2025年5月16日00:23:12评论0 views字数 16308阅读54分21秒阅读模式

我们在安全行业里，一边防漏洞，一边缝生活有人说，网络安全是个有“前途”的行业。

你点点头，确实，前面是CTF，后面是护网，中间夹着不结的尾款和无限循环的日报。

在这行干久了你会发现，每一个岗位看起来都不一样，但熬夜是共通的，加班是默认的，情绪是压抑的，绩效是模糊的。

研发写了三月代码被一句“改点逻辑”全推翻，售前画了十页图被问“能不能加个AI”，运营接了二百条工单但PPT里只能写“客户满意度提升”，销售追了半年项目，最后只拿到一个“谢谢推荐”。

你以为只有你在忍，其实每个人都在扛：

红队凌晨上线，蓝队半夜翻日志，老板焦虑回款，学生焦虑出路，自媒体焦虑限流，甲方焦虑背锅，乙方焦虑交付。

所以决定写下这些「喜怒哀乐愁难盼」。

写给每一个正在安全行业里卷着、熬着、坚持着的你。

我们知道，这不是全部的故事，也写不完所有人的辛苦。

但我们想说：你不孤单，所有“还没跑路的”，都在跟你并肩前行。

售前工程师

他们是网络安全行业里的“开局之人”，项目未动，图先行；客户未懂，嘴先跑。

喜：

方案一次过，客户点头说“这就对了”；那一刻你觉得过去一周连夜画图、反复改逻辑都是值得的。你甚至想截图发朋友圈，配文是：“终于有懂我的人。”

怒：

演练还没开始你就被拉进群，对接需求全靠猜，平台上资产列了一百多条，谁在用、谁负责、是否真实都没人说清楚。你问一句“这服务器是干嘛的？”对面回你一句：“这个啊，去年演练也打了，估计是没用了。”

哀：

讲了三个小时，你从“攻击路径”讲到“零信任模型”，从“微隔离”讲到“流量还原”，客户全程安静，最后只问了一句：“你们这有价格表吗？” 你回到工位，一边收拾鼠标一边怀疑自己是不是在用 GPT 模式跟空气聊天。

乐：

终于有一天，不用再讲“零信任”了。客户说：“你别扯概念了，就告诉我能不能挡得住攻击。”你一拍大腿：“这才是懂实战的人！” 你把“可信访问”改回“权限控制”，把“微隔离”写成“分组防火墙”，终于不用再装成哲学系研究生。

愁：

报价要低、功能要全、交付还不能延期。你刚写完“横向渗透检测引擎”，客户问：“这个能集成到我们邮件网关里吗？” 你努力微笑：“可以适配。” 其实你脑子已经开始想要不要打电话问研发那边：“你们懂邮件吗？”

难：

不是你不会画图，是要画得“像几百万的方案”。你想表达“分区隔离”，老板说“加几条箭头显得逻辑更复杂”；你做了个横向链路拓扑图，客户说“有没有一种看起来更科技一点的风格？” 你打开 Canva，把配色调成未来灰，然后在图上加了点微光特效，结果客户说：“嗯，这图像是贵方案。”

盼：

盼的是——技术能跟上嘴。你讲的是 EDR XDR 全家桶，但你知道客户现在部署的还在用 Win7。你问研发什么时候支持国产 CPU 的日志采集，他们回你：“我们先支持英文操作系统吧。”

你更盼的是——合同能跟上群聊。你在群里铺垫了一个月，客户在凌晨说：“我们打算和别家先试试。”你冷静回复：“没问题，祝合作愉快。” 然后默默删掉了自己整理的 14 页项目笔记和三套报价模拟。

他们不是业务员，更不是画图工，是穿着正装的“故事工程师”、带着耳麦的“语言黑客”、在图层之间建桥的方案翻译官。

他们用最精致的图，说出最模糊的话，满足客户“听懂了”和“听不懂”之间的心理安全感。

网络安全销售

他们是流量入口的守门员，是项目群的发言人，是 PPT 最后一页的“联系人”，也是所有人最怕被“@”的第一人。

喜：

客户终于签字了，合同落地，领导拍着你肩膀说“干得不错”，你朋友圈配图是印着红章的盖章页，配文是：“这一单，不容易。”

你知道这意味着什么：可以升级键盘，可以续上那顿本来不该点的外卖了。

怒：

方案你讲了六轮，POC 做了两周，连客户的安全架构图你都快背下来了。结果对方说：“我们内部意见不统一，暂时先不考虑了。” 你笑着说“好的”，内心已经开始复盘哪里跟单流程出了 bug。

哀：

一个项目追了半年，天天陪客户吃饭、聊需求、讲方案，最后领导说“价格不合适”，被转包到友商那儿，对方顺利成交，你只分到 5%。你笑不出来，但还得发红包祝对方合作愉快。

乐：

领导说给你配个售前，实际是你带着新售前熟悉产品，PPT是你改的，部署图是你画的，连测试数据都是你找研发要的。你在会上介绍说“我们团队很专业”，同时在飞书私聊售前：“别紧张，等我 cue 你。”

愁：

客户说“预算不高、但希望功能全一些”，你说“我们可以定制”；客户说“想要应急响应，也要态势感知，还想做可视化展示”，你说“我们有整体解决方案”。客户问：“多少钱？”你想说“你多少钱我们就多整体一点。”

难：

客户说：“你们和 XX 厂商有啥区别？”你脑子瞬间一片空白，嘴上硬撑：“我们更懂实战，支持国产，部署灵活，性价比高。” 你说完才发现，这几个词你上一场竞争里也说过。

盼：

你最怕听到客户说：“我们这边可能要走政采流程。”这意味着你要开始学习政策、填无数表格、拉投标保证金、算税率、写技术分——最后可能只是“入库，不采购”。

你更盼的，是客户回你一条：“我们走单了，你来跟合同吧。”

