第十七届全国大学生信息安全竞赛—创新实践能力赛参赛规程
为积极响应国家网络空间安全人才战略,加快攻防兼备创新人才培养步伐,实现以赛促学、以赛促教、以赛促用,推动网络空间安全人才培养和产学研用生态发展,由中国互联网发展基金会网络安全专项基金资助,四川大学承办的第十七届全国大学生信息安全竞赛——创新实践能力赛(以下简称“大赛”)将于2024年4月至2024年7月举行,面向全国高校在校生开放。
本届大赛将采用线上线下结合的办赛模式,分成线上初赛、分赛区半决赛和全国总决赛三个阶段。全国共设置八个分赛区,各区域内高校参赛团队通过各分赛区半决赛晋级全国总决赛。
一、参赛对象及条件
1.参赛对象:全国高等学校具有正规学籍的全日制在校大学生(含高职高专、本科生、研究生)。
2.报名入口:各参赛队伍学生通过竞赛网站注册,报名入口地址:http://www.ciscn.cn/home;
3.报名时间:2024年4月12日~2024年5月14日;
4.每支参赛队伍人数最多不超过4人,允许校内跨年级、跨专业组队,各高校参赛队数不限,不可跨校组队参赛。每支参赛队伍应自拟一个队名,队名不得与国家法律、法规、公序良俗相违背,每队须有一名指导老师;
5.每人只能参加一支队伍(即个人参赛后不可再与他人组队参赛,或个人参加一个队伍后不可再参加另一个队伍),每支参赛队只允许有1名指导老师;
6.高校分布在不同城市的校区视为不同高校,各校区可分别组队参赛并入围到该校区所在分赛区半决赛,以及全国总决赛阶段;
7.参赛者应保证报名信息的准确有效。初赛时,由高校联络教师负责审核本校参赛学生身份,分区选拔赛和总决赛时必须现场提供高校开具的学籍证明材料(纸质版),如发现参赛队员不符合参赛规定,将取消参赛队伍的参赛和获奖资格;
8.指导教师必须是参赛队伍所在高校在职教师。指导教师可以指导学生进行组队、队名拟制和知识技能训练,但网络安全挑战设计、编程开发和现场参赛必须由参赛学生独立完成;组委会将评选优秀指导教师(获全国一等奖及创新单项奖团队的指导老师),并予以表彰;
9.参赛学生须遵守比赛规则。比赛期间遵循裁判及现场工作人员的安排,不得对比赛平台、系统和第三方服务进行攻击,违反规定者,将视情给予口头警告、扣分、取消参赛资格等处罚。
二、线上初赛
(一)线上初赛时间
2024年5月18日~2024年5月19日。
(二)线上初赛入围规则
通过所在高校联络教师审核和组委会秘书处复核的队伍可获得参加线上初赛的资格。
(三)赛题说明&计分规则
参见竞赛官网发布的《第十七届全国大学生信息安全竞赛-创新实践能力赛线上初赛参赛手册》。
(四)晋级分区选拔赛规则
1.参赛队需根据线上初赛最终得分在各分区排名,决出入围各分区选拔赛的参赛队伍;
2.线上初赛每个高校最多有2支排名靠前的队伍晋级分区选拔赛,分区赛和总决赛承办高校可以多一个晋级名额;
3.线上初赛在成绩排名相同且只有一个晋级名额的情况下,由场景实操模块得分高的队伍晋级;
4.线上初赛采取严格的反作弊监控机制,发现比赛作弊或对比赛平台攻击行为,将采取禁赛、直接取消比赛成绩等处罚措施,情节严重者将通报赛队所在高校。
三、分区选拔赛
(一)分区选拔赛时间/地点
2024年5月22日~2024年6月25日期间,由各分区选拔赛承办方根据实际情况确定比赛时间。本届分区赛采用线下比赛模式,具体比赛细则可参见各分赛区承办方在竞赛官网发布的各分赛区的参赛通知(具体时间/地点/赛程安排)。食宿及相关费用由参赛学校自理。
(二)各分区对应省市情况
东北赛区(辽宁、吉林、黑龙江)、华北赛区(北京、天津、河北、山西、内蒙)、西北赛区(陕西、甘肃、宁夏、青海、新疆)、华中赛区(河南、湖南、湖北)、华东北赛区(山东、安徽、江苏)、华东南赛区(上海、浙江、福建、江西、台湾)、西南赛区(重庆、四川、云南、贵州、西藏)、华南赛区(广东、广西、海南、香港、澳门)。
