疫情与安全行业的碎碎念（又写小作文）

前言

一月份了，今年过年早，也就少发点技术和工具啥的，反正大家也没心思看，都等着过年回家放松呢，所以最近就发点软文，牢骚，行业现状之类的东西，文字枯燥了点，您见谅。

疫情为何迟迟不结束

疫情中的张珊珊可太出名了，为什么她会出现？为什么疫情会出现造假核酸？

我想不言而喻是因为利益，疫情带来的红利怎么能让他轻易消失，但人民还要生活啊，不可能天天呆在家里，后面只能全面放开，不然后果难以想象。但是你敢信我到现在还没有阳过。

所谓的疫情红利是由病毒带来的，蔬菜，口罩，核酸这些疫情中的必需品，且数量巨大，自然会有人想延长疫情的持续时间。但没有人想过即使没有人故意扰乱疫情防控，这些东西依然是正常进行的，因为人吃饭是固定的，不会因为疫情就多吃饭，而是能用的人少了所以会导致没菜吃，而口罩现在基本都要每天带，不可能说每个人因为疫情严重每天戴四五个口罩，这两个东西产生坏人的原因是抓住了中国人爱囤货的毛病，只要出现此类恐慌事件就一顿囤货啊，那几天的连花清瘟，布洛芬也同理。核酸这个完全才是疫情带来的衍生品，每天都要做核酸，没症状也要做不知道为啥，就是因为这个后来大家好像都醒过来了，一直在家呆着接触最危险的地方就是“大白”。后来一起反对，不断发酵，我们放开了。刚看了下我上一次核酸结果是2021.11.25。

安全怎么与疫情联系

安全从互联网出现就一直存在了，安全是一个无法独立生存的行业，它必须依存业务和客户需求。正所谓没业务谈何安全啊，我两手空空，我连网线都没有你怎么黑我。口罩就像安全设备，安全这个概念在，安全设备就必须有，就像只要病毒在，口罩就必须有。不管是新冠病毒还是流感病毒都需要口罩的存在，但也清楚口罩不是百分百的保障，同样安全设备买齐了不代表百分百安全。说白了口罩和安全的存在都是因为一个东西，那就是病毒，电脑病毒本身名字就取用于医学名词的病毒。

口罩无法保证绝对安全怎么办，做核酸啊，但又产生悖论，去做核酸不是去接触病毒吗，不做我就不知道自己的阴阳，这好像那个薛定谔的猫，半生半死，只有打开看才知道？不检测就好像你是不阴不阳，只有检测才知道？这我说不清楚啊。那设备无法保证安全咋办，厂商的意见是卖服务，攻防演练，渗透测试一顿操作啊，安全服务可以发现的是设备无法解决的安全问题，同样也不是替你解决问题，最多是提建议，整不整改还得看你重视程度，那测试完了一年了也没见有人改过，还是刀没有架在脖子上，没有肉疼过。

反思一下

甲方自己要明白安全的根本是代码安全，乙方的安全厂商更要明白我们能在安全行业吃饭，全靠智障程序员写的垃圾代码啊，假如从根本上解决了，安全就可以消失了，但问题就在不可能保证这个代码完全安全无漏洞，程序员能把业务搞明白，程序不出错都谢天谢地了，哪来的心思考虑自己写的代码哪个地方有漏洞啊。咱们用的Windows，Linux哪个不是别人的，你告诉我这漏洞咱们中国自己能够控制吗？要不是Linux是开源免费的东西，我估计咱们互联网发展的更慢，也就军事方面的操作系统可能能够摆脱外国的依赖，但基本也是类Linux，但好在这些自己开发的操作系统是可控的。

关键行业的网络设备，安全设备不允许使用国外的，导致国内厂商的竞争极其残忍。全是价格战啊，不受国外影响了啊，所以都不搞创新，与其花费大量研发费用提高一点点优势，不如打折扣增加出货量，谁便宜谁吃香，最后打的头破血流。集成商就是吃瓜群众，你们便宜你的，不影响我利润就行。而一般单位对于安全的预算是没多少的，多的都是超级大企业，所以呢就没眼看了，最后我看好像乙方安全厂都不咋舒服吧，就甲方舒服了，集成商无伤大雅，不不不，集成商应该是爽死了才对。有些时候我都怀疑这些厂商的设备是不是找个开源的项目魔改下贴上自己Logo就称自己研发新产品了，把几种设备的功能杂交一下就是综合管理平台，啧啧啧，不吐槽了，我怕工作没了。咱也不是很清楚，就随便说说。

现状是什么

客户的安全一部分是真的怕攻击，对安全敬畏，怕商业机密或核心业务机密泄露，所以才会做安全。但大部分企业是为了做安全而做安全，因为是法律和政策规定的，他怕的不是系统被攻击，怕的是背黑锅，怕的是被通报，怕完不成指标被上级批评。我们要明白安全到底是为了防什么，人民需要的是什么？你的那点系统被攻破了为啥会被通报，个人网站被黑了很少有人知道。我们心里永远要知道国防是外交的后盾，是人民安定的重要保障。没有网络安全就没有国家安全这个不是一句口号，是我们应该遵守的准则，不要让你成为突破口。

