黑客圍城，決戰“廣誠市”

2023年秋，廣誠市“城市智慧網絡”已平穩運行五年。

這座城市IT、互聯網、現代資訊產業高度發達，吸引了大量農村人口湧入，總人口超過2000萬，“城市病”已經成為困擾廣誠市建設與管理的首要難題。為此，廣誠市建立起了“城市智慧網絡”，覆蓋城市服務、能源、交通、政務媒體等基礎設施，一躍成為新興的數字之城。

城市智能化系統的建設給人民生活帶來了很多便利，也暴露出諸多漏洞。9月15日上午9時許，廣誠市智慧城市系統多個節點遭遇蠕蟲病毒攻擊，城市交通、電力、廣播等出現異常，從而引發城市網絡安全危機和一系列連鎖反應。

一場代號為“巔峰極客”的行動拉開帷幕。

……

▲攝影 謝孟歡

32小時激戰、模擬仿真戰場、8大角色“聯合演習”……9月15日至16日，作為2018國家網絡安全周的首場活動，首屆“巔峰極客”網絡安全技能挑戰賽在成都舉行，聚焦城市網絡安全。

“廣誠市”便是這場城市網絡安全的主體，這個虛擬的數字之都，正是首次亮相比賽的城市網絡仿真靶場，“打造城市網絡仿真靶場，是希望讓所有問題在不同戰隊的破解和滲透測試中暴露出來，從而更好地保護我們現實城市的網絡安全。” 大賽技術支持方、北京永信至誠科技股份有限公司CTO張凱表示。

“這場比賽是仿真的演習，對於攻擊到來時防守方怎麽防護，監管方怎麽溯源都有一個體現，未來，各方在具備這些能力之後，才能在現實生活中更好確保網絡安全。”談到比賽感受時， 4WebDogs的隊員李超如是表示。

城市靶場，不僅僅是一場比賽，更是資訊化社會開出的一支網絡安全能力“預防針”。

“聯合演習”

9月16日下午16點59分，何立人的電腦右上角開始倒計時，最後5秒，現場開始響起掌聲，而何立人也拿出手機，第一時間發了朋友圈，“我們是冠軍！”配圖正是2018巔峰極客網絡安全技能挑戰賽最終的團隊排名，何立人所在的團隊4WebDogs以24000多分的積分排名第一。

而此前，他們的隊伍也是從3263支戰隊中脫穎而出，突出重重挑戰而站上的決賽舞台。

“萬萬沒想到”，這是4WebDogs 對本次比賽的評價，作為隊伍的主要負責人，何立人告訴我們，比賽恰恰讓隊伍發揮出了本來優勢。“我們公司本身就是做反網絡犯罪的，比較擅長實戰類，而本次比賽就是模擬實戰，所以在比賽的時候比較有經驗。”

何立人口中的模擬實戰，正是本次巔峰極客的最大亮點之一，即國內首個城市網絡仿真靶場。“我們也是第一次參加這種形式，很新穎，整個模擬的環境特別大。”何立人說。“以前的比賽主要是解題模式，對方為出題人，訂一套規則，然後參賽選手去解題，跟實戰的區別很大。”

此前，CTF解題模式是網絡安全競賽1.0時代，AWD攻防模式將網絡安全競賽帶入2.0時代。今天，隨著仿真城市靶場的面世，網絡安全競賽正式踏入3.0時代，開啟全新的紀元。

具體而言，這一城市網絡仿真靶場就是對整個城市的網絡節點，進行高度濃縮和還原，打造成一個虛擬的、仿真的數字城市“廣誠市”。8組團隊分別扮演黑客攻擊團隊、防禦團隊、網警團隊、普通網民、系統廠商、供應鏈團隊、競賽裁判以及靶場運維8個身份，展開一場關於城市網絡攻防戰的“聯合演習”。最終的比賽結果，也將在32小時持續的攻防中累計得分，分數最高者獲勝。

這樣的真實、激烈的“實戰”給不少隊伍留下深刻的印象，中國移動的一名參賽選手提到。“系統有模擬去年WannaCry場景，就是一個伺服器攻陷後，後面的伺服器也會大範圍淪陷，是非常真實的場景，模擬得特別好。”

實戰人才

對於現場的參賽選手而言，仿真模擬的賽場不僅提供了全然一新的比賽體驗，更為重要的是一次能力的淬煉。

正如本次靶場的技術支持方、北京永信至誠科技股份有限公司的助理總裁付磊所說，這種系統能夠綜合體現參賽選手各個角色的配合和他們每個人面對城市攻防的能力，“在這個模擬的真實小鎮中，裡面發生的所有攻擊和防守的事情都很真實，比如有人會真實去攻擊他們，也會有網警去抓捕黑客。”付磊說。