他们不是推销员，是商业谈判桌上的心理师，也是项目执行阶段的全天候陪跑者。

他们会识别客户表情微动，听出一句“再看看”背后的拒绝；他们懂得在一句“方案再精简点”之后，主动删掉产品页里的三页功能图。

他们需要懂安全，但不能表现得太懂，以免“吓到客户”；他们必须亲切，却不能太亲，以免“显得没格调”；他们要什么都懂，什么都不说破，什么都能改，但不一定什么都能赚。

这是网络安全销售的日常：他们不是在“成交”，他们是在“不被踢出局”的前提下，一点一点挤进客户的采购预算和领导的评审流程里。

研发工程师

他们是业务底座的打桩工，是发布流程里的常驻嘉宾，是那个“功能已实现但未上线”的默认背锅人，也是每次 POC 成功后被漏写在通报里的无名英雄。

喜：

代码写完了，测试也过了，PR 被合并，Leader 回复了一句：“干得不错。” 你截图发给女朋友，说：“我今天被人类夸奖了。”

发版顺利，接口文档一次对齐，连 CI/CD 都没有红。你点了一杯喜茶，加珍珠。不是庆祝上线，是庆祝终于能离开键盘一小时。

怒：

凌晨修漏洞，接口文档都没改，测试脚本来不及写，连 hotfix 分支都是你边骂边建的。

第二天产品说：“怎么没通知我？客户这边问了。”

你打开邮箱，看着昨天 03:17 发出的邮件，默默打了一行备注：“谁问，谁没看到。”

哀：

你写了三个月的模块，打通了三套系统，连兼容都做了向后三代。

演练当天，Leader 说：“这个逻辑太复杂，先不上。”

你沉默不语，只是把版本号从 v2.0 改成了 internal_preview_final_fixed_last.

乐：

你终于等到了招人的通知。

面试的人很聪明，背景也不错。三天后 Leader 说：“还是你熟，先帮忙带一带。”

你点头，顺手把自己写的 13 页部署文档贴了过去，加上一句：

“别怕，我在。”

其实你怕得要死——怕他走得太快，把你留下来继续维护 legacy 代码。

愁：

你刚写完一版“威胁分析引擎”，准备上线测试，产品问你：

“能不能顺便加一个‘AI判定’模块？”

你说：“我们还没训练模型。”

产品说：“那能不能先在界面上加个按钮，先放着。”

你望着那三个字母 A、I、P，怀疑自己是不是进错了行业。

难：

演练要用的功能还没开发完，你赶进度赶得焦头烂额。需求改三次，接口变五轮，测试环境临上线前炸了。

你提议延期上线，结果被问：

“是不是你技术不熟？”

你没吭声，你只是关掉 VSCode，点开打车软件，准备再去公司加个班。

盼：

你最怕的是产品拿 demo 去招标，说“这功能我们有”；你更怕的是客户真的要这个 demo 上线——你自己都没跑完压测。你最盼的，是有人告诉你：

“这次上线，真的是 freeze 版本。”

不再是“冻结中临时加个接口”，不再是“这个功能可以先演一下，演完删”。

你更盼的，是自己做出来的代码，不止用来讲故事，还真的有人用。

他们不是“写代码的”，他们是架构图里那个不起眼的小模块，是开发计划里“延期无影响”的那一行，是演练开始前最忙，上线后最容易被忘的人。

他们写业务逻辑，也修应急脚本；写加解密逻辑，也能抠报表接口。系统好用没人夸，出问题第一个叫他们来。

这就是网络安全研发的日常：

产品方案是他写的，系统流程是他画的，功能页面是他对的，最后上线截图却没有他的名字。

安全运营/运维工程师

他们不是在“运营安全”，他们是在“用生命兜底”。日志翻到眼花，策略写到凌晨，只为态势感知页面上的那一行字始终保持“绿色·低风险”。

喜：

新上线的一套检测规则终于稳定运行了，误报压下来了，SOC 图表第一次出现了“平稳趋势”，领导在日报上点了你的名字，说：

“XXX这块做得不错。”

你截图转发到朋友群，配文是：“我今天，在领导眼里存活过。”

怒：

你熬夜查了五条 DNS 回连、一堆 beacon 心跳，全都封了，还顺手补了一组规则。

结果领导在会上看着告警系统说：

“看起来也没什么大事，说明系统还是挺稳的。”

你沉默不语，静静合上了昨天凌晨写的日志分析报告。

哀：

指标是“告警命中率 ≥95% + 0漏报 + ≤1%误报 + 平均响应 ≤5分钟”。

你想问：

“那我还能睡吗？”

但你没问，因为今天还没轮到你排夜班。

乐：

你写的新策略刚推上生产，蓝队说攻击流量被成功拦下。

你装作“这很正常”的样子回复“策略生效快点还得感谢你们配合”。

其实你差点起身原地旋转三圈——因为你知道，这是你今天唯一能被写进日报的事。

愁：

WAF 打不上规则、EDR 和财务软件冲突、SIEM 拉数据时延迟五分钟；

态势感知跑着跑着，Agent 自己掉线，监控服务器还得手动重启。

你觉得自己不是在跑系统，是在陪硬件过夜。

难：

你能识别恶意行为，封杀攻击 IP，清洗流量、限速登录——

但你拦不住的是：

业务机器开着 TeamViewer；
开发把明文密码写在 .ini 里；
有人凌晨登录服务器删了日志，还把你的只读权限也顺手关了。

你只能摇头，又去查一遍 auditd。

盼：

你盼的是态势感知别再卡顿、EDR 不再掉线、日志平台不再“重启后丢数据”。

你更盼的是，等你把一切都处理好后，不会有人再问你：

“那为什么这次没有告警？”

