NISP官网|国家信息安全水平考试NISP一级安全运营全国独家运营中心|NISP二级全国运营中心!
国家信息安全水平考试NISP官网
2021第二届全国⼤学⽣⽹络安全精英赛赛事介绍
2021第二届全国⼤学⽣⽹络安全精英赛,指导单位为中国信息安全测评中⼼,主办⽅为国家⽹络空间安全⼈才培养基地。⼤赛以普及知识、挖掘⼈才为⼰任,⾯向全国⼤学⽣普及信息安全意识、传播信息安全知识、挖掘信息安全⼈才。
本次比赛分为3个阶段,参赛学员均已个人赛形式参加比赛。第一阶段为全国线上初赛,主要考察学生的信息安全知识水平;第二阶段为全国线上复赛,主要考察学生网络安全基础知识和基本技能;第三阶段为全国线下总决赛;具体如下:
1.1.全国初赛
初赛主要考察学生信息安全知识水平,资格赛为线上答题形式。
☑ 比赛时间:7月1日-9月10日报名,9月13日-17日全国初赛
☑ 参赛资格:全国各类高、中等院校在校学生
☑ 比赛形式:初赛由各个参赛院校组织学生至大赛官网自主报名,由当地承办机构组织安排初赛时间。
☑ 比赛题型:初赛为50道单选题。
☑ 比赛内容:内容包含:信息安全概述、信息安全法律法规、信息安全基础技术、网络安全防护技术、操作系统安全防护技术、应用安全、移动智能终端安全防护、信息安全管理。
☑ 通过条件:满分100分,竞赛成绩达到70分及以上。
1.2.全国复赛
全国复赛主要考察参赛选手网络安全基础知识和基本技能。
☑ 比赛时间:9月24日全国复赛
☑ 比赛形式:复赛为线上答题形式进行,参赛条件为初赛成绩达70分以上。
☑ 比赛题型:复赛为100道单选题,
☑ 比赛内容:信息安全支撑技术、物理与网络通信安全、计算机环境安全、软件安全开发。
☑ 通过条件:全国前100名通过参加线下总决赛
1.3.全国总决赛
全国总决赛为线下知识竞赛形式。
☑ 比赛时间:10月11日全国线下总决赛
☑ 比赛形式:决赛为线下知识答题赛,参赛条件为复赛全国成绩前100名。
☑ 比赛题型:总决赛为100道单选题,
☑ 比赛内容:信息安全支撑技术、物理与网络通信安全、计算机环境安全、软件安全开发等。
☑ 获奖条件:根据总决赛最终成绩排名,产生大学生网络安全竞赛金奖:10人;银奖:10人;铜奖:20人。
1.4.奖项设置
2021年第二届大学生网络安全竞赛共设奖金20万元。
金奖:10人,奖金10000元/人
银奖:10人,奖金5000元/人
铜奖:20人,奖金2500元/人
获得⼤赛⾦银铜牌的选⼿,可获得⼤赛协办单位腾讯安全、卓朗科技、 深信服等信息安全知名企业签约⼯作机会。
4. 大赛同期其他活动
本次大赛同期将进行一系列与相关的活动,主要活动如下:
1.1大学生网络安全知识精英赛校园大使招募
第二届全国大学生网络安全精英赛即将于2021年7月1日启动报名,9月网络安全周期间开赛。现在面向全国在校大学生招募校园大使。招募规则如下:
1.1.1.招募标准
具备⼀定的信息安全基础知识,擅长通过talkshow⼩段子、音乐创作、创意剪辑等各种才艺、方法传播信息安全知识、宣传网络安全精英赛的在校大学生。
1.1.2.招募平台
抖音APP
1.1.3.报名方式
1、开通抖音账号,并关注抖音官方号“网安精英赛”。
2、活动时间:2021年7月1日-2021年9月30日,10月11日公布获奖名单
3、拍摄与网络安全相关的短视频添加话题#网络安全精英赛#在抖音发布,并@网安精英赛 官方账号。
4、发动同学为自己的短视频点赞。
1.1.4.评选
大赛组委会邀请评委会评选作品,筛选出符合招募要求的作品,并按照点赞数排序,最终前十名入选的创作者将成为本届大学生网络安全精英赛校园大使。
1.1.5.公布
最终入选名单将在精英赛官网(https://www.nisp.org.cn/ds)公布。
1.1.6.表彰
成功当选校园大使的创作者,精英赛组委会将颁发聘书,并奖励华为 Mate 40E 手机一台(京东官方价4199元)。
1.2大学生网络安全知识精英赛答题接龙活动
校园大使招募活动同时,大赛组委会举办“网络安全精英赛·答题接龙”活动。
活动时间:2021年7月1日-2021年9月30日,10月11日公布获奖名单
参与在校大学生可登陆精英赛官网(https://www.nisp.org.cn/ds)学习网络安全辅导课程,并练习模拟题。
在抖音APP上传短视频,内容为回答一道网络安全模拟题,指定同学接龙。并以“大学生网络安全精英赛,你也来答题吧~”结尾。@网安精英赛 官方账号,参与抽奖。
奖品为华为WATCH GT 2 Pro 智能手表,共十个获奖名额(京东官网价2388元)。
HW红队难做?别怕!现在的每一步,未来都算数!
