年度盘点:中国安全竞赛星火燎原 人才培养机制面临突破
2016-02-20 19:45:27   来源： 杨文飞 51CTO.com    评论：0 点击：

对中国网络安全行业来说，2015年无疑是浓墨重笔的一年;但如果再要从激情澎湃的网络安全领域挑选两个最重大的事件的话，51CTO记者认为，一是中国网络安全立法工作取得了重大突破，另一个就是中国网络安全竞技领域的迅速崛起——前者是国家战略，后者却是民间推动。甚至可以说，2015年就是中国网络安全竞赛的元年!这一年，无论对中国的网络安全竞技领域还是中国网络安全人才的培养，都发生了重大变化，且将产生深远的影响。

数量过百场：竞赛热突然爆发遍布神州

网络安全竞赛源于一种黑客之间的对抗游戏。1996年，全球顶级黑客大会DEFCON率先举行了CTF(Catch The Flag，一般译为“夺旗赛”)安全竞技大赛，此后每年与DEFCON大会同期举行，逐步形成类似“世界杯”足球赛的世界顶级安全竞技大赛。

中国的安全竞技行业在2014年之前的发展其实相当缓慢。2010年前后，CTF竞赛通过各种渠道陆续进入中国，首先在中国的部分高校陆续组建了一些安全竞赛的战队雏形。2012年，由清华大学蓝莲花战队、成都信息工程学院(现成都信息工程大学)三叶草战队和上海交大0ops战队等组成中国联队首次参加DEFCON CTF大赛，闯入前20名。此后三年，以蓝莲花为首的中国战队连续三年闯入前6名。中国网络安全战队在世界有了一席之地。

但与世界大赛的迅速发展相比，中国国内的安全竞技比赛发展并不快速。记者查询了网上的资料，能查到的全国性质比赛基本上是从2014年开始的，稍有影响力(或者说尚能查到的)只有3月的BCTF、北京首届“429”网络安全日、5月CNCERT首届比赛、7月的四川省大学生比赛以及年底的“湖湘杯”比赛等聊聊几场而已。但一跨入2015，情况发生了极其明显的改观!

记者通过对各方进行了解，并结合互联网上的资料，整理了一下这份2015年中国国内网络安全竞赛不完整名单：

之所以说是“不完整”名单，一方面记者听说还有不少的比赛，但可惜资料不全;第二是仅51CTO记者所知，就有约30场部分行业、单位组织的不公开的安全竞赛。初步估算，2015年全国举行的各级各类安全竞赛肯定超过百场!

安全竞赛需要一个相当复杂准备，尤其是攻防对抗的比赛比单纯的答题赛需要准备的时间更长、复杂性更高，而这些工作其实一直都是一些安全企业的研发和服务人员兼职。曾服务“湖湘杯”的北京某公司技术专家刘博鹤曾在2015年中期告诉记者，从3月之后，他每个月都有比赛要支撑，这频度是他此前从未想象过的;而2015年底记者再见到他，他基本上已经全职负责比赛支持了。在这一年，仅他参与支持的比赛就超过30场!

必须说明的是，2015年中国网络安全竞赛增加的不仅仅是数量。从上表可以看出，如今组织网络安全竞赛的单位已经跨越多个行业、多个地域。从华东到西部，从电信到教育，从普及型的比赛到专业、规范的XCTF，各级各类比赛已经遍布神州!所有这些，都让我们有足够的理由宣布：中国网络安全竞赛，已经进入了一个全新的时代。

高水平：赛制变化引发比赛更难更好看

2015年的网络安全竞赛与此前明显不同的其实还有比赛的组织形式和参赛人员的技战术水平。

2015年以前，中国为数不多的网络安全竞赛基本上是以答题为主。这种赛制组织相对简便，参赛人员可以比较多;但其弊端也非常明显，那就是发展到一定程度之后，比赛就变成了类似“奥数”的知识竞赛，这就与网络安全本身希望培养攻防实战能力初衷出现了偏移。

回顾从近两年的网络安全比赛历史，记者发现2014年12月的“湖湘杯”比赛应该是中国网络安全竞赛的赛制发展上值得关注的一场比赛。这场全国级别的比赛率先采用两级赛制，初赛采用答题方式，最终的决赛采用现场对抗方式——所有这些，与全球的CTF比赛模式已经相当接近。

不知道是不是受到“湖湘杯”的影响，接下来举办的两场第二届国家级别的大型比赛——2015年4月和6月分别举行的北京“429”首都网络安全日第二届网络安全技术大赛和CNCERT第二届中国网络安全攻防大赛——都不约而同地改变了第一届的答题赛制，变为类似人人对抗和人机对抗混合的实战对抗方式，也都取得了非常好的效果。自此之后，2015年几乎所有国家级的主流网络安全竞赛模式都采用了类似模式，从而实现了与国际赛制的接轨。

