文/趙彥 ayazero 2014.10.22
爲了減少篇幅有些東西就略過不寫了,可以參考我以前寫的《信息安全從業參考》《信息安全的職業生涯》《CSO的生存藝術》等老文章,或者我記得在安言的論壇上有人對我寫的話題展開和補充並重新成文,具體記不太清了,但應該也是可以參考的。
我個人沒有能力去預言安全產業的發展,但職業畢竟是個跟產業相關性比較大的話題,所以也適當援引一些個人觀點吧。從甲乙方說起,乙方分爲2B和2C兩類,這裏主要說2B的部分,因爲2C中的大部分更適合歸入互聯網行業。IDC的報告稱2018年中國企業安全市場約200億RMB,相對於互聯網,遊戲等其他領域而言顯然是個很小的市場,所以安全公司不會像互聯網領域的創業公司一樣遍地開花,會受到整個市場容量的限制,對於乙方如果不是360,那就是啓明綠盟天融信這類公司了(名字太多不一一列舉,如果你所在公司營業額很高而未出現在此列請不要生氣,這裏並無意去關注具體的公司)。有人會說以後乙方可能還會有BAT諸如阿里雲這些,沒錯,但從做的事情而言,即便阿里雲成了乙方,阿里雲安全成了乙方安全,但實際上做的事情對於從業者而言還是甲方做的那些事情,因此在這裏就不把他們歸入乙方了。對於乙方做的事情,從廠商角度看可能會有一系列的產品和服務的創新,但對於從業者而言其實跟以前差不太多,至少在可見的時期內還是以前文章裏寫的那些,還看到不到質的變化。如果你一定要在乙方尋求點不同的體驗,那就去所謂的互聯網安全公司的非傳統安全業務或者去傳統安全公司的互聯網業務線。撇開乙方看甲方,應該是比較樂觀的,這是一個跟企業安全市場盤子無關的領域,隨着企業開始重視安全,甲方會有更多的安全職位,並且安全職位會多樣化,這裏應該是一個比較廣闊的空間。甲方乙方之外是學術研究領域,對那片土地不是很瞭解,本文就僅限於工業界吧。歡迎學術界和高校院牆之內的同學們補充。(至於黑產和國家隊,本文就不打算寫了,畢竟大部分人不會走這條路,我只知道那也是一個很神奇又有點奇葩的世界,如果你有潛質,僅這一句話就能把你引向那裏)
先退幾步,如果你尚在考慮要不要進入這個行業,我可以提供幾點參考。據我和朋友們觀察,10多年以來在同一個公司同一個級別上的工程師,大多是安全比運維和開發的工資高,但CTO大多來自運維和開發,鮮有從安全晉升來的。原因不難理解,安全在不少場合都不是必需品。好或者不好因人而異,事實上身邊還是有很多安全技能很高的人表示如果再給一次選擇的機會,可能不會選擇安全,這其中包括你們耳熟能詳的大牛們。有一個方法可以自測一下,如果你內心深處都沒有偶爾想***一下,黑一下,一探安全究竟的時候,我建議你還是考慮其他安全以外的行業,你在這個行業能發力的可能性不大。
從從業者的構成看,我認爲可以分爲***圈,安全圈和安全圈的外圍。***圈無論你喜歡叫他白帽子還是什麼總之就是以***技能爲主線並以此出賣自己知識的人,安全圈跟***圈交集很大,也包括那些在安全行業的主要力量但卻不是白帽子或黑帽子出身的人,這兩者構成了安全行業的核心,即本質上安全行業是由理解網絡***的人爲核心構成的,外圍是什麼呢,隨着安全需求的多樣化,安全會引入大量跟***不直接相關的人,比如做業務安全數據分析,運維hadoop集羣或做BI的開發,或者做安全產品開發,這些人本質上不是跟安全行業強綁定的,例如有的人做安全產品的UI開發,換做去其他行業也一樣做UI,做業務安全數據分析的去非安全的業務部門一樣做數據分析,不是嚴格意義上安全行業的人。只有以***爲主線,和以安全諮詢體系爲主線的人才是跟安全行業綁定的,這些人需要考慮終生投產比和基因決定理論的影響,其他的外圍看官們理論上跨行業更容易些。在當前時間點看,安全圈是一個很小的圈子,不是遠小於,是遠遠小於運維和開發圈,江湖味道更濃,有時候也頗具文人相輕的味道,不過好的一面是互聯網公司之間安全團隊的交流越來越平,除了直接敵對公司外,大部分人都朝着更加開放的互聯網溝通和分享文化邁進。說了這麼多,如果你想進入安全行業,並且成爲中流砥柱,那麼知識結構和背景技能應該和***技術強相關,這條線不保證你容易成爲高管,但從統計學角度能保證你不偏離行業的核心。
