2021第二届全国⼤学⽣⽹络安全精英赛赛事介绍
2021第二届全国⼤学⽣⽹络安全精英赛,指导单位为中国信息安全测评中⼼,主办⽅为国家⽹络空间安全⼈才培养基地。⼤赛以普及知识、挖掘⼈才为⼰任,⾯向全国⼤学⽣普及信息安全意识、传播信息安全知识、挖掘信息安全⼈才。
本次比赛分为3个阶段,参赛学员均已个人赛形式参加比赛。第一阶段为全国线上初赛,主要考察学生的信息安全知识水平;第二阶段为全国线上复赛,主要考察学生网络安全基础知识和基本技能;第三阶段为全国线下总决赛;具体如下:
1.1.全国初赛
初赛主要考察学生信息安全知识水平,资格赛为线上答题形式。
☑ 比赛时间:7月1日-9月10日报名,9月13日-17日全国初赛
☑ 参赛资格:全国各类高、中等院校在校学生
☑ 比赛形式:初赛由各个参赛院校组织学生至大赛官网自主报名,由当地承办机构组织安排初赛时间。
☑ 比赛题型:初赛为50道单选题。
☑ 比赛内容:内容包含:信息安全概述、信息安全法律法规、信息安全基础技术、网络安全防护技术、操作系统安全防护技术、应用安全、移动智能终端安全防护、信息安全管理。
☑ 通过条件:满分100分,竞赛成绩达到70分及以上。
1.2.全国复赛
全国复赛主要考察参赛选手网络安全基础知识和基本技能。
☑ 比赛时间:9月24日全国复赛
☑ 比赛形式:复赛为线上答题形式进行,参赛条件为初赛成绩达70分以上。
☑ 比赛题型:复赛为100道单选题,
☑ 比赛内容:信息安全支撑技术、物理与网络通信安全、计算机环境安全、软件安全开发。
☑ 通过条件:全国前100名通过参加线下总决赛
1.3.全国总决赛
全国总决赛为线下知识竞赛形式。
☑ 比赛时间:10月11日全国线下总决赛
☑ 比赛形式:决赛为线下知识答题赛,参赛条件为复赛全国成绩前100名。
☑ 比赛题型:总决赛为100道单选题,
☑ 比赛内容:信息安全支撑技术、物理与网络通信安全、计算机环境安全、软件安全开发等。
☑ 获奖条件:根据总决赛最终成绩排名,产生大学生网络安全竞赛金奖:10人;银奖:10人;铜奖:20人。
1.4.奖项设置
2021年第二届大学生网络安全竞赛共设奖金20万元。
金奖:10人,奖金10000元/人
银奖:10人,奖金5000元/人
铜奖:20人,奖金2500元/人
获得⼤赛⾦银铜牌的选⼿,可获得⼤赛协办单位腾讯安全、卓朗科技、 深信服等信息安全知名企业签约⼯作机会。
4. 大赛同期其他活动
本次大赛同期将进行一系列与相关的活动,主要活动如下:
1.1大学生网络安全知识精英赛校园大使招募
第二届全国大学生网络安全精英赛即将于2021年7月1日启动报名,9月网络安全周期间开赛。现在面向全国在校大学生招募校园大使。招募规则如下:
1.1.1.招募标准
具备⼀定的信息安全基础知识,擅长通过talkshow⼩段子、音乐创作、创意剪辑等各种才艺、方法传播信息安全知识、宣传网络安全精英赛的在校大学生。
1.1.2.招募平台
抖音APP
1.1.3.报名方式
1、开通抖音账号,并关注抖音官方号“网安精英赛”。
2、活动时间:2021年7月1日-2021年9月30日,10月11日公布获奖名单
3、拍摄与网络安全相关的短视频添加话题#网络安全精英赛#在抖音发布,并@网安精英赛 官方账号。
4、发动同学为自己的短视频点赞。
1.1.4.评选
大赛组委会邀请评委会评选作品,筛选出符合招募要求的作品,并按照点赞数排序,最终前十名入选的创作者将成为本届大学生网络安全精英赛校园大使。
1.1.5.公布
最终入选名单将在精英赛官网(https://www.nisp.org.cn/ds)公布。
1.1.6.表彰
成功当选校园大使的创作者,精英赛组委会将颁发聘书,并奖励华为 Mate 40E 手机一台(京东官方价4199元)。
1.2大学生网络安全知识精英赛答题接龙活动
校园大使招募活动同时,大赛组委会举办“网络安全精英赛·答题接龙”活动。
活动时间:2021年7月1日-2021年9月30日,10月11日公布获奖名单
参与在校大学生可登陆精英赛官网(https://www.nisp.org.cn/ds)学习网络安全辅导课程,并练习模拟题。
