一、創(chuàng)新實(shí)踐能力賽總決賽時(shí)間/承辦高校安排:
7月24-26日
7月24日10-14點(diǎn):報(bào)到,報(bào)到地點(diǎn)-清華大學(xué)李兆基大樓二樓A278多功能廳
7月24日14-18點(diǎn):靶標(biāo)環(huán)境部署測(cè)試
7月25日8點(diǎn) – 9點(diǎn):總決賽開(kāi)賽儀式
7月25日9點(diǎn) – 18點(diǎn):第一階段綜合攻防環(huán)節(jié)競(jìng)賽(含一小時(shí)午餐時(shí)間)
7月26日8點(diǎn) – 12點(diǎn):第二階段綜合攻防環(huán)節(jié)競(jìng)賽
7月26日13點(diǎn) – 18點(diǎn):ShareIt交流環(huán)節(jié) + 分享 + 成績(jī)公布 + 閉幕式
承辦高校聯(lián)系方式:
承辦高校:清華大學(xué)
創(chuàng)新實(shí)踐能力賽秘書(shū)處聯(lián)系電話(huà):010-62603252
聯(lián)系人: 邱 實(shí) 老師(匯款咨詢(xún)):18611444464
秘書(shū)處電子郵箱:ciscn_2018@163.com、qiushi@cernet.edu.cn
秘書(shū)處通信地址:北京市海淀區(qū)清華大學(xué)FIT大樓網(wǎng)絡(luò)科學(xué)與網(wǎng)絡(luò)空間研究院 CISCN2018競(jìng)賽秘書(shū)處 邱實(shí) 老師 郵編:100084
二、創(chuàng)新實(shí)踐能力賽總決賽獎(jiǎng)項(xiàng)設(shè)置
名次 | 獎(jiǎng)項(xiàng) | 獎(jiǎng)杯或證書(shū) |
1 | 冠軍 | 冠軍獎(jiǎng)杯 全國(guó)一等獎(jiǎng)(第一名)證書(shū) |
2 | 亞軍 | 亞軍獎(jiǎng)杯 全國(guó)一等獎(jiǎng)(第二名)證書(shū) |
3 | 季軍 | 季軍獎(jiǎng)杯 全國(guó)一等獎(jiǎng)(第三名)證書(shū) |
4-10 | 全國(guó)一等獎(jiǎng) | 全國(guó)一等獎(jiǎng)證書(shū) |
11-24 | 全國(guó)二等獎(jiǎng) | 全國(guó)二等獎(jiǎng)證書(shū) |
技術(shù)委員會(huì)評(píng)選 不超過(guò)3隊(duì) | 網(wǎng)絡(luò)安全挑戰(zhàn)創(chuàng)新單項(xiàng)獎(jiǎng) | 網(wǎng)絡(luò)安全挑戰(zhàn)創(chuàng)新單項(xiàng)獎(jiǎng)證書(shū) |
三、創(chuàng)新實(shí)踐能力賽總決賽比賽指南
1、八個(gè)賽區(qū)的半決賽產(chǎn)生24支隊(duì)伍入圍總決賽,由競(jìng)賽承辦方統(tǒng)一提供附近賓館、飯店等相關(guān)信息,食宿及相關(guān)費(fèi)用由參賽學(xué)校自行安排。
2、每支參賽隊(duì)從在線(xiàn)初賽名單中選擇不超過(guò)6名隊(duì)員參加現(xiàn)場(chǎng)比賽,其中場(chǎng)上允許不超過(guò)4名隊(duì)員,2名隊(duì)員在場(chǎng)邊候補(bǔ),可由指導(dǎo)老師或場(chǎng)上隊(duì)長(zhǎng)申請(qǐng)?zhí)嫜a(bǔ)上場(chǎng)。
3、總決賽時(shí)間/地點(diǎn):2018年7月24日——2018年7月26日期間,具體地點(diǎn)為:清華大學(xué)李兆基大樓二樓A278多功能廳。
4、總決賽采用開(kāi)放命題形式的創(chuàng)新實(shí)踐能力攻防賽,由BuildIt(創(chuàng)新安全應(yīng)用開(kāi)發(fā))、綜合攻防(包含BreakIt安全應(yīng)用攻擊破解、FixIt安全應(yīng)用漏洞修補(bǔ)等綜合能力)、ShareIt分享三個(gè)環(huán)節(jié)構(gòu)成,參賽隊(duì)伍必須參加所有環(huán)節(jié),否則視為放棄比賽資格。
