网安竞赛

2019年”湖湘杯“网络安全技能大赛

大赛概况

为深入贯彻落实习近平总书记对国家网络安全宣传周作出重要指示的精神,坚持网络安全为人民,网络安全靠人民,加快形成网络安全人才培养、技术创新、产业发展的良好生态。按照“要深入开展网络安全知识技能宣传普及,提高广大人民群众网络安全意识和防护技能”的要求,湖南省委网信办联合相关部门共同举办“2019年‘湖湘杯’网络安全技能大赛”。

“湖湘杯”旨在服务于国家网络安全战略和网络强国建设,贯彻落实党的十九大和全国网信工作会议精神,为全国网络安全人才展示水平、竞技比拼和交流互动提供舞台,发现、聚集和培养网络安全人才,为加快网络安全人才队伍建设作出贡献。

大赛奖项

  (一)大赛奖励
大赛奖励设特等奖、一等奖、二等奖、三等奖、优胜奖(按总成绩排名)。
特等奖(1名),奖励获奖队伍人民币16万元;奖杯一个,获奖证书每人一本。
一等奖(1名),奖励获奖队伍人民币8万元;获奖证书每人一本。
二等奖(1名),奖励获奖队伍人民币4万元;获奖证书每人一本。
三等奖(7名),奖励获奖队伍人民币2万元;获奖证书每人一本。
优胜奖(70名),奖励获奖队伍人民币3000元;获奖证书每人一本。

(二)其他奖励事项
(1)大赛结束后,通过全国各大媒体、全国主流网络媒体、中央在湘主要媒体、湖南主流媒体等渠道公布本次大赛的排名。
(2)进入决赛的参赛队伍获得由本次赛事举办单位发出的电子获奖证书。
(3)凡报名申请参赛并获得现场比赛资格者,列入湖南省网络安全和信息化人才数据库。
(4)根据参赛者成绩,由主办单位择优向相关机关事业单位和重点企业推荐。
(5)对于此次比赛成绩特别优异且在湖南省内创业、就业的参赛选手,依照相关政策给予重点支持。
(6)本次大赛主办单位、承办单位和技术支撑单位,根据各自工作需要将本次参赛成绩作为优先录用和业务合作等方面的重要考察依据。
(7)“2019年‘湖湘杯’网络安全技能大赛”排名最终解释权归赛事组委会。

赛制与规程

  (一)参赛队伍
1.海选队:同意本赛事规程的中华人民共和国境内合法组织、公民均可组队报名参赛。每支队伍不超过3名队员,队员不得重复组队。通过赛事官网报名并经确认的参赛队伍获得大赛参赛资格。
2.邀请队:由赛事组委会向国内网络安全领域知名的企事业单位、高校、研究机构等发出邀请函,邀请30支从事网络安全专业的精英队伍分别代表所属单位直接进入决赛,与海选队前50支优胜队伍同场角逐。

(二)大赛赛制
选手报名成功后,登录2019“湖湘杯”网络安全技能大赛在线学习平台(http://hxb2019.jdicsp.org/)进行自主学习和自测,学习平台试题将占初赛试题10%。
初赛(海选队参加):获得参加初赛资格的所有选手,通过互联网在线竞赛平台进行比赛,线上答题赛制为网络安全理论测试,重点考察参赛人员网络安全领域的基础知识(含学习平台试题)。
复赛(海选队参加):在初赛中胜出的前600支队伍具有参加复赛资格,复赛采用CTF模式在互联网上进行。题型覆盖Web渗透、二进制漏洞挖掘利用、密码分析、取证分析、逆向分析、安全编程等网络安全各项技术,新纳入工控系统安全、物联网安全、云安全、大数据安全、通用软件安全等新颖题型,需各参赛队伍通过离线分析或在线交互克服技术挑战,获取flag并提交验证正确后给予相应分数。
决赛(海选队和邀请队共同参加):复赛胜出的前50支海选队伍和主办方邀请的30支队伍共80支队伍具备参加决赛的资格。决赛竞赛分为机器人争霸和人机对抗两个部分,两个部分的比赛同时进行,并形成互动。在攻防模式赛制中,参赛队伍在网络空间互相进行攻击和防(Attackwithdefend),挖掘网络服务漏洞并攻击对手服务来得分,修补自身服务漏洞进行防御来避免丢分。

