附件:
首届广西大学生“英招杯”网络安全技能大赛
赛事组织方案
一、参赛对象
广西区内高校具有正式学籍的网络信息安全类学科学生。
欢迎其他学科的对网络信息安全感兴趣、并且有一定天赋和基础知识技能的学生参赛。
参赛时需提供本人身份证、学生证或学信网证明等学籍证明,以便核实身份。
二、大赛内容
第一阶段:资格赛,即理论知识竞赛。
第二阶段:总决赛,即CTF夺旗、实战攻防。
三、大赛目的
以响应国家网络强国战略为核心,以培养网络安全攻防技能创新人才为导向,以实现“以赛促学、以赛促教、以赛促改”为目标。
大赛着重考查选手网络攻击与防御能力、恶意代码分析能力和代码审计能力,进而发掘和培养学生的创新实践意识与团队合作精神,提高选手的网络安全技术水平与实战攻防能力,推动我区高校网络信息安全类学科建设,促进我区高校间网络信息安全技术交流,增加我区网络信息安全人才的就业选择机会。
四、大赛组织
(一)主办单位
广西信息安全学会
南宁市信息技术学会
南宁市信息网络安全协会
(二)承办单位
南宁职业技术学院
广西赛誉文化科技有限公司
(三)技术单位
北京西普学苑教育科技有限公司
广西塔易信息技术有限公司
五、大赛荣誉
设置团队奖项、指导教师奖项及其他特殊奖项。
(一)团队奖项
1.奖项设置
(1)冠、亚、季军各一名,每团队颁发获奖证书和奖杯以及对应奖金,其中冠军奖金为 10000 元,亚军为 5000 元,季军为 3000 元;
(2)一等奖前10%,每团队颁发获奖证书和相关网络安全书籍等奖品;
(3)二等奖前20%,每团队颁发获奖证书和相关网络安全书籍等奖品;
(4)三等奖前30%,每团队颁发获奖证书和相关网络安全书籍等奖品;
其余得分队伍均为优秀奖,每团队颁发获奖证书。
2.评比规则:
成绩优先:按照团队总成绩排名。
时间优先:在总成绩相同情况下,按用时由短至长排名。
总成绩、用时相同情况下,排名并列。
(二)指导教师奖项
1.奖项设置
(1)颁发优秀指导教师证书。
(2)成为广西信息安全学会会员、南宁市信息技术学会会员,以及南宁市信息技术学会信息安全专委会专家库成员。
2.评比规则:
大赛评委会根据指导教师组织参赛团队数量、参赛团队成绩等因素,综合评比。
(三)特殊奖项
1.资格赛:
(1)凡是参加资格赛的学生,可以进入南宁市信息技术学会信息安全专家委员会人才库梯队,获得专业人才推荐服务。
(2)凡是参加资格赛成绩达到 60 分及以上选手,可以免试申请“NISP 一级”证书(大赛组委会补贴 20%费用)。
2.总决赛
(1)凡是参加总决赛荣获冠军、亚军、季军、一等奖、二等奖、三等奖的选手可以考培申请“NISP 二级”证书(大赛组委会补贴 20%费用)。
(2)总决赛获奖参赛团体队员可获得相应物质奖励。
(3)总决赛获奖参赛团体队员可获推荐实习单位。
六、大赛时间
报 名:2022年10月24日-10月28日。
资格赛:2022年10月24日-10月28日。
总决赛:2022年11月12日-11月13日。
表 彰:2022年 11 月 中下旬。
七、参赛报名
(一)资格赛报名:
资格赛为个人形式参赛,参赛选手进入大赛官方公众号:赛誉资讯 (点击菜单栏“英招杯”)即可参赛 。详见附件1:资格赛报名表。
(二)总决赛报名:
总决赛为团队形式参赛,一个学校可同时组成多支队伍,每个参赛团队不超过 3 人(不允许跨校组队)。参赛团队进入大赛官方公众号:赛誉资讯 (点击菜单栏“英招杯”) 即可参赛。详见附件2:总决赛报名表。
八、具体赛事说明
(一)资格赛
主要考察学生网络安全意识概念、技术基础相关知识,通过资格赛为总决赛的必要条件。
资格赛成绩不带入总决赛。
1、比赛形式:个人线上竞赛。由各个参赛院校组织学生自主报名,参赛选手自行登录官方报名页面进行网上注册并参赛。
2、比赛题型:客观题,50 道单选题。
3、通过条件:百分制,竞赛成绩达到 60 分及以上。
4、资格赛报名表:见附件1。
(二)总决赛
主要考察学生的攻防、逆向、密码等综合技能以及竞赛团队的渗透能力和防护能力。
1、比赛形式:
团队线上竞赛。
