《一、前言》

一、前言

国际网络空间安全竞争的根本是人才的竞争。 中共中央总书记习近平在中央网络安全和信息化领 导小组第一次会议上强调 , 建设网络强国,要把人 才资源汇聚起来 , 建设一支政治强、业务精、作风 好的强大队伍。“千军易得 , 一将难求”,要培养造 就世界水平的科学家、网络科技领军人才、卓越工 程师、高水平创新团队。习近平在 2016 年网络安 全和信息化工作座谈会上强调,“聚天下英才而用之,为网信事业发展提供有力人才支撑”。

网络空间安全竞赛是最有效发现网络空间安全 人才的手段之一。竞赛为网络空间安全人才提供了 尽情展示自身技能和才华的平台 [1]。竞赛选拔出的 人才有极大的希望成为网络空间安全领域中的佼佼 者,甚至将来成为国家网络空间安全领域的中坚力 量。利用竞赛尽早地发现网络空间安全人才,并 尽早地加以引导,可以使其成为我国网络空间安 全储备人才,在建设国家网络空间安全中发挥更 大作用。

《二、国内外网络空间安全竞赛的发展现状》

二、国内外网络空间安全竞赛的发展现状

当前国内外网络空间安全竞赛主要包括以下 类型:

1. 夺旗(CTF)类竞赛

CTF 竞赛是一种基于命题的公平的信息安全技 术竞赛,是网络空间安全技术综合运用的技术竞赛 典范 [2]。CTF 竞赛主要包括三种竞赛模式:①解题 模式(jeopardy):参赛者可以线上或线下参与,该 模式以解决挑战题目的分值和时间排名,通常用于 在线选拔赛,题目主要包含逆向、漏洞挖掘与利 用、Web 渗透、密码、取证、隐写、安全编程等类 别;②攻防模式(attack-defense):参赛者在网络 空间进行攻防,通过挖掘漏洞、攻击对手服务得分, 通过修补自身漏洞避免丢分,是一种竞争激烈、且 具有强观赏性和高度透明性的网络空间安全赛制; ③混合模式(mix):该模式同时结合了解题模式与 攻防模式,例如,参赛者通过解题获取一些初始分 数,通过攻防对抗进行得分增减,最终以得分高低 分出胜负。

目 前, 著 名 的 国 际 CTF 赛 事 主 要 包 括: ① DEFCON CTF:依托于 DEFCON 黑客大会,是 CTF 赛事中的“世界杯”;② UCSB iCTF:由加州 大学圣塔芭芭拉分校(UCSB)举办的面向世界高校 的 CTF;③ Plaid CTF:包揽多项赛事冠军的卡内基 梅隆大学(CMU)的 PPP 团队举办的在线解题赛; ④ Boston Key Party:波士顿近年来崛起的在线解题 赛;⑤ XXC3 CTF:欧洲历史最悠久 CCC 黑客大会 举办的 CTF;⑥ RuCTF:由俄罗斯 Hackerdom 组织 的面向俄罗斯队伍的国家级竞赛;⑦ RuCTFe:由 俄罗斯 Hackerdom 组织的面向全球参赛队伍的在线 攻防竞赛;⑧ Codegate CTF:韩国首尔“大奖赛”, 冠军奖金为 3 000 万韩元。

2. 破解赛

该类赛事主要由企业赞助,通过提供已经或 即将商用化的产品给参赛选手,鼓励选手挖掘产品 中的漏洞并攻破该产品。著名的破解赛主要包括: ① Pwn2Own:全世界最著名、奖金最丰厚的黑客 大赛,由美国五角大楼网络安全服务商、惠普旗下 Tipping Point的项目组ZDI主办,谷歌、微软、苹果、 Adobe 等互联网和软件巨头都对比赛提供支持,通 过黑客攻击挑战来完善自身产品;② GeekPwn:国 际性的智能生活安全社区,其在吸收国内外各安全 赛事优点的基础上,创新设计出了全球第一个基于 智能硬件设备与软件相结合的安全极客嘉年华的赛 事平台,GeekPwn 每年举办安全极客嘉年华及极棒 安全峰会活动;③ Black Hat:具有很强技术性的 信息安全会议,参会人员包括各个企业和政府的研 究人员,也包括一些民间团队。议程上包含了各类 专业人士的发言,内容涵盖保障全球信息安全等主 题。此外,还会展示大量已发现的数码产品安全漏 洞,并演示黑客会如何进行攻击。该会议可能会引 领安全思想和技术的走向。

3. 青少年网络空间安全竞赛

美国国家安全局与卡内基梅隆大学联合举办了 “高中黑客大赛”,旨在发掘和培养懂得网络空间安 全的下一代“网络战士”。初中生和高中生都可以 以个人或团体的名义参赛。主办方声明参赛者可以 不必是一个黑客。通过赛事学生可以学习如何识别 安全漏洞,并进行现实世界的攻击。此外,美国还 举办了名为“弗吉尼亚州长杯计算机网络挑战赛” 的高中生网络攻击赛,旨在帮助国土安全部发掘网 络空间安全青少年人才。俄罗斯信息安全研究组织 SiBears 战队自 2010 年创建的针对青少年学生的国 际 CTF 比赛,与其他国际性的 CTF 解题赛事相比, 该竞赛对网络空间安全知识和技术的水平要求低, 更侧重于挖掘青少年在网络空间安全领域的基础知 识及创造力。此外,在国外,尤其是日本和韩国, 存在着大量规模较小的针对青少年设置的防御赛和 安全创意赛。

