對(duì)中國(guó)網(wǎng)絡(luò)安全行業(yè)來(lái)說(shuō)，2015年無(wú)疑是濃墨重筆的一年;但如果再要從激情澎湃的網(wǎng)絡(luò)安全領(lǐng)域挑選兩個(gè)最重大的事件的話，51CTO記者認(rèn)為，一是中國(guó)網(wǎng)絡(luò)安全立法工作取得了重大突破，另一個(gè)就是中國(guó)網(wǎng)絡(luò)安全競(jìng)技領(lǐng)域的迅速崛起——前者是國(guó)家戰(zhàn)略，后者卻是民間推動(dòng)。甚至可以說(shuō)，2015年就是中國(guó)網(wǎng)絡(luò)安全競(jìng)賽的元年!這一年，無(wú)論對(duì)中國(guó)的網(wǎng)絡(luò)安全競(jìng)技領(lǐng)域還是中國(guó)網(wǎng)絡(luò)安全人才的培養(yǎng)，都發(fā)生了重大變化，且將產(chǎn)生深遠(yuǎn)的影響。

[[162679]]

數(shù)量過(guò)百場(chǎng)：競(jìng)賽熱突然爆發(fā)遍布神州

網(wǎng)絡(luò)安全競(jìng)賽源于一種黑客之間的對(duì)抗游戲。1996年，全球頂級(jí)黑客大會(huì)DEFCON率先舉行了CTF(Catch The Flag，一般譯為“奪旗賽”)安全競(jìng)技大賽，此后每年與DEFCON大會(huì)同期舉行，逐步形成類似“世界杯”足球賽的世界頂級(jí)安全競(jìng)技大賽。

中國(guó)的安全競(jìng)技行業(yè)在2014年之前的發(fā)展其實(shí)相當(dāng)緩慢。2010年前后，CTF競(jìng)賽通過(guò)各種渠道陸續(xù)進(jìn)入中國(guó)，首先在中國(guó)的部分高校陸續(xù)組建了一些安全競(jìng)賽的戰(zhàn)隊(duì)雛形。2012年，由清華大學(xué)藍(lán)蓮花戰(zhàn)隊(duì)、成都信息工程學(xué)院(現(xiàn)成都信息工程大學(xué))三葉草戰(zhàn)隊(duì)和上海交大0ops戰(zhàn)隊(duì)等組成中國(guó)聯(lián)隊(duì)首次參加DEFCON CTF大賽，闖入前20名。此后三年，以藍(lán)蓮花為首的中國(guó)戰(zhàn)隊(duì)連續(xù)三年闖入前6名。中國(guó)網(wǎng)絡(luò)安全戰(zhàn)隊(duì)在世界有了一席之地。

但與世界大賽的迅速發(fā)展相比，中國(guó)國(guó)內(nèi)的安全競(jìng)技比賽發(fā)展并不快速。記者查詢了網(wǎng)上的資料，能查到的全國(guó)性質(zhì)比賽基本上是從2014年開(kāi)始的，稍有影響力(或者說(shuō)尚能查到的)只有3月的BCTF、北京首屆“429”網(wǎng)絡(luò)安全日、5月CNCERT首屆比賽、7月的四川省大學(xué)生比賽以及年底的“湖湘杯”比賽等聊聊幾場(chǎng)而已。但一跨入2015，情況發(fā)生了極其明顯的改觀!

記者通過(guò)對(duì)各方進(jìn)行了解，并結(jié)合互聯(lián)網(wǎng)上的資料，整理了一下這份2015年中國(guó)國(guó)內(nèi)網(wǎng)絡(luò)安全競(jìng)賽不完整名單：

之所以說(shuō)是“不完整”名單，一方面記者聽(tīng)說(shuō)還有不少的比賽，但可惜資料不全;第二是僅51CTO記者所知，就有約30場(chǎng)部分行業(yè)、單位組織的不公開(kāi)的安全競(jìng)賽。初步估算，2015年全國(guó)舉行的各級(jí)各類安全競(jìng)賽肯定超過(guò)百場(chǎng)!