5、BuildIt環(huán)節(jié):賽隊(duì)根據(jù)技術(shù)委員會(huì)發(fā)布的應(yīng)用場(chǎng)景開(kāi)發(fā)功能與特性需求,選擇其中一個(gè)場(chǎng)景,開(kāi)發(fā)出符合所要求功能與特性的安全應(yīng)用,并預(yù)設(shè)適合攻防競(jìng)賽模式的創(chuàng)新性網(wǎng)絡(luò)安全挑戰(zhàn),構(gòu)建出靶標(biāo)環(huán)境,具體場(chǎng)景需求、功能接口、提交靶標(biāo)要求與半決賽相同(https://github.com/CyberPeace/ciscn2018-template)。賽隊(duì)提交靶標(biāo)環(huán)境后,由技術(shù)委員會(huì)使用Checker程序進(jìn)行測(cè)試,根據(jù)通過(guò)功能特性測(cè)試的比例,給出功能實(shí)現(xiàn)度評(píng)價(jià),隊(duì)伍可在官方提供Checker程序基礎(chǔ)上進(jìn)行增加功能檢查邏輯,提交Checker程序用于比賽時(shí)的服務(wù)正常性檢測(cè)。對(duì)參賽隊(duì)伍提供的EXP腳本進(jìn)行預(yù)設(shè)創(chuàng)新性網(wǎng)絡(luò)安全挑戰(zhàn)測(cè)試,其中EXP利用的預(yù)設(shè)網(wǎng)絡(luò)安全技術(shù)挑戰(zhàn)點(diǎn)不應(yīng)超過(guò)5個(gè),EXP代碼采用標(biāo)準(zhǔn)編碼規(guī)范,應(yīng)不加任何混淆且不包含Pre-Shared Key或弱密碼列表等等,代碼長(zhǎng)度原則上應(yīng)少于200行,以能成功獲取平臺(tái)方配置的Flag,同時(shí)包含完整的EXP、Hints、Writeup、分享PPT等代碼和文檔,給出EXP創(chuàng)新性與完整性評(píng)價(jià)。
總決賽賽隊(duì)的靶標(biāo)環(huán)境提交截止時(shí)間為7月10日23:59分, 發(fā)送郵件和附件至:ciscn2018@126.com,請(qǐng)?jiān)卩]件標(biāo)題中標(biāo)明戰(zhàn)隊(duì)和場(chǎng)景類(lèi)型(Pwn、Web)。
技術(shù)委員會(huì)審核通過(guò)的靶標(biāo)環(huán)境進(jìn)入候選靶標(biāo)庫(kù)(注:Web將在靶標(biāo)環(huán)境中均包含源代碼,Pwn場(chǎng)景二進(jìn)制代碼將在比賽平臺(tái)的靶標(biāo)列表中提供下載鏈接),每個(gè)隊(duì)伍抽取等數(shù)量的N個(gè)(N為6-12區(qū)間,由技術(shù)委員會(huì)根據(jù)提交靶標(biāo)數(shù)量和難度在賽前確定)靶標(biāo)環(huán)境(根據(jù)所有靶標(biāo)環(huán)境的比例,分配每個(gè)隊(duì)伍Web及Pwn靶標(biāo)環(huán)境的比例),自己隊(duì)伍Build的靶標(biāo)環(huán)境不由本隊(duì)使用,每個(gè)審核通過(guò)的靶標(biāo)環(huán)境被分配給盡可能相同數(shù)量的隊(duì)伍運(yùn)維(可能存在隊(duì)伍靶標(biāo)審核不及格造成無(wú)法分配相同數(shù)量隊(duì)伍的原因)。
賽隊(duì)在BuildIt環(huán)節(jié)得分根據(jù)功能實(shí)現(xiàn)度、EXP創(chuàng)新性與完整性這兩個(gè)維度進(jìn)行綜合計(jì)分。網(wǎng)絡(luò)安全挑戰(zhàn)創(chuàng)新單項(xiàng)獎(jiǎng)根據(jù)BuildIt環(huán)節(jié)(20分)和ShareIt環(huán)節(jié)(80分)的綜合計(jì)分,由技術(shù)委員會(huì)評(píng)定。
