在企業内部搞攻防比賽，很難嗎？

第一個問題就是，為什麼要舉辦攻防比賽？其實最初我還在大建行的時候，我是屬于反對派的，我覺得搞那事幹啥，分行那些人基本不會，開發中心、資料中心的人，也隻有個别能玩，一是會的人太少，比賽根本打不起來；二是這幫人學會了挖漏洞，感覺對企業安全好像不是正向的，而是威脅更大了啊。

直到最近幾年，大江南北都如火如荼地開始搞攻防比賽，我才覺悟了，作為CSO，搞比賽那是很重要的業績啊，好處多多：

1、提高網絡安全在企業裡面的

影響力，帶動安全意識科普

網絡安全的重要性已經毋庸置疑，網絡安全法，等保2.0，但是網絡安全對于普通員工和技術人員來說仍然披着神秘的面紗，通過組織一次網絡安全競賽，圍觀群衆就可以很好的拉近與網絡安全的距離。“親愛的，熱愛的”雖然原來寫的是電競比賽，為了蹭熱度變成了攻防比賽，但是不得不說，我司的網絡安全人員在機關的女同僚、小姐姐中，存在值大大提高了，為我們科普安全意識也提供了不少便利。

2、提升自己企業在行業和本區域

的網絡安全形象

華數所在的廣電行業，各級上司們(嘴上)對安全是極其重視的，怎麼證明我比其他省做得好？買安全裝置，買安全服務，這得上司批錢，不批給你，壯志難酬。但是辦個比賽，可以刷出影響力，全行業都知道你在幹活。今年晚些時候廣電總局還要舉辦全國的CTF比賽，要是有幸拿到好的名次，那都是實力的象征啊，都是杠杠的工作業績。其他企業也是一樣的，比賽是一個非常好的刷形象的手段。

3、網絡安全人員上升的途徑

廣電行業也已經将安全競賽納入到廣電全國技能競賽中，納入了職稱體系，獲獎選手可以用來職稱評定，能夠給有一技之長的技術人員彰顯才華的舞台，也給公司一個發現人才的機會。

4、知攻方能善守

常說攻擊最好的防守，知己知彼百戰不殆，技術人員知道了攻擊的方法，自然也就明白了應該如何防守。其實完全不必過于擔心内部人員學會了手癢幹壞事之類的，全國的攻防比賽舉辦這麼多，自己人學好了幹壞事的案例，幾乎沒有報道。

好處這麼多，那麼我們就下定決心舉辦一場比賽吧，但是，并沒有那麼容易，待我慢慢向你道來，困難遠比想象的多。

第一階段：動員階段

首先要給那些技術人員講一講理想，告訴他們，學了這個，将來可以成為什麼樣的人：作為甲方的安全管理人員，通常來說應該學習網絡、安全産品、作業系統基線、風險評估技巧，學這個黑客技能有什麼用的？

那麼我們要從安全的工種說起：

1、安全架構師；

設計公司安全架構，對資訊系統分級，對網絡分域，通常要有很強的網絡能力，對公司業務也要十分熟悉。

2、風險評估與IT審計；

負責分析和評估公司的技術基礎設施,以確定流程和系統能夠準确有效地運作,同時保持安全性和符合法規要求，一般有CISA的證。

3、 安全産品工程師和安全項目經理；

這可能是一個人，也可能是幾個人，負責安全項目實施，運維那些安全産品，管管堡壘機什麼的，調優一下日志審計和态勢感覺。很多企業的安全人員就幹點這個事兒，好一點的話，有CISSP/CISP的證。

4、 滲透測試工程師。

這是個新的職位，還挺專業，要會使用漏洞掃描工具，會驗證已知漏洞，能夠指導系統工程師修複漏洞，對被攻擊系統能夠定位是受何種攻擊，并快速處置，工具無法到達的領域開展手工滲透測試，進階一點的可以通過業務邏輯尋找漏洞。考證的話，是cisp-pte。

攻防競賽培養的是第四類，這個工種的薪水最是客觀… 大家紛紛表示要參加。有足夠的參賽人員，至少40人才能組織起精彩的比賽，如果人不夠多，那些小型企業，那隻能組織集訓，然後組隊去參加别人組織的比賽。

基本上，要自己組織比賽，玩得起來，得是好幾萬人的企業，還得是個技術類企業，最好是分支機構比較多的，才有競争，能把比賽打起來。

第二階段：籌備階段

1、 招标一個競賽服務公司，教育訓練+攻防平台；

這點很重要，大部分的傳統安全公司都有這個服務，銀行有錢可以自己買個平台，買不起平台就隻能租，但不管買不買，要把比賽打起來，必須買教育訓練，否則可能就要幹瞪眼了。

2、場地和輔助材料；

如果參加的人很多，建議控制在120人以内，如果很少，至少要動員到60人以上，那麼比賽才會比較有意思。通常你租的會議室，無法承受120台筆記本電腦同時插電，每台0.5A，那麼需要60A 的電，還需要那麼多的插線闆，這是必須提前布置好的。