作者:NISP官网
来源:国家信息安全水平考试NISP官网
8月22日,国家网络空间安全人才培养基地(简称“国家基地”)运营单位网安世纪联合央企发布HW红队紧急招募令,文章发布后迅速引起广泛关注,浏览量近千,报名反响热烈。众多持有NISP二级、cisp、CISP-PTE证书,以及参与过线上渗透测试就业班和线下央企实训班的学员积极申请(详情)。
为精准筛选具备实战能力的学员,我们于8月23日紧急增设上午、下午、晚间三场线上能力测评,力争为每一位报名者提供展现技术实力的机会。经过严格筛选,通过评估的学员已于8月24日陆续抵达位于唐山的央企实训基地,投入到为期一周的高强度HW红队实战任务中。
同学们按照红队的标准工作全流程,在实战中学习、深刻体验。在网安世纪和央企精英老师的带领下,主要安排如下。
周一、周二:老师带队,学员分组,做资产(信息)收集。
周三:老师讲解收集方法。
周四、周五:开始对指定资产进行漏洞排查。老师一对一指导,学员分组实施。从服务器到注入点漏洞,上周已有学员独立发现漏洞,收获满满。
周六、周日:渗透深入、权限维持与报告撰写。经过前几日的信息收集、漏洞排查和初步利用,周末的工作将更加深入和系统,主要聚焦于深度渗透、成果巩固和最终报告。
项目结束后,国家基地将为积极参与此次HW的学员颁发项目证书,为学员未来求职增添砝码!
资产收集为什么重要?
在实战中,有的同学出现畏难情绪,通过资产收集难以发现漏洞,无法开展后续工作,担心此次HW没有收获。可实际恰恰相反,也许这正是你最大的收获!
资产收集是红队工作的第一步,也被誉为红队工作中最重要的一步。之所以如此,是因为它直接决定了整个攻击行动的成败上限! 如果把一次红队行动比作一次军事攻击:漏洞利用、横向移动就是 “炮弹”和“战术”,而资产收集则是 “绘制敌方地图和情报网络”。没有精准、详尽的地图,再强的兵力和武器也可能打错方向,徒劳无功!
