自2022年5月起，“诸子笔会第二季”正式拉开帷幕。经过对首届活动复盘，我们在坚持大原则、大框架、主体规则基础上，优化赛制特别是奖项设置和评奖方式。13位专家作者组成首批“笔友”，自拟每月主题，在诸子云知识星球做主题相关每日打卡，完成每月一篇原创。除了共同赢取10万元高额奖金，我们更要聚焦甲方关注，发掘最佳实践，弘扬分享精神，实现名利双收。本期发文，即诸子笔会月度主题来稿之一。

网络安全专业还能火多久？

     文 | 孙瑜

【孙瑜】

某互联网公司安全工程部，现负责研发安全，擅长软件设计和编码安全，STRIDE威胁分析。

由工业和信息化部人才交流中心、工业和信息化部网络安全产业发展中心、中国网络安全产业创新发展联盟等多家机构、高校、企业共同编写的2022版《网络安全产业人才发展报告》（以下简称报告）已发布，报告中的一些数据值得我们参考。

报告显示，网络安全职业中性别比例严重失衡，男性远高于女性，但女性比例增速明显，从2018年只有14.4%到2022年的29.7%，整体IT行业女性比例都很低。

性别歧视经常被企业否认，但却是不争的事实，就连美国好莱坞著名影星詹妮弗·劳伦斯都面临男女同工不同酬的问题，更别说我们了，在用人单位招聘时，特别是技术类岗位，在同样条件的男性和女性之间，一般都会选择男性。

这可能是造物主创造人类那一刻起就决定了，远古时期的角色分工就是男性负责狩猎，女性负责筑巢，虽然今天男女分工已经变了，但传统观念依然影响着人们的思想，另外，女性天然承担着生儿育女的职责，决定了女性需要将部分精力放在照顾孩子和家庭上。

年轻化态势明显，年龄门槛一直是IT从业人员焦虑的最大来源，网络安全行业也不例外，报告显示，网络安全人才40岁以下的比例从2021年到2022年降低了3.93%。

程序员的35岁职业生涯早已被编成网络上的各种段子，作为一名IT从业者，也是段子里的主角，心酸而无奈，我们来想一想，为什么同样是靠技术吃饭，医生越老越吃香呢？都说软件开发技术更新换代太快，各种开发语言、框架和工具每过几年就出现新的替代品，还有人说程序开发太容易上手，在培训班学上几个月就能开发项目，所以供大于求，这些是事实但不是根源。

我个人认为这两个问题的本质只有一个，那就是大多数人学的都不是知识，只是技术，技术很容易被替代，而知识不容易。举个例子，以学开车为例，在驾校学到的是技术，掌握了技术就可以开车，但汽车为什么能跑起来？发动机原理是知识。软件开发的知识是什么呢？计算机原理，编译原理，算法和数据结构等，各种编程语言，Java也好，C语言也好，都万变不离其宗。

在这个讲究速成的社会，大部分人都不愿意学习知识，因为它见到成效太慢，学起来太枯燥，只关注当下流行的技术，而不懂原理，技术很容易被淘汰，看似的捷径其实是最远的路。

有点扯远了，回到年龄的问题，网络安全是一个综合多专业、多技能的行业，无论是攻击与防御，安全运营，或者信息安全体系建设都非常依赖经验，虽然攻击技术在不断更新，0day永远挖不完，但是漏洞原理却变化不大，OWASP十大漏洞从2017年到2021年四年只新增了三个，所以网络安全行业不太容易像程序员一样轻易被新技术淘汰，

《相约星期二》中得绝症而即将死亡的莫里说过：“如果你停留在二十二岁的年龄阶段，你就永远是二十二岁的那般浅薄。要知道，衰老并不就是衰败，它是成熟。”莫里面对死亡的坦然和从容令人敬佩。我们经常感叹要是能回到年轻的时候多好，莫里告诉我们不必羡慕年轻，岁月的磨砺，知识的积累，处事的沉稳，很多东西是只有随着年龄的增长才可能会拥有的。

硕士和本科学历比例下降，专科学历比例提高，说明从事基础操作类工作岗位的比例在增加，例如基础安全运维，渗透测试等。

信息安全涉及的知识面非常广，从密码学到计算机网络，从软件开发到信息管理等，无论做攻击与防御，还是信息安全体系建设，或者是基础安全运营都需要以上各学科的理论基础，从培训班短期培训出来以后只能做脚本小子，要成为真正的黑客还需要大量的学习和实践。