他们不是魔法师，却要在混乱数据中提炼线索；他们不是指挥官，却被要求“秒级响应、无差别处置”；他们不是黑客，却要读懂每一段攻击链、每一个 payload、每一次非预期流量。

他们盯着夜里的终端页面，刷着千篇一律的“心跳正常”；

他们写着告警规则，处理报表异常，却知道真正危险的是：

没人出问题，但你也不知道哪里出了问题。

这就是网络安全运维 / 安全运营的日常：

不是守系统，而是守锅底；不是防攻击，而是防误会。攻防结束了，告警不结束；项目完了，锅还在飞。

人事/招聘

他们是简历平台的冲浪者，是猎头群的驻场号，是技术部门心里“都怪招不到人”的第一背锅人。

喜：

终于有一份简历看起来靠谱：会 Python、懂协议、跑得动 Kali，还附带一个 CTF 荣誉证书。

你发给用人部门，对方回复了三个字：“能面么？”

你一口气拉群、发时间、订会场，流程跟得比社保还快。

怒：

面了五轮，答得也行，Leader点头，HR BP 配合，流程走完。你刚准备发 offer，候选人说：

“我拿到一份国外 offer，这边就先不考虑啦～”

你回复“祝前程顺利”，然后打开 CRM 把这人打上标签：“不回头型”。

哀：

安全运营岗位挂了一年，简历投了三千封，大多数写着“兴趣极大、项目暂无”。

你挑了 20 份进系统，又被技术全灭。

Leader 问：“你们这边推进咋样了？”

你想说：“不是我推进不动，是你写的JD像论文摘要。”

乐：

公司终于批了 HC，你把招人计划更新到 OA，结果预算只够实习生工资。

Leader说：“那先招个基础的，我们慢慢培养。”

你内心默默回了一句：“您真幽默。”

愁：

技术说：“我们需要高端人才，熟 Linux、会漏洞、能提权。”

你说：“这个配置现在得 35k。”

领导说：“能不能找 15k 的？”

你说：“能，0基础转行那种要不要？”

难：

你天天看岗位、筛简历、打电话，一上社交平台就看到“学三个月就能进网安年薪30万”。

你越看越迷茫，候选人越谈越心虚——

有的问：“我简历能写‘精通APT对抗’吗？”

有的说：“我跑过一次AWD，那我算红队吗？”

你想问技术部门：“能不能出点题？”

技术部门说：“我们忙。”

盼：

你盼的不是“一个人能扛四个模块”的全栈安全工程师。

你只是盼着有项目批预算时，能多给一个HC；你只是盼着绩效考核时，别再写“技术人员配置率不足”。

你更盼着，有一天技术部能发来一句：

“这次招得不错。”

他们不是看人眼光毒辣，是看得太多早就炼成火眼金睛；

他们不是不懂技术，是习惯了在 CV 里提炼“可能成型”的关键词。

他们不是 HR，是招人里的 DevSecOps，是三边角色的调和剂：

对上要谈成本，对下要谈能力，对部门还要谈脾气。

这就是网安人事 / 招聘的日常：

不是不想招，是没人来。不是不想配，是预算没。不是不懂需求，是你这需求压根没人类能满足。

教师/培训讲师

他们是黑板后的攻防引导员，是 PPT 页码背后的加班狂魔，是“看似轻松讲解，实则凌晨备课”的现实版知识苦力。

喜：

今天课程进度正好，PPT不卡、代码不炸、学生还互动积极。

有人提问“这个漏洞怎么挖得更深”，有人下课来问“有没有推荐的实战平台”。

你心里想着：“这届学生有点东西。”

怒：

讲了两个小时反序列化原理、代码流程、链构造逻辑，口干舌燥，点名提问。

学生一脸认真地问：

“老师，这跟破解 WiFi 有什么关系？”

你沉默了三秒，把课件切回第一页：“我们从 Java 开始复习。”

哀：

你自己论文投了两次都被拒，学生的毕设一篇比一篇玄学。

你刚改完一份题为《APT 攻击中数据残留行为的回归分析》的本科论文，通篇都是 ChatGPT 和知乎的二次汇总。

你放下红笔，开始怀疑人生。

乐：

你带的学生打进国赛，拿了奖，证书还印了你名字。

你翻开合照，在朋友圈配文：

“这不是教学成果，是他们自己拼出来的，我只负责见证。”

其实你比谁都知道，这孩子从不会写 flag 到拿冠军，是你天天手改 payload 改出来的。

愁：

课程内容年年在扩：AI 安全、区块链安全、移动端、APT、取证、威胁情报……

课时却年年在减。

你想讲逻辑漏洞原理，最后时间只够展示 DVWA。

难：

你在讲解漏洞成因、数据流分析，强调“看懂原理才能进阶”。

学生举手问：

“老师，有没有一句话就能拿权限的命令？”

你点点头，打开终端，打下一行：

exit

盼：

你盼的是学生别再问：

“学完这个是不是月薪两万？”

你也盼他们别在第三次打不出 flag 后，就发朋友圈说“算了，安全太玄学”。

你更盼的是，有人能真的听完原理，再去试着写一遍 PoC，不是为了比赛分，而是因为他们真的想通了。

他们不是授课老师，是安全行业入口的点火器；

他们不是讲师，是一遍遍更新教学环境、重编 demo、调试平台的维护员；

他们不只是上课，还要答辩、写章程、配合评估、做项目、填报表，还得定期重装自己那台“永远快不了”的教学机。

这就是网络安全教师 / 培训讲师的日常：

不是教不会，是教不动；不是没内容，是没时间。不是学生差，是系统急，谁都想快点出人才，结果全劝退。

学生/初入行者

他们是B站播放量的忠实观众，是VulnHub下载页的常驻IP，是凌晨在图书馆敲Python、边调Burp边看比赛回放的“下一代”。

喜：

第一次打通反弹 shell，终端窗口刷出熟悉的 root@…，你截图发了朋友圈：

“我进来了。”

