信息安全行业从业指南2.0
作者:赵彦
整理者:whale
编辑引言:
在网上看到赵彦前辈的这篇文章(2014年发布),但是通篇文字下来,一个小标题都没有,看得实在累得慌。
但内容对于新人来说,很有参考价值,所以斗胆编辑整理。
正文:
为了减少篇幅有些东西就略过不写了,可以参考我以前写的《信息安全从业参考》《信息安全的职业生涯》《CSO的生存艺术》等老文章,或者我记得在安言的论坛上有人对我写的话题展开和补充并重新成文,具体记不太清了,但应该也是可以参考的。
我个人没有能力去预言安全产业的发展,但职业毕竟是个跟产业相关性比较大的话题,所以也适当援引一些个人观点吧。
甲乙方说起
从甲乙方说起,乙方分为2B和2C两类,这里主要说2B的部分,因为2C中的大部分更适合归入互联网行业。
IDC的报告称2018年中国企业安全市场约200亿RMB,相对于互联网,游戏等其他领域而言显然是个很小的市场,所以安全公司不会像互联网领域的创业公司一样遍地开花,会受到整个市场容量的限制,对于乙方如果不是360,那就是启明绿盟天融信这类公司了(名字太多不一一列举,如果你所在公司营业额很高而未出现在此列请不要生气,这里并无意去关注具体的公司)。
有人会说以后乙方可能还会有BAT诸如阿里云这些,没错,但从做的事情而言,即便阿里云成了乙方,阿里云安全成了乙方安全,但实际上做的事情对于从业者而言还是甲方做的那些事情,因此在这里就不把他们归入乙方了。
对于乙方做的事情,从厂商角度看可能会有一系列的产品和服务的创新,但对于从业者而言其实跟以前差不太多,至少在可见的时期内还是以前文章里写的那些,还看到不到质的变化。
如果你一定要在乙方寻求点不同的体验,那就去所谓的互联网安全公司的非传统安全业务或者去传统安全公司的互联网业务线。
撇开乙方看甲方,应该是比较乐观的,这是一个跟企业安全市场盘子无关的领域,随着企业开始重视安全,甲方会有更多的安全职位,并且安全职位会多样化,这里应该是一个比较广阔的空间。
甲方乙方之外是学术研究领域,对那片土地不是很了解,本文就仅限于工业界吧。欢迎学术界和高校院墙之内的同学们补充。
(至于黑产和国家队,本文就不打算写了,毕竟大部分人不会走这条路,我只知道那也是一个很神奇又有点奇葩的世界,如果你有潜质,仅这一句话就能把你引向那里)
关于薪资
先退几步,如果你尚在考虑要不要进入这个行业,我可以提供几点参考。据我和朋友们观察,10多年以来在同一个公司同一个级别上的工程师,大多是安全比运维和开发的工资高,但CTO大多来自运维和开发,鲜有从安全晋升来的。
原因不难理解,安全在不少场合都不是必需品。好或者不好因人而异,事实上身边还是有很多安全技能很高的人表示如果再给一次选择的机会,可能不会选择安全,这其中包括你们耳熟能详的大牛们。有一个方法可以自测一下,如果你内心深处都没有偶尔想入侵一下,黑一下,一探安全究竟的时候,我建议你还是考虑其他安全以外的行业,你在这个行业能发力的可能性不大。
从业者的构成
从从业者的构成看,我认为可以分为黑客圈,安全圈和安全圈的外围。
黑客圈无论你喜欢叫他白帽子还是什么,总之就是以攻防技能为主线并以此出卖自己知识的人,安全圈跟黑客圈交集很大,也包括那些在安全行业的主要力量但却不是白帽子或黑帽子出身的人,这两者构成了安全行业的核心,即本质上安全行业是由理解网络攻防的人为核心构成的。
外围是什么呢,随着安全需求的多样化,安全会引入大量跟攻防不直接相关的人,比如做业务安全数据分析,运维hadoop集群或做BI的开发,或者做安全产品开发,这些人本质上不是跟安全行业强绑定的,例如有的人做安全产品的UI开发,换做去其他行业也一样做UI,做业务安全数据分析的去非安全的业务部门一样做数据分析,不是严格意义上安全行业的人。
只有以攻防为主线,和以安全咨询体系为主线的人才是跟安全行业绑定的,这些人需要考虑终生投产比和基因决定理论的影响,其他的外围看官们理论上跨行业更容易些。
