2021第二届全国⼤学⽣⽹络安全精英赛赛事介绍
2021第二届全国⼤学⽣⽹络安全精英赛,指导单位为中国信息安全测评中⼼,主办⽅为国家⽹络空间安全⼈才培养基地。⼤赛以普及知识、挖掘⼈才为⼰任,⾯向全国⼤学⽣普及信息安全意识、传播信息安全知识、挖掘信息安全⼈才。
本次比赛分为3个阶段,参赛学员均已个人赛形式参加比赛。第一阶段为全国线上初赛,主要考察学生的信息安全知识水平;第二阶段为全国线上复赛,主要考察学生网络安全基础知识和基本技能;第三阶段为全国线下总决赛;具体如下:
1.1.全国初赛
初赛主要考察学生信息安全知识水平,资格赛为线上答题形式。
☑ 比赛时间:7月1日-9月10日报名,9月13日-17日全国初赛
☑ 参赛资格:全国各类高、中等院校在校学生
☑ 比赛形式:初赛由各个参赛院校组织学生至大赛官网自主报名,由当地承办机构组织安排初赛时间。
☑ 比赛题型:初赛为50道单选题。
☑ 比赛内容:内容包含:信息安全概述、信息安全法律法规、信息安全基础技术、网络安全防护技术、操作系统安全防护技术、应用安全、移动智能终端安全防护、信息安全管理。
☑ 通过条件:满分100分,竞赛成绩达到70分及以上。
1.2.全国复赛
全国复赛主要考察参赛选手网络安全基础知识和基本技能。
☑ 比赛时间:9月24日全国复赛
☑ 比赛形式:复赛为线上答题形式进行,参赛条件为初赛成绩达70分以上。
☑ 比赛题型:复赛为100道单选题,
☑ 比赛内容:信息安全支撑技术、物理与网络通信安全、计算机环境安全、软件安全开发。
☑ 通过条件:全国前100名通过参加线下总决赛
1.3.全国总决赛
全国总决赛为线下知识竞赛形式。
☑ 比赛时间:10月11日全国线下总决赛
☑ 比赛形式:决赛为线下知识答题赛,参赛条件为复赛全国成绩前100名。
☑ 比赛题型:总决赛为100道单选题,
☑ 比赛内容:信息安全支撑技术、物理与网络通信安全、计算机环境安全、软件安全开发等。
☑ 获奖条件:根据总决赛最终成绩排名,产生大学生网络安全竞赛金奖:10人;银奖:10人;铜奖:20人。
1.4.奖项设置
2021年第二届大学生网络安全竞赛共设奖金20万元。
金奖:10人,奖金10000元/人
银奖:10人,奖金5000元/人
铜奖:20人,奖金2500元/人
获得⼤赛⾦银铜牌的选⼿,可获得⼤赛协办单位腾讯安全、卓朗科技、 深信服等信息安全知名企业签约⼯作机会。
4. 大赛同期其他活动
本次大赛同期将进行一系列与相关的活动,主要活动如下:
1.1大学生网络安全知识精英赛校园大使招募
第二届全国大学生网络安全精英赛即将于2021年7月1日启动报名,9月网络安全周期间开赛。现在面向全国在校大学生招募校园大使。招募规则如下:
1.1.1.招募标准
具备⼀定的信息安全基础知识,擅长通过talkshow⼩段子、音乐创作、创意剪辑等各种才艺、方法传播信息安全知识、宣传网络安全精英赛的在校大学生。
1.1.2.招募平台
抖音APP
1.1.3.报名方式
1、开通抖音账号,并关注抖音官方号“网安精英赛”。
2、活动时间:2021年7月1日-2021年9月30日,10月11日公布获奖名单
3、拍摄与网络安全相关的短视频添加话题#网络安全精英赛#在抖音发布,并@网安精英赛 官方账号。
4、发动同学为自己的短视频点赞。
1.1.4.评选
大赛组委会邀请评委会评选作品,筛选出符合招募要求的作品,并按照点赞数排序,最终前十名入选的创作者将成为本届大学生网络安全精英赛校园大使。
1.1.5.公布
最终入选名单将在精英赛官网(https://www.nisp.org.cn/ds)公布。
1.1.6.表彰
成功当选校园大使的创作者,精英赛组委会将颁发聘书,并奖励华为 Mate 40E 手机一台(京东官方价4199元)。
1.2大学生网络安全知识精英赛答题接龙活动
校园大使招募活动同时,大赛组委会举办“网络安全精英赛·答题接龙”活动。
活动时间:2021年7月1日-2021年9月30日,10月11日公布获奖名单
参与在校大学生可登陆精英赛官网(https://www.nisp.org.cn/ds)学习网络安全辅导课程,并练习模拟题。
在抖音APP上传短视频,内容为回答一道网络安全模拟题,指定同学接龙。并以“大学生网络安全精英赛,你也来答题吧~”结尾。@网安精英赛 官方账号,参与抽奖。
奖品为华为WATCH GT 2 Pro 智能手表,共十个获奖名额(京东官网价2388元)。
下面的开源云安全工具并不是完整的列表,但这是很好的起点,特别是当你想了解GitHub最受欢迎的开源云安全工具的话。下面让我们看看这些安全工具,以了解其可视性、主动测试和事件响应。
