乱侃：国内安全行业人才的四个阶段

------------------------------------------

断更好久，还要感谢各位的不离不弃。

主要是难得进入到 “游手好闲” 模式，所以自己 zuō 了一段时间。

随后会再次进入之前断断续续的更新状态，请持续关注，谢谢。

------------------------------------------

先看两条新闻 ——

McAfee表示，中国的一些地下黑客超级厉害，但是一些合法的黑客技术就要稍逊。世界黑客大会Defcon上许多领秀人物都很佩服中国的黑客，但比较而言，无论是黑帽子还是白帽子，都是美国黑客水平稍高。

—— McAfee公司创始人John David Mcafee 在本届ISC接受采访时说道

美国“拥有超越任何竞争对手的网络进攻与防御能力。”

—— 天天喊着被中国APT的“美国发言人” 奥巴马在G20峰会上如是说

在上一个“游手好闲”的时期里，有个学校找我做了个课程评审，顺便让我讲下人才建设的话题，前几天看到这两条新闻，突然间想到了之前那次的话，感觉似乎能够说明这些言论背后的一些东西。

所以，此处将老片子翻出来更新一下并拟成文字。

这种主观观点难评是非，就当看闲人讲八卦好了 —— 至今，国内安全行业人才经历的几个阶段：

第一阶段：开创者

应该还是在上个世纪末，一群神仙们，开启了中国安全行业的大门。

毫无疑问，在信息安全完全空白的这一篇土壤上，第一批开创者们所做的更多工作是引进先进的经验和技术，先完成第一步的追赶工作。

但无论怎么说，在互联网都不算发达的年代里敢于走入这个行业的人，都是爱好者，而且都身怀绝技。

第二阶段：黑客教学的师与生

比开创者们引入的新鲜概念晚不了多少的，就是一波“地下交易”了。

那时候地下交易的整个产业在国内增长的非常快，至少在我所目及范围之内，可能不到两年的时间就已经从零散的小团队作战方式晋升到流水线作业。

而那时候为流水线做出大量贡献的，最典型、也是最容易出现在大家视野之中的就是那些黑客教学之类的网站和组织了。

什么一小时学会拿shell之类的标题四处可见，你学会了拿shell，马上就有人来找你收shell ……

反正，都是你懂的。

可以试想一下，一个刚刚起步的行业，一批年轻的力量们也刚刚注意到这个行业的时候，突然间目光一侧，发现这个行业的旁边还有一块收入更加可观的黑色地带、而且法律对这个地带几乎无管制 ……

所以地下交易的人群数量一直大于正规部队，而那个时候，数量上可能会是十倍于正规部队。

第三阶段：大集成时代

我认为这个阶段是国内安全市场发展这么多年，最有意思的一段时期。

那段时间，因为黑客们的不自律、再加上一些外部因素，整个行业有一段时间可谓是“谈黑（客）色变”。

再加上前一个阶段引发了一波人才上的青黄不接。但就是偏偏在这个时候，很多企业受到第一波开创者们的影响，开始了对安全有一些认识，于是引发了大规模的安全建设时代。而在安全建设不完善的状态下，安全建设的步伐就可想而知了 —— 无非就是一批安全产品的堆砌，这引发了安全的大集成时代。

也就是这个集成时代的到来，让很多以产品集成为生的资深人士看到了一个假象 —— 安全集成和传统IT产品集成貌似没什么区别嘛，无非也就是拼个关系、比个参数，上架后大多设备甚至不用改配置。

一波人才上的青黄不接 + 安全的大集成时代 = 集成行业与安全行业的深度融合。简单来说，很多集成出身的企业和集成资深人士，借此机会渗透到了安全行业之列。

在当时的环境下看，这其实也没什么不好，甚至可以说是满足了市场的需求。而可悲的是在于，很多以集成为饭碗的企业或个人已经习惯了原有状态，进入安全圈子之后依然保有原来的集成作风，在本来安全基础就比较薄弱的路上越走越远、越走越弱，最后在这一代由于这样的存在，而制造出来一个断层。

第四阶段：万众创业

全民创业、万众创新。

安全行业作为新兴行业，自然是躲不过这波资本侵袭的。

很多元老开始出来焕发第二春，而很多已经因为各种原因而隐居幕后的能人们也可以借势复出。

不过资本的涌入带来的问题也很明显 —— 曾经有客户问我，某某公司是干什么的？经常听他们搞的很热闹却不知道卖什么。

如果说上一阶段所制造的断层是一个极端的话，那么这个阶段因资本而制造的狂欢，恐怕也会引发另一个极端 —— 安全人才们已经忙于狂欢了，完全不知道客户在何方。

而同时，伴随而生的问题就是，安全人在数量上的暴增和资本制造的虚假繁荣市场，在这一波清洗之后，还可能在局部制造出市场变大、但钱变少了的局面。

因为这四个阶段，所以在我看来安全人才一直存在一个断层，而这个断层显而易见也不纯粹是数量上的断层。

这种断层就是给了 Mcafee 和 奥巴马给出蔑视中国安全能力的东西 —— 这让我们看起来好像更像是梁山好汉，而不是正规部队。

而其他，我实在无法评论更多 ……  只能是仁者见仁、智者见智，或者，根本就是 —— 我在胡扯。

本文始发于微信公众号（Piz0n）：乱侃：国内安全行业人才的四个阶段