安全競(jìng)賽需要一個(gè)相當(dāng)復(fù)雜準(zhǔn)備，尤其是攻防對(duì)抗的比賽比單純的答題賽需要準(zhǔn)備的時(shí)間更長(zhǎng)、復(fù)雜性更高，而這些工作其實(shí)一直都是一些安全企業(yè)的研發(fā)和服務(wù)人員兼職。曾服務(wù)“湖湘杯”的北京某公司技術(shù)專家劉博鶴曾在2015年中期告訴記者，從3月之后，他每個(gè)月都有比賽要支撐，這頻度是他此前從未想象過(guò)的;而2015年底記者再見(jiàn)到他，他基本上已經(jīng)全職負(fù)責(zé)比賽支持了。在這一年，僅他參與支持的比賽就超過(guò)30場(chǎng)!

必須說(shuō)明的是，2015年中國(guó)網(wǎng)絡(luò)安全競(jìng)賽增加的不僅僅是數(shù)量。從上表可以看出，如今組織網(wǎng)絡(luò)安全競(jìng)賽的單位已經(jīng)跨越多個(gè)行業(yè)、多個(gè)地域。從華東到西部，從電信到教育，從普及型的比賽到專業(yè)、規(guī)范的XCTF，各級(jí)各類比賽已經(jīng)遍布神州!所有這些，都讓我們有足夠的理由宣布：中國(guó)網(wǎng)絡(luò)安全競(jìng)賽，已經(jīng)進(jìn)入了一個(gè)全新的時(shí)代。

[[162680]]

高水平：賽制變化引發(fā)比賽更難更好看

2015年的網(wǎng)絡(luò)安全競(jìng)賽與此前明顯不同的其實(shí)還有比賽的組織形式和參賽人員的技戰(zhàn)術(shù)水平。

2015年以前，中國(guó)為數(shù)不多的網(wǎng)絡(luò)安全競(jìng)賽基本上是以答題為主。這種賽制組織相對(duì)簡(jiǎn)便，參賽人員可以比較多;但其弊端也非常明顯，那就是發(fā)展到一定程度之后，比賽就變成了類似“奧數(shù)”的知識(shí)競(jìng)賽，這就與網(wǎng)絡(luò)安全本身希望培養(yǎng)攻防實(shí)戰(zhàn)能力初衷出現(xiàn)了偏移。

回顧從近兩年的網(wǎng)絡(luò)安全比賽歷史，記者發(fā)現(xiàn)2014年12月的“湖湘杯”比賽應(yīng)該是中國(guó)網(wǎng)絡(luò)安全競(jìng)賽的賽制發(fā)展上值得關(guān)注的一場(chǎng)比賽。這場(chǎng)全國(guó)級(jí)別的比賽率先采用兩級(jí)賽制，初賽采用答題方式，最終的決賽采用現(xiàn)場(chǎng)對(duì)抗方式——所有這些，與全球的CTF比賽模式已經(jīng)相當(dāng)接近。

不知道是不是受到“湖湘杯”的影響，接下來(lái)舉辦的兩場(chǎng)第二屆國(guó)家級(jí)別的大型比賽——2015年4月和6月分別舉行的北京“429”首都網(wǎng)絡(luò)安全日第二屆網(wǎng)絡(luò)安全技術(shù)大賽和CNCERT第二屆中國(guó)網(wǎng)絡(luò)安全攻防大賽——都不約而同地改變了第一屆的答題賽制，變?yōu)轭愃迫巳藢?duì)抗和人機(jī)對(duì)抗混合的實(shí)戰(zhàn)對(duì)抗方式，也都取得了非常好的效果。自此之后，2015年幾乎所有國(guó)家級(jí)的主流網(wǎng)絡(luò)安全競(jìng)賽模式都采用了類似模式，從而實(shí)現(xiàn)了與國(guó)際賽制的接軌。

國(guó)家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)運(yùn)行處副處長(zhǎng)李佳在2015年6月曾接受過(guò)51CTO記者的采訪，他介紹說(shuō)：“和傳統(tǒng)的奪旗(答題)賽相比，我們采用了新的AWD(攻防兼?zhèn)?的比賽模式，這種模式環(huán)境搭建復(fù)雜度增加了很多，對(duì)技術(shù)支持的要求也增加了很多，我們和技術(shù)支持單位為之付出了巨大的努力。”承擔(dān)了2015年半數(shù)以上安全競(jìng)賽技術(shù)支持的北京永信至誠(chéng)科技股份有限公司總經(jīng)理李煒說(shuō)：“比賽的形式除了教育公眾之外，也是要發(fā)現(xiàn)好的苗子，這對(duì)很多單位、企業(yè)還是一個(gè)剛需;但從院校等傳統(tǒng)方式培養(yǎng)的人才實(shí)際經(jīng)驗(yàn)不足，達(dá)不到他們所期待的水平。正是因?yàn)橛羞@樣的供需矛盾，才促使我們研發(fā)出AWD(攻守兼?zhèn)?模式的競(jìng)賽形式，來(lái)考驗(yàn)選手的綜合能力，選拔出真正的人才。”