插幾句談一下安全管理的趨勢,因爲這個會影響從業者的價值觀和學習方向。我個人認爲的幾個趨勢:
1.企業安全管理最終都會向互聯網公司學習–未來大多數公司都會複製自己業務到互聯網,也就是大多數企業都會擁有互聯網的屬性。從現在看,互聯網公司的安全管理方法論是領先傳統公司整整一個時代的,完全不在一個量級上。你還在做傳統的安全嗎?誇張一點說你就快不屬於這個行業了
2.向雲遷移–雲是一種趨勢,雖然我不認爲短期內馬上會有非常多的公司將自己的業務遷移到公有云上,或者從頭打造私有云。但是雲計算折射出的IT管理方式,技術架構卻會越來越成爲安全管理的風向標,例如分佈式IDC管理,虛擬化,SDN,海量運維生態,業務伸縮,大數據,高度自動化,敏捷發佈……等很多帶着時代標籤的東西,安全管理體系的設計和產品化落地需要越來越多的圍繞這些特性標籤展開工作,如果你沒有這方面的經驗,也會逐漸out
3.傾向於以技術和產品(工具自動化)解決問題,而不再是以前宣揚的七分管理三分技術。看近些年的IT技術發展,本質上由Google、Facebook爲代表的這些互聯網公司帶動,除了技術架構,像運維管理、研發生命週期管理、安全管理都在成爲其他公司的教科書,安全的最高境界是讓你身處於保護之中而不感覺那些繁瑣措施和流程的存在,以技術、自動化、機器學習、人工智能爲導向解決問題的價值觀已超越流程制度的落後方式,也是過去那些理論標準越來越顯得發虛的原因。
從這些趨勢看,如果你是體系架構型,技術複合型(俗稱全棧工程師),特定技術方向專攻型以後會受市場青睞,而“務虛型“的市場價值可能不太樂觀。隨着2000年後安氏把基於資產威脅脆弱性風險評估方法論帶入中國,精通各類安全標準的顧問身價一度比會安全技術的工程師高,但現在這些東西包括IT治理的理論已經遠不如以前風光,你說你會ISO27001,隨便找個聰明點的剛畢業的本科生,做一年也就會了。但如果你說”我有10萬臺服務器的安全管理經驗“,對方可能會表示”小夥子,來我們這上班吧!“。讓會***的人學習ISO27001、20000之類的東西,跟讓務虛型學習技術,前者的成功率會比較高,而後者的成功率會很低,這就是可替代性。很多同學看到這些也許會覺得哀怨,甚至諮詢圈的老人會列舉一大堆”價值“和”空間“,是的我相信Accenture、Thoughtworks他們有很多我沒提到的前景,我說這些並非因爲我呆過360,出身綠盟,我也不是唯技術論者,就像浪潮之巔所說的,這些都是時代的趨勢,不是以個人意志爲轉移的,哪怕是公司想拒絕他都如同螳臂擋車。爲什麼在互聯網公司技術專家的報酬可以比管理人員高,取決於你解決問題所對應的價值層次,實際上也是時代演進的產物,也許現在更缺能解決實際問題的人。從就業的角度講,這種趨勢爲技術從業者提供了更廣闊的前景和空間。
對於乙方,比較有價值的地方是研究部門、安全服務、***強相關產品研發。對於甲方,除了大互聯網(門戶、搜索、廣告、電商、網遊、社交、支付、移動APP……)、金融、電信行業之外,其他就目前來講可能不是甲方安全從業的好的選擇,畢竟形式上重視安全和本質上重視安全還是兩回事。現實生活中的人員分佈也可以佐證這一點,國內比較懂安全的人絕大部分都在互聯網公司,第一梯隊3BAT、第二梯隊BAT之外的知名互聯網公司(有些兄弟單拉出來絕不比BAT的差,這裏主要是籠統的比較),第三梯隊可能在金融和電信業有一些,再剩下來可能沒有太懂安全的人了,因爲懂安全的早就被上述挖光了……(當然,如果看官您恰巧是某個大牛,又恰好很例外不在上述行業中請勿生氣,我會儘可能在該文的下一修訂版本中註明”xxx是個例外,目前在yyy就職”)。甲方安全建設的多樣性也使得分工越來越細:網絡與基礎架構安全,業務與應用安全,風控……,例如SRC運營就是一個相當垂直的細分職能,儘管在互聯網公司做安全你可能會有優越感,但如果長時間做很細的一塊兒也可能導致沒有成爲領域專家卻“偏科”的很厲害。T字形人才通常比較受歡迎,最好是甲方乙方都呆過,那樣所有的套路你都會了,無死角。
