本发明涉及信息网络安全领域,尤其涉及一种泛CTF网络安全人才养系统以及基于此系统的出题方法和做题方法。
背景技术:
网络空间已经逐步发展成为继陆、海、空、天之后的第五大战略空间,网络空间安全人才培养和选拔体系已成为人们关注的焦点。安全人才缺乏已经是一个国际性问题,而信息安全大赛是培养安全人才的重要手段。当前,CTF(Capture The Flag,夺旗赛)已成为主流的网安竞赛模式,对培养网络安全技术人才起到了重要作用。CTF的大致流程是,参赛团队之间通过进行攻防对抗、程序分析等形式,率先从主办方给出的比赛环境中得到一串具有一定格式的字符串或其他内容,并将其提交给主办方,从而夺得分数。为方便起见,本文把这样的内容称之为“Flag”。网安人才除了需要拥有良好的理论基础,更重要的是需要具有良好的动手实践和解决实际安全问题的技能,参加 CTF是非常好的安全技术能力训练方式。
近年来,CTF比赛在国内开展得如火如荼,对网安人才的培养和选拔,无疑具有积极的推动作用,为安全行业哺育了很多力量。但是,目前的CTF竞赛存在以下几个方面的不足:
1、重技巧、轻实战。CTF竞赛不强调实操体验感,因而在技巧方面要求极高。题目的解题技巧性强,往往“为了出题而出题”,常常需要采用脑筋急转弯,并依靠参赛经验来猜测考点的解题方式,题目考点脱离现实场景和业务需求,实战性不强。
2、起点高、阶梯小。CTF比赛赛题知识点往往高度集中,一道题目解答过程需要综合运用多个知识点,仅适合有经验的网安人员参赛训练,不适合网安初学者。
3、周期短、出题难。为了降低竞赛平台运营成本,CTF比赛环境仅短期内(比赛期间)可供使用,不能用于日常网安人才培养。同时为了增加赛题难度,往往需要将多个知识点掺杂到一个题目中,对出题人技术要求很高,因而出题成本高
4、重攻击、轻防御。主流CTF解题模式均是考核攻击能力,缺乏对网络安全防御的考核。CTF攻防模式仍是重点考核攻击能力,其防御脱离真实业务,缺乏实战性。考核防御能力的竞赛尚处于空白状态。
5、防御型题目难以部署。网络安全竞赛题目强调网络对抗,即一道题目往往需要设计攻击方和防御方。传统CTF竞赛模式为做题人使用自己的主机环境做题,并共享竞赛平台提供的攻击目标,这种竞赛模式适用于做题人作为攻击者的攻击型题目。然而对于防御型题目,题目无法直接部署在做题人自己的主机环境中,也就是说,竞赛需要为每个做题人单独分配虚拟做题环境,所以传统CTF竞赛模式难以部署防御型题目。
鉴于此,设计一个完整包含CTF优势,又可以满足多层次网安人员学习评测需求、降低对出题人员能力的需求、提高与实际需求切合度、延长在线服务提供周期等全方位优化的网安人才培养和评测体系,是目前市场上的迫切需求。
为此,本发明提出泛CTF的概念,泛CTF不同于传统的CTF网络安全竞赛,而是一种将传统CTF网络安全竞赛全面改良提升后的全新尝试,泛CTF既全面包含了传统CTF在网安人才培养方面的优势,又弥补了其起点高阶梯小、周期短出题难、重技巧轻实战、重攻击轻防御等不足。本发明提出基于泛CTF的概念设计一种集网安人才教学、培养、竞赛和认证四位一体的系统以及基于此系统的出题方法和做题方法,从而更有效的弥补我国网安人才缺口。
技术实现要素:
本发明针对现有技术中存在的问题,提供一种泛CTF网络安全人才培养系统以及基于此系统的出题方法和做题方法。本发明提供的泛 CTF网络安全人才培养系统以及基于此系统的出题方法和做题方法解决了传统CTF竞赛起点高、阶梯小、周期短、出题难、重技巧轻实战、重攻击轻防御等存在的问题;有利于做题人切实感受实际网安人员操作环境,有利于防御类型题目的部署和考核,有利于不同应用场景的切实部署;可以改善传统CTF竞赛的不足,可以将CTF应用场景扩展到教学、培养、竞赛和认证等多个场景,有效地培训了实践与技巧并重的攻防兼备型网安人才。
