第一章 方案背景
1.1 政策分析
近几年,随着移动互联网、大数据、云计算、人工智能等新一代信息技术的快速发展,围绕网络和数据的服务与应用呈现爆发式增长,丰富的应用场景下暴露出越来越多的网络安全风险和问题,并在全球范围内产生广泛而深远的影响,例如近几年频繁发生的勒索病毒攻击、跨国电信诈骗、数据泄露、网络暴力等事件,给各国的互联网发展与治理带来巨大的挑战。
近几年来,我国政府推动了一系列网络安全管理的法律法规、标准和政策的落地。2015年7月1日,《国家安全法》公布施行,其中首次以法律形式提出“维护国家网络空间主权”,并明确提出国家建设网络与信息安全保障体系。2015年7月6日,《中国人民共和国网络安全法(草案)》发布,于2017年6月1日正式实施。并且我国还先后提出或颁布了多个配套法律法规和规范性文件,包括《网络空间国际合作战略》、《国家网络安全应急预案》、《网络产品和服务安全审查办法》、《网络关键设备和网络安全专用产品目录》、《公共互联网网络安全威胁监测与处置办法》、《公共互联网网络安全突发事件应急预案》、《个人信息和重要数据出境安全评估办法》、《关键信息基础设施安全保护条例》等等。
随着网络安全相关政策推出,企业、高校和相关地方、部门组织开展了不同形式和规模的网络安全竞赛活动,在提升全社会网络安全意识、促进网络安全技术交流、培养和发现网络安全人才等方面发挥了重要作用。
1.2 高校现状
网络安全人才的培养是随着网络的快速普及而展开的。2000年,我国高校开始设置信息安全本科专业,标志着我国将网络安全人才的培养正式纳入高等教育体系中,目前各个高校采取的方式和方法也不尽相同,体现出不同的办学思路。例如有的学校把网络安全专业办在安全工程系,以安全为教学内容的重点;有的学校把网络安全专业办在计算机系,以计算机和网络知识为重点;有的学校把网络安全专业办在数学系,以数学、物理等基础知识为其侧重点;无论隶属任何院系,各大院校输出的网络安全人才与企业所需的网络安全人才都有一定的不对等性,这也直接导致了其不能直接胜任企业和其他用人单位的工作需要。
部分高校的网络安全专业中现有基本的基础实验室设备落后,课程内容太过基础。也没有专业的竞赛系统。导致许多高校无法开展课程体系中所要求的实验,学生的学习只能是从理论到理论,极大的削弱了教学效果。网络安全学科不仅具有很强的理论性,同时也具有非常强的实践性,许多安全技术与手段需要在实践过程中去认识、去体会。当前设有网络安全专业的高校,能够为学生提供实践的机会很少。许多高校无法为学生提供实践锻炼的机会,更不用说建设网络安全竞赛系统了,这样培养出来的人才其解决实际问题的能力可想而知。
第二章 建设理念
2.1 建设目的
2.1.1 推动产教融合、校企合作
《国务院办公厅关于深化产教融合的若干意见》国办〔2017〕95号指出“用10年左右时间,教育和产业统筹融合、良性互动的发展格 局总体形成,需求导向的人才培养模式健全完善,人才教育供给与产业需求重大结构性矛盾基本解决,职业教育、高等教育对经济发展和产业升级的贡献显著增强”。
网络安全竞赛赛项选取网络安全行业企业真实场景,围绕攻击与防守设计竞赛内容。通过本赛项推动了课程内容与职业标准对接,教学过程与生产过程对接,专业与产业对接,实现教育链、人才链与产业链、创新链有机衔接,促进产教融合、校企合作、产业发展。实现以赛促教、以赛促学、以赛促改的教产合作赛事创新。
2.1.2 促进专业建设与课程改革