国家互联网应急中心(CNCERT)运行处副处长李佳在2015年6月曾接受过51CTO记者的采访，他介绍说：“和传统的夺旗(答题)赛相比，我们采用了新的AWD(攻防兼备)的比赛模式，这种模式环境搭建复杂度增加了很多，对技术支持的要求也增加了很多，我们和技术支持单位为之付出了巨大的努力。”承担了2015年半数以上安全竞赛技术支持的北京永信至诚科技股份有限公司总经理李炜说：“比赛的形式除了教育公众之外，也是要发现好的苗子，这对很多单位、企业还是一个刚需;但从院校等传统方式培养的人才实际经验不足，达不到他们所期待的水平。正是因为有这样的供需矛盾，才促使我们研发出AWD(攻守兼备)模式的竞赛形式，来考验选手的综合能力，选拔出真正的人才。”

与赛制相适应的当然是参赛水平的提高。新的比赛形式，要求参赛队伍的综合能力更高，对抗性更强，对攻击和防御两方面的能力要求更高。而随着比赛的密度逐步增加，参赛队员的水平水涨船高。2015年ISC比赛冠军团队、华东交通大学参赛选手严敏睿在接受采访时介绍说：“相比之前，2015年选手的整体水平上升了，打酱油的少了很多，‘赛棍’也越来越多了，经常看到一些熟悉的面孔。题目上的水平也提高了。”类似的感觉并不在少数。核心骨干出自著名的蓝莲花战队的北京长亭科技组成“长亭外”战队，在上半年连续征战北京“429”和CNCERT两场大赛，志在必得的他们连续得到了两个第二名，战队主力陈宇森在表达遗憾之余，也对国内比赛总体水平的提高感到高兴。参与过数十场比赛的北京某公司现场支持许学伟对记者提起一个印象颇深的“好玩的事儿”，2015年11月在上海举行的“东华春秋杯”，0ops战队可能出于锻炼队伍的目的派出新选手，但因战队在圈内知名度最高，反成主要攻击对象，从比赛开始就被其他各队一直攻击到比赛结束，最后竟然不幸成为“吊车尾”。许学伟能明显感觉到，下半年的比赛水平和激烈程度，比上半年已经有了大幅度的提升。

也许可以作为国内比赛水平逐步提升的一种例证，在2015年8月举办的DEFCON CTF大赛上，中国三支战队——百度蓝莲花、0ops和台湾HITCON战队——分获4-6位。而三支参赛队伍的绝大多数队员，其实都已经在XCTF联赛上经受了种种考验，这种经历在2014年之前是不可想象的。

还有一个赛制引起的连锁反应必须要提及，那就是新赛制引发的现场比赛可看性明显增强，现场直播逐步成为2015年网络安全竞赛的“标配”，这一点和2014年之前的类似于笔试场面的网络安全竞赛形成了鲜明的对比。记者在现场看到，在四川省高校安全竞赛的时候，原本每次比赛开始后各位领导老师们会趁空闲开会，但这次进行了现场直播，现场的攻防对抗和得分情况实时体现在会议室的大屏幕上，就算在中午吃饭时间，还有几个老师紧盯着屏幕不肯离开。ISC比赛期间3位年轻小伙子实现了全天约7个小时的不间断现场直播讲解，让比赛现场从始至终都围满了观战的人群。这些虽然不是比赛的核心点，但也给2015年的网络安全竞赛添加了一抹亮色——安全竞赛不仅能让内行看得目不转睛，也可以让“外行”觉得“有趣”，这无疑对网络安全技术的大众化普及意义颇深，甚至可以说对整个行业的发展都将起到积极的促进作用。

影响深：竞赛兴起促人才培养与选拔模式变革

之所以将2015年定义为“网络安全竞赛元年”，也是因为在这一年，安全竞赛这种形式真正开始形成了自己的产业链，深入影响到其他领域，特别是安全人才培养领域。

有数据显示，到2017年，国内信息安全人员缺口约150万，全球范围内约450万。而相对应的是每年我们的各类专业教育机构只能输出2万名左右的相关人员。在网络安全已经上升为国家战略的情况下，人才的稀缺问题就更加凸显——无论是中国、美国还是其他国家。在这样的背景下，各个机构和行业都有需求和动机用各种方式挖掘人才;而与培养人才的长期化相比，通过竞赛的形式快速选拔和发现人才，显然是更“高效”的方式。如李炜所说，“安全竞赛是有实际意义的，那就是发现人才。这也是今年安全竞赛井喷的重要原因。”

以iOS越狱扬名世界的盘古团队(