在抖音APP上传短视频,内容为回答一道网络安全模拟题,指定同学接龙。并以“大学生网络安全精英赛,你也来答题吧~”结尾。@网安精英赛 官方账号,参与抽奖。
奖品为华为WATCH GT 2 Pro 智能手表,共十个获奖名额(京东官网价2388元)。
01. 零信任安全(zero trust security)
零信任安全是一种IT安全模型。零信任安全要求对所有位于网络外部或网络内部的人和设备,在访问专用网络资源时,必须进行严格的身份验证。零信任安全需要通过多种网络安全技术实现。
零信任安全技术特性包括:
除了对用户进行访问控制之外,零信任还要求对用户所使用的设备进行严格的控制。零信任系统需要监视有多少种不同的设备正在尝试访问其网络,并确保每台设备都得到授权。这进一步最小化了网络的攻击面。
02.软件定义边界(software-defined perimeter)
SDP是实现零信任安全性的一种方法。用户和设备都必须经过验证才能连接,并且仅具有所需的最小网络访问权限。
SDP 旨在使应用程序所有者能够在需要时部署安全边界,以便将服务与不安全的网络隔离开来。SDP 将物理设备替换为在应用程序所有者控制下运行的逻辑组件。SDP 仅在设备验证和身份验证后才允许访问企业应用基础架构。
SDP去除了需要远程访问网关设备的缺点。在获得对受保护服务器的网络访问之前,SDP 要求发起方进行身份验证并首先获得授权。然后,在请求系统和应用程序基础架构之间实时创建加密连接。
03.SDP架构
04.SDP访问过程
一个或多个SDP控制器服务上线并连接至适当的可选认证和授权服务(例如,PKI 颁发证书认证服务、设备验证、地理定位、SAML、OpenID、Oauth、LDAP、Kerberos、多因子身份验证等服务)。
05.SDP部署方式
5.1 客户端-网关模型
在客户端—网关的实施模型中,一个或多个服务器在 SDP 连接接受主机(AH)后面受到保护。这样,SDP 连接接受主机(AH)就充当客户端和受保护服务器之间的网关。此实施模型可以在企业网络内执行,以减轻常见的横向移动攻击,如服务器扫描、操作系统和应用程序漏洞攻击、中间人攻击、传递散列和许多其他攻击。或者,它可以在Internet上实施,将受保护的服务器与未经授权的用户隔离开来,并减轻诸如拒绝服务(DoS)、SQL 注入、操作系统和应用程序漏洞攻击、中间人攻击、跨站点脚本(XSS)、跨站点请求伪造(CSRF)等攻击。
5.2 客户端-服务器模型
客户机到服务器的实施在功能和优势上与上面讨论的客户机到网关的实施相似。然而,在这种情况下,受保护的服务器将运行可接受连接主机(AH)的软件。客户机到网关实施和客户机到服务器实施之间的选择通常基于受保护的服务器数量、负载平衡方法、服务器的弹性以及其他类似的拓扑因素。
5.3 服务器-服务器模型
在服务器到服务器的实施模型中,可以保护提供代表性状态传输(REST)服务、简单对象访问协议(SOAP)服务、远程过程调用(RPC)或 Internet 上任何类型的应用程序编程接口(API)的服务器,使其免受网络上所有未经授权的主机的攻击。例如,对于 REST 服务,启动 REST 调用的服务器将是 SDP 连接发起主机(IH),提供 REST 服务的服务器将是可以接受连接的主机(AH)。为这个用例实施一个软件定义边界可以显著地减少这些服务的负载,并减轻许多类似于上面提到的攻击。这个概念可以用于任何服务器到服务器的通信。
5.4 客户端-服务器-客户端模型
客户端到服务器到客户端的实施在两个客户端之间产生对等关系,可以用于 IP 电话、聊天和视频会议等应用程序。在这些情况下,软件定义边界会混淆连接客户端的 IP 地址。作为一个微小的变化,如果用户也希望隐藏应用服务器,那么用户可以有一个客户端到客户端的配置。
06.SDP应用场景
6.1 企业应用隔离
