網絡安全對抗賽這一國際流行的競技形式，2014年起便在國內開始慢慢升溫；發展至今日，已十分受國內高校和安全企業的青睞。

在剛剛過去的2016年，網絡安全對抗賽在國內各地仍是如火如荼地進行。而這其中，因其聯賽賽制而規模最大，舉辦時間最早，歷時最長的XCTF聯賽，便是我們要談的第一個賽事。

1. XCTF聯賽

2015年11月至2016年7月，第二屆XCTF聯賽舉行，設立了3站國內賽和4站國際賽。其上海站與擁有中國大陸區唯一DEFCON CTF外卡賽資格的0CTF合辦，冠軍隊伍可直接入圍DEFCON CTF這一世界公認代表CTF最高水準的總決賽賽場。

賽制上XCTF聯賽結合線上解題和線下實時攻防兩種模式，以各隊總得分進行積分排名。而對DEFCON CTF等高水平國際賽事多采用的現場攻防競技模式的引入，也是XCTF聯賽相較于之前國內同類型賽事（多以Web滲透方向解題為主）最突出的特點。除了更注重各團隊的整體實力以及場上隊員間的分工配合外，在內容設計上XCTF還將二進制逆向、零日漏洞挖掘和利用等類別作為核心競技內容。

在比賽的運營方面，XCTF聯賽一直盡可能少的摻雜商業內容，各站賽事均有部分工作由當地高校承接，競技/優秀戰隊選拔的氛圍也更為純粹。

從比賽結果來看，XCTF國際聯賽給前三甲開出了總和為3.5萬美元的獎金。在清華藍蓮花戰隊未參與的情況下，第二屆XCTF上海站的外卡門票被俄羅斯戰隊LC BC拿到， 0ops戰隊則獲得了XCTF國際聯賽決賽季軍。而之后，在8月份DEFCON CTF 2016總決賽的現場，0ops在與藍蓮花戰隊組成的“b1o0p戰隊”拿下了總分第二名的成績，并刷新了中國戰隊在DEFCON CTF的排名記錄。

2. WCTF大師賽

與XCTF的“報名參與、積分晉級”不同，去年6月，由360舉辦的世界黑客大師賽(WCTF)，因其全部參賽隊伍均為“參照CTFTime 排名”邀請而來的“邀請賽”，且前三名獎金總額高達10萬美金（為目前全世界CTF比賽獎金設置之最），而吸引全球的CTF強隊匯聚一堂。

在賽制方面，與XCTF等傳統CTF類競賽最大的不同，他的出題方式結合引用了由PoC開創的Belluminar CTF(戰爭與分享)賽制，即出題方從主辦方轉移到了各個參賽隊伍。十只世界級CTF戰隊所出的十道世界級CTF難題，使得WCTF堪稱史上最困難的CTF“比武場”。與其它強隊真刀真槍的比拼硬實力，想必這也是WCTF吸引這些CTF強者的重要一點。

當然，為了保證題目設計的合理性，主辦方在比賽最后一天加入了“賽題分享會”環節這一制約機制。除了各參賽戰隊要對自己所出題目的解題思路進行講解外，還有主辦方特邀裁判對各隊所出題目的“精彩程度”進行打分，而各隊的出題分將占到各隊總得分的30%。

3. 信息安全鐵人三項賽

鐵人三項賽不是傳統的CTF類網絡安全競賽，而是針對中國網絡安全行業在人才培養和輸送方面“大部分應屆生難以和企業對安全能力的真正需求對接”這一痛點，將傳統網絡安全競賽模式改良后的嘗試。

信息安全鐵人三項賽與CTF類競賽最大的不同，在于其要求所有隊伍必須以“企業+高校”組成聯合戰隊的形式參與。即企業方和高校至少派出1名技術人員和在職老師做參賽隊伍的導師，而參賽選手也必須為在校全日制學生。通過組建聯合戰隊而形成的密切的校企合作關系，來打通企業和高校師生間聯系的紐帶，是鐵人三項賽最大的特點。

特別的，在比賽內容上，鐵人三項賽分為“個人計算環境安全對抗”、“企業計算環境安全對抗”和“信息安全數據分析對抗”這三大比賽項目。其中企業典型生產環境的安全對抗，如工控網絡，云平臺等，這一對企業真實網絡安全環境的模擬，是其相較于其它網絡安全比賽所獨有的。

鐵人三項賽主要發起人，啟明星辰首席戰略官潘柱廷曾表示，打通人才對接的最后一公里，基于大賽機制建立人才培養和選拔生態鏈，實現人才從高校到企業的無縫對接，是信息安全鐵人三項比賽的核心意義。

