2021第二届全国⼤学⽣⽹络安全精英赛赛事介绍
2021第二届全国⼤学⽣⽹络安全精英赛,指导单位为中国信息安全测评中⼼,主办⽅为国家⽹络空间安全⼈才培养基地。⼤赛以普及知识、挖掘⼈才为⼰任,⾯向全国⼤学⽣普及信息安全意识、传播信息安全知识、挖掘信息安全⼈才。
本次比赛分为3个阶段,参赛学员均已个人赛形式参加比赛。第一阶段为全国线上初赛,主要考察学生的信息安全知识水平;第二阶段为全国线上复赛,主要考察学生网络安全基础知识和基本技能;第三阶段为全国线下总决赛;具体如下:
1.1.全国初赛
初赛主要考察学生信息安全知识水平,资格赛为线上答题形式。
☑ 比赛时间:7月1日-9月10日报名,9月13日-17日全国初赛
☑ 参赛资格:全国各类高、中等院校在校学生
☑ 比赛形式:初赛由各个参赛院校组织学生至大赛官网自主报名,由当地承办机构组织安排初赛时间。
☑ 比赛题型:初赛为50道单选题。
☑ 比赛内容:内容包含:信息安全概述、信息安全法律法规、信息安全基础技术、网络安全防护技术、操作系统安全防护技术、应用安全、移动智能终端安全防护、信息安全管理。
☑ 通过条件:满分100分,竞赛成绩达到70分及以上。
1.2.全国复赛
全国复赛主要考察参赛选手网络安全基础知识和基本技能。
☑ 比赛时间:9月24日全国复赛
☑ 比赛形式:复赛为线上答题形式进行,参赛条件为初赛成绩达70分以上。
☑ 比赛题型:复赛为100道单选题,
☑ 比赛内容:信息安全支撑技术、物理与网络通信安全、计算机环境安全、软件安全开发。
☑ 通过条件:全国前100名通过参加线下总决赛
1.3.全国总决赛
全国总决赛为线下知识竞赛形式。
☑ 比赛时间:10月11日全国线下总决赛
☑ 比赛形式:决赛为线下知识答题赛,参赛条件为复赛全国成绩前100名。
☑ 比赛题型:总决赛为100道单选题,
☑ 比赛内容:信息安全支撑技术、物理与网络通信安全、计算机环境安全、软件安全开发等。
☑ 获奖条件:根据总决赛最终成绩排名,产生大学生网络安全竞赛金奖:10人;银奖:10人;铜奖:20人。
1.4.奖项设置
2021年第二届大学生网络安全竞赛共设奖金20万元。
金奖:10人,奖金10000元/人
银奖:10人,奖金5000元/人
铜奖:20人,奖金2500元/人
获得⼤赛⾦银铜牌的选⼿,可获得⼤赛协办单位腾讯安全、卓朗科技、 深信服等信息安全知名企业签约⼯作机会。
4. 大赛同期其他活动
本次大赛同期将进行一系列与相关的活动,主要活动如下:
1.1大学生网络安全知识精英赛校园大使招募
第二届全国大学生网络安全精英赛即将于2021年7月1日启动报名,9月网络安全周期间开赛。现在面向全国在校大学生招募校园大使。招募规则如下:
1.1.1.招募标准
具备⼀定的信息安全基础知识,擅长通过talkshow⼩段子、音乐创作、创意剪辑等各种才艺、方法传播信息安全知识、宣传网络安全精英赛的在校大学生。
1.1.2.招募平台
抖音APP
1.1.3.报名方式
1、开通抖音账号,并关注抖音官方号“网安精英赛”。
2、活动时间:2021年7月1日-2021年9月30日,10月11日公布获奖名单
3、拍摄与网络安全相关的短视频添加话题#网络安全精英赛#在抖音发布,并@网安精英赛 官方账号。
4、发动同学为自己的短视频点赞。
1.1.4.评选
大赛组委会邀请评委会评选作品,筛选出符合招募要求的作品,并按照点赞数排序,最终前十名入选的创作者将成为本届大学生网络安全精英赛校园大使。
1.1.5.公布
最终入选名单将在精英赛官网(https://www.nisp.org.cn/ds)公布。
1.1.6.表彰
成功当选校园大使的创作者,精英赛组委会将颁发聘书,并奖励华为 Mate 40E 手机一台(京东官方价4199元)。
1.2大学生网络安全知识精英赛答题接龙活动
校园大使招募活动同时,大赛组委会举办“网络安全精英赛·答题接龙”活动。
活动时间:2021年7月1日-2021年9月30日,10月11日公布获奖名单
参与在校大学生可登陆精英赛官网(https://www.nisp.org.cn/ds)学习网络安全辅导课程,并练习模拟题。
在抖音APP上传短视频,内容为回答一道网络安全模拟题,指定同学接龙。并以“大学生网络安全精英赛,你也来答题吧~”结尾。@网安精英赛 官方账号,参与抽奖。
奖品为华为WATCH GT 2 Pro 智能手表,共十个获奖名额(京东官网价2388元)。
删库背后,是权限管控的缺失
作者:船长Plus
“删库”事件过去了,微盟原计划28号恢复商家服务,这事儿就算渐渐淡出了人们的视野,如今又好巧不巧被创始人的魔幻舆论推得一浪更比一浪高。
观众吃瓜一时爽,企业也纷纷顺着热点蹭上来,踩着别人的错误往上爬,还能花样踢腿加劈叉。整个安全圈一片喜气洋洋。
实际上大家彼此心知肚明,这次事件只需要最简单的双人复核就能避免,多一次打扰,少亏12亿。那么为什么最初级的操作也做不到呢?