对于涉及知识产权,财务信息,人力资源数据以及仅在企业网络内可用的其他数据集的数据泄露,攻击者可能通过入侵网络中的一台计算机进入内部网络,然后横向移动获得高价值信息资产的访问权限。在这种情况下,企业可以在其数据中心内部署 SDP,以便将高价值应用程序与数据中心中的其他应用程序隔离开来,并将它们与整个网络中的未授权用户隔离开来。未经授权的用户将无法检测到受保护的应用程序,这将减轻这些攻击所依赖的横向移动。
6.2 私有云和混合云
除了有助于保护物理机器,SDP 的软件覆盖特性使其可以轻松集成到私有云中,以利用此类环境的灵活性和弹性。此外,企业可以使用 SDP 隔离隐藏和保护其公共云实例,或者作为包含私有云和公共云实例和/或跨云集群的统一系统。
6.3 软件即服务
软件即服务(SaaS)供应商可以使用 SDP 架构来保护他们提供的服务。在这种应用场景下,SaaS 服务是一个 SDP 连接接受主机(AH),而所有连接服务的终端用户就是 SDP 连接发起主机(IH)。这样使得 SaaS 产商可以通过互联网将其服务提供给全球用户的同时不再为安全问题担忧。
6.4 基础设施即服务
基础设施即服务(IaaS)供应商可以为其客户提供 SDP 即服务作为受保护的入口。这使他们的客户可以充分利用 IaaS 的灵活性和性价比,同时减少各种潜在的攻击。
6.5 平台即服务
平台即服务(PaaS)供应商可以通过将 SDP 架构作为其服务的一部分来实现差异化。这为最终用户提供了一种嵌入式安全服务,可以缓解基于网络的攻击。
6.6 基于云的虚拟桌面基础架构
虚拟桌面基础架构(VDI)可以部署在弹性云中,这样 VDI 的使用按小时支付。然而,如果VDI 用户需要访问公司网络内的服务器,VDI 可能难以使用,并且可能会产生安全漏洞。但是,VDI 与 SDP 相结合,可通过更简单的用户交互和细粒度访问解决了这两个问题。
6.7 物联网
大量的新设备正在连接到互联网上。管理这些设备或从这些设备中提取信息抑或两者兼有的后端应用程序的任务很关键,因为要充当私有或敏感数据的保管人。软件定义边界可用于隐藏这些服务器及其在 Internet 上的交互,以最大限度地提高安全性和正常运行时间。
加入NISP、CISP课程学习网络安全行业
报考联系人nisp证书管理中心丹丹老师
微信号:nisptest/13520967307
01. 零信任安全(zero trust security)
零信任安全是一种IT安全模型。零信任安全要求对所有位于网络外部或网络内部的人和设备,在访问专用网络资源时,必须进行严格的身份验证。零信任安全需要通过多种网络安全技术实现。
零信任安全技术特性包括:
除了对用户进行访问控制之外,零信任还要求对用户所使用的设备进行严格的控制。零信任系统需要监视有多少种不同的设备正在尝试访问其网络,并确保每台设备都得到授权。这进一步最小化了网络的攻击面。
02.软件定义边界(software-defined perimeter)
SDP是实现零信任安全性的一种方法。用户和设备都必须经过验证才能连接,并且仅具有所需的最小网络访问权限。
SDP 旨在使应用程序所有者能够在需要时部署安全边界,以便将服务与不安全的网络隔离开来。SDP 将物理设备替换为在应用程序所有者控制下运行的逻辑组件。SDP 仅在设备验证和身份验证后才允许访问企业应用基础架构。
SDP去除了需要远程访问网关设备的缺点。在获得对受保护服务器的网络访问之前,SDP 要求发起方进行身份验证并首先获得授权。然后,在请求系统和应用程序基础架构之间实时创建加密连接。
03.SDP架构
04.SDP访问过程
一个或多个SDP控制器服务上线并连接至适当的可选认证和授权服务(例如,PKI 颁发证书认证服务、设备验证、地理定位、SAML、OpenID、Oauth、LDAP、Kerberos、多因子身份验证等服务)。
05.SDP部署方式
5.1 客户端-网关模型
在客户端—网关的实施模型中,一个或多个服务器在 SDP 连接接受主机(AH)后面受到保护。这样,SDP 连接接受主机(AH)就充当客户端和受保护服务器之间的网关。此实施模型可以在企业网络内执行,以减轻常见的横向移动攻击,如服务器扫描、操作系统和应用程序漏洞攻击、中间人攻击、传递散列和许多其他攻击。或者,它可以在Internet上实施,将受保护的服务器与未经授权的用户隔离开来,并减轻诸如拒绝服务(DoS)、SQL 注入、操作系统和应用程序漏洞攻击、中间人攻击、跨站点脚本(XSS)、跨站点请求伪造(CSRF)等攻击。