根据教育部办公厅关于印发《2019年教育信息化和网络安全工作要点》的通知中要求,推动数字资源服务普及、不断扩大优质教育资源覆盖面、提升教育服务供给能力,以及教育部高等学校信息安全专业教学指导委员会颁发的《高等学校信息安全专业指导性专业规范》中指出的学生学习的基本网络安全理论、技术、应用等要求,通过网络安全竞赛完善网络安全领域课程建设,使人才培养更贴近岗位实际,提升专业培养服务社会和行业发展的能力;通过网络安全竞赛的建设可加快专业的发展,提高高校建设网络安全专业的能力,提高教师的专业水平与素质,培养学生的专业技能和动手实践能力。
2.2 建设意义
竞赛平台的建设,旨在有效促进高校网络安全、信息安全等专业教学模式的探索性改良,推进相关专业课程体系、教学内容和教学方法等教学资源的质量提升和丰富完善,进而推动网络安全相关专业教育上层建筑体系质的飞跃。
通过竞赛教学模式,能够激发学员的自主学习热情,树立正确积极的职业价值观和人生观。联合高校之间举办竞赛,可以提高实践教学课时量,模拟网络安全攻防的真实场景,提高学生的专业技能,并逐步实践“理实一体化”、“做学教一体化”的教学模式,同时可以提高本校在本省甚至全国的知名度,打造网络安全竞赛示范性品牌。
以网络安全竞赛为纽带,搭建校企合作的平台,提升高校网络安全专业及其他信息技术类专业学生的技能水平,满足企业用人需求,实现行业资源、企业资源与教学资源的有机融合,使高校在专业建设、课程建设、人才培养方案和人才培养模式等方面紧跟行业及社会发展的需求,缩小学生能力与行业需求之间的差距,促进专业教学建设和教学改革。
第三章 平台介绍
网络安全竞赛平台支持CTF解题赛和AWD对抗赛两种类型的网络安全竞赛形式。
CTF解题赛:CTF解题赛主要通过模拟各种业务应用系统漏洞、构建复杂网络环境来训练学员的各项网络安全技能、考核学员的CTF实战能力,系统提供的目标靶场为多个虚拟机组成的网络环境,学员利用系统提供的渗透主机,对目标主机进行攻击,并获得相关的FLAG信息。平台包括各类线上CTF比赛类型题,如Web、密码学、逆向、杂项、隐写、编程等,题目内容涵盖有嗅探、扫描、密码算法、防火墙、逆向工程、缓冲区溢出、拒绝服务攻击、恶意代码、SQL注入、网络欺骗、日志清除、操作系统漏洞、操作系统安全策略配置、网络设备攻击与安全配置、常用DOS命令等知识点。
AWD对抗赛:AWD对抗赛在封闭的真实环境中展开攻防角逐,可以充分的锻炼和考察各选手的个人水平和小组间的协同合作能力,其核心思想是在确保防御的基础上展开进攻,既相互攻击、也承担相互的攻击。与传统主流的网络安全竞赛CTF(夺旗赛)的人机攻防不同的是这种攻防是人人攻防,这也是得名AWD(Attack With Defence,攻防兼备)的由来。在AWD的竞赛环境中,每支队伍有一个小型的虚拟网络,在虚拟网络的边界上会放一个虚拟的防火墙,一台防守机、一台FLAG机。其中防守机上开有有十几个服务。在攻防对战中,防守的一方要保护自己防守机的上的业务能够正常打开,也就是开设的端口要能够正常访问。攻击时则是要通过各种攻击手段夺取对手FLAG机上的权限。相对于CTF竞赛,AWD竞赛更可以培养学员的思维跳跃能力、专业技术能力以及团队协作的能力。
3.1 架构介绍
网络安全竞赛平台采用私有云系统建设,基于私有云环境架构建设网络安全竞赛系统,结合当今网络安全形势、主流竞赛设备、攻防技术等方向为学校提供全面的竞赛环境。通过动手实际操作,强化学员对网络安全技术知识的理解,提高网络安全的攻防能力。整个平台的运行依托于云计算系统,将云计算系统的计算资源与各种教学资源整合在一起,向用户提供各种服务。具体说明如下:
底层IaaS层为整合各种IT资源,包括云资源计算设备、管理控制设备、资源调度设备资源。统一的云系统将这些设备资源进行虚拟化管理,向上提供基础服务,包括分布式数据存储、计算服务、负载管理和备份等。这一层使用虚拟化技术,将分布式计算资源进行整合,为实验室的运行提供统一管理和使用。