(三)分区赛赛制
分区赛无Build环节,各参赛队伍不需要提交赛题。采用AWDP攻防模式,综合考察参赛队伍的漏洞发现、漏洞挖掘、漏洞修复以及及时策略的能力。
AWDP模式是一种综合考核参赛团队攻击、防御技术能力、即时策略的比赛模式。该比赛模式是通过抽象的网络环境,模拟政府、企业、院校等单位的典型网络结构和配置,相比传统的网络拓扑实战竞赛场景,是对传统赛制的改进和革新,更接近实战训练。其主要特点为:比赛强调实战性、实时性、对抗性,对竞赛队的渗透能力和防护能力进行综合全面的考量。
(四)分区赛赛题类型
赛题类型主要包括Web应用服务与二进制网络服务。
表1 赛题类型表
类 型 | 主要考察范围 |
Web应用服务 | 涉及SQL注入、文件上传、文件包含、命令执行等漏洞,涉及PHP、Java、Python、Go等语言代码审计问题,以及针对Web漏洞的修补等。 |
二进制网络服务 | 涉及Linux、嵌入式平台应用的二进制逆向分析、漏洞挖掘、利用与修补技术等 |
(五)晋级规则
1.分区赛规模由承办高校综合考虑报名赛队数量和场地条件确定,经竞赛组委会确认后于赛前公布;
2.分区赛时须核验参赛队员的学籍证明材料(纸质版),如发现参赛队员不符合参赛规定,将取消该队伍的参赛资格;
3.各赛区晋级全国总决赛的名额共为80个左右,其中分区赛成绩排名前4的队伍直接晋级总决赛,其余晋级名额由该赛区线上初赛参赛队伍数和初赛成绩综合决定。赛区晋级名额计算公式如下:
赛区晋级名额=4+32*(赛区线上初赛参赛队伍数/全国总参赛队伍数)+16*(赛区初赛前200名数量/200);
注:小数点保留4位,如有争议由组委会与各赛区协商决定。4.比赛过程中严禁参赛队使用手机、即时通信软件等渠道与外界沟通交流,比赛平台采取严格的反作弊监控机制,比赛结束后,排名靠前的决赛候选晋级赛队须在1小时内提交解题报告并由现场裁判组进行审核,以确定比赛得分和排名;
5.对于在比赛过程中发现的作弊或攻击比赛平台等行为,组委会将采取禁赛、直接取消比赛成绩等处罚措施,情节严重者将通报赛队所在高校。
四、全国总决赛
(一)全国总决赛时间与地点
2024年7月下旬,详细时间/地点/赛程安排将通过大赛官网等渠道另行通知。全国总决赛时,大赛承办方提供附近宾馆、饭店等相关信息,食宿及相关费用由参赛学校自理。
(二)赛题及计分说明
决赛采用半开放命题形式的攻防竞赛模式,由Build(创新安全应用开发)与Break&Fix(攻击、防御综合对抗)两个环节组成,从多个方面综合考察个人的安全综合技术能力及团队协作解决实际网络安全问题的能力。
Build环节为创新安全应用开发,比赛形式为线上参赛,具体比赛细则参见竞赛官网后续发布的《Build环节创新应用设计指南》。
Break&Fix环节比赛形式为CTF解题赛+AWDP攻防赛+综合渗透赛的混合赛制,从多个方面综合考察个人的安全综合技术能力及团队协作解决实际网络安全问题的能力。其中:
l CTF解题赛:参赛队伍通过与在线环境交互或文件离线分析,解决网络安全技术挑战并获取题目预设的flag值从而获取相应分值。该模式题目涵盖可信计算、车联网安全、工控安全等前沿安全知识的考察;
l AWDP攻防赛,分为攻击与防御模式,攻击与防御模式同时进行。在攻击模式下,平台会给出题目的访问链接,选手按照解题模式做题提交flag即可完成攻击,当完成攻击后获取攻击分数。在防御模式下,选手需要自行挖掘题目的漏洞,并对漏洞进行修复,从而获取防御分数;
l 综合渗透赛,深度模拟真实网络环境,参赛队伍模拟攻击者,通过信息收集、拓扑测绘、外网渗透、资产数据发现以及内网横向移动等多种方式,最终完成仿真环境的渗透过程。
有关赛题与计分规则的详细内容参见竞赛官网后续发布的《第十七届全国大学生信息安全竞赛-创新实践能力赛总决赛参赛手册》。
(三)比赛规则