5.2 客户端-服务器模型
客户机到服务器的实施在功能和优势上与上面讨论的客户机到网关的实施相似。然而,在这种情况下,受保护的服务器将运行可接受连接主机(AH)的软件。客户机到网关实施和客户机到服务器实施之间的选择通常基于受保护的服务器数量、负载平衡方法、服务器的弹性以及其他类似的拓扑因素。
5.3 服务器-服务器模型
在服务器到服务器的实施模型中,可以保护提供代表性状态传输(REST)服务、简单对象访问协议(SOAP)服务、远程过程调用(RPC)或 Internet 上任何类型的应用程序编程接口(API)的服务器,使其免受网络上所有未经授权的主机的攻击。例如,对于 REST 服务,启动 REST 调用的服务器将是 SDP 连接发起主机(IH),提供 REST 服务的服务器将是可以接受连接的主机(AH)。为这个用例实施一个软件定义边界可以显著地减少这些服务的负载,并减轻许多类似于上面提到的攻击。这个概念可以用于任何服务器到服务器的通信。
5.4 客户端-服务器-客户端模型
客户端到服务器到客户端的实施在两个客户端之间产生对等关系,可以用于 IP 电话、聊天和视频会议等应用程序。在这些情况下,软件定义边界会混淆连接客户端的 IP 地址。作为一个微小的变化,如果用户也希望隐藏应用服务器,那么用户可以有一个客户端到客户端的配置。
06.SDP应用场景
6.1 企业应用隔离
对于涉及知识产权,财务信息,人力资源数据以及仅在企业网络内可用的其他数据集的数据泄露,攻击者可能通过入侵网络中的一台计算机进入内部网络,然后横向移动获得高价值信息资产的访问权限。在这种情况下,企业可以在其数据中心内部署 SDP,以便将高价值应用程序与数据中心中的其他应用程序隔离开来,并将它们与整个网络中的未授权用户隔离开来。未经授权的用户将无法检测到受保护的应用程序,这将减轻这些攻击所依赖的横向移动。
6.2 私有云和混合云
除了有助于保护物理机器,SDP 的软件覆盖特性使其可以轻松集成到私有云中,以利用此类环境的灵活性和弹性。此外,企业可以使用 SDP 隔离隐藏和保护其公共云实例,或者作为包含私有云和公共云实例和/或跨云集群的统一系统。
6.3 软件即服务
软件即服务(SaaS)供应商可以使用 SDP 架构来保护他们提供的服务。在这种应用场景下,SaaS 服务是一个 SDP 连接接受主机(AH),而所有连接服务的终端用户就是 SDP 连接发起主机(IH)。这样使得 SaaS 产商可以通过互联网将其服务提供给全球用户的同时不再为安全问题担忧。
6.4 基础设施即服务
基础设施即服务(IaaS)供应商可以为其客户提供 SDP 即服务作为受保护的入口。这使他们的客户可以充分利用 IaaS 的灵活性和性价比,同时减少各种潜在的攻击。
6.5 平台即服务
平台即服务(PaaS)供应商可以通过将 SDP 架构作为其服务的一部分来实现差异化。这为最终用户提供了一种嵌入式安全服务,可以缓解基于网络的攻击。
6.6 基于云的虚拟桌面基础架构
虚拟桌面基础架构(VDI)可以部署在弹性云中,这样 VDI 的使用按小时支付。然而,如果VDI 用户需要访问公司网络内的服务器,VDI 可能难以使用,并且可能会产生安全漏洞。但是,VDI 与 SDP 相结合,可通过更简单的用户交互和细粒度访问解决了这两个问题。
6.7 物联网
大量的新设备正在连接到互联网上。管理这些设备或从这些设备中提取信息抑或两者兼有的后端应用程序的任务很关键,因为要充当私有或敏感数据的保管人。软件定义边界可用于隐藏这些服务器及其在 Internet 上的交互,以最大限度地提高安全性和正常运行时间。
加入NISP、CISP课程学习网络安全行业
报考联系人nisp证书管理中心丹丹老师
微信号:nisptest/13520967307