第一次見到姜開達老師，是在前不久上海零號灣剛剛結束的首屆0CON信息安全創新創業峰會暨0CTF 2016國際信息安全挑戰賽(XCTF聯賽上海站)決賽現場，看到他忙碌的身影奔波穿梭在會場和賽場。51CTO的記者采訪到他，已經是會議第二天晚八點，此時的他已經非常的疲憊。采訪中，他不時摘下眼鏡揉揉眼睛，緩解一下陣陣襲來的困意。原來為了這次會議和比賽，他連續多天處理著大大小小的事宜，睡眠嚴重不足。他笑稱自己為消防員，哪里著火去哪里。

姜開達是誰?

上海交通大學網絡信息中心信息安全主管 姜開達

姜開達老師是上海交通大學(以下簡稱：交大)97級本碩，高級工程師，現任交大網絡信息中心信息安全主管，0ops安全戰隊領隊，中國教育科研網上海節點NOC主任，中國高等教育學會教育信息化分會網絡信息安全工作組常務秘書。曾先后獲得交大“三育人”先進個人、優秀青年教師后備人才一等獎、學生工作特別貢獻獎、上海交通大學“校長獎”。也是上海市第十四屆“上海IT青年新銳”，上海市青年五四獎章獲得者。

自畢業留校工作以來，姜老師和交大網絡信息中心整個團隊兢兢業業，見證了交大校園網絡的飛躍式發展。大學期間，作為材料科學系的學生，他卻喜歡上了互聯網這個新生事物，沉浸在網絡世界里，專注于計算機專業知識的學習。在即將畢業的那年，同學們都在忙著出國、考研，然而他將大部分時間投入到學校學生網絡信息管理部的籌建中，協助學校管理學生網絡事務，姜老師自己也實現了從學生到網絡管理者的身份轉變。

談及工作和生活，姜老師表示，他的生活除日常起居之外，都是面對電腦，沉醉于技術。之所以這樣，完全源于他對網絡的“興趣”。付出大量的業余時間和精力，也源于對自己事業的熱愛。記者能感受到姜老師因為投身于自己喜歡的職業而散發出的那種幸福。但是看到他如此疲倦的樣子，記者不得不提醒他注意身體，多休息，多加鍛煉。

近年來，隨著工作經驗的積累和互聯網知識的拓展，姜老師的研究重心轉向了安全， 他將更多精力投入在網絡信息安全技術的研究和安全服務體系的建設上，并于2013年參與創建了0ops安全技術戰隊。他帶領團隊在安全漏洞挖掘、大規模互聯網安全威脅監測、安全應急響應等方面做出突出貢獻，先后承擔多項網絡安全相關科研項目。0ops戰隊近年來頻繁參與國內外信息安全競賽并取得了一系列優異的成績，也成為唯一獲得CTF安全競賽世界冠軍的中國團隊。

0ops安全技術戰隊

提到0ops戰隊，姜老師表示，隊名之所以會叫0ops，是因為oops這個單詞比較響亮有趣，在Linux內核中也有特殊的意義，意味著系統出現意外。將隊名首字母“o”改成數字“0”則是黑客文化的一種體現，0在數字排序中總是名列第一。

現在，0ops戰隊成員主要來自上海交通大學計算機系密碼學與計算機安全實驗室、信息安全工程學院等各個院系，每名隊員都有著扎實的計算機理論基礎和對網絡安全的濃厚興趣。

自戰隊成立以來，一路披荊斬棘，在多項國內外CTF頂級賽事中取得優異成績。特別是在2015年，0ops戰隊在韓國Codegate國際比賽上力挫群雄，奪得中國大陸首個CTF世界冠軍，并在同年的DEF CON CTF全球總決賽獲得第六名等多項戰績。0ops在2015年終的CTFtime權威安全團隊排行榜中高居全球第三。

0ops戰隊除了參加比賽以外，還主辦和支持了一系列高水平安全技術比賽來普及安全教育和推動人才培養及團隊建設。目前已經舉辦的比賽有：0CTF 2014、ISG 2014(技術支持)、ISG 2015(技術支持)、0CTF 2015、0CTF 2016，并且即將為全國大學生信息安全競賽首次信安技能賽提供技術支持。

CTF奪旗賽

Capture The Flag(簡稱CTF)，直譯為“奪旗賽”，起源于1996年舉辦的DEF CON全球黑客大會，最早是交流安全技術的重要途徑。隨著時間的推移，CTF競賽逐漸演變成為信息安全技術競賽的一種形式，發展成為全球范圍網絡安全圈的流行比賽。近年來，CTF競賽活動蓬勃發展，國內外各類高質量的CTF競賽層出不窮，CTF已經成為了學習鍛煉信息安全技術，展現安全能力和水平的絕佳平臺。

