第一次見到姜開達老師，是在前不久上海零號灣剛剛結(jié)束的首屆0CON信息安全創(chuàng)新創(chuàng)業(yè)峰會暨0CTF 2016國際信息安全挑戰(zhàn)賽(XCTF聯(lián)賽上海站)決賽現(xiàn)場，看到他忙碌的身影奔波穿梭在會場和賽場。51CTO的記者采訪到他，已經(jīng)是會議第二天晚八點，此時的他已經(jīng)非常的疲憊。采訪中，他不時摘下眼鏡揉揉眼睛，緩解一下陣陣襲來的困意。原來為了這次會議和比賽，他連續(xù)多天處理著大大小小的事宜，睡眠嚴重不足。他笑稱自己為消防員，哪里著火去哪里。

姜開達是誰?

[[166236]]

上海交通大學網(wǎng)絡(luò)信息中心信息安全主管 姜開達

姜開達老師是上海交通大學(以下簡稱：交大)97級本碩，高級工程師，現(xiàn)任交大網(wǎng)絡(luò)信息中心信息安全主管，0ops安全戰(zhàn)隊領(lǐng)隊，中國教育科研網(wǎng)上海節(jié)點NOC主任，中國高等教育學會教育信息化分會網(wǎng)絡(luò)信息安全工作組常務(wù)秘書。曾先后獲得交大“三育人”先進個人、優(yōu)秀青年教師后備人才一等獎、學生工作特別貢獻獎、上海交通大學“校長獎”。也是上海市第十四屆“上海IT青年新銳”，上海市青年五四獎?wù)芦@得者。

自畢業(yè)留校工作以來，姜老師和交大網(wǎng)絡(luò)信息中心整個團隊兢兢業(yè)業(yè)，見證了交大校園網(wǎng)絡(luò)的飛躍式發(fā)展。大學期間，作為材料科學系的學生，他卻喜歡上了互聯(lián)網(wǎng)這個新生事物，沉浸在網(wǎng)絡(luò)世界里，專注于計算機專業(yè)知識的學習。在即將畢業(yè)的那年，同學們都在忙著出國、考研，然而他將大部分時間投入到學校學生網(wǎng)絡(luò)信息管理部的籌建中，協(xié)助學校管理學生網(wǎng)絡(luò)事務(wù)，姜老師自己也實現(xiàn)了從學生到網(wǎng)絡(luò)管理者的身份轉(zhuǎn)變。

談及工作和生活，姜老師表示，他的生活除日常起居之外，都是面對電腦，沉醉于技術(shù)。之所以這樣，完全源于他對網(wǎng)絡(luò)的“興趣”。付出大量的業(yè)余時間和精力，也源于對自己事業(yè)的熱愛。記者能感受到姜老師因為投身于自己喜歡的職業(yè)而散發(fā)出的那種幸福。但是看到他如此疲倦的樣子，記者不得不提醒他注意身體，多休息，多加鍛煉。

近年來，隨著工作經(jīng)驗的積累和互聯(lián)網(wǎng)知識的拓展，姜老師的研究重心轉(zhuǎn)向了安全， 他將更多精力投入在網(wǎng)絡(luò)信息安全技術(shù)的研究和安全服務(wù)體系的建設(shè)上，并于2013年參與創(chuàng)建了0ops安全技術(shù)戰(zhàn)隊。他帶領(lǐng)團隊在安全漏洞挖掘、大規(guī)?；ヂ?lián)網(wǎng)安全威脅監(jiān)測、安全應(yīng)急響應(yīng)等方面做出突出貢獻，先后承擔多項網(wǎng)絡(luò)安全相關(guān)科研項目。0ops戰(zhàn)隊近年來頻繁參與國內(nèi)外信息安全競賽并取得了一系列優(yōu)異的成績，也成為唯一獲得CTF安全競賽世界冠軍的中國團隊。

0ops安全技術(shù)戰(zhàn)隊

提到0ops戰(zhàn)隊，姜老師表示，隊名之所以會叫0ops，是因為oops這個單詞比較響亮有趣，在Linux內(nèi)核中也有特殊的意義，意味著系統(tǒng)出現(xiàn)意外。將隊名首字母“o”改成數(shù)字“0”則是黑客文化的一種體現(xiàn)，0在數(shù)字排序中總是名列第一。