與賽制相適應(yīng)的當(dāng)然是參賽水平的提高。新的比賽形式，要求參賽隊(duì)伍的綜合能力更高，對(duì)抗性更強(qiáng)，對(duì)攻擊和防御兩方面的能力要求更高。而隨著比賽的密度逐步增加，參賽隊(duì)員的水平水漲船高。2015年ISC比賽冠軍團(tuán)隊(duì)、華東交通大學(xué)參賽選手嚴(yán)敏睿在接受采訪時(shí)介紹說(shuō)：“相比之前，2015年選手的整體水平上升了，打醬油的少了很多，‘賽棍’也越來(lái)越多了，經(jīng)?？吹揭恍┦煜さ拿婵住ｎ}目上的水平也提高了。”類似的感覺(jué)并不在少數(shù)。核心骨干出自著名的藍(lán)蓮花戰(zhàn)隊(duì)的北京長(zhǎng)亭科技組成“長(zhǎng)亭外”戰(zhàn)隊(duì)，在上半年連續(xù)征戰(zhàn)北京“429”和CNCERT兩場(chǎng)大賽，志在必得的他們連續(xù)得到了兩個(gè)第二名，戰(zhàn)隊(duì)主力陳宇森在表達(dá)遺憾之余，也對(duì)國(guó)內(nèi)比賽總體水平的提高感到高興。參與過(guò)數(shù)十場(chǎng)比賽的北京某公司現(xiàn)場(chǎng)支持許學(xué)偉對(duì)記者提起一個(gè)印象頗深的“好玩的事兒”，2015年11月在上海舉行的“東華春秋杯”，0ops戰(zhàn)隊(duì)可能出于鍛煉隊(duì)伍的目的派出新選手，但因戰(zhàn)隊(duì)在圈內(nèi)知名度最高，反成主要攻擊對(duì)象，從比賽開(kāi)始就被其他各隊(duì)一直攻擊到比賽結(jié)束，最后竟然不幸成為“吊車尾”。許學(xué)偉能明顯感覺(jué)到，下半年的比賽水平和激烈程度，比上半年已經(jīng)有了大幅度的提升。

也許可以作為國(guó)內(nèi)比賽水平逐步提升的一種例證，在2015年8月舉辦的DEFCON CTF大賽上，中國(guó)三支戰(zhàn)隊(duì)——百度藍(lán)蓮花、0ops和臺(tái)灣HITCON戰(zhàn)隊(duì)——分獲4-6位。而三支參賽隊(duì)伍的絕大多數(shù)隊(duì)員，其實(shí)都已經(jīng)在XCTF聯(lián)賽上經(jīng)受了種種考驗(yàn)，這種經(jīng)歷在2014年之前是不可想象的。

還有一個(gè)賽制引起的連鎖反應(yīng)必須要提及，那就是新賽制引發(fā)的現(xiàn)場(chǎng)比賽可看性明顯增強(qiáng)，現(xiàn)場(chǎng)直播逐步成為2015年網(wǎng)絡(luò)安全競(jìng)賽的“標(biāo)配”，這一點(diǎn)和2014年之前的類似于筆試場(chǎng)面的網(wǎng)絡(luò)安全競(jìng)賽形成了鮮明的對(duì)比。記者在現(xiàn)場(chǎng)看到，在四川省高校安全競(jìng)賽的時(shí)候，原本每次比賽開(kāi)始后各位領(lǐng)導(dǎo)老師們會(huì)趁空閑開(kāi)會(huì)，但這次進(jìn)行了現(xiàn)場(chǎng)直播，現(xiàn)場(chǎng)的攻防對(duì)抗和得分情況實(shí)時(shí)體現(xiàn)在會(huì)議室的大屏幕上，就算在中午吃飯時(shí)間，還有幾個(gè)老師緊盯著屏幕不肯離開(kāi)。ISC比賽期間3位年輕小伙子實(shí)現(xiàn)了全天約7個(gè)小時(shí)的不間斷現(xiàn)場(chǎng)直播講解，讓比賽現(xiàn)場(chǎng)從始至終都圍滿了觀戰(zhàn)的人群。這些雖然不是比賽的核心點(diǎn)，但也給2015年的網(wǎng)絡(luò)安全競(jìng)賽添加了一抹亮色——安全競(jìng)賽不僅能讓內(nèi)行看得目不轉(zhuǎn)睛，也可以讓“外行”覺(jué)得“有趣”，這無(wú)疑對(duì)網(wǎng)絡(luò)安全技術(shù)的大眾化普及意義頗深，甚至可以說(shuō)對(duì)整個(gè)行業(yè)的發(fā)展都將起到積極的促進(jìn)作用。

