专题·漏洞人才培养 | 以CTF学科竞赛为抓手的漏洞人才培养探索与实践

CNNVD安全动态 2025-03-06 21:33

文 | 武汉大学国家网络安全学院 赵磊 鄢炜 文贝西

在我国深入推进网络强国战略的进程中，网络安全人才的短缺已成为制约网络安全产业发展的主要问题之一，尤其是实战型人才的匮乏。据统计，高达92%的企业信息部门和安全部门负责人认为其团队“缺乏攻防实战能力”。漏洞的挖掘、分析、利用与修复是攻防实战能力的核心组成部分。依据洛克希德·马丁提出的网络攻防杀伤链模型，网络攻击通常包括侦察、武器化、投递、利用、安装、命令与控制及行动等环节。其中，“武器化”和“利用”环节直接涉及漏洞的挖掘与利用，是攻击链条中的关键节点。在网络防御方面，及时挖掘并修复漏洞可以抢占先机，构建“主动防御、纵深防御”的安全屏障。因此，培养高水平的软件漏洞挖掘实战人才已成为提升网络安全防御能力、增强技术自主权的重要任务。

学科竞赛一直是人才培养的重要途径。自2014年起，武汉大学国家网络安全学院在专业建设中引入了网络安全夺旗赛（即 CTF 竞赛），探索出了一条以 CTF 学科竞赛为导向的漏洞实战人才培养新模式。CTF 竞赛通常通过虚拟平台环境模拟典型的网络安全漏洞或案例，旨在考查参赛者应对网络安全事件的漏洞修复和应急响应能力。CTF 竞赛在培养创新能力和实战能力方面具有显著优势。

一、漏洞实战人才培养与CTF竞赛组织的难点

在漏洞实战人才的技战术能力培养过程中，高级语言程序设计、汇编语言、软件逆向分析、软件安全、计算机组成原理以及网络安全等多门专业核心课程均发挥着重要作用。作为网络安全学科的特色赛事，CTF 竞赛在知识点覆盖、技术能力培养模式等方面契合了漏洞实战人才培养的需求，能够显著提高信息安全及相关专业学生的动手能力与实战技能。CTF 竞赛弥补了传统课堂教学和实验中“重理论、弱实践”的不足，在快速且持续地提升学生专业兴趣以及网络安全实战能力方面展现出明显优势。

从历年来学生深造和就业的实际情况来看，拥有 CTF 参赛经历的学生展现出较强的竞争力，这充分体现了学科竞赛和实践训练的重要性，同时也彰显了 CTF 学科竞赛在漏洞实战人才培养中的促进作用。然而，在过去几年中，在 CTF 团队建设、学科竞赛组织以及漏洞人才培养过程中，我们也发现了一些亟待解决的问题和挑战，具体包括以下几个方面。

一是漏洞人才实战能力涉及的专业课程跨度广、可接受程度低。漏洞人才实战能力和 CTF 学科竞赛考查的知识点覆盖高级语言程序设计、汇编语言、软件安全、软件逆向分析、密码学及网络安全等多门核心课程。从学生视角来看，这些专业课程普遍被认为是本科四年专业学习中较具挑战性的课程。这种学习难度直接影响了学生对相关课程的接受度，容易引发畏难情绪。

二是漏洞攻防具有鲜明的博弈演化特性，兼具广度和深度，且培养周期长。攻防本质上是一种博弈关系，攻防技术随着时间不断迭代与演进，涉及的理论和技术不仅覆盖范围广，而且在纵深方面也愈加复杂。以缓冲区溢出漏洞为例，自 1996 年首次系统性论述缓冲区溢出漏洞的学术论文发表以来，围绕内存破坏类漏洞的攻防研究一直是学术界和工业界的热点。这种持续关注推动了该领域理论技术的不断深化，也进一步突显了漏洞攻防的技术深度。对于人才培养来说，不仅需要传授经典理论与技术原理，还需紧跟学术科研与技术发展前沿，无形中增加人才培养的难度和复杂度。

三是国内外 CTF 竞赛门槛逐步升高、学生畏难情绪显著，入门难度加大。近年来，国内外 CTF 竞赛题目难度不断提高，入门门槛逐步升高。相比之下，低年级本科生由于专业学习时间较短，在初次接触 CTF 竞赛时普遍感到无从下手，进而产生畏难心理，导致入门困难，甚至在后续逐步放弃参与。

四是低年级学生因对专业认知不足，兴趣与热情难以持续。在历年 CTF 战队建设及招新工作中，一个重要教训是学生对 CTF 的参与热情难以持续。具体而言，不少学生对 CTF 学科竞赛与专业课程之间的联系与区别缺乏正确认知，未能清楚理解理论知识向实践能力转化过程中所需的努力与方法，误以为单纯依赖专业课程的学习即可掌握相关技能。此外，随着年级的提升，专业课程的数量与难度逐步增加，客观上压缩了学生参与学科竞赛的课外时间。这些因素叠加，导致学生对 CTF 的兴趣与热情逐渐减退。

