网络安全从业8年，选专业必看，5 点了解行业现状和避坑指南

序

正值高考季，本文谨以从业者的视角，为已经计划和考虑进入安全行业的读者提供几点浅薄的行业感悟。宏观的专业选择请选择专业的咨询机构。个人意见仅供参考。

信息安全是否还值得选择？是个有前途的行业吗？
信息安全在各行业中是普遍需求吗？
安全公司和互联网公司相比存在什么差异？
准备选择网络安全，哪些能力是公司真正需求的？
谨慎选择的安全方向

信息安全是否还值得选择？是个有前途的行业吗？

有，安全始终是刚需，是不以个人意志为转移的客观需要。但今时不同往日。

看一个行业好不好要放在时代和地缘条件下判断。在过去，公司着力发展规模化扩张，研发环节的流程和销售产品自身的安全性没有得到重视。

近年来国际形势以及国家信息安全布局的需要，使得对网络安全人才的需求也在持续释放。以当下形势做客观分析就知道信息安全在国内未来10年内一定会保持一个需求增长的态势。

再来看一个资料。这里仅摘抄一部分引用过来（请网上自行搜索该研究报告）

但我可以说对于在安全圈的同行，大概率经历过这两年的裁员潮，并且对该报告的真实性产生怀疑。以我自己所知道的现状就是用一个惨不忍睹来形容。各个公司难道不应该是一手压低资深工资，一手招头部985新兵蛋子，脑袋还在砍产品线，十天整个排兵布阵五天来个加班时长评比的么？~

这个报告中的数字真实性无从论证，请注意该报告是从需求端角度表述行业现状和未来预测的，但不要忽略了生产力的增长。基于大模型的AI已经在各行各业全面开花。换而言之，信息安全未来的前景是一片蓝海，可预见的未来可期不假，但AI和机器人不断的能力进步，和即将到来的大范围商业落地，将压缩这片机会空间，产品交付流程被AI自动化编程重构，进而波及企业组织结构和影响企业招聘的目标人才画像。数字人上岗后，基础的张活累活都会被AI所取代。

总之，君子不立于危墙之下，在未被AI所能覆盖到的人才区间里，始终自我审视并跑在AI的前面才是当下的有利选择。

信息安全在各种公司中是普遍需求吗？

在过去，信息安全岗一般只出现在软件公司和金融类公司等很早就完成数字化信息化的企业中，企业最多最重要的资产之一就是人力和信息流，然后也有大量的代码和产品配置信息需要管理，自然要建立对人和流程上的安全管控。

制造业例如化工食品建材等行业首先没有那么多的数字资产，信息程度不高也没有安全管控的必要性，有的公司可能现在还在使用纸质账本。当然随着企业数字化改革的浪潮，已经有大量的重有型资产企业按照逐渐完善的安全框架标准建立了信息化安全体系。这其实对我们信息安全行业来说是一个极大利好。

这些非软件行业的企业，没有软件开发能力，因此就要向信息安全公司采购安全软件，商业关系上网络安全公司叫做“乙方“，这些企业称为”甲方“，也叫做“甲方爸爸“。典型的例如中字头大型国企央企，重工类企业、医院系统，金融企业等。这些企业每年通过集采方式招标各个软件安全公司的安全产品，中标后会签订采购协议。这也是目前大多数国内网安公司的主要客户和营收来源。

很有趣的是，软件行业但非安全的企业。一般有大安全部门，例如国内几家头部互联网公司都有，可以到热门招聘小程序中观察一下。一般这些公司没有安全产品研发能力，会购买然后二次开发。国内的很多网安公司都提供OEM产品。说句题外话，这些公司的安全岗位非常适合安全背景的跳槽过去，性价比较高。

安全公司和互联网公司相比的差异

首先是岗位设置，相同部分例如开发，测试，项目经理，产品经理等，但还有一些差异。因为安全公司提供的产品和服务与互联网公司不同，从而一定程度上决定组织结构形式，而组织结构决定了下面这些独有的岗位角色。

（本文的学生读者或准备进入该行业的读者，也可以参考各大招聘网站头部安全公司的招聘简介。）

首先必须要有安服团队，负责提供安全服务、响应安全事件和售后服务，擅长攻防渗透，会参加每年的红蓝对抗护网行动。绩效指标主要是稳定性保障、拿奖做个宣传什么的。

引擎能力部门，也可能叫做基础技术部门、核心能力部门啥的。情报和引擎开发只要不是小公司都会独立成部门，且不会和产品开发部门混合。技术上会接触到核心且领先的检测引擎开发技术、情报的处理链条、动态和静态检测技术、AI引擎等。位于事件响应链条下游，为产品产品线赋能。工资比较高，技术要求高。