没人点赞，只有学长评论：“用的nc吗？”

你删除了那条动态，打开本地记事本，在payload旁边加了一行注释：“别发朋友圈。”

怒：

花了两周学sqlmap，从注入测到bypass，结果比赛现场只能用Nmap扫开放端口。

你问学长：“这题能不能用自动化？”

学长说：“太菜，先别想。”

你没吭声，把sqlmap丢进了一个压缩包，命名为：遗憾工具箱.zip

哀：

实习投了五家，三家没回，两家说“我们要有项目经验的”。

你想说“你不给我项目，我怎么有经验？”

但你说不出口，只能打开 CTFHub，再打一遍那题你已经背会flag的Web题。

乐：

比赛进复赛，团队第一次进了排行榜前十。

你把名字截图发给爸妈，他们回你一句：

“这是啥？有奖学金吗？”

你摇摇头，继续翻另一个项目需求，试图往简历里再塞点“社会价值”。

愁：

你不是不努力，是“努力了也没用”的次数越来越多。

公众号教程看完也打不通靶场，培训课上完还是写不出 PoC，推荐算法发你10个培训广告，求职网站问你“是否考虑前端方向”。

你一度开始怀疑自己是不是走错了行。

难：

“网络安全”这四个字，每年换一次热词：

大一流行攻防实训，大二开始谈数据要素，大三搞零信任和AI安全，大四要你会SIEM、EDR、SOC三合一。

你写简历像写错题本，永远在补学不会的那一块。

盼：

你盼的不是月薪三万，不是年入百万。

你只是盼：

面试那天别刚好挂网；
打开IDE能跑起来；
不靠热爱也能续命；
哪怕工作苦，也别白熬夜。

他们不是“后浪”，是每一条安全路线上最先被卷、最后被问“你会啥”的那群人。

他们在实验室熬夜打比赛时，曾以为“打通就能改变命运”；他们在招聘网站海投简历时，才发现“实战”有时比学历还难拼。

这就是网络安全学生 / 初入行者的日常：

不是不够热爱，是太怕热爱撑不起生活；不是没打出成果，是成果没人认、没人看、没人给实习。

行业自由人/咨询顾问/独立研究者

他们是写在乙方合同之外的人，是白板图后真正画图的手，是“项目结项表”上常常被遗忘的那一行“外协支持”。

喜：

客户说：“你这方案挺清晰的，我们这边全权交给你。”

你点头，嘴上说“好的”，心里想着：

“终于有能落地的活儿了。”

你把这句话截图发给另一个自由人朋友，对方回你三个字：“别太快。”

怒：

项目谈成了，交付也顺利，PPT、PoC、复盘全在deadline之前交出去了。

你开完票、盖完章，客服回你一句：

“财务审核中，预计Q3批次拨款。”

你查了下日历：现在是Q1。

哀：

你写了三个月的框架，沉淀出一套独立模型。

甲方说“内部先试用”，没多久你看到对方公众号发了个新产品。

文案主打：“自主创新、架构领先”。

你识别了每一页都是你画的草图，但你知道自己什么也拿不回来。

乐：

你靠一口气讲下来的“威胁建模”课，现场掌声热烈。

客户回去后问你能不能提供服务支持合同。

你终于把三页讲义换成了十页服务协议。

你庆幸自己没放弃，还能靠讲清楚换一口饭吃。

愁：

本月项目刚结，下个月还没排期。

微信群静悄悄，朋友圈都在发“冲刺Q2目标”，只有你在 Excel 上计算自己能撑多久。

你甚至打开了校友群，看有没有哪位学弟现在进了能合作的厂子。

难：

你为客户做数据合规梳理、防火细则审查、红蓝评估流程。

可你自己的社保停了两个月，住房公积金变成了“自愿缴纳”。

你评估别人的漏洞，却没人评估你的风险。

盼：

你不是非要年薪百万，也不是非要创业成功。

你只是盼：

接的活别再拖款；
能有个地方按时发工资；
出门谈方案时能用自己的工牌进门；
生病的时候，有医保卡能刷得下药。

他们不是“自由职业者”，是靠技术吃饭、靠信用接单、靠熬夜改报告维生的非编工程师。

他们的自由，不是选择的结果，是常驻不了的现实。

他们不是不想进体制，是门没开；不是不想签正式合同，是每次只签服务单；不是不想做全职，是没人想给他们全职。

这就是安全行业的边界人群像：

他们不是局内人，也不是局外人，只是这个行业每一次数据流转中，最先上线、最后下场、永远不能署名的“影子节点”。

老板/创始人

他们是最早上线的人，也是最晚下线的人；是招人时信心满满的“我们是做安全的”，也是月底对着账本唉声叹气的“我们还能活多久”。

喜：

客户终于签了续约，款项到账，老员工没有走，新员工也没走错。

你在公司群里发红包说“大家辛苦了”。

你知道那只是小节奏里的胜利，但至少今天能笑一会儿。

怒：

产品模块刚开发完，客户那边说“我们这块业务可能砍掉了”。

你试着去沟通，对方说：“是上面新领导的想法，先缓缓。”

你知道这个“缓”基本等于项目黄了。

你没敢跟研发说，让他们先继续开发另外一块。

哀：

一个项目谈了快一年，对接了四位领导，做了两轮评估，一轮演示，三轮POC，结果中标厂商不是你，是另一家你带着它做了半年前期配合的友商。

你苦笑：“我教会了客户怎么选别人。”

