一、 主题
常德学院第一届网络安全“CTF”(Capture The Flag:攻防夺旗)竞赛暨网络安全协会(CTF战队)选拔赛。
二、 背景
随着互联网的迅速发展,互联网已经渗透生活方方面面,习主席曾说过,“没有网络安全,就没有国家安全”,在频发的安全事件催化下,网络空间安全已经上升至国家战略高度互联网的安全问题已经成为社会关注的焦点,国家对网络安全人才的需求与日俱增。
就教育界而言,高等院校传统计算机类专业,网络安全方向已经是当今IT行业就业的热点之一,人才培养目标是培养具有与本专业领域方向相适应的高素质、高技能网络人才,不但培养学生掌握本专业领域方向的基础知识,同时要求学生具备相应实践技能及较强的实战能力,从而达到现代企业的用人标准,才能整体提高国内网络安全领域技术在国内以及国际的综合实力。
为提高本校学生对网络安全的了解,提升学生对信息安全的兴趣,发掘并选拔信息安全优秀预备人才的学生,特此举办此次CTF竞赛。
三、 活动意义
没有网络安全就没有国家安全,网络安全行行有责、人人有责;加强高校网络安全建设、打造网络安全人才梯队。
通过活动交流和技术分享,让学生更深入了解网络安全行业发展态势,促进高校对于网络安全人才培养方案的制定和优化;同时,有利于学生明确自身对于网络安全相关知识、技能的学习目标和方向。
通过竞赛组建常德学院网络安全协会(CTF战队),协会成员将成为学院参加各种竞赛的主力,同时提升学生网络安全相关的动手技能,提升学生就业的竞争力。
四、 组织结构
1. 主办机构:常德学院信息学院
2. 协办单位:湖南省网安基地科技有限公司
五、 活动安排
1.第一阶段:网络安全讲座。时间暂定于2025年10月21日-23日,具体安排如表1网络安全讲座所示。
表1 网络安全讲座安排表
序号 | 班级 | 时间 | 地点 | 备注 |
1 | 计科2501-02 | 10.21 19:00-20:00 | 精慧楼101 |
|
2 | 计科2503-04 | 10.21 20:00-21:00 | 精慧楼101 |
|
3 | 计科2505-06 | 10.22 19:00-20:00 | 精慧楼101 |
|
4 | 网络2501-03 | 10.22 20:00-21:00 | 精慧楼101 |
|
5 | 软件2501-02 | 10.23 19:00-20:00 | 精慧楼101 |
|
6 | 软件2503-04 | 10.23 20:00-21:00 | 精慧楼101 |
|
2.第二阶段:赛前培训。时间为2025年10月25日-26日、11月1日。
讲座结束后,根据报名参加的人数,在校内搭建CTF学习及竞赛平台。对网络安全CTF竞赛感兴趣的学生进行3次CTF相关知识介绍及题型的培训,具体赛前培训安排如表2网络安全(CTF)比赛培训安排表。
表2 网络安全(CTF挑战)培训安排表
序号 | 人员 | 时间 | 地点 | 备注 |
1 | 参加比赛学生 | 10.25 14:00-17:30 | 精慧楼102、103 |
|
2 | 10.26 14:00-17:30 | 精慧楼102、103 |
|
3 | 11.1 14:00-17:30 | 精慧楼102、103 |
|
3.第三阶段:CTF竞赛。时间暂定于2025年11月2日。
培训结束后,正式比赛的时间暂定于2025年11月2日,具体的竞赛流程如表3竞赛流程初步安排表所示。
表3 网络安全(CTF)竞赛初步安排表
序号 | 竞赛流程 | 时间 | 地点 | 备注 |
1 | 上午 | 11.2 9:00-12:00 | 精慧楼102、103 |
|
2 | 下午 | 11.2 13:30-16:00 | 精慧楼102、103 |
|
3 | 颁奖 | 11.2 16:30-17:00 | 精慧楼102、103 |
|
大赛结束后,针对竞赛取得优异成绩的学生,按自愿参与的模式进入网络安全协会(CTF战队),以后为常德学院参加省级以上的竞赛做准备。
六、 具体的竞赛方案
1.参赛对象