任何一个新技术在诞生初期都会经历一个膨胀期，纵观新能源、区块链、元宇宙等技术的出现，都存在一定的泡沫，随着泡沫的破裂慢慢回归实际应用才逐渐正常，网络安全也经历过膨胀期，但近年来已回归理性和健康。

任何行业的薪资水平取决于两个因素，一个是它的重要性，二是难易程度，当然还受市场经济的供需关系制约，网络安全的战略地位决定它的价值，价值决定了它的薪资水平，从招聘网站上看到一线城市的网络安全工程师略高于或者持平开发工程师的薪资水平，二线城市网络安全行业的普及率远远不及一线城市，招聘的薪资水平也普遍较低。

从网络安全从业者的专业分布不难发现，信息安全相关对口专业人员占比不到15%，信息安全专业在国内大学还没有全面开设，而且很多都是开设时间不长，专业人才的输出离市场需求差距较远。

网络安全行业是一门综合学科，需要很多专业基础，如计算机网络，通信原理，计算机原理，软件开发等，很多计算机专业的人转行做网络安全比较容易，因为他们具有很好的计算机专业知识基础。

网络安全行业细分岗位很多，如安全管理、安全运营、风险评估、安全开发、红蓝对抗等，每个岗位需要的技能都不一样，在中国信息安全测评中心发布的2017年度中国信息安全从业人员现状调研报告中，各个岗位的人员分布情况显示运营与维护，风险评估与测试，技术支持和安全管理四个岗位的人员占比合计达到60%以上。

信息安全的职业方向主要有：攻击和防御，例如红蓝对抗，白帽，安全测试等；安全运营，这一岗位的需求量非常大，因为企业部署的安全设备需要持续维护策略才能正常运行，现在也有很多企业原则外包的方式；信息安全管理，如信息安全体系建设，信息安全官等，需要丰富的经验和全面技能，从技术到管理，从编写材料到汇报，以及抗压能力，安全意味着责任。以上是主要的几个方向，还有一些如安全风险评估、等级保护、应急响应、隐私保护等篇幅原因不再展开。

最后，网络安全具有战略地位，会越来越受到重视，值得长期投入，如果说有什么建议，那就是走那条看似很远的路，那才是捷径，学习知识而不是技能，如掌握软件开发技术，无论是做攻击或者防御，知己知彼才能掌握主动权。

这句话与大家共勉，任何行业能到达金字塔顶端的都是极少数人，而以绝大多数人的努力程度，靠的不是智商和天赋，而是专一和持续。

2022诸子笔会  

【11月主题：考场，战场与职场】

刘志诚   张永宏  杨文斌  肖文棣  孙琦  

【10月主题：过与不及】

刘志诚   肖文棣  张永宏  杨文斌

孙琦  孙瑜  王忠惠  朱文义  陈圣   回顾

【9月主题：查漏补缺】

刘志诚   张永宏  杨文斌  肖文棣  孙琦

  孙瑜  王忠惠  朱文义  陈圣  回顾

【8月主题：红与蓝】

刘志诚  张永宏  王忠惠  孙琦

  肖文棣  孙瑜  杨文斌 陈圣 回顾

【7月主题：误区与陷阱】

刘志诚  张永宏  孙瑜  王忠惠  肖文棣  

朱文义  杨文斌  孙琦  陈圣  回顾

【6月主题：远程办公与安全】

王忠惠  于闽东  刘志诚  孙琦  朱文义

  张增斌  肖文棣  杨文斌  张永宏  孙瑜  陈圣 回顾

【5月主题：安全之变】

 王忠惠   张永宏  朱文义  于闽东  刘志诚  杨文斌 

 孙琦  孙瑜  半藏咸鱼  肖文棣  王振东  陈圣  回顾

2021首届诸子笔会

   颁奖 | 评优投票 | 1月盘点 | 12月盘点

11月盘点 | 10月盘点 | 9月盘点 | 8月盘点

7月盘点 | 6月盘点 | 组团 | 报名

齐心抗疫 与你同在