CTF參賽隊伍的目標是獲取盡可能多的flag(旗幟)。參賽隊伍需要通過解決信息安全的技術問題來獲取flag。flag可能來自于一臺遠端的服務器，一個復雜的軟件，也可能隱藏在一段通過密碼算法或協議加密的數據，或是一組網絡流量及音頻視頻文件中。選手需要綜合利用自己掌握的安全技術，并輔以快速學習新知識，通過獲取服務器權限，分析并破解軟件或是設計解密算法等不限定途徑來獲取flag。

CTF比賽的形式通常分為解題模式(Jeopardy)和攻防模式(Attack-Defense)。

解題模式通常為在線比賽采用，是目前大多數國內外CTF比賽的主流形式 ，選手自由組隊參賽。題目通常在比賽過程中陸續放出。解出一道題目后，提交題目對應的flag即可得分，比賽結束時分高者勝(同分時比較提交時間)。

攻防模式通常為現場比賽采用，是多數CTF決賽的比賽形式，選手自由組隊參賽，但通常隊伍人數會受到限制(3~8人不等)。相比于解題模式，時間更短，比賽中更注重臨場反應和解題速度，考察團隊多方面的綜合安全能力。團隊要在服務漏洞分析、漏洞修補、漏洞利用、流量分析、自動化腳本等方面都不能存在短板。

目前國外知名的CTF比賽包括DEF CON CTF，Ghost In The Shellcode，Hack.lu CTF，PlaidCTF，iCTF等，相關比賽內容和時間信息均可在https://ctftime.org/ 上獲取。國內的知名CTF比賽有0CTF，BCTF等，相關信息可以在https://time.xctf.org.cn/上獲取。其中0CTF 2016是由0ops 團隊主辦的一場國際頂級水平CTF 比賽，是2016年 DEF CON CTF 的七大外卡賽之一，也是XCTF(國際網絡安全技術對抗聯賽)上海分站賽。

說到CTF比賽，記者腦海中冒出了一個問題：即將于今年8月舉行的2016年DEF CON CTF全球決賽中，入圍中國隊伍有哪些呢？對此，姜老師回答說，今年blue-lotus和0ops將組成聯隊(b1o0p)，進軍DEF CON CTF全球總決賽，去沖擊更好的成績。

以賽促學，以賽促教

現在，高校計算機專業人才培養現狀如何呢?姜老師認為，目前，高校計算機專業人才的理論基礎尚可，動手能力不足;高校的師資力量和實踐教學條件需要提高;高校缺少知識體系結構全面的學生;另一方面，各層面畢業生不能滿足社會需求。

基于以上背景，他建議通過參加和舉辦各級安全競賽的形式來推進專業人才的培養，培養低年級本科生對信息安全的興趣，給有潛力的學生提供良好的學習成長平臺，鼓勵學生積極參與國內外信息安全類競賽，發掘合適學生參與校內外信息安全工作，吸納合適學生參與信息安全領域科研。最終以學生興趣為導向完成從書本知識到實際能力的轉化。

近年來，國內信息安全技術競賽如雨后春筍般紛紛涌現。采用CTF賽制的數量在逐漸增多，吸引了很多注重人才長期培養的民間企業參與，為選拔安全專業人才和培訓安全技術人才提供了一個很好的平臺，而且其豐厚的獎金也激勵吸引了更多人才進入安全領域。

想要參與CTF，要具備哪些知識?

如果你是一個對安全技術感興趣的人，想要踏入這個領域，需要具備哪些知識呢?高難度的CTF競賽對選手的知識積累與技術熟練度要求非常高，因此如果想要參加CTF競賽，或者想在CTF競賽中取得好成績，需要首先具備扎實的計算機理論和實踐基礎。其中涉及到的重要基礎課程包括：計算機系統與結構、操作系統、編譯原理、數據結構、計算機網絡、密碼學、離散數學、數論、近世代數、數字電路等。

0ops團隊向對安全技術感興趣的小伙伴們，推薦了一些高質量的書籍：《程序員的自我修養》、《深入理解計算機系統》、《算法導論》、《密碼學應用》、《編譯原理(龍書)》、《鳥哥的私房菜》、《白帽子講Web安全》等。

此外，還有一些在互聯網上具有代表性的關于CTF競賽相關的練習資源：

逆向工程：bbs.pediy.com，www.52pojie.cn，crackmes.de，reversing.kr

漏洞挖掘與漏洞利用：smashthestack.org，pwnable.kr，overthewire.org/wargames/vortex/

網絡滲透：www.wechall.net，pentesterlab.com

CTF競賽題目匯編：github.com/ctfs，shell-storm.org/repo/CTF/

最后，姜老師建議，對競賽感興趣的小伙伴可以尋找一些志同道合的人參與到實際的CTF中來，通過隊員之間的交流和總結，從而迅速熟悉當下CTF競賽的題目風格和形式，通過實戰和持續的多領域學習來獲得能力上的最大提升，同時也能夠促進團隊的默契與凝聚力。比你聰明的人比你更努力，如果你想有所提升和進步，那么唯有不懈的努力和付出才能有所收獲。

【編輯推薦】