隨著網(wǎng)絡(luò)硬件設(shè)備和大模型在企業(yè)應(yīng)用中的廣泛部署，由漏洞與配置缺陷導(dǎo)致的安全問(wèn)題日益突出。為此，本屆比賽Build環(huán)節(jié)設(shè)置知識(shí)庫(kù)構(gòu)建和安全檢測(cè)項(xiàng)創(chuàng)新設(shè)計(jì)任務(wù)，旨在檢驗(yàn)選手收集整合信息的能力和安全檢測(cè)項(xiàng)創(chuàng)新設(shè)計(jì)能力。

大賽將針對(duì)Build環(huán)節(jié)設(shè)置創(chuàng)新單項(xiàng)獎(jiǎng)，同時(shí)Build環(huán)節(jié)的成果也將在賽后分享給所有參賽隊(duì)伍。

一、基本信息

比賽形式：線上比賽

平臺(tái)地址：https://match.ichunqiu.com/2025build （7月4日10:00開(kāi)放訪問(wèn)）

登錄方式：報(bào)名預(yù)留手機(jī)號(hào)+驗(yàn)證碼

二、賽制介紹

比賽內(nèi)容包括兩個(gè)任務(wù)：

（1）知識(shí)庫(kù)構(gòu)建任務(wù)：圍繞設(shè)定的網(wǎng)絡(luò)硬件設(shè)備方向、大模型安全方向，梳理相關(guān)安全信息，進(jìn)行數(shù)據(jù)清洗與歸類整合，最終提交具備組織性、實(shí)用性的知識(shí)庫(kù)；

（2）安全檢測(cè)項(xiàng)設(shè)計(jì)任務(wù)：依據(jù)主辦方給定的基礎(chǔ)檢測(cè)項(xiàng)，針對(duì)企業(yè)內(nèi)網(wǎng)環(huán)境安全設(shè)計(jì)新增檢測(cè)項(xiàng)，以補(bǔ)充完善企業(yè)內(nèi)網(wǎng)整體安全檢測(cè)體系，最終提交包含原有及新增檢測(cè)項(xiàng)的檢查項(xiàng)測(cè)試集。

2.1知識(shí)庫(kù)構(gòu)建任務(wù)

2.1.1 任務(wù)背景

隨著網(wǎng)絡(luò)硬件設(shè)備和大模型在企業(yè)應(yīng)用中的廣泛部署，其安全問(wèn)題日益突出。網(wǎng)絡(luò)硬件設(shè)備和大模型安全頻現(xiàn)漏洞與配置缺陷。為此，本任務(wù)聚焦網(wǎng)絡(luò)硬件設(shè)備方向和大模型安全方向，梳理漏洞與攻擊案例，進(jìn)行數(shù)據(jù)清洗與分類整合，構(gòu)建具備組織性、實(shí)用性的安全知識(shí)庫(kù)，為提升系統(tǒng)安全防護(hù)能力提供基礎(chǔ)支撐。

2.1.2 任務(wù)目標(biāo)

本任務(wù)旨在引導(dǎo)選手圍繞網(wǎng)絡(luò)硬件設(shè)備與大模型安全兩個(gè)方向構(gòu)建結(jié)構(gòu)化知識(shí)庫(kù)：

一方面，聚焦2020年起Cisco、TP-LINK等主流硬件設(shè)備以及車聯(lián)網(wǎng)設(shè)備的漏洞信息，提取CVE編號(hào)、攻擊向量、補(bǔ)丁鏈接等要素并分類整理；

另一方面，圍繞ChatGPT、文心一言等大模型，系統(tǒng)梳理2023年起公開(kāi)的提示注入、越獄等攻擊技術(shù)與防御方案。

2.1.3 任務(wù)要求

（1）構(gòu)建知識(shí)庫(kù)分為2個(gè)方向：

?網(wǎng)絡(luò)硬件設(shè)備漏洞

?大模型安全漏洞

（2）網(wǎng)絡(luò)硬件設(shè)備漏洞內(nèi)容必須包含以下要素：

?序號(hào)

?設(shè)備品牌

?設(shè)備類型

?產(chǎn)品型號(hào)

?CVE編號(hào)

?漏洞描述

?攻擊向量

?廠商補(bǔ)丁鏈接

?受影響版本

?公開(kāi)日期

注意：設(shè)備類型為路由器、交換機(jī)、防火墻、IDS、IPS之類的設(shè)備品牌，收集范圍包含但不限于Cisco、TP-LINK、NETGEAR、ASUS、D-Link；設(shè)備類型為車載通信網(wǎng)關(guān)、車載信息娛樂(lè)系統(tǒng)、V2X通信模塊、OTA升級(jí)模塊、FOTA管理模塊、CAN總線控制器等車聯(lián)網(wǎng)相關(guān)設(shè)備的品牌不做限制。

