2018暑假神州数码培训总结

2018年7月25日到7月28日，在江苏信息职业技术学院参加了为期3天的信息安全与管理专业师资培训。这次培训由神州数码公司组织，神州数码从2011年起就一直是职业技能大赛“信息安全管理与评估”赛项的承办厂商，这次培训的主要内容就是针对近几年的国赛试题进行分析，并探讨从此的命题方向和趋势。
对于“信息安全管理与评估”国赛，有一个很是很差的发展趋势，就是比赛所涉及的技术愈来愈封闭，所谓的赛前公布试题、赛后公布答案，更多的是为了应付教育部领导。即使是像我这样已经有了多年参赛经验的指导教师，当看到2018年的比赛试题时，仍然是一头雾水，根本不知道比赛准备考什么，咱们应该从何处着手备赛。另外，因为这两年的比赛形式都是提交flag，而赛后所公布的答案也只有那小小的一串flag，从这点可怜的信息中仍然是很难去分析比赛所要考察的重点。因此对于目前的国赛，咱们几乎是无从准备。因为今年还担任了国赛裁判，与神州数码负责比赛事物的相关领导也有过一些交流，我曾提议可否公开比赛试题和环境，领导答复是要开发这些试题和环境也并不容易，并且这些资源都属因而公司的商业机密，于是很难公开。对此，我也只能呵呵了。
固然，在中国凡事皆有可能，估计可以获取到比赛环境的也大有人在，不然在国赛中也不会有好几个参赛队在第二阶段拿到满分了。对于咱们普通人，只能寄望于经过这次神州数码的官方培训获取到一些信息。但在培训过程当中，比赛试题和环境都成了“奇货可居”，培训讲师也只是遮遮掩掩的透露只言片语，好在你们毕竟也都是有多年的参赛经验，于是总算是稍微摸清了比赛的套路。这里也不妨公开一下重点，对于比赛的第二阶段，目前考察的内容主要分为三块：第一块仍然是Web安全，这一块变化不大，仍然是延用了2016年的比赛环境，另外再加上2017年所考察的PDO技术。第二块是局域网安全，这部份内容变化也不太大，主要知识点在我那套“局域网安全实战教程”里都有介绍，固然我那套教程里缺乏了路由毒化部分的内容，但愿能有时间把这块给补上。这块内容最大的变化就是原先都是使用Kali自带的工具进行×××，而如今这些工具都须要用Python来本身编写，核心知识点仍是如何利用scapy模块来构造各类数据包。第三块内容就是缓冲区溢出和逆向工程了，并且这块内容正显得愈来愈重要，同时这也是各种CTF比赛的重点考察内容，因此这促使我不得不下定决心将这部份内容做为近期的一个主要学习方向。而要搞懂这部份内容，必需要具有C和汇编的基础知识。总之，在安全领域，编程能力正显得愈来愈重要。正所谓，一个优秀的程序员未必是一名×××，但一个优秀的×××一定是一名程序员。