(三)大赛成绩与排名
1、大赛记分:
1.1海选队满分110分。其中初赛满分5分(初赛成绩=初赛归一化成绩*5%),复赛满分5分(复赛成绩=复赛归一化成绩*5%),决赛满分100分(决赛成绩=决赛归一化成绩*100%);
1.2邀请队满分100分,不参加初赛和复赛计分,只计算决赛成绩(决赛成绩=决赛归一化成绩*100%)。
2、海选队参加初赛和复赛,两项成绩之和排名前50的队伍参加决赛。每支队伍的总成绩=初赛成绩+复赛成绩+决赛成绩;
3、被邀请的30支精英队伍直接参与决赛。每支队伍的总成绩=决赛成绩。
4、参与决赛的80支队伍按照大赛总成绩进行排名。

(四)赛事规程
1、赛事报名
海选队参赛报名可通过点击官网(hxb.hunan.gov.cn)“报名及查询”栏直接报名,也可以通过扫描下方微信二维码(H5)进行手机端报名。赛事相关事项均通过官网“大赛播报”栏发布。本次赛事分初赛、复赛和决赛三阶段。初赛、复赛在互联网上进行,现场决赛在长沙进行(比赛场地另行通知)。
 2、自主学习
海选队报名成功后,凭手机收到的账号密码登陆2019“湖湘杯”网络安全技能大赛在线学习平台进行自主学习,学习时间截止到11月1日24:00。
3、海选队初赛
3.1注册报名成功的队伍自动获得初赛参赛资格。
3.2初赛时间为11月02日09:00至3日09:00。
3.3题型为单选题、多选题和判断题,每参赛队伍需在150分钟内完成150道试题。
3.4比赛期间,参赛队需使用合法的用户名、密码登录竞赛平台,若发现人与账号不匹配、账号外借等情况,视情况严重,将进行警告、取消参赛资格等处罚措施。
3.5比赛过程中严禁参赛队伍向比赛服务器、参赛队伍主机等设施发起任何可能影响比赛正常运行的渗透或恶意操作,视情况严重,将进行警告、取消参赛资格等处罚措施。
3.6比赛期间,禁止参赛选手在互联网上(例如:QQ群、微信、技术交流论坛等)发布、传播比赛真题进行求助,若大赛组委会在网络巡查中发现该类情况,则直接取消该队伍或选手的参赛资格。
3.7按初赛成绩排名进行选择,选拔成绩排名前600支队伍进入复赛。
4、海选队复赛
4.1初赛成绩排名前600的队伍获得复赛参赛资格。
4.2复赛采用线上夺旗赛(CTF)竞赛模式,覆盖Web渗透、二进制漏洞挖掘利用、密码分析、取证分析、逆向分析、安全编程等网络安全各项技术,新纳入工控系统安全、物联网安全、云安全、大数据安全、通用软件安全等新颖题型,解题过程需通过离线分析或在线交互克服技术挑战后获取flag,提交验证正确后给予相应分数。
4.3复赛参赛和记分规则将在11月6日前在官网“大赛播报”公告。
4.4复赛竞赛系统将在2019年11月9日10时至9日22时开放。
4.5按初赛和复赛成绩累计排名进行选择,选拔50支队伍进入决赛。
5、海选队和邀请队同场决赛
5.1海选队根据初赛和复赛总成绩,确定排位在前50的队伍参加决赛。若出现成绩相同情况,按复赛成绩优先方式确定参赛资格。若有队伍缺席,依照成绩排名,顺序递补。
5.2决赛采用现场攻防对抗模式。参赛对象为进入决赛的50支海选队伍及主办方邀请的30支队伍,合计80支队伍。
5.3决赛分为三场,比赛平台分配给每个参赛队伍一台贴近业务场景的虚拟资源作为堡垒机进行防护,堡垒机预设典型及近期爆发的高危漏洞。同时参赛队员自带电脑和工具,对其他参赛人员的堡垒机发起攻击,成功发现漏洞并利用成功后,获得flag(旗标文件),视为攻击成功,加上一定分数。堡垒机漏洞被发现利用,视为防守失败,扣除一定分数,最终通过综合得分进行排名。
5.4决赛竞赛分为机器人争霸和人机对抗两个部分,两个部分的比赛同时进行,并形成互动。
A、利矛与坚盾攻防兼备,在复杂环境靶场演练模式中,选手将面对一套贴近现实的高仿真企业网络进行渗透测试。
