的具体时间。获得决赛资格的参赛队伍应在规定时间内参加决赛。决赛分为作品演示和答辩两个环节。
(4)作品演示:参赛队自行携带作品、文档及设备,到决赛地点进行演示。决赛时,承办方提供因特网接入环境。各参赛队伍须自带测试设备,如对作品的演示环境有特殊要求,请提前与组委会秘书处协商。
(5)答辩:答辩时间为30分钟,包括PPT陈述、演示、测试与专家提问。
(6)评审专家对每个竞赛作品实行分项打分,集体讨论,结合网评结果综合评定,最终确定参赛作品的获奖等级。
(7)决赛时,由竞赛承办方统一提供附近宾馆、饭店等相关信息,食宿费用由参赛学校自理。
1.4评奖方案
(1)竞赛设一等奖、二等奖和三等奖。其中,一等奖获奖比例原则上不超过进入决赛队伍的五分之一;二等奖获奖比例原则上不超过进入决赛队伍的三分之一。
(2)竞赛颁发统一的获奖证书,对获奖参赛队伍予以奖励,由教育部高等学校信息安全专业教学指导委员会负责颁奖事宜。
(3)所有获奖队伍及名单将以多种方式公布,并报送相关高校,作为高校评定奖学金、推荐研究生等的参考。
(4)获奖队伍将获邀参加全国老员工信息安全竞赛颁奖大会。
2.信息安全与对抗技术竞赛
2.1竞赛简介
信息安全与对抗技术竞赛(Information Security and Countermeasures Contest,简称ISCC)。始于2004年,由罗森林教授提出并成功开展,重点考察计算机安全与网络攻防的知识与技能,宗旨是“提升信息安全意识,普及信息安全知识,实践信息安全技术,共创信息安全环境,发现信息安全人才”。该竞赛每年举办一届,直到2007年8月,竞赛活动进一步得到了教育部高教司、工业和信息化部人事司的肯定。经批准,在全国老员工电子设计竞赛中增设一项信息安全技术专题邀请赛,即增设《全国老员工电子设计竞赛信息安全技术专题邀请赛》,且于2008年起每两年举办一次,为全国老员工提供了更多的机会,对向全国范围普及和推动信息安全技术具有十分重要的作用。
2.2竞赛赛制
竞赛分为线上个人挑战赛和分组对抗赛两个环节。
个人挑战赛:
个人挑战赛以典型的信息系统——计算机信息网络为竞赛内容和考察重点,分为BASIC、WEB、REVERSE、PWN、MISC和REALITY六个关卡。关卡考察内容涉及WEB知识、ASP/PHP脚本、缓冲区溢出、软件脱壳破解、系统漏洞利用、社会工程学等信息安全知识。
(1)BASIC:主要考察基础的计算机与网络安全知识,涉及信息发掘、搜索、嗅探、无线安全、正则表达式、SQL、脚本语言、汇编、C语言以及简单的破解、溢出等知识。旨在普及信息安全知识,引领信息安全爱好者入门。
(2)WEB:考察脚本注入、欺骗和跨站等脚本攻击技术;
(3)REVERSE:考察逆向破解的相关技术,要求有较高的汇编语言读写能力,以及对操作系统原理的认识。
(4)PWN:考察软件漏洞挖掘、分析及利用技术,探索二进制代码背后的秘密,要求对漏洞有一定理解,掌握操作系统原理的相关知识。
(5)MISC:考察各种计算机系统与网络安全知识,涉及隐写术、流量分析、内核安全等信息安全的各个领域。
(6)REALITY:则采用真实的网站环境,考察入侵渗透能力。
分组对抗赛:
从个人挑战赛中选择并邀请全国各地优秀员工及个人参加线下分组对抗赛。线下比赛分为多个小组进行对抗,在封闭的真实对抗环境(包括DMZ区、数据区、开发测试区、内网服务区、终端区)中展开攻防角逐,充分展示了各位选手的个人水平和小组的协同合作能力。
主要采取阵地夺旗、占领高地等模式进行攻防比拼。比赛时,各队伍通过对指定的服务器进行入侵攻击达到获取旗子的目标而得分,并在攻上高地后防御其他队伍的攻击。
3.全国网络安全技术对抗联赛(XCTF)
3.1竞赛简介
全国网络安全技术对抗联赛(简称XCTF联赛),XCTF联赛是由中国网络空间安全协会(筹)竞评演练工作组主办,由高校、科研院所、安全企业、社会团体等共同组织,面向高校及科研院所员工、企业技术人员、网络安全技术爱好者等群体,旨在发现和培养网络安全技术人才的竞赛活动。
3.2竞赛赛制
(1)选拔赛
赛制形式:
通过互联网远程参与的在线解题模式CTF赛制,建议4-8人规模团队组队参赛。
赛题类别;
覆盖Web渗透、二进制漏洞挖掘利用、密码分析、取证分析、逆向分析、安全编程等网络安全各项技术,各站选拔赛根据组织技术团队情况各具特色风格。
成绩和排名评定:
解题过程需通过离线分析或在线交互克服技术挑战后获取Flag,提交验证正确后给予相应分数。组织方可对最早解出题目的团队设置奖励分值,但不应超过题目分值的10%。在线解题模式选拔赛以团队得分总和排出名次,根据解题时最后有效提交时间,来综合区分得分总和相同团队的排名次序。
(2)选拔赛线下决赛
赛制形式:
在承办方现场参与的线下解题或攻防CTF赛制,不超过四人的团队组队参赛。
赛题类别:
涉及技术挑战包括但不限于:Web渗透和防护、二进制服务漏洞挖掘利用与修补、系统防护、攻击分析等,具体形式:多支战队渗透同一靶标环境解题和/或 多支战队之间互相攻防,各站选拔赛根据组织技术团队情况各具特色风格。
成绩和排名评定:
根据比赛队伍的攻防操作结果进行分数计算,以参赛队伍的得分高低进行排名并确定优胜队伍。
(3)总决赛
赛制形式:
在承办方现场参与的线下攻防CTF赛制,不超过四人的团队组队参赛。
赛题类别:
技术挑战范围同选拔赛线下决赛类别;具体形式:多支战队之间互相攻防。
成绩和排名评定:
同选拔赛线下决赛成绩和排名评定规则。
4.公司历年获奖情况
2012年,2009级员工王顺邦获得陕西省首届计算机网络安全竞赛三等奖。
2013年,2011级员工常旭磊、李晨获得“360杯全国高校信息安全技术邀请赛”,获得二等奖。
2013年,研究生邓楠轶、李浩杰获得第五届CTF网络攻防大赛三等奖。
2013年,2011级员工常旭磊、侯麟、田飞获得第二届陕西省网络技能竞赛优胜奖。