为实现上述目的,本发明提供的技术方案如下:
一种泛CTF网络安全人才培养系统,所述系统包括角色分配端以及系统平台端,所述角色分配端与所述系统平台端通信连接,所述系统平台端包括前端界面单元、接口管理单元、镜像管控单元、数据存储单元;其中,
所述前端界面单元为分配后权限后的系统平台使用人员提供可视化界面,所述前端界面单元包括答题模块、题目设计模块、平台管理模块,所述前端界面单元连接接口管理单元;
所述接口管理单元用于将所述前端界面单元的操作命令转换为执行逻辑传给所述镜像管控单元,并将所述镜像管控单元的执行结果传输给前端界面单元以供操作反馈,所述接口管理单元包括交互接口模块、设计接口模块、管理接口模块;所述接口管理单元分别连接所述前端界面单元和所述镜像管控单元;
所述镜像管控单元用于根据所述接口管理单元传输的执行命令对虚拟机和镜像进行管控操作,所述镜像管控单元包括镜像管理模块、题目分发模块、虚拟机管理模块、结果验证模块,所述镜像管控单元分别连接所述接口管理单元和所述数据存储单元;
所述数据存储单元用于对题目镜像、题目信息、验证脚本信息进行存储,所述数据存储单元连接所述镜像管控单元。
进一步地,所述角色分配端用于为系统使用人员分配角色权限,所述角色权限包括做题人员权限、设计师权限、管理员权限。
进一步地,所述答题模块为题目作答人员提供可视化界面,将题目列表、题目信息、题目虚拟机界面展示给做题人员,为做题人员进行题目查看、附件下载、虚拟机操作、答案提交、题目完成验证提供可视化界面。
进一步地,所述题目设计模块为题目设计师提供可视化操作界面,方便设计师进行题目信息上传、镜像管理、题目设计部署操作,所述题目设计模块包括本地设计者题目上传界面以及远程设计者题目上传界面。
进一步地,所述平台管理模块为管理员提供可视化界面,管理员在可视化界面上对做题人员、设计师进行管理。
进一步地,所述交互接口模块将题目列表、题目信息、题目虚拟机界面信息传输给所述前端界面单元的所述答题模块,供做题人员解答,并将做题人员的解题操作、答案验证操作传输给所述镜管控单元;所述设计接口模块主要为设计师设计题目时进行的镜像制作、题目信息录入、题目文件源码工具上传操作提供中间键服务;所述管理接口模块为管理者的题目审核、人员管理、虚拟机管控操作提供中间键服务。
进一步地,所述镜像管控单元在做题人员作答时将题目镜像生成对应的题目虚拟机环境,并进行题目虚拟机的分发、管理和答案验证;在设计师设计题目时支持设计师对虚拟机进行操作,并将部署后的虚拟机保存为题目镜像。
进一步地,所述题目镜像为设计好的题目打包的虚拟机镜像或 Docker镜像,所述题目信息为每道题目的题目说明、分值信息,所述验证脚本为针对无flag型题目进行完成度验证的程序脚本。
本发明提供一种基于上述泛CTF网络安全人才培养系统的题目出题方法,所述方法包括:
平台管理员分配虚拟机的步骤;
设计师填写题目信息、部署题目虚拟机、编写验证脚本,并提交至系统平台端的步骤;
平台管理人员对设计师提交的信息进行审核、评估,平台管理员判断题目设计合格,如果不合格,则返回重新执行平台管理员分配虚拟机的步骤,如果合格,执行下一步骤;
将题目相关信息存入数据库的步骤。
本发明提供一种基于上述泛CTF网络安全人才培养系统的题目做题方法,所述方法包括:
面向做题人选择题目的步骤;
通过题目镜像生成虚拟机交给做题人的步骤;
做题人答题,将结果和虚拟机提交系统的步骤;
运行验证脚本,对结果打分的步骤。
与现有技术相比,本发明提供的泛CTF网络安全人才培养系统以及基于此系统的出题方法和做题方法解决了传统CTF竞赛起点高、阶梯小、周期短、出题难、重技巧轻实战、重攻击轻防御等存在的问题;有利于做题人切实感受实际网安人员操作环境,有利于防御类型题目的部署和考核,有利于不同应用场景的切实部署;可以改善传统CTF 竞赛的不足,将CTF应用场景扩展到教学、培养、竞赛和认证等多个场景,有效地培训了实践与技巧并重的攻防兼备型网安人才。
