余翔湛，张宏莉，于海宁，田志宏，翟健宏，潘柱廷

（1.哈尔滨工业大学计算机科学与技术学院，哈尔滨 150001；2.中国工程物理研究院计算机应用研究所，四川绵阳621900；3.北京启明星辰信息技术有限公司，北京 100193）

网络空间安全竞赛及人才管理

余翔湛1，张宏莉1，于海宁1，田志宏2，翟健宏1，潘柱廷3

（1.哈尔滨工业大学计算机科学与技术学院，哈尔滨 150001；2.中国工程物理研究院计算机应用研究所，四川绵阳621900；3.北京启明星辰信息技术有限公司，北京 100193）

国际网络空间安全对抗的根本是人才的竞争，人才的发现与追踪是关键环节之一。本文调研了国内外网络空间安全竞赛的发展现状，分析了我国网络空间安全竞赛在网络空间安全人才发现和追踪方面存在的主要问题，提出了建立基于网络空间安全竞赛的网络空间安全人才发现和追踪的长效机制的政策建议。

网络空间安全；竞赛；人才发现；人才追踪

DOI 10.15302/J-SSCAE-2016.06.010

一、前言

国际网络空间安全竞争的根本是人才的竞争。中共中央总书记习近平在中央网络安全和信息化领导小组第一次会议上强调,建设网络强国，要把人才资源汇聚起来,建设一支政治强、业务精、作风好的强大队伍。“千军易得,一将难求”，要培养造就世界水平的科学家、网络科技领军人才、卓越工程师、高水平创新团队。习近平在2016年网络安全和信息化工作座谈会上强调，“聚天下英才而用之，为网信事业发展提供有力人才支撑”。

网络空间安全竞赛是最有效发现网络空间安全人才的手段之一。竞赛为网络空间安全人才提供了尽情展示自身技能和才华的平台[1]。竞赛选拔出的人才有极大的希望成为网络空间安全领域中的佼佼者，甚至将来成为国家网络空间安全领域的中坚力量。利用竞赛尽早地发现网络空间安全人才，并尽早地加以引导，可以使其成为我国网络空间安全储备人才，在建设国家网络空间安全中发挥更大作用。

二、国内外网络空间安全竞赛的发展现状

当前国内外网络空间安全竞赛主要包括以下类型：

1. 夺旗（CTF）类竞赛

CTF竞赛是一种基于命题的公平的信息安全技术竞赛，是网络空间安全技术综合运用的技术竞赛典范[2]。CTF竞赛主要包括三种竞赛模式：①解题模式（jeopardy）：参赛者可以线上或线下参与，该模式以解决挑战题目的分值和时间排名，通常用于在线选拔赛，题目主要包含逆向、漏洞挖掘与利用、Web渗透、密码、取证、隐写、安全编程等类别；②攻防模式（attack-defense）：参赛者在网络空间进行攻防，通过挖掘漏洞、攻击对手服务得分，通过修补自身漏洞避免丢分，是一种竞争激烈、且具有强观赏性和高度透明性的网络空间安全赛制；③混合模式（mix）：该模式同时结合了解题模式与攻防模式，例如，参赛者通过解题获取一些初始分数，通过攻防对抗进行得分增减，最终以得分高低分出胜负。

目前，著名的国际CTF赛事主要包括：①DEFCON CTF：依托于DEFCON黑客大会，是CTF赛事中的 “世界杯”；②UCSB iCTF：由加州大学圣塔芭芭拉分校（UCSB）举办的面向世界高校的CTF；③Plaid CTF：包揽多项赛事冠军的卡内基梅隆大学（CMU）的PPP团队举办的在线解题赛；④ Boston Key Party：波士顿近年来崛起的在线解题赛；⑤XXC3 CTF：欧洲历史最悠久CCC黑客大会举办的CTF；⑥RuCTF：由俄罗斯Hackerdom组织的面向俄罗斯队伍的国家级竞赛；⑦RuCTFe：由俄罗斯Hackerdom组织的面向全球参赛队伍的在线攻防竞赛；⑧Codegate CTF：韩国首尔“大奖赛”，冠军奖金为3 000万韩元。

