第一章 方案背景
1.1 政策分析
近幾年,隨著移動(dòng)互聯(lián)網(wǎng)、大數(shù)據(jù)、云計(jì)算、人工智能等新一代信息技術(shù)的快速發(fā)展,圍繞網(wǎng)絡(luò)和數(shù)據(jù)的服務(wù)與應(yīng)用呈現(xiàn)爆發(fā)式增長(zhǎng),豐富的應(yīng)用場(chǎng)景下暴露出越來(lái)越多的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和問(wèn)題,并在全球范圍內(nèi)產(chǎn)生廣泛而深遠(yuǎn)的影響,例如近幾年頻繁發(fā)生的勒索病毒攻擊、跨國(guó)電信詐騙、數(shù)據(jù)泄露、網(wǎng)絡(luò)暴力等事件,給各國(guó)的互聯(lián)網(wǎng)發(fā)展與治理帶來(lái)巨大的挑戰(zhàn)。
近幾年來(lái),我國(guó)政府推動(dòng)了一系列網(wǎng)絡(luò)安全管理的法律法規(guī)、標(biāo)準(zhǔn)和政策的落地。2015年7月1日,《國(guó)家安全法》公布施行,其中首次以法律形式提出“維護(hù)國(guó)家網(wǎng)絡(luò)空間主權(quán)”,并明確提出國(guó)家建設(shè)網(wǎng)絡(luò)與信息安全保障體系。2015年7月6日,《中國(guó)人民共和國(guó)網(wǎng)絡(luò)安全法(草案)》發(fā)布,于2017年6月1日正式實(shí)施。并且我國(guó)還先后提出或頒布了多個(gè)配套法律法規(guī)和規(guī)范性文件,包括《網(wǎng)絡(luò)空間國(guó)際合作戰(zhàn)略》、《國(guó)家網(wǎng)絡(luò)安全應(yīng)急預(yù)案》、《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法》、《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄》、《公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全威脅監(jiān)測(cè)與處置辦法》、《公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急預(yù)案》、《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等等。
隨著網(wǎng)絡(luò)安全相關(guān)政策推出,企業(yè)、高校和相關(guān)地方、部門(mén)組織開(kāi)展了不同形式和規(guī)模的網(wǎng)絡(luò)安全競(jìng)賽活動(dòng),在提升全社會(huì)網(wǎng)絡(luò)安全意識(shí)、促進(jìn)網(wǎng)絡(luò)安全技術(shù)交流、培養(yǎng)和發(fā)現(xiàn)網(wǎng)絡(luò)安全人才等方面發(fā)揮了重要作用。
1.2 高校現(xiàn)狀
網(wǎng)絡(luò)安全人才的培養(yǎng)是隨著網(wǎng)絡(luò)的快速普及而展開(kāi)的。2000年,我國(guó)高校開(kāi)始設(shè)置信息安全本科專業(yè),標(biāo)志著我國(guó)將網(wǎng)絡(luò)安全人才的培養(yǎng)正式納入高等教育體系中,目前各個(gè)高校采取的方式和方法也不盡相同,體現(xiàn)出不同的辦學(xué)思路。例如有的學(xué)校把網(wǎng)絡(luò)安全專業(yè)辦在安全工程系,以安全為教學(xué)內(nèi)容的重點(diǎn);有的學(xué)校把網(wǎng)絡(luò)安全專業(yè)辦在計(jì)算機(jī)系,以計(jì)算機(jī)和網(wǎng)絡(luò)知識(shí)為重點(diǎn);有的學(xué)校把網(wǎng)絡(luò)安全專業(yè)辦在數(shù)學(xué)系,以數(shù)學(xué)、物理等基礎(chǔ)知識(shí)為其側(cè)重點(diǎn);無(wú)論隸屬任何院系,各大院校輸出的網(wǎng)絡(luò)安全人才與企業(yè)所需的網(wǎng)絡(luò)安全人才都有一定的不對(duì)等性,這也直接導(dǎo)致了其不能直接勝任企業(yè)和其他用人單位的工作需要。