附图说明
图1为本发明的泛CTF网络安全人才培养系统的结构示意图;
图2为本发明的泛CTF网络安全人才培养系统具体结构示意图;
图3为本发明的基于泛CTF网络安全人才培养系统的出题方法流程图;
图4为本发明的基于泛CTF网络安全人才培养系统的做题方法流程图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
如图1、2所示,为本发明泛CTF网络安全人才培养系统的一种实施例,该泛CTF网安人才培养系统,所述系统包括角色分配端10以及系统平台端20,所述角色分配端10与所述系统平台端20通信连接,通信可以为有线通信连接或者无线通信连接。所述系统平台端20包括前端界面单元21、接口管理单元22、镜像管控单元23、数据存储单元24;其中,
所述前端界面单元21为分配后权限后的系统平台使用人员提供可视化界面,所述前端界面单元21包括答题模块、题目设计模块、平台管理模块,所述前端界面单元21连接接口管理单元22,所述连接可以为有线通信连接或者无线通信连接。前端界面单元21,主要包含且不限于答题模块、题目设计模块、平台管理模块。答题模块为题目作答人员提供可视化界面,将题目列表、题目信息、题目虚拟机界面等展示给题目作答人员,为其进行题目查看、附件下载、虚拟机操作、答案提交、题目完成验证等诸多功能提供可视化界面。题目设计模块,为题目设计者提供可视化操作界面,方便设计者进行题目信息上传、镜像管理、题目设计部署等操作,不仅包含本地设计题目上传前端,还包含远程设计者进行题目设计部署的操作界面。平台管控模块,为管理者提供可视化界面,包括但不限于平台管理者对系统各个角色、设计题库、虚拟机资源等的综合管控前端界面。
所述接口管理单元22用于将所述前端界面单元21的操作命令转换为执行逻辑传给所述镜像管控单元23,并将所述镜像管控单元23 的执行结果传输给前端界面单元21以供操作反馈,所述接口管理单元 22包括交互接口模块、设计接口模块、管理接口模块;所述接口管理单元22分别连接所述前端界面单元21和所述镜像管控单元23,所述连接可以为有线通信连接或者无线通信连接。接口管理单元22,包含但不限于交互接口模块、设计接口模块、管理接口模块等。接口管理单元22是镜像管控单元23和上层前端界面单元21的中间键,负责将上层的操作命令转换为执行逻辑传给镜像管控单元23执行,并将执行结果等传输给前端界面单元21以供操作反馈。交互接口模块通过但不限于 HTTP、VNC、SSH等技术,将题目列表、题目信息、题目虚拟机界面等信息传输到前端界面,为多个角色提供前端的信息可视化,并将相关解题操作、答案验证操作等传给底层执行。设计接口模块主要为设计题目提供后台支持,包含设计题目时进行的镜像制作、题目信息录入、题目文件源码工具上传等提供中间键服务。管理接口模块为管理者的各项管控操作提供中间键支持,包括且不限于题目审核、人员管理、虚拟机管控等服务。
所述镜像管控单元23用于根据所述接口管理单元22传输的执行命令对虚拟机和镜像进行管控操作,所述镜像管控单元23包括镜像管理模块、题目分发模块、虚拟机管理模块、结果验证模块,所述镜像管控单元23分别连接所述接口管理单元22和所述数据存储单元24,所述连接可以为有线通信连接或者无线通信连接。镜像管控单元,包括但不限于镜像管理模块、题目分发模块、虚拟机管理模块、结果验证模块等功能模块。镜像管控单元23根据上层命令执行对虚拟机和镜像的管控操作。选手作答时镜像管控单元23将题目镜像生成对应的题目虚拟机环境,并进行题目虚拟机的分发、管理和答案验证。设计实验时镜像管控单元23支持设计者对虚拟机进行操作,并将部署后的虚拟机保存为题目镜像。
