加快推進網絡安全學科競賽創(chuàng)新發(fā)展

■中國工程院院士 鄔江興

1996年，全球黑客大會首次推出CTF競賽模式。這種在特定平臺上進行攻防競技的方式，代替了之前黑客通過互相發(fā)起真實攻擊進行技術比拼的方式。

自此，在學科競賽的辭典中出現(xiàn)了“網絡安全學科競賽”這個名詞。經過30多年的發(fā)展，CTF已經風靡全球并在中國得到蓬勃發(fā)展。據統(tǒng)計，2018年我國的CTF競賽已經超過1000場。

然而，網絡安全學科競賽繁華之后如何發(fā)展？如何與網絡強國戰(zhàn)略有機結合？值得人們深思。

今年5月22日至23日，紫金山實驗室舉辦了擬態(tài)防御國際精英挑戰(zhàn)賽，29支國際頂級戰(zhàn)隊在20小時內，向6款擬態(tài)設備發(fā)起290萬次大強度攻擊。這次比賽最大的亮點，是建立了一種“人-機對抗”的網絡安全競賽模式，顛覆了傳統(tǒng)“人-人對抗”的CTF競賽模式，網友們比喻這是國際黑客大戰(zhàn)“摩托狗”。

這一對抗模式，我們稱之為“BWM”模式，是現(xiàn)有網絡安全競賽的第四種模式，不是游戲，不是“挖洞”，也不是水平認證，而是基于開放性眾測的一種競賽模式。

競賽的主體不是人與人，而是人與機器。傳統(tǒng)的CTF以及其他競賽模式，對抗的主體是人與人。BWM賽制，對抗的主體是人與機器，是通過設置一個合理的競賽場景和競賽規(guī)則，檢驗人的網絡攻擊能力是否能夠突破具有內生安全功能的網絡設備，這就如同圍棋界的人機大戰(zhàn)一樣。

競賽的載體不再是題目，而是網絡設備。BWM賽制一經亮相，參賽選手第一反應就是：沒有賽題了。事實上，這次上線的6款擬態(tài)構造COST級設備就是賽題，這里面蘊含著“一生二、二生三、三生萬物”的哲學思辨能力，有著無窮無盡的賽題，選手們依靠自己的思維“發(fā)現(xiàn)”題點，依靠自己的判斷“攻克”題點，沒有題目的比賽，更加富有探索性和挑戰(zhàn)性。

競賽的目的不僅僅是選拔和鍛煉人才，而是賦予了科學度量網絡產品安全性的新職能。傳統(tǒng)基于人的網絡安全競賽，其核心是發(fā)現(xiàn)和鍛煉人才，有的網絡安全競賽往往被“獵頭”公司所青睞。

競賽的確可以發(fā)現(xiàn)人才，但是這些天賦異稟的人僅僅用來打比賽顯然是不夠的。在BWM模式中，巧妙地引入了眾測的理念，大大提升了比賽的效益，使得用競賽來度量網絡產品的安全性成為了可能。

競賽的方式也不再是一錘子買賣，而是常態(tài)化測試和集中式競賽的有機結合。這次擬態(tài)精英挑戰(zhàn)賽同時發(fā)布了永久在線的內生安全試驗場，從6月26日開始，全天候接受全球“白帽黑客”的有獎眾測。未來的比賽，可能是常態(tài)化、無差別的競賽，鼓勵更多有創(chuàng)意、有興趣的技術專家去挑戰(zhàn)各種“不可能”。

競賽的焦點不再是漏洞，而是推進共享共用共建。在BWM模式下，零漏洞后門已不再是制勝法寶，你甚至可以自己預先布設一個漏洞后門乃至病毒木馬，因為擬態(tài)構造系統(tǒng)對已知或未知的病毒木馬具有天然免疫力。這種模式不以擁有的漏洞資源多寡為前提，不必擔心信息資源泄露，也不用顧忌境外頂級黑客的參與。共同的挑戰(zhàn)是：如何在擬態(tài)構造的“測不準”環(huán)境內，形成非配合條件下動態(tài)多元目標協(xié)同一致的穩(wěn)定逃逸機制。倘若人類無法戰(zhàn)勝 “摩托狗”，則打造網絡空間命運體就有了可靠的技術抓手。

未來的網絡安全學科競賽，將會實現(xiàn)多種模式共同發(fā)展，CTF類的比賽也會不斷改革，BWM模式將作為非CTF模式的比賽走向前臺。未來的競賽不再是游戲，而是服務產業(yè)和技術發(fā)展，為建設網絡強國服務。