乐：

年底结账，发现账上还剩点钱，你终于可以给员工发年终奖。

虽然不多，但是实打实的“扛过来了”。

你在群里发了句“明年会更好”，其实你也不知道明年会不会真的好。

愁：

融资越来越难，资本退潮，赛道“非刚需”。

你对外说“我们是盈利性增长”，对内说“今年控制成本”，对自己说“希望下个月不要裁人”。

难：

白天你是老板，得谈商务、管人、接待客户；

晚上你是售前，得自己写PPT、画拓扑、改标书；

凌晨你是项目经理，刷项目群、盯交付、还得想怎么报账不超过预算。

你已经忘了上次休息是啥时候了，只记得社保还在交。

盼：

你不盼爆款，不盼风口；

你只是盼：

市场能好一点；
政策别再改太急；
工资能按时发；
合同能早点结，尾款能早点到。

他们是这个行业最焦虑的一群人：

永远活在Excel的“现金流预测表”里，永远在一条“能不能活到下季度”的赛道上奔跑。

他们不敢倒，也不能倒。

倒了，下面一堆人吃不上饭；

活着，自己也可能没时间吃饭。

你以为老板很拽？

不是的，很多网络安全的小老板，比打工人还打工。

唯一的区别是：打工人担心绩效，他们连绩效都不确定还能不能发。

外包驻场人员

他们是所有演练现场中最沉默的一个角色—— 有工牌但没有入职记录，有账号但进不了内部群。他们站在生产系统和责任边界之间，是“出事第一个问，成功最后一个知”的人。

喜：

客户偶尔说一句：“你们驻场还挺负责的。”

你赶紧截图，发给项目经理汇报，顺手加一句：“我们这边稳定推进中。”

这种话听到一次，就够你撑一周。

怒：

你上线了 WAF 策略，拦了一次漏洞利用，系统没事，客户也没吭声。

三天后系统抽风了，运维说：“是不是你改了规则？”

你回看日志，跟你没关系。你试着解释，领导只说一句：“先把你改的回滚了。”

你咽下委屈，复制了 rollback.sh。

哀：

你加班到晚上十点，吃着泡面写日报。

写了一半，发现上周日报还没被读，邮件连一条“已读”都没标。

你自嘲一句：“幸好我写得好看，至少不会显得没人管。”

乐：

三天没人 ping 你，告警面板稳定，领导没喊你报工时。

你小心翼翼庆祝一下“没有被打扰的生活”，不敢发朋友圈，怕被看见就要你改策略。

愁：

节日前夕，内勤在群里发“福利确认表”。

你点进去发现：你不在名单里。

你问回老东家，对方说：“甲方那边没申请你的礼盒预算。”

你笑笑，转头点了杯自己付钱的瑞幸，配文：“今天过节我请我自己。”

难：

你改了防火墙策略，是你背锅；

你顶住了攻击告警，是平台拿分；

你参与了演练全流程，最后报告上的“攻防人员名单”里没有你；

你在现场两个月，工位隔壁的甲方员工连你名字都没记住。

盼：

你不敢奢望转正，也不指望涨薪。

你只是盼：

项目结束时，能有人告诉你“后续还有单”；
交接完系统时，有一张“工作交接表”不是空白；
出现问题时，不再是“先查驻场人员有没有误操作”；
有朝一日，能进一次客户内部培训群，不用靠邮件等通知。

他们不是“低端劳动力”，也不是“外包工”。

他们是最贴着系统、最熟悉环境，却最容易被忽略和替代的实战人员。

他们不是不想融入，而是没人愿意接纳；

他们不是没有能力，而是没机会展示；

他们不是不努力，而是努力永远写不到考评里。

这就是网络安全行业的影子劳动者：

做得多，算得少；离得近，算得远；出事负责，成功隐身。

你以为他们随时能被替代？

不是的，他们只是一直在替代责任，却没人替代他们的利益。

网安竞赛选手

他们是安全行业里最会提权的、也是最难提自己的职业权重的群体。他们用脚本拿下 flag，用汇编解密 payload，用爆肝换来奖牌，但换不来 offer。

喜：

线上赛一血，线下赛团体夺冠。

你和队友把自己关在宾馆里通宵三天三夜，靠咖啡和泡面提神，打穿了五道题的全部堆栈。

领奖那刻你差点哭出来，朋友圈配图是奖牌，文案是：“这次，没白熬。”

怒：

你拿着写得密密麻麻的 writeup 去参加校内评优，老师看了三秒说：“这个太专业了，评审不懂。”

你回去重新写了一份项目经历，标题是：“关于本地服务风险的行为分析建模框架”——你自己也看不懂。

哀：

你花了一年时间准备 CTF，刷题、建环境、学漏洞，打穿了 N 台主机。

你把经历写进简历，对方 HR 只问一句：

“你们竞赛的，能看日志吗？”

你沉默了一会儿，点头说：“能看代码，也能看日志。”

乐：

你进了国家队，和圈里最强的选手一同备战线下赛。

你爸妈得知消息后第一反应是：

“你不是说不当黑客吗？”

你解释了两个小时，最后他们还是在家族群里发了句：

“我们家孩子进了国家黑客队。”

愁：

比赛结束了，奖金还没发，writeup 写好了没人看，团队群渐渐没了声音。

你开始准备找实习，对着招聘要求发呆——

“熟悉 WAF 日志分析”“掌握 SIEM 平台配置”“了解等级保护 2.0 和等保测评流程”……

你只能默默加了一行：“熟悉 Linux syscall、libc、二进制逆向。”

