XCTF联赛，连接竞技与培训的纽带

文 | 本刊记者 姜红德

XCTF联赛，连接竞技与培训的纽带

文 | 本刊记者 姜红德

9月中旬，由国家创新与发展战略研究会主办，赛宁网安、清华大学Musec项目组承办的第三届XCTF联赛（全称XCTF国际网络攻防联赛）总决赛落下帷幕，XCTF联赛发起人、赛宁网安首席技术官、清华大学网络科学与网络空间研究院副研究员诸葛建伟针对目前我国网络安全人才培训存在的难题、竞技联赛的运作模式及如何结合AI等新技术开展竞赛等话题近日接受了记者采访。

《中国信息化》杂志：请介绍一下XCTF联赛、赛宁网安的背景和定位。

诸葛建伟：2010年由我和段海新教授共同发起创建了蓝莲花战队，2013年蓝莲花战队成功入围DEFCON CTF总决赛，成为华人世界历史上首支入围该项网络安全领域“世界杯”赛的中国队伍。

2013年底，由蓝莲花战队创始人、核心队员共同创立赛宁网安，定位于网络攻防实训专家，通过XCTF联赛平台，打造攻防实训产品方案体系和攻防人才培养体系。2016年公司获得千万级的Pre-A轮融资，专注于提供网络攻防实训类的产品、解决方案和服务体系，打造专业的网络安全专业培训机构与平台提供商。

《中国信息化》杂志：对当前的网络安全人才缺失情况是怎么看的？传统的安全培训在培养人才及提高技能方面还存在哪些不足？

诸葛建伟：当前我国网络安全人才缺口巨大，同时具备中高水平实践技能的人才更是急需，也就是说无论从“量”还是“质”上，都难以达到整个社会对网络安全人才的强烈需求。

网络安全是一个对抗性和实践性要求很高的学科领域，高校和社会培训机构传统采用的“授课式”培训方式和理论客观题考核模式，往往规避攻击而只重防御，并不适合于网络安全领域“攻防兼备”的技能需求，培训效果差。学生容易陷入应试教育的陷阱，仅仅处于识记基本概念、理解基本原理的阶段，缺乏实践动手解决安全问题的攻防技能。高校中的网络安全实验教学大多采用给定目标与操作流程的设计，虽对学生的基础实操技能培养有一定作用，但离独立思考、综合应用各种安全技能解决实际问题的掌握程度还有较大距离。

《中国信息化》杂志：竞技联赛的方式如何发挥对安防人才培训的重要影响？

诸葛建伟：竞技联赛可以有效激发参赛群体对网络安全实践技能的学习兴趣，并通过激烈的竞技赛事引领学员在赛前、赛中和赛后各个阶段的目标驱动自主学习，同时可以凝聚有共同兴趣爱好的学员组成团队共同学习进步，提升学员的团队协作能力和学习效果。通过竞技联赛引领的“目标驱动自主学习”，在赛宁网安提供的网络攻防人才能力提升解决方案中也作为首选的学习模式，在客户应用赛宁实训产品和内容体系时应用，有助于提高客户单位网络安全技术人员的学习成效。

《中国信息化》杂志：能否介绍一下 AI、云计算、大数据等技术对竞技联赛的影响和作用？

诸葛建伟：首先，XCTF联赛在竞技内容设计上紧跟AI、大数据、云计算等前沿技术的发展，特别在第三届XCTF的总决赛上，以大数据驱动的AI智能攻防为竞技内容，在国内首创了AI人机协同网络攻防的比赛形式，引领参赛队伍研发能够自动挖掘网络安全漏洞进行触发利用的“机器人”程序，协助人类队伍进行零日漏洞发现，XCTF总决赛也利用了清华大学、赛宁网安在网络攻防大数据项目的研究结果，为参赛队伍实现AI智能漏洞挖掘提供了充分的漏洞靶标测试样本等数据支持，引领国内研究团队在AI智能攻防领域上的研究进展。

XCTF联赛发起人、赛宁网安首席技术官、清华大学网络科学与网络空间研究院副研究员诸葛建伟

其次，目前XCTF联赛无论是在互联网上举办的线上赛，还是在主要城市举办的线下赛，竞技平台都充分利用云计算技术按需租用和分配资源的弹性。比如，第三届XCTF国际联赛新加坡站国际赛HITB GSEC CTF充分利用了公有云资源部署赛事平台和赛题环境，改变了HITB CTF传统在赛场搭建局域网比赛环境的方式，大幅度提升了HITB CTF的参赛规模和影响力。

《中国信息化》杂志：目前在竞技平台方面的创新进展如何?

诸葛建伟：在多年组织XCTF联赛等高水平网络攻防竞赛的经验积累下，赛宁网安推出了基于软件定义云架构的攻防竞技平台解决方案，其中包括网络攻防实训平台、网络攻防演练竞赛平台、网络攻防靶场平台等产品，以及满足网络空间安全一级学科和信息安全本科专业教学的实训课程、VulHub漏洞标靶库、XCTF联赛及国内外知名赛事历年真题库等不断更新的实训内容体系，可以满足不同层次人才的网络攻防实训需求。此外通过XCTF联赛社区和线下白帽联盟聚拢了超过500位优秀讲师资源，超过10000名白帽安全极客资源，能够为企业的安全实训、渗透测试、漏洞挖掘与应急响应提供线上交互、线下交付的可信安全服务。

《中国信息化》杂志：接下来，XCTF在走向地域性、结合产业等方面会有哪些变化？

诸葛建伟：赛宁网安正在进行A轮融资，在完成融资之后，赛宁将以“网络攻防实训专家”的行业清晰定位，继续推动XCTF联赛等品牌活动的深化发展。具体计划考虑包括：进一步推动国际化，借助“一带一路”出海办赛，扩展品牌的国际影响力和知名度，并拓展海外市场机会；在区域化方面围绕“白帽”安全极客文化建设，组织白帽攻防赛、白帽技术论坛、线下白帽联盟等相关活动，推动品牌影响力在主要城市的深耕；在云计算、车联网、物联网等新兴技术方向，通过和产业更深入的结合，推出系列专题赛事，推动新兴领域的攻防技术实践与研究。