AWS、微软和谷歌等云供应商提供都本机安全工具套件,虽然这些工具很有用,但并不能满足所有人的需求。
随着云计算技术的发展,IT团队通常会发现他们难以在云计算平台安全地开发和管理工作负载。最终,用户需要承担这部分责任,这正是开源云安全工具派上用场的地方。
主流开源云安全工具通常是由拥有大型IT团队的公司开发,例如Netflix、Capital One和Lyft公司,他们的IT团队拥有丰富的云计算经验。这些团队开发开源云安全工具来解决特定需求—现有工具和服务无法解决的需求,然后他们会开源化软件以使其他企业受益。
下面的开源云安全工具并不是完整的列表,但这是很好的起点,特别是当你想了解GitHub最受欢迎的开源云安全工具的话。其中很多工具可跨越各种云环境,而其他工具则专门设计用于与AWS,AWS仍然是使用最广泛的公共云。下面让我们看看这些安全工具,以了解其可视性、主动测试和事件响应。
1. Cloud Custodian
Cloud Custodian是无状态规则引擎,用于管理AWS、Microsoft Azure和Google Cloud Platform(GCP)环境。它通过统一的报告和指标将组企业使用的很多合规性脚本整合到一个工具中。借助Cloud Custodian,你可以设置规则,以根据安全性和合规性标准以及成本优化准则检查环境。
Cloud Custodian策略以YAML编写,其中会表明需要检查的资源类型和集合,以及对这些资源采取何种操作。例如,你可以设置一个策略,在所有Amazon S3存储桶上启用存储桶加密。你还可以将Cloud Custodian连接到本机云服务和无服务器运行时,以自动解析策略。
Cloud Custodian最初是由Capital One的软件工程师Kapil Thangavelu开发并开源化。
2. Cartography
Cartography可创建基础设施图。该自动绘图工具直观地说明云基础架构资产如何连接。这样可以提高整个团队的安全可见性。使用此工具可以生成资产报告、突出显示潜在的攻击路径,并确定需要改进安全性的领域。
Cartography由Lyft的工程师用Python开发,并在Neo4j数据库上运行。它支持AWS、Google Cloud Platform和G Suite上的多种服务。
3. Diffy
Diffy是用于数字取证和事件响应(DFIR)的分类工具。当你的环境受到攻击或破坏时,DFIR团队需要负责检查全部资源,以获取攻击者留下的任何东西,这可能是繁琐的手动过程。而Diffy提供差异引擎,该引擎可突出显示实例、VM和其他资源行为中的异常值。Diffy会告诉DFIR团队哪些资源行为异常,以帮助确定从哪里对付攻击者。
Diffy尚处于开发早期阶段,主要用于AWS上的Linux实例,但其插件结构可以支持多个云计算。Diffy用Python编写,由Netflix的安全情报和响应团队创建。
4. Gitleaks
Gitleaks是静态应用程序安全测试工具,可扫描你的Git存储库中的机密信息、API密钥和令牌。随着IT安全通过DevSecOps左移,开发人员需要在开发规划中更早地测试代码。Gitleaks可以扫描专有和企业范围内的Git存储库,以查找已提交和未提交的机密信息,并包括JSON和CSV报告。
Gitleaks用Go编写,由GitLab的软件工程师Zachary Rice维护。
5. Git-secrets
Git-secrets是一种开发安全工具,可防止你在Git存储库中包含机密和其他敏感信息。它会扫描提交代码和提交说明,当与你预先配置的禁止表达式模式匹配,它会阻止提交。
Git-secrets旨在AWS中使用,它是由AWS Labs创建的,他们将继续维护该项目。
6. OSSEC
OSSEC是一个安全平台,它结合了基于主机的入侵检测、日志监视以及安全信息和事件管理。最初是为本地安全而开发,你也可以在基于云的VM使用它。
该平台的优势之一是其多功能性。它适用于AWS、Azure和GCP环境。它还支持多种操作系统,例如Linux、Windows、Mac OS X和Solaris。OSSEC提供集中式管理服务器来监视跨平台的策略以及代理和无代理监控。
OSSEC的关键功能包括:
OSSEC由OSSEC基金会维护。
7. PacBot
PacBot,也称为Policy as Code Bot,它是合规性监视平台。你可将合规性策略部署为代码,PacBot会根据这些策略检查你的资源和资产。你可以使用PacBot自动创建合规性报告,并使用预定义的修复程序解决合规性违规问题。