部分高校的網(wǎng)絡(luò)安全專業(yè)中現(xiàn)有基本的基礎(chǔ)實(shí)驗(yàn)室設(shè)備落后,課程內(nèi)容太過(guò)基礎(chǔ)。也沒(méi)有專業(yè)的競(jìng)賽系統(tǒng)。導(dǎo)致許多高校無(wú)法開(kāi)展課程體系中所要求的實(shí)驗(yàn),學(xué)生的學(xué)習(xí)只能是從理論到理論,極大的削弱了教學(xué)效果。網(wǎng)絡(luò)安全學(xué)科不僅具有很強(qiáng)的理論性,同時(shí)也具有非常強(qiáng)的實(shí)踐性,許多安全技術(shù)與手段需要在實(shí)踐過(guò)程中去認(rèn)識(shí)、去體會(huì)。當(dāng)前設(shè)有網(wǎng)絡(luò)安全專業(yè)的高校,能夠?yàn)閷W(xué)生提供實(shí)踐的機(jī)會(huì)很少。許多高校無(wú)法為學(xué)生提供實(shí)踐鍛煉的機(jī)會(huì),更不用說(shuō)建設(shè)網(wǎng)絡(luò)安全競(jìng)賽系統(tǒng)了,這樣培養(yǎng)出來(lái)的人才其解決實(shí)際問(wèn)題的能力可想而知。
第二章 建設(shè)理念
2.1 建設(shè)目的
2.1.1 推動(dòng)產(chǎn)教融合、校企合作
《國(guó)務(wù)院辦公廳關(guān)于深化產(chǎn)教融合的若干意見(jiàn)》國(guó)辦〔2017〕95號(hào)指出“用10年左右時(shí)間,教育和產(chǎn)業(yè)統(tǒng)籌融合、良性互動(dòng)的發(fā)展格 局總體形成,需求導(dǎo)向的人才培養(yǎng)模式健全完善,人才教育供給與產(chǎn)業(yè)需求重大結(jié)構(gòu)性矛盾基本解決,職業(yè)教育、高等教育對(duì)經(jīng)濟(jì)發(fā)展和產(chǎn)業(yè)升級(jí)的貢獻(xiàn)顯著增強(qiáng)”。
網(wǎng)絡(luò)安全競(jìng)賽賽項(xiàng)選取網(wǎng)絡(luò)安全行業(yè)企業(yè)真實(shí)場(chǎng)景,圍繞攻擊與防守設(shè)計(jì)競(jìng)賽內(nèi)容。通過(guò)本賽項(xiàng)推動(dòng)了課程內(nèi)容與職業(yè)標(biāo)準(zhǔn)對(duì)接,教學(xué)過(guò)程與生產(chǎn)過(guò)程對(duì)接,專業(yè)與產(chǎn)業(yè)對(duì)接,實(shí)現(xiàn)教育鏈、人才鏈與產(chǎn)業(yè)鏈、創(chuàng)新鏈有機(jī)銜接,促進(jìn)產(chǎn)教融合、校企合作、產(chǎn)業(yè)發(fā)展。實(shí)現(xiàn)以賽促教、以賽促學(xué)、以賽促改的教產(chǎn)合作賽事創(chuàng)新。
2.1.2 促進(jìn)專業(yè)建設(shè)與課程改革
根據(jù)教育部辦公廳關(guān)于印發(fā)《2019年教育信息化和網(wǎng)絡(luò)安全工作要點(diǎn)》的通知中要求,推動(dòng)數(shù)字資源服務(wù)普及、不斷擴(kuò)大優(yōu)質(zhì)教育資源覆蓋面、提升教育服務(wù)供給能力,以及教育部高等學(xué)校信息安全專業(yè)教學(xué)指導(dǎo)委員會(huì)頒發(fā)的《高等學(xué)校信息安全專業(yè)指導(dǎo)性專業(yè)規(guī)范》中指出的學(xué)生學(xué)習(xí)的基本網(wǎng)絡(luò)安全理論、技術(shù)、應(yīng)用等要求,通過(guò)網(wǎng)絡(luò)安全競(jìng)賽完善網(wǎng)絡(luò)安全領(lǐng)域課程建設(shè),使人才培養(yǎng)更貼近崗位實(shí)際,提升專業(yè)培養(yǎng)服務(wù)社會(huì)和行業(yè)發(fā)展的能力;通過(guò)網(wǎng)絡(luò)安全競(jìng)賽的建設(shè)可加快專業(yè)的發(fā)展,提高高校建設(shè)網(wǎng)絡(luò)安全專業(yè)的能力,提高教師的專業(yè)水平與素質(zhì),培養(yǎng)學(xué)生的專業(yè)技能和動(dòng)手實(shí)踐能力。
