全国卫生健康行业网络安全技能大赛参赛纪实

作者:陈俊羲、黄昊 发布时间:2021-01-20
浏览次数:


2020年5月的一天,“一年一度的网络安全技能大赛又要开赛了”,医研部郭飞助理拿着一份文件,走进我办公室,边走边说道:“黄主任,好像去年咱们也是拿了名次的,今年这规格有点高哟,国家卫健委的文件。”“肯定参加撒”,我信心满满的回答道。


任务倒是领受了,其实就算机关不通知,我也是准备再次参赛的,说实话,2019年最后的名次我还是蛮遗憾的。谁曾想到,我把去年的选手叫过来,用最温和的语气,和风细雨的告诉他们我的想法后,他们反映是如此的大。“主任,这事我真不干了,太紧张了”、“主任,你看今年门诊信息化还有那么多事情要做,我又是负责人,这事你看找其他同事吧”......一圈询问下来,竟然没人接招。我去,这太受打击了,看来之前的魔鬼训练,让小伙伴们心有余悸,留下了心理阴影。于是,我把目光投向了几个新人,揉揉我笑僵了的老脸,向他们走去。

2020年5月的一个普通工作日。我正在工位“奋笔疾书”。突然我一抬头,发现主任正面带笑意的站在我面前。他问我:“小陈,要不要去参加一个网络安全知识竞赛啊?”虽然我是一名刚刚到科室不久,还处于一个不断学习的新人,不过我知道网络安全对于互联网行业来说有多重要,没想到主任会把这样宝贵的参赛机会交给我。我甚至都还没有考虑自己会不会的问题,便一口应了下来。“主任,我去。”



在这样威逼利诱加持下,终于,五人参赛团队组建完成,名字嘛,我们是陆军特色医学中心,绿色是我们军服的颜色,我们就是要做医疗网络安全界的巨人,又谐音“军人”,就叫“绿巨人”。虽然团队组建完成了,名字也想好了,但是面对一脸茫然的队员,其实我也不是很有信心,而且听说,今年各省都非常重视,参赛队伍远远多于去年,今年的竞争激烈程度肯定远远高于去年。“没事”,我安慰着大家,“我们先做好竞赛准备,这也就当是对你们业务能力的提升了。”、“老师我来找,培训资源我来协调,你们就一门心思的学习和操作吧”。

答应下来很简单,但是如何去准备我还是一头雾水。虽然平常在工作之中,网络安全是默认要关注的知识点。可我从来没有在这方面系统的学习过,甚至当听到CTF模式之后,自己去百度了一下,才知道网络安全和CTF究竟是什么东西。


几天漫无目标的学习下来,依旧对于网络安全、CTF蠡测管窥,不过也算是了解了网络安全大赛涉及的几个细分的大方向,如Web、密码学,杂项,逆向,pwn等等。


这些知识对于我们这样的新手来说,哪个方向都是全新的开始。接下来的几天,大家也都是闷闷不乐的背着一些基础的知识,更无法将这些零散的知识拼接到一起,形成一套系统的知识体系。“天哪,主任太坑我们了。”私下里,我们几个嘀咕着。


正在犯愁的时候,主任又笑眯眯的走到我身边,“明天我请了老师来,给咱们的队员培训。”一个词对于这个时间点来说再贴切不过了,那就是寒夜里雪中送炭,黑暗中的一丝光明。这种系统的培训正是我和我的队友们最需要的。我们就可以把最近学到的知识串起来,应用到真正的使用场景与题目中。


培训如期而至,老师细致入微的教学,终于让我们半只脚迈进了CTF这道大门。脱产的学习也让我们有了足够的时间去理解,去实践所学到的知识。为期一周的培训,我们团队的进步是肉眼可见的;每个人也确定了自己所主攻的方向,这使得我们团队配合的更加默契。当有知识点交叉的时候,队员们都毫无保留的交流着,共同成长的同时,也让我们更加信任队友,团队更有凝聚力。


培训结束后,又经过了20天左右的针对性复习和刷题训练,终于要迎来初赛了。尽管有了基础的知识储备,有了做练习题的经验,不过大家初次参加如此大规模的比赛,又是与全国同行中的强者竞技,我们依然十分紧张。这时,主办方又给了我们一颗定心丸,“赛前培训”。老师们仔细的向我们讲解了赛事相关细节,我们也再一次接受到了有针对性的网络安全知识普及,这些都让我们更加的自信了。初赛就此开始。


首先是基础知识选择题,它从每个重要的安全方向,给我们普及了网络安全需要具备的知识点。每位参赛队员都受益匪浅收获满满。之后的CTF基础实际操作题,正是我们培训学习的内容,大家都是轻车熟路,信心满满。可是做题开始的时候,大家逐渐开始感觉到了困难,很多都是没有见过的题型啊。解题思路需要我们仔细思考与大胆尝试。一天的角逐下来,最终获得的成绩,不好不坏,只获得了第27名。我们进入了复赛,但是这并没有达到我们预期。不过我们的情绪很快便调整过来,因为大家心里都憋着一股劲,只想在之后的比赛能更进一步。


