一、竞赛组织机构

    主办单位：上海市教育委员会、上海市通信管理局

    承办单位：东华大学、上海市互联网协会

二、竞赛项目

    大赛分为网络攻防赛、信息安全作品赛、实网漏洞挖掘赛三个项目。

    1．网络攻防赛

    网络攻防赛分为线上初赛、复赛和线下决赛三个阶段。

    线上初赛将分为 2 个赛道，网络安全赛道与数据安全赛道。网络安全赛赛题目类型为密码学、Web 安全、逆向分析、二进制漏洞挖掘、综合杂项等。数据安全赛赛题类型为数据脱敏、敏感数据发现、数据库审计、数据水印、数据跨境、数据明文传输等方面。参赛选手通过线上远程参加比赛，根据线上初赛的成绩由高至低产生 50 支进入复赛的队伍，其上海高校 14 支队伍，外省市 36 支队伍。

    线上复赛为漏洞挖掘赛，由参赛选手对平台提供的漏洞环境进行分析，并深层次挖赛题漏洞，主要赛题类型为 Web 安全、密码学、综合杂项、内网渗透等，最终得分以发现的漏洞数量和深度综合评定成绩。

    线下决赛采用 AWD 攻防赛模式，模拟政府、企业、院校等单位的典型网络结构和配置，综合考核参赛团队攻击、防御技术能力、即时策略的比赛模式。在攻防模式中，参赛队伍分别防守同样配置的虚拟靶机，并在有限的博弈时间内，找到其他战队的薄弱环节进行攻击，同时要对自己的靶机环境进行加固防守。比赛采用零和积分方式，即每个战队都拥有相同的起始分数，挖掘网络服务漏洞并攻击对手服务取得 flag 获得积分，被攻击方扣减相应分数；修补自身服务漏洞进行防御来避免丢分，最终以得分高低直接分出胜负。

    线下决赛将综合线上初赛与复赛的成绩由高至低产生 30 支决赛队伍，其中上海高校 10 支队伍，外省市 20 支队伍（注：原则上，上海地区每校最多允许二支队伍参加决赛，外省市每校最多只允许一支出线队伍参加决赛），初赛与复赛成绩不带入决赛。

    2．信息安全作品赛

    参赛作品分为两类：

    一是以信息安全技术与应用设计为主要内容，选题范围定为系统安全、应用安全（内容安全）、网络安全、数据安全和安全检测五大类，参赛作品形式可以是软件、硬件等。参赛队自主命题，自主设计，已经参加过其它赛事并获奖的作品不得重复参赛。符合要求的作品自

    动进入初赛，由专家根据作品原创性与创新性、作品完成度、性能、商业价值和文档规范性等指标进行评审确定决赛名单。

    二是以网络安全科普作品为主要内容，选题范围定为互联网安全、国家安全与保密、电信诈骗防范、工业数字化安全、AI 与安全未来等，参赛作品形式可以是：海报、长图、漫画、视频、仿真案例、钓鱼脚本、游戏创意等。参赛队提交作品需包括创意思路、使用工具与参数说明（AI 作品需说明使用的模型与提示词）。参赛作品要求为自主创作，已经参加过其它赛事并获奖的作品不得重复参赛。符合要求的作品由专家根据作品原创性与创新性、作品完成度、可推广性和文档规范性等指标进行评审确定名次。（获奖作品将用于公益宣传）

    3．实网漏洞挖掘赛

    将通过对指定企业的实网资产开展漏洞挖掘，根据目标企业设定的攻击目标与漏洞范围开展漏洞挖掘，攻击过程中不得采用钓鱼、社工、水坑、拒绝服务等攻击方式开展攻击，其他攻击方式与路径不做限制。最终将根据每个参赛队伍的成果进行评分，并单独设奖。

历年比赛可能有些许改动，以当年的比赛准则通知为最终标准