價值一方面跟人才市場的供求關係有關,一方面也跟學習成本高低、獲取技能的難易度有關,例如你會一種web開發語言,javascript,http協議,常用的SQL DML語句就能開始玩web安全了,但如果你想玩溢出,相比之下還是需要花更多的時間學習更多東西才能越過這個門檻,而讀懂ISO27001則容易的多(這裏無意於表達web和二進制誰更牛叉誰更值錢這樣的無聊問題,只是舉個抽象的例子),如果你覺得因爲錢多而把自己的目標設定爲要走袁哥的路,而忽視了自己的興趣,fail的可能性比較大。另外,技巧永遠不能代替技術,過分迷戀於技巧對長足的發展沒有好處。
第一代安全從業者的技能基本以OS和網絡安全爲主,1.5到第二代以廣義的web service等應用安全爲主,如果一定要說第三代,移動安全可能還算是當下比較熱門,關注者比較多,相對前沿的領域,而從VC的角度看移動互聯網可能都不再是熱點,早已開始佈局更下一代的東西了,也許是類似於人工智能這樣的領域。PC端和web安全雖然研究者衆多,議題衆多,方法論很多,大多數行業內的從業者每天圍繞這些工作,但這些應該即將歸入紅海,不再屬於前沿的、時代浪潮之上的東西,反過來說一個藍籌但不再新興的市場,其對安全的需求還是有一個很高的保有量,所以有很多事情可以長期做但也許之後就不在是什麼有新鮮感的東西了。第一代的人起步的時候,那時候IT基礎設置和應用複雜度都遠不如現在,所以那時候都是把安全建設放在網絡和系統層面的,而後來隨着IT在社會生活中實用化的程度越來越高,業務越來越多的依賴於IT,I的多樣性和T的複雜度成倍提升,使得安全的需求也越來越廣,單個從業者的技能不太可能通吃全部,大一點的機構開始把業務安全獨立出來,分工越來越細,人研究的內容則越來越專,安全團隊中開始加入開發和運維,甚至還涉及到硬件領域,也許以後的安全團隊就是一個什麼人都有的兵器庫。對個人來說一方面你到底需要多前沿的鋪墊才能不out,另一方面則要考慮將自身定位收縮於哪些點纔可能挖到最深,視野一定是儘可能的寬泛,是一個“放”字,但落到實踐一定是個“收”字,以如今的技術複雜度你不可能樣樣都精通,只能挑幾個。
對於從業者的前景,其實在過去相當長的時間裏,由於乙方公司的淨利潤很低以及甲方安全不是產生收入的部門,所以從業者的前景一度比較暗淡,直到後來有了360這樣的公司,有了BAT的崛起,才使得技術從業者的待遇得到了極大的改善。斯諾登曝光之後,國家層面開始重視信息安全,以華爲這樣的企業建立安全能力中心爲代表,今年安全人才需求開始井噴,供求比大幅失衡,國內資深從業者的工資已經趕超了美國的工程師,在當下看是一片利好,但有時候也說不清這到底是價值迴歸還是有點泡沫成分,沒人能說得準,但短期內一定是人才供不應求,但是不是長期供不應求也很難說,因爲現在越來越多的高校也開始培養安全方向的人,供給量會變大,安全會從小衆變成大衆學科,當然,無論什麼時候這個行業的精英一定是跟興趣和天賦掛鉤的,有時候確實需要一點“歪門邪道”的天賦。
關於創業,如果你原先是做安全產品研發,能帶一支完整的團隊出來,做的產品屬於下一代類型或者乾脆就是市場空白,不妨嘗試一下,其他的類型我認爲創業的成功率應該比較低。
最後,如果你有條件的話,多接觸技術大牛和視野型的資深從業者,適當關注一下安全以外的新技術趨勢。通篇下來可能會有聰明的同學提問說的這些是不是可以概括爲最優解應該是去互聯網公司做安全?其實不然,甲方乙方,身處不同的階段有不同的需求,沒有哪裏一定最好之說,哪怕是3BAT對有些人來說也是瓶頸之地,所以還是看具體場景。
關於作者
趙彥,ID:ayazero,weibo.com/ayaz3ro
前奇虎360企業安全技術總監、久遊網安全總監、綠盟科技資深安全專家、聚位網絡CTO
任何問題可以Mailto:ayaz3ro#qq.com
來源:http://hi.baidu.com/ayazero/item/fe26f2fc73da5b0984d278c9