2.2 建設(shè)意義
競(jìng)賽平臺(tái)的建設(shè),旨在有效促進(jìn)高校網(wǎng)絡(luò)安全、信息安全等專業(yè)教學(xué)模式的探索性改良,推進(jìn)相關(guān)專業(yè)課程體系、教學(xué)內(nèi)容和教學(xué)方法等教學(xué)資源的質(zhì)量提升和豐富完善,進(jìn)而推動(dòng)網(wǎng)絡(luò)安全相關(guān)專業(yè)教育上層建筑體系質(zhì)的飛躍。
通過(guò)競(jìng)賽教學(xué)模式,能夠激發(fā)學(xué)員的自主學(xué)習(xí)熱情,樹(shù)立正確積極的職業(yè)價(jià)值觀和人生觀。聯(lián)合高校之間舉辦競(jìng)賽,可以提高實(shí)踐教學(xué)課時(shí)量,模擬網(wǎng)絡(luò)安全攻防的真實(shí)場(chǎng)景,提高學(xué)生的專業(yè)技能,并逐步實(shí)踐“理實(shí)一體化”、“做學(xué)教一體化”的教學(xué)模式,同時(shí)可以提高本校在本省甚至全國(guó)的知名度,打造網(wǎng)絡(luò)安全競(jìng)賽示范性品牌。
以網(wǎng)絡(luò)安全競(jìng)賽為紐帶,搭建校企合作的平臺(tái),提升高校網(wǎng)絡(luò)安全專業(yè)及其他信息技術(shù)類(lèi)專業(yè)學(xué)生的技能水平,滿足企業(yè)用人需求,實(shí)現(xiàn)行業(yè)資源、企業(yè)資源與教學(xué)資源的有機(jī)融合,使高校在專業(yè)建設(shè)、課程建設(shè)、人才培養(yǎng)方案和人才培養(yǎng)模式等方面緊跟行業(yè)及社會(huì)發(fā)展的需求,縮小學(xué)生能力與行業(yè)需求之間的差距,促進(jìn)專業(yè)教學(xué)建設(shè)和教學(xué)改革。
第三章 平臺(tái)介紹
網(wǎng)絡(luò)安全競(jìng)賽平臺(tái)支持CTF解題賽和AWD對(duì)抗賽兩種類(lèi)型的網(wǎng)絡(luò)安全競(jìng)賽形式。
CTF解題賽:CTF解題賽主要通過(guò)模擬各種業(yè)務(wù)應(yīng)用系統(tǒng)漏洞、構(gòu)建復(fù)雜網(wǎng)絡(luò)環(huán)境來(lái)訓(xùn)練學(xué)員的各項(xiàng)網(wǎng)絡(luò)安全技能、考核學(xué)員的CTF實(shí)戰(zhàn)能力,系統(tǒng)提供的目標(biāo)靶場(chǎng)為多個(gè)虛擬機(jī)組成的網(wǎng)絡(luò)環(huán)境,學(xué)員利用系統(tǒng)提供的滲透主機(jī),對(duì)目標(biāo)主機(jī)進(jìn)行攻擊,并獲得相關(guān)的FLAG信息。平臺(tái)包括各類(lèi)線上CTF比賽類(lèi)型題,如Web、密碼學(xué)、逆向、雜項(xiàng)、隱寫(xiě)、編程等,題目?jī)?nèi)容涵蓋有嗅探、掃描、密碼算法、防火墻、逆向工程、緩沖區(qū)溢出、拒絕服務(wù)攻擊、惡意代碼、SQL注入、網(wǎng)絡(luò)欺騙、日志清除、操作系統(tǒng)漏洞、操作系統(tǒng)安全策略配置、網(wǎng)絡(luò)設(shè)備攻擊與安全配置、常用DOS命令等知識(shí)點(diǎn)。
AWD對(duì)抗賽:AWD對(duì)抗賽在封閉的真實(shí)環(huán)境中展開(kāi)攻防角逐,可以充分的鍛煉和考察各選手的個(gè)人水平和小組間的協(xié)同合作能力,其核心思想是在確保防御的基礎(chǔ)上展開(kāi)進(jìn)攻,既相互攻擊、也承擔(dān)相互的攻擊。與傳統(tǒng)主流的網(wǎng)絡(luò)安全競(jìng)賽CTF(奪旗賽)的人機(jī)攻防不同的是這種攻防是人人攻防,這也是得名AWD(Attack With Defence,攻防兼?zhèn)洌┑挠蓙?lái)。在AWD的競(jìng)賽環(huán)境中,每支隊(duì)伍有一個(gè)小型的虛擬網(wǎng)絡(luò),在虛擬網(wǎng)絡(luò)的邊界上會(huì)放一個(gè)虛擬的防火墻,一臺(tái)防守機(jī)、一臺(tái)FLAG機(jī)。