2.破解赛

该类赛事主要由企业赞助，通过提供已经或即将商用化的产品给参赛选手，鼓励选手挖掘产品中的漏洞并攻破该产品。著名的破解赛主要包括：①Pwn2Own：全世界最著名、奖金最丰厚的黑客大赛，由美国五角大楼网络安全服务商、惠普旗下Tipping Point的项目组ZDI主办，谷歌、微软、苹果、Adobe等互联网和软件巨头都对比赛提供支持，通过黑客攻击挑战来完善自身产品；②GeekPwn：国际性的智能生活安全社区，其在吸收国内外各安全赛事优点的基础上，创新设计出了全球第一个基于智能硬件设备与软件相结合的安全极客嘉年华的赛事平台，GeekPwn每年举办安全极客嘉年华及极棒安全峰会活动；③Black Hat：具有很强技术性的信息安全会议，参会人员包括各个企业和政府的研究人员，也包括一些民间团队。议程上包含了各类专业人士的发言，内容涵盖保障全球信息安全等主题。此外，还会展示大量已发现的数码产品安全漏洞，并演示黑客会如何进行攻击。该会议可能会引领安全思想和技术的走向。

3.青少年网络空间安全竞赛

美国国家安全局与卡内基梅隆大学联合举办了“高中黑客大赛”，旨在发掘和培养懂得网络空间安全的下一代“网络战士”。初中生和高中生都可以以个人或团体的名义参赛。主办方声明参赛者可以不必是一个黑客。通过赛事学生可以学习如何识别安全漏洞，并进行现实世界的攻击。此外，美国还举办了名为“弗吉尼亚州长杯计算机网络挑战赛”的高中生网络攻击赛，旨在帮助国土安全部发掘网络空间安全青少年人才。俄罗斯信息安全研究组织SiBears战队自2010年创建的针对青少年学生的国际CTF比赛，与其他国际性的CTF解题赛事相比，该竞赛对网络空间安全知识和技术的水平要求低，更侧重于挖掘青少年在网络空间安全领域的基础知识及创造力。此外，在国外，尤其是日本和韩国，存在着大量规模较小的针对青少年设置的防御赛和安全创意赛。

为发现网络空间安全人才，我国各高校及社会团体陆续开展了不同等级的网络空间安全竞赛，例如，中国网络空间安全协会主办的“强网杯”、西安电子科技大学主办的XDCTF、阿里巴巴公司主办的AliCTF、百度公司主办的“百度杯”等。近年来，知名的国际网络空间安全竞赛纷纷在我国举办，例如，GeekPwn的安全极客嘉年华及极棒安全峰会活动，我国网络空间安全人才开始在知名的国际黑客大赛崭露头角。在网络空间安全竞赛中已涌现出许多优秀的网络空间安全人才，例如，清华大学的蓝莲花战队、上海交通大学的0ops战队、复旦大学的六星战队等。

三、我国网络空间安全竞赛及人才管理存在的主要问题

经过多年发展，我国网络空间安全竞赛已初具规模，效果已逐步体现。综合来看，目前我国网络空间安全竞赛在人才发现和追踪方面的主导作用还有待加强，存在以下主要问题。

（一）尚未建立基于网络空间竞赛的网络空间安全人才发现和追踪的长效机制，难以实现人尽其才、才尽其用

由于我国尚未建立基于网络空间竞赛的网络对抗人才发现和追踪的长效机制，使得这些在民间声誉很高的网络空间安全人才的信息和发展走向未被有效注册登记，不可避免地造成了人才流失。此外，各安全企业对于内部网络空间安全人才讳莫如深，更加大了这些人才为国家所用的难度。

