一、竞赛简介
信息安全已涉及到国家政治、经济、文化、社会和生态文明的建设,信息系统越发展到它的高级阶段,人们对其依赖性就越强,从某种程度上讲其越容易遭受攻击,遭受攻击的后果越严重。“网络安全和信息化是一体之两翼、驱动之双轮。没有网络安全就没有国家安全。”信息是社会发展的重要战略资源,国际上围绕信息的获取、使用和控制的斗争愈演愈烈,信息安全成为维护国家安全和社会稳定的一个焦点,各国都给以极大的关注和投入,优先发展信息安全产业。信息安全保障能力是综合国力、经济竞争实力和生存能力的重要组成部分,是世纪之交世界各国奋力攀登的至高点。
信息安全与对抗技术竞赛(ISCC:Information Security and Countermeasures Contest),于2004年首次举办,2017年为第14届。经过多年的发展,ISCC已发展成为一项具有较高影响力的技术竞赛。
竞赛将不断追求卓越,为培养高素质信息安全对抗专业人才做出贡献。欢迎从事信息安全行业或者对信息安全感兴趣的人士参与到ISCC竞赛中来。
二、竞赛宗旨
提升信息安全意识,普及信息安全知识,实践信息安全技术,共创信息安全环境,发现信息安全人才!
三、竞赛形式
竞赛有2项,即“个人挑战赛”和“分组对抗赛”。
个人挑战赛采取线上通关挑战的方式进行比赛,本届比赛包括CHOICE、BASIC、WEB、REVERSE、PWN、MISC和MOBILE关卡。
- CHOICE:选择题包含关于信息安全的各类知识点,难度系数偏低,适合刚接触信息安全的人士来全面的了解安全行业的情况。
- BASIC: 主要考察基础的计算机与网络安全知识,涉及信息发掘、搜索、嗅探、无线安全、正则表达式、SQL、脚本语言、汇编、C语言以及简单的破解、溢出等知识。旨在普及信息安全知识,引领信息安全爱好者入门。
- WEB: 考察脚本注入、欺骗和跨站等脚本攻击技术;
- REVERSE: 考察逆向破解的相关技术,要求有较高的汇编语言读写能力,以及对操作系统原理的认识;
- PWN: 考察软件漏洞挖掘、分析及利用技术,探索二进制代码背后的秘密,要求对漏洞有一定理解,掌握操作系统原理的相关知识;
- MISC: 考察各种计算机系统与网络安全知识,涉及隐写术、流量分析、内核安全等信息安全的各个领域;
- MOBILE: 随着移动智能设备的日益流行,近年线上赛增加了MOBILE关卡,主要考察移动终端安全攻防能力。
分组对抗赛为线下模拟环境中的真实对抗,主要采取阵地夺旗、占领高地等模式进行攻防比拼。比赛时,各队伍通过对指定的服务器进行入侵攻击达到获取旗子的目标而得分,并在攻上高地后防御其他队伍的攻击。
四、参赛方式
个人挑战赛不仅面向在校学生,还面向社会各界人士,采用注册即报名的规则,人数不限,选手可直接登陆竞赛网站首页( http://www.isclab.org.cn )进行注册参赛。本次竞赛暂不接受组队参赛。注意,用户名、队伍等注册信息中,请勿出现暴力、色情、政治等相关表述,如发现将删除账号。
分组对抗赛则采取选拔个人挑战赛中的优秀选手和各赛区推荐部分选手,每组3-6人。
五、竞赛日程
个人挑战赛将于2017年5月1日上午8:00开始,一般持续30天左右。
分组对抗赛则会在个人挑战赛结束后于暑期进行,一般持续2天,时间一般安排在8月中旬,地点位于北京理工大学。
六、竞赛评测
6.1 个人挑战赛
个人挑战赛评奖采用积分制,参赛选手按分数的多少进行排序,竞赛评分以选手攻关数目多少和系统记录的过关时间先后为依据。选手的最终成绩为通过各关所获分数的累积。选手按分数多少排序,两名选手得分相同时,则查看各自通过最后一关的时间,先通过者优于后通过者。最后按照名次先后进行评奖。