其中防守機(jī)上開(kāi)有有十幾個(gè)服務(wù)。在攻防對(duì)戰(zhàn)中,防守的一方要保護(hù)自己防守機(jī)的上的業(yè)務(wù)能夠正常打開(kāi),也就是開(kāi)設(shè)的端口要能夠正常訪問(wèn)。攻擊時(shí)則是要通過(guò)各種攻擊手段奪取對(duì)手FLAG機(jī)上的權(quán)限。相對(duì)于CTF競(jìng)賽,AWD競(jìng)賽更可以培養(yǎng)學(xué)員的思維跳躍能力、專業(yè)技術(shù)能力以及團(tuán)隊(duì)協(xié)作的能力。
3.1 架構(gòu)介紹
網(wǎng)絡(luò)安全競(jìng)賽平臺(tái)采用私有云系統(tǒng)建設(shè),基于私有云環(huán)境架構(gòu)建設(shè)網(wǎng)絡(luò)安全競(jìng)賽系統(tǒng),結(jié)合當(dāng)今網(wǎng)絡(luò)安全形勢(shì)、主流競(jìng)賽設(shè)備、攻防技術(shù)等方向?yàn)閷W(xué)校提供全面的競(jìng)賽環(huán)境。通過(guò)動(dòng)手實(shí)際操作,強(qiáng)化學(xué)員對(duì)網(wǎng)絡(luò)安全技術(shù)知識(shí)的理解,提高網(wǎng)絡(luò)安全的攻防能力。整個(gè)平臺(tái)的運(yùn)行依托于云計(jì)算系統(tǒng),將云計(jì)算系統(tǒng)的計(jì)算資源與各種教學(xué)資源整合在一起,向用戶提供各種服務(wù)。具體說(shuō)明如下:
底層IaaS層為整合各種IT資源,包括云資源計(jì)算設(shè)備、管理控制設(shè)備、資源調(diào)度設(shè)備資源。統(tǒng)一的云系統(tǒng)將這些設(shè)備資源進(jìn)行虛擬化管理,向上提供基礎(chǔ)服務(wù),包括分布式數(shù)據(jù)存儲(chǔ)、計(jì)算服務(wù)、負(fù)載管理和備份等。這一層使用虛擬化技術(shù),將分布式計(jì)算資源進(jìn)行整合,為實(shí)驗(yàn)室的運(yùn)行提供統(tǒng)一管理和使用。
中間的PaaS層為云系統(tǒng)業(yè)務(wù)調(diào)度中心,包括統(tǒng)一身份認(rèn)證管理、各種管理功能、競(jìng)賽考題資源管理、統(tǒng)一業(yè)務(wù)訪問(wèn)控制和數(shù)據(jù)監(jiān)控、采集和分析功能等。這一層將各種競(jìng)賽環(huán)境需要的開(kāi)發(fā)支持與管理工具、實(shí)驗(yàn)教學(xué)管理工具等有機(jī)地整合在一起,對(duì)上一層資源工具打包整合進(jìn)行按需分配。
SaaS層包含了向最終用戶提供的各種服務(wù)以及各種資源調(diào)用。方式為通過(guò)競(jìng)賽系統(tǒng),將競(jìng)賽考題和所需要的實(shí)驗(yàn)環(huán)境進(jìn)行整合為用戶進(jìn)行服務(wù)。調(diào)用資源的終端可以為PC、筆記本電腦、各種云終端和平板電腦。云系統(tǒng)的優(yōu)點(diǎn)是可以通過(guò)網(wǎng)絡(luò)進(jìn)行訪問(wèn),可在教室、辦公室、圖書(shū)館、寢室訪問(wèn)使用,可有效的提高系統(tǒng)使用率。
3.2 競(jìng)賽平臺(tái)
該模塊為此平臺(tái)的核心內(nèi)容,參賽選手在此進(jìn)行網(wǎng)絡(luò)安全競(jìng)賽。當(dāng)開(kāi)啟比賽模式后,參賽學(xué)員統(tǒng)一在此頁(yè)面下進(jìn)行登錄,登錄后,競(jìng)賽平臺(tái)頁(yè)面包含以下主要信息:比賽信息、通知欄、當(dāng)前成績(jī)、服務(wù)監(jiān)控、靶機(jī)信息、排行榜、FLAG提交等。
登錄界面
3.2.1 比賽信息
比賽信息展示出當(dāng)前賬號(hào)的基本信息情況,一是讓參賽選手了解比賽的注意事項(xiàng),二是讓選手驗(yàn)證身份是否正確。
3.2.2 通知欄