在统一规定的时间同时开始比赛。
本次比赛采用“远程接入”平台进行比赛,并采取主-辅“双机位”模式(具体操作详见第九条:总决赛技术文件)。
2、组队规则:
(1)参赛院校自由组队,每个院校组队数量不限。
(2)每个团队最多 3 名参赛选手,1 名指导教师。
(3)参赛选手的资格赛成绩必须在 80 分及以上,并得到大赛组委会的邀请。
3、比赛题型:解题模式 。
4、成绩计算:按比赛过程中 CTF 解题分数划分名次,在分数相同情况下,解题速度快的队伍名次靠前。
5、总决赛报名表:见附件2 。
九、总决赛技术文件
(一)赛题涉及与评审
1、赛题内容
本次赛题分为两部分,分别是 CTF 夺旗、实战攻防;其中实战攻防内容赛题为选做部分,不参与本次大赛的评分和奖励,选手可根据自身时间进行安排。
(1)CTF 夺旗
该类型为常规 CTF(夺旗赛)中的解题模式,竞赛题目内容覆盖当前常见的一些网络攻击与防护技术、加解密技术、恶意代码分析、代码安全审计等,解题模式中设置 Web、Misc、Crypto、Reverse、Pwn 五类题目:
(1.1)Web-网络攻防:考察 Web 安全中常见的漏洞,如 SQL 注入、XSS、CSRF、文件包含、文件上传、代码审计、PHP 弱类型等,并涉及相关安全工具使用。
(1.2)Crypto-密码攻击:考察包括古典密码学和现代密码学两部分内容,古典密码学趣味性强,种类繁多,如:摩斯电码、凯撒密码、base64 加解密等;现代密码学科技感十足,应用广泛且安全性稳定,如:rsa、aes 加密等。
(1.3)Misc-安全杂项:考察选手各类网络安全相关技术,内容覆盖比较全面,包括信息搜集与情报分析能力、编程能力、社会工程学、图片隐写术、计算机网络基础、网络流量的分析能力等。
(1.4)Reverse-逆向分析:涉及到软件逆向、破解技术等,要求有较强的反汇编、反编译扎实功底。主要考查参赛选手的逆向分析能力。
(1.5)Pwn-二进制安全与漏洞挖掘:涉及缓冲区溢出攻击,其中常见类型溢出漏洞有栈溢出、堆溢出。主要考察参数选手对漏洞的利用能力。
(2)实战攻防
选手在签署目标单位发放的网络信息安全渗透测试授权书的情况下,在实战环境下通过模拟攻击的方式对目标资产进行攻击测试,获取相关系统的权限或数据;在此过程中需遵守网络信息安全渗透测试授权书中的规定事项,不得恶意攻击系统和拖取数据,在获取相关攻击成果后根据成果大小进行危害评估,目标单位给予相关奖励(如:原创漏洞报送证书)。
2、题库管理
本次大赛比赛用题由技术委员会设计,仲裁委员会集中管理并负责题目保密工作,最后通过评审后交付使用。
3、评审规则
为保障比赛的公平性,所有题目比赛平台自动判分,如参赛队伍对成绩有异议,可在结果正式公布前向赛场仲裁委员会进行申诉;仲裁委员会本着公平公正的原则对现场比赛情况进行监督,并接受参赛队伍的申诉并进行裁决。
比赛过程中题目及平台相关问题,由技术委员会进行解决,保障现场比赛持续推进。
(二)参赛流程
1、报名
(1)报名起止时间:2022 年11月1日-11月6日。
(2)报名审核时间:2022 年11月7日-11月10日。
(3)报名方式:参赛对象须在规定的报名时间内到比赛官方 QQ 群 613040740 下载报名表或通过大赛邀请函中包含的报名表,按照要求填写相关内容,然后发送到指定的邮箱gxnnsita@163.com 进行资格审核后即可参赛,可以用队伍、单位名义通过邮件报名参赛。
相关要求:参赛队名名称不得与国家法律、法规、公序良俗相违背,否则将不允许参赛。
2、比赛
(1)比赛时间:2022年11月12日9:00—11月13日 17:00 。
(2) 比赛地点:线上开展,具体地点由各参赛队伍自行安排。
(3)比赛方式:按比赛过程中 CTF 解题分数划分名次,在分数相同情况下,解题速度快的队伍名次靠前。
本次比赛采用“远程接入”平台进行比赛,并采取主-辅“双机位”模式,具体要求如下:
A.队伍所有队员的正前方放置一个摄像头作为“主机位”,当队员双手摆放于桌面时,能完整拍摄到所有队员双手以上身体部位。