中间的PaaS层为云系统业务调度中心,包括统一身份认证管理、各种管理功能、竞赛考题资源管理、统一业务访问控制和数据监控、采集和分析功能等。这一层将各种竞赛环境需要的开发支持与管理工具、实验教学管理工具等有机地整合在一起,对上一层资源工具打包整合进行按需分配。
SaaS层包含了向最终用户提供的各种服务以及各种资源调用。方式为通过竞赛系统,将竞赛考题和所需要的实验环境进行整合为用户进行服务。调用资源的终端可以为PC、笔记本电脑、各种云终端和平板电脑。云系统的优点是可以通过网络进行访问,可在教室、办公室、图书馆、寝室访问使用,可有效的提高系统使用率。
3.2 竞赛平台
该模块为此平台的核心内容,参赛选手在此进行网络安全竞赛。当开启比赛模式后,参赛学员统一在此页面下进行登录,登录后,竞赛平台页面包含以下主要信息:比赛信息、通知栏、当前成绩、服务监控、靶机信息、排行榜、FLAG提交等。
登录界面
3.2.1 比赛信息
比赛信息展示出当前账号的基本信息情况,一是让参赛选手了解比赛的注意事项,二是让选手验证身份是否正确。
3.2.2 通知栏
系统实时监控全部竞赛选手的比赛状态,方便选手快速看到大赛整体的得分趋势。
3.2.3 当前成绩
系统实时统计当前学员的比赛排名、比赛得分及当前步骤用时。让学员了解自己在整场比赛中的信息。
3.2.4 服务监控
服务监控主要目的是展示参赛学员当前虚拟机的状态,当被其他队伍攻击后,会显示被攻陷状态。当学员做了一些犯规操作后,服务会显示异常,根据颜色来区分服务是否正常,可在后台监控中心中进行设置,当虚拟机出现异常情况,可以快速重置恢复到正常状态继续比赛。服务监控方便学员实时查看虚拟机的状态,做好相关攻防工作。
3.2.5 靶机信息
靶机信息包含了整场比赛中所有队伍虚拟机的IP信息,参赛选手可以根据其他队伍的IP进行攻击以及防守。
3.2.6 排行榜
系统自动统计每一支队伍的总体得分情况,以名次从高到低的顺序展示。
3.2.7 FLAG提交
当参赛选手在攻陷他人服务器并找到FLAG之后,可以通过平台的快速FLAG提交窗口进行提交。
3.3 管理平台
网络安全竞赛平台的建设采用B/S架构,用户通过浏览器进行访问,且支持内网与外网同时访问。平台的管理端是针对前端系统设置的对应的管理功能,便于竞赛过程中对前端系统的自定义管理。后台管理包括5项功能,包括:控制台、用户角色、资源管理、拓扑图管理、比赛管理功能。
3.3.1 控制台
控制台功能是帮助管理人员了解竞赛平台的整体使用状况,用户分布功能是将平台的人员按照班级进行统计,活跃用户能够统计学习时长最多的选手,还可以通过折线图监控设备的使用情况,最后为了方便管理,可以通过此功能远程关闭服务器。
3.3.2 用户角色管理
为满足教师方便的管理班级学院,平台提供用户组织管理功能。其中用户管理显示平台用户的信息列表,管理端可对平台用户信息进行编辑与删除,根据信息进行用户模糊筛选,便于管理平台用户;角色管理显示平台现有角色,用户可编辑新的角色并赋予角色权限;组织结构管理显示平台现有的组织机构,管理端可以也可根据层级分步添加组织、学院、系别、专业、班级,对同级别下的机构进行排序。
3.3.3 资源监控中心
资源监控中心是为用户提供虚拟化管理功能,通过镜像管理功能可以实现对比赛环境的自定义,自定义内容包括操作系统类型、内置各类软件服务等信息;虚拟化资源管理功能可以查看比赛队伍的虚拟机状态;可知制作监测机的镜像,自动监测学员虚拟机状态,典型监测内容包括文件是否存在、文件内容是否正确、服务状态是否正常等内容。