1.全国总决赛时必须提供所在高校开具的学籍证明材料(纸质版);审核时,如发现参赛队员不符合参赛规定,将取消参赛队伍的参赛资格;
2.比赛过程中严禁参赛队使用手机、即时通信软件等渠道与外界沟通交流,比赛平台采取严格的反作弊监控机制,比赛结束后,各赛队须在1小时内提交解题报告,由现场裁判组进行审核,以确定比赛得分和排名;
3.对于比赛过程中发现的作弊或攻击比赛平台等行为,组委会将采取禁赛、直接取消比赛成绩等处罚措施,情节严重者将通报赛队所在高校。
五、竞赛参赛费
(一)收取范围
1.线上初赛,免收竞赛参赛费,意在鼓励更多高校及学生参与比赛,普及网络安全知识及意识;
2.参加分区选拔赛的队伍,需要向竞赛组委会缴纳竞赛参赛费,应由高校主管(联络)教师统一为高校参赛队伍缴费。
(二)报名费额度:每支参赛队伍400元整。
(三)费用收取单位:由总决赛承办高校代组委会收取。
(四)各分区赛承办单位需要在分区赛赛事通知中注明“收取竞赛参赛费用事项”,如参赛队没有缴纳报名费,将不能参加分区赛。
六、奖项设置
(一)分区选拔赛奖项
1.分区选拔赛进入全国总决赛的队伍获得赛区一等奖;
2.分区选拔赛成绩排名前40%但未入围全国总决赛的队伍获得赛区二等奖;
3.分区选拔赛成绩排名41%~80%的队伍获得赛区三等奖;
(二)全国总决赛奖项
1.总决赛成绩排名第1-22名的队伍获得全国一等奖;
2.总决赛成绩排名第23-46名的队伍获得全国二等奖;
3.总决赛成绩排名第47名以后的队伍获得全国三等奖;
4.组委会根据各个分赛项比赛评选10-20名队伍授予网络安全挑战创新单项奖;
5.在相同成绩相同排名并且需要决出一个获奖名额的情况下,按攻防赛成绩高低确定队伍排名;如仍不能决出则由现场裁判组评判;
6.大赛颁发统一的获奖证书,对获奖队伍予以奖励,所有获奖队伍及名单将以多种方式公布,并报送相关高校,作为高校评定奖学金、推免研究生等的参考;
7.获奖队伍必须参加第十七届全国大学生信息安全竞赛-创新实践能力赛颁奖大会。
七、违规处理
以下情况将视为违规,大赛组织委员会视情节严重程度追究违规方责任,直至取消责任方参赛资格:
(一)针对参赛队伍的禁止项:
1.参赛报名信息造假的行为;
2.在参赛过程中出现违反相关法律、法规的行为;
3.涉嫌抄袭、代赛、串题等作弊行为;
4.攻击比赛平台或在规则之外恶意攻击其他竞赛选手,破坏比赛公平性、稳定性的行为;
5.在比赛过程中发现或者被举报认定存在的其他违规行为。
(二)针对承办院校与大赛平台支持厂商的禁止项:
1.平台未提供必要的防作弊功能,严重影响大赛公平的;
2.大赛组织不力,缺少裁判机制或出现裁判不公情况的;
3.未遵守赛题管理要求,导致漏题泄题事故的。
八、申诉与仲裁
1. 各参赛队对不符合大赛规程规定的仪器、设备、工具,竞赛执裁、赛场管理,以及平台、工作人员的不规范行为等,可向组委会秘书处提出申诉(邮箱:ciscn_scu_2024@163.com)。申诉主体为参赛队队长;
2.申诉报告应对申诉事件的现象、发生时间、涉及人员、申诉依据等进行充分、实事求是的叙述。申诉报告应有赛队队长的亲笔签名,否则不予受理;
3.提出申诉的时间应在比赛结束后2日内,超过时效不予受理;
4. 组委会秘书处在接到申诉报告后的2个工作日内组织复议,并及时将复议结果告知申诉方。大赛组委会的仲裁结果为最终结果。
5. 申诉方可随时提出放弃申诉。
6. 申诉方必须提供真实的申诉信息并严格遵守申诉程序,不得以任何理由采取过激行为扰乱比赛。
九、联络信息
大赛期间,具体活动时间和计划安排以官网公布为准。
十、其他
本大赛规程的最终解释权归第十七届全国大学生信息安全竞赛—创新实践能力赛组委会所有。
第十七届全国大学生信息安全竞赛
——创新实践能力赛竞赛组委会
(四川大学网络空间安全学院 代章)
2024年5月13日
第十七届全国大学生信息安全竞赛——创新实践能力赛参赛规程.pdf