你可使用Asset Group功能在PacBot UI仪表板内整理资源—基于某些标准。例如,你可以按状态(例如,挂起、运行或关闭)对所有Amazon EC2实例分组,然后整体查看。你还可以将监视操作的范围限制为资产组,以实现更有针对性的合规性。
PacBot由T-Mobile创建,他们将继续维护,可与AWS和Azure一起使用。
8. Pacu
Pacu是用于AWS环境的渗透测试工具集。它为红色团队提供了一系列攻击模块,旨在破坏EC2实例、测试S3存储桶配置、破坏监视功能等。该工具包当前具有36个插件模块,并包括用于文档编制和测试时间表的内置攻击审核。
Pacu用Python编写,由渗透测试提供商Rhino Security Labs维护。
9. Prowler
Prowler是一个AWS命令行工具,可根据AWS Center for Internet Security基准以及GDPR和HIPAA评估你的基础架构。你可以检查整个基础架构,也可以指定要查看的AWS配置文件或区域。Prowler可以同时运行多个审查,并以CSV、JSON和HTML等标准格式生成报告。它还可与AWS Security Hub集成。
Prowler由AWS安全顾问Toni de la Fuente创建,并由他维护该项目。
10. Security Monkey
Security Monkey是一个监视工具,可监视AWS、GCP和OpenStack环境中的策略更改和易受攻击的配置。例如,在AWS中,Security Monkey在添加或删除S3存储桶或安全组时会向你发出警报,并跟踪你的AWS Identity and Access Management密钥以及很多其他监视任务。
Security Monkey是由Netflix开发,尽管他们对该工具的支持现在仅限于较小的错误修复。商业替代品包括AWS Config和Google Cloud Asset Inventory。
加入NISP、CISP课程学习网络安全行业
报考联系人nisp证书管理中心丹丹老师
微信号:nisptest/13520967307
下面的开源云安全工具并不是完整的列表,但这是很好的起点,特别是当你想了解GitHub最受欢迎的开源云安全工具的话。下面让我们看看这些安全工具,以了解其可视性、主动测试和事件响应。
AWS、微软和谷歌等云供应商提供都本机安全工具套件,虽然这些工具很有用,但并不能满足所有人的需求。
随着云计算技术的发展,IT团队通常会发现他们难以在云计算平台安全地开发和管理工作负载。最终,用户需要承担这部分责任,这正是开源云安全工具派上用场的地方。
主流开源云安全工具通常是由拥有大型IT团队的公司开发,例如Netflix、Capital One和Lyft公司,他们的IT团队拥有丰富的云计算经验。这些团队开发开源云安全工具来解决特定需求—现有工具和服务无法解决的需求,然后他们会开源化软件以使其他企业受益。
下面的开源云安全工具并不是完整的列表,但这是很好的起点,特别是当你想了解GitHub最受欢迎的开源云安全工具的话。其中很多工具可跨越各种云环境,而其他工具则专门设计用于与AWS,AWS仍然是使用最广泛的公共云。下面让我们看看这些安全工具,以了解其可视性、主动测试和事件响应。
1. Cloud Custodian
Cloud Custodian是无状态规则引擎,用于管理AWS、Microsoft Azure和Google Cloud Platform(GCP)环境。它通过统一的报告和指标将组企业使用的很多合规性脚本整合到一个工具中。借助Cloud Custodian,你可以设置规则,以根据安全性和合规性标准以及成本优化准则检查环境。
Cloud Custodian策略以YAML编写,其中会表明需要检查的资源类型和集合,以及对这些资源采取何种操作。例如,你可以设置一个策略,在所有Amazon S3存储桶上启用存储桶加密。你还可以将Cloud Custodian连接到本机云服务和无服务器运行时,以自动解析策略。
Cloud Custodian最初是由Capital One的软件工程师Kapil Thangavelu开发并开源化。
2. Cartography
Cartography可创建基础设施图。该自动绘图工具直观地说明云基础架构资产如何连接。这样可以提高整个团队的安全可见性。使用此工具可以生成资产报告、突出显示潜在的攻击路径,并确定需要改进安全性的领域。