3.3.4 拓扑图管理
用户可使用网络拓扑管理功能拖动左侧功能图标并设置相应的信息来创建一个新的拓扑图,拓扑图内容包括比赛的基础网络、操作机、路由器、交换机、服务器等相关内容,并且可根据用户的需求修改交换机的网络地址池,分配参赛学员的IP地址,也可修改操作机的虚拟机镜像、内存、硬盘等实例内容。用户并且可以修改FLAG值以及FLAG在虚拟机生成的位置,系统会自动在相应的虚拟位置生成FLAG并自动刷新确保比赛的多轮次性。
3.3.5 比赛管理
队伍信息管理
管理员可在队伍信息管理中把已有用户进行队伍分配,创建成功后以列表的形式展示。
监控中心
竞赛系统内置比赛专用监测机,管理员可对全部参赛虚拟机的各项服务和内容进行监控和检测,当参赛虚拟机中任何一项服务存在异常时,专用监测机发出报警机制,并会在赛参学员界面和后台界面进行可视化展示,系统和管理员可自动和手动进行奖惩机制,用户可以根据比赛需求设置比赛专用监测及的检测服务内容如:Tomact服务、HTTP服务、数据库服务、网络协议、FLAG初始值、FLAG初始目录等相关内容。
测试中心
支持对整个比赛的环境进行自动化测试,设定好选手的网络地址、路由状态、虚拟机信息后,便可进行所有网络的自动化测试,测试完毕后展示结果,如遇问题,可进行自动提示
FLAG刷新监控
可实现FLAG变化的自动监控,实时监每一轮控每个队伍的FLAG信息,如遇特殊情况,可进行手动刷新;CTF解题模式,可实现每个队伍的同一题目的不同FLAG值,以防止作弊。
得分规则
按照比赛需求,系统实现了提交得分和按轮得分,提交得分机制是只要参赛队伍拿到FLAG就会给予响应分数和轮次无关,按轮得分的机制是在一轮比赛中,对于同一Falg,本轮比赛结束后,队伍本轮得分为此FLAG总分值除以拿到此FLAG的队伍总数,两种得分规则可保证比赛成绩的合理性;
比赛环境
在新建比赛时,比赛环境功能需要管理员来设置,对于本次比赛所用到的虚拟机直接映射到资源管理中心下的镜像管理,选择对应的环境,同时可以对虚拟机的配置进行调整,确保选手操作体验效果良好。像展示环境只提供参考信息可以设置用户无权限操作,避免破坏比赛提示信息。
得分统计
为了方便统一查看全部队伍的得分情况,红亚科技研发得分排行榜功能,与之前的得分榜不同的是,该功能能够展示全部队伍的每一步得分情况,榜单纵向为各参赛队伍,横向是全部考核体系的步骤展示,分数根据具体得分情况实时变化。
成绩管理
比赛结束之后,管理员可在成绩管理中查看比赛队伍的最终得分情况,并可查看详细数据,支持下载到本地,详细记录比赛过程中每个队伍的详细得分情况,包括奖励得分、惩罚失分,以便比赛过程中出现争论时,有合理的解释。
3.4 技术优势
3.4.1 AI智能监控
红亚科技自主研发智能监控功能,以“AI+网络安全”技术实现系统自动监控机制,管理员在后台设置相应监测虚拟机,选手比赛时,系统自动检测虚拟机的服务状态是否正常。若服务异常,系统会在后台报警并进行扣分,并会根据参赛学员使用的工具、网络协议、攻击手段等进行监控和数据可视化展示。优势在于脚本的灵活性,可以设置不同的服务端开口,其次节省的手动检测的时间与精力,最后就是结果的实时展示,完美的遵循竞赛“公平、公正、公开”原则。
3.4.2 多维数据展示
根据历届的竞赛进行分析观众与裁判只能等待最终的比赛结果,在比赛过程中耗费了大家的时间,而且只通过一个分数很难判断出学员的真实水平与知识漏洞。
因此,为解决广大用户的困扰,红亚科技网络安全竞赛平台设计了选手竞赛过程以可视化的形式展现,CTF为蜂巢展示,AWD为3D地图、2D地图、排行展示、流量展示四大展示界面。