系統(tǒng)實(shí)時(shí)監(jiān)控全部競(jìng)賽選手的比賽狀態(tài),方便選手快速看到大賽整體的得分趨勢(shì)。
3.2.3 當(dāng)前成績(jī)
系統(tǒng)實(shí)時(shí)統(tǒng)計(jì)當(dāng)前學(xué)員的比賽排名、比賽得分及當(dāng)前步驟用時(shí)。讓學(xué)員了解自己在整場(chǎng)比賽中的信息。
3.2.4 服務(wù)監(jiān)控
服務(wù)監(jiān)控主要目的是展示參賽學(xué)員當(dāng)前虛擬機(jī)的狀態(tài),當(dāng)被其他隊(duì)伍攻擊后,會(huì)顯示被攻陷狀態(tài)。當(dāng)學(xué)員做了一些犯規(guī)操作后,服務(wù)會(huì)顯示異常,根據(jù)顏色來(lái)區(qū)分服務(wù)是否正常,可在后臺(tái)監(jiān)控中心中進(jìn)行設(shè)置,當(dāng)虛擬機(jī)出現(xiàn)異常情況,可以快速重置恢復(fù)到正常狀態(tài)繼續(xù)比賽。服務(wù)監(jiān)控方便學(xué)員實(shí)時(shí)查看虛擬機(jī)的狀態(tài),做好相關(guān)攻防工作。
3.2.5 靶機(jī)信息
靶機(jī)信息包含了整場(chǎng)比賽中所有隊(duì)伍虛擬機(jī)的IP信息,參賽選手可以根據(jù)其他隊(duì)伍的IP進(jìn)行攻擊以及防守。
3.2.6 排行榜
系統(tǒng)自動(dòng)統(tǒng)計(jì)每一支隊(duì)伍的總體得分情況,以名次從高到低的順序展示。
3.2.7 FLAG提交
當(dāng)參賽選手在攻陷他人服務(wù)器并找到FLAG之后,可以通過(guò)平臺(tái)的快速FLAG提交窗口進(jìn)行提交。
3.3 管理平臺(tái)
網(wǎng)絡(luò)安全競(jìng)賽平臺(tái)的建設(shè)采用B/S架構(gòu),用戶通過(guò)瀏覽器進(jìn)行訪問(wèn),且支持內(nèi)網(wǎng)與外網(wǎng)同時(shí)訪問(wèn)。平臺(tái)的管理端是針對(duì)前端系統(tǒng)設(shè)置的對(duì)應(yīng)的管理功能,便于競(jìng)賽過(guò)程中對(duì)前端系統(tǒng)的自定義管理。后臺(tái)管理包括5項(xiàng)功能,包括:控制臺(tái)、用戶角色、資源管理、拓?fù)鋱D管理、比賽管理功能。
3.3.1 控制臺(tái)
控制臺(tái)功能是幫助管理人員了解競(jìng)賽平臺(tái)的整體使用狀況,用戶分布功能是將平臺(tái)的人員按照班級(jí)進(jìn)行統(tǒng)計(jì),活躍用戶能夠統(tǒng)計(jì)學(xué)習(xí)時(shí)長(zhǎng)最多的選手,還可以通過(guò)折線圖監(jiān)控設(shè)備的使用情況,最后為了方便管理,可以通過(guò)此功能遠(yuǎn)程關(guān)閉服務(wù)器。
3.3.2 用戶角色管理
為滿足教師方便的管理班級(jí)學(xué)院,平臺(tái)提供用戶組織管理功能。其中用戶管理顯示平臺(tái)用戶的信息列表,管理端可對(duì)平臺(tái)用戶信息進(jìn)行編輯與刪除,根據(jù)信息進(jìn)行用戶模糊篩選,便于管理平臺(tái)用戶;角色管理顯示平臺(tái)現(xiàn)有角色,用戶可編輯新的角色并賦予角色權(quán)限;組織結(jié)構(gòu)管理顯示平臺(tái)現(xiàn)有的組織機(jī)構(gòu),管理端可以也可根據(jù)層級(jí)分步添加組織、學(xué)院、系別、專業(yè)、班級(jí),對(duì)同級(jí)別下的機(jī)構(gòu)進(jìn)行排序。
3.3.3 資源監(jiān)控中心
資源監(jiān)控中心是為用戶提供虛擬化管理功能,通過(guò)鏡像管理功能可以實(shí)現(xiàn)對(duì)比賽環(huán)境的自定義,自定義內(nèi)容包括操作系統(tǒng)類(lèi)型、內(nèi)置各類(lèi)軟件服務(wù)等信息;虛擬化資源管理功能可以查看比賽隊(duì)伍的虛擬機(jī)狀態(tài);可知制作監(jiān)測(cè)機(jī)的鏡像,自動(dòng)監(jiān)測(cè)學(xué)員虛擬機(jī)狀態(tài),典型監(jiān)測(cè)內(nèi)容包括文件是否存在、文件內(nèi)容是否正確、服務(wù)狀態(tài)是否正常等內(nèi)容。
