目前网络安全行业现状理解-徐庆臣（黑客洗白者

1.jpg

（2019）行业处于起步阶段

安全行业的发展历程虽然不长，但安全建设仍存在广度和深度不足的问题。即使是一些国内大厂，其安全水平也没有想象的那么高。很多企业的安全防御仅能应对一些白帽子级别的攻击，而在面对专业黑客团伙的持续定向攻击时，多数企业都无法有效防御。从HW和各个漏洞应急响应中心的数据以及0day出现后对应企业员工的反应可以看出，安全建设的水平还有待提高。

（2020）从业人员薪酬高

由于安全行业的起步较晚，安全人才稀缺，需求旺盛，这就导致了安全从业者的薪资水涨船高。高到什么程度呢？众所周知，互联网行业薪酬在所有行业中处于较高水平，而技术类则是互联网行业中薪酬相对最高的职能。安全工程师则是技术人才中薪酬最高的，与当前备受瞩目的机器学习人才并驾齐驱。可能还是没有概念？这么说吧，应届信安专业优秀的本科生能够拿到每月20000-35000的薪资（当然，这里面有很多行业内卷的因素，一些公司的招聘策略是入职即巅峰，后面薪资涨幅不大），努力工作三四年的能拿到每月40000的薪资，成为安全团队管理者后能拿到百万年薪，成为行业顶尖人物则能拿到千万年薪。后面我们也会讨论不同薪资水平对应需要具备什么样的能力结构。随着越来越多的学校开设信息安全相关课程，越来越多的培训机构教授信息安全知识，以及越来越多的人学习或转行做信息安全，整体的人才紧缺情况有所好转。

从业人员良莠不齐

随着安全行业的蓬勃发展，好处是会有更多的人投身于安全，然而，坏处也显而易见。人员空缺与岗位的紧急程度导致存在大量能力良莠不齐的人在行业内浑水摸鱼。这些人最明显的特征在于，当你与他谈论技术细节时，他与你谈论行业热点；当你与他探讨行业热点时，他与你谈论合规套话；当你与他讨论监管合规时，他与你谈论行业八卦。如果这些方面都能略知一二倒也罢了，更多的人却是答非所问，或者看似句句在理，实际上言之无物。更有甚者，不知在何处听到的理论还没消化完毕，就拿出来班门弄斧。虽然这么说可能会得罪部分人，但事实上，即使员工在入职后，正常的老板在不懂安全技术的情况下，也无法真正衡量出他的实际能力。主要是因为前面提到的安全水位难以衡量，而实际的安全风险都是小概率事件，很多时候是可以凭运气实现目标。

安全水位难衡量

许多事情之间都有着因果关系。之前提到良莠不齐的根本原因在于很难通过结果来判断安全建设的水准。许多团队的KPI是不出安全事故——即使什么都不做也不会出安全事故。这就导致了吹嘘拍马之人的盛行。然而，随着实战红蓝演练的普及，国家级别实战攻防演练的规模和范围不断扩大，逐渐采用模拟实战的方式来检验防护和应急效果，这在一定程度上改善了这种情况。

安全建设驱动因素转变中

金融、电商、游戏等业务类型对安全有着天然的需求。安全已成为这些业务的重要属性，否则黑灰产都会盯上来。在乌云等公共漏洞报告平台兴起后，各家企业的安全建设又上了一个台阶，这属于白帽子安全事件驱动。然而，随着合规问题的出现，白帽子驱动的模式也逐渐减少。许多企业只是为了满足合规要求而进行安全建设，甚至有些企业会购买大量安全产品，但只是为了应付监管检查而不实际使用，此时仅为合规驱动安全。最近几年，随着国家攻防演练的增加，行业风气逐渐回归正常，安全已演变为由实际风险驱动。

（2014-至今）安全圈子文化氛围浓厚

安全领域是一个小圈子，信息传播迅速，例如企业数据库泄露、业务活动被利用、安全人员被抓、企业遭受惩罚等负面新闻。圈内人能够快速了解行业新技术、新方向、新政策，轻松了解每家公司的安全建设情况。你可以了解到阿里安全与线下公安机关的合作手段，腾讯的SRC运营模式，以及百度安全人士如何利用机器学习赋能安全产品。这些在小圈子内都非常容易实现。众多安全会议的举办也让你有机会学习每家公司的经验，无需自我探索。当然，小圈子的缺点也很明显，有些人搞所谓的“圈子文化”，混迹于各种安全会议，主动结识圈内人。当然，这并不包括SRC的运营人员，因为这是他们工作的一部分。如果是以交流技术为目的结识圈内人尚可理解，但有些人只是加上微信，发送一条自我介绍后就再无任何有意义的交流，令人费解。

（2013-2019）学历相对不重要

安全圈中存在着许多无学历或低学历的牛人，他们可能年龄不大、工龄不长，但往往都是兴趣驱动，早期就在安全领域投入了大量时间和精力，因此颇有造诣。当他们的长处特别突出时，往往会突破企业的一些要求限制，例如岗位学历要求本科时，候选人的突出安全能力能够降低这项要求。然而，我们也必须正确认识低学历对工作带来的影响。在当前安全行业逐渐细分、安全建设越来越深入的趋势下，安全从业者不再只是会挖漏洞就行。因此，建议低学历候选人尽早通过自考等方式系统地学习英语、数学、计算机基础等学科，并获得国家认可的成人教育学历。届时，学历问题的影响就不再是问题。随着大量院校开设信安专业，越来越多的人进入到安全行业。后续企业招聘安全人才时，学历要求肯定会和其他行业一样成为基础筛选要求，以降低招聘成本。

2023年以后

在2023年的国家网络安全宣传周上，网络安全人才培养备受关注。据最新的数据显示，到2027年，我国网络安全人员缺口将达到327万。这使得社会和产业对网络安全人才的需求日益迫切，面对外国国家的力量攻击，我们需要在国家允许的情况下采取必要行动。根据教育部网络安全人才实战能力白皮书数据，国内已有34个高校设立网络空间安全一级学科，预计到2027年，我国网络安全人员缺口将达到327万。然而，高校每年培养的网络安全人才规模只有3万，许多行业因此面临网络安全人才缺失的困境。从企业角度来看，网络安全的地位越来越重要，但招聘到适合的网络安全技术人才并不容易。专家介绍，随着数字化进程的加速，网络边界逐渐消失，网络攻击暴露面扩大，网络安全实战能力，尤其是攻防实战、漏洞挖掘、工程开发等方面的能力，成为当前对网络安全人才最为突出的要求。

2.jpg