2018暑假神州數碼培訓總結

2018年7月25日到7月28日，在江蘇信息職業技術學院參加了爲期3天的信息安全與管理專業師資培訓。此次培訓由神州數碼公司組織，神州數碼從2011年起就一直是職業技能大賽“信息安全管理與評估”賽項的承辦廠商，此次培訓的主要內容就是針對近幾年的國賽試題進行分析，並探討今後的命題方向和趨勢。
對於“信息安全管理與評估”國賽，有一個非常不好的發展趨勢，就是比賽所涉及的技術越來越封閉，所謂的賽前公佈試題、賽後公佈答案，更多的是爲了應付教育部領導。即便是像我這樣已經有了多年參賽經驗的指導教師，當看到2018年的比賽試題時，仍然是一頭霧水，根本不知道比賽準備考什麼，我們應該從何處着手備賽。另外，由於這兩年的比賽形式都是提交flag，而賽後所公佈的答案也只有那小小的一串flag，從這點可憐的信息中仍然是很難去分析比賽所要考察的重點。所以對於目前的國賽，我們幾乎是無從準備。由於今年還擔任了國賽裁判，與神州數碼負責比賽事物的相關領導也有過一些交流，我曾提議能否公開比賽試題和環境，領導答覆是要開發這些試題和環境也並不容易，而且這些資源都屬於是公司的商業機密，因而很難公開。對此，我也只能呵呵了。
當然，在中國凡事皆有可能，估計能夠獲取到比賽環境的也大有人在，否則在國賽中也不會有好幾個參賽隊在第二階段拿到滿分了。對於我們普通人，只能寄望於通過此次神州數碼的官方培訓獲取到一些信息。但在培訓過程中，比賽試題和環境都成了“奇貨可居”，培訓講師也只是遮遮掩掩的透露隻言片語，好在大家畢竟也都是有多年的參賽經驗，因而總算是稍微摸清了比賽的套路。這裏也不妨公開一下重點，對於比賽的第二階段，目前考察的內容主要分爲三塊：第一塊仍然是Web安全，這一塊變化不大，仍然是延用了2016年的比賽環境，另外再加上2017年所考察的PDO技術。第二塊是局域網安全，這部分內容變化也不太大，主要知識點在我那套“局域網安全實戰教程”裏都有介紹，當然我那套教程裏缺少了路由毒化部分的內容，希望能有時間把這塊給補上。這塊內容最大的變化就是原先都是使用Kali自帶的工具進行×××，而現在這些工具都需要用Python來自己編寫，核心知識點還是如何利用scapy模塊來構造各種數據包。第三塊內容就是緩衝區溢出和逆向工程了，而且這塊內容正顯得越來越重要，同時這也是各類CTF比賽的重點考察內容，所以這促使我不得不下定決心將這部分內容作爲近期的一個主要學習方向。而要搞懂這部分內容，必須要具備C和彙編的基礎知識。總之，在安全領域，編程能力正顯得越來越重要。正所謂，一個優秀的程序員未必是一名×××，但一個優秀的×××必定是一名程序員。