为发现网络空间安全人才,我国各高校及社会 团体陆续开展了不同等级的网络空间安全竞赛,例 如,中国网络空间安全协会主办的“强网杯”、西安电子科技大学主办的 XDCTF、阿里巴巴公司主 办的AliCTF、百度公司主办的“百度杯”等。近年来, 知名的国际网络空间安全竞赛纷纷在我国举办,例 如,GeekPwn 的安全极客嘉年华及极棒安全峰会活 动,我国网络空间安全人才开始在知名的国际黑客 大赛崭露头角。在网络空间安全竞赛中已涌现出许 多优秀的网络空间安全人才,例如,清华大学的蓝 莲花战队、上海交通大学的 0ops 战队、复旦大学 的六星战队等。

《三、我国网络空间安全竞赛及人才管理存在 的主要问题》

三、我国网络空间安全竞赛及人才管理存在 的主要问题

经过多年发展,我国网络空间安全竞赛已初具 规模,效果已逐步体现。综合来看,目前我国网络 空间安全竞赛在人才发现和追踪方面的主导作用还 有待加强,存在以下主要问题。

《(一)尚未建立基于网络空间竞赛的网络空间安全 人才发现和追踪的长效机制,难以实现人尽 其才、才尽其用》

(一)尚未建立基于网络空间竞赛的网络空间安全 人才发现和追踪的长效机制,难以实现人尽 其才、才尽其用

由于我国尚未建立基于网络空间竞赛的网络对 抗人才发现和追踪的长效机制,使得这些在民间声 誉很高的网络空间安全人才的信息和发展走向未被 有效注册登记,不可避免地造成了人才流失。此外, 各安全企业对于内部网络空间安全人才讳莫如深, 更加大了这些人才为国家所用的难度。

《(二)缺少针对青少年的实战对抗型的网络空间安 全竞赛,难以有效发现网络空间安全青少年 专才》

(二)缺少针对青少年的实战对抗型的网络空间安 全竞赛,难以有效发现网络空间安全青少年 专才

目前,网络空间安全竞赛的参赛人员多数是 大学生或企业技术人员。一般来说,这些竞赛的 题目难度、知识范围和考察重点不适合经验不丰 富、心智还未完全成熟的青少年,青少年参加这 类竞赛相对困难,容易影响其对网络空间安全技 术的热情。我国举办的青少年网络空间安全知识 竞赛和青少年信息学奥林匹克赛,均缺少网络空 间安全实战对抗的元素,青少年参加这类竞赛难 以获取实战的成就感。目前,我国缺少一个兴趣 驱动、重实践、高水准的青少年网络空间安全竞 技对抗的舞台。

《四、基于网络空间安全竞赛发现和追踪网络 空间安全人才的政策建议》

四、基于网络空间安全竞赛发现和追踪网络 空间安全人才的政策建议

建议建立基于网络空间安全竞赛的网络空间安 全人才发现和追踪的长效机制。具体措施包括:由 中国网络空间安全协会倡导举办网络空间安全竞 赛,以发现网络空间安全人才,并建立网络空间安 全竞赛的备案机制;以竞赛发现人才为主线,中国 网络空间安全协会与高校、企业建立稳固的人才沟 通机制;通过竞赛备案机制和人才沟通机制建立我 国网络空间安全人才库,实时追踪人才走向,防止 人才流失,为中央网信办及其他主管部门发现和输 送网络空间安全人才;举办全国青少年网络空间安 全联赛,选拔网络空间安全青少年专才;制定竞赛 成绩的认可制度,加大青少年网络空间安全竞赛的 奖励力度,保障青少年专才成长;设立网络空间安 全青少年发展基金,以资助网络空间安全青少年专 才的发现和培养。

《(一)由中国网络空间安全协会倡导举办网络空间 安全竞赛,以发现网络空间安全人才,并建 立网络空间安全竞赛的备案机制》

(一)由中国网络空间安全协会倡导举办网络空间 安全竞赛,以发现网络空间安全人才,并建 立网络空间安全竞赛的备案机制

由中国网络空间安全协会倡导我国机构积极主 办网络空间安全竞赛,特别是青少年网络空间安全 竞赛,吸引知名的国际网络空间安全竞赛在我国举 办,通过竞赛发现网络空间安全人才。由中国网络 空间安全协会主导建立网络空间安全竞赛的备案机 制,凡在我国境内举办的、或由我国机构主办的网 络空间安全竞赛须向中国网络空间安全协会提交竞 赛备案信息,包括竞赛主题内容、参赛人员信息及 获奖人员信息等,以便全面掌握我国网络空间安全 人才的基本状况,便于国家统筹发挥人才优势,人 尽其才,才尽其用。

