第十六屆全國大學生信息安全競賽

——創(chuàng)新實踐能力賽線上初賽參賽手冊

一、大賽背景

為積極響應國家網絡空間安全人才戰(zhàn)略，加快攻防兼?zhèn)鋭?chuàng)新人才培養(yǎng)步伐，實現以賽促學、以賽促教、以賽促用，推動網絡空間安全人才培養(yǎng)和產學研用生態(tài)發(fā)展，由國防科技大學與中國科學技術大學聯(lián)合承辦的第十六屆全國大學生信息安全競賽——創(chuàng)新實踐能力賽（以下簡稱“大賽”）將于2023年4月至2023年8月舉行，面向全國高校在校生開放。

二、初賽安排

表1 初賽安排時間表

大賽工作組將會在官方資格賽開賽前一天向成功報名的選手預留手機號中發(fā)送短信通知，請各參賽選手注意查收。屆時會通知比賽平臺開放的具體時間、參賽賬號和初始密碼（已注冊過i春秋賬號的同學可直接使用自己設置的密碼登錄），參賽選手可按短信中的要求，登錄平臺進行賬號測試。如未接收到相關短信，或在測試過程中遇到問題，請聯(lián)系大賽技術支持相關工作人員，聯(lián)系方式詳見文末表4。

三、報名時間與地址

報名時間：4月27日-5月25日

報名地址：http://www.minghaohui.cn

四、比賽地址

https://ctf.ichunqiu.com/2023ciscn（5月26日對外開放）

五、賽制：知識問答+場景實操

線上初賽由大賽技術委員會命題，采用在線答題模式，題目覆蓋多種創(chuàng)新實踐能力基礎技能，由知識問答環(huán)節(jié)和場景實操環(huán)節(jié)兩部分組成。

（一）知識問答環(huán)節(jié)說明

以選擇題的方式考察，主要涵蓋政策法規(guī)、網絡安全、數據安全等方面的知識，問答比賽規(guī)則如下：

1.知識問答環(huán)節(jié)共10道選擇題，每題10分，共100分；

2.各參賽戰(zhàn)隊需在平臺上觀看5段視頻，每看完1段視頻后將出現2道選擇題；

3.答題時間限制在第一天的3h時間內作答，第二天不能作答。如未在規(guī)定時間內參與答題則該環(huán)節(jié)得分為零；

4.以戰(zhàn)隊為單位參賽，同戰(zhàn)隊內所有參賽隊員皆可答題，每支參賽隊伍每道題目僅有一次提交答案機會，已經提交的答案不支持修改。

（二）場景實操（CTF奪旗賽）環(huán)節(jié)說明

各參賽隊員登錄比賽地址，進入到比賽平臺，以隊伍為單位進行答題，每道賽題均內置1個flag。每道題目有不同的網絡或應用場景，參賽者需要采用在線操作或離線分析的方式，獲取到埋藏在題目中的特殊字符串（俗稱“flag”），通過在平臺提交正確的flag獲取得分。未提交或提交錯誤不得分。比賽結束后3小時內，參賽隊需提交每道賽題詳細的解題報告（WriteUp）。

（三）場景實操考核范圍

賽題類型主要包括：Web安全、二進制漏洞挖掘利用、逆向分析與移動安全、密碼分析、安全編程等。

表2 賽題類型表

（四）場景實操計分方式

場景實操環(huán)節(jié)采用動態(tài)積分方式，即每一道題目初始分數相同（500分）。題目分值隨著解題隊伍數量的增加將隨之減少，且所有解出此題的隊伍所持有的分數都會動態(tài)減少。若題目沒有被成功解出，則題目分數保持不變。譬如某賽題初始分值為500分，第一支解出該題目的戰(zhàn)隊將獲得500分。若陸續(xù)有隊伍解出該題目，則該題目的分數隨之減少，同時所有解出該題的隊伍得分都將會隨著題目的當前分值動態(tài)調整。簽到題以外的題目最先回答出來的三個隊伍分別獲得3%、2%和1%額外分數加成。

注：題目分數衰減公式為：

解出該題人數=0時：實時分數 = 題目分數

解出該題人數>0時：實時分數 = 題目分數 * (1/(0.05*(解出該題的隊伍數+19)))

每道題目最低衰減值為50分。

六、計分規(guī)則

戰(zhàn)隊最終得分 = 知識問答得分 + 場景實操得分

七、錄屏要求

本次大賽將采用嚴格的反作弊機制，建議所有參賽選手對比賽所使用的電腦進行屏幕錄制，作為反作弊申訴的重要依據。屏幕錄制的相關要求如下：

1.參賽選手可根據不同機型及操作系統(tǒng)自行選擇錄屏軟件（推薦使用EVCapture錄屏軟件、OBS錄屏軟件、Mac自帶錄屏軟件QuickTime等），不做強制要求。參賽選手需在賽前進行下載安裝及調試，比賽前不再提供下載安裝及調試時間；