产品开发部门。人员众多，员工能力区间跨度较大，工资区间比较弹性，当然人员变动也是弹性的（裁员较多hohoho~）。受产品订单需求规划影响，如果今年多谈下来规划几个项目，就会增加校招名额，有时会临时组建项目团队。如果遇到突发事件导致项目终止，就会极速裁员。常见的就是XX政企产品项目组，金融客户产品项目组等等。如果要进一个长期项目组倒还是挺稳定的。面试门槛低容易通过，但是白菜价。工作节奏和绩效压力和互联网比较来说会很轻松。

省办大军。这就是安全行业和互联网公司最大的不同点。为了能高效拿单会在个省份或大区部署销售节点部门，负责所在地区的售前和投标业务，一般挣得比研发都多，还能结交各社会精英拓展人脉。

准备选择网络安全，哪些能力是公司真正需求的

安全公司的主要业务就是两个字：打标。国内安全公司少说几百家，激烈的竞标市场让各家产品毛利率压得很低。国内Top10网络安全公司大部分多年持续亏损（看真实销售并回款）。内卷下反而是一些领域极其垂直且有稳定订单来源的小公司活得滋润。

主要产品一般围绕订单或投标需求，资质的获取和维护，对现有产品进行整合与定制化。同时还要对竞标公司的优劣势调查。基本上只要做这几点就是一个最小规模的网安公司的雏形了。

对于准备进入安全行业的新人，无论职业规划是走技术路线、管理路线还是产品路线，这里作者建议一切以技术为铺垫打底，都要先把技术学好，技术仅是你完成职业发展目标的工具和垫脚石，等到3年工作经验后如果还想在安全行业，再向职业规划方向转移也不迟。

对于走安全特长生路线，关注点是两个字：漏洞。多参加CTF这些比赛，进入企业后你会发现“漏洞“才是安全公司的业务核心。

对于走产品开发路线，关注点也是两个字：业务场景。产品需求是火车头，你大概率不会接触到各种高深的安全技术，只是用业务代码堆砌一个个定制化需求。这时会让你脱颖而出的一个途径就是深入业务场景并能讲好故事，站稳团队核心位置。

业务上，一个是目前火热的国产化替代主题，围绕鸿蒙麒麟统信操作系统的产品开发。一个是数据安全，数据已经成为了企业的重要数字资产。数据安全方向聚焦于数据的全生命周期保护，包括数据加密、访问控制、数据脱敏、数据备份与恢复等技术。在合规要求日益严格的背景下，如欧盟的《通用数据保护条例》（GDPR），数据安全技术的应用不仅能保障数据安全，还能帮助企业满足法律法规要求，避免法律风险。

另外，云安全也是会持续有市场的需求，云环境的多租户特性、资源共享模式以及复杂的架构，带来了数据泄露、云服务滥用、容器安全等一系列问题。云安全方向涵盖云基础设施安全、云平台安全、云应用安全等多个层面，通过访问控制、数据加密、安全审计、云原生安全技术等手段，保障云服务的稳定运行和用户数据的安全。

其他的还有AI安全、密码学等AI暂时难以处理的方向都是长远的机会。

谨慎选择的安全方向

有些网络安全方向在未来可能面临淘汰，在选择时需谨慎考虑：

网络爬虫
在过去，网络爬虫常用于数据采集，但如今随着 AI 智能体技术的发展，AI 智能体能够更加高效、智能地完成数据收集与分析任务。它们可以理解复杂的网页结构，绕过反爬虫机制，并且能够根据任务需求自动调整采集策略。
传统漏洞扫描
传统的漏洞扫描工具通常基于固定的规则库和扫描策略，对已知漏洞进行检测。但如今新的漏洞层出不穷，且攻击手段复杂多变。这些工具难以应对未知漏洞和 0day 漏洞，容易产生误报和漏报。与之相比，基于AI智能体的漏洞检测能够通过对大量数据的学习和分析，实时监测系统行为，更精准地识别潜在的安全漏洞，逐渐取代传统漏洞扫描技术成为趋势。
单纯的防火墙运维
传统防火墙面对日益复杂的网络攻击，如 DDoS 攻击变种、应用层攻击、APT 攻击等，单纯依靠防火墙已难以提供全面有效的防护。新型的安全防护体系强调零信任架构、动态自适应安全策略以及多维度的安全检测与响应机制。这使得单纯负责防火墙的工作岗位价值大幅降低，其职责逐渐被整合到更全面、智能的网络安全运营体系中。
初级安全合规文档工作
安全合规岗位主要负责收集、整理和归档安全合规相关文档，以满足监管要求。然而，随着自动化合规工具的出现，这些重复性、规律性的工作能够被系统自动完成。这些工具可以自动从各类系统中提取数据，生成合规报告，并实时跟踪法规变化，确保企业合规状态的持续监测与更新。该方向的职业发展空间也将受到极大限制。