（3）大模型安全漏洞內(nèi)容必須包含以下要素：

?序號(hào)

?模型名稱

?廠商

?攻擊類型

?攻擊名稱

?攻擊方式描述

?是否有PoC

?修復(fù)方案

?防御技術(shù)

?公開(kāi)日期

注意：模型名稱包括ChatGPT、Gemini、Claude、Llama、文心一言、通義千問(wèn)等；攻擊類型包括提示注入、越獄、命令注入等。

（4）網(wǎng)絡(luò)硬件設(shè)備漏洞至少包含50個(gè)漏洞信息，大模型安全漏洞至少包含30個(gè)漏洞信息，收集漏洞信息的數(shù)量可擴(kuò)展，數(shù)量不限。

2.1.4 測(cè)試項(xiàng)樣例表

提交的Excel文檔包含2個(gè)sheet。

Sheet1：網(wǎng)絡(luò)硬件設(shè)備安全知識(shí)庫(kù)

Sheet2：大模型安全知識(shí)庫(kù)

2.1.5 提交方式

開(kāi)賽后，在規(guī)定時(shí)間內(nèi)依據(jù)Build任務(wù)內(nèi)容描述，完成收集網(wǎng)絡(luò)硬件設(shè)備漏洞與大模型安全漏洞知識(shí)庫(kù)，按照模板在平臺(tái)對(duì)應(yīng)的題目處提交1個(gè)Excel文檔。

文件名格式：隊(duì)伍編號(hào)_知識(shí)庫(kù)構(gòu)建_提交輪次.xlsx（如：T0001_知識(shí)庫(kù)構(gòu)建_第一輪.xlsx）。

提交前將xlsx文件打包成zip包（文件名隨意）再提交到平臺(tái)。

2.1.6 評(píng)分標(biāo)準(zhǔn)

選手圍繞網(wǎng)絡(luò)硬件設(shè)備與大模型安全兩個(gè)方向構(gòu)建結(jié)構(gòu)化知識(shí)庫(kù)并提交，每一輪賽后平臺(tái)方將知識(shí)庫(kù)應(yīng)用到大模型并且進(jìn)行訓(xùn)練，并由專家評(píng)審團(tuán)從平臺(tái)方知識(shí)庫(kù)中選取10道固定題與5道隨機(jī)題對(duì)訓(xùn)練后的模型進(jìn)行提問(wèn)，依據(jù)回答中技術(shù)要點(diǎn)的準(zhǔn)確性及內(nèi)容完整性進(jìn)行評(píng)分，每題1分，滿分15分。（原有樣例不計(jì)入評(píng)分）。

2.2安全檢測(cè)項(xiàng)設(shè)計(jì)任務(wù)

2.2.1任務(wù)背景

隨著網(wǎng)絡(luò)安全威脅持續(xù)演化，內(nèi)網(wǎng)作為企業(yè)網(wǎng)絡(luò)的核心區(qū)域，其安全防護(hù)尤為關(guān)鍵。傳統(tǒng)的內(nèi)網(wǎng)檢測(cè)手段往往存在盲區(qū)，難以全面覆蓋實(shí)際攻擊面。本任務(wù)旨在引導(dǎo)選手圍繞真實(shí)攻防需求，設(shè)計(jì)具有實(shí)戰(zhàn)意義的內(nèi)網(wǎng)安全檢測(cè)項(xiàng)，增強(qiáng)檢測(cè)體系的全面性和針對(duì)性。

2.2.2任務(wù)目標(biāo)

選手需在已提供的基礎(chǔ)檢測(cè)項(xiàng)基礎(chǔ)上，設(shè)計(jì)新增內(nèi)網(wǎng)安全檢測(cè)項(xiàng)，通過(guò)對(duì)實(shí)際攻擊行為、系統(tǒng)配置、用戶行為、網(wǎng)絡(luò)通信等多維度的分析，提出合理、必要、具備執(zhí)行性的檢測(cè)內(nèi)容。

2.2.3任務(wù)要求

（1）檢測(cè)內(nèi)容分為5個(gè)方向：

?信息收集

?漏洞掃描

?應(yīng)用安全

?主機(jī)安全

?應(yīng)急響應(yīng)

（2）每項(xiàng)檢測(cè)內(nèi)容必須包含以下要素：

?測(cè)試項(xiàng)

?測(cè)試步驟

（3）每個(gè)基礎(chǔ)檢測(cè)項(xiàng)中最多計(jì)分10個(gè)有效測(cè)試項(xiàng)（不包含原有樣例測(cè)試項(xiàng)），并且這些測(cè)試項(xiàng)屬于該檢測(cè)項(xiàng)的范圍，新增檢測(cè)項(xiàng)設(shè)計(jì)數(shù)量不限，但每支隊(duì)伍最多計(jì)分50個(gè)有效的測(cè)試項(xiàng)。