2.參賽選手只能在參賽電腦的操作系統(tǒng)上錄屏，錄屏不能在遠程登錄的系統(tǒng)或虛擬機中進行錄屏；如參賽選手在解題過程中涉及分屏或多屏操作，則所有屏幕均需錄制；

3.使用部分錄屏軟件時，錄制時長過久會造成視頻數據無法及時寫入硬盤，使得內存中堆積大量數據，錄屏軟件申請不到新的內存而停止，從而導致錄屏失敗。因此，請參賽選手根據不同軟件所需，每2小時或3小時保存一次錄屏文件，隨后馬上開啟新的一次錄屏。除手動保存錄屏文件外，比賽期間屏幕錄制不能中斷；

4.參賽選手不得對錄屏文件有任何的剪輯或后期加工處理。錄屏視頻時長均需涵蓋兩天比賽全程9:00-17:00，所錄視頻內容必須包括：對題目進行分析及測試過程、腳本編寫及運行過程、獲取flag及提交flag過程，以及必須包括選手、隊伍信息和實時時間信息等。

八、平臺操作說明

（一）平臺登錄界面

圖1 平臺登錄界面

1.【賬號】：您在報名表中預留的參賽選手手機號；

2.【密碼】：短信通知中的初始密碼或自行設置的密碼；

3.【驗證碼】：右側圖案中數字及字母（不區(qū)分大小寫）；

4.點擊【登錄】即可進入答題界面。

注：如果忘記密碼可點擊登錄頁面中的“忘記密碼”選項，按提示找回密碼，如未能成功找回，可聯(lián)系平臺技術支持工作人員進行找回，聯(lián)系方式詳見表4。

（二）題目列表

圖2 題目列表

注:圖2為示例，非本次比賽題目

點擊題目即可進入獲得題目信息

圖3 題目信息

如圖3所示，在賽題詳情頁面可以查看賽題信息、啟動環(huán)境以及提交賽題flag。參賽團隊通過漏洞挖掘與利用、代碼分析等方式，從題目環(huán)境中得到一串具有一定格式的字符串或其他內容，并將其在平臺上提交，經平臺驗證正確后獲得該題目分值。

（三）黑燈模式

在每天的比賽結束前最后一小時進入“黑燈搏殺”模式，屆時觀戰(zhàn)界面的排行榜、選手答題頁面的排名、得分、攻克題目數等將不再展示，黑燈模式結束后恢復普通模式。

在每天比賽的最后一小時中，每個隊伍只有2次提交正確flag的機會，每提交一道賽題的正確flag扣除一次，提交錯誤flag不扣除次數，提交0解題目的正確flag（獲得一血）不扣除次數。可提交flag機會次數為0時，不允許再提交非0解題的flag。所有0解題的題目名將在比賽公告里實時公布。

（四）注意事項

1.關于Docker容器下發(fā)：每個隊伍同時只能下發(fā)2個容器。請由成功申請下發(fā)容器的隊員，用自己的賬號提交flag。容器下發(fā)后，如訪問不到地址請稍候重試刷新，如果提示錯誤可稍后再重新申請下發(fā)；

2.比賽過程中禁止跨戰(zhàn)隊交流解題思路、答案等賽題相關內容。比賽過程中各戰(zhàn)隊需保護好自己戰(zhàn)隊的唯一標識token（根據題目需要下發(fā)），不得將戰(zhàn)隊token、容器地址等信息分享到戰(zhàn)隊以外。也禁止從其他戰(zhàn)隊獲取任何和題目相關的內容；

3.WriteUp提交時間：28日比賽結束后3小時內請所有參賽戰(zhàn)隊提交場景實操題目的解題思路（WriteUp），不提交或逾期視為自動放棄晉級資格，提交格式為PDF文件；

4.大賽采用動態(tài)flag反作弊、IP漂移監(jiān)控、流量鏡像分析等監(jiān)控技術，發(fā)現比賽作弊或對比賽平臺攻擊行為，將采取禁賽、直接取消比賽成績等處罰措施，情節(jié)嚴重者將通報賽隊所在高校；

5.比賽自開始至結束除了和大賽秘書處、組委會、裁判組、平臺客服溝通外，禁止參賽選手以任何形式、在任何場合交流、討論賽題及解題思路。一經發(fā)現組委會有權取消其比賽成績，情節(jié)嚴重者將通報所在學校。

九、聯(lián)系我們

大賽聯(lián)系人：

李老師（國防科技大學）      電話：18110991801

吳老師（中國科學技術大學）  電話：13855170994

大賽秘書處郵箱：info@ciscn.cn

表3 大賽官方QQ群列表

注：如后續(xù)再開群，將另行通知。

表4 線上初賽技術支持聯(lián)系方式列表

預祝各位參賽選手取得好成績！

                 第十六屆全國大學生信息安全競賽

——創(chuàng)新實踐能力賽競賽組委會

（國防科技大學電子對抗學院代章）

2023年5月17日

第十六屆全國大學生信息安全競賽 創(chuàng)新實踐能力賽線上初賽參賽手冊.pdf