难：

你能手搓 ROP 链，能调 GDB 挂进沙箱，能在 512 字节内做 DNS 隧道，但对着某安全厂商的竞品矩阵图却一头雾水。

你发现“打穿内网”不如“画清平台架构”值钱。

你看了眼笔记本里堆满的 exp 和 payload，心想：这玩意，怎么转化成 KPI？

盼：

你盼的不只是下次的积分榜，也不是奖杯或者 T 恤。

你盼的，是某天：

CTF 不再被当成“小孩过家家”；
竞赛不再只是“简历加分项”；
你写的 writeup 能进项目报告；
你熬出来的题目能被说一句“这就是能力”。

你更盼的，是：

你爆破成功的，不只是 flag.txt，而是这道从 CTF 到工作的 invisible wall。

他们不是“只会打比赛的学生”，

他们是用一台电脑、一个 VPN 和一堆代码，构建整个安全世界初体验的摸索者。

他们不是离实战太远，而是离“承认你是专业人才”的那张纸太远。

政企单位甲方安全岗：

他们是流程管家、系统保姆、技术背锅侠，是每一次“多方协作”里最早上线、最后走人的那个角色。

喜：

你推进了一年多的资产梳理系统终于上线了，终于可以不用靠 Excel + 群文件管理关键资产。

你在复盘会上点开平台，大屏展示干净整齐，领导点头说：

“不错嘛，感觉安全体系有了点样子。”

你表面淡定，内心把平台运营厂商艾特了十次。

怒：

护网刚开始，红队上线。

EDR 厂商说：“不是我们终端的问题，建议查边界。”

WAF 厂商说：“我们规则默认没开。”

VPN 厂商说：“你们上线前没和我们同步策略。”

你手里握着三个安全合同，五套设备授权，十个微信群，一个比一个沉默。

你坐在屏幕前，怒气值满格，喊了一句：

“就不能一个人主动承认点事吗？”

然后默默打开了 Notion，开始写总结报告第一页：“当前协作机制存在协调成本高、处置流程未统一的问题。”

哀：

你点开 SIEM 平台，日志源 172 个，红标 31 个，掉线 9 个，补丁进度不到 50%。

你给业务线发了邮件、打了电话、进了群，没人理你。

你想找人扛风险，结果业务负责人说：

“这个系统我没权限下线，你别来找我。”

你只能硬着头皮，在整改表格里填上：

“当前整改进度：持续推进中。”

你知道“持续推进”是废话，但你也知道，除了写这句，你什么也做不了。

乐：

红队上线一次，EDR 拦住了。

你在日志里找到痕迹，规则命中得漂亮，行为封锁很精准。

你截了图发到工作群，领导一边点头一边说：

“我们这边的防御体系，是逐步成熟了。”

你差点喜极而泣，这半年头一回有人承认你不是吃干饭的。

愁：

每周你要交的材料有：

领导日报（1页图+指标）
项目进度表（周更）
安全态势周报（全图）
演练日志审计情况（Excel三张表）
配合报审文档（按章走流程）
PPT 汇报材料（“多放点数据，少放点代码”）

你白天写 PPT，晚上等日志，凌晨三点改报告，周一照常开晨会。

你不怕 PPT 难写，就怕领导说：“这图能不能再规范点？像某某厅那种。”

难：

红队进来了，你找不到人分析日志。

蓝队日志里没看到链路，你也不知道是你查得慢，还是设备压根没记下来。

协调边界设备更新，对方说：“得业务审批。”

你说攻击就在这里，领导说：“不能影响业务。”

你只能干瞪眼，拿着自己写的应急响应手册，手册第一页写着：“确保日志可追溯。”

你想追，但没路。

盼：

你盼的不是系统全覆盖，不是打穿零告警。

你只是想：

日志别再“存不全”；
授权别再“审批四级”；
漏洞别再“出一年补不上”；
供应商别再“各说各话”；
安全别再“写在招标文案的最后一页”。

你更盼的，是领导说一句：

“这次你辛苦了。”

不是客套的、不是口头的、不是走流程的。

就一句真心的——你听得出来的那种。

他们不是政企“吃皇粮”的技术员。

他们是：

守在日志尽头、夹在业务和流程中间、站在责任清单顶格的落地人。

他们不敢说“安全靠我”，也不想再被说“你们怎么又没拦住”。

他们想要的，只是一种能喘口气的安全节奏。

安全产品经理：

他们是需求池的守门员、研发与销售的中转站、也是整个项目生命周期里最早背锅、最晚背锅的人。

喜：

原型图画了两周，开评审时居然没人说“这页面不够高大上”。

你看着页面上的流程图、参数表、权限控制点，听见研发点头说：“这次逻辑没问题。”

你长舒一口气，终于可以回去把 Figma 关掉一会儿，去吃一顿完整的午饭。

怒：

你在客户群里催了三次：“这个需求到底是高优还是探索性？”

没人回。

等到评审会对接时，对方突然念了一整页：

“我们希望这个平台支持全流量采集、威胁自动识别、情报联动，还要打通态势感知大屏。”

你硬着头皮说：“这个可能需要阶段性落地。”

对方说：“你们不是主打实战的吗？”

你笑着说“是的”，心里想：“我们也主打没人性。”

哀：

你画的流程图进过八轮评审，需求文档改了五版，最终上线时老板说“先不做这些，把系统框架推出来就行”。

你回头一看，自己写的“指标评估模块”“攻击链还原”“告警自闭环”，全被打上“后期再说”。

你点开产品 Roadmap，发现写得最细的，是你删掉的那部分。

乐：

你终于说服老板别再拿友商截图当产品规划的原型图。

你递了份竞品分析报告，顺带说了句：“我们可以尝试走自己的路径。”

老板居然点头说：“行，你写个方向规划出来。”

你高兴地想：也许我们不需要“高度参考”别人，也能有点自己的思考。

但你也知道，这高兴会在下次招投标被打回后结束。

愁：

你设计的“漏洞响应机制”被客户评价说“这个 UI 能不能再动画点？”

你刚想解释“我们重点是流程和策略”，销售在旁边补一句：

“是啊，能不能加个图标动一动？”

