一、赛事背景与参赛概况

2025 年第 22 届全国大学生信息安全与对抗技术竞赛(ISCC)于 5 月 1 日至 18 日举行,覆盖破阵夺旗赛、无限擂台赛、数据安全赛三大线上挑战赛赛道。作为一名参赛队员,我所在的队伍全程参与了线上挑战赛和线上擂台赛两个环节。根据赛制安排,破阵夺旗赛分为校级赛、区域赛和总决赛三级,而无限擂台赛则贯穿整个赛程。

从规模来看,本届竞赛吸引了全国 1900 多所高校参与,其中 121 所 “双一流” 院校派出代表队,累计参赛人数超过 12 万人次。我们队伍通过校级选拔赛晋级区域赛,但在后续赛程中遭遇了诸多始料未及的挑战。

二、赛程体验:疲惫与挫败感交织

(一)高强度赛程与时间压力

ISCC 线上挑战赛的题目量极大,仅破阵夺旗赛区域赛阶段就包含 WEB、REVERSE、PWN、MISC 等六大类 40 余道题目,且每道题的难度梯度设计陡峭。以 MISC 题型为例,部分题目需要综合运用音频分析、图像隐写、密码学等多领域知识,如某音频题需通过分段采样提取二进制数据,再转换为 ASCII 字符,整个流程需编写复杂脚本实现。

然而,赛制规定每支队伍最多 3 人参赛,这意味着三人需在 72 小时内完成全部题目的分析、编码和验证。以区域赛为例,我们队伍我负责WEB、MISC,其他两个队友负责:REVERSE、MOBILE、PWN,这是事先分好的责任,因为第一次参赛,经验不足,看到发放的题目之后,直呼“WOC!”。题目量太大,并且对于我们这支参赛经验并不足的队伍来说,非常具有挑战性。
有三类赛题:线上挑战赛、擂台赛、数据安全竞赛,我们无奈只能放弃数据安全竞赛,先搞大头线上挑战赛,然后再搞擂台赛。但是到最后,擂台的题目足足有四五十道,我们就做了十余道……并且还有两份wp还没有完成……

(二)技术问题频发影响竞赛体验

  1. 平台稳定性缺陷
    竞赛官网(
    ⚠️ 引用站外地址,不保证站点的可用性和安全性,慎重点
    ISCC官网
    ISCC官网
    )在高并发访问时频繁崩溃,尤其在每日 20:00 题目更新时段,页面加载失败率超过 60%。例如,区域赛第三轮(决赛轮) 8:00-12:30,官网因流量过载导致所有队伍无法进入竞赛网页或者无法打开竞赛题目或者提交 Flag,持续故障达 4.5 小时,而组委会并未及时通过短信、竞赛群公告、竞赛官网通知,未提供补偿方案。
  2. 附件下载异常
    题目附件常出现下载中断问题。例如,某 REVERSE 题的压缩包(约 25MB)在下载至 80% 时反复卡退,需重新下载 5 次以上才能成功。部分队伍因反复下载消耗大量时间,最终被迫放弃该题。
    题目遭恶意攻击
    5 月 15 日,组委会发布公告称 Web 题目遭拒绝服务攻击,导致服务器响应能力下降,部分队伍因无法访问题目而中断解题。尽管组委会取消了 “AuroraX”“MilkTeA” 等涉事队伍的参赛资格,但已对正常参赛队伍造成不可逆的时间损失。

三、争议焦点:公平性与规则执行

(一)题目难度调整与评分争议

破阵夺旗赛总决赛阶段,组委会在未提前通知的情况下调整了 2 道 WEB 题的漏洞利用条件。例如,原预期通过栈溢出即可获取 Flag 的题目,在比赛中期被修改为需结合 Heap Feng Shui 技术。我们队伍在规则调整前已提交符合原题条件的 WP(Writeup),但组委会以 “未满足最新要求” 为由拒绝给分。这种临时变更不仅打乱了战术部署,更引发了对评分标准一致性的质疑。

(二)资本干预的合理性质疑

尽管组委会强调竞赛公正性,但赛场中出现的一些现象令人不安。例如,某知名网络安全企业赞助的队伍在擂台赛中频繁提交高难度原创题目,且这些题目在审核通过后迅速被其他强队解出,形成 “出题 - 解题 - 刷分” 的闭环。更值得关注的是,这些队伍在破阵夺旗赛中多次获得提前获取题目漏洞信息的 “特权”,而普通高校队伍对此毫无察觉。

(三)申诉机制形同虚设

针对上述问题,我们队伍于 5 月 17 日向赛方客服提交了申诉请求,但截至竞赛结束未收到任何回复。组委会设置的客服,在竞赛群中并没有尽职尽责:在网站出现问题的第一时间没有通知、选手心态受影响也并没有及时安慰、大量选手反馈问题并没有及时回复甚者不回复,存在严重的逃避问题的情况,另外选手单线私聊客服反映情况并没有得到及时的回复,例如我们组在 5 月 16 日 16:25向客服反馈问题,24小时内都没有得到回复,直至 5 月 17 日 20:47才得到回复。这种滞后的反馈机制,使得参赛者在赛后仍无法获得合理的解释。