- 线上初赛题目会根据时间安排以及选手的解题进度由组委会逐步开放。
- 线上赛大部分题目将以flag形式提交进行机器审核,部分题目由于限制则采用人工审核判题,请大家关注答题形式,按正确形式提交解题答案。
- 线上赛每题分值从50-500分不等,分值信息会在具体题目中给出。
- 积分相同时,根据最后一道得分题目提交时间,先提交者名次高。
- 若某道题目没有选手能解出时,组委会将适时发布提示信息。
- 选手若发现竞赛平台或者赛题有非预期漏洞并通报组委会时,组委会会酌情加分。
- 禁止对赛题以外的平台发起攻击,违规者一律取消参赛资格。
- 资格赛赛题会根据参赛选手的解题进度由组委会逐渐开放
6.2 分组对抗赛
分组对抗赛视当年题目性质评定分数,有加分和减分项。
- 禁止参赛队之间分享任何解题思路及flag,违规者一律取消参赛资格。
- 禁止任何对比赛平台的暴力破解,违规者一律取消参赛资格。
- 禁止对赛题以外的比赛平台发起攻击,违规者一律取消参赛资格。
七、联系方式
竞赛邮箱:iscc2004@163.com
竞赛组QQ群:1722376(供参赛者进行技术交流,严禁剧透)
竞赛微博:BIT网络安全对抗实验室罗森林
八、组织单位
主办单位:
中国兵工学会
教育部高等学校兵器类专业教学指导委员会
中国兵工学会信息安全与对抗专业委员会
九、其他事项
- 竞赛旨在普及信息安全知识,引导初学者进行学习,并为技术爱好者们提供一个交流的平台。恶意攻击竞赛服务器的参赛者将失去比赛资格。任何违反法律法规行为其后果自行承担。
- 竞赛的最终解释权归“信息安全与对抗技术竞赛组委会”所有。
十、FAQ
1 什么是ISCC?
ISCC是Information Security and Countermeasures Contest(信息安全与对抗技术竞赛)的缩写,2004年举办首届竞赛,而后每年举办1届。
ISCC由北京理工大学罗森林教授提出,最早由北京理工大学教务处主办,而后由教务处、网络中心、团委共同主办。截止目前已有多家主办、协办和支持单位,其宗旨是面向广大民众:提升信息安全意识,普及信息安知识,实践信息安全技术,共创信息安全环境,发现信息安全人才。
ISCC分为二个阶段,即“个人挑战赛”和“分组对抗赛”。
2. 什么是CTF(Capture The Flag)?
CTF夺旗赛是信息安全竞赛的一种形式,flag 是指一串字符信息,它可能会被放在远程服务器上,也可能会被加密和隐藏在各种不容易访问到的媒介上,参赛选手通过使用逆向、解密、取证分析、渗透利用等技术来拿到 flag。
CTF夺旗赛通常有两种形式,解题模式(Jeopardy)和攻防模式(Attack-Defense)。(1)解题模式中,通过一系列不同类型的赛题,比如给定一个有漏洞的服务、提供一段网络流量、给出一个加密后的数据等,将 flag 隐藏在这些题目中,选手们通过解题获得积分。(2)攻防模式中,通过事先给定一个接近真实的具有系列漏洞的服务环境,每个参赛队都具有相同的环境,参赛队一方面需要修补自己服务的漏洞,同时也需要去攻击对其他参赛队的服务,获得他人环境中的 flag 来得分,比赛过程也更加激烈。
3. 竞赛题目有哪些类型?难度如何?
ISCC题目涉及面较广,包含但不限于Web渗透、漏洞挖掘与利用、加密解密等。
ISCC题目难度差异很大,一方面,面向尽可能多的参赛选手,都有一定的参与机会和效果。另一方面,面先优手选手提供更能充分发挥其能力的题目。
4. 我能参加ISCC吗?如何报名?
任何人都可以参加ISCC,个人挑战赛仅需于网站注册账号即可参赛。分组对抗赛采用选拔和邀请模式。