其次就是網絡，120人的無線網絡也是一個挑戰，建議買4台大功率高性能的專業AP，30人1台，胖AP模式，不需要買AC，4個SSID又沒關系。

然後競賽服務公司如果沒有交換機之類的，還得自己弄個交換機，一台低端的防火牆，以及流量分析的裝置(推薦免費版本的Panabit就好了，鏡像流量給它)，都是用來防止學員下黑手把攻防平台幹了，或者互相黑。

然後再買個幹擾器，把蜂窩網絡幹擾掉，避免作弊，因為ctf 其實很多題目網上能查到解題思路，必須斷網保證公平。

第三階段：教育訓練和比賽階段

1、必須要教育訓練；

尤其是第一次搞，因為日常的安全技術工作與ctf解題還有相當大的一段距離，ctf更類似于數學競賽，需要練習以及腦洞。我相信一般的企業，也不會比我們廣電企業好到哪裡去的，沒有教育訓練時，基本都是棒槌，教育訓練後很多人就能開竅。

建議教育訓練至少3天，第一天Ctf背景，題型，規則等；第二天基本工具發放，教導使用，以及CTF真題演練；第三天團隊題目演練及教育訓練。

2、出題；

這是個很有挑戰的工作，出簡單了，拉不開差距，出難了，一堆零分太難看了，如果有20個人得獎，至少要保證20個人能得分吧。(别笑，我真見過，有個企業隻有19個人得分，隻好19個人得獎)。教你們一個好辦法，就是加一些選擇題，比如網絡安全法，防火牆配置指南等，可以更全面的考察選手的綜合能力，最大的好處是避免出現0分。

首先我們要出一批簡單的CTF題，這指的是不需要運作虛拟機的題，平台可容納大量選手同時做題。再出一批複雜的CTF題，解體時平台要運作虛拟機。如果你租來或者買來的考平台，隻能60個人并發比賽，那麼你就必須搞初賽和決賽，可以上午初賽，用簡單的CTF題把人數刷到60人，下午決賽，使用複雜的CTF題。

其次我們要準備團隊題，競賽平台對團隊賽的隊伍數量也是有限的，通常隻有15-18支隊伍的并發，3人一組，隻能容納45-54人。其實最重要的是選擇合理難度的題目，團隊賽真的有好些隊伍被剃光頭的，如果要設6支隊得獎，那麼要讓至少6支隊伍能夠了解規則，組織起進攻。可以選擇2道題，一道簡單一道難，2小時一道，中間休息。

團隊賽難度可視前一天個人CTF賽水準進行調整，不建議賽前提前組隊，要保證參賽選手有一定的水準，要适當啟用防作弊模式，以人工口頭警告為主。

第四階段：現場評獎，宣傳，獎金發放

邀請業内知名專家來頒獎是十分有意義的，把公安廳的上司，自己行業的主管上司，公司上司都請來，熱熱鬧鬧的，提前制作好獎狀、獎牌、獎杯，舉辦一個頒獎典禮，皆大歡喜。

然後要提前寫好一篇精彩的報道，頒獎典禮後，發公衆号，宣傳一下，大功告成。要是行業主管部門能把獲獎名單發文，那就更完美了。

至此，比賽圓滿成功，最後我們來說點小花絮吧！

1、團隊賽建議使用有線網絡進行比賽，每隊一個小交換機，這樣更加穩定，然後網絡可以讓選手自己布，提供網線和水晶頭，不會做或者做得不好，到時候不通，隻能怪自己了，當黑客不會做網線可不行啊。

2、流量分析軟體十分重要，可以查到有沒有互相攻擊的行為，有沒有偷偷傳消息的行為(CTF時送答案給朋友)，抓住那些膽敢攻擊平台的人。

3、CTF玩得好，團隊賽不一定打得好：

CTF是解題，可以通過刷題大幅提高水準。團隊賽是進攻和防守，得高分要會程式設計，會寫腳本。一般三個人一組，要配合，要指揮。

4、什麼樣的人能夠在攻防比賽得高分：

因為很多題目要寫腳本，讀程式，是以我們發現通常來說，程式員>系統工程師>網絡工程師，需要綜合能力和廣泛的知識，善于思考，動手能力強，真正考驗動手能力，紙上談兵的理論可不行。

5、每個廠商平台裡面的題目數量有限，雖然每年也有更新，但我的建議是每兩年換一個廠商的平台，可以讓比賽更刺激。當然，對自己的挑戰也更大。

舉辦一次攻防競賽，難度不亞于一個大項目，涉及很多方面，還絕對不能延誤或者出岔子，你需要一個好的項目經理，或者你自己就是。