對此，作為參賽選手，4WebDogs的隊員李超也有更為直接的感受，“ 這場比賽是仿真的演習，對於攻擊到來時防守方怎麽防護，監管方怎麽溯源都有一個體現，未來，各方在具備這些能力之後，才能在現實生活中更好確保網絡安全。”

事實正如此，實戰才能出經驗，高仿真、數據可視化、便捷的網絡靶場，讓極客能盡量體會各種各樣的網絡安全場景。

比賽結束後，上述中國移動的參賽選手也告訴我們，公司平時主要做運維和防禦，而這次作為紅隊參與，主要是進攻，要知道怎麽攻才知道怎麽防守，知己知彼才百戰不殆，這也是我們來參加比賽的一個初衷。”

此前，智聯招聘發布最新《網絡安全人才市場狀況研究報告》。報告顯示，2018年上半年，網絡安全人才需求規模指數較2017年上半年同比增長了44.9%。

網絡安全人才具有強實踐性、攻防對抗性、知識面覆蓋廣更新快等特點，特別是攻防實戰技術，是一種經驗型的技術，如同體育競技一樣，需要大量的實踐和博弈訓練。而這也無形中為網絡安全人才培育增加了難度。

在智聯的報告中提到，有超過八成高校老師認為“教師缺乏實戰經驗”已經成為了網絡安全人才培養的最大難點。

大浪淘沙，一場好的賽事，也能幫助行業挖掘出真正的人才。比賽中的佼佼者，也是城市、企業急需的網絡安全人才，其激勵、鼓勵政策也相應配套。

不只是現金獎勵，對於此次大賽獲獎團隊或個人中，落戶在成都高新區的創業者，還將給予創業上的鼓勵——即所帶項目經過評審後，可獲得最高100萬創業基金，並幫助他們獲得成都高新區創業天使投資基金支持。單戶企業原則上可獲得不超過300萬元的天使投資支持，特別優秀的可獲得最高500萬元的天使投資支持。

“免疫系統”

“震網”、“WannaCry”……隨著互聯網、物聯網的發展，當下網絡形勢愈發不容樂觀，網絡威脅越來越複雜，城市以及企業應對網絡安全事件的要求也越來越高。

“沒有10萬發子彈訓練不出神槍手”，仿真靶場相當於一個大型訓練場，全部參賽隊員在靶場上完成了一次大型的實戰攻防演練。

“我們過去很多的方案有效性推論都是在理論推演上面的，沒有真實性測試” 北京永信至誠科技股份有限公司董事長蔡晶晶說，“ 這也是開發靶場——將無限接近現實數字資訊系統的架構搬到數字化虛擬平台裡面的初衷。”

目前，“廣誠市”對於所中小型城市的資訊系統模擬已經達到了大約5~10%。

具體來說，這個虛擬的“廣誠市”，集中了國內外很多自主可控的軟體系統，讓最優秀的黑客，最優秀的技術精英，最優秀的安全防禦者，最優秀的廠商共同測試它的能力。

同時，蔡晶晶說，在賽後，平台會將賽中新發現的資訊系統風險，第一時間提供給相應的網絡安全廠商，以便廠商迅速做提升。“這一次演習以後系統的能力實質會往上拔高，那麽經歷幾次的迭代，我相信這就不僅僅是人才的推動了，而是對於現實物理環境，網絡安全能力的提升”。

“如今，各個城市都在提‘智慧城市’建設，大賽中出現的情況，充分體現了城市建設中可能在網絡安全方面出現的各項問題和應該采取的措施。” 中國電腦學會電腦安全專業委員會主任嚴明表示。

如果在智慧城市搭建的同時，還有一個高度濃縮的仿真靶場，讓極客不間斷地去測試其在實際應用中可能出現的風險漏洞，靶場便可成為智慧城市的一個免疫系統。

正如中國科學院院士鄭建華在這場對決的開幕式所說，城市靶場，不僅僅是一場比賽，或者說演習。而是凝結了無數網絡安全專家，在網絡攻防一線奮鬥多年經驗的結晶，這是為資訊化社會開出的一支網絡安全能力“預防針”。

據了解，這場“巔峰極客”的大賽，將永久落戶成都。無疑，越來越多的網絡安全人才也將聚集於成都。對於成都而言，這是加快網安產業發展、進一步築牢網絡資訊安全屏障，打造為自主創新“網絡強市”的良好契機。

每日經濟新聞