常德学院信息学院全体在籍学生,欢迎其他二级学院的在籍学生参加,每个学生单独参赛。
2.报名方式
比赛咨询QQ群:191077074
报名方式:10月29日20:00前发送报名表至2418723956@qq.com邮箱(报名表见附件1)。
3.竞赛内容:CTF竞赛(攻防夺旗赛)
主办方提供一系列不同类型的赛题,比如上线一个有漏洞的服务、提供一段网络流量、给出一个加密后的数据或经过隐写后的文件等,参赛选手通过解题获得相应题目中的flag(旗标文件),并提交至评分系统,评分系统审核确认flag正确后,将自动将积分传递给选手,以获得相应的分值。
(1)赛题类型分类为:WEB、CRYPTO、REVERSE、MISC四大类别。
(2)题目可能涉及靶机或相关的文件,用户通过直接访问靶机或者下载相关题目文件进行解题。
(3)解题后将答案提交至评分系统,评分系统将自动判断答案,若回答正确将获得相应分值。
(4)题目数量:共10道题目
(5)难度设置:难度等级为高、中、低。难度分布为高(20%)、中(30%)、低(50%)。
(6)相关的一些术语解释如表4相关术语名词表所示。
表4 相关术语名词介绍表
相关术语名词介绍 |
类型名称 | 类型内容介绍 |
Web | 题目会涉及到常规的漏洞及部分渗透测试相关性题目 |
MISC | 安全杂项,可能涉及流量分析、各种网络取证、社会工程学、数据分析等类型 |
CRYPTO | 密码学,考察各种加解密技术,算法等 |
REVERSE | 逆向工程,主要涉及到软件逆向、破解等技术 |
4.评分规则
本次比赛采用积分赛制:比赛会场的大屏幕上实时展示此次比赛的得分情况和排名。
攻防夺旗赛评分标准
(1)每题分值为100-500分不等。
(2)前三名成功解答题目的选手将获得一定的加分(按照题目分值的百分比:50%/30%/20%),第一名解答题目的选手将获得一次开题权;
(3)大部分flag为此形式:FLAG{可见字符串},只需提交花括号内的可见字符串(大小写敏感);如果flag为其他形式,题目中会单独说明。
(4)比赛中裁判有可能抽查获取得分点的方法,如果发现回答有误,疑似非法渠道获取答案的,取消其该项得分,严重者取消比赛资格。
(5)比赛过程中,裁判组根据比赛情况发放题目;
(6)比赛组与比赛组之间相互单独,不允许进行访问
(7)当参赛选手积分相同时,先达到该分数的选手排名靠前;
(8)公平起见,只有当没有任何选手解出某题的时候,裁判组才可能发放相关提示;
(9)如果参赛选手发现大赛平台或者赛题非预期漏洞,将会酌情给予一定加分奖励;
5.比赛秩序
(1)参赛人员需提前准备自带笔记本电脑、电源。资料(包括书籍、电子资料)及移动存储工具;
(2)在比赛开始前签到,并提供有效证件(学生证、身份证)以核实身份信息。
(3)比赛正式开始后迟到15分钟者不得进入比赛场地;
(4)竞赛工位通过事先分派决定,竞赛期间参赛选手不得离开竞赛工位;
(5)比赛过程中或比赛后发现问题(包括反映比赛或其它问题),应当示意裁判组,由裁判组进行解答;
(6)禁止任何对比赛相关平台的暴力破解和攻击,违规者一律取消参赛资格;
(7)禁止任何针对参赛对手的网络攻击行为,违规者一律取消参赛资格;
(8)禁止通过任何网络连接互联网(包含:共享热点)寻求网络外援远程协助答题。违规者一律取消参赛资格。
(9)比赛过程中不能相互交流,禁止参赛队伍之间分享任何解题思路及flag,违规者一律取消参赛资格;
(10)使用网络扫描器(例如Nikto或者Nessus)不会对解题有帮助;
(11)竞赛结束(或提前完成)后,参赛选手要确认已成功提交的所有竞赛文档,在确认后不得进行任何操作。
6.奖项评定
FLAG提交后由企业和学校老师共同成立的评奖委员会评定,如有抄袭或者其他作弊行为扣分,情节严重直至取消成绩,并通报组委会。
7.奖项设置
本次大赛设置:
一等奖:5名同学,奖品:高级鼠标+荣誉证书
二等奖:10名同学,蓝牙音箱+荣誉证书
三等奖:15名同学,U盘+荣誉证书
优秀奖:若干,颁发荣誉证书
整个比赛过程还会随机抽取幸运同学赠送精美礼品一份。