老师带着同学们,边实战、边讲解这项工作的技巧和思路。
1. 攻击面的基石:无资产,无攻击
红队攻击的前提是找到“门”在哪里。一个单位的所有互联网资产(网站、API、服务器、APP、第三方服务、云平台等)就是这些“门”。
如果找不到门:即使你拥有世界上最厉害的漏洞利用技术(如0day),你也无处施展。你的所有后续技术(渗透、提权、横向移动)都失去了目标和起点。
暴露的资产就是暴露的风险:很多企业可能并不知道自己有多少资产暴露在公网上,一个被遗忘的测试服务器、一个未及时下线的子公司网站、一个配置错误的云存储桶,都可能成为红队一击致命的突破口。
资产收集的广度与深度,直接定义了整个攻击活动可能性的边界。
2. 决定攻击路径的效率与隐蔽性
直接攻击核心业务系统(如官网主站)通常防守最严密,红队的精髓在于 “迂回攻击”。
寻找薄弱环节:通过全面的资产收集,红队的目标是发现那些不受关注、疏于管理的资产。例如:为某个促销活动临时搭建的微网站、分公司或子部门的门户、合作伙伴的接入系统、员工的个人博客或技术文档中无意泄露的内部信息。
“破其一点,全线溃败”:从这些防守薄弱点切入,获取一个初始立足点,再逐步向内网核心区域渗透。这种路径远比正面硬刚高效和隐蔽。而所有这些路径的发现,都依赖于初期的资产收集。
3. 节省资源,精准打击
正如此次项目,红队行动通常有时间限制,漫无目的地扫描整个互联网IP段是低效且容易被发现的。
精准定位:通过高效的资产收集(例如根据企业名称、备案号、证书信息、源代码特征等进行关联),可以快速绘制出属于目标企业的精准数字资产地图。
目标优先级排序:收集到的资产可以进一步分析,快速筛选出可能使用老旧框架、存在已知漏洞组件的系统,优先进行测试,从而大大提高发现漏洞的成功率,将宝贵的时间用在“刀刃”上。
4. 信息收集本身就能发现漏洞
高级的资产收集不仅仅是找到域名和IP,它还包括:
目录扫描:发现备份文件、管理员页面、未引用的目录。
GitHub监控:发现员工误上传的源代码、API密钥、数据库密码、配置文件。
子域名枚举:发现大量的测试、开发、临时环境。
证书透明日志查询:发现甚至企业自身都还未意识到的newly issued域名。
这些活动本身就是在挖掘漏洞。 很多时候,红队可能在资产收集阶段就直接找到了可直接利用的敏感信息泄露(如数据库密码),无需进行复杂的漏洞利用就直接“通关”了。
可以说,资产收集的深度,决定了红队攻击的深度;资产收集的广度,决定了红队攻击的广度。 它是整个红队工作的战略基础,是所有战术执行的先决条件。
在宝贵的实战中学到的这些经验,比任何书本来得都深刻,难道,不是你的收获吗?
实在没思路怎么办? 此次行动就是真实的工作环境,目标防护严密,考验智慧,需要脑洞大开。如果实在没思路怎么办? 为了帮助同学们针对性地查漏补缺,确保体验红队全流程,此次向实训学员特别开放网安世纪与央企联合研发的护网攻防实战平台(HGP平台),依托真实网络环境打造,可以在合法合规的框架下,深度体验从外网渗透到内网渗透完整流程,启发思路,积攒经历。 大门已经敞开,战场再无边界,同学们,带着这份宝贵的经验,勇往直前吧
HW红队难做?别怕!现在的每一步,未来都算数!
作者:NISP官网
浏览:
发表时间:2025-08-26 13:44:56
来源:国家信息安全水平考试NISP官网
8月22日,国家网络空间安全人才培养基地(简称“国家基地”)运营单位网安世纪联合央企发布HW红队紧急招募令,文章发布后迅速引起广泛关注,浏览量近千,报名反响热烈。众多持有NISP二级、cisp、CISP-PTE证书,以及参与过线上渗透测试就业班和线下央企实训班的学员积极申请(详情)。
为精准筛选具备实战能力的学员,我们于8月23日紧急增设上午、下午、晚间三场线上能力测评,力争为每一位报名者提供展现技术实力的机会。经过严格筛选,通过评估的学员已于8月24日陆续抵达位于唐山的央企实训基地,投入到为期一周的高强度HW红队实战任务中。
同学们按照红队的标准工作全流程,在实战中学习、深刻体验。在网安世纪和央企精英老师的带领下,主要安排如下。
周一、周二:老师带队,学员分组,做资产(信息)收集。
周三:老师讲解收集方法。
周四、周五:开始对指定资产进行漏洞排查。老师一对一指导,学员分组实施。从服务器到注入点漏洞,上周已有学员独立发现漏洞,收获满满。
周六、周日:渗透深入、权限维持与报告撰写。经过前几日的信息收集、漏洞排查和初步利用,周末的工作将更加深入和系统,主要聚焦于深度渗透、成果巩固和最终报告。
项目结束后,国家基地将为积极参与此次HW的学员颁发项目证书,为学员未来求职增添砝码!
资产收集为什么重要?
