2023年第二届伟德betvlctor体育官方网站网络安全大赛(以下简称中传网安大赛)于10月25日、10月29日下午顺利举行,大赛分意识能力赛道和攻防夺旗两个赛道进行。本次大赛由伟德betvlctor体育官方网站主办,学院学科竞赛中心承办,学院团委员工会和伟德betvlctor体育官方网站网络空间安全协会共同协办。
来自全校15个学院的300名同学报名本次大赛意识能力赛道,攻防夺旗赛道今年首次迎来信息与通信工程学院、外国语言文化学院和新闻学院的同学报名参加。相较于第一届大赛较为单一的线上比赛形式,今年大赛在以下三个方面进行了大胆创新和积极尝试,并取得了较好效果。
线下社团特色体验活动
10月14日,学校团委社团联合会主办的员工社团招新活动“百团大战”于孔子广场和西配楼北广场举行。作为本次大赛的协办方之一,伟德betvlctor体育官方网站网络空间安全协会联合赛事命题小组精心准备了“弱口令体检”、“钓鱼邮件面对面(孤注一掷现场版)”、“AI视频直播实时大换脸”三个真实网络安全世界的沉浸式体验项目,吸引了众多同学现场体验“不同口令设置规则能获得多少天的口令安全期”、“电脑被黑掉是一种什么体验”、“通过普通视频摄像头+1张照片就可以伪造照片上的人在跟你实时视频聊天”等。通过现场体验活动,同学们不仅了解到网络安全威胁变成现实的“恐怖”,同时也学习到了实用的个人隐私保护和防诈骗小妙招。
从“知识”拓展到“能力”提升
本次网安大赛意识能力赛道在第一届赛事“知识”竞赛题型基础之上,新增了体现动手能力的沉浸式体验赛题。通过更加贴近真实网络空间生活场景的赛题,既有效提升了同学们的网络安全意识,更锻炼并检验了同学们将“安全意识”具象化为面临安全风险威胁时的“动手操作能力”;对于意识能力赛道新增的“沉浸式体验之识别钓鱼邮件”赛题,选手们需要在一个精心设计的仿真电子邮件系统中,使用自己以往接触和了解到的电子邮件安全操作知识和经验,分辨8封邮件里哪些是正常邮件、哪些是可疑和存在安全风险的邮件。据了解,本次竞赛命题团队是结合多年网络攻防实践案例经验,将真实发生过的网络钓鱼攻击事件中被使用过的攻击手段和技巧应用在本次的沉浸式体验赛题命题设计中,具体考点包括邮件正文中的链接伪装、邮件附件文件格式类型伪装、发信人伪装等,本次赛题的不同邮件完美复刻了多种常见网络钓鱼邮件攻击案例。
“网络安全事关广大群众,自觉维护网络安全人人有责”。从答题情况来看,网络安全意识教育之路任重而道远。计算机与网络空间安全学院将会坚持并不断优化此项赛事,以提升全校师生的网络安全意识和安全能力为己任,以各种方式做好网络安全意识的宣传,同时通过组织相关比赛,希望更多员工从“知道”网络安全风险是真实存在的,过渡到在面临网络安全风险时能“做到”有效规避和自我保护。
大模型安全漏洞考点首次引入CTF
本次大赛的攻防夺旗赛道是国内首个引入“大模型安全漏洞”考点类型的CTF比赛,本次竞赛命题团队花费数月时间研究并复现了当前最主流的大语言模型的多个经典漏洞。从实际比赛过程和结果来看,所有参赛同学均顺利完成了“大模型安全漏洞”的签到题,仅少数同学通关了全部三道“大模型安全漏洞”赛题,不仅体现了本次比赛命题原则“外行不觉深,内行不觉浅”,同时相较于其他以程序设计为代表的信息学专业竞赛,网络安全专业领域的CTF比赛应该是目前唯一允许比赛选手在比赛中使用开放的互联网搜索引擎、甚至是AI助手工具辅助比赛答题的学科竞赛。
对于初次参赛的选手来说,也许会认为比赛难度大幅降低,但比赛选手可以使用这些开放式工具辅助答题,命题团队的老师和同学们同样也会使用这些工具辅助命题设计和自测解题可行性,真实的网络空间对抗就是在这样一种双方、甚至是多方参与的开放式博弈中持续进行。通过本次攻防夺旗赛道,我们聚集了新一批网安专业学科竞赛优秀学子,后续网安学科竞赛培训工作已经列入日程。
据悉,本次大赛组委会正在加紧核对最终排行榜和获奖名单,大赛获奖名单及领奖方式将于近期在学院官方微信号“意如计网”上公布,请参赛同学们耐心等待。