（二）缺少针对青少年的实战对抗型的网络空间安全竞赛，难以有效发现网络空间安全青少年专才

目前，网络空间安全竞赛的参赛人员多数是大学生或企业技术人员。一般来说，这些竞赛的题目难度、知识范围和考察重点不适合经验不丰富、心智还未完全成熟的青少年，青少年参加这类竞赛相对困难，容易影响其对网络空间安全技术的热情。我国举办的青少年网络空间安全知识竞赛和青少年信息学奥林匹克赛，均缺少网络空间安全实战对抗的元素，青少年参加这类竞赛难以获取实战的成就感。目前，我国缺少一个兴趣驱动、重实践、高水准的青少年网络空间安全竞技对抗的舞台。

四、基于网络空间安全竞赛发现和追踪网络空间安全人才的政策建议

建议建立基于网络空间安全竞赛的网络空间安全人才发现和追踪的长效机制。具体措施包括：由中国网络空间安全协会倡导举办网络空间安全竞赛，以发现网络空间安全人才，并建立网络空间安全竞赛的备案机制；以竞赛发现人才为主线，中国网络空间安全协会与高校、企业建立稳固的人才沟通机制；通过竞赛备案机制和人才沟通机制建立我国网络空间安全人才库，实时追踪人才走向，防止人才流失，为中央网信办及其他主管部门发现和输送网络空间安全人才；举办全国青少年网络空间安全联赛，选拔网络空间安全青少年专才；制定竞赛成绩的认可制度，加大青少年网络空间安全竞赛的奖励力度，保障青少年专才成长；设立网络空间安全青少年发展基金，以资助网络空间安全青少年专才的发现和培养。

（一）由中国网络空间安全协会倡导举办网络空间安全竞赛，以发现网络空间安全人才，并建立网络空间安全竞赛的备案机制

由中国网络空间安全协会倡导我国机构积极主办网络空间安全竞赛，特别是青少年网络空间安全竞赛，吸引知名的国际网络空间安全竞赛在我国举办，通过竞赛发现网络空间安全人才。由中国网络空间安全协会主导建立网络空间安全竞赛的备案机制，凡在我国境内举办的、或由我国机构主办的网络空间安全竞赛须向中国网络空间安全协会提交竞赛备案信息，包括竞赛主题内容、参赛人员信息及获奖人员信息等，以便全面掌握我国网络空间安全人才的基本状况，便于国家统筹发挥人才优势，人尽其才，才尽其用。

（二）以竞赛发现人才为主线，中国网络空间安全协会与高校、企业建立稳固的人才沟通机制

以竞赛发现人才为主线，通过和高校网络空间安全专业老师、就业指导中心建立稳固的人才沟通联络机制，源源不断地从各高校汇聚参加过竞赛的学生的相关信息，特别是参加过在境外举办的国际网络空间安全竞赛的学生信息。以竞赛发现人才为主线，通过和企业的人才沟通联络机制，发现企业网络空间安全人才，通过灵活的形式与企业合作，让这些企业网络空间安全人才为国家所用。

（三）通过竞赛备案机制和人才沟通机制建立网络空间安全人才库，实时追踪人才走向，防止人才流失

由中国网络空间安全协会建立网络空间安全人才库，通过竞赛备案和人才沟通两条渠道，对每次竞赛的参赛人员和获奖人员信息进行收集、汇总，全面详细地记录人员自然属性、社会属性和技能专长等，形成电话回访机制，保持人才库的完整性和准确性，实时跟踪人才发展走向，保持人才库的时效性。网络空间安全人才库是中央网信办及其他主管部门组建团队、承接任务、选拔人才的重要源头。

（四）举办全国青少年网络空间安全联赛，选拔网络空间安全青少年专才

由中国网络空间安全协会建立完善的全国青少年网络空间安全联赛体系，主办兴趣驱动、重实践、公平公正、高水平的青少年网络空间安全联赛，通过联赛考察、选拔网络空间安全青少年专才，为我国网络空间安全人才队伍建设提供青少年人才储备。青少年网络空间安全联赛相比于国际黑客竞赛，在竞赛形式、考察重点、参赛人员、题目难度和知识范围等方面存在较大区别。参赛人员以12～19岁的青少年为主。题目难度对于国际CTF竞赛而言应有所降低，达到一个合适青少年年龄段的程度。尤其在预赛中，针对一个方向的一道题目一般可设置只有一至两个考点，而设置三个以上的连环考点对于他们来说就相对过于困难，会导致竞赛选拔失效。

