网络安全竞赛平台设计

廖建博　张韬　唐红英　贾亚茹

[摘要]针对大多本科院校没有配备相应的网络安全竞赛环境，文章提出搭建一套网络安全竞赛平台的设计思路。它以体积小、易部署、易管理为目标进行模块化设计，以赛促学，通过竞赛提高学生对网络安全知识的运用能力和实践能力。平台适用于大多数安全类竞赛，对推进安全类课程教学和提高学生动手实践能力具有重要意义。

[关键词]网络安全；平台设计；实战环境

1 引言

2013年6月美国前中情局职员爱德华·斯诺登将美国国家安全局的“棱镜”项目曝光之后，信息安全、网络安全被推上了前所未有的高度。随着互联网、专用网络化信息系统和各种网络应用的普及和推广，信息安全已经不再仅仅是个人的利益，更是关系到国防、政策等国家层面，它对培养具有信息安全知识和应用技能的专业技术人才提出了更高的要求。我国近年来相当重视信息安全研究，相继完成一系列的重大工程。政策上大力支持，在维护国家信息安全，网络安全方面发挥了重要作用。但在人才培养方面，和对手相比，还有很大差距。主要问题在于大多本科院校没有配备相应的实战环境，主要以理论为主，大学生缺少相应的练习。针对存在的问题，设计基于B/S架构的网络安全竞赛平台，有利于学生对所学知识进行练习或竞赛，平台具有简单，易部署的特点，适用于大多数高校。

2 网络安全竞赛平台架构

竞赛平台需要完成题目推送，统计所有队伍分数及排名等功能。为了将系统功能的核心部分集中到服务器上。同时为了让参赛用户在任何地方能进行操作而不需要安装任何软件。平台采用“三层B/S分布式”架构模式。此模式也为日后竞赛平台的开发、维护和使用提供了便利。三层B/S分布式计算结构是互联网时代的产物，它分为三部分：客户浏览、应用服务器（或称反应服务器）和数据库服务器。

竞赛平台结构分为演练平台服务器和靶机服务器。演练平台服务搭建在真实的服务器上，用于参赛人员答题及浏览排名和比赛事项。竞赛题目存放于靶机服务器当中，并做好相应的备份，平台能够对网络内所有虚拟服务器进行有效的管理，并对所有的题目站点进行合理的分配资源。

竞赛平台基础架构如图1所示。

3 网络安全竞赛平台设计

3.1 参赛用户模块设计

参赛用户模块作为用户操作的接口。要满足用户能够自主选择答题类型及题目，解题后可快速验证，并能实时查看比赛事项及所有队伍解题进度和分数等功能。参赛人员通过注册成为正式用户后，才能登录平台。注册时需要提供用户名、密码、电子邮箱等信息。成功登录平台后，直接跳转到题目界面，点击已经公布的题目会弹出题目信息、相关提示、题目入口及答案提交验证栏。

题目flag采用MD5加密的形式存储在数据库中，用户在验证栏输入对应题目的flag，后台进行MD5加密验证。验证成功则会得到对应的分数。所有参赛用户通过计分板能查看其他参赛用户的比赛进度和得分。计分板对所有队伍的得分进行由高到低进行排名。

3.2 平台管理模块设计

管理模块主要功能是便于管理员对所有竞赛题目资源进行统一的控制。通过一些图形化可操作界面实现对平台的管理。

管理模块主要分为四个功能：参赛人员管理、题目信息管理、开放注册和启动竞赛。参赛人员管理主要针对参赛用户，对违反规则的参赛者进行取消资格并删除操作。题目信息管理包括题目管理和题目类型管理两块。管理员通过模块可对竞赛题目进行查看、修改、添加、删除等一系列操作，题目类型管理模块实现了管理员对题目类型进行及时的增添和发布，题目类型也不仅仅局限于传统安全类型，鼓励竞赛主办方对知识点的创新应用。开放注册和启动竞赛便于管理员按照规定，在—个时间段内开放注册或开始竞赛，有利于维护比赛的公平，公正。

管理模块是平台的核心模块之一，关系着竞赛是否能正常进行，只允许具有管理权限的人员登录使用。为了提高系统安全性，管理人员用户密码采用MD5加密的形式在数据库中进行存储，验证时同样采用MD5进行验证。后台验证成功后，设置session，每一个界面都会进行session检查，根据session判断是否已经登录，放在使用URL跳过登录直接访问管理模块。

参赛用户模块与平台管理模块作为一整个应用进行设计，实际上参赛用户模块相当于前台，平台管理模块相当于后台。前台和后台链接至同一个数据库当中。统一查看，管理数据库中的信息内容。

3.3 竞赛平台数据库设计

数据库是整个竞赛平台的基础及核心，前期对平台建设进行需求分析，阅读大量相关书籍并对类似平台进行调研，选择了MySQL关系型数据库。MySQL数据库具有体积小，速度快，易部署，总体拥有成本低，源码开放等特点，适合应用与中小型竞赛平台。

数据库中设计了系统管理员表、用户表、题目类型表、题目信息表、用户一解题关系表等共五个表。

（1）系统管理员表：包括管理员编号、管理员用户名称、管理员用户密码、平台是否开启、是否允许注册等信息。如表1所示。

（2）用户表：包括用户编号、用户名称、用户密码、用户邮箱、用户头像、是否激活、得分、注册时间、最后提交时间等信息。如表2所示。

（3）题目类型表：包括类型编号、类型名称等信息。如表3所示。

（4）题目信息表：包括题目编号、题目名称、题目分值、flag、题目类型、题目信息、提示等信息。如表4所示。

（5）用户一解题关系表：包括事件主键、用户编号、类型编号、题目编号、解题时间等信息。如表5所示。

创建完所有表之后，向系统管理员表和用户表插入数据，作为系统默认的管理员和测试用户。SQL语句如下：

3.4 竞赛主题开放性设计

传统安全题目有几类：Web安全题目、加解密题目、WiFi破解及数据分析题目、取证分析题目和虚拟靶机。

根据竞赛的主题，竞赛主办方可以在管理模块中对题目及题目类型进行任意的添加或修改，提高竞赛对学习的针对性。如竞赛主题偏重于Android网络安全，管理员只需在管理模块中添加题目类型并发布对应题目即可。

4 结束语

随着国家对信息安全，网络安全的重视，相信越来越多的人将会投身于安全领域的学习中。信息安全领域的特点是技术更新换代速度快，同时实践性要求很强，强调人与人之间的智慧对抗。如果高校不与时俱进。增加补充符合时代的发展内容，和实践脱节，那么培养的学生不被社会认可也是预料之中，我国信息安全人才培养需要新思路：以赛促学。网络安全竞赛的设计便是以此为初衷，此平台设计在于提高学生对安全知识的学习热情，提高实践操作能力，同时通过比赛能更好的选拔网络人才，对安全人才的培养有着重大的意义。对于竞赛而言，此平台还有些不足：Flag对于所有队伍来说都是一样的，直接体现在队伍之间进行交换Flag来获得更高的成绩。

在今后的工作中，需要加强对如何防止队伍间交换Flag的研究，保证比赛更加公平，公正。