[[162681]]

影響深：競(jìng)賽興起促人才培養(yǎng)與選拔模式變革

之所以將2015年定義為“網(wǎng)絡(luò)安全競(jìng)賽元年”，也是因?yàn)樵谶@一年，安全競(jìng)賽這種形式真正開(kāi)始形成了自己的產(chǎn)業(yè)鏈，深入影響到其他領(lǐng)域，特別是安全人才培養(yǎng)領(lǐng)域。

有數(shù)據(jù)顯示，到2017年，國(guó)內(nèi)信息安全人員缺口約150萬(wàn)，全球范圍內(nèi)約450萬(wàn)。而相對(duì)應(yīng)的是每年我們的各類專業(yè)教育機(jī)構(gòu)只能輸出2萬(wàn)名左右的相關(guān)人員。在網(wǎng)絡(luò)安全已經(jīng)上升為國(guó)家戰(zhàn)略的情況下，人才的稀缺問(wèn)題就更加凸顯——無(wú)論是中國(guó)、美國(guó)還是其他國(guó)家。在這樣的背景下，各個(gè)機(jī)構(gòu)和行業(yè)都有需求和動(dòng)機(jī)用各種方式挖掘人才;而與培養(yǎng)人才的長(zhǎng)期化相比，通過(guò)競(jìng)賽的形式快速選拔和發(fā)現(xiàn)人才，顯然是更“高效”的方式。如李煒?biāo)f(shuō)，“安全競(jìng)賽是有實(shí)際意義的，那就是發(fā)現(xiàn)人才。這也是今年安全競(jìng)賽井噴的重要原因。”

以iOS越獄揚(yáng)名世界的盤古團(tuán)隊(duì)(犇眾信息)CEO韓爭(zhēng)光曾親臨11月“東華春秋杯”大賽來(lái)“求賢”，他在接受記者采訪時(shí)說(shuō)：“企業(yè)挑選人才，光看理論知識(shí)水平，沒(méi)有檢驗(yàn)學(xué)習(xí)成果，肯定是不行的。”不難看到，當(dāng)下很多企業(yè)都更強(qiáng)調(diào)人才在實(shí)際業(yè)務(wù)中的動(dòng)手能力和綜合素質(zhì)，這對(duì)于網(wǎng)絡(luò)安全領(lǐng)域來(lái)說(shuō)，更是尤為重要。而一個(gè)安全人才從學(xué)校畢業(yè)到工作，必須經(jīng)歷一系列歷練，在不同的歷練階段都需要知道下一步要學(xué)什么、練什么，并進(jìn)行足夠的自我能力完善，才能真正為企業(yè)所用;而競(jìng)賽就可以看作是對(duì)安全人才各階段性能力的一次綜合檢驗(yàn)，它能告訴我們什么方面還有短板，下一階段的努力方向究竟為何。“我們希望在這個(gè)競(jìng)賽抗衡的過(guò)程中，讓你知道你自己的不足，然后下一步你去找相應(yīng)的資源去學(xué)。通過(guò)和高手過(guò)招，把每個(gè)必要的技術(shù)點(diǎn)和知識(shí)點(diǎn)串起來(lái)，形成自己的思考;有了這種思考，安全人才就有了不斷進(jìn)步的動(dòng)力和目標(biāo)。”永信至誠(chéng)CTO張凱如是說(shuō)。

在安全人才需求爆發(fā)而尋找人才沒(méi)有更好的途徑下，安全競(jìng)賽在攻防能力檢驗(yàn)方面的成功，就自然而然地成了眾多單位 “挖人”的重要途徑。2015年8月，在全國(guó)暨四川省大學(xué)生網(wǎng)絡(luò)安全競(jìng)賽上，記者遇到了七八個(gè)單位的代表前來(lái)觀摩，他們的任務(wù)很簡(jiǎn)單——挖人。比賽中表現(xiàn)優(yōu)異的人，就會(huì)早早被他們盯上，甚至在學(xué)業(yè)未完成之前就被高薪挖走。