3.3.4 拓?fù)鋱D管理
用戶可使用網(wǎng)絡(luò)拓?fù)涔芾砉δ芡蟿?dòng)左側(cè)功能圖標(biāo)并設(shè)置相應(yīng)的信息來(lái)創(chuàng)建一個(gè)新的拓?fù)鋱D,拓?fù)鋱D內(nèi)容包括比賽的基礎(chǔ)網(wǎng)絡(luò)、操作機(jī)、路由器、交換機(jī)、服務(wù)器等相關(guān)內(nèi)容,并且可根據(jù)用戶的需求修改交換機(jī)的網(wǎng)絡(luò)地址池,分配參賽學(xué)員的IP地址,也可修改操作機(jī)的虛擬機(jī)鏡像、內(nèi)存、硬盤(pán)等實(shí)例內(nèi)容。用戶并且可以修改FLAG值以及FLAG在虛擬機(jī)生成的位置,系統(tǒng)會(huì)自動(dòng)在相應(yīng)的虛擬位置生成FLAG并自動(dòng)刷新確保比賽的多輪次性。
3.3.5 比賽管理
? 隊(duì)伍信息管理
管理員可在隊(duì)伍信息管理中把已有用戶進(jìn)行隊(duì)伍分配,創(chuàng)建成功后以列表的形式展示。
? 監(jiān)控中心
競(jìng)賽系統(tǒng)內(nèi)置比賽專用監(jiān)測(cè)機(jī),管理員可對(duì)全部參賽虛擬機(jī)的各項(xiàng)服務(wù)和內(nèi)容進(jìn)行監(jiān)控和檢測(cè),當(dāng)參賽虛擬機(jī)中任何一項(xiàng)服務(wù)存在異常時(shí),專用監(jiān)測(cè)機(jī)發(fā)出報(bào)警機(jī)制,并會(huì)在賽參學(xué)員界面和后臺(tái)界面進(jìn)行可視化展示,系統(tǒng)和管理員可自動(dòng)和手動(dòng)進(jìn)行獎(jiǎng)懲機(jī)制,用戶可以根據(jù)比賽需求設(shè)置比賽專用監(jiān)測(cè)及的檢測(cè)服務(wù)內(nèi)容如:Tomact服務(wù)、HTTP服務(wù)、數(shù)據(jù)庫(kù)服務(wù)、網(wǎng)絡(luò)協(xié)議、FLAG初始值、FLAG初始目錄等相關(guān)內(nèi)容。
? 測(cè)試中心
支持對(duì)整個(gè)比賽的環(huán)境進(jìn)行自動(dòng)化測(cè)試,設(shè)定好選手的網(wǎng)絡(luò)地址、路由狀態(tài)、虛擬機(jī)信息后,便可進(jìn)行所有網(wǎng)絡(luò)的自動(dòng)化測(cè)試,測(cè)試完畢后展示結(jié)果,如遇問(wèn)題,可進(jìn)行自動(dòng)提示
? FLAG刷新監(jiān)控
可實(shí)現(xiàn)FLAG變化的自動(dòng)監(jiān)控,實(shí)時(shí)監(jiān)每一輪控每個(gè)隊(duì)伍的FLAG信息,如遇特殊情況,可進(jìn)行手動(dòng)刷新;CTF解題模式,可實(shí)現(xiàn)每個(gè)隊(duì)伍的同一題目的不同F(xiàn)LAG值,以防止作弊。
? 得分規(guī)則
按照比賽需求,系統(tǒng)實(shí)現(xiàn)了提交得分和按輪得分,提交得分機(jī)制是只要參賽隊(duì)伍拿到FLAG就會(huì)給予響應(yīng)分?jǐn)?shù)和輪次無(wú)關(guān),按輪得分的機(jī)制是在一輪比賽中,對(duì)于同一Falg,本輪比賽結(jié)束后,隊(duì)伍本輪得分為此FLAG總分值除以拿到此FLAG的隊(duì)伍總數(shù),兩種得分規(guī)則可保證比賽成績(jī)的合理性;
? 比賽環(huán)境
在新建比賽時(shí),比賽環(huán)境功能需要管理員來(lái)設(shè)置,對(duì)于本次比賽所用到的虛擬機(jī)直接映射到資源管理中心下的鏡像管理,選擇對(duì)應(yīng)的環(huán)境,同時(shí)可以對(duì)虛擬機(jī)的配置進(jìn)行調(diào)整,確保選手操作體驗(yàn)效果良好。像展示環(huán)境只提供參考信息可以設(shè)置用戶無(wú)權(quán)限操作,避免破壞比賽提示信息。
? 得分統(tǒng)計(jì)