一、原因分析篇
有人指出这次“删库”原因是微盟没有使用堡垒机,仅仅如此吗?
爱因斯坦说,问题往往不会在它发生的那个层面得到解决。
现在很多互联网公司对自己的技术非常有信心,为了节省成本,会选择基于开源软件自主研发安全产品。但在设计产品和管理产品的过程中,难免缺乏专业经验。
专业的人做专业的事。脱离钱去谈安全,就有可能丢了**还套不着狼。
“删库”这么狗血的事情已经在历史上重演很多次了,有蓄意破坏的,也有失手误删的,归根结底,都是人的因素。当你大门敞开,这库就迟早要删,即便现在没有动机,也不能保证没有手误的可能。
人永远存在犯错的可能性,而安全又是一个神奇的四两拨千斤的问题,任何一点小错误都有发展成大规模破坏的潜力。因此运维安全的第一步,就是对“人”的权限管控。
构建成熟的权限管控体系,才能最小化排除人的不稳定因素。
二、整体方案篇
数据中心内的运维安全体系分为身份验证,授权,访问控制,审计和主机防护5个方面,而其中的授权+访问控制实现权限管控。从字面意义上理解:授权就是授予相应的人相应的权限(人+账号+资产),访问控制就是在人在获得权限之后允许做哪些事情不允许做哪些事情(时间+地点+操作)。二者本质上是一个授予和执行的关系。
1. 授权-修桥铺路
在数据中心内,根据业务场景的不同有三种授权通道:工单申请、动态授权、静态授权。
(1) 工单授权
操作人员根据每天需要处理的事务向部门领导提交工单申请,包括:服务器IP、账号、运维事项、时间范围等,领导审批后操作人员才可在堡垒机中查看到申请的访问权限。
- 优点:按需供给,通过流程严格控制访问权限。
- 缺点:需要紧急处理事务时,流程审批耗时会耽误处理时机。
(2) 静态授权
对于人员固定,访问目标固定且低风险的访问权限可以使用静态授权,如:张三每周一至周五早上9点到10点之间都需要对备份机做巡检,巡检用到的账号是一个只读的低权账号。
在执行授权的过程中,通常会伴随常规策略设置,定义基础权限,主要包括人、账号、资产,偶尔也会涉及到事件、地点、操作等策略配置。
- 优点:权限管控粒度细
- 缺点:配置过程相对复杂且难调整
(3) 动态授权
相对于静态授权的条目多,配置复杂,动态授权提供了一种按属性,按标签的更便捷的配置方式。例如:按用户部门(系统,数据库,网络),角色(管理员,值班员),设备类型(主机,数据库,中间件),业务系统(网银,手机银行)等,根据标记自动生成访问权限,实现动态授权。
- 优点:配置灵活,组合条件多
- 缺点:权限查看和搜索比较麻烦
2. 访问控制-分道限速
授权阶段足以满足登陆访问的基础需求了,然而不足以将“人”的风险降至最低。访问控制则是对“人的行为”进行风险控制的强力补充。
通过时间策略、源地址策略、操作规则的进一步设置,连同人、账号、资产的基础权限,形成六维细粒度权限管控体系,实现权限最小化管理。
- 时间条件:按时间维度缩小权限范围,比如:2020年1月1日9:00 -10:00,每周一至周五00:00-02:00
- 源地址条件:按IP地址为度缩小权限范围,比如:只允许在192.168.1.10-20地址范围访问
- 操作条件:按指令,剪贴板上下行,磁盘映射,文件传输上下行等缩小权限范围,比如:不允许支持rm -rf *,只允许文件上传不允许下载
- 控制动作:当触发以上规则时系统执行相应的动作,比如:不阻断但发邮件报警,阻断并发syslog,等待管理员审批等。
目前常见的几种权限管控包括:ACL(基于黑白名单)【1】、RBAC(基于角色)【2】、ABAC(基于属性)【3】,在不同的业务场景下,适配不同的技术手段。
三、结语
不得不承认,权限管控是一件干起来十分吃力又不讨好的事情,安全本身看不见效果。即便是比较好的自动化平台,至少也需要人来审批。从前期准备到后期运用,很容易形成成本升高、效率却降低的局面。
的确,树上的果子摘下来就能吃,何必要洗一遍呢?
