想去网络安全界的拳皇争夺赛吗？

NO.1 小白剧场

小白:
　呀，我最近正在看《×××的offer》，里面的人真是太优秀了！
大东:
　这个综艺节目是讲法律实习生如何过五关、斩六将拿到职位录用信的吗？
小白:
　是的是的，他们会做几个项目，然后由带队教师根据各人表现择优选取。
大东:
　这也算是法律界比较直观的比赛了吧。
小白:
　是的是的，不知道咱们网络安全界有哪些这样的比赛，好想去试试。
大东:
　还真有，你知道网络安全CTF比赛吗？
小白:
　什么？什么？CTF比赛？
大东:
　哈哈，接下来就让我给你讲讲CTF吧。
小白:
　好呀。

NO.2 大话始末

◇CTF比赛一探究竟

小白:
　所以到底什么是CTF呢？
大东:
　网络安全大赛简称CTF大赛，英文全称是Capture The Flag，即夺旗赛，是在网络安全领域中，网络安全技术人员之间进行技术竞技与相互切磋的一种比赛形式。
小白:
　这比赛存在很多年了吗？为什么我一直不知道呀？
大东:
　小白，这比赛很适合你呀，你确实需要好好了解一下啦。CTF比赛开始于1996年的DEFCON全球黑客大会。在当时，这个比赛的形式十分新颖，它采用黑客们相互发起真实攻击进行比拼的方式，取代了之前传统的比赛形式，仅仅在2013年，全球就举办了超过50场国际性的CTF比赛。
小白:
　CTF比赛的规模很大呀，那在信息安全领域是怎样比赛的呢？
大东:
　在信息安全领域，简单地说，CTF就是运用一些攻击手法，在获取服务器的前提下，寻找指定的字段，或寻找文件中某一个固定格式的字段，最后提交到裁判机就可以得分啦。
小白:
　那现在的CTF比赛还多吗？都有哪些呀？
大东:
　当然很多啦，我们可以根据CTFTIME提供的国际CTF赛事列表去查看一些已完成的赛事和即将开始的赛事的相关信息。例如号称CTF赛事中的“世界杯”的DEFCON CTF，还有来自加州大学圣巴巴拉分校（University of California，Santa Barbara，UCSB）的面向世界高校的名为“UCSB iCTF”的CTF比赛等。
小白:
　都是一些有名的国际赛事呀，我们国家一定也有很多战队吧？
大东:
　近些年来，我国大力支持与推广CTF比赛，由教育部高等学校信息安全专业教学指导委员会主办，广大高校积极参与，百度安全中心、阿里安全应急响应中心、腾讯安全平台方舟计划、360企业安全集团赞助支持的CTF比赛，覆盖面广，质量级别最高，被参赛选手称作CTF的国赛。
小白:
　政府、企业、高校强强联手，想必一定是“一派繁荣”。
大东:
　确实是，近年来我国涌现出很多支高水平的CTF战队。例如安全宝·蓝莲花战队，这支战队在2013年历史性地成为华人世界首支入围DEFCON CTF总决赛的队伍，并在决赛中获得第11名的好成绩；在2014年成功组织首届BCTF“百度杯”全国网络安全技术对抗赛后，连续两次闯入DEFCON总决赛，并获得第5名的优秀成绩；2014年国际CTF战绩包括ASIS CTF资格赛第3名、PlaidCTF/CodeGate八强，在CTFTIME全球排名第16位、亚洲排名第2位（仅次于韩国penthackon）。
小白:
　好强！我还记得有一支来自上海交通大学的信息网络安全协会组织的CTF战队。
大东:
　知道得还挺多，你说的是0ops战队，该战队的队长Slipper、副队长Lovelydream曾是安全宝·蓝莲花战队的队员。该战队在2013年9月成立后积极参与国际知名CTF赛事，曾在Hack.Lu在线CTF比赛中获得季军，并成功组织过0CTF、ISG等国内知名的CTF赛事。
小白:
　太棒啦！不过我一直有一个问题，大东，你知道的，我们入门渗透时，一定是要经过各种练手的。
大东:
　那是肯定的呀，但由于《中华人民共和国网络安全法》的颁布，我们随意扫描他人网站，或者进行非授权渗透测试等行为都是有一定的风险的。曾经有人扫描网站，尽管他发出的攻击被防火墙拦了下来，但是他还是被判了刑。
小白:
　这个人真的是“偷鸡不成蚀把米”呀。他明明只是扫描了一下，攻击都被防火墙给拦截下来了，啥都没弄到，最后还被判了刑。
大东:
　所以呀，记住千万不要乱扫网站，这个时候对于一些初入门的同学，CTF就非常合适啦。
小白:
　CTF不就是打比赛吗？它有哪些模式呢？
大东:
　CTF主要有两种模式。第一种是解题模式。对Web安全来说，赛题会要求你入侵网站或者靶机，或者在某个目录文件、数据库中寻找Flag，如果攻击成功，系统会显示Flag，最后提交到答题系统得分。
小白:
　怎么感觉这种模式和我们平时考试一样呢，找出答案就好。
大东:
　没错，这种模式只有攻击，却没有防守，它注重破解难题、偏题、怪题，几乎没有考虑实际情况，简单说，这些题目就和奥数题一样。
小白:
　那第二种模式肯定与实际结合很紧密吧？
大东:
　是的，第二种模式是攻防赛，也叫攻防兼备（Attack With Defense，AWD）模式。一般在这种模式下，一支参赛队伍有3名队员，所有的参赛队伍都会有同样的初始环境，包含若干台服务器。参赛队伍挖掘漏洞，通过攻击对手的服务器获取Flag来得分，并修补自身服务器的漏洞来防止扣分。
小白:
　在攻防模式下，通过什么来反映比赛情况呀？
大东:
　攻防模式可以通过实时得分反映比赛情况，是一种竞争激烈、具有很强观赏性和高度透明性的网络安全赛制。在这种赛制下，比赛不仅仅是对参赛队员的智力和技术的比拼，同时也会比拼团队之间的分工配合与合作能力。
小白:
　哇，那一定很刺激吧？
大东:
　确实，这种模式非常激烈，参赛人员一定要进行非常充分的准备。因为在一场比赛中，你需要同时扮演攻击方和防守方，并且一旦攻者得分，失守者就会被扣分。同时你也需要保护自己的主机，让其不被别人得分，以防扣分。
小白:
　我要是去参加一定会被打得很惨吧。
大东:
　不要慌，小场面！参赛越多，积累的经验就会越多。CTF里面还有一个首胜之说，第一个交Flag的队伍能获得分数加成呢，所以说，手快也是很重要的。