我作为一个安全从业人员，我不会说哪个安全厂商没有社会责任，因为大家都不容易，就像moba游戏里的辅助，互联网行业的附加，不被大多数人重视，重视的都是高手和高端局，高端局就是所说的国家重要行业。本身这个行业只有自己清楚到底好不好干，你牌子再大，没有业务照样整不起来，360政企裁员这个都成行业佳话了，安全行业真的缺人吗？缺的是什么人？为什么网络工程，软件工程，通信工程都来卷我信息安全的活，真正缺的应该是短期工，项目存在你就在，项目没了你就没，但是一直养着厂商不愿意养，养不起，主要也是价格战有一定影响。国护一般参与的都得辞去正式工作，或者被外包派遣你去参加，再就是在校大学生。参加这个东西的唯一吸引力就是工资高嘛。驻场的兄弟比较累，客户什么需求都问你，不是安全的都问你，项目结束如果不是正编，OK可以收拾行李了，假设能衔接另一个项目或者表现好不去驻场会好一点。还缺的是高端安全研究人员，但这种还是需求量小且又很难找，还有那种HR不知道上哪抄的用人要求，动不动要5-10年工作经验的安全专家，现在哪有那么多安全专家啊，说是专家，真的是吗？专家的话你都信？专家建议你付费上班！临时工太多，随便拉个大学生就给你去当专家，把不懂安全的甲方唬住就算项目有进展。要么就是项目开始了，人不够临时找人，找的歪瓜裂枣，找不到就全国调动人员。

安全问题来源于人，也得由人来解决。普通人的安全意识和上网习惯导致信息泄露，开发人员的代码习惯导致漏洞百出，这些都解决了我们安全行业就可以消失了。大数据说每个人都在互联网裸奔，但这就是互联网！那既然解决不了我们就得想办法来尽量避免。对于无法完全消灭的新冠，我们的处理方式是：国家要求戴口罩，做核酸，居家隔离，方舱隔离，最后没办法清除，国家放开，让自觉戴口罩，核酸自愿检测，有症状了吃药自己抗。那对于无法消灭的安全漏洞，我们的处理方式对应就是：国家要求买安全设备，做攻防演练，渗透测试，买各种安全服务，国家发通告企业自行整改，有企业不合规，违规收集公民信息则罚款。但安全这个最后不可能放开自己管理，这关乎的事情不是一个小小奥米克戎比得了的，如果觉得不重要，请你再看看二十大。

如何转变

如此的现状没办法细说，360政企裁员的是安全服务，是因为他们专门做安全服务没有做的非常好。留下的是销售和售前，也就是一个去卖，一个提供方案的这样一个角色，这两个是公司挣钱的主要角色，所谓的技术，例如售后和安服这些真正干活的人不过是一个辅助支撑的角色。而当他们不重视这些人又没钱养的时候只能造成死循环，临时工，实习生，外包这些就出现了。客户看重的是所谓的行业解决方案，而这个方案的合适不合适让一个不懂安全的甲方来定夺显然不现实。如果乙方吹嘘自己的方案如何厉害，说他们有多少个案例，这只是给你展示的是没有出事的案例，出事的不可能跟你提一个字。安全不是谈零信任吗？也就是说谁都不信，就像门口保安，没有牌不让进，不管你是谁。那选解决方案，选厂商的时候为啥不零信任？而是说你和哪家关系好，就把项目给谁？好的行业解决方案一定是从方案本身的合理性以及方案本身和业务的契合性决定的，同样甲方请你擦亮眼睛，而不是听厂商一顿吹。只能说你熟悉的厂商，以前用的好的可以先考虑，财大气粗的厂商不一定让你满意，不知名小厂也不一定让你失望，美食不怕巷子深，你要真的想做好自己企业的安全，请你也得学习安全，否则你就是逛商场被骗子拉进小黑屋的人。

人情世故类的销售一定得转变，销售行业门槛低，是人是鬼都能当了好像，不是说你家的售前写个方案你只管吹牛喝酒就完事了，作为互联网行业的销售，只喝酒那您能有业绩？销售也得持续学习，学习的不一定是待人接物，而是如何了解客户需求，挖掘需求，满足客户需求，而这些你也得懂点技术，不然出问题你听都听不懂就是找你家技术，客户在聊啥你都不懂怎么知道人家需求，大多数项目都是不经意的谈话中出现的。乙方厂商竞争激烈，怎么改变貌似暂时这个没法改变，可能只有政策干扰才会有改变，这就跟进了小吃街，两步一个烤鱿鱼，三步一个烤冷面，我只能说提高自己的行业竞争力一定是独树一帜，你有别人没有，别把互相抄方案叫做学习友商的方案，安全厂商就那么几个，写方案的也是那些人，安全圈子这么小，指不定你在上家的方案，又在下家出现了，所以同质化很严重，谁创新了，隔壁也赶紧做一个出来，让人一看大家都有，那谁还愿意创新？同样底层员工感受很重要，否则你地基都散了，抱着房子有啥用。公司氛围差也是一个员工离职的重要原因，人员走动太大，经验和人情都被带走了。如果你没法把核心人才留下，那这个地方永远不会发展，核心人才不是千篇一律，同样也是要有独特见解的能人。

展望

去年疫情的影响很大，今年放开了，希望能够安全行业恢复往日荣光，不会有因为以前疫情等等的借口，如果还是发展不好，只能说各位不思进取，还有请各位想转行的同志再等等，从网络安全法发布至今，中国的安全市场就跟大妈们进超市抢菜一样，基本格局已定，想要在某一个地方大显身手很困难，大量的培训机构和割韭菜的同志也都是在为安全厂商服务，也不希望转行的人员出现期望落差，或许你可以再等一年。2023年是需要各方稳定局面的一年，是各厂商需要努力奋斗的一年，是需要创新的一年，不然有可能你在安全行业还会出现滑铁卢。具体是什么我也不清楚，共建网络安全的口号，有点喊不动了。

原文始发于微信公众号（浪飒sec）：疫情与安全行业的碎碎念（又写小作文）