初赛过后,我们各自平复下心情后,又开始了新一轮的学习。这次的学习,与上一轮不太一样。此时大家已对基础知识有了一定程度的掌握,这轮训练的内容最主要是通过大量做题来弥补自身对于所见题目数量、种类上的不足。多种多样的题型也可以分别映射到日常的工作中,这才是学习的根本。在这段时间内,主办方还为我们提供了初赛题目的讲解与培训。这种培训,让所有参赛队员学会了使用多种思路解题;之前未答出的题,则可以透彻的去理解解题思路,提升自己能力。参赛者们都非常乐于听到这种讲解,对于自身的知识是一种巩固与丰富的过程。


很快又到了复赛的时间,这时的我们已与初赛大不同,队员们都在摩拳擦掌,期待着拿到一个自己满意的成绩。四个人围坐一张桌子旁,指尖在键盘上飞舞、大脑在飞速的旋转、神情都很严肃,但眼中的坚毅便是我们态度最好的证明。经过一天的鏖战,最终我们以第4名的成绩拿到了去往深圳的入场券——这场代表全国医疗行业网络安全最高水平盛宴的入场券。激动洋溢在我们每个人的脸上,不过那时的我们依旧知道,征程才刚刚开始。


由于疫情的影响,本应在10月份的决赛,被延期到12月份。虽然对于决赛的热情,让我们感觉到比较难熬。不过这次延期不可谓不是好事,一来是听从国家号召,防控疫情;二来给予了我们更长的学习时间。这段时间里,主任再次为我们找了老师进行培训。此次的培训相比于第一次来说,就真是一次“赛前训练”了。队员们都对于网络安全有了基本的认识,也都可以完成一定的题目。就不需要再次由老师边讲边记了。就是埋头做题,互相交流。将之前不会的题目一一掌握。一日都不肯懈怠的准备着,直至决赛的到来。


决赛前一晚,大家窝在一个房间里,做着比赛前的种种准备。彼此没有过多的言语,没有激动的宣誓,有的只是彼此的信任与对于冠军的渴望。




赛前,我也没有给队员们更多的压力,只是告诫大家一定要有团队意识,根据我们既定的方针策略打好每一步棋,讲究攻防配合,至于什么结果就不那么重要了。而且,这时的我,确实略显多余,为了不给大家更多压力,我悄然离开。

决赛场上,难免有些紧张,看到各支队伍气势汹汹的参赛者,就知道,这是一场硬仗。与此同时我也感到了一丝喜悦,与这么多同行一起为医疗行业的网络安全保驾护航,何尝不是一种快乐呢?



最终的大战,一触即发。每位参赛者都在低着头,做着题。整个赛场上奏起了鼠标和键盘声组成的交响乐。主持人的声音,打乱了这和谐的音符。看了一下比赛页面,情绪一瞬之间便被点燃,随后我们交出了全场第一份题的答案。我们的士气一下子到达了前所未有的高峰,可是这优势并没有持续很长时间,便被其他队伍超过。不过我们没有慌张,因为彼此都很了解,清楚的知道这些题,我们手到擒来。我们不慌不忙,不急不躁,保持自己原有的节奏继续做题。



事实证明,我们的努力是有回报的。在比赛结束前2个小时,我们以第一的成绩提交了PWN题的答案,让我们的积分迅速反超继续保持着第一的位置。此时我们暂停了一下,一起分析了战场态势,基于全场的积分情况,重新制定了战术。现在的首要任务,并不是继续钻研更难的题目,而是转为防守,巩固现有战果。在防守了几个漏洞后,比赛进入尾声,不过我们依旧丝毫不敢怠慢,继续分别把守着进攻端以及防守端。幸运的是,我们稳到了最后,拿到了冠军。



在赛场外的我,也帮不上什么忙,一个人到处瞎溜达,借着与主办方熟悉的身份,我走近了会场,看到了队员们正在聚精会神的答题。我冲他们远远的挥挥手,不经意的有队员看到我了,大家都抬起头冲我挥手。谁知道,就这一插曲,我们竟然就从第一的位置被反超了。吓得我赶紧从赛场撤离了,再不敢去打扰他们了,相信兄弟们能够做到最好。终于,有消息传来,“老黄,你们太牛了,第一稳稳的。”朋友们祝贺的信息不断发来,我又踱着小步,重新出现在了赛场。

冠军固然开心,不过更开心的是,结识了很多与我站在同一战线上,为医疗行业奋斗的同行们。这是一场比赛,可同时也是一场全国最高水平的交流会。感谢主办方,给予我们这样一个平台,让我们可以互相学习,互相交流。而网络安全也不是一蹴而就的,是需要我们在日常工作中就要放在首位的内容。习总书记说过“没有网络安全就没有国家安全”这并不是危言耸听。


在当前全面信息化的年代,如果网络安全没有保证,那么所有事物的保证都是无稽之谈。此次的大赛,更加让我深刻的体会了这一点,以为自己从进攻者的角度看问题,才可以看出日常作为一个防守者,我们的任务有多重。在网络安全的道路上,我们医疗信息人,定会不惧艰险,砥砺前行。


(作者:陆军特色医学中心信息科陈俊羲,黄昊)