CTF蜂巢:蜂巢展示界面由多个小的蜂巢组成一个连续的蜂巢线,每一个小蜂巢代表一道题目,当参赛选手每解答一道CTF题型时,蜂巢会有3D的动态展示,并语音进行播报,直到所有题目完成。
AWD-GIS-2D、GIS-3D:可实时播报参赛选手的攻防状态、得分情况、比赛排名等信息,当队伍之间互相攻击时,地图上会根据不同队伍的位置发出射线,效果酷炫,并在队伍拿到FLAG时,系统会自动语音播报和动画展示,可观性极强。
排行展示、流量展示会显示所有队伍名称、得分及服务状态。流量峰值监控为X轴显示时间长度,系统会15秒自动监测一次流量,最长监测可达20分钟流量,Y轴显示的是攻击数量,被攻击TOP10 X轴显示被攻击数量,Y轴被攻击次数top10队伍名称。
3.4.3 便捷式操作平台
为了保证选手不受竞赛操作设备的影响,红亚科技提供了统一的操作环境,利用Web-Console技术将虚拟环境集成在操作页面内,选手可以直接在竞赛平台下答题,使得必备的工具与虚拟机切换等问题得到完全解决,从根本上解决的竞赛自带设备的问题。
3.5 赛题设计
竞赛平台包括CTF题目共计约300个,包括典型常见的CTF比赛类型题,其中中等以上难度题目数量占60%以上;AWD靶场对抗类题目共计30套环境,70余个靶机,包括根据各类经典漏洞及较新的漏洞制作而成的靶机环境,并可根据户需求进行定制。
在解题模式CTF赛制中,参赛队伍可以通过互联网进行参与,这种模式的CTF竞赛与ACM编程竞赛、信息学奥赛比较类似,以解决网络安全技术挑战题目的分值来排名,通常用于在线选拔赛。题目主要包含逆向、漏洞挖掘与利用、Web渗透、密码、取证、隐写、安全编程等类别。
在攻防模式AWD赛制中,参赛队伍在网络空间互相进行攻击和防守,挖掘网络服务漏洞并攻击对手服务来得分,修补自身服务漏洞进行防御来避免丢分。攻防模式AWD赛制可以实时通过得分反映出比赛情况,最终也以得分直接分出胜负,是一种竞争激烈,具有很强观赏性和高度透明性的网络安全赛制。在这种赛制中,不仅仅是比参赛队员的智力和技术,也比体力,同时也比团队之间的分工配合与合作。
3.6 赛题类型
WEB(网络安全):
WEB是CTF竞赛的主要题型,题目涉及到许多常见的WEB漏洞,诸如XSS、文件包含、代码执行、上传漏洞、SQL注入。也有一些简单的关于网络基础知识的考察,例如返回包、TCP-IP、数据包内容和构造。可以说题目环境比较
所需知识:PHP、python、TCP-IP、SQL
MISC(安全杂项):
MIS即安全杂项,大部分为CTF题型,题目涉及隐写术、流量分析、电子取证、人肉搜索、数据分析、大数据统计等等,覆盖面比较广,主要考查参赛选手的各种基础综合知识。考
所需知识:常见隐写术工具、wireshark等流量审查工具、编码知识。
Crypto(密码学):
密码学大部分为CTF题型,题目考察各种加解密技术,包括古典加密技术、现代加密技术甚至出题者自创加密技术,以及一些常见编码解码,主要考查参赛选手密码学相关知识点。通常也会和其他题目相结合。
所需知识:矩阵、数论、古典密码学
Reverse(逆向工程):
逆向工程类大部分为CTF题型,题目涉及到软件逆向、破解技术等,要求有较强的反汇编、反编译扎实功底。主要考查参赛选手的逆向分析能力。
所需知识:汇编语言、加密与解密、常见反编译工具
PWN(二进制安全):
PWN在黑客俚语中代表着攻破,多属于AWD题型中,取得权限,在AWD比赛中它代表着溢出类的题目,其中常见类型溢出漏洞有栈溢出、堆溢出。主要考察参数选手对漏洞的利用能力。
所需知识:C,OD+IDA,数据结构,操作系统。