有“搶”的就有“保”的。在9月舉行的福建省第一屆網(wǎng)絡(luò)安全技能競(jìng)賽中，主辦方開(kāi)出的獎(jiǎng)勵(lì)條件堪稱“震撼”：國(guó)家互聯(lián)網(wǎng)應(yīng)急中心福建分中心聘任部分優(yōu)秀選手為福建省網(wǎng)絡(luò)安全專家;各主辦單位也為個(gè)人成績(jī)排名前列的選手分別頒發(fā)了一系列耀眼的榮譽(yù)稱號(hào)，包括“福建省技術(shù)能手”、“福建省金牌工人”、“省五一巾幗標(biāo)兵”、“福建省青年崗位能手”等;同時(shí)，比賽的優(yōu)勝選手一同獲得相應(yīng)的職業(yè)資格證書。所有這些榮譽(yù)，別說(shuō)是安全領(lǐng)域，就算在IT領(lǐng)域都是難以想象的。

編后：我們需要什么樣的安全競(jìng)賽?

2015年為什么會(huì)出現(xiàn)國(guó)內(nèi)安全競(jìng)賽的“井噴”?在51CTO記者看來(lái)，這與中國(guó)戰(zhàn)隊(duì)在國(guó)際大賽中的積累其實(shí)關(guān)系不大，也并不是中國(guó)的安全人才的水平有了多大的提升;其中的關(guān)鍵，其實(shí)還是中國(guó)網(wǎng)絡(luò)和信息安全人才需求“藍(lán)海”的一個(gè)折射。競(jìng)賽熱的背后，既反映了中國(guó)安全人才需求的緊迫性，也反映了大家對(duì)攻防人才兩方面需求的真實(shí)現(xiàn)狀。

換言之，推動(dòng)中國(guó)安全競(jìng)賽水平、賽制和密度的提升，關(guān)鍵點(diǎn)并不是競(jìng)賽本身的題目難度有多高，而是它究竟能在多大程度上全面體現(xiàn)安全人才的素質(zhì)并承擔(dān)選拔的目的。

采訪過(guò)程中，資深安全專家李煒的一番話給記者的印象頗為深刻。在他看來(lái)，現(xiàn)在的安全行業(yè)需要兩類人：第一，實(shí)戰(zhàn)能力較強(qiáng)的人才，對(duì)實(shí)際業(yè)務(wù)的理解稍弱，但是這類人是知道在受到網(wǎng)絡(luò)攻擊的時(shí)候要怎么去防，他是解決問(wèn)題的人，這種人現(xiàn)在是企業(yè)特別急需的;第二種人是既懂安全又懂業(yè)務(wù)的，他的技術(shù)能力不如第一種人突出，但是他的知識(shí)面廣，對(duì)企業(yè)業(yè)務(wù)非常了解，他有能力將基礎(chǔ)技術(shù)應(yīng)用到業(yè)務(wù)和工作當(dāng)中，這種人不論是在中小企業(yè)、大型企業(yè)還是超大型企業(yè)都非常缺少的。在未來(lái)的安全競(jìng)賽中，這兩種人才的競(jìng)爭(zhēng)和選拔必須通過(guò)不同的方式選拔出來(lái)。

所以，我們可以想象，今后的安全競(jìng)賽可能會(huì)向不同的方向拓展。2015年中國(guó)安全競(jìng)賽的突破，其實(shí)是增加了檢驗(yàn)選手攻防對(duì)抗能力、心理素質(zhì)等衡量標(biāo)準(zhǔn);而今后的安全競(jìng)賽，我們很有可能看到更加結(jié)合企業(yè)實(shí)際生產(chǎn)環(huán)境、案例場(chǎng)景等模擬實(shí)際情況的題目，讓選手在接近于行業(yè)特征的環(huán)境中迎接挑戰(zhàn)、檢驗(yàn)水平。

我們大膽的預(yù)言：2016年，我們將迎來(lái)更貼近實(shí)戰(zhàn)的安全競(jìng)賽。唯此，中國(guó)的安全競(jìng)賽才能越走越快、越走越深、越來(lái)越贏得企業(yè)的歡迎和認(rèn)可!