在当前时间点看,安全圈是一个很小的圈子,不是远小于,是远远小于运维和开发圈,江湖味道更浓,有时候也颇具文人相轻的味道,不过好的一面是互联网公司之间安全团队的交流越来越平,除了直接敌对公司外,大部分人都朝着更加开放的互联网沟通和分享文化迈进。
说了这么多,如果你想进入安全行业,并且成为中流砥柱,那么知识结构和背景技能应该和攻防技术强相关,这条线不保证你容易成为高管,但从统计学角度能保证你不偏离行业的核心。
安全管理趋势
插几句谈一下安全管理的趋势,因为这个会影响从业者的价值观和学习方向。我个人认为的几个趋势:
1.企业安全管理最终都会向互联网公司学习–未来大多数公司都会复制自己业务到互联网,也就是大多数企业都会拥有互联网的属性。
从现在看,互联网公司的安全管理方法论是领先传统公司整整一个时代的,完全不在一个量级上。你还在做传统的安全吗?夸张一点说你就快不属于这个行业了
2.向云迁移–云是一种趋势,虽然我不认为短期内马上会有非常多的公司将自己的业务迁移到公有云上,或者从头打造私有云。
但是云计算折射出的IT管理方式,技术架构却会越来越成为安全管理的风向标,例如分布式IDC管理,虚拟化,SDN,海量运维生态,业务伸缩,大数据,高度自动化,敏捷发布……等很多带着时代标签的东西,安全管理体系的设计和产品化落地需要越来越多的围绕这些特性标签展开工作,如果你没有这方面的经验,也会逐渐out
3.倾向于以技术和产品(工具自动化)解决问题,而不再是以前宣扬的七分管理三分技术。看近些年的IT技术发展,本质上由Google、Facebook为代表的这些互联网公司带动,除了技术架构,像运维管理、研发生命周期管理、安全管理都在成为其他公司的教科书,安全的最高境界是让你身处于保护之中而不感觉那些繁琐措施和流程的存在,以技术、自动化、机器学习、人工智能为导向解决问题的价值观已超越流程制度的落后方式,也是过去那些理论标准越来越显得发虚的原因。
从这些趋势看,如果你是体系架构型,技术复合型(俗称全栈工程师),特定技术方向专攻型以后会受市场青睐,而“务虚型“的市场价值可能不太乐观。
随着2000年后安氏把基于资产威胁脆弱性风险评估方法论带入中国,精通各类安全标准的顾问身价一度比会安全技术的工程师高,但现在这些东西包括IT治理的理论已经远不如以前风光,你说你会ISO27001,随便找个聪明点的刚毕业的本科生,做一年也就会了。但如果你说”我有10万台服务器的安全管理经验“,对方可能会表示”小伙子,来我们这上班吧!“。
让会攻防的人学习ISO27001、20000之类的东西,跟让务虚型学习技术,前者的成功率会比较高,而后者的成功率会很低,这就是可替代性。
很多同学看到这些也许会觉得哀怨,甚至咨询圈的老人会列举一大堆”价值“和”空间“,是的我相信Accenture、Thoughtworks他们有很多我没提到的前景,我说这些并非因为我呆过360,出身绿盟,我也不是唯技术论者。
就像浪潮之巅所说的,这些都是时代的趋势,不是以个人意志为转移的,哪怕是公司想拒绝他都如同螳臂挡车。
为什么在互联网公司技术专家的报酬可以比管理人员高,取决于你解决问题所对应的价值层次,实际上也是时代演进的产物,也许现在更缺能解决实际问题的人。从就业的角度讲,这种趋势为技术从业者提供了更广阔的前景和空间。
对于乙方,比较有价值的地方是研究部门、安全服务、攻防强相关产品研发。对于甲方,除了大互联网(门户、搜索、广告、电商、网游、社交、支付、移动APP……)、金融、电信行业之外,其他就目前来讲可能不是甲方安全从业的好的选择,毕竟形式上重视安全和本质上重视安全还是两回事。
现实生活中的人员分布也可以佐证这一点,国内比较懂安全的人绝大部分都在互联网公司,第一梯队3BAT、第二梯队BAT之外的知名互联网公司(有些兄弟单拉出来绝不比BAT的差,这里主要是笼统的比较),第三梯队可能在金融和电信业有一些,再剩下来可能没有太懂安全的人了,因为懂安全的早就被上述挖光了……(当然,如果看官您恰巧是某个大牛,又恰好很例外不在上述行业中请勿生气,我会尽可能在该文的下一修订版本中注明”xxx是个例外,目前在yyy就职”)。