（五）制定竞赛成绩的认可制度，加大青少年网络空间安全竞赛的奖励力度，保障青少年专才成长

由中国网络空间安全协会与相关部委共同制定青少年网络空间安全竞赛成绩的认可制度。参赛选手在高水平的国际黑客竞赛或青少年网络空间安全联赛中取得成绩，可以代表其拥有较高网络空间安全技能水平和实战能力，竞赛成绩可以作为获得继续深造机会的评价指标。加大青少年网络空间安全竞赛的奖励力度，奖励形式包括：青少年发展基金或竞赛赞助企业提供的竞赛奖金，以及青少年未来发展的优惠政策等，例如，中小学直接录取优秀人才作为网络空间安全特长生；高校网络空间安全专业直接录取优秀人才；高校自主招生可给予优秀人才加分政策。认可制度的制定和奖励力度的增强，一方面，能够防止青少年专才流失；另一方面，能够为青少年专才提供广阔的发展空间，帮助其继续成长、成才。

（六）设立网络空间安全青少年发展基金，以资助网络空间安全青少年专才发现和培养

由中国网络空间安全协会主导建立网络空间安全青少年发展基金，规范发展基金管理办法。发展基金的设立旨在进一步落实网络空间安全青少年专才发现和培养的政策性文件，营造网络空间安全青少年专才成长的良好环境，构建青少年专才发现和培养的长效机制。具体资助项目包括：中小学网络空间安全教育计划的实施，青少年网络空间安全竞赛的举办，青少年黑客技术的培训，以及网络空间安全青少年特长生的奖学金。发展基金的主要来源包括政府资助、企业捐赠和资源众筹三个渠道，由地方政府负责监管，每年报告基金使用情况、资助项目执行情况及资助作用发挥情况。

五、结语

基于网络空间安全竞赛，能够高效地发现网络空间安全人才。面向我国网络空间安全人才的现实需求，亟须建立健全网络空间安全人才的发现与追踪机制，打破边界，汇聚资源，多方共同构建我国网络空间安全人才库，为我国建设网络强国提供人才支撑。同时，加强青少年网络空间安全竞赛的投入，吸引青少年学习攻防知识，尽早发现青少年专才，培养其成才，为我国建设网络强国提供青少年人才储备。

[1]罗森林, 朱帅, 王春晓. 网络空间安全对抗演练模型研究[J]. 信息安全研究, 2016, 2(8): 712–720. Luo S L, Zhu S, Wang C X. The research on cyberspace security countermeasures simulation model[J]. Journal of Information Security Research, 2016, 2(8): 712–720.

[2]Capture The Flag. WiKi[EB/OL][2016-09-10].https:// en.wikipedia.org/wiki/Capture_the_flag.

Cyberspace Security Competition and Talent Management

Yu Xiangzhan1, Zhang Hongli1, Yu Haining1, Tian Zhihong2, Zhai Jianhong1, Pan Zhuting3
(1. School of Computer Science and Technology, Harbin Institute of Technology, Harbin 150001, China; 2. Institute of Computer Application, China Academy of Engineering Physics, Mianyang 621900, Sichuan, China; 3. Beijing Venus Technology Co. Ltd., Beijing 100193, China)

Competition of talents is fundamental to international cyberspace security, and the discovery and tracking of talents is one of the key links. First, we investigate the development status of domestic and international cyberspace security competition. Then, we analyze the main problems of cyberspace security competition in discovering and tracking talents. Finally, we propose a long-term policy to discover and track talents based on cyberspace competitions.

cyberspace security; competition; talent-discovery; talent-track

TP39

A

2016-10-10；

2016-10-18

余翔湛，哈尔滨工业大学计算机科学与技术学院，研究员，研究方向为网络安全、信息安全；E-mail:yxz@hit.edu.cn

中国工程院重大咨询项目“网络空间安全战略研究”(2015-ZD-10)

本刊网址：www.enginsci.cn