但最近这个世界在告诫我们,你不知道那个果子有没有被果蝠碰过。
愿大家身体健康,也愿行业更健康。
Reference:
- 【1】ACL(Access Control List)访问控制表,基于白名单和黑名单提供决策依据,其中,白名单用于允许,黑名单用于拒绝。通过访问控制模块,对数据进行匹配,命中则执行设定的动作。比较常见的场景:传统防火墙策略。
- 【2】RBAC(Role-BasedAccess Control)基于角色的访问控制,常见于软件管理系统的用户分权。与ACL中一一对应的授权执行关系不同,RBAC引入了角色(role),与操作权限和资源权限相关联,适合在操作权限和资源权限控制简单,且相对固化,但人员变更频繁的场景下使用。比较常见的场景:数据库的用户角色(role)管理。
- 【3】ABAC(Attribute-BasedAccess Control)基于属性的访问控制,常见于分布式业务场景的用户分权。ABAC是一种贴近自然语言的权限控制模型,抽取异构场景的共性属性,用属性的自然组合来解决权限控制问题。针对复杂、分布式、动态、细粒度的权限管控要求,ABAC拥有难以取代的优势。
加入NISP、CISP课程学习网络安全行业
报考联系人nisp证书管理中心丹丹老师
微信号:nisptest/13520967307
删库背后,是权限管控的缺失
作者:船长Plus
浏览:
发表时间:2020-03-09 18:13:15
“删库”事件过去了,微盟原计划28号恢复商家服务,这事儿就算渐渐淡出了人们的视野,如今又好巧不巧被创始人的魔幻舆论推得一浪更比一浪高。
观众吃瓜一时爽,企业也纷纷顺着热点蹭上来,踩着别人的错误往上爬,还能花样踢腿加劈叉。整个安全圈一片喜气洋洋。
实际上大家彼此心知肚明,这次事件只需要最简单的双人复核就能避免,多一次打扰,少亏12亿。那么为什么最初级的操作也做不到呢?
一、原因分析篇
有人指出这次“删库”原因是微盟没有使用堡垒机,仅仅如此吗?