甲方安全建设的多样性也使得分工越来越细:网络与基础架构安全,业务与应用安全,风控……,例如SRC运营就是一个相当垂直的细分职能,尽管在互联网公司做安全你可能会有优越感,但如果长时间做很细的一块儿也可能导致没有成为领域专家却“偏科”的很厉害。T字形人才通常比较受欢迎,最好是甲方乙方都呆过,那样所有的套路你都会了,无死角。
价值一方面跟人才市场的供求关系有关,一方面也跟学习成本高低、获取技能的难易度有关,例如你会一种web开发语言,javascript,http协议,常用的SQL DML语句就能开始玩web安全了,但如果你想玩溢出,相比之下还是需要花更多的时间学习更多东西才能越过这个门槛,而读懂ISO27001则容易的多(这里无意于表达web和二进制谁更牛叉谁更值钱这样的无聊问题,只是举个抽象的例子),如果你觉得因为钱多而把自己的目标设定为要走袁哥的路,而忽视了自己的兴趣,fail的可能性比较大。另外,技巧永远不能代替技术,过分迷恋于技巧对长足的发展没有好处。
历史从业者的技能
第一代安全从业者的技能基本以OS和网络安全为主,1.5到第二代以广义的web service等应用安全为主,如果一定要说第三代,移动安全可能还算是当下比较热门,关注者比较多。
相对前沿的领域,而从VC的角度看移动互联网可能都不再是热点,早已开始布局更下一代的东西了,也许是类似于人工智能这样的领域。
PC端和web安全虽然研究者众多,议题众多,方法论很多,大多数行业内的从业者每天围绕这些工作,但这些应该即将归入红海,不再属于前沿的、时代浪潮之上的东西,反过来说一个蓝筹但不再新兴的市场,其对安全的需求还是有一个很高的保有量,所以有很多事情可以长期做但也许之后就不在是什么有新鲜感的东西了。
第一代的人起步的时候,那时候IT基础设置和应用复杂度都远不如现在,所以那时候都是把安全建设放在网络和系统层面的,而后来随着IT在社会生活中实用化的程度越来越高,业务越来越多的依赖于IT,I的多样性和T的复杂度成倍提升,使得安全的需求也越来越广,单个从业者的技能不太可能通吃全部,大一点的机构开始把业务安全独立出来,分工越来越细,人研究的内容则越来越专,安全团队中开始加入开发和运维,甚至还涉及到硬件领域,也许以后的安全团队就是一个什么人都有的兵器库。
对个人来说一方面你到底需要多前沿的铺垫才能不out,另一方面则要考虑将自身定位收缩于哪些点才可能挖到最深,视野一定是尽可能的宽泛,是一个“放”字,但落到实践一定是个“收”字,以如今的技术复杂度你不可能样样都精通,只能挑几个。
从业者的前景
对于从业者的前景,其实在过去相当长的时间里,由于乙方公司的净利润很低以及甲方安全不是产生收入的部门,所以从业者的前景一度比较暗淡,直到后来有了360这样的公司,有了BAT的崛起,才使得技术从业者的待遇得到了极大的改善。
斯诺登曝光之后,国家层面开始重视信息安全,以华为这样的企业建立安全能力中心为代表,今年安全人才需求开始井喷,供求比大幅失衡,国内资深从业者的工资已经赶超了美国的工程师,在当下看是一片利好,但有时候也说不清这到底是价值回归还是有点泡沫成分,没人能说得准,但短期内一定是人才供不应求,但是不是长期供不应求也很难说。
因为现在越来越多的高校也开始培养安全方向的人,供给量会变大,安全会从小众变成大众学科,当然,无论什么时候这个行业的精英一定是跟兴趣和天赋挂钩的,有时候确实需要一点“歪门邪道”的天赋。
关于创业,如果你原先是做安全产品研发,能带一支完整的团队出来,做的产品属于下一代类型或者干脆就是市场空白,不妨尝试一下,其他的类型我认为创业的成功率应该比较低。
最后,如果你有条件的话,多接触技术大牛和视野型的资深从业者,适当关注一下安全以外的新技术趋势。
全文完
通篇下来可能会有聪明的同学提问说的这些是不是可以概括为最优解应该是去互联网公司做安全?(看情况)其实不然,甲方乙方,身处不同的阶段有不同的需求,没有哪里一定最好之说,哪怕是3BAT对有些人来说也是瓶颈之地,所以还是看具体场景。