黑客圍城�����,決戰(zhàn)“廣誠市”
每日經(jīng)濟(jì)新聞
2018-09-17 19:04:23
9月15日至16日�,作為2018國家網(wǎng)絡(luò)安全周的首場活動,首屆“巔峰極客”網(wǎng)絡(luò)安全技能挑戰(zhàn)賽在成都舉行���,聚焦城市網(wǎng)絡(luò)安全?���!皬V誠市”便是這場城市網(wǎng)絡(luò)安全的主體,這個(gè)虛擬的數(shù)字之都�����,正是首次亮相比賽的城市網(wǎng)絡(luò)仿真靶場����。
每經(jīng)記者 謝孟歡 每經(jīng)實(shí)習(xí)記者 朱玫潔 每經(jīng)編輯 楊歡
2023年秋����,廣誠市“城市智慧網(wǎng)絡(luò)”已平穩(wěn)運(yùn)行五年�。
這座城市IT���、互聯(lián)網(wǎng)�、現(xiàn)代信息產(chǎn)業(yè)高度發(fā)達(dá)�����,吸引了大量農(nóng)村人口涌入���,總?cè)丝诔^2000萬�,“城市病”已經(jīng)成為困擾廣誠市建設(shè)與管理的首要難題��。為此�����,廣誠市建立起了“城市智慧網(wǎng)絡(luò)”����,覆蓋城市服務(wù)、能源�、交通、政務(wù)媒體等基礎(chǔ)設(shè)施�,一躍成為新興的數(shù)字之城��。
城市智能化系統(tǒng)的建設(shè)給人民生活帶來了很多便利�,也暴露出諸多漏洞�����。9月15日上午9時(shí)許���,廣誠市智慧城市系統(tǒng)多個(gè)節(jié)點(diǎn)遭遇蠕蟲病毒攻擊����,城市交通��、電力���、廣播等出現(xiàn)異常,從而引發(fā)城市網(wǎng)絡(luò)安全危機(jī)和一系列連鎖反應(yīng)�。
一場代號為“巔峰極客”的行動拉開帷幕。
……
▲每經(jīng)記者 謝孟歡 攝
32小時(shí)激戰(zhàn)���、模擬仿真戰(zhàn)場����、8大角色“聯(lián)合演習(xí)”……9月15日至16日,作為2018國家網(wǎng)絡(luò)安全周的首場活動�,首屆“巔峰極客”網(wǎng)絡(luò)安全技能挑戰(zhàn)賽在成都舉行,聚焦城市網(wǎng)絡(luò)安全��。
“廣誠市”便是這場城市網(wǎng)絡(luò)安全的主體��,這個(gè)虛擬的數(shù)字之都��,正是首次亮相比賽的城市網(wǎng)絡(luò)仿真靶場��,“打造城市網(wǎng)絡(luò)仿真靶場�,是希望讓所有問題在不同戰(zhàn)隊(duì)的破解和滲透測試中暴露出來,從而更好地保護(hù)我們現(xiàn)實(shí)城市的網(wǎng)絡(luò)安全�����。” 大賽技術(shù)支持方����、北京永信至誠科技股份有限公司CTO張凱表示。
“這場比賽是仿真的演習(xí)�����,對于攻擊到來時(shí)防守方怎么防護(hù)�����,監(jiān)管方怎么溯源都有一個(gè)體現(xiàn),未來��,各方在具備這些能力之后���,才能在現(xiàn)實(shí)生活中更好確保網(wǎng)絡(luò)安全����。”談到比賽感受時(shí)���, 4WebDogs的隊(duì)員李超如是表示��。
城市靶場���,不僅僅是一場比賽�����,更是信息化社會開出的一支網(wǎng)絡(luò)安全能力“預(yù)防針”��。
“聯(lián)合演習(xí)”
9月16日下午16點(diǎn)59分����,何立人的電腦右上角開始倒計(jì)時(shí)���,最后5秒,現(xiàn)場開始響起掌聲�,而何立人也拿出手機(jī),第一時(shí)間發(fā)了朋友圈�,“我們是冠軍!”配圖正是2018巔峰極客網(wǎng)絡(luò)安全技能挑戰(zhàn)賽最終的團(tuán)隊(duì)排名�,何立人所在的團(tuán)隊(duì)4WebDogs以24000多分的積分排名第一。
而此前�����,他們的隊(duì)伍也是從3263支戰(zhàn)隊(duì)中脫穎而出�,突出重重挑戰(zhàn)而站上的決賽舞臺。
“萬萬沒想到”�,這是4WebDogs 對本次比賽的評價(jià),作為隊(duì)伍的主要負(fù)責(zé)人��,何立人告訴我們���,比賽恰恰讓隊(duì)伍發(fā)揮出了本來優(yōu)勢�。“我們公司本身就是做反網(wǎng)絡(luò)犯罪的,比較擅長實(shí)戰(zhàn)類�,而本次比賽就是模擬實(shí)戰(zhàn),所以在比賽的時(shí)候比較有經(jīng)驗(yàn)��。”