B、“人&AI”双智争霸,在机器人争霸(机器人AWD竞赛)进行的同时,人机对抗同步展开。竞赛平台开放数个机器人进行防守,参赛选手进行攻击得分。
C、夺江山易守江山难,即登顶赛模式,其本质是一种攻擂守擂的比赛方式。比赛中,所有选手共同攻击主办方所维护的多台服务器,当选手攻破服务器后,需修补漏洞并在指定文件中写入自己的队伍名称进行得分。
备注:竞赛方将在决赛名单产生后向参加决赛的队伍发放机机器人对抗赛的详细比赛规则、记分方式和技术接口方案。
5.5决赛赛场设湖南长沙,为封闭式局域网环境,不提供互联网上网条件,参赛选手不得通过无线上网卡等设备将比赛网络环境接入互联网。严禁参赛选手断开他人或自己的防守机与靶机的端口,不得采用物理方式进行隔离(如切断电源,断开网卡等),如有发现裁判组将给予扣分,严重者将被禁止比赛。比赛过程中严禁参赛队伍向比赛服务器、参赛队伍主机等设施发起任何可能影响比赛正常进行的攻击或恶意操作。
5.6决赛期间,将向每个参赛队提供1个网络场景,包含1台工作服务器和1台flag服务器。工作服务器和flag服务器均由竞赛平台统一分配,工作服务器上包含了多种类型的漏洞,参赛队防守自己的工作服务器,同时攻击其它参赛队的服务器。
5.7决赛赛题类型分类为:社会工程学、信息传输、协议分析、密码学、漏洞挖掘与利用、逆向工程、应用安全等。题目可能涉及靶机或相关的文件,用户通过直接访问靶机或者下载相关题目文件进行解题。解题后将答案提交至评分系统,评分系统将自动判断答案,若回答正确将获得相应分值。
5.8参赛队伍须凭有效身份证件及参赛证进入决赛现场。
5.9决赛队伍应遵守大赛纪律,切勿喧哗,服从裁判,不得对他人进行语言或人身攻击。参赛队伍在比赛期间需遵循裁判及现场工作人员的安排,如有疑问请举手示意。
5.10决赛队伍禁止进入他人赛位,干扰其他队伍比赛。
5.12决赛队伍需自备笔记本电脑等参赛设备及软件工具,向赛事组报备,并经赛事裁判组审核。
5.13违反上述规定者,现场裁判组将视情给予口头警告、扣分、取消参赛资格等处罚。
5.14决赛相关事项将在决赛前在官网“大赛播报”公告。
6、大赛纪律
6.1比赛过程中严禁向比赛平台发起任何可能影响比赛正常进行的攻击。
6.2参赛队伍必须按照统一时间参赛,参赛队伍凡出现违规、违纪、作弊等行为,组委会将取消其参赛资格和本次比赛成绩,并依法依规加以处理。
6.3禁止各参赛队弄虚作假。对违反国家有关法律、法规以及大赛规程的行为,组委会将取消相关奖项,并依照有关规定进行处罚。
6.4本次大赛不向参赛队伍收取任何费用,并免费为决赛队伍提供决赛期间食宿安排。
6.5比赛中发现可能危及国家安全、公共利益的网络安全漏洞、隐患,主办方将及时向公安等有关部门报告,并通知产品提供方;主办方不会擅自透露、转让、公布漏洞隐患的技术细节和利用方法、工具等。
7、申诉与仲裁
7.1发现参赛队伍携带和使用不符合竞赛规定的设备、工具、软件,或是裁判有失公正的评判、以及工作人员的违规行为等,领队和参赛人员均可在现场提出申诉。
7.2其他问题申诉应在比赛结束后1小时内提出,超过时效将不予受理。申诉时,应按照规定的程序由参赛队领队向赛事裁判组递交书面申诉报告。报告应对申诉事件的现象、发生的时间、涉及到的人员、申诉依据与理由等进行充分、实事求是的叙述。事实依据不充分、仅凭主观臆断的申诉将不予受理。申诉报告须由申诉的参赛选手签名,否则视为无效申诉。
7.3裁判组收到申诉报告后,应根据申诉事由进行审查,3小时内书面通知申诉方,告知申诉处理结果。
7.4申诉人不得无故拒不接受处理结果,更不允许采取过激行为刁难、攻击工作人员,否则视为放弃申诉。
赛事相关事项如有变化,组委会将在大赛官网及时通知。