（4）所提交內(nèi)容需結(jié)構(gòu)清晰、邏輯完整，具備實(shí)戰(zhàn)可行性。

（5）所有新增檢測(cè)項(xiàng)將在每一輪賽后由專家評(píng)審團(tuán)進(jìn)行審核。

2.2.4測(cè)試項(xiàng)樣例表

2.2.5提交方式

開(kāi)賽后，在規(guī)定時(shí)間內(nèi)依據(jù)Build任務(wù)內(nèi)容描述，完成安全檢測(cè)項(xiàng)設(shè)計(jì)，按照模板在平臺(tái)對(duì)應(yīng)的題目處提交1個(gè)Excel文檔。

文件名格式：隊(duì)伍編號(hào)_安全檢測(cè)項(xiàng)設(shè)計(jì)_提交輪次.xlsx（如：T0001_安全檢測(cè)項(xiàng)設(shè)計(jì)_第一輪.xlsx）。

提交前將xlsx文件打包成zip包（文件名隨意）再提交到平臺(tái)。

2.2.6評(píng)分標(biāo)準(zhǔn)

選手根據(jù)基礎(chǔ)檢查項(xiàng)補(bǔ)充并完善新的檢測(cè)項(xiàng)，每一輪賽后由專家評(píng)審團(tuán)確認(rèn)新設(shè)計(jì)的檢測(cè)項(xiàng)為必要增加內(nèi)容，給出相應(yīng)分值。每新增1個(gè)有效檢測(cè)項(xiàng)得1分，最高得分為50分。

2.3總成績(jī)計(jì)分規(guī)則

Build環(huán)節(jié)總成績(jī)=（知識(shí)庫(kù)構(gòu)建分?jǐn)?shù)/最高知識(shí)庫(kù)構(gòu)建分?jǐn)?shù)）*80分+（安全檢測(cè)項(xiàng)設(shè)計(jì)分?jǐn)?shù)/最高安全檢測(cè)項(xiàng)設(shè)計(jì)分?jǐn)?shù)）*20分

Build環(huán)節(jié)有兩個(gè)提交的時(shí)間段，第二輪可優(yōu)化第一輪的提交內(nèi)容后重新提交，最終成績(jī)?nèi)奢喼凶罡叻帧?/span>

注*Build環(huán)節(jié)不設(shè)立并列名次，名次按照所得分?jǐn)?shù)從高到低排列，同分?jǐn)?shù)情況下相對(duì)的用時(shí)較短者排名在前。

三、操作指南

3.1平臺(tái)登錄

比賽登錄界面如下圖所示：

3.2答題界面

點(diǎn)擊題目圖標(biāo)即可進(jìn)入，選手可自由選擇答題順序。

3.3上傳文件

點(diǎn)擊“上傳文件”，提交對(duì)應(yīng)文件。注意：文件大小不超過(guò)100MB，文件格式為“.zip”。

注*以上圖片均為示例

選手提交完后，等待平臺(tái)公布成績(jī)。每個(gè)任務(wù)可以提交多次，但每一輪只對(duì)選手最后一次提交做評(píng)審。

四、注意事項(xiàng)

參賽團(tuán)隊(duì)須獨(dú)立完成全部構(gòu)建與設(shè)計(jì)內(nèi)容，嚴(yán)禁復(fù)制抄襲其他隊(duì)伍成果。

如遇賽程中遇到任何問(wèn)題，選手可通過(guò)競(jìng)賽官方QQ群（1046816089），聯(lián)系群內(nèi)工作人員。

本Build環(huán)節(jié)的相關(guān)規(guī)則及未盡事宜，最終解釋權(quán)歸第十八屆全國(guó)大學(xué)生信息安全競(jìng)賽——?jiǎng)?chuàng)新實(shí)踐能力賽組委會(huì)所有。

檢測(cè)項(xiàng)樣例表附件：檢測(cè)項(xiàng)樣例表.zip

第十八屆全國(guó)大學(xué)生信息安全競(jìng)賽

創(chuàng)新實(shí)踐能力賽競(jìng)賽組委會(huì)

（鄭州大學(xué)網(wǎng)絡(luò)空間安全學(xué)院 代章）

2025年7月

第十八屆全國(guó)大學(xué)生信息安全競(jìng)賽創(chuàng)新實(shí)踐能力賽Build環(huán)節(jié)（知識(shí)庫(kù)構(gòu)建與安全檢測(cè)項(xiàng)創(chuàng)新設(shè)計(jì)）賽前須知.pdf