Cartography由Lyft的工程师用Python开发,并在Neo4j数据库上运行。它支持AWS、Google Cloud Platform和G Suite上的多种服务。
3. Diffy
Diffy是用于数字取证和事件响应(DFIR)的分类工具。当你的环境受到攻击或破坏时,DFIR团队需要负责检查全部资源,以获取攻击者留下的任何东西,这可能是繁琐的手动过程。而Diffy提供差异引擎,该引擎可突出显示实例、VM和其他资源行为中的异常值。Diffy会告诉DFIR团队哪些资源行为异常,以帮助确定从哪里对付攻击者。
Diffy尚处于开发早期阶段,主要用于AWS上的Linux实例,但其插件结构可以支持多个云计算。Diffy用Python编写,由Netflix的安全情报和响应团队创建。
4. Gitleaks
Gitleaks是静态应用程序安全测试工具,可扫描你的Git存储库中的机密信息、API密钥和令牌。随着IT安全通过DevSecOps左移,开发人员需要在开发规划中更早地测试代码。Gitleaks可以扫描专有和企业范围内的Git存储库,以查找已提交和未提交的机密信息,并包括JSON和CSV报告。
Gitleaks用Go编写,由GitLab的软件工程师Zachary Rice维护。
5. Git-secrets
Git-secrets是一种开发安全工具,可防止你在Git存储库中包含机密和其他敏感信息。它会扫描提交代码和提交说明,当与你预先配置的禁止表达式模式匹配,它会阻止提交。
Git-secrets旨在AWS中使用,它是由AWS Labs创建的,他们将继续维护该项目。
6. OSSEC
OSSEC是一个安全平台,它结合了基于主机的入侵检测、日志监视以及安全信息和事件管理。最初是为本地安全而开发,你也可以在基于云的VM使用它。
该平台的优势之一是其多功能性。它适用于AWS、Azure和GCP环境。它还支持多种操作系统,例如Linux、Windows、Mac OS X和Solaris。OSSEC提供集中式管理服务器来监视跨平台的策略以及代理和无代理监控。
OSSEC的关键功能包括:
OSSEC由OSSEC基金会维护。
7. PacBot
PacBot,也称为Policy as Code Bot,它是合规性监视平台。你可将合规性策略部署为代码,PacBot会根据这些策略检查你的资源和资产。你可以使用PacBot自动创建合规性报告,并使用预定义的修复程序解决合规性违规问题。
你可使用Asset Group功能在PacBot UI仪表板内整理资源—基于某些标准。例如,你可以按状态(例如,挂起、运行或关闭)对所有Amazon EC2实例分组,然后整体查看。你还可以将监视操作的范围限制为资产组,以实现更有针对性的合规性。
PacBot由T-Mobile创建,他们将继续维护,可与AWS和Azure一起使用。
8. Pacu
Pacu是用于AWS环境的渗透测试工具集。它为红色团队提供了一系列攻击模块,旨在破坏EC2实例、测试S3存储桶配置、破坏监视功能等。该工具包当前具有36个插件模块,并包括用于文档编制和测试时间表的内置攻击审核。
Pacu用Python编写,由渗透测试提供商Rhino Security Labs维护。
9. Prowler
Prowler是一个AWS命令行工具,可根据AWS Center for Internet Security基准以及GDPR和HIPAA评估你的基础架构。你可以检查整个基础架构,也可以指定要查看的AWS配置文件或区域。Prowler可以同时运行多个审查,并以CSV、JSON和HTML等标准格式生成报告。它还可与AWS Security Hub集成。
Prowler由AWS安全顾问Toni de la Fuente创建,并由他维护该项目。
10. Security Monkey
Security Monkey是一个监视工具,可监视AWS、GCP和OpenStack环境中的策略更改和易受攻击的配置。例如,在AWS中,Security Monkey在添加或删除S3存储桶或安全组时会向你发出警报,并跟踪你的AWS Identity and Access Management密钥以及很多其他监视任务。
Security Monkey是由Netflix开发,尽管他们对该工具的支持现在仅限于较小的错误修复。商业替代品包括AWS Config和Google Cloud Asset Inventory。
加入NISP、CISP课程学习网络安全行业
报考联系人nisp证书管理中心丹丹老师
微信号:nisptest/13520967307