每個(gè)賽隊(duì)與該分區(qū)賽隊(duì)BuildIt環(huán)節(jié)最高分進(jìn)行歸一化處理,乘以基礎(chǔ)系數(shù)(如1500分)后作為綜合攻防環(huán)節(jié)的附加基礎(chǔ)分。BuildIt環(huán)節(jié)其中功能實(shí)現(xiàn)度10分、EXP創(chuàng)新性與完整性10分,當(dāng)功能實(shí)現(xiàn)度和EXP創(chuàng)新性與完整性合計(jì)分不及格(Web、Pwn場(chǎng)景的具體及格分視提交靶標(biāo)數(shù)量、質(zhì)量由技術(shù)委員會(huì)確定),將可能審核不通過(guò),不進(jìn)入候選靶標(biāo)庫(kù),則該賽隊(duì)在綜合攻防環(huán)節(jié)的附加基礎(chǔ)分為0,并失去面對(duì)本隊(duì)Build靶標(biāo)環(huán)境進(jìn)行得分的優(yōu)勢(shì)條件。
6、綜合攻防環(huán)節(jié):綜合攻防環(huán)節(jié)中各參賽隊(duì)伍同時(shí)進(jìn)行BreakIt安全應(yīng)用攻擊破解和FixIt安全應(yīng)用漏洞修補(bǔ)的操作,并采用“零和游戲”計(jì)分規(guī)則進(jìn)行計(jì)分與排名。
綜合環(huán)節(jié)開(kāi)始時(shí)刻各賽隊(duì)的初始分?jǐn)?shù)為1500 * N + BuildIt環(huán)節(jié)附加基礎(chǔ)分,分為N個(gè)分值桶,對(duì)應(yīng)賽隊(duì)所需維護(hù)的N個(gè)靶標(biāo)環(huán)境。
各賽隊(duì)在每個(gè)回合中,均可對(duì)其他賽隊(duì)運(yùn)維的靶標(biāo)環(huán)境進(jìn)行預(yù)設(shè)安全挑戰(zhàn)研究與破解,嘗試檢測(cè)出靶標(biāo)環(huán)境中的預(yù)設(shè)安全挑戰(zhàn)或者未預(yù)期安全漏洞,攻破靶標(biāo)環(huán)境獲取動(dòng)態(tài)Flag并提交到比賽平臺(tái)進(jìn)行驗(yàn)證得分,如Flag驗(yàn)證通過(guò),則根據(jù)當(dāng)前回合該Flag被M個(gè)隊(duì)伍成功獲取提交,平分獲得50/M得分(加入得分隊(duì)伍相同列靶標(biāo)環(huán)境的分值桶),而被獲取Flag的賽隊(duì)失去50分。如被攻擊賽隊(duì)該靶標(biāo)環(huán)境的分值桶已到0,則被獲取Flag不再失分,而其他賽隊(duì)也不再得分。
各賽隊(duì)在每個(gè)回合中,也可以對(duì)自己運(yùn)維的靶標(biāo)環(huán)境進(jìn)行預(yù)設(shè)安全挑戰(zhàn)的研究與修補(bǔ),嘗試修復(fù)靶標(biāo)環(huán)境中的預(yù)設(shè)安全挑戰(zhàn)或者未預(yù)期安全漏洞,以防止其他賽隊(duì)通過(guò)攻擊獲取本方運(yùn)維靶標(biāo)環(huán)境的動(dòng)態(tài)Flag進(jìn)行得分,在進(jìn)行漏洞修補(bǔ)的過(guò)程中必須保證己方靶標(biāo)環(huán)境的正常工作并通過(guò)競(jìng)賽平臺(tái)每回合的功能Check,如靶標(biāo)環(huán)境宕機(jī)或無(wú)法通過(guò)功能Check,則賽隊(duì)失去50分,平分給當(dāng)前回合相同列靶標(biāo)環(huán)境正常的P個(gè)賽隊(duì),每個(gè)賽隊(duì)獲得50/P得分(加入得分隊(duì)伍相同列靶標(biāo)環(huán)境的分值桶),如相同列靶標(biāo)環(huán)境所有隊(duì)伍均異常,則不失分,其他賽隊(duì)也不得分。如失分賽隊(duì)該靶標(biāo)環(huán)境的分值桶已到0,則不再失分,而其他賽隊(duì)也不再得分。
