2017-06-03 AngelaY FreeBuf
6月2日，深圳EPC藝術中心，多雲。

一大清早，南方夏天特有的溼熱天氣就讓人感受到撲面而來的熱情，在這樣的環境中，同樣火熱的首屆騰訊資訊保安爭霸賽（Tencent Capture The Flag，簡稱TCTF）決賽拉開了帷幕。

TCTF賽場內：選手比賽爭先恐後

首屆TCTF決賽由中國網路空間安全協會競評演練工作委員會指導，由騰訊安全發起、騰訊安全聯合實驗室主辦，0ops安全團隊協辦。值得一提的是，這是中國大陸唯一擁有DEF CON外卡賽資格的賽事。也就是說，本次決賽的冠軍能夠直接晉級DEF CON CTF決賽。

而大名鼎鼎的DEF CON CTF大賽，其歷史可以追溯到1996年，是資訊網路安全領域的頂級賽事，被譽為黑客界的“世界盃”。可想而知，全世界有多少白帽黑客們夢想著在這個舞臺大展身手。因此，初賽之時，TCTF便吸引了全球上千支國際戰隊和上百支高校戰隊參加。

比賽採用面向全球戰隊的國際賽（0CTF）和麵向高校學生戰隊的新人邀請賽（Risingstar CTF）的平行賽制。入圍決賽的共有24支隊伍，其中，參加0CTF比賽的有12支隊伍，包括俄羅斯LC↯BC戰隊、美國PPP戰隊、韓國CyKor戰隊、匈牙利的傳統CTF強隊!SpamAndHex戰隊和羅馬尼亞新興PwnThyBytes戰隊等CTFTIME排行榜上世界前5的頂尖國際戰隊。另外還有包括復旦大學**（六星）戰隊和來自臺灣的217戰隊在內的4支中國戰隊。覆蓋了亞洲、美洲、東歐、西歐等7個國家和地區，參賽陣容的確是相當龐大。

值得一提的是，與傳統的純技術比拼型CTF比賽不同，首屆TCTF向前一步，也期望發揮了人才發掘和培養的作用。這體現在此次TCTF大賽的新人邀請賽方面。新人邀請賽決賽中也有12支隊伍，但其實有三支隊伍並不參與排名（來自深圳大學的Aurora戰隊、來自華南理工大學的kap0k戰隊以及來自上海交大的Ph0t1n1a戰隊），他們是實力不錯，潛力較大的特邀隊伍。所以比賽為網路安全領域的有志少年放寬了通道。

6月2日的比賽時段為10:00-19:00。賽題主要由科恩實驗室等騰訊七大安全聯合實驗室以及上海交大0ops戰隊共同策劃給出，共分為Pwnable，Reversing，Web ，Crypto，和Misc等五類題目。為了與DEF CON比賽接軌，決賽賽題經過多次驗證，難度較大，且在比賽剛開始就放出了絕大部分題目。佔比最多的是Web類和Pwnable類題目。

比賽採用動態計分的方式，每道題初始分數為1000分，解出題目的隊伍越多，該題的分數就越低。這會迫使各支隊伍在綜合考量自己團隊實力和擅長方向後，優先選擇解答難度較大的題目，以獲得更多的分數。 這場比賽，不僅僅考驗參賽選手技術層面的能力，還對他們的團隊合作、戰略戰術、心理素質等多項能力都有考核。而在各方面能力都很優秀的選手，是賽事和企業都很渴望看到的。

比賽開始的第50分鐘左右，來自臺灣的403Forbidden戰隊破解了Pwnable類別中World of Fastbin 的題目，拿到了一血。隨後，來自俄羅斯的老牌戰隊LC↯BC先後解出 了Web類的Ugly Web v0.2題和唯一的一道Misc類Wanncry題，來自復旦大學的**（六星）戰隊和來自臺灣大學的217戰隊也紛紛得分。

臨近中午12點，新人賽組中來自杭州電子科技大學的Vidar戰隊拿下Pwnable一血之後，比賽陷入膠著狀態。直到下午所有賽題放出之後，國際賽組各站隊紛紛得分，又開始新一輪角逐。為了爭分奪秒，各賽隊幾乎不怎麼離開位置，午飯也靠主辦方提供的快餐解決。而由於一些題目在離開賽場的情況下也可以離線解答，預計很多隊伍會通宵不眠，全力解題。

截至6月2日19:00首日比賽結束之時，國際賽組的所有戰隊都獲得了分數，且前三名（俄羅斯LC↯BC、日本Binja戰隊和美國Shellphish戰隊）比分咬得很緊（值得注意的是，上午比賽開始後，日本Binja戰隊其實遲到了半小時多，而到首日比賽結束，居然跑到了第二，只比LC↯BC少28分，可見實力很強啊！不知道LC↯BC的壓力會不會增加）。新人賽組的前兩名是來自福州大學與西安電子科技大學的聯合戰隊G190X和來自北京航空航天大學的Lancet戰隊，兩隊分數持平。