現(xiàn)在，0ops戰(zhàn)隊成員主要來自上海交通大學計算機系密碼學與計算機安全實驗室、信息安全工程學院等各個院系，每名隊員都有著扎實的計算機理論基礎(chǔ)和對網(wǎng)絡(luò)安全的濃厚興趣。

自戰(zhàn)隊成立以來，一路披荊斬棘，在多項國內(nèi)外CTF頂級賽事中取得優(yōu)異成績。特別是在2015年，0ops戰(zhàn)隊在韓國Codegate國際比賽上力挫群雄，奪得中國大陸首個CTF世界冠軍，并在同年的DEF CON CTF全球總決賽獲得第六名等多項戰(zhàn)績。0ops在2015年終的CTFtime權(quán)威安全團隊排行榜中高居全球第三。

0ops戰(zhàn)隊除了參加比賽以外，還主辦和支持了一系列高水平安全技術(shù)比賽來普及安全教育和推動人才培養(yǎng)及團隊建設(shè)。目前已經(jīng)舉辦的比賽有：0CTF 2014、ISG 2014(技術(shù)支持)、ISG 2015(技術(shù)支持)、0CTF 2015、0CTF 2016，并且即將為全國大學生信息安全競賽首次信安技能賽提供技術(shù)支持。

CTF奪旗賽

Capture The Flag(簡稱CTF)，直譯為“奪旗賽”，起源于1996年舉辦的DEF CON全球黑客大會，最早是交流安全技術(shù)的重要途徑。隨著時間的推移，CTF競賽逐漸演變成為信息安全技術(shù)競賽的一種形式，發(fā)展成為全球范圍網(wǎng)絡(luò)安全圈的流行比賽。近年來，CTF競賽活動蓬勃發(fā)展，國內(nèi)外各類高質(zhì)量的CTF競賽層出不窮，CTF已經(jīng)成為了學習鍛煉信息安全技術(shù)，展現(xiàn)安全能力和水平的絕佳平臺。

CTF參賽隊伍的目標是獲取盡可能多的flag(旗幟)。參賽隊伍需要通過解決信息安全的技術(shù)問題來獲取flag。flag可能來自于一臺遠端的服務(wù)器，一個復(fù)雜的軟件，也可能隱藏在一段通過密碼算法或協(xié)議加密的數(shù)據(jù)，或是一組網(wǎng)絡(luò)流量及音頻視頻文件中。選手需要綜合利用自己掌握的安全技術(shù)，并輔以快速學習新知識，通過獲取服務(wù)器權(quán)限，分析并破解軟件或是設(shè)計解密算法等不限定途徑來獲取flag。

CTF比賽的形式通常分為解題模式(Jeopardy)和攻防模式(Attack-Defense)。

解題模式通常為在線比賽采用，是目前大多數(shù)國內(nèi)外CTF比賽的主流形式 ，選手自由組隊參賽。題目通常在比賽過程中陸續(xù)放出。解出一道題目后，提交題目對應(yīng)的flag即可得分，比賽結(jié)束時分高者勝(同分時比較提交時間)。

攻防模式通常為現(xiàn)場比賽采用，是多數(shù)CTF決賽的比賽形式，選手自由組隊參賽，但通常隊伍人數(shù)會受到限制(3~8人不等)。相比于解題模式，時間更短，比賽中更注重臨場反應(yīng)和解題速度，考察團隊多方面的綜合安全能力。團隊要在服務(wù)漏洞分析、漏洞修補、漏洞利用、流量分析、自動化腳本等方面都不能存在短板。

目前國外知名的CTF比賽包括DEF CON CTF，Ghost In The Shellcode，Hack.lu CTF，PlaidCTF，iCTF等，相關(guān)比賽內(nèi)容和時間信息均可在https://ctftime.org/ 上獲取。國內(nèi)的知名CTF比賽有0CTF，BCTF等，相關(guān)信息可以在https://time.xctf.org.cn/上獲取。其中0CTF 2016是由0ops 團隊主辦的一場國際頂級水平CTF 比賽，是2016年 DEF CON CTF 的七大外卡賽之一，也是XCTF(國際網(wǎng)絡(luò)安全技術(shù)對抗聯(lián)賽)上海分站賽。