何立人口中的模擬實(shí)戰(zhàn)�,正是本次巔峰極客的最大亮點(diǎn)之一,即國內(nèi)首個(gè)城市網(wǎng)絡(luò)仿真靶場�。“我們也是第一次參加這種形式,很新穎��,整個(gè)模擬的環(huán)境特別大�����。”何立人說�。“以前的比賽主要是解題模式,對方為出題人��,訂一套規(guī)則��,然后參賽選手去解題����,跟實(shí)戰(zhàn)的區(qū)別很大�����。”
此前,CTF解題模式是網(wǎng)絡(luò)安全競賽1.0時(shí)代�����,AWD攻防模式將網(wǎng)絡(luò)安全競賽帶入2.0時(shí)代���。今天�����,隨著仿真城市靶場的面世��,網(wǎng)絡(luò)安全競賽正式踏入3.0時(shí)代�,開啟全新的紀(jì)元����。
具體而言,這一城市網(wǎng)絡(luò)仿真靶場就是對整個(gè)城市的網(wǎng)絡(luò)節(jié)點(diǎn)�,進(jìn)行高度濃縮和還原,打造成一個(gè)虛擬的����、仿真的數(shù)字城市“廣誠市”。8組團(tuán)隊(duì)分別扮演黑客攻擊團(tuán)隊(duì)、防御團(tuán)隊(duì)�、網(wǎng)警團(tuán)隊(duì)、普通網(wǎng)民����、系統(tǒng)廠商、供應(yīng)鏈團(tuán)隊(duì)�����、競賽裁判以及靶場運(yùn)維8個(gè)身份�,展開一場關(guān)于城市網(wǎng)絡(luò)攻防戰(zhàn)的“聯(lián)合演習(xí)”。最終的比賽結(jié)果�����,也將在32小時(shí)持續(xù)的攻防中累計(jì)得分�,分?jǐn)?shù)最高者獲勝。
這樣的真實(shí)��、激烈的“實(shí)戰(zhàn)”給不少隊(duì)伍留下深刻的印象��,中國移動的一名參賽選手提到����。“系統(tǒng)有模擬去年WannaCry場景����,就是一個(gè)服務(wù)器攻陷后����,后面的服務(wù)器也會大范圍淪陷���,是非常真實(shí)的場景���,模擬得特別好。”
實(shí)戰(zhàn)人才
對于現(xiàn)場的參賽選手而言�,仿真模擬的賽場不僅提供了全然一新的比賽體驗(yàn),更為重要的是一次能力的淬煉����。
正如本次靶場的技術(shù)支持方、北京永信至誠科技股份有限公司的助理總裁付磊所說�,這種系統(tǒng)能夠綜合體現(xiàn)參賽選手各個(gè)角色的配合和他們每個(gè)人面對城市攻防的能力,“在這個(gè)模擬的真實(shí)小鎮(zhèn)中�����,里面發(fā)生的所有攻擊和防守的事情都很真實(shí)�����,比如有人會真實(shí)去攻擊他們,也會有網(wǎng)警去抓捕黑客�����。”付磊說����。
對此,作為參賽選手���,4WebDogs的隊(duì)員李超也有更為直接的感受�,“ 這場比賽是仿真的演習(xí)��,對于攻擊到來時(shí)防守方怎么防護(hù)�,監(jiān)管方怎么溯源都有一個(gè)體現(xiàn),未來���,各方在具備這些能力之后���,才能在現(xiàn)實(shí)生活中更好確保網(wǎng)絡(luò)安全。”
事實(shí)正如此��,實(shí)戰(zhàn)才能出經(jīng)驗(yàn),高仿真�、數(shù)據(jù)可視化、便捷的網(wǎng)絡(luò)靶場�����,讓極客能盡量體會各種各樣的網(wǎng)絡(luò)安全場景�����。
比賽結(jié)束后��,上述中國移動的參賽選手也告訴我們��,公司平時(shí)主要做運(yùn)維和防御���,而這次作為紅隊(duì)參與,主要是進(jìn)攻����,要知道怎么攻才知道怎么防守,知己知彼才百戰(zhàn)不殆����,這也是我們來參加比賽的一個(gè)初衷�。”
此前����,智聯(lián)招聘發(fā)布最新《網(wǎng)絡(luò)安全人才市場狀況研究報(bào)告》。報(bào)告顯示��,2018年上半年�,網(wǎng)絡(luò)安全人才需求規(guī)模指數(shù)較2017年上半年同比增長了44.9%。
網(wǎng)絡(luò)安全人才具有強(qiáng)實(shí)踐性�、攻防對抗性、知識面覆蓋廣更新快等特點(diǎn)���,特別是攻防實(shí)戰(zhàn)技術(shù)�,是一種經(jīng)驗(yàn)型的技術(shù)�����,如同體育競技一樣�����,需要大量的實(shí)踐和博弈訓(xùn)練�。而這也無形中為網(wǎng)絡(luò)安全人才培育增加了難度。
在智聯(lián)的報(bào)告中提到�����,有超過八成高校老師認(rèn)為“教師缺乏實(shí)戰(zhàn)經(jīng)驗(yàn)”已經(jīng)成為了網(wǎng)絡(luò)安全人才培養(yǎng)的最大難點(diǎn)。