二、以CTF竞赛为抓手的漏洞实战人才培养思路与模式

针对上述问题，武汉大学国家网络安全学院在深入探索与广泛调研的基础上，逐步形成了一套漏洞实战人才培养与 CTF 团队建设的基本思路和模式。

（一）定向化政策支持、明确专业定位与特色

武汉大学国家网络安全学院始终将实战能力作为人才培养的核心目标。针对历年来专业方向认可度不高、学生畏难情绪较大等问题，学院以 CTF 学科竞赛为抓手，制定了针对 CTF 学科竞赛的激励政策，出台了《武汉大学国家网络安全学院关于 CTF 学科竞赛奖励范围及其等级的认定办法》。该办法不仅顺应了学院的学科建设要求，也契合了重点发展方向。具体而言，该办法主要明确了以下两方面的内容。

一是明确奖励赛事范围和认定办法。目前，CTF 竞赛数量较多，为提高学生参与的针对性和效率，学院依据竞赛的指导单位、主办单位和影响力，明确了鼓励学生参与的国家级、省部级和校级赛事范围。其中，国家级赛事包括由国家重要部委指导或主办的比赛，如强网杯、长城杯、网鼎杯以及全国大学生信息安全竞赛——创新实践类等。在奖励认定方面，针对不同 CTF 竞赛因场地、平台等限制导致奖项设置差异，学院充分考虑赛事的影响力和参与度，制定了各类 CTF 赛事的奖励等级认定标准。例如，强网杯作为国家级高水平赛事，参赛队伍若在强网杯线上选拔赛中进入前 32 名并成功晋级线下赛，即可认定为一等奖。

二是明确竞赛激励举措和适用范围。在奖励运用方面，学院将 CTF 学科竞赛获奖与学生的学业发展和综合评优紧密结合。CTF 竞赛奖可作为保研资格、奖学金评定等各类评优评先活动的重要参考依据。学院还设立了 CTF 专项奖学金，对比赛中成绩优异或做出突出贡献的同学给予专项奖励。此外，学院根据 CTF 竞赛的获奖情况，允许学生申请将 CTF 竞赛奖励冲抵相关专业课程的免修学分。

自学院颁布的该办法实施以来，学生参与 CTF 学科竞赛的热情显著提升。参训学生人数逐年增加，全校范围内不同学院学生的参与度不断提高，同时，获奖数量也呈现出逐年增加的良好趋势。

（二）融合专业核心课程、构建一体化赛训平台

由于基础薄弱，许多低年级同学反映虽然有兴趣，但不知道从何入手。针对这一问题，我们依据历年来的团队建设经验，设计并研发了一个能够与专业培养方案紧密对接、融合专业核心课程的“一体化赛训平台”。该平台将实验工具、参考资料和实验环境统一部署，做提供一站式学习和开箱即用的体验，旨在降低新生入门 CTF 的门槛。该赛训平台的主要功能和特点包括以下四个方面。

一是题库建设。依据 CTF 常见题型，构建包括密码学、二进制程序分析、Web 安全、数字取证、逆向工程等典型模式的 CTF 试题库。

二是题库可定制与贡献榜。试题库可根据需要进行定制和添加，同时设置贡献榜，表彰同学们对该实验平台的贡献，并鼓励学院教师和科研团队将最新科研成果转化 CTF 竞赛案例。

三是竞赛过程显示度增强。支持个人训练过程和解题的详细日志记录，提供个人积分累计功能，突出学生在平台上的成长过程和表现，增强其成就感和满足感。

四是设置技术论坛模块。支持同学们交流解题思路，讨论与分享经验。

需要特别说明的是，该赛训平台与市场上的其他 CTF 竞赛平台的主要区别在于它能够与专业培养方案对接，并融合于专业核心课程，构成一个一体化的赛训平台。具体而言，我们遴选的代表性 CTF 赛题与场景，能够有效衔接 CTF 实训知识点与专业培养大纲、专业核心课程教学大纲，从而建立实验实训知识点与专业课程知识单元之间的关联、迭代与映射。这一设计的优势在于，定制化赛训平台能够更符合学院的专业培养方案，且与专业课程的有效关联能够增强引导性，降低学生上手难度。同时，这一特色还使得平台不仅适用于 CTF 训练，也能支持各类专业课程的实验教学。

（三）多维并举、构建梯度化竞赛培训体系

在具体的培训与竞赛组织方面，我们主要根据不同年级同学的基础水平，设计了适用于不同年级的阶梯式竞赛培训体系。该体系一方面旨在为低年级同学的技战能力培养提供引导，另一方面也希望这种引导能够具备层次化跃升的特点。该梯度化竞赛培训体系主要包含以下三个部分。

一是面向低年级学生的兴趣引导竞赛。兴趣引导竞赛的对象是一年级新生，不设置具体竞赛周期，长期开放。其主要目的是鼓励大家动手实践，适应从高中到大学的学习方法的转变，帮助学生对计算机软硬件系统、代表性应用程序、计算机网络等基础性知识有初步的了解。同时，学生能够初步接触 CTF 的各个方向和解题思路，学习一些基础技巧，唤醒学习热情与兴趣，培养独立学习、思考和搜索的能力，避免因 CTF 竞赛的难度较高而感到困惑甚至放弃。

