信息安全行业现状

信息安全行业现状

1994年4月20日,中国正式接入因特网。

至今2020年,历史短短26年。

国内信息安全企业成立时间长的,哪怕是大企业,也就十多年历史。国内院校培养的信息安全人才远远落后于市场要求。而拥有数十年经验的信息安全人才屈指可数。

院校中能够教授信息安全领域渗透测试方向的老师,可以说是几乎没有。

从2018年开始在信息安全领域打杂以来,看到的Sec的博士也很年轻,不过二三十岁。不是鄙视年轻人,医学方向我们都知道老医生比年轻医生更有经验,所以经验也是很重要的。而作为有经验的基础——年龄大,也是一个充分不必要条件。就说业内很有名的黑客余弦、tomkeeper(2001-2020,有近20年的经验),也是拥有着多年的行业经验。

无论是通过信安混口饭吃的、还是以各个大黑阔为目标的各位,都应该踏踏实实努力个十年再说。

虽然

  • 现在行业各种标准都十分混乱
  • 许多小公司都没有培养人才的能力和愿望
  • 很多公司都不注重信息安全
  • 很多公司注重 销售>技术人员
  • 技术人员承担承担成才时间极长、单干可能性极低,就业面极窄的风险
  • 公司更愿意挖人,而不是培养人才 因为挖人只需要付工资,而培养人才,一旦培养成为能够上手工作的熟练人员,那么可能跳槽,所有付出的培养成本都打水漂
  • 是风险也是机遇。很多成熟的行业各种管理标准都很完善。只能熬资历、拼学历,入行晚了就没有发挥的空间了。大头利润都由业内前辈抽走。有哪些成熟行业这里就不举例了,免得杠精来杠。

但是只要互联网还存在于地球一天、程序员还是由人类编写为止,信息安全都是不愁被AI取代的、不愁没有工作的。

技术行业的风险

作者:天玹六 链接:https://www.zhihu.com/question/54696826/answer/601826541 来源:知乎 著作权归作者所有,转载请联系作者获得授权。

其实所有技术岗都面临四重风险:门槛极高,成才时间极长,单干可能性极低,就业面极窄,并且越牛B的技术岗这四个特征越发突出。 (举例:诺斯诺普格鲁曼公司的核动力航空母舰造船厂及B2幽灵隐形轰炸机工厂,什么进去了你还想跳出来单干??还想跳槽?? 除非你有本事飞出太阳系,否则可能性不是很大)风险总是需要有人承担的,我认为这个点正是中外工业企业一个最本质的差异。

在发达资本主义国家,风险是由企业承担大部分,个人承担小部分(如承诺不裁员,应届生明明没有产出仍然高薪先养着, 技术方向晋升的报酬与管理方向持平甚至略高,行业联盟不搞恶性竞争等,个人往往仅承担行业的系统风险), 而在我国,就业风险全部由个人承担(如随时裁员,应届生没有产出那就先吃屎,做技术的永远是狗,行业永远只搞恶性竞争)。更加恶劣的是,个人非但需要承担全部风险,大部分企业还会利用技术人员个人命运与企业命运捆绑,放弃工作的成本极高的事实(比如我的放弃成本就足以令90%以上的机械工程师打消放弃的念头,但是与其让我放弃生命的尊严而苟活于机械行业,我宁愿放弃生命,我要不是31岁还能啃老估计现在已经重新投胎了),来压低技术人员的报酬水平。

如果有善良的企业不这样做,就会劣币驱逐良币,反而死得更快。(举例:X东前几年不是很牛逼吗?帮快递小哥交五险一金,呵呵呵,现在是按国家规定交五险一金的X东活不下去,还是不交的X丰X通X达活不下去?以前交多了现在降一点,被千夫所指啊,一开始就不交不就什么事都没有了吗?)

企业这种行为导致的严重后果,我称之为“一代而亡”,即技术员哪怕侥幸能够娶妻生子,他也会拼了老命阻止他的下一代进入自己的行业,说得文绉绉一点,就是“人才断层”。机械人才已经断了多少层,我就不再负能量了。

ps:现在媒体不正视“人才断层”的恶劣现实,还在鼓吹“XX核心研发团队平均年龄不到30岁”“相比起美国企业平均年龄50岁的死气沉沉,我们这边朝气勃发”…我不知道从什么时候开始,我们国家的工程师变得跟妓女一样越年轻越值钱了?拿机械工程师跟妓女相提并论,这也太过抬举机械工程师了吧?每个妓女都用得起iphone,机械工程师用得起吗?

技术岗位,初级过剩高级紧缺

作者:胡嵩 链接:https://www.zhihu.com/question/356982241/answer/1010277323 来源:知乎 著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

前面有答主已经很简短有力的回答了: 初级过剩,高级紧缺。其实以我这么多年的招聘经验(发出1000+ offer, 面试数倍人)来看, 市场的供给情况比这个还要糟糕, 或者说对于有志在技术领域发展的程序员朋友, 前景比你想象的还要好。 市场上90%的程序员达不到大厂的entry level(准入门槛),也就是狼厂的T3,给到正常应届毕业生的及格线。 注意这个讨论的全集并不是初级程序员, 而是全部相关专业的程序员。也就是说市场上很多工作多年的『资深』程序员也达不到这个标准。 T3是啥要求呢? 不管是前端、后端、架构还是算法, 只要能 熟练掌握语言和工具 ,靠谱的完成模块级的开发工作。 按照大家的简历描述, 100%肯定都over qualify了。 可真相仍然是, 在所有简历池子里随机抽取100个, 不到10个能通过狼厂T3级别的面试。 光笔试就可以干掉一大半。原因在于两个字: 基础。且不说绝大部分非科班出身的程序员, 压根就没打算把基础打牢固。 就是我们每年去985 211校招的那些对口专业, 真正把基础学好吃透的学生真是太少了。

学java搞服务端的同学, 有多少真搞懂了引用计数和回收机制?做前端的同学有多少真的理解从用户事件触发到页面刷新, 浏览器侧、网络、后端都发生了什么?常见的算法复杂度放到实际应用问题中, 真没几个能答的上来。

这些可能在不少程序员眼中属于日常用不着的冷知识, 可是真的到了生产环境中, 面临实际问题的时候, 这些基础问题就能把简历上写着各种精通、各种熟练的高手们难倒。

能照猫画虎用成熟框架把代码出来是一码事, 能高效交付高质量的工程成果是另一码事。每次大规模校招, 都不免要感慨一下学校的教育和业界的需求脱节。日常的社招, 更让人感叹,大部分程序员的工作都是重复, 没有在技术提升上起到什么作用。所以, 真正有技术追求的朋友们,不要关心统计数据, 机会大把。