大浪淘沙��,一場好的賽事�����,也能幫助行業(yè)挖掘出真正的人才���。比賽中的佼佼者,也是城市����、企業(yè)急需的網(wǎng)絡(luò)安全人才,其激勵��、鼓勵政策也相應(yīng)配套�����。
不只是現(xiàn)金獎勵�,對于此次大賽獲獎團(tuán)隊(duì)或個(gè)人中,落戶在成都高新區(qū)的創(chuàng)業(yè)者��,還將給予創(chuàng)業(yè)上的鼓勵——即所帶項(xiàng)目經(jīng)過評審后,可獲得最高100萬創(chuàng)業(yè)基金�����,并幫助他們獲得成都高新區(qū)創(chuàng)業(yè)天使投資基金支持�����。單戶企業(yè)原則上可獲得不超過300萬元的天使投資支持��,特別優(yōu)秀的可獲得最高500萬元的天使投資支持���。
“免疫系統(tǒng)”
“震網(wǎng)”�����、“WannaCry”……隨著互聯(lián)網(wǎng)���、物聯(lián)網(wǎng)的發(fā)展,當(dāng)下網(wǎng)絡(luò)形勢愈發(fā)不容樂觀��,網(wǎng)絡(luò)威脅越來越復(fù)雜�����,城市以及企業(yè)應(yīng)對網(wǎng)絡(luò)安全事件的要求也越來越高。
“沒有10萬發(fā)子彈訓(xùn)練不出神槍手”����,仿真靶場相當(dāng)于一個(gè)大型訓(xùn)練場,全部參賽隊(duì)員在靶場上完成了一次大型的實(shí)戰(zhàn)攻防演練��。
“我們過去很多的方案有效性推論都是在理論推演上面的��,沒有真實(shí)性測試” 北京永信至誠科技股份有限公司董事長蔡晶晶說�,“ 這也是開發(fā)靶場——將無限接近現(xiàn)實(shí)數(shù)字信息系統(tǒng)的架構(gòu)搬到數(shù)字化虛擬平臺里面的初衷。”
目前�����,“廣誠市”對于所中小型城市的信息系統(tǒng)模擬已經(jīng)達(dá)到了大約5~10%�����。
具體來說�,這個(gè)虛擬的“廣誠市”�,集中了國內(nèi)外很多自主可控的軟件系統(tǒng),讓最優(yōu)秀的黑客���,最優(yōu)秀的技術(shù)精英���,最優(yōu)秀的安全防御者����,最優(yōu)秀的廠商共同測試它的能力�����。
同時(shí)�,蔡晶晶說,在賽后��,平臺會將賽中新發(fā)現(xiàn)的信息系統(tǒng)風(fēng)險(xiǎn)���,第一時(shí)間提供給相應(yīng)的網(wǎng)絡(luò)安全廠商�,以便廠商迅速做提升�����。“這一次演習(xí)以后系統(tǒng)的能力實(shí)質(zhì)會往上拔高�����,那么經(jīng)歷幾次的迭代,我相信這就不僅僅是人才的推動了�����,而是對于現(xiàn)實(shí)物理環(huán)境�����,網(wǎng)絡(luò)安全能力的提升”�。
“如今,各個(gè)城市都在提‘智慧城市’建設(shè)��,大賽中出現(xiàn)的情況����,充分體現(xiàn)了城市建設(shè)中可能在網(wǎng)絡(luò)安全方面出現(xiàn)的各項(xiàng)問題和應(yīng)該采取的措施。” 中國計(jì)算機(jī)學(xué)會計(jì)算機(jī)安全專業(yè)委員會主任嚴(yán)明表示�����。
如果在智慧城市搭建的同時(shí)���,還有一個(gè)高度濃縮的仿真靶場,讓極客不間斷地去測試其在實(shí)際應(yīng)用中可能出現(xiàn)的風(fēng)險(xiǎn)漏洞����,靶場便可成為智慧城市的一個(gè)免疫系統(tǒng)�����。
正如中國科學(xué)院院士鄭建華在這場對決的開幕式所說�,城市靶場��,不僅僅是一場比賽�����,或者說演習(xí)����。而是凝結(jié)了無數(shù)網(wǎng)絡(luò)安全專家,在網(wǎng)絡(luò)攻防一線奮斗多年經(jīng)驗(yàn)的結(jié)晶�����,這是為信息化社會開出的一支網(wǎng)絡(luò)安全能力“預(yù)防針”�����。
據(jù)了解���,這場“巔峰極客”的大賽�,將永久落戶成都。無疑����,越來越多的網(wǎng)絡(luò)安全人才也將聚集于成都。對于成都而言���,這是加快網(wǎng)安產(chǎn)業(yè)發(fā)展����、進(jìn)一步筑牢網(wǎng)絡(luò)信息安全屏障��,打造為自主創(chuàng)新“網(wǎng)絡(luò)強(qiáng)市”的良好契機(jī)��。
