网络安全人员现状的无奈

数据上看看，网络安全行业的平均薪水在很多统计中都是位列我们国家行业平均收入前列的——当然我并不知道这个统计怎么来的……因为“网络安全行业”和“网络安全岗位”是两个东西：前者更多倾向于做网络安全相关产品、解决方案、服务的企业，后者更倾向于在各个企业中从事网络安全相关工作的职位。举个例子来说，像奇安信、绿盟就是典型的网络安全行业公司；而像银行（典型的就是非网络安全行业企业）中的网络安全运维、网络安全经理就是“网络安全岗位”了。这两者的收入计算其实会有很大的差异。

以我就行业内的沟通来感觉，“网络安全行业”的收入差距还是比较大的：不同职能，不同企业之间还是有一定差距的。而网络安全职位又有很多区分：系统安全需求分析师，安全产品分析师，业务安全分析师，计算产品安全分析师，安全体系架构师，安全开发工程师，网络安全产品工程师，终端安全产品工程师，安全测试工程师，代码审计工程师，安全实施工程师，安全运维工程师，安全运营工程师，数据安全管理工程师，网络安全监测工程师，网络安全态势分析工程师，漏洞挖掘工程师，漏洞分析评估工程师，渗透测试工程师，攻击研判分析师，攻击取证与溯源分析工程师，样本分析与情报分析工程师，威胁情报分析工程师，恶意样本分析工程师，应急响应工程师，安全咨询师，安全合规风控咨询师，安全产品售前咨询师，安全产品售前工程师，安全风险评估工程师，安全风险管理工程师，安全管理师，安全合规评估工程师，网络安全等级保护咨询师，网络安全等级保护测评师，网络犯罪研究分析师，网络犯罪调查分析师，安全取证工程师。

可能由于这两年网络安全开始被人关注了，所以相对工资会有一定的上升，但给我的感觉其实变化不大。和其他行业相比，其实同类型的职位基本上工资没啥差距。而相对的，“网络安全岗位”的平均收入明显会更高：网络安全企业里的一些相对低收入职位会被去除（比如市场、HR、财务等），同时会有大量高收入职位加入——比如各个大厂的安全人员。像互联网大厂招安全工程师、负责人的工资基本20k起，金融行业也是网络安全大户，工程师薪资也不低。虽然说安全运维会低一点，但是一般也能抵一个普通码农的工资了。所以说，这一块的平均工资完全是有能力负担起网络安全的“大户”们一手提携上来的。

这样一来，网络安全企业的工资说实话，和其他互联网相关公司对比没啥竞争力。曾经有一个二流（他自称）网络安全企业（其实这家企业还是很不错的，安全垂直领域很强）的高管曾说过：一流的人才去互联网大厂（靠钱砸），二流的人才去各个领域的一流公司（平台，收入相对不错），三流的人才才来他们企业。其实也很现实，他本身就是大厂出来的，他很直白地说大厂有溢价，大厂能拿30k的人，到别的企业可能只有20k。

当大厂把人才全部收走的时候，其他企业只能“抽卡”或者捡漏，靠一些其他的点吸引人才：不加班/少加班、情怀、员工对该领域的热爱等——或者就只能说可能一些基层的员工确实水平有点欠缺。更自然的，人员能力相对不足，业务能力也会有所下降，何况相比直播、游戏、流量广告、金融运作，网络安全这种实打实的东西确实更不容易赚钱：需要大量的研发、研究人员的前期投入，甚至还需要慢慢让用户理解用户自己的需求，以及自己的产品能力。不要对“教育市场”反感，在安全这件事上，不接受“教育市场”，就只能等着攻击者的教育。

网络安全行业，确实不怎么赚钱。但是，现在年轻人的焦虑也是真实的。我这几年沟通过的985211学生，各种各样专业的，也有几十个了，几乎都表达了对户口、房子的焦虑——而这些焦虑最直接的转化就是对钱的渴望：几乎每一个学生都无比期望能去互联网大厂工作（或者去国企），甚至为了去那里工作而想办法读研——对，我们读研的目的不是学习，不是科研，而是为了能进大厂月入一狗，或者进入国企收入稳定。我是觉得可悲，不是可悲有这些想法的学生，而是可悲这个状态。我理解这些学生的诉求，千军万马过独木桥，好不容易来到大城市，当然要想尽办法留下来。而对他们来说，最稳定的方法自然就是大厂（靠钱），或者国企（靠体制）——而在这点上，我也觉得确实只有这样。

当然，很多四十，甚至三十五朝上的中年人并不这么认为。他们觉得个人的努力方式、选择更重要，一时的大厂、国企并不能让年轻人真正有“前途”。是的，“35岁焦虑”对现在的年轻人又是一道坎，35岁被优化的人，如果之前一直在做螺丝钉的工作，拿着和市场价格相比的溢价工资，又如何能找到一份愿意接收自己，并且能给自己提供优渥工资的工作？确实，努力方式、选择、前期的积累确实不仅能够避免35岁这道坎，甚至还能让自己的职业前景持续上升

但是问题来了，22-30的积累年龄，同样是许多社会责任的年龄：恋爱、婚姻、房子，哪个不是压在年轻人身上的大山？就算22-30成功积累，31岁开始厚积薄发，那错过的22-30岁的时光，31岁之后就可以弥补吗？何况，万一最终一搏以后依然一事无成呢？不仅错过了20多岁的时光，还同样要面临35岁的焦虑。这个是有积累的中年人很难理解的。

从网安的需求来看，我们是需要许多攻防人员的——甚至不一定是攻防人才。能够做基础的渗透，做一些安全加固，都是许多地方的需求。从业内的角度来看的话，未来的发展，是IT运维人员都需要有一定的“防御”能力，能解决企业中日常的一些基础安全事件，而由更专业的安全人员去处理一些更有威胁性的事件。这点上，培训机构输送的安全人才，是必要的。说实话，我很羡慕现在的环境，我小时候也是希望能成为一名黑客——结果阴差阳错，同时找不到学习的路子，最终现在成为了一名行业打杂的……

但是，对于许多认为网络安全和CTF或者渗透等同的做法，是我无法认同的。我承认，比攻防技术我确实不如他们，甚至在实操上我了解得很少，仅限于理论。但是，正因为如此，我才能发现问题：因为安全本身就不只是渗透和比赛，有着从规范制定、制度管理、系统设计、安全开发、技术推广等一系列的事情，而其中渗透和CTF如果最后转化成职能，绝大部分也只是局限于安全服务和安全研究（主要针对攻防）。

而事实上，大部分人可能最终也就是拿一个普通的安全运维或者渗透测试员的薪水……这是我另一个难受的地方：网络安全确实是热点，确实更容易就业，但是不代表收入非常高。利用大家对网络安全的热情和好奇，给一个泡泡，我个人是无法接受的。

BB叨叨了那么多，如果说真的要我有什么期望的话，我希望从事网络安全的人，都能没有生活压力，都是本身对着网络安全有着深深的热爱，才投入到这一领域中去，为守护我们国家的日常贡献自己的青春。

原文始发于微信公众号（黑客网络安全）：网络安全人员现状的无奈