二是定期开展技术分享与寒暑假集训营。在 CTF 团队建设过程中，学生的参与热情常常难以持续，客观原因之一是随着年级的提升，专业课程的数量与难度逐渐增加，从而压缩了学生参与课外学科竞赛的时间，导致 CTF 兴趣与热情的减退。因此，CTF 兴趣的培养需要有针对性地引导和保持。为此，我们定期举办 CTF 分享会，由高年级、高水平的 CTF 现役队员主讲。前期的分享主要是引导性的，从硬件到软件介绍计算机的基本知识，逐步引入 CTF 案例和最新的相关知识，循序渐进，让同学们在新生赛以及后续学习中不再感到不知所措。

三是阶梯式队伍建设。经过多年实践，我们已经形成了一套从新生引导、集训到参加省部级、国家级赛事的阶梯式队伍建设体系（如图所示）。

图 层次化、阶梯式CTF团队建设

（四）师生共建 CTF 俱乐部、夯实组织保障

为了更好地完成 CTF 竞赛筹备工作，在学院教学管理部门、学生工作部门和学院实验教学中心的共同支持下，采用师生共建的方式，夯实 CTF 俱乐部，并使之成为校级学生技术社团。CTF俱乐部由技术支持部、竞赛部和推广宣传部组成，各部门的职责主要包括以下五个方面。

一是定期开展技术分享与培训。技术部成员定期进行技术分享、赛题解析、赛事复盘，并利用寒暑假组织集中培训，将产出文档同步至 Wiki 便于学习。

二是更新、维护、开发竞赛平台。竞赛部成员在参加比赛后，将可复现赛题及时提交至 CTF 训练试题库并提供题解，由技术支持部更新至 CTF 训练平台。技术支持部还负责平台运维和功能开发。

三是参加各类 CTF 赛事。竞赛部根据学生擅长的方向和能力，组建多支 CTF 队伍。在名额限项的国家级比赛报名时，可依据比赛方向、个人过往贡献等多种因素，组织代表学校或学院参赛的队伍。

四是举办校级赛事。竞赛部和技术支持部每年按年级组建成立 CTF 竞赛联系组，协助制定符合各年级技术水平的 CTF 活动计划，并组织实施各年级 CTF 活动的内容建设（如常规训练赛、招新赛等）。

五是推广宣传。推广宣传部负责校级 CTF 竞赛的策划与落地、组织宣传、CTF 俱乐部的网络推广、公众号日常运营以及 CTF 俱乐部技术活动的文案撰写等工作。

师生共建俱乐部的优势在于可充分发挥教师和学生的各自优势，尤其是在 CTF 学科竞赛的组织方面。多年来的迭代演化已形成教师指导、高年级学生培训、中高年级同学组织、低年级同学受训的模式，团队已具备以老带新和自我演化的可持续建设能力。

三、建设效果

经过多年的探索，上述举措已助力武汉大学国家网络安全学院在 CTF 团队建设、学科竞赛、科学研究和人才培养等方面取得了新成绩。

一是 CTF 俱乐部规模日益增长。2024 级新生参与 CTF 新生引导竞赛的人数超过 100；2024 年度，报名参加全国大学生信息安全竞赛——创新实践赛的学生人数超过 30，较往年大幅提升。

二是 CTF 学科竞赛水平显著提升。以 2023 和 2024 年度的各类 CTF 学科竞赛为例，武汉大学国家网络安全学院 CTF 俱乐部成员在 2024 年度“长城杯”信息安全铁人三项赛中获得全国冠军，已连续两年打入“强网杯”线下赛。其中，2023年度强网杯线上赛排名第 23 名、2024 年度强网杯排名第 14 名。2024 年度全国大学生信息安全竞赛——创新实践赛总决赛中获得全国一等奖。上述赛事的获奖队伍数量和名次均有所提升。

三是以赛促教、科教融合。CTF 俱乐部成员在经历了本科阶段的各类 CTF 竞赛后，已有多位同学继续深造，并在多个国家级科研项目中承担漏洞分析等相关研究工作。在成果产出方面，团队成员已向国家信息安全漏洞共享平台 CNVD 和 CVE 报告未公开漏洞 200 余个。

四、结 语

随着信息技术的飞速发展，网络安全的重要性日益凸显。因此，培养具备实战能力的网络安全人才显得尤为迫切。武汉大学国家网络安全学院正是基于这样的背景，积极探索并实践了以 CTF 竞赛为核心的人才培养新模式。这种模式不仅注重理论知识的传授，更强调实践技能的培养和创新能力的激发。通过多年的实践和探索，我们发现这种多维度的举措对于提升学生的综合素质和专业技能具有显著效果。学生们在参与 CTF 竞赛的过程中，不仅能够深入了解网络安全领域的最新技术和动态，还能够通过实际操作锻炼自己的技能和能力。同时，这种竞赛形式也激发了学生们对网络安全学科的兴趣和热情，为他们未来的职业发展奠定了坚实的基础。

（本文刊登于《中国信息安全》杂志2024年第11期）