企业想提升安全能力？不妨试试这种方法

工信部网络安全管理局近日发布了2018年第一季度网络安全威胁态势分析，共监测网络安全威胁约4541万个。其中，软硬件漏洞、黑客攻击、病毒木马等仍是主要问题。

从这个数字不难看出，企业面临的网络安全威胁一直在有增无减，在勒索病毒、DDoS攻击、APT攻击等新老安全事件的压力下，企业自身安全能力的提升刻不容缓。只有具备了一支能打硬仗的队伍，在面临五花八门安全威胁的时候，企业才可以做到从容不迫。

企业如何提升自身的安全能力？管理、技能、意识缺一不可。管理可以靠制度，意识可以靠教育，而技能的快速提高则是一个科学规划发展的过程。

安全能力的提高无捷径，但可以找准最有效的方法，事倍功半。事实上，国内越来越多的企业开始用比赛这一方式来磨炼自身的安全能力。

DEF CON中一场实战化的人机混合竞赛

先来看一场别具一格的赛事。5月11日，全球网络安全领域顶级的安全会议DEF CON首次进入中国，举办BETA版 DEF CON CHINA。在大会上，延续了DEF CON大会的传统，进行了一场CTF竞赛——BCTF国际网络安全技术对抗赛。作为比赛的承办方，永信至诚在比赛中将AI程序漏洞攻防挑战赛、靶场渗透及CTF攻防对抗赛三项赛事融为一体，使比赛极具创新性、挑战性和观赏性。

比赛选手不仅有国内外排名领先的十二支实力战队，还包含了四支国内实力顶尖的AI机器人战队，这些战队通过统一的战队接口接入两个赛场同时进行角逐。在AI程序漏洞攻防挑战赛中，十二支人类战队需进入RHG平台中同来自科研院所的四支AI机器人战队展开激战。而在靶场渗透及CTF攻防对抗赛中，所有战队必须先进入靶场渗透环节中寻找进入AWD攻防赛的入口，率先找到突破点的战队，才能获得提前开启AWD攻防赛的资格。多种竞赛模式的融合，对参赛选手的实战水平和应变能力有着极高的要求，也大大增强了比赛的体验性和趣味性。

永信至诚教研中心总监幻泉表示，比赛中，机器人战队在算力上体现出了人类无法比拟的优势，在AI程序漏洞攻防挑战赛中仅用几分钟就解出4道题。但随着比赛的深入，人类的思考和应变能力还是碾压机器人战队，最终机器人队伍获得了第四的成绩，前三名都由人类站队斩获。

DEF CON创始人Jeff Moss在看过比赛后，表示非常意外，他本以为人工智能会不堪一击，但实际表现出乎意料。Jeff Moss对比赛模式也评价极高，认为这是一场非常有趣、好看的比赛。

幻泉介绍，赛场中的靶场渗透部分基于企业的真实运行环境搭建。事实证明，这种“靶场赛+AWD攻防赛”的混合模式赛制取得了很好的效果，这是永信至诚竞赛理念不断创新的深入实践，日趋成熟，并应用于越来越多高水准的比赛中，推动网络安全竞赛向着实战化、实用化方向发展。 

网络安全赛事运动推动社会安全水平提升

网络安全具有很强的实践性，无论是日常的运维，应急的演练，实际的攻防，都不能脱离实际，纸上谈兵，能够应对真实环境下的安全威胁是企业所真正需要的。

永信至诚赛事运营中心负责人傲客认为，现阶段，竞赛作为一种行之有效的培训手段，可以帮助企业查不足、补短板，激发安全队伍的学习热情，增强培训的针对性、实效性。不仅可以检验、提升企业的综合安全能力，也能淬炼出一支能打硬仗、战之必胜的安全队伍，对于企业整体安全能力的提升有着积极的推动作用。 

傲客将竞赛平台对企业的作用分为三个阶段：首先，最常见的CTF夺旗赛类比赛，和一些辅助类的培训，可以帮助企业的技术团队熟悉常见的安全场景下的知识点和技能点。第二阶段， AWD攻防平台上的攻守兼备的模式，更注重人和人的对抗，开始进入到实战环境的对抗。第三阶段，高度模拟企业内网环境或应用场景的靶场渗透赛，通过搭建仿真模拟真实的网络场景，演练业务实际中可能遇到的各种安全威胁的应对策略。在此基础上，还可以通过比赛接入企业实际运行场景，进行可控的众测，找出潜在的安全漏洞，可谓一举多得。

随着整体安全形势的不断深入，企业已经认识到网络安全竞赛所带来的积极作用。近年来地区、行业性的网络安全技能大赛场次越来越多，参赛队伍也越来越广，大型央企、行业组织也经常性地举办内部竞赛，以检验实战水平、提高综合能力。基于真实场景的竞赛平台找准了企业的痛点，解决了企业对网络安全真实演练、人才培养的要求，越来越被企业所认可。

据傲客介绍，在今年的4.29首都网络安全日上，永信至诚所承办的赛事就模拟了某关键信息基础设施的真实场景。当前严峻的网络安全形势，对构建关键信息基础设施安全保障体系提出了极大的挑战，全面提升中央企业整体网络安全能力水平势在必行，通过基于真实场景的竞赛平台找出短板和不足，已成为一条立竿见影的道路。

对未来竞赛模式，永信至诚也在通过机器人AI程序漏洞攻防挑战赛等创新赛事不断探索。傲客表示，通过机器人竞赛这个前沿的技术平台，可以和国内外顶尖的AI网络安全科研团队展开交流，共同探讨未来人工智能在网络安全中的应用，提前做好技术储备。

今年，随着中兴事件的爆发，关键信息系统国产化的呼声越来越高，永信至诚还在倪光南院士的指导下，支撑了首届“自主可控安全共测大赛”。 以竞赛促进安全测试，以测试倒逼安全改进，将成为自主可控产业的一个常态，为国产企业掌握核心技术提供平台。

傲客表示，网络安全竞赛在永信至诚看来更像是一项社会性运动。一个赛事的发展势必带来上下游产业链的成长以及人才的提升，丰富多样的网络安全赛事对国家网络安全水平的提升和整个网络安全产业的发展都有很大帮助，在过去三年多时间里，永信至诚i春秋、e春秋平台上各行各业超过十万人次的比赛中可见一斑。社会性的运动需要更多社会力量的推动，希望业内的先行者们可以一起将赛事运动的市场培育的更健康，每一步走的更扎实，促进各行各业乃至国家整体网络安全能力的进步。