為了方便統(tǒng)一查看全部隊(duì)伍的得分情況,紅亞科技研發(fā)得分排行榜功能,與之前的得分榜不同的是,該功能能夠展示全部隊(duì)伍的每一步得分情況,榜單縱向?yàn)楦鲄①愱?duì)伍,橫向是全部考核體系的步驟展示,分?jǐn)?shù)根據(jù)具體得分情況實(shí)時(shí)變化。
? 成績(jī)管理
比賽結(jié)束之后,管理員可在成績(jī)管理中查看比賽隊(duì)伍的最終得分情況,并可查看詳細(xì)數(shù)據(jù),支持下載到本地,詳細(xì)記錄比賽過(guò)程中每個(gè)隊(duì)伍的詳細(xì)得分情況,包括獎(jiǎng)勵(lì)得分、懲罰失分,以便比賽過(guò)程中出現(xiàn)爭(zhēng)論時(shí),有合理的解釋。
3.4 技術(shù)優(yōu)勢(shì)
3.4.1 AI智能監(jiān)控
紅亞科技自主研發(fā)智能監(jiān)控功能,以“AI+網(wǎng)絡(luò)安全”技術(shù)實(shí)現(xiàn)系統(tǒng)自動(dòng)監(jiān)控機(jī)制,管理員在后臺(tái)設(shè)置相應(yīng)監(jiān)測(cè)虛擬機(jī),選手比賽時(shí),系統(tǒng)自動(dòng)檢測(cè)虛擬機(jī)的服務(wù)狀態(tài)是否正常。若服務(wù)異常,系統(tǒng)會(huì)在后臺(tái)報(bào)警并進(jìn)行扣分,并會(huì)根據(jù)參賽學(xué)員使用的工具、網(wǎng)絡(luò)協(xié)議、攻擊手段等進(jìn)行監(jiān)控和數(shù)據(jù)可視化展示。優(yōu)勢(shì)在于腳本的靈活性,可以設(shè)置不同的服務(wù)端開(kāi)口,其次節(jié)省的手動(dòng)檢測(cè)的時(shí)間與精力,最后就是結(jié)果的實(shí)時(shí)展示,完美的遵循競(jìng)賽“公平、公正、公開(kāi)”原則。
3.4.2 多維數(shù)據(jù)展示
根據(jù)歷屆的競(jìng)賽進(jìn)行分析觀眾與裁判只能等待最終的比賽結(jié)果,在比賽過(guò)程中耗費(fèi)了大家的時(shí)間,而且只通過(guò)一個(gè)分?jǐn)?shù)很難判斷出學(xué)員的真實(shí)水平與知識(shí)漏洞。
因此,為解決廣大用戶的困擾,紅亞科技網(wǎng)絡(luò)安全競(jìng)賽平臺(tái)設(shè)計(jì)了選手競(jìng)賽過(guò)程以可視化的形式展現(xiàn),CTF為蜂巢展示,AWD為3D地圖、2D地圖、排行展示、流量展示四大展示界面。
CTF蜂巢:蜂巢展示界面由多個(gè)小的蜂巢組成一個(gè)連續(xù)的蜂巢線,每一個(gè)小蜂巢代表一道題目,當(dāng)參賽選手每解答一道CTF題型時(shí),蜂巢會(huì)有3D的動(dòng)態(tài)展示,并語(yǔ)音進(jìn)行播報(bào),直到所有題目完成。
AWD-GIS-2D、GIS-3D:可實(shí)時(shí)播報(bào)參賽選手的攻防狀態(tài)、得分情況、比賽排名等信息,當(dāng)隊(duì)伍之間互相攻擊時(shí),地圖上會(huì)根據(jù)不同隊(duì)伍的位置發(fā)出射線,效果酷炫,并在隊(duì)伍拿到FLAG時(shí),系統(tǒng)會(huì)自動(dòng)語(yǔ)音播報(bào)和動(dòng)畫(huà)展示,可觀性極強(qiáng)。
排行展示、流量展示會(huì)顯示所有隊(duì)伍名稱、得分及服務(wù)狀態(tài)。流量峰值監(jiān)控為X軸顯示時(shí)間長(zhǎng)度,系統(tǒng)會(huì)15秒自動(dòng)監(jiān)測(cè)一次流量,最長(zhǎng)監(jiān)測(cè)可達(dá)20分鐘流量,Y軸顯示的是攻擊數(shù)量,被攻擊TOP10 X軸顯示被攻擊數(shù)量,Y軸被攻擊次數(shù)top10隊(duì)伍名稱。
3.4.3 便捷式操作平臺(tái)
為了保證選手不受競(jìng)賽操作設(shè)備的影響,紅亞科技提供了統(tǒng)一的操作環(huán)境,利用Web-Console技術(shù)將虛擬環(huán)境集成在操作頁(yè)面內(nèi),選手可以直接在競(jìng)賽平臺(tái)下答題,使得必備的工具與虛擬機(jī)切換等問(wèn)題得到完全解決,從根本上解決的競(jìng)賽自帶設(shè)備的問(wèn)題。
