加快推進(jìn)網(wǎng)絡(luò)安全學(xué)科競賽創(chuàng)新發(fā)展

■中國工程院院士 鄔江興

1996年，全球黑客大會(huì)首次推出CTF競賽模式。這種在特定平臺(tái)上進(jìn)行攻防競技的方式，代替了之前黑客通過互相發(fā)起真實(shí)攻擊進(jìn)行技術(shù)比拼的方式。

自此，在學(xué)科競賽的辭典中出現(xiàn)了“網(wǎng)絡(luò)安全學(xué)科競賽”這個(gè)名詞。經(jīng)過30多年的發(fā)展，CTF已經(jīng)風(fēng)靡全球并在中國得到蓬勃發(fā)展。據(jù)統(tǒng)計(jì)，2018年我國的CTF競賽已經(jīng)超過1000場。

然而，網(wǎng)絡(luò)安全學(xué)科競賽繁華之后如何發(fā)展？如何與網(wǎng)絡(luò)強(qiáng)國戰(zhàn)略有機(jī)結(jié)合？值得人們深思。

今年5月22日至23日，紫金山實(shí)驗(yàn)室舉辦了擬態(tài)防御國際精英挑戰(zhàn)賽，29支國際頂級(jí)戰(zhàn)隊(duì)在20小時(shí)內(nèi)，向6款擬態(tài)設(shè)備發(fā)起290萬次大強(qiáng)度攻擊。這次比賽最大的亮點(diǎn)，是建立了一種“人-機(jī)對(duì)抗”的網(wǎng)絡(luò)安全競賽模式，顛覆了傳統(tǒng)“人-人對(duì)抗”的CTF競賽模式，網(wǎng)友們比喻這是國際黑客大戰(zhàn)“摩托狗”。

這一對(duì)抗模式，我們稱之為“BWM”模式，是現(xiàn)有網(wǎng)絡(luò)安全競賽的第四種模式，不是游戲，不是“挖洞”，也不是水平認(rèn)證，而是基于開放性眾測的一種競賽模式。

競賽的主體不是人與人，而是人與機(jī)器。傳統(tǒng)的CTF以及其他競賽模式，對(duì)抗的主體是人與人。BWM賽制，對(duì)抗的主體是人與機(jī)器，是通過設(shè)置一個(gè)合理的競賽場景和競賽規(guī)則，檢驗(yàn)人的網(wǎng)絡(luò)攻擊能力是否能夠突破具有內(nèi)生安全功能的網(wǎng)絡(luò)設(shè)備，這就如同圍棋界的人機(jī)大戰(zhàn)一樣。

競賽的載體不再是題目，而是網(wǎng)絡(luò)設(shè)備。BWM賽制一經(jīng)亮相，參賽選手第一反應(yīng)就是：沒有賽題了。事實(shí)上，這次上線的6款擬態(tài)構(gòu)造COST級(jí)設(shè)備就是賽題，這里面蘊(yùn)含著“一生二、二生三、三生萬物”的哲學(xué)思辨能力，有著無窮無盡的賽題，選手們依靠自己的思維“發(fā)現(xiàn)”題點(diǎn)，依靠自己的判斷“攻克”題點(diǎn)，沒有題目的比賽，更加富有探索性和挑戰(zhàn)性。

競賽的目的不僅僅是選拔和鍛煉人才，而是賦予了科學(xué)度量網(wǎng)絡(luò)產(chǎn)品安全性的新職能。傳統(tǒng)基于人的網(wǎng)絡(luò)安全競賽，其核心是發(fā)現(xiàn)和鍛煉人才，有的網(wǎng)絡(luò)安全競賽往往被“獵頭”公司所青睞。

競賽的確可以發(fā)現(xiàn)人才，但是這些天賦異稟的人僅僅用來打比賽顯然是不夠的。在BWM模式中，巧妙地引入了眾測的理念，大大提升了比賽的效益，使得用競賽來度量網(wǎng)絡(luò)產(chǎn)品的安全性成為了可能。

競賽的方式也不再是一錘子買賣，而是常態(tài)化測試和集中式競賽的有機(jī)結(jié)合。這次擬態(tài)精英挑戰(zhàn)賽同時(shí)發(fā)布了永久在線的內(nèi)生安全試驗(yàn)場，從6月26日開始，全天候接受全球“白帽黑客”的有獎(jiǎng)眾測。未來的比賽，可能是常態(tài)化、無差別的競賽，鼓勵(lì)更多有創(chuàng)意、有興趣的技術(shù)專家去挑戰(zhàn)各種“不可能”。

競賽的焦點(diǎn)不再是漏洞，而是推進(jìn)共享共用共建。在BWM模式下，零漏洞后門已不再是制勝法寶，你甚至可以自己預(yù)先布設(shè)一個(gè)漏洞后門乃至病毒木馬，因?yàn)閿M態(tài)構(gòu)造系統(tǒng)對(duì)已知或未知的病毒木馬具有天然免疫力。這種模式不以擁有的漏洞資源多寡為前提，不必?fù)?dān)心信息資源泄露，也不用顧忌境外頂級(jí)黑客的參與。共同的挑戰(zhàn)是：如何在擬態(tài)構(gòu)造的“測不準(zhǔn)”環(huán)境內(nèi)，形成非配合條件下動(dòng)態(tài)多元目標(biāo)協(xié)同一致的穩(wěn)定逃逸機(jī)制。倘若人類無法戰(zhàn)勝 “摩托狗”，則打造網(wǎng)絡(luò)空間命運(yùn)體就有了可靠的技術(shù)抓手。

未來的網(wǎng)絡(luò)安全學(xué)科競賽，將會(huì)實(shí)現(xiàn)多種模式共同發(fā)展，CTF類的比賽也會(huì)不斷改革，BWM模式將作為非CTF模式的比賽走向前臺(tái)。未來的競賽不再是游戲，而是服務(wù)產(chǎn)業(yè)和技術(shù)發(fā)展，為建設(shè)網(wǎng)絡(luò)強(qiáng)國服務(wù)。