1996年，全球黑客大会首次推出CTF竞赛模式。这种在特定平台上进行攻防竞技的方式，代替了之前黑客通过互相发起真实攻击进行技术比拼的方式。

　　自此，在学科竞赛的辞典中出现了“网络安全学科竞赛”这个名词。经过30多年的发展，CTF已经风靡全球并在中国得到蓬勃发展。据统计，2018年我国的CTF竞赛已经超过1000场。

　　然而，网络安全学科竞赛繁华之后如何发展？如何与网络强国战略有机结合？值得人们深思。

　　今年5月22日至23日，紫金山实验室举办了拟态防御国际精英挑战赛，29支国际顶级战队在20小时内，向6款拟态设备发起290万次大强度攻击。这次比赛最大的亮点，是建立了一种“人-机对抗”的网络安全竞赛模式，颠覆了传统“人-人对抗”的CTF竞赛模式，网友们比喻这是国际黑客大战“摩托狗”。

　　这一对抗模式，我们称之为“BWM”模式，是现有网络安全竞赛的第四种模式，不是游戏，不是“挖洞”，也不是水平认证，而是基于开放性众测的一种竞赛模式。

　　竞赛的主体不是人与人，而是人与机器。传统的CTF以及其他竞赛模式，对抗的主体是人与人。BWM赛制，对抗的主体是人与机器，是通过设置一个合理的竞赛场景和竞赛规则，检验人的网络攻击能力是否能够突破具有内生安全功能的网络设备，这就如同围棋界的人机大战一样。

　　竞赛的载体不再是题目，而是网络设备。BWM赛制一经亮相，参赛选手第一反应就是：没有赛题了。事实上，这次上线的6款拟态构造COST级设备就是赛题，这里面蕴含着“一生二、二生三、三生万物”的哲学思辨能力，有着无穷无尽的赛题，选手们依靠自己的思维“发现”题点，依靠自己的判断“攻克”题点，没有题目的比赛，更加富有探索性和挑战性。

　　竞赛的目的不仅仅是选拔和锻炼人才，而是赋予了科学度量网络产品安全性的新职能。传统基于人的网络安全竞赛，其核心是发现和锻炼人才，有的网络安全竞赛往往被“猎头”公司所青睐。

　　竞赛的确可以发现人才，但是这些天赋异禀的人仅仅用来打比赛显然是不够的。在BWM模式中，巧妙地引入了众测的理念，大大提升了比赛的效益，使得用竞赛来度量网络产品的安全性成为了可能。

　　竞赛的方式也不再是一锤子买卖，而是常态化测试和集中式竞赛的有机结合。这次拟态精英挑战赛同时发布了永久在线的内生安全试验场，从6月26日开始，全天候接受全球“白帽黑客”的有奖众测。未来的比赛，可能是常态化、无差别的竞赛，鼓励更多有创意、有兴趣的技术专家去挑战各种“不可能”。

　　竞赛的焦点不再是漏洞，而是推进共享共用共建。在BWM模式下，零漏洞后门已不再是制胜法宝，你甚至可以自己预先布设一个漏洞后门乃至病毒木马，因为拟态构造系统对已知或未知的病毒木马具有天然免疫力。这种模式不以拥有的漏洞资源多寡为前提，不必担心信息资源泄露，也不用顾忌境外顶级黑客的参与。共同的挑战是：如何在拟态构造的“测不准”环境内，形成非配合条件下动态多元目标协同一致的稳定逃逸机制。倘若人类无法战胜 “摩托狗”，则打造网络空间命运体就有了可靠的技术抓手。

未来的网络安全学科竞赛，将会实现多种模式共同发展，CTF类的比赛也会不断改革，BWM模式将作为非CTF模式的比赛走向前台。未来的竞赛不再是游戏，而是服务产业和技术发展，为建设网络强国服务。

解放军报·■中国工程院院士 邬江兴