B.另一摄像头作为“辅机位”,从队伍后方大概1米处 45°角度拍摄,可以拍摄到所有队员侧面及主设备电脑全屏幕,需保证裁判能够从辅机位清晰看到主机位。
C.为了确保选手顺利参赛及在线签到,请选手准备主机位和辅机位硬件设备。设备不限台式电脑、笔记本电脑、手机,如台式电脑需带配麦克风、摄像头、扬声器,不允许使用耳机、如使用手机则需有摄像头功能用手机支架固定。
D.请选择独立、安静的房间组队远程接入,本队成员采用集中方式,不限队伍成员场地接入方式。
E.提前准备符合要求的设备,设备电量充足,保证有线、无线网络的通畅,电脑、手机安装好相关软件,将手机屏幕锁定设置为“永不”,避免比寒期间应手手机锁屏造成辅机位无法提供视频画面的情况。
F.腾讯会议入会说明。必须按照组委会提供的入会规则入会,入会时会议名称格式:“队伍名称 编号”,其中编号为两位数字,从 01 开始,01 为主机位,02 为辅机位。
经组委会同意的未能聚集的队伍需对其他场地视频继续编号,即 03 为第二场地第一机位,04 位第二场地第二机位,以此类推。
G.请按照赛程提前调试设备和在线签到。每支队伍对应一个视频会议号,成员通过腾讯会议号码进入会议,完成设备调试。
(4)比赛内容:比赛中,每个参赛队伍在线上做题平台中完成夺旗挑战,每道题目均设置不同的网络安全挑战,当完成题目后获取相应的 Flag 并提交至评分系统,即可获得分数(分数为静态,优先提交题目 Flag 的队伍排名更为靠前)。
3、其他说明
(1)2022 年11月12日上午 8:00-9:00,参赛队伍签到及赛前身份核验(队员需携带身份证、学生证等证明个人身份及学籍的物件);
(2)各参赛队员自备比赛使用的资料和工具软件等;
(3)参赛队禁止攻击比赛方服务器,禁止非同组队员通过手机、QQ 等通讯手段进行交流,违者取消比赛资格;
(4)本次比赛全程需要选手安装录屏软件,如 EV 或 OBS 等;
比赛结束后,需要所有选手的录屏视频按团队上传至百度网盘,并分享下载链接(比赛结束后工作人员会在 QQ 群(QQ群号:613040740)内发布表单,队长可在表单内填写本队伍录屏视频下载链接);
(5)比赛过程中发现任何问题,应当在 QQ 群(QQ 群号:613040740)内私聊工作人员,由工作人员进行解答或处理;
(6)禁止与无关人员谈论或泄露比赛相关内容,禁止将比赛中的相关数据传播至互联网;
(7)未经裁判批准,参赛队伍不能擅自变更人员;
(8)禁止向比赛平台发送大量流量,没有任何题目需要使用扫描器;
(9)禁止对提交的 Flag 进行爆破;
(10)平台提供严格的防作弊机制保障赛事公平,发现作弊直接禁赛;
(11)禁止使用具有自动删除目标操作系统文件、损害引导扇区、主动扩散、感染文件、造成服务器岩机等破坏性功能的攻击工具;
(12)禁止一切非正常途径的得分方式,情节恶劣者立即取消参赛资格;
(13)禁止攻击比赛平台,如果发现平台漏洞,请务必向组委会技术委员会报告;
(14)参赛战队如果发现其他队伍存在违规行为,请立刻举报,组委会会严格审核并作出相应判罚。
十、竞赛管理及监审
为确保大赛公平、公正、健康有序进行,本次大赛组委会下设立仲裁委员会制定竞赛管理规则,并负责监督、审查竞赛。另外,设立大赛裁判组,全程实时监督大赛进行。
(一)竞赛管理规则
1.受疫情影响,本次大赛所有比赛全部在网上进行;
2.受疫情影响,本次大赛不安排参赛选手集中参赛;
3.本次竞赛采用远程随机采集参赛选手比赛过程视频的方式进行监督;
4.本次竞赛成绩即时显示,资格赛成绩显示具体分数,60 分及以上为“通过”,60 分以下为“未通过”;总决赛成绩显示参赛选手竞赛分数。
(二)竞赛监督办法
1.竞赛裁判组成员全程实时监督核对参赛队伍(学员)信息,杜绝作弊行为。
2.竞赛裁判组成员对所有竞赛成绩进行二次复核,确保大赛成绩真实有效。
3.竞赛裁判组成员负责竞赛系统的审查,测试及校对,确保大赛公平公正。
4.竞赛裁判组成员负责对违规操作学员予以警告提醒,严重者取消大赛资格。
消息来源:南宁市信息技术学会