你低头打开 Axure，开始给“攻击图谱”加进场动画、加颜色渐变、再配个伪 3D 效果。

你不是不懂专业，你只是太懂“什么样的产品，截图放在招标书里比较讨喜”。

难：

你开了 3 个月的需求收集会，整理出一份“攻击模拟模块”的闭环模型。

你在周会上兴致勃勃讲原理、讲痛点、讲逻辑。

听完后，领导说：

“你说得都对，不过我们这季度目标是加点 AI 和大模型。”

你当场愣住。

你说：“AI 也得有训练数据、应用场景、评估机制。”

领导说：“不用太真，加点 AI 的味道就行。”

你点头：“明白了，‘AI 味儿的 YAML 结构体’，马上安排。”

盼：

你最怕的不是客户提新需求，也不是老板定新目标。

你最怕的是一切都还没做出来，就被当作“产品不行”。

你盼着：

研发能有喘息周期，不再边修 bug 边堆功能；
市场少点 PPT，能多点真用户声音；
安全从业者评判产品时，不再只看 UI 有没有圆角阴影；
项目不再一落地就喊“快速上线 MVP”，上线之后又问“为什么这么多缺陷”。

你更盼的是，有一天产品需求不用靠“高层想象”驱动，而是用户真正在用。

他们不是画原型的美工，也不是空谈理念的忽悠。

他们是：

拿着一张截图“逆向出需求”的造梦师，用一份文档“协调十个角色”的项目催化剂，在一句“这个先不做”里悄悄删掉半条生命线的安全产品人。

网络安全自媒体从业者

他们在术语里掺故事，在热点中找痛点，在算法夹缝中偷偷说人话。没人发工资，也没人兜底，他们写，是因为不能不说。

喜：

有一篇你熬夜写完、自己都没信心的稿子，被转了上千次。

点赞里出现了熟悉又陌生的同行评论：

“看哭了”“太真实了”“我也经历过”。

你点开那些头像，很多人你不认识，却知道，他们也在夜里调过 Beacon，也在项目群沉过默。

你没赚到钱，但赚到了片刻“没白写”的安慰。

怒：

你认真写完一篇 6000 字的安全深度稿，讲架构、讲逻辑、讲现实，一本正经。

平台算法说：“不推荐。”

你只好换个标题：

“我凌晨上线，系统崩了，但老板还在群里@我：你来看看”

结果转发涨了五十倍。

你愤怒地想：原来这个行业，必须靠段子才能被听见。

哀：

你写了一周的文章，被人截图删标注后转进了朋友圈，配文是“看这思路不错”。

没有署名、没有链接、甚至没有“谢谢”。

你也不是非要被认出来，只是想：

“我这一顿熬夜做图改稿找资料，至少能有一点点痕迹吧。”

乐：

某天一个陌生人加你微信，说：“你写的那篇文章我打印贴墙上了，团队都看了，谢谢你说出我们不敢说的。”

你看着那句“谢谢”，心里一酸：

原来，这份“没人指使、没人点赞、没人结款”的事，居然还真帮到人了。

愁：

稿子还没改完，图片还没配好，平台推文频率已经开始催了。

你翻着统计后台，想怎么再补一个能过审的关键词。

“零信任”用了，"AI 安全"太假，"GPT+攻防"又太卷。

你边写边删，边删边骂：

“我写的是内容，不是关键词种植。”

难：

你讲真话没人理，说“系统形同虚设”，被人说夸张；

你说人话没人转，说“报销太慢”，被人说你煽情；

你尝试做“内容安全”之间的中间人，却发现：

太懂安全的嫌你没技术含量，太不懂安全的说你讲得太难。

你写完一段自认为克制的评论，审核打回来，提示：

“可能涉及行业敏感内容”

你点开草稿箱，草稿比文章还多十倍。

盼：

你不盼火，也不盼变现。

你只是盼：

有人愿意多停几秒看完你写的话；
有从业者能在崩溃前，看到一句“你不是一个人在受苦”；
有新人能少走几步你走过的弯路；

有读者能在转发那一刻觉得：“这个行业，还值得留下。”

你更盼的是：

哪怕有一天你不再写了，还有人记得：

这个行业曾有人，说过一点真话，哪怕不讨喜、也没奖励。

他们不是爆文机器，不是行业公关，不是数据分析师。

他们是被行业缄默逼出来的代言者、被趋势压着跑的速录员、是“内容不够快就没人看”的无薪志愿兵。

他们拿命掏出的话，最后在一条转发里写着：

“哈哈哈，写得好笑，但真惨。”

但他们依然写。

因为他们知道，哪怕这只是个小火苗，也有可能照亮哪怕一个人，在项目群沉默之前，多撑几秒。

高校课题研究团队

他们顶着“国家战略科技力量”的帽子，住着九十年代的宿舍，打着 2020 年的漏洞，填着 2016 年写下的项目书。研究的不是安全边界，是经费边界。

喜：

中了一篇核心，成功发出一篇论文，会议截图拉满，全组拍照发朋友圈。

导师说：“这才是我们组的水平。”

你低头看着投了一年改了七轮的稿子，感慨一句：

“我们这是研究成果，不是毕业作品。”

怒：

实验室刚开机，发现被别人打了个靶。

你怒气冲冲想追查 IP，导师却说：“挺好，正好当一个攻击样例写到申报书里。”

你发现：

你不是搞安全的，你是搞安全故事的。

哀：

导师问你：“下周结题评审，你那块图画好了没？”

你打开机器学习模型代码一看，还有十天才能跑出结果。

你只好打开 draw.io，用“理论分析支持”画出了一张“安全防护矩阵”，准备评审时讲出一句：

“可视化结果目前已初步成型，效果良好。”

乐：

组里第一次拿真实样本跑测试，结果竟然打穿了系统。

你欢呼说“终于有点用武之地了！”

导师来了，看了一眼说：“你把这个路径标在那张‘威胁传播图’里，后天去开个展示。”