所述数据存储单元24用于对题目镜像、题目信息、验证脚本信息进行存储,所述数据存储单元连接所述镜像管控单元,所述连接可以为有线通信连接或者无线通信连接。数据存储单元24,包括但不限于对题目镜像、题目信息、验证脚本等进行存储。题目镜像是指设计好的题目打包的虚拟机镜像或Docker镜像等,题目信息是每道题目的题目说明、分值等信息,验证脚本是针对无Flag型题目进行完成度验证的程序脚本。
所述角色分配端10用于为系统使用人员分配角色权限,所述角色权限包括做题人员权限、设计师权限、管理员权限。角色权限主要包含但不限于做题人员、设计师、平台管理员等权限。设计师将题目设计思路通过平台进行题目设计和部署。做题人员通过平台进行题目作答、网安学习、网安评测等。平台管理员可对设计人员、做题人员、设计题目、虚拟机等进行管控,可根据具体应用场景(网安教学、培养、竞赛、评测等)进行平台各个模块和题目的综合调度和管理。下面对角色权限进行详细阐述:
1、做题人员
做题人员获取竞赛平台提供的题目镜像虚拟机,在虚拟机环境中进行题目作答,并将题目结果提交至系统平台,待系统平台验证答案后获得相应分数。相对于CTF比赛,该角色在本发明系统中不仅包括参加网安竞赛的人员,还包含且不限于自主进行网安学习的人员、进行校企网安评测的人员。本发明系统除了可以支持常规CTF竞赛,还可支持网安人员在日常中进行自主学习和训练,支持校企对相关人员的网安实战能力进行测评。
2、设计师
设计师对题目思路进行设计,并在平台分配的虚拟机上进行题目部署和验证脚本的编写,最后将部署好的题目虚拟机提交给系统平台。该角色不仅包括有经验的CTF选手、专业的题目设计师等,还包括一线的网安技术人员、网安专家等。本发明系统不仅支持本地设计部署,还支持远程题目设计部署。
3、平台管理人员
平台管理人员贯穿出题、做题流程。在出题流程中对设计师提交到系统的题目虚拟机进行审核评估,如果审核通过则将部署了题目的虚拟机以镜像文件的形式进行存储。在做题流程中,面向做题人选择适当难度等级的题目镜像,生成虚拟机交给做题人,做题人提交结果后通过验证脚本对答案进行验证。该角色除了包含对其他角色的分配和管理,还包含对设计题目的审核和管理,可根据平台应用场景(日常培训、竞赛、校企评测等)管理分配题目和虚拟机等设备资源。
参考图3,本发明提供一种基于上述泛CTF网络安全人才培养系统的题目出题方法,所述方法包括:
平台管理员分配虚拟机的步骤;
设计师填写题目信息、部署题目虚拟机、编写验证脚本,并提交至系统平台端的步骤;
平台管理人员对设计师提交的信息进行审核、评估,平台管理员判断题目设计合格,如果不合格,则返回重新执行平台管理员分配虚拟机的步骤,如果合格,执行下一步骤;
将题目相关信息存入数据库的步骤。
参考图4,本发明提供一种基于上述泛CTF网络安全人才培养系统的题目做题方法,所述方法包括:
面向做题人选择题目的步骤;
通过题目镜像生成虚拟机交给做题人的步骤;
做题人答题,将结果和虚拟机提交系统的步骤;
运行验证脚本,对结果打分的步骤。
本发明提供一种泛CTF网络安全人才培养系统以及基于此系统的出题方法和做题方法,解决了传统CTF竞赛起点高、阶梯小、周期短、出题难、重技巧轻实战、重攻击轻防御等存在的问题;有利于做题人切实感受实际网安人员操作环境,有利于防御类型题目的部署和考核,有利于不同应用场景的切实部署;可以改善传统CTF竞赛的不足,将CTF应用场景扩展到教学、培养、竞赛和认证等多个场景,有效地培训了实践与技巧并重的攻防兼备型网安人才。
以上所述仅为本发明的较佳实施例,并不用于限制本发明,凡在本发明的精神和原则内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。