不難看出，通過網絡安全競賽建立起的校企交流平臺，正是作為企業/行業與高校的間的一塊木板。除了幫助企業擴大在高校和信息安全行業的品牌影響力，提升品牌效應外，它同時還承載著企業挖掘、培養安全人才，高校相關專業與行業對接并進行大批量人才定向輸送，以及專業學生提前接觸真實網絡安全行業，了解相關技術和職業前景這三方的愿景。

4. 騰訊TCTF

上個月末，由騰訊安全發起，騰訊安全聯合實驗室主辦，上海交通大學0ops戰隊和北京郵電大學協辦的騰訊信息安全爭霸賽(TCTF)正式宣布啟動。

此次TCTF分為國際賽(即0CTF)和新人邀請賽(RisingStar CTF)兩大板塊。國際賽預賽rank積分的前12名隊伍，將晉級線下決賽，且冠軍隊伍將獲得今年7月末直接參加DEFCON CTF總決賽的門票。在賽制方面，預賽與決賽都采用解題模式(Jeopardy)，題目類型也多集中在破解、逆向、密碼學、Web安全、編程、移動安全等領域，但不同的是決賽會對每個隊伍的上場人數加以限制（不超過4人）。

至于為何要全程采用解題模式，騰訊EEE戰隊隊長，同時也是此次TCTF技術負責人的謝天義曾表示，相較于國內常見的實時攻防，解題模式題目的難度會更大，更側重于對參賽人員技術實力的考察，而不是一味的拼速度。攻防模式的題目有些為了解題速度會設置的比較簡單，而有些則會“走火入魔”，成為了腦筋急轉彎。

還有一個非常重要的亮點，就是此次的TCTF導師團隊將由騰訊七大安全實驗室負責人聯合高校組成。在整個比賽期間，騰訊安全聯合實驗室的七位負責人會聯合各參與高校，通過增加課程元素的方式，將部分交流納入到學生的課程體系中。同時，在與國際隊伍的交流中，騰訊安全聯合實驗室也會組建專家團，來提供更多的關于技術層面的指導，分享和交流。

除此以外，此次騰訊在人才的后續培養方面，提出了與比賽相關聯的“百人計劃”，即將從整個TCTF參與的選手中，挑選出百位安全人才，并通過專業的技術、資源、機會等方面提供支持。這些支持包括：騰訊及活動支持企業的就業機會、DEFCON CTF等國際安全賽事的觀摩、與國際一流CTF戰隊的技術交流以及頂尖安全極客的技術培訓等。

網絡安全的對抗是人與人之間的，理論教學不是人才培養的全部，而要與一線的實踐和最新威脅趨勢結合在一起去培養，面向未來地選拔優秀人才。

但行好事 莫問前程

了解完了國內目前最火的四個網絡安全對抗賽，最后談談這種的競技形式與人才培養這兩者間的關系。

高校、企業與學生這三方的需求，使得CTF在近兩年異常火爆。雖然其在成立之初可能是作為一種“游戲”，但發展至今，其內涵和意義已經變得更為豐富。而這種形式，也可以更好地被用來進行人才培養；選手在參與過程中，也可以獲得更多的成長和樂趣。

但是，談及安全人才的成長與進化，騰訊安全玄武實驗室的負責人TK（于旸）認為有4點要首先明確：

信息安全攻防對抗的不只是技術和人才的對抗：相關技術和人才的儲備，是進入對抗戰場的門票；人才是有梯隊的：互聯網企業和第三方安全公司對人才的需求是不完全一樣的；這個行業需要高端專業人士，也需要將安全技能和知識進行普及；安全人才短缺問題對于全球都已經非常嚴重：國家層面也已經開始投資信息安全教育，許多人才短缺嚴重的企業甚至表示愿意雇傭有網絡犯罪前科的人；安全人才要隨著信息世界一同以極快的速度進化，以應對日趨復雜的跨協議、跨系統、跨業務和跨平臺安全問題：這需要具有更好合作能力的特定領域的專精人才，也需要擁有跨界領悟力能夠整合信息和資源來解決快領域安全問題的復合型人才。

綜合來看，網絡安全人才培養的目標應是適應進化、面向未來的。他們應能夠適應網絡安全形勢的發展，安全和信息技術的變革，以及安全威脅和攻擊方式的不斷進化。

而在騰訊對于網絡安全競賽這一人才培養形式的探索方面，騰訊副總裁丁珂也表示，此次TCTF屬于首次嘗試，還需要很長的時間才能評判它對行業的影響，而騰訊也已經做好了這個準備。雖然最終事情的走向無法完全把握，但安全知識的普及、國內安全氣氛乃至極客文化的調動、人才梯隊的建立以及其跨界成長，才是當下最重要的。“但行好事，莫問前程。這是目前騰訊要做的，也是我們能做的。”