自从1996年DEFCON推出对抗式的黑客攻防大赛至今,CTF已经成为全球范围网络安全圈流行的竞赛形式。参赛团队之间通过攻防对抗、技术分析等形式,率先从主办方给出的比赛环境中得到一串具有一定格式的字符串或其他内容,并将其提交给主办方,从而夺得分数。近年来国内多支战队在各项CTF比赛中取得优异成绩,近日监管机构也对国内网络安全竞赛活动提出了具体的监管需求,原文如下。
各省、自治区、直辖市网信办、公安厅(局),新疆生产建设兵团网信办、公安局,各有关部门:
近年来,企业、高校和相关地方、部门组织开展了不同形式和规模的网络安全竞赛活动,在提升全社会网络安全意识、促进网络安全技术交流、培养和发现网络安全人才等方面发挥了重要作用,随着这类活动的不断增多,也不同程度地出现了过度商业化、赛制单一化、选手逐利化等无序发展的现象。为了发挥网络安全竞赛在网络安全人才培养、技术和产业发展中的积极作用,经中央网络安全和信息化委员会同意,现就有关事项通知如下。
一、网络安全竞赛要坚持国家安全和社会效益优先,公平公正、科学严谨、健康有序;严格遵守有关法律法规,不得危害国家安全、损害企业和个人合法利益;禁止以竞赛为名进行商业炒作、牟取不正当利益;不鼓励以高额奖金吸引选手参赛。
二、网络安全竞赛要兼顾专业性和知识性,积极打造高水准品牌比赛,注重以多种形式面向青少年、网络安全从业人员举办知识型、技能型、普及型竞赛。
三、竞赛中发现可能危及国家安全、公共利益的网络安全漏洞、隐患,应及时向公安等有关部门报告,并通知产品提供方;不得擅自透露、转让、公布漏洞隐患的技术细节和利用方法、工具等。
四、参加境外网络安全竞赛活动,不得向境外机构和个人提供可能危及我国家安全、公共利益的网络安全漏洞、隐患等敏感信息。参与国家、军队重大网络安全工程项目、专项任务等的单位和个人,参加境外网络安全竞赛活动的,需向公安部门报备。五、网络安全竞赛和会议如冠名“中国”“全国”“国家”“全球”等,应报经国家网信部门同意。已经冠名的应重新履行报批程序或停止冠名。六、政府部门不主办、协办、承办商业性网络安全竞赛,原则上也不作为商业性网络安全竞赛的指导单位。
七、网信、教育、工信、公安等有关部门要加强对网络安全竞赛的指导规范,重点鼓励支持公益性网络安全竞赛活动,按照有关规定以适当形式对在竞赛中取得优异成绩的人员予以表彰奖励。
中央网络安全和信息化委员会办公室 公安部
近年来,冠名“中国”“国家”的网络安全竞赛和会议增多,不严肃、不规范、误导社会等问题开始显现。针对这些问题,经中央网络安全和信息化委员会同意,中央网信办、公安部联合印发的《关于规范促进网络安全竞赛活动的通知》中规定,冠名“中国”“国家”等字样的网络安全竞赛和会议需经中央网信办同意。为落实《通知》要求,现对网络安全竞赛和会议冠名“中国”“全国”“国家”“全球”等作以下说明:
一、活动应坚持国家安全和社会效益优先,原则上不收取超出参加活动成本的费用,不利用冠名进行商业炒作、寻求超出活动成本的商业赞助。
二、应是长期性活动且有完整的活动计划和方案,一次性活动原则上不冠名“中国”“国家”。
三、冠名“中国”“国家”的网络安全竞赛和会议,应有中央国家机关部委或省级人民政府作为主管(含指导或主办)单位,活动组织单位提前3个月将活动计划和方案、部委或省级人民政府同意作为主管单位的证明材料等报中央网信办。
四、冠名“全国”“全球”的网络安全竞赛和会议,组织单位应提前将活动计划和方案报中央网信办备案。
五、《关于规范促进网络安全竞赛活动的通知》中关于网络安全竞赛和会议冠名“中国”“全国”“国家”“全球”的要求自2019年1月1日起执行。