在实战中,有的同学出现畏难情绪,通过资产收集难以发现漏洞,无法开展后续工作,担心此次HW没有收获。可实际恰恰相反,也许这正是你最大的收获!
资产收集是红队工作的第一步,也被誉为红队工作中最重要的一步。之所以如此,是因为它直接决定了整个攻击行动的成败上限! 如果把一次红队行动比作一次军事攻击:漏洞利用、横向移动就是 “炮弹”和“战术”,而资产收集则是 “绘制敌方地图和情报网络”。没有精准、详尽的地图,再强的兵力和武器也可能打错方向,徒劳无功!
老师带着同学们,边实战、边讲解这项工作的技巧和思路。
1. 攻击面的基石:无资产,无攻击
红队攻击的前提是找到“门”在哪里。一个单位的所有互联网资产(网站、API、服务器、APP、第三方服务、云平台等)就是这些“门”。
如果找不到门:即使你拥有世界上最厉害的漏洞利用技术(如0day),你也无处施展。你的所有后续技术(渗透、提权、横向移动)都失去了目标和起点。
暴露的资产就是暴露的风险:很多企业可能并不知道自己有多少资产暴露在公网上,一个被遗忘的测试服务器、一个未及时下线的子公司网站、一个配置错误的云存储桶,都可能成为红队一击致命的突破口。
资产收集的广度与深度,直接定义了整个攻击活动可能性的边界。
2. 决定攻击路径的效率与隐蔽性
直接攻击核心业务系统(如官网主站)通常防守最严密,红队的精髓在于 “迂回攻击”。
寻找薄弱环节:通过全面的资产收集,红队的目标是发现那些不受关注、疏于管理的资产。例如:为某个促销活动临时搭建的微网站、分公司或子部门的门户、合作伙伴的接入系统、员工的个人博客或技术文档中无意泄露的内部信息。
“破其一点,全线溃败”:从这些防守薄弱点切入,获取一个初始立足点,再逐步向内网核心区域渗透。这种路径远比正面硬刚高效和隐蔽。而所有这些路径的发现,都依赖于初期的资产收集。
3. 节省资源,精准打击
正如此次项目,红队行动通常有时间限制,漫无目的地扫描整个互联网IP段是低效且容易被发现的。
精准定位:通过高效的资产收集(例如根据企业名称、备案号、证书信息、源代码特征等进行关联),可以快速绘制出属于目标企业的精准数字资产地图。
目标优先级排序:收集到的资产可以进一步分析,快速筛选出可能使用老旧框架、存在已知漏洞组件的系统,优先进行测试,从而大大提高发现漏洞的成功率,将宝贵的时间用在“刀刃”上。
4. 信息收集本身就能发现漏洞
高级的资产收集不仅仅是找到域名和IP,它还包括:
目录扫描:发现备份文件、管理员页面、未引用的目录。
GitHub监控:发现员工误上传的源代码、API密钥、数据库密码、配置文件。
子域名枚举:发现大量的测试、开发、临时环境。
证书透明日志查询:发现甚至企业自身都还未意识到的newly issued域名。
这些活动本身就是在挖掘漏洞。 很多时候,红队可能在资产收集阶段就直接找到了可直接利用的敏感信息泄露(如数据库密码),无需进行复杂的漏洞利用就直接“通关”了。
可以说,资产收集的深度,决定了红队攻击的深度;资产收集的广度,决定了红队攻击的广度。 它是整个红队工作的战略基础,是所有战术执行的先决条件。
在宝贵的实战中学到的这些经验,比任何书本来得都深刻,难道,不是你的收获吗?
实在没思路怎么办? 此次行动就是真实的工作环境,目标防护严密,考验智慧,需要脑洞大开。如果实在没思路怎么办? 为了帮助同学们针对性地查漏补缺,确保体验红队全流程,此次向实训学员特别开放网安世纪与央企联合研发的护网攻防实战平台(HGP平台),依托真实网络环境打造,可以在合法合规的框架下,深度体验从外网渗透到内网渗透完整流程,启发思路,积攒经历。 大门已经敞开,战场再无边界,同学们,带着这份宝贵的经验,勇往直前吧
点击右上角
分享给朋友吧
长按图片保存/分享
0
文章推荐