四、改进建议与未来展望

(一)技术保障层面

  1. 云原生架构升级与弹性扩容
    建议组委会引入云原生微服务架构,将竞赛平台拆分为用户认证、题目管理、数据存储等独立模块,并采用Kubernetes+Docker 容器编排实现资源动态调度。参考亚马逊 ElastiCache Serverless 的实践经验,对高并发场景(如每日 20:00 题目更新时段)启用自动弹性伸缩,确保数据库读写性能提升 300% 以上。同时建立异地多活灾备中心,通过跨区域数据同步机制,将服务中断恢复时间(RTO)控制在 5 分钟以内。
  2. P2P+CDN 混合分发网络
    针对大文件附件下载问题,可部署基于WebRTC+WebTorrent的 P2P 分发网络(如 PeerConnect 方案),将服务器负载降低 80% 以上。对于 2GB 以上的 REVERSE 题附件,采用分卷压缩 + 哈希校验技术,用户下载后可通过官网提供的 SHA-256 校验工具快速验证文件完整性。同时建立全球 CDN 节点加速,使偏远地区参赛队的下载速度提升至 5MB/s 以上。

    (二)规则制定层面

  3. 区块链存证与透明化管理
    引入联盟链技术(如 Hyperledger Fabric)构建题目生命周期管理系统:
  • 题目提交阶段:出题人需通过智能合约上传题目及答案,系统自动生成不可篡改的存证哈希值
  • 审核阶段:专家评审意见实时上链,形成可追溯的审计日志
  • 发布阶段:题目更新信息通过预言机(Oracle)同步至所有参赛队终端
    该方案已在 2024 年金砖国家区块链技术赛项中成功应用,使题目审核效率提升 40%。
  1. 智能合约驱动的争议解决
    开发基于 ODR(在线争议解决) 的申诉平台,集成以下功能:
  • 自动分诊系统:通过 NLP 技术分析申诉内容,自动匹配相关规则条款并生成初步处理意见
  • 智能合约仲裁:对于事实清楚的争议(如平台故障导致的提交失败),系统自动触发补偿机制(如延长答题时间)
  • 专家在线调解:复杂争议可通过视频会议系统连接仲裁委员会,实现 24 小时内响应
    该系统可将申诉处理周期缩短至 12 小时以内。

    (三)赛制设计层面

  1. 动态组队与跨学科协作
    借鉴世界技能大赛云计算赛项经验,允许队伍在区域赛阶段动态调整人员构成:
  • 基础赛段(48 小时):固定 3 人团队,重点考察专业深度
  • 攻坚赛段(24 小时):可临时招募 1-2 名外援(需提前报备),鼓励跨学科协作(如 Web + 逆向工程组合)
    同时设置团队协作评分项,根据代码版本控制记录、任务分配合理性等维度进行评估,占总成绩的 15%。
  1. 双轨制题目生态建设
  • 基础赛道:题目由组委会统一命制,确保竞赛公平性和知识覆盖面
  • 创新赛道:开放题目众包平台,允许高校或企业提交原创题目,通过区块链存证和社区投票机制筛选优质题目。被采纳的出题方可获得荣誉积分,用于兑换培训资源或设备赞助该模式已在长三角区块链应用创新大赛中验证,使题目新颖度提升 25%。

    (四)第三方监督与权益保障

  1. 全程审计与黑盒测试
    邀请中国信息安全测评中心(CNITSEC)作为独立第三方,实施以下监督措施:
  • 赛前渗透测试:对竞赛平台进行 72 小时压力测试,发现并修复潜在漏洞
  • 赛中行为监控:通过流量分析系统实时识别异常访问(如每秒超过 100 次的 Flag 提交请求)
  • 赛后数据校验:对所有提交记录进行区块链存证,确保评分可追溯
  1. 参赛者权益保障基金
    从赛事赞助费用中提取 5% 设立专项基金,用于:
  • 因平台故障导致的时间损失补偿(按每分钟 50 元标准赔付)
  • 对恶意攻击行为的受害者进行法律援助
  • 优秀参赛队的技术交流与培训支持
    该基金的使用需通过智能合约实现透明化管理,每季度公布审计报告。

    五、结语

    2025 年 ISCC 竞赛在技术创新和规模扩展上取得了显著成就,但在赛事组织和用户体验方面仍存在诸多改进空间。作为参赛者,我们理解大型竞赛面临的技术挑战,但也期待组委会能够倾听一线反馈,切实解决平台稳定性、规则公平性等核心问题。唯有如此,ISCC 才能真正成为培养信息安全人才的优质平台,而非消耗学生热情的 “疲劳战场”。