3.5 賽題設(shè)計(jì)
競(jìng)賽平臺(tái)包括CTF題目共計(jì)約300個(gè),包括典型常見(jiàn)的CTF比賽類(lèi)型題,其中中等以上難度題目數(shù)量占60%以上;AWD靶場(chǎng)對(duì)抗類(lèi)題目共計(jì)30套環(huán)境,70余個(gè)靶機(jī),包括根據(jù)各類(lèi)經(jīng)典漏洞及較新的漏洞制作而成的靶機(jī)環(huán)境,并可根據(jù)戶需求進(jìn)行定制。
在解題模式CTF賽制中,參賽隊(duì)伍可以通過(guò)互聯(lián)網(wǎng)進(jìn)行參與,這種模式的CTF競(jìng)賽與ACM編程競(jìng)賽、信息學(xué)奧賽比較類(lèi)似,以解決網(wǎng)絡(luò)安全技術(shù)挑戰(zhàn)題目的分值來(lái)排名,通常用于在線選拔賽。題目主要包含逆向、漏洞挖掘與利用、Web滲透、密碼、取證、隱寫(xiě)、安全編程等類(lèi)別。
在攻防模式AWD賽制中,參賽隊(duì)伍在網(wǎng)絡(luò)空間互相進(jìn)行攻擊和防守,挖掘網(wǎng)絡(luò)服務(wù)漏洞并攻擊對(duì)手服務(wù)來(lái)得分,修補(bǔ)自身服務(wù)漏洞進(jìn)行防御來(lái)避免丟分。攻防模式AWD賽制可以實(shí)時(shí)通過(guò)得分反映出比賽情況,最終也以得分直接分出勝負(fù),是一種競(jìng)爭(zhēng)激烈,具有很強(qiáng)觀賞性和高度透明性的網(wǎng)絡(luò)安全賽制。在這種賽制中,不僅僅是比參賽隊(duì)員的智力和技術(shù),也比體力,同時(shí)也比團(tuán)隊(duì)之間的分工配合與合作。
3.6 賽題類(lèi)型
? WEB(網(wǎng)絡(luò)安全):
WEB是CTF競(jìng)賽的主要題型,題目涉及到許多常見(jiàn)的WEB漏洞,諸如XSS、文件包含、代碼執(zhí)行、上傳漏洞、SQL注入。也有一些簡(jiǎn)單的關(guān)于網(wǎng)絡(luò)基礎(chǔ)知識(shí)的考察,例如返回包、TCP-IP、數(shù)據(jù)包內(nèi)容和構(gòu)造。可以說(shuō)題目環(huán)境比較
所需知識(shí):PHP、python、TCP-IP、SQL
? MISC(安全雜項(xiàng)):
MIS即安全雜項(xiàng),大部分為CTF題型,題目涉及隱寫(xiě)術(shù)、流量分析、電子取證、人肉搜索、數(shù)據(jù)分析、大數(shù)據(jù)統(tǒng)計(jì)等等,覆蓋面比較廣,主要考查參賽選手的各種基礎(chǔ)綜合知識(shí)。考
所需知識(shí):常見(jiàn)隱寫(xiě)術(shù)工具、wireshark等流量審查工具、編碼知識(shí)。
? Crypto(密碼學(xué)):
密碼學(xué)大部分為CTF題型,題目考察各種加解密技術(shù),包括古典加密技術(shù)、現(xiàn)代加密技術(shù)甚至出題者自創(chuàng)加密技術(shù),以及一些常見(jiàn)編碼解碼,主要考查參賽選手密碼學(xué)相關(guān)知識(shí)點(diǎn)。通常也會(huì)和其他題目相結(jié)合。
所需知識(shí):矩陣、數(shù)論、古典密碼學(xué)
? Reverse(逆向工程):
逆向工程類(lèi)大部分為CTF題型,題目涉及到軟件逆向、破解技術(shù)等,要求有較強(qiáng)的反匯編、反編譯扎實(shí)功底。主要考查參賽選手的逆向分析能力。
所需知識(shí):匯編語(yǔ)言、加密與解密、常見(jiàn)反編譯工具
? PWN(二進(jìn)制安全):
PWN在黑客俚語(yǔ)中代表著攻破,多屬于AWD題型中,取得權(quán)限,在AWD比賽中它代表著溢出類(lèi)的題目,其中常見(jiàn)類(lèi)型溢出漏洞有棧溢出、堆溢出。主要考察參數(shù)選手對(duì)漏洞的利用能力。
所需知識(shí):C,OD+IDA,數(shù)據(jù)結(jié)構(gòu),操作系統(tǒng)。