到首日比賽結束，局勢變得十分緊張。這場沒有硝煙的戰爭，註定愈演愈烈！

截至6月2日19:00 國際賽組排名情況

截至6月2日19:00 新人賽組排名情況

TCTF賽場外：人才培養如火如荼

6月2日下午14:30，在比賽緊張進行的同時，由主辦方騰訊安全、騰訊安全聯合實驗室發起的“中國高校網路安全人才培養沙龍”也在離賽場僅100米遠的酒店會議廳如火如荼地展開。參會人員主要是騰訊安全聯合實驗室的七大掌門人以及陪同參賽隊伍或受邀前來觀戰的各高計算機資訊相關專業的老師。

藉助此次TCTF的契機，業內資深網路安全從業人員與高校計算機資訊專業教師匯聚一堂，就目前高校對網路安全的看法以及在網路安全人才培養方面面臨的挑戰展開討論，並進一步探討安全企業與高校之間合作的可能性以及合作方式。上海交大、中國科學院、南開大學、西安電子科技大學、復旦大學 、北京大學等多所高校的老師都參與了交流。

騰訊雲安全負責人吳宇表示，目前我國網路安全人才缺口高達70萬，並且每年都在增長，而高校每年輸出的網路安全人才僅有3萬左右，遠遠跟不上需求。因此企業與高校之間迫切需要深入交流，就網路安全人才的培養群策群力，獻計獻策。

網路安全人才培養所面臨的主要挑戰

人才缺口太大，供需極度不平衡

網路安全或資訊保安類專業的課程設計與普通計算機專業幾乎沒有差別，造成學生自我定位模糊

專業課程內容與社會需求脫節，學生缺乏實戰機會與經驗

大多學生及民眾網路安全意識淡薄，CTF型別的比賽及網路安全基礎知識亟待普及

專業與行業都處於起步探索階段，尚未形成良好規範，百廢待興

校企合作：以比賽為突破口，尋求更多可能

在沙龍伊始，此次TCTF大賽和沙龍活動的主辦單位騰訊安全聯合實驗室就旗下的七大實驗室負責人都相繼開講。他們都認為CTF類比賽，尤其是面向高校學生的CTF類比賽，是連線高校、學生和企業的良好平臺。一方面，對網路安全領域感興趣的同學，可以藉助這類比賽合理地釋放自己的熱忱，另一方面也可以在實戰中鍛鍊實踐能力。

雲鼎實驗室的Killer掌門表示：

從專業安全人員角度來看 ，CTF類的比賽很有必要，真正對網路安全感興趣的孩子可以通過比賽得到合理、正面的引導；

從企業招聘的角度看 ，這類比賽可以為企業提供發現基礎好、潛力大的人才的機會，而且業內人士也可以在比賽中看到新生代的一些創新點 。

玄武實驗室的於暘教主表示：

技術的不斷髮展會引起學生乃至一代人的焦慮， 資訊保安專業的學生沒必要迷茫。雖然現在網路安全或資訊保安的專業課程與計算機專業的課程區分不大，但事實上它們的基礎上是相關的。可以把網路或資訊保安專業看作是計算機基礎在安全領域的應用。而校企合作的方式可以有更多探索：

1. 企業可以為學生提供更多的行業資訊、幫助激發學生的天分；

2. 很多研究專案可以展開校企合作；

3. CTF類比賽後續如果再發展，甚至可以將反病毒的內容、反欺詐的資料等都納入進來，讓參賽者通過比賽來應用並鞏固學校裡學到的基礎知識。

當然，還有很多其他可行的合作方式。企業與高校可以以CTF類比賽為突破口，進一步加深合作。

企業求賢若渴，高校尋求變革，合作共贏是趨勢

事實上，近幾年有越來越多的業內人士通過黑客比賽來發掘人才。且為了順應社會發展，高校有關網路安全和資訊化技術的課程也需要進行變革，以培養既有理論知識又有應用能力、能夠發揮所長所愛、在社會中發光發熱的人才。而培養過程主遇到的實戰挑戰，也需要企業的協助。

誠如復旦大學六星戰隊指導老師陳辰所言：社會對資訊保安和CTF 賽事仍然存在不解或誤解，相關領域的常識需要更多的宣傳。高校與企業都希望能培養出符合社會要求的人才，但大家都在摸索。大家目標一致，而面臨的困難很多，需要攜手共同努力，才能促進整個行業更好發展。

沙龍的最後，七大掌門為參與沙龍的各位老師頒發騰訊安全“百人計劃”的導師證書，一起推動從高校理論教育到企業技能培養再到國際賽事鍛鍊這種人才培養模式的發展。

也許騰訊安全邁出的這一小步，可以引發網路安全行業其他企業的思考與創新。期待網路安全行業更好的明天。

本文作者：AngelaY，轉載請註明來自FreeBuf.com

6.3日直播圖

浙江的AAA戰隊