聊聊安全乙方和甲方的区别吧

先说乙方吧

就是所谓的安全公司，为甲方提供安全服务，所以称之为乙方。

安全公司现在一般是卖产品+卖服务配套。一般乙方有这么几种岗位

1. 售前：负责售卖公司产品和服务，需要对安全产品和服务有一定的了解。比如IAST是什么，能解决什么问题。而且需要有一定的安全行业销售经验，或者人脉，刚入行的人应该干不了这个。

2. 安全服务：包括安全解决方案、渗透测试、应急响应、产品部署等。

3. 产品研发：安全产品的开发

再说说甲方吧

甲方分大厂和中厂，那为什么没有小厂？

我个人理解的是小厂根本就没有安全需求，几个人或者几十个人的小公司，业务规模很小，有些甚至都不知道自己在做的业务能不能持续活下去。一般公司人数上到百人，基本上业务方向也明确了，不管是自负盈亏还是融资，至少企业能活下去了。这个时候甲方一般就会开始有安全上的需求。

大厂的安全岗位：一般都是垂直领域深耕的，不会存在中小企业一个人的安全部这种情况，都是专职专岗，在一个领域比较精通，但横向的综合能力相对比较薄弱。

中厂的安全岗位：一般都是一岗多职责，知识面需要比较广，需要经常和公司其他团队横向沟通出安全方案。一个人可能需要负责安全从0-1的建设，安全运营、SDL、数据安全、基础安全、办公安全可能都需要一个人hold。总体来说，中厂的安全技术岗安全知识面会比大厂的安全技术岗要广，但深度不如大厂。工作中肯定会遇到技术问题，大厂的人能很快的解决，而你却需要各种百度、谷歌，查阅各种官方文档。但和效率比起来，中厂更看重安全上的投入，毕竟中厂的钱远远没大厂多，而安全又是后勤保障属性，老板的角度觉得能节省就节省。

甲方和乙方工程师的区别

1、比如甲方安全是持续化的，而乙方做完安全服务交付后就算结束了。所以乙方安全工程师对业务安全的深入大部分是没甲方安全工程师理解的透彻的。

2、甲方安全是白盒视角，乙方是黑盒视角。甲方安全工程师可以通过查阅代码来发现漏洞，可以从内部LB检查攻击面，这些都是乙方渗透人员无法做到的。

3、但甲方安全工程师所面临的压力更大，一个企业的信息化架构就好比一座城堡。城堡的结构很复杂，要想发现全部的安全风险是一件非常有挑战的事，一旦城堡某个地方出现了问题，可能会给企业带来非常大的负面影响。甲方安全工程师需要主动的、持续的发现企业的安全风险，而乙方工程师一个项目交付完成就不用再管其他事情了。当然现在也有一些乙方安全公司有安全解决方案工程师，可能会持续跟进一个项目。驻场服务的安全工程师也需要持续为甲方安全负责。不过大部分驻场的同学做的都是一些简单的安全工作，比如日常巡检、看攻击日志、事件响应之类的。简单的说就是让你盯着安全产品，每天去看看有没有异常，有异常拉上甲方相关团队一起处理。更前置化的工作一般都是甲方安全人员自己做，比如安全方案设计、安全左移、信息安全架构、数据分类分级等等。就好比甲方的人自己造房子，造好房子了需要招一个保安来做安保。

关于就业

个人觉得进乙方比进甲方容易一些。现在可以说大部分甲方卡学历卡的非常严，大厂的一个安全HC放出来，可能HR一天能收到上千份简历，可能HR小姐姐直接让男朋友写个脚本，用OCR识别简历，自动过滤掉本科以下学历，然后再进一步自动化过滤出信息安全专业或者安全工作大于5年以上的人。

可能乙方对学历要求相对要低一些。认识一个大专生，有丰富的漏洞挖掘经验，自己全职挖漏洞一年能赚十几万，但想去甲方一直被卡学历，在乙方成为了大家膜拜的大佬。。

如果是信息安全专业且学历比较好的（985、211），建议多投简历到甲方中大厂。如果是普通本科，结合自身的技术能力，觉得自己能力ok也建议投甲方或者安全公司的安全服务专家，比如渗透测试高级工程师这类的。但技术能力一般建议投递安全公司的安全服务，比如门槛稍微低一些的外包、驻场、产品部署。如果是大专且能力一般，建议先投递中小型安全公司，积累积累经验，如果大专但能力很强，建议投递头部安全公司。

现在合规的人感觉比技术的人少，建议大家都去投合规，别来安全技术卷了。

原文始发于微信公众号（信息安全笔记）：聊聊安全乙方和甲方的区别吧