爱因斯坦说,问题往往不会在它发生的那个层面得到解决。
现在很多互联网公司对自己的技术非常有信心,为了节省成本,会选择基于开源软件自主研发安全产品。但在设计产品和管理产品的过程中,难免缺乏专业经验。
专业的人做专业的事。脱离钱去谈安全,就有可能丢了**还套不着狼。
“删库”这么狗血的事情已经在历史上重演很多次了,有蓄意破坏的,也有失手误删的,归根结底,都是人的因素。当你大门敞开,这库就迟早要删,即便现在没有动机,也不能保证没有手误的可能。
人永远存在犯错的可能性,而安全又是一个神奇的四两拨千斤的问题,任何一点小错误都有发展成大规模破坏的潜力。因此运维安全的第一步,就是对“人”的权限管控。
构建成熟的权限管控体系,才能最小化排除人的不稳定因素。
二、整体方案篇
数据中心内的运维安全体系分为身份验证,授权,访问控制,审计和主机防护5个方面,而其中的授权+访问控制实现权限管控。从字面意义上理解:授权就是授予相应的人相应的权限(人+账号+资产),访问控制就是在人在获得权限之后允许做哪些事情不允许做哪些事情(时间+地点+操作)。二者本质上是一个授予和执行的关系。
1. 授权-修桥铺路
在数据中心内,根据业务场景的不同有三种授权通道:工单申请、动态授权、静态授权。
(1) 工单授权
操作人员根据每天需要处理的事务向部门领导提交工单申请,包括:服务器IP、账号、运维事项、时间范围等,领导审批后操作人员才可在堡垒机中查看到申请的访问权限。
- 优点:按需供给,通过流程严格控制访问权限。
- 缺点:需要紧急处理事务时,流程审批耗时会耽误处理时机。
(2) 静态授权
对于人员固定,访问目标固定且低风险的访问权限可以使用静态授权,如:张三每周一至周五早上9点到10点之间都需要对备份机做巡检,巡检用到的账号是一个只读的低权账号。
在执行授权的过程中,通常会伴随常规策略设置,定义基础权限,主要包括人、账号、资产,偶尔也会涉及到事件、地点、操作等策略配置。
- 优点:权限管控粒度细
- 缺点:配置过程相对复杂且难调整
(3) 动态授权
相对于静态授权的条目多,配置复杂,动态授权提供了一种按属性,按标签的更便捷的配置方式。例如:按用户部门(系统,数据库,网络),角色(管理员,值班员),设备类型(主机,数据库,中间件),业务系统(网银,手机银行)等,根据标记自动生成访问权限,实现动态授权。
- 优点:配置灵活,组合条件多
- 缺点:权限查看和搜索比较麻烦
2. 访问控制-分道限速
授权阶段足以满足登陆访问的基础需求了,然而不足以将“人”的风险降至最低。访问控制则是对“人的行为”进行风险控制的强力补充。
通过时间策略、源地址策略、操作规则的进一步设置,连同人、账号、资产的基础权限,形成六维细粒度权限管控体系,实现权限最小化管理。
- 时间条件:按时间维度缩小权限范围,比如:2020年1月1日9:00 -10:00,每周一至周五00:00-02:00
- 源地址条件:按IP地址为度缩小权限范围,比如:只允许在192.168.1.10-20地址范围访问
- 操作条件:按指令,剪贴板上下行,磁盘映射,文件传输上下行等缩小权限范围,比如:不允许支持rm -rf *,只允许文件上传不允许下载
- 控制动作:当触发以上规则时系统执行相应的动作,比如:不阻断但发邮件报警,阻断并发syslog,等待管理员审批等。
目前常见的几种权限管控包括:ACL(基于黑白名单)【1】、RBAC(基于角色)【2】、ABAC(基于属性)【3】,在不同的业务场景下,适配不同的技术手段。
三、结语
不得不承认,权限管控是一件干起来十分吃力又不讨好的事情,安全本身看不见效果。即便是比较好的自动化平台,至少也需要人来审批。从前期准备到后期运用,很容易形成成本升高、效率却降低的局面。
的确,树上的果子摘下来就能吃,何必要洗一遍呢?
但最近这个世界在告诫我们,你不知道那个果子有没有被果蝠碰过。
愿大家身体健康,也愿行业更健康。
Reference:
- 【1】ACL(Access Control List)访问控制表,基于白名单和黑名单提供决策依据,其中,白名单用于允许,黑名单用于拒绝。通过访问控制模块,对数据进行匹配,命中则执行设定的动作。比较常见的场景:传统防火墙策略。
- 【2】RBAC(Role-BasedAccess Control)基于角色的访问控制,常见于软件管理系统的用户分权。与ACL中一一对应的授权执行关系不同,RBAC引入了角色(role),与操作权限和资源权限相关联,适合在操作权限和资源权限控制简单,且相对固化,但人员变更频繁的场景下使用。比较常见的场景:数据库的用户角色(role)管理。
- 【3】ABAC(Attribute-BasedAccess Control)基于属性的访问控制,常见于分布式业务场景的用户分权。ABAC是一种贴近自然语言的权限控制模型,抽取异构场景的共性属性,用属性的自然组合来解决权限控制问题。针对复杂、分布式、动态、细粒度的权限管控要求,ABAC拥有难以取代的优势。
加入NISP、CISP课程学习网络安全行业
报考联系人nisp证书管理中心丹丹老师
微信号:nisptest/13520967307
点击右上角
分享给朋友吧
长按图片保存/分享
0
文章推荐