說到CTF比賽，記者腦海中冒出了一個問題：即將于今年8月舉行的2016年DEF CON CTF全球決賽中，入圍中國隊伍有哪些呢？對此，姜老師回答說，今年blue-lotus和0ops將組成聯(lián)隊(b1o0p)，進軍DEF CON CTF全球總決賽，去沖擊更好的成績。

以賽促學，以賽促教

現(xiàn)在，高校計算機專業(yè)人才培養(yǎng)現(xiàn)狀如何呢?姜老師認為，目前，高校計算機專業(yè)人才的理論基礎(chǔ)尚可，動手能力不足;高校的師資力量和實踐教學條件需要提高;高校缺少知識體系結(jié)構(gòu)全面的學生;另一方面，各層面畢業(yè)生不能滿足社會需求。

基于以上背景，他建議通過參加和舉辦各級安全競賽的形式來推進專業(yè)人才的培養(yǎng)，培養(yǎng)低年級本科生對信息安全的興趣，給有潛力的學生提供良好的學習成長平臺，鼓勵學生積極參與國內(nèi)外信息安全類競賽，發(fā)掘合適學生參與校內(nèi)外信息安全工作，吸納合適學生參與信息安全領(lǐng)域科研。最終以學生興趣為導(dǎo)向完成從書本知識到實際能力的轉(zhuǎn)化。

近年來，國內(nèi)信息安全技術(shù)競賽如雨后春筍般紛紛涌現(xiàn)。采用CTF賽制的數(shù)量在逐漸增多，吸引了很多注重人才長期培養(yǎng)的民間企業(yè)參與，為選拔安全專業(yè)人才和培訓(xùn)安全技術(shù)人才提供了一個很好的平臺，而且其豐厚的獎金也激勵吸引了更多人才進入安全領(lǐng)域。

想要參與CTF，要具備哪些知識?

如果你是一個對安全技術(shù)感興趣的人，想要踏入這個領(lǐng)域，需要具備哪些知識呢?高難度的CTF競賽對選手的知識積累與技術(shù)熟練度要求非常高，因此如果想要參加CTF競賽，或者想在CTF競賽中取得好成績，需要首先具備扎實的計算機理論和實踐基礎(chǔ)。其中涉及到的重要基礎(chǔ)課程包括：計算機系統(tǒng)與結(jié)構(gòu)、操作系統(tǒng)、編譯原理、數(shù)據(jù)結(jié)構(gòu)、計算機網(wǎng)絡(luò)、密碼學、離散數(shù)學、數(shù)論、近世代數(shù)、數(shù)字電路等。

0ops團隊向?qū)Π踩夹g(shù)感興趣的小伙伴們，推薦了一些高質(zhì)量的書籍：《程序員的自我修養(yǎng)》、《深入理解計算機系統(tǒng)》、《算法導(dǎo)論》、《密碼學應(yīng)用》、《編譯原理(龍書)》、《鳥哥的私房菜》、《白帽子講Web安全》等。

此外，還有一些在互聯(lián)網(wǎng)上具有代表性的關(guān)于CTF競賽相關(guān)的練習資源：

逆向工程：bbs.pediy.com，www.52pojie.cn，crackmes.de，reversing.kr

漏洞挖掘與漏洞利用：smashthestack.org，pwnable.kr，overthewire.org/wargames/vortex/

網(wǎng)絡(luò)滲透：www.wechall.net，pentesterlab.com

CTF競賽題目匯編：github.com/ctfs，shell-storm.org/repo/CTF/

最后，姜老師建議，對競賽感興趣的小伙伴可以尋找一些志同道合的人參與到實際的CTF中來，通過隊員之間的交流和總結(jié)，從而迅速熟悉當下CTF競賽的題目風格和形式，通過實戰(zhàn)和持續(xù)的多領(lǐng)域?qū)W習來獲得能力上的最大提升，同時也能夠促進團隊的默契與凝聚力。比你聰明的人比你更努力，如果你想有所提升和進步，那么唯有不懈的努力和付出才能有所收獲。