2020年第17屆全國大學生信息安全與對抗技術競賽通知（ISCC2020）

1 競賽簡介

信息安全已涉及到國家政治、經濟、文化、社會和生態文明的建設，信息系統越發展到它的高級階段，人們對其依賴性就越強，從某種程度上講其越容易遭受攻擊，遭受攻擊的後果越嚴重。“網絡安全和信息化是一體之兩翼、驅動之雙輪。沒有網絡安全就沒有國家安全。”信息是社會發展的重要戰略資源，國際上圍繞信息的獲取、使用和控制的鬥爭愈演愈烈，信息安全保障能力是綜合國力、經濟競爭實力和生存能力的重要組成部分，是世紀之交世界各國奮力攀登的至高點。

信息安全與對抗技術競賽（ISCC：Information Security and Countermeasures Contest），於2004年首次舉辦（國內第一），2020年爲第17屆。2019年競賽的註冊人數近7000人，參加競賽的院校數1000多所，ISCC競賽的影響廣泛且深遠。競賽不斷追求“更高、更快、更強”，持續培養高素質信息安全對抗專業人才。

2 競賽宗旨

全面貫徹國家關於網絡安全和信息化工作的重要精神，提升信息安全意識，普及信息安全知識，實踐信息安全技術，共創信息安全環境，發現信息安全人才！

3 競賽形式

競賽包括3項：個人挑戰賽、分組對抗賽和無限擂臺賽。

個人挑戰賽採取線上模式，題目類型包括CHOICE、BASIC、WEB、REVERSE、PWN、MISC和MOBILE等，同時增加了組合題目的形式。

1. CHOICE:涉及信息安全多類知識點，適合剛接觸信息安全人士的學習。
2. BASIC: 信息安全基礎知識，普及信息安全知識，引導信息安全愛好者入門。
3. WEB: 考察sql注入、跨站腳本攻擊、上傳漏洞攻擊以及PHP代碼審計等知識，題目有時會結合其他題型。
4. REVERSE: 考察逆向破解能力，需要熟練地掌握彙編語言。
5. PWN: 考察軟件漏洞挖掘與利用能力，需要較好的掌握操作系統原理。
6. MISC: 考察隱寫術、流量分析、內核安全等技術。
7. MOBILE:考察移動終端安全攻防能力。
8. 組合題目：由同種類型或不同類型的2道或3道題目串聯而成。如果無法獲得前邊題目的提示信息，則很難解出後面題目的flag。組合題目的題目格式爲“xxx-1”、“xxx-2”、“xxx-3”。

分組對抗賽爲線下模擬環境中的真實對抗，主要採取陣地奪旗、佔領高地等模式進行攻防比拼。比賽時，各隊伍通過對指定的服務器進行入侵攻擊達到獲取旗子的目標而得分，並在攻上高地後防御其他隊伍的攻擊。

無限擂臺賽主要面向基礎知識紮實，做題經驗豐富或極具創新思維的選手。選手通過解答擂臺上的題目來獲得打擂的資格，通過提交原創題目並通過主辦方的審覈後，取代擂臺上的題目實現成功打擂。擂臺題目會根據在擂臺上未被解出的持續時間獲得加分，持續時間越長，獲得的分數越多。

4 參賽方式

個人挑戰賽和無限擂臺賽不僅面向在校學生，還面向社會各界人士，人數不限，選手可進入本次競賽入口（https://www.isclab.org.cn）進行註冊參賽。本次競賽暫不接受組隊參賽。注意，用戶名、隊伍等註冊信息中，請勿出現暴力、色情、政治等相關表述，如發現將刪除賬號。

分組對抗賽則採取選拔個人挑戰賽中的優秀選手和各賽區推薦部分選手，每組3人。

5 競賽日程

個人挑戰賽與無線擂臺賽將於2020年5月1日上午8：00開始，一般持續25天左右。

分組對抗賽將於個人挑戰賽及無限擂臺賽結束後於暑期進行，一般持續2天，時間一般安排在7月中旬，暫定競賽地點爲北京理工大學。

6 競賽評測

6.1 個人挑戰賽

個人挑戰賽評獎採用積分制，參賽選手按分數的多少進行排序，競賽評分以選手攻關數目多少和系統記錄的過關時間先後爲依據。選手的最終成績爲通過各關所獲分數的累積。選手按分數多少排序，兩名選手得分相同時，則查看各自通過最後一關的時間，先通過者優於後通過者。最後按照名次先後進行評獎。

1. 線上初賽題目會根據時間安排以及選手的解題進度由組委會逐步開放。
2. 線上賽答題方式爲提交flag，由系統自動審覈。
3. 線上賽每題分值從50-500分不等，分值信息會在具體題目中給出。
4. 積分相同時，根據最後一道得分題目提交時間，先提交者名次高。
5. 若某道題目沒有選手能解出時，組委會將適時發佈提示信息。
6. 選手若發現競賽平臺或者賽題有非預期漏洞並通報組委會時，組委會會酌情加分。
7. 禁止對賽題以外的平臺發起攻擊，違規者一律取消參賽資格。

6.2 分組對抗賽

分組對抗賽視當年題目性質評定分數，有加分和減分項。

1. 禁止參賽隊之間分享任何解題思路及flag，違規者一律取消參賽資格。
2. 禁止任何對比賽平臺的暴力破解，違規者一律取消參賽資格。
3. 禁止對賽題以外的比賽平臺發起攻擊，違規者主頁取消參賽資格。

6.3 無限擂臺賽

評獎採用評分制，參賽選手按分數的多少進行排序，競賽評分以選手得分及打擂成功的先後順序爲依據。選手的最終成績爲解答題目與原創題目所獲分數的累積。選手按分數多少進行排序，兩名選手得分相同時，則查看各自第一次打擂成功的時間，先成功者優於後成功者。