◇打CTF比赛提升专业能力

小白:
　大东，我要去参加CTF比赛，应该具备什么知识呢？
大东:
　小白，我先来问问你计算机语言分为哪几种呢？
小白:
　这个简单。计算机语言大致可以分为机器语言、汇编语言、高级语言，计算机的每一步操作，都会按照事先编写好的程序来执行的。
大东:
　在CTF比赛中，掌握计算机语言一定会有事半功倍的效果呢。进程的动态调试、防护脚本的编写、源代码审计等工作都是建立在对计算机语言熟练掌握的基础上来进行的。
小白:
　那我猜还需要掌握一些Web知识吧？
大东:
　对的，目前国内大多数CTF比赛都是以Web安全为主的，但是Web安全涉及的内容也是非常广泛的。我们拿典型的Web服务来举例，它所产生的安全问题可能来自Web服务器、数据库、Web程序本身与开发的语言等。了解一个Web应用的组成架构、装载与配置、指令操作及组件缺陷，是参赛者知识储备环节中不可或缺的部分。除此之外，再掌握一些安全加固、密码算法方面的知识就更好啦。
小白:
　大东，你一定参加过很多次CTF比赛吧？
大东:
　嘿嘿，也不太多啦。
小白:
　大东，有没有什么比赛经验分享给我？
大东:
　让我想想啊，在CTF比赛中一定要学会交流与聆听。CTF比赛的强度都是很大的，少则几小时、多则好几天，即使是特别要好的队友，也会有一些意见与思路不一致的时候，这个时候学会正确地与队友交流和互相聆听就显得尤为重要了。
小白:
　那题目方面呢？
大东:
　CTF比赛中的题目与攻防手段往往都没有特定的规律，因此更看重人临场的快速学习和把已有理论付诸实践的能力。一定的知识储备肯定是必要的，但你并不能期望完全依靠知识储备来获得胜利。
小白:
　总结经验，加紧学习，我也要去参加CTF比赛。

◇《中华人民共和国网络安全法》实施

大东:
　打比赛之前还是给你补充一下《中华人民共和国网络安全法》的知识吧。
小白:
　哦？这是什么法律呀？
大东:
　《中华人民共和国网络安全法》是我国第一部全面规范网络空间安全管理方面问题的基础性法律，是我国网络空间法治建设的重要里程碑，是依法治网、化解网络风险的法律重器，是让互联网在法治轨道上健康运行的重要保障。
小白:
　听起来，这部法律是很有必要的。
大东:
　《中华人民共和国网络安全法》是为保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展而制定的。
小白:
　那这部法律主要是干什么的呀？
大东:
　这部法律明确了我国部门、企业、社会组织和个人的权利、义务和责任，规定了国家网络安全工作的基本原则、主要任务和重大指导思想、理念。
小白:
　这部法律将我们国家成熟的政策规定和措施上升为了法律，为政府部门的工作提供了法律依据，体现了依法行政、依法治国要求。
大东:
　网络安全是一种新兴的热门行业，发展网络安全是一个机遇和挑战并存的过程，甚至可以说是机遇大于挑战。
小白:
　我同意，因为随着信息技术的深入发展，我国的网络安全形势日益严峻，数据泄露、勒索病毒等重大网络安全事件频发。业务数据的价值越来越高，页面篡改、黑链等安全事件使得企业系统所面临的安全威胁随之增大，造成的损失愈发严重。
大东:
　随着5G商用以及人工智能、区块链、智能工业、智能家居、云基础设施等热门技术所带来的新挑战，网络安全“战争”全面升级。
小白:
　相信事情一定会越变越好的，我们年轻一代一定要专心学习，少年强则国强！