賽隊(duì)在進(jìn)行靶標(biāo)環(huán)境FixIt的同時(shí),也可以借助對(duì)靶標(biāo)環(huán)境的代碼審計(jì)或逆向分析發(fā)掘安全漏洞,以及通過(guò)對(duì)靶標(biāo)環(huán)境遭受攻擊流量(在比賽平臺(tái)上獲取上一回合的流量)進(jìn)行分析,支持對(duì)其他賽隊(duì)相同靶標(biāo)環(huán)境的攻擊。
綜合環(huán)節(jié)分兩天賽程,則第一天上線(xiàn)2/3 * N(如N=9時(shí),則為6)的賽題,第二天上午上線(xiàn)1/3 * N(如N=9時(shí),則為3)的賽題,第二天上午每回合的時(shí)長(zhǎng)為第一天的1/2(如第一天回合每10分鐘,則第二天上午每回合5分鐘)。
綜合攻防環(huán)節(jié)結(jié)束后,以當(dāng)前各賽隊(duì)的積分排行榜作為比賽最終成績(jī)及排行。
7、ShareIt環(huán)節(jié):各賽隊(duì)必須事先準(zhǔn)備對(duì)BuildIt環(huán)節(jié)設(shè)計(jì)靶標(biāo)環(huán)境中的創(chuàng)新網(wǎng)絡(luò)安全技術(shù)挑戰(zhàn)的分享PPT,5分鐘進(jìn)行設(shè)計(jì)創(chuàng)新思路的展示,并在3-5分鐘的Challenge質(zhì)詢(xún)時(shí)間中接受技術(shù)評(píng)委和其他賽隊(duì)的提問(wèn)并回答,技術(shù)專(zhuān)家組評(píng)委根據(jù)BuildIt環(huán)節(jié)得分和ShareIt各賽隊(duì)的分享情況,評(píng)出網(wǎng)絡(luò)安全挑戰(zhàn)創(chuàng)新單項(xiàng)獎(jiǎng)獲獎(jiǎng)隊(duì)伍。
8、總決賽參賽隊(duì)嚴(yán)禁泄露參賽靶標(biāo)題目環(huán)境;賽中允許參賽隊(duì)伍訪(fǎng)問(wèn)互聯(lián)網(wǎng)查詢(xún)資料,但不允許參賽隊(duì)使用手機(jī)、即時(shí)通信軟件等渠道與外界溝通交流,第一次發(fā)現(xiàn)給予警告處理,第二次發(fā)現(xiàn)將取消比賽資格;采取比賽平臺(tái)嚴(yán)格的反作弊監(jiān)控機(jī)制;技術(shù)委員會(huì)有權(quán)要求所有賽隊(duì)在第一天結(jié)束和第二天結(jié)束的1小時(shí)內(nèi)提交破解攻擊報(bào)告和EXP代碼,由技術(shù)委員會(huì)進(jìn)行審核,以確定比賽得分和排名,對(duì)于過(guò)程中發(fā)現(xiàn)比賽作弊或?qū)Ρ荣惼脚_(tái)攻擊行為,將采取禁賽、直接取消比賽成績(jī)等處罰措施,情節(jié)嚴(yán)重者將通報(bào)賽隊(duì)所在高校。
重要時(shí)間節(jié)點(diǎn):
7月10日
總決賽賽隊(duì)的靶標(biāo)環(huán)境提交截止時(shí)間為7月10日23:59分, 發(fā)送郵件和附件至:ciscn2018@126.com,請(qǐng)?jiān)卩]件標(biāo)題中標(biāo)明高校名稱(chēng)、戰(zhàn)隊(duì)名稱(chēng)和場(chǎng)景類(lèi)型(Pwn、Web)。
7月24日
報(bào)到,清華大學(xué)李兆基大樓二樓A278多功能廳
教育部高等學(xué)校信息安全專(zhuān)業(yè)教學(xué)指導(dǎo)委員會(huì)
第十一屆全國(guó)大學(xué)生信息安全競(jìng)賽創(chuàng)新實(shí)踐能力賽組委會(huì)
2018年6月26日