你意识到，你不是打靶的，是 PPT 制图的。

愁：

项目进度栏填了一年，除了立项页和封面页，其它部分全靠“文献支持”。

你查了十篇参考，整合了五种攻击链，写出了一句：“本研究在现有基础上，提出一种更具实战性的框架思路。”

领导说：“这部分能写多点，别太实了。”

你愁的不只是进度，而是进度根本不敢写实。

难：

你写代码，导师看不懂；你不写代码，导师说你不做实验。

你讲的是数据流图，他看的是交叉图谱；

你做的是自动化脚本，他说这不如画张时间线。

你是组里唯一能调出来脚本的人，最终做的却是：

用 ChatGPT 自动生成项目摘要，再手动改成“学术风格”。

盼：

你不盼发 Nature，也不盼评职称。

你只盼：

今年的横向课题别再卡你 KPI；
毕业的时候，研究内容能让你进个公司；
有一天，组里做的系统，不只是“截图演示”；
有人能问一句：“你们做的，真能跑起来吗？”

你更盼的是：

哪怕你离开这个课题组，做的研究、写的模型，哪怕有一段代码，能进得了生产，也不算白做。

他们不是学院里的学术精英，只是“国家项目执行人”名单上，被要求三个月出成果的无名开发者。

他们和“真漏洞”最接近的那次，是同学打穿了内网，然后一起修改了防护方案拿去投 CVPR。

他们背着“研究型人才”的名义，但做的是“能发论文”的安全，做不出“能上线”的产品。

他们不是在研究安全，他们是在研究：

怎么用最低的人力，交付一个最像“实战”的幻象系统。

网络安全转行者

他们曾熬过护网、打过靶场、刷过证书、写过PPT，后来发现这些技能哪儿都不太好使。有人改写代码，有人种起青菜，也有人换上假发直播穿搭。他们不是放弃了热爱，只是生活实在太贵了。

喜：

转行之后终于睡了个完整觉，周末不用等C2上线，不用看日报KPI，不用应急响应。

你朋友问你：“你怎么这么精神？”

你说：“我现在只有工作时上线，别的时间都属于我自己。”

怒：

有人在群里发你旧的PPT，说：“这方案是不是你以前写的？”

你一看，是你两年前为招标改了八版的图，连错别字都一模一样。

你想了想现在的工资和生活，再想起那个吃泡面赶标书的深夜，忍住没骂人。

哀：

你去面一家新公司，人家问你：“怎么从安全转开发了？是不是安全混不下去了？”

你点点头，又摇摇头，说：“不是混不下去，是太累了。”

对方一边点头，一边在面试评价写上：“职业目标不清晰。”

乐：

转去做了前端，搞 Vue，学 React，写页面写得飞起，前同事说你叛变了。

你笑着发朋友圈：“学了几年逻辑漏洞，终于来修UI了。”

偶尔看到旧项目还在招人，心里想起那些年帮忙挡攻击、补补丁、写周报，忽然觉得：

我现在只是加班，不再加命了。

愁：

转行做电商直播，带女装、挂链接，讲推荐逻辑时不小心说出“行为特征聚类+标签画像识别”。

评论区有人问：“你是不是搞安全出身的？”

你关掉弹幕，轻轻回答自己一句：

“是啊，以前搞APT，现在搞SKU。”

难：

你还挂在某些“专家库”里，系统偶尔还发你打分邀请。

你知道自己已经不“实战”了，但评估表上那几道选择题你依旧能全对。

你不确定自己算不算安全人了，只知道你再也没进过任何一场演练群。

盼：

你不再盼 Beacon 心跳上线，也不盼尾款结清。

你只盼：

不再凌晨改PPT；
不再通宵改脚本；
不再被“可实战”“可交付”“可结算”这几个词左右命运。

你更盼的是：

那些还留在行业里的人，能多一点清醒，少一点牺牲。

他们不是背叛了网络安全，他们只是从这个“没有假期、没有边界、没有标准”的行业里抽身了出来。

有人转行写代码，有人转行带货，有人转行进国企，不是因为不爱技术，是因为他们终于意识到：

把安全当信仰，最后可能连医保都没有。

如果你也是“前安全人”，别难过。

你走出来，不是退场，只是换了个生活方式保命。

愿你在别的世界里，依然安全上线。

结语

我们还在，就还算这个行业的一部分我们写下这些岗位的喜怒哀乐，不是为了卖惨，也不是为了吐槽。

是想让你知道：

你不是唯一那个报销被打回来三次的人，也不是唯一那个凌晨改完PPT还要早上值班的人。

你写过没人看的日报，也写过客户读完一句就跳页的方案文档；

你跟着“漏洞生命周期”走流程，走着走着，发现自己成了那个最容易过期的部分。

你可能是售前、是蓝队、是运维、是竞赛选手、是甲方、是乙方、是研究生、是讲师、是写安全文章的人，甚至已经转行、跑路、回老家种地了。

无论你现在在哪个岗位，处在哪种状态——

你曾经认真上线过、认真查过日志、认真讲过课、认真打过靶、认真调过一个说不出名字的 BUG。

那就已经够了。

这行业缺的不是人才，是留得下、撑得住、愿意继续写脚本、讲人话、扛下下一轮演练的人。

我们不需要每个人都“热爱安全”。

我们只希望，这行业不再靠热爱来续命，不再靠责任感来扛命运。

所以写到最后，不是鸡汤，也不是希望谁“坚持下去”。

只想说一句话：

你已经很辛苦了，能在这行活着，就已经够强了。

如果还有力气，那就继续撑一撑；

如果真的累了，那就去别的地方，也一样是光明正大的离开。

我们在，也在等你回来。

或者等你，发来一句轻描淡写的消息：

“我安全人，回来了。”

原文始发于微信公众号（攻防SRC）：喜怒哀乐愁难盼：一个安全人活到现在的全部情绪

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