日月光华，旦复旦兮——对网络空间安全竞赛的思考

“日月光华，旦复旦兮”——《尚书大传·虞夏传》，意在自强不息，是复旦大学“复旦”二字的出处。

中国网络安全技能竞赛，今天在复旦大学举办。在选手比赛的间隙，我在这百年名校的校园中走了走，误打误撞走进了复旦的校史馆。看着复旦百年历程，勾起了我对网络空间安全竞赛的思考。

其实这事儿我很早就想bai huo bai huo（郑州话，如果不懂的，请找周边郑州人问，如果问我，请打赏，哈哈～～～）但是一直没有形成很系统思路。

说起在办网络空间安全比赛这方面，2015年对于我可以算是一个分水岭。

2015年之前，与神州数码一起办ISCC，那时候我是学徒，跟着各位老师学经验；2015年后开始主导办比赛，先是夏令营的内部CTF，之后就是办XCTF的河南赛区比赛ZCTF。掐指算来，不谦虚的说，我也应该是中国较早涉足网络空间安全竞赛的人。

随着国家对网络空间安全的重视，现在全国各种网络信息安全比赛是越来越多，规格是越来越高。而我是比赛越办越迷茫。

我一直在问自己——比赛目标是什么？受益者是谁？赛后的效果如何？

比赛目标是什么？

我留心了一下目前的各项网络空间安全赛事，比赛的总体目标都是“发现人才、培养人才、输送人才”，然后各个比赛有各自的具体目标。

受益者是谁？

这个问题吗，这得分几个方面去讲，也许我概括的不全面，欢迎补充。

首先，最直接的受益者，必然是参赛选手，以前几年的XCTF为例，比赛吃喝住行全免费，赢了比赛有上万的奖金拿，还能获得高薪岗位。

其次，就是举办比赛的各个参与方，基本上是有且只有广告效益，从比赛本身是没什么经济效益可谈的，纯赔钱。当然也有我这样，讲的是情怀，想着等我老了，给孙子说，咱们这网络空间安全啊，是你爷爷当年干起来的。

再次，就是赞助企业，可以得到选手的资料，第一时间有目标的派HR出动。毕竟人才也是极强的生产力。

赛后的效果如何？

总体上说，通过比赛的造势宣传，切实的推动了网络空间安事业的发展。通过比赛，成功的引起了社会、高校的关注和认同；成功的将网络空间安全专业列为一级学科，各高校纷纷开设课程培养“科班”网络空间安全人才；成功的让父母们也认为网络安全是将来就业的好专业，从3岁就开始教孩子编程（我就是其中之一不过我的动机不一样，我认为这是“祖传手艺”），随着比赛的规格越来越高，国家的收益也越来越大，通过比赛发现了不少人才。

但是在表面上看似狂欢的各种赛事，最终的效果如何呢？

（划重点）以下观点仅仅代表我个人，如有异议，欢迎探讨！

通过几年办赛经验，与用人单位沟通，比赛是存在副作用的。

第一，目前的比赛存在“求新、求炫、求难度”的趋势，这就造成了参与线上预选赛零门槛，绝大多数选手“线上一轮游”。想进一步参赛面临很高的门槛，得奖的更是凤毛麟角。“赛棍”应运而生，决赛圈总是那些人，得奖金的也是那些人，比赛渐渐失去了奖励优秀，鼓励新人的初衷。

第二，比赛与现实脱钩。很多用人单位与我聊天时反应，通过比赛发现了中意的人才，想办法、谈条件，录用到了公司。入职之后发现打CTF成绩好的选手在实际工作中水土不服。毕竟现实工作需要渗透、拖库的项目少之又少，这些CTF选手有力用不上。渐渐的，高薪请来的人，不是被BAT3以更高的薪水挖走，就是自己感觉不开心而辞职。同时，比赛也变相的推高了薪资，一个优秀的CTF选手，工资还真不是一般企业能承受的了的。所以说对于我们这些非一线城市的地区来说，想留这些人高端人才，难！

第三，网络安全只有攻击吗？通过比赛，给社会一种错觉——谈起从事网络安全工作，对方就会直接问“你能黑掉Wi-Fi吗？你能把网站黑了吗？”因为CTF，就是夺旗赛缩写，以“夺”为核心，夺即攻击。而且，比赛可视化中，大多攻击得分展示的华丽夺目，而防守加固的得分可视化做得不那么显眼。这就弄的人们更关心攻击技术，而冷落防守。在现实工作中，根据网络安全法与等级保护要求，防守加固才是网络运维工作的核心，攻击往往是恰恰是被禁止的。即使有单位让去对其网络安全进行测试，也是让你发现漏洞，提供漏洞修补方案，而不是让你干掉系统、拖走数据库来证明漏洞的存在。

我所理想的比赛

综上，我个人感觉，目前的网络安全比赛更像是一种嘉年华，华丽，耀眼，但是不是我想象中实用的比赛。

之前在中央网信办讨论网络安全人才培养时，我讲过，我们要培养网络安全实用型人才，是企业能用的，从事网络安全运维工作的人，而不是去搞网络空间安全科研的人才。那样的人才还是放着让教育部门去培养吧，毕竟人家擅长并且也是本职。

今年我们协会与中国网络安全技能竞赛组委会共同举办的中国网络安全技能竞赛河南赛区比赛，我个人认为是比较接地气的比赛。没有过多的去强调CTF，反而加强了对运维人员知识体系的考核，应知应会的东西多，这个比赛给了我很多启发。

我所理想中的比赛，以实际工作内容为核心，重点考核选手对国家法律法规和网络运维标准的掌握。通过技术手段，让选手实操，在最接近工作的环境中，测试选手对网络运维、应急响应的能力，通过比赛提升单位运维人员能力，让学校培养出的毕业生到工作岗位就能工作或者大大缩短见习期。嗯～讲真，我目前没有看到这样一个让我满意的平台，如果各位有这样的平台，可以与我联系，我们探讨一下。

拨云见日 by 我