在过去很长一段时期内,网络安全领域对大众而言是神秘的。但自从斯诺登揭开“棱镜”的幕布,让全球对于信息安全的关注度达到了前所未有的高度,网络安全也逐渐由一个原本看似离我们很遥远的话题,成为今日上至国家下至企业个人都密切关注的热点。与此同时,黑客、网络安全竞赛等这些一度曾是普通民众心目中带有神秘感的字眼,也随着网络安全关注度的不断升温,逐渐走进大众的视野。
在信息安全领域,攻防之间的技术对抗性非常强。攻防之间,胜负往往只在一分一秒间。而就是这一瞬间,却是考验技术的关键所在。在网络安全领域,众多技术大牛凭借自己的看家本领纵横虚拟空间,叱咤江湖,好不威风,引得无数网络安全爱好者膜拜顶礼。从网络安全爱好者到黑客,其实很可能就是一念之间,因此我们需要为这个群体提供一个技术交流、开阔视野的平台,同时也树立正面典型,希望通过良好的示范效应,去除网络安全领域的神秘面纱,让一个健康良性的技术领域暴露在阳光之下。
D3AdCa7,网络安全爱好者,在今年首届4·29首都网络安全周系列活动之网络安全技术大赛中,他所在的unhex代表队夺得了大赛特等奖。在回想当时激烈的竞赛的场景时,D3AdCa7说道:“因为在这场比赛中,大家对本次大赛所采用的竞赛方式和环境都不是各自擅长和熟悉的领域。一开始我们比分很落后,但大家沉住气静下心,在关键时刻拿下了一个重要的加分点,从而一举领先。”
在现实中,这样的一瞬间更是意义非凡。对于攻击者而言,发动十次攻击,只要有一次成功便是胜利;而对于防御者而言,必须将这十次攻击全部抵御才算取得胜利,而一次的失守,就意味着全盘皆输。
那么,对于防御的一方而言,如何才能保障对每一次的攻击都做到有效抵御?随着技术的发展,当前网络攻击的方式也变得愈加复杂和多样,特别是随着网络威胁形势的日益严峻,一系列未知的威胁和手段无时无刻不威胁着网络安全。
如同在安全竞赛中一样,在现实中的防御中,每一个安全工作者都有自己所专注擅长的领域,很难保证每个人对每一次的攻击手段、方式、途径都做到了如指掌。在这样的情况下,团队的协作、思考和探索的精神便显得尤为重要。
D3AdCa7坦言,在首度网络安全日的网络安全技术大赛中,他所在队伍的工程师们所擅长的领域并非是此次大赛所设置的题目环境。而正是通过密切的分工和配合,它们发挥各自专长,同过先期的思考分析,分别对不同系统进行探索、攻击渗透、补齐漏洞,拿下关键得分点,一举扭转先期不利的战局,最终在这场对抗和较量中取胜。
在谈到参与类似比赛的感受时,D3AdCa7说道,我身边有不少同学都是网络安全爱好者,我们也并不都是这个专业的学生,但我们都对攻防技术有自己的爱好与特长。平时,我们总是在虚拟空间交流,因为时间精力有限也缺乏全面的对技术的理解。另外,因为虚拟空间的遮蔽,很多时候我们也可能会面对抱着不同目的与我们交流的人,意志不坚定,思想上有漏洞的人很可能就被“攻陷”进而去从事一些游走在道德和法律边界的事情。来参加比赛,我们可以认识很多志同道合的朋友,大家一起交流技术,并且有专业的技术大牛给我们指导,做评断,在坚定了我自己从事网络安全行业的同时,也能够让我看到榜样的力量。
无论是在比赛中,还是在现实的网络安全防御中,这样的对抗与较量时时可见。而归根结底,这终究还是人与人之间技术全面性的较量。而这个较量,是下至从个人、企业,上至国家网络空间的安全,都需要必须要面对的。也就是说,安全人才的培养和引导在整个国家的网络安全布局中是极其基础也极其重要的一步。
正如杭州安恒信息技术有限公司副总裁刘志乐表示:“作为一家信息安全公司,我们一直注意通过网络安全竞赛挖掘一些信息安全的人才来壮大我们的安全研究实力,这对于我们这样以人才为核心竞争力的企业来说非常有意义。此类安全竞赛对于促进目前高校信息安全专业理论如何更好地贴近实践需求、促进各个行业在信息安全方面的重视也有着非常重大的影响。网络安全爱好者群体数量众多,年龄结构偏小,很多时候,作为安全企业有责任通过参与竞赛、挖掘人才来导正他们的发展方向,为国家、为社会作更多有益的事情。”
而放眼全球,当前国内的相关大赛与国际上成熟的竞赛相比,在竞赛内容、方式、以及所针对的技术领域等方面也还存在一定差距。
目前,国内一系列安全竞赛一般仍是以传统信息安全为主要竞赛内容,竞赛方式多采取理论答题及信息攻防比赛的方式,覆盖面虽广但针对性较弱;而国外的安全竞赛内容一般是不限技术领域的信息安全话题,参赛者也可以进行不限领域的技术切磋、交流,并探讨一系列网络攻防实战,其针对性较强,技术也比较新颖。而这些,都是国内网络安全界值得学习和借鉴的。
其实,国内不少网络安全类的竞技比赛也已有多年历史。以往,这类比赛一般局限在网络安全圈内、参赛范围、信息发布也较为封闭。但值得一提的是,上文中所提到的首届4·29首都网络安全周系列活动之网络安全技术大赛,是由北京网络行业协会主办,团结了北京地区各行业单位、研究院所参与,并利用媒体平台、社区平台、户外平台、网络平台深化宣传效果。与以往相比,无论是在参赛范围还是宣传力度上,都向民间敞开不少,这对广泛选拔和搜寻网络安全人才来说,无疑是开了一个好头。
从年初国家网络安全小组的成立,到即将出台的网络安全审查制度,国家对网络安全的重视已经提高到了前所未有的高度。网络安全需从顶层设计、战略布局、安全文化的重塑、人才培养、产业振兴等各方面从容不迫地循序渐进,而网络安全竞赛在这当中无疑起着重要的作用,其可以看作是国家整体网络安全布局中一颗举足轻重的棋子。
如果说网络安全竞赛是网络安全爱好者登入网路安全殿堂的一扇门,那么每一场竞赛都为我们的网路安全爱好者提供了一个平台,我们期待,公平、公正、公开的网络安全竞赛能够成为通往这座殿堂的光明之门。