2018暑假神州数码培训总结

2018年7月25日到7月28日，在江苏信息职业技术学院参加了为期3天的信息安全与管理专业师资培训。此次培训由神州数码公司组织，神州数码从2011年起就一直是职业技能大赛“信息安全管理与评估”赛项的承办厂商，此次培训的主要内容就是针对近几年的国赛试题进行分析，并探讨今后的命题方向和趋势。
对于“信息安全管理与评估”国赛，有一个非常不好的发展趋势，就是比赛所涉及的技术越来越封闭，所谓的赛前公布试题、赛后公布答案，更多的是为了应付教育部领导。即便是像我这样已经有了多年参赛经验的指导教师，当看到2018年的比赛试题时，仍然是一头雾水，根本不知道比赛准备考什么，我们应该从何处着手备赛。另外，由于这两年的比赛形式都是提交flag，而赛后所公布的答案也只有那小小的一串flag，从这点可怜的信息中仍然是很难去分析比赛所要考察的重点。所以对于目前的国赛，我们几乎是无从准备。由于今年还担任了国赛裁判，与神州数码负责比赛事物的相关领导也有过一些交流，我曾提议能否公开比赛试题和环境，领导答复是要开发这些试题和环境也并不容易，而且这些资源都属于是公司的商业机密，因而很难公开。对此，我也只能呵呵了。
当然，在中国凡事皆有可能，估计能够获取到比赛环境的也大有人在，否则在国赛中也不会有好几个参赛队在第二阶段拿到满分了。对于我们普通人，只能寄望于通过此次神州数码的官方培训获取到一些信息。但在培训过程中，比赛试题和环境都成了“奇货可居”，培训讲师也只是遮遮掩掩的透露只言片语，好在大家毕竟也都是有多年的参赛经验，因而总算是稍微摸清了比赛的套路。这里也不妨公开一下重点，对于比赛的第二阶段，目前考察的内容主要分为三块：第一块仍然是Web安全，这一块变化不大，仍然是延用了2016年的比赛环境，另外再加上2017年所考察的PDO技术。第二块是局域网安全，这部分内容变化也不太大，主要知识点在我那套“局域网安全实战教程”里都有介绍，当然我那套教程里缺少了路由毒化部分的内容，希望能有时间把这块给补上。这块内容最大的变化就是原先都是使用Kali自带的工具进行×××，而现在这些工具都需要用Python来自己编写，核心知识点还是如何利用scapy模块来构造各种数据包。第三块内容就是缓冲区溢出和逆向工程了，而且这块内容正显得越来越重要，同时这也是各类CTF比赛的重点考察内容，所以这促使我不得不下定决心将这部分内容作为近期的一个主要学习方向。而要搞懂这部分内容，必须要具备C和汇编的基础知识。总之，在安全领域，编程能力正显得越来越重要。正所谓，一个优秀的程序员未必是一名×××，但一个优秀的×××必定是一名程序员。