1. 擂臺賽首先由主辦方放出第一輪擂臺題目，之後由選手進行打擂、上傳。題目分爲WEB、REVERSE、MISC、MOBILE、PWN五種類型，每種類型一個擂臺。
2. 選手正確解出擂臺上某種類型的題目後，獲得150答題分，之後可以向組委會郵箱發送自己設計的同種類型的題目。待組委會審覈通過後即可替換擂臺題目，即視爲打擂成功。
3. 擂臺上每道題目的得分隨時長而增加，3小時內無人解出可獲得300分，6小時內無人解出可獲得450分。計時爲題目開放初始時間至有選手正確提交flag爲止。如果超過3天時間無人解出，將會放出解題提示。
4. 打擂郵件的主題爲“題目類型+選手註冊id”，審覈順序爲郵件接收的順序而非提交擂臺題目flag的順序，一旦有題目符合要求，審覈通過，替換擂臺中的題目（即打擂成功），則其餘選手本輪打擂提交的題目不再審覈，選手可留至下一輪打擂解出flag後再次提交。每日審覈的題目爲前一天0~24點發送的題目。
5. 擂臺賽答題方式爲提交flag，由系統自動審覈，flag正確即可進行原創題目的提交。提交題目的時間不得早於系統記錄的該選手提交同類型題目的flag的時間。組委會替換擂臺題目的時間爲每天15點。
6. 選手提交題目的材料需包括所有的源碼文件及flag信息、詳盡的writeup及解題用到的腳本，以及題目部署方式的文檔等，具體內容參見“ISCC擂臺賽出題模板”。缺少有關信息將不會審覈通過。
7. 同一選手可同時在多個擂臺進行打擂。最終擂臺賽成績爲所有題目得分的累加和。
8. 選手發現擂臺上的題目有漏洞或其他錯誤可通過郵件或qq羣進行反映，組委會將酌情扣除該題目質量的得分。
9. 選手題目如包含需暴力破解或其他不符合競賽內容的題目將不會審覈通過。
10. 所有題目均需選手原創，一經發現雷同或其他作弊行爲將嚴肅處理。
11. 禁止對賽題以外的平臺發起攻擊，禁止在提交的賽題中隱藏後門，違規者一律取消參賽資格。
12. 本屆擂臺賽爲第一次舉辦，具體規則在比賽期間可能會有變動，請各位選手注意關注競賽網站通知。

7 聯繫方式

競賽入口：http://www.isclab.org.cn

競賽郵箱：[email protected]

競賽組QQ羣：484992578（供參賽者進行技術交流，嚴禁劇透）

8 組織單位

主辦單位：

中國兵工學會
中國兵工學會信息安全與對抗專業委員會

承辦單位：

北京理工大學信息系統及安全對抗實驗中心

協辦單位：

廣西壯族自治區科學技術協會
廣西信息安全學會
河南省科聯電子科技有限公司
北京大學軟件學院信息安全團隊
公安部第三研究所《信息網絡安全》雜誌社

9 其他事項

1. 競賽旨在普及信息安全知識，引導初學者進行學習，併爲技術愛好者們提供一個交流的平臺。惡意攻擊競賽服務器的參賽者將失去比賽資格。
2. 競賽的最終解釋權歸“信息安全與對抗技術競賽組委會”所有。

10 FAQ

1. 什麼是ISCC？

ISCC是Information Security and Countermeasures Contest（信息安全與對抗技術競賽）的縮寫，每年舉辦1屆，2004年舉辦第1屆競賽，2020年爲第17屆競賽。ISCC由北京理工大學羅森林教授提出，最早由北京理工大學教務處主辦，而後由教務處、網絡中心、團委共同主辦。截止目前已有多家主辦、協辦和支持單位，其宗旨是面向廣大民衆：提升信息安全意識，普及信息安全知識，實踐信息安全技術，共創信息安全環境，發現信息安全人才。

ISCC分爲二個階段，即“個人挑戰賽及無限擂臺賽”和“分組對抗賽”。

• 什麼是CTF（Capture The Flag）？

CTF奪旗賽是信息安全競賽的一種形式，flag 是指一串字符信息，它可能會被放在遠程服務器上，也可能會被加密和隱藏在各種不容易訪問到的媒介上，參賽選手通過使用逆向、解密、取證分析、滲透利用等技術來拿到 flag。

CTF奪旗賽通常有兩種形式，解題模式（Jeopardy）和攻防模式（Attack-Defense）。（1）解題模式中，通過一系列不同類型的賽題，比如給定一個有漏洞的服務、提供一段網絡流量、給出一個加密後的數據等，將 flag 隱藏在這些題目中，選手們通過解題獲得積分。

（2）攻防模式中，通過事先給定一個接近真實的具有系列漏洞的服務環境，每個參賽隊都具有相同的環境，參賽隊一方面需要修補自己服務的漏洞，同時也需要去攻擊對其他參賽隊的服務，獲得他人環境中的 flag 來得分，比賽過程也更加激烈。

• 競賽題目有哪些類型？難度如何？

ISCC題目涉及面較廣，包含但不限於Web滲透、漏洞挖掘與利用、加密解密等。

ISCC題目難度差異很大，一方面，面向儘可能多的參賽選手，都有一定的參與機會和效果。另一方面，面先優手選手提供更能充分發揮其能力的題目。

• 我能參加ISCC嗎？如何報名?

任何人都可以參加ISCC，個人挑戰賽及無限擂臺賽僅需於網站註冊賬號即可參賽。分組對抗賽採用選拔和邀請模式。