设计安全大赛赛题抢先发布！第八届强网拟态防御国际精英挑战赛预热来袭

赛题2：安全型MCU的攻防对抗：从漏洞渗透到弹性构建

本赛题旨在推动学术界和工业界探索有效的安全型MCU原型设计，通过对ESC0830的模拟攻击理解MCU面临的安全困境、通过对ESC0830的量化评估深入思考安全型MCU的核心需求与效能边界。

一、任务概述

参赛团队将基于主办方提供的ESC0830全栈软硬件开发套件，设计并实现针对ESC0830的恶意攻击和量化评估。

二、赛题设置

1. 基础资源提供

① 硬件资源

• ESC0830单片机开发板：报名即赠送开放丰富接口的开发板一套

• 随板附赠：电源适配器、USB数据线、USB转TTL模块、杜邦线等

• MimicMCU集成开发环境：开箱即用的全套IDE，支持Windows操作系统下针对异构多CPU核的图像化开发界面、一键编译、一键烧写

• 库与例程：提供利用数组越界漏洞攻击ARM单核UART串口的全套例程和详细演示视频。

• 完备手册：提供开发板手册、IDE及例程指导手册、ESC0830芯片用户手册等

2. 赛题内容

• 新手破冰：复现例程，验证该攻击在ARM单模状态和三模状态下的有效性

• 新攻击：利用其他漏洞或技术攻击，验证该攻击在单模状态和三模状态下的有效性

• 深度思考：通过理论推演与/或数据实测，自由探索并论证：ESC0830芯片或动态异构冗余（DHR）架构如何塑造并提升MCU系统的弹性能力

3. 参赛要求

不得修改或替换例程中除work文件夹以外的任何文件（库、文函数、编译脚本等）。

三、提交内容

1. 设计报告1份（word文档形式）、测试报告1份（word文档形式）

2. 测试视频N份（视频形式）：针对每个得分点*录制一段【精简】的测试视频

3. 作品源码N份（rar压缩包形式）：针对每个得分点提交一个压缩包，每个压缩包解压后仅包含一个名为work的文件夹，文件夹替换例程中的原有work文件夹后可以一键编译并验证该得分点的功能

根据评分准则，最多有四个得分点，分别为：新手破冰、新攻击1、新攻击2、深度思考。

赛题3：具备弹性能力的web业务系统设计与开发

一、题目设置

Web应用作为最常见的数字产品形态，广泛应用于各行业领域，同时也因其网络位置而最易成为网络攻击目标。现提供一个基于PHP编程语言的Web开发框架（预置漏洞）。

请基于该框架设计开发一套具备弹性能力的业务系统（新开发的功能不作限制，但不可删减开发框架原有功能），可通过安全架构设计或安全技术集成的设计方式，使得业务系统满足下列弹性能力指标要求：

1. 预防能力

具备对攻击流量进行感知、欺骗、迟滞、抵御等的预防设计，且默认处于可用状态，要求不得直接修复框架代码漏洞

2. 承受能力

具备损失限制设计，如系统指纹伪装、最小化端口开放、最小化权限设置、持续验证、网络分段隔离等，达到减小系统暴露面、消除攻击持久性、限制攻击影响范围等效果

3. 恢复能力

具备业务系统服务与资源组件的异常状态监控与告警能力，以及业务系统服务与资源组件受损后的快速恢复能力

4. 适应能力

具备攻击发生时的自适应防御能力提升机制，如规则实时更新、业务环境自动重构等，使得业务系统在首次攻击成功的情况下，能够防御再次发起的重复攻击或者攻击变种

二、参赛要求

1. 参赛作品要体现一定的创新性和实用性

2. 参赛队伍应在规定时间内完成作品的设计、开发及作品文档撰写

3. 参赛作品应该是参赛队伍独立设计、开发完成的原创性作品，严禁抄袭、剽窃等行为。凡发现此类行为，将取消参赛队伍的参赛资格

4. 应提交的参赛作品资料包括作品文档资料（PDF格式）、业务系统及弹性能力设计相关组件源代码、Docker镜像、弹性能力指标验证演示视频（不超过10分钟）

5. 业务系统中不得体现参赛队伍相关信息

6. 作品文档资料须按照赛事举办方提供的模板编写，文件以“战队名称+系统名称”命名，具体内容要求如下：

① 作品简介：作品名称、参赛队伍名称、参赛成员姓名、作品简介等

② 设计方案：业务功能、技术指标（含功能、性能、弹性能力）、实现原理、软件流程等

③ 测试报告：指标测试方法、测试工具、测试数据、结果分析等

④ 其他文档：除上述规定内容以外的其他作品相关内容

设计安全大赛-赛程安排

【第一阶段】