《(二)以竞赛发现人才为主线,中国网络空间安全 协会与高校、企业建立稳固的人才沟通机制》

(二)以竞赛发现人才为主线,中国网络空间安全 协会与高校、企业建立稳固的人才沟通机制

以竞赛发现人才为主线,通过和高校网络空间 安全专业老师、就业指导中心建立稳固的人才沟通 联络机制,源源不断地从各高校汇聚参加过竞赛的 学生的相关信息,特别是参加过在境外举办的国际 网络空间安全竞赛的学生信息。以竞赛发现人才为 主线,通过和企业的人才沟通联络机制,发现企业网络空间安全人才,通过灵活的形式与企业合作, 让这些企业网络空间安全人才为国家所用。

《(三)通过竞赛备案机制和人才沟通机制建立网络 空间安全人才库,实时追踪人才走向,防止 人才流失》

(三)通过竞赛备案机制和人才沟通机制建立网络 空间安全人才库,实时追踪人才走向,防止 人才流失

由中国网络空间安全协会建立网络空间安全人 才库,通过竞赛备案和人才沟通两条渠道,对每次 竞赛的参赛人员和获奖人员信息进行收集、汇总, 全面详细地记录人员自然属性、社会属性和技能专 长等,形成电话回访机制,保持人才库的完整性和 准确性,实时跟踪人才发展走向,保持人才库的时 效性。网络空间安全人才库是中央网信办及其他主 管部门组建团队、承接任务、选拔人才的重要源头。

《(四)举办全国青少年网络空间安全联赛,选拔网 络空间安全青少年专才》

(四)举办全国青少年网络空间安全联赛,选拔网 络空间安全青少年专才

由中国网络空间安全协会建立完善的全国青少 年网络空间安全联赛体系,主办兴趣驱动、重实践、 公平公正、高水平的青少年网络空间安全联赛,通 过联赛考察、选拔网络空间安全青少年专才,为我 国网络空间安全人才队伍建设提供青少年人才储备。 青少年网络空间安全联赛相比于国际黑客竞赛,在 竞赛形式、考察重点、参赛人员、题目难度和知识 范围等方面存在较大区别。参赛人员以 12~19 岁的 青少年为主。题目难度对于国际 CTF 竞赛而言应有 所降低,达到一个合适青少年年龄段的程度。尤其 在预赛中,针对一个方向的一道题目一般可设置只 有一至两个考点,而设置三个以上的连环考点对于 他们来说就相对过于困难,会导致竞赛选拔失效。

《(五)制定竞赛成绩的认可制度,加大青少年网络 空间安全竞赛的奖励力度,保障青少年专才 成长》

(五)制定竞赛成绩的认可制度,加大青少年网络 空间安全竞赛的奖励力度,保障青少年专才 成长

由中国网络空间安全协会与相关部委共同制定 青少年网络空间安全竞赛成绩的认可制度。参赛选 手在高水平的国际黑客竞赛或青少年网络空间安全 联赛中取得成绩,可以代表其拥有较高网络空间安 全技能水平和实战能力,竞赛成绩可以作为获得继 续深造机会的评价指标。加大青少年网络空间安全 竞赛的奖励力度,奖励形式包括:青少年发展基金 或竞赛赞助企业提供的竞赛奖金,以及青少年未来 发展的优惠政策等,例如,中小学直接录取优秀人 才作为网络空间安全特长生;高校网络空间安全专 业直接录取优秀人才;高校自主招生可给予优秀人 才加分政策。认可制度的制定和奖励力度的增强, 一方面,能够防止青少年专才流失;另一方面,能 够为青少年专才提供广阔的发展空间,帮助其继续 成长、成才。

《(六)设立网络空间安全青少年发展基金,以资助 网络空间安全青少年专才发现和培养》

(六)设立网络空间安全青少年发展基金,以资助 网络空间安全青少年专才发现和培养

由中国网络空间安全协会主导建立网络空间安 全青少年发展基金,规范发展基金管理办法。发展 基金的设立旨在进一步落实网络空间安全青少年专 才发现和培养的政策性文件,营造网络空间安全青 少年专才成长的良好环境,构建青少年专才发现和 培养的长效机制。具体资助项目包括:中小学网络 空间安全教育计划的实施,青少年网络空间安全竞 赛的举办,青少年黑客技术的培训,以及网络空间 安全青少年特长生的奖学金。发展基金的主要来源 包括政府资助、企业捐赠和资源众筹三个渠道,由 地方政府负责监管,每年报告基金使用情况、资助 项目执行情况及资助作用发挥情况。

《五、结语》

五、结语

基于网络空间安全竞赛,能够高效地发现网络 空间安全人才。面向我国网络空间安全人才的现实 需求,亟须建立健全网络空间安全人才的发现与追 踪机制,打破边界,汇聚资源,多方共同构建我国 网络空间安全人才库,为我国建设网络强国提供人 才支撑。同时,加强青少年网络空间安全竞赛的投 入,吸引青少年学习攻防知识,尽早发现青少年专 才,培养其成才,为我国建设网络强国提供青少年 人才储备。