网络安全行业的蓝翔在哪？

在任意搜索引擎搜索“网安培训”这个关键词，就可以看到非常多培训机构所打的广告，这些广告上标着“最靠谱”、“专注就业”、“免费试听”、“线上授课”等字眼，吸引了非常多想要加入网安行业的从业者或毕业生。

事实上，随着网络安全产业的逐渐发展，高薪资、有前景的网络安全岗位受到很多人追捧，受制于专业起步较晚，大部分人缺少网络空间安全的相关技能和知识，因此，他们不得不选择培训机构来获得相关技能。或许是Web渗透的门槛太低，也或许是网安产业发展得的确“迅猛”，近几年来，大量网安培训机构如雨后春笋般迅速涌现，可是花完钱、上过课的学员发现，这类培训机构似乎在把学员当“韭菜”。

为了快速地赢得市场，大部分网安培训机构将各类营销广告散布到各个平台，包括社交媒体、搜索引擎等等，这类广告的核心要么是保障就业，就读后未就业退换部分学费，要么是办学久、规模大，突出一个让人放心。

然而，真正上课后才发现，在营销上过度投资，在师资上面的投入就会少，教学质量自然就会下降，能够学到的知识也就非常有限。有的教培机构会把重点放在短期安全渗透上，这虽然是网安从业者的必备技巧，但这也仅仅是最基础的，无论是安全厂商还是甲方企业，对网络安全岗位的要求要远高于培训所提供的能力，这也导致大量学员在学习后发现无法满足市场需求，无法真正找到工作。

长此以往，当前大家对于网安培训机构的信赖度越来越低，特别是在网安专业毕业生走出校园后。相对于“野路子”出身的求职者，科班出身的毕业生更受网安企业的青睐。报告也反映了这一点，当前，近8成的安全从业者是网络安全专业或计算机等相关专业，非网络安全相关专业的从业者仅有20%。

随着网安人才缺口越来越大，单凭高校输送的毕业生只是杯水车薪，培训机构的混乱也让大部分求职者望而却步。同时，作为安全人才的重要培养途径，CTF也在过去几年内面临着挣扎和挑战。

CTF指的是Capture The Flag（夺旗赛），作为网络安全竞赛中最为传统的竞赛模式，CTF可以直接地考察参赛选手各个领域对应知识点的掌握情况，从检验和学习的角度也更具针对性。对于网络安全爱好者来说，CTF是一项很好的学习方式，通过练习不同类型、不同难度的CTF题目，可以循序渐进地学习到安全的基本概念、攻防技术和一些技巧。由于CTF题目中一定会存在人为设置的漏洞，相对于真实环境下，这些漏洞的真实性有所保障，也能够增强初学者的信心。

和培训机构不同的是，CTF的参赛成员大多来自于高校。为了贴合国内网安政策需求，包括浙江大学、北京邮电大学、上海交通大学等多家高校纷纷建立起各自的CTF战队，参与国内外CTF的相关赛事。目前，包括腾讯、阿里等互联网大厂或安全厂商都更青睐于CTF赛事的参赛选手。一方面，CTF选手大多来自于高校，从基础上已经进行了一次筛选；另一方面，CTF更考察实战能力，在HW背景的当下，具有强大实战能力的CTF选手更能为企业创造价值。

此前，因疫情原因，大量CTF赛事不得不转移至线上，虽然同样具有热点，但线上赛无论是比赛氛围还是参赛人数都有所减少。同时，由于组建比赛以及战队的成本十分昂贵，国内目前真正做好CTF的企业并不多。在这两方面的影响下，CTF赛事已经逐渐失去热度，对于产业人才培养方面的助力也在江河日下。

可以说，当前除了高校输送以外的另外两条人才培养渠道都无法彻底改变当前网安行业人才匮乏的难题，如何将产学研结合起来，建立高效、优秀的人才培养机制是当前亟需解决的问题。而在另一端，用工单位存在的种种问题也制约了网安人才的培养和发展。

网络安全岗位薪酬高、待遇好似乎是一个重要标签，但真正在岗位上工作的人们却有不同看法。今年10 月是美国国家网络安全意识月（NCSAM），至今已有 20 年历史。在此次NCSAM中，企业战略集团（Enterprise Strategy Group）及信息系统安全协会（ISSA）发布了一项最新研究。

研究显示，网络安全专业人员的工作满意度参差不齐。44%的网络安全专业人员对自己目前的工作非常满意，36%的人比较满意，7%的人持中立态度，13%的人对自己的工作有些不满意或非常不满意。

当被问及导致工作满意度的因素时，43% 的人认为是具有竞争力以及行业领先的薪酬，41% 的人认为是企业管理者对网络安全的承诺，38% 的人认为是能够与技术精湛、才华横溢的网络安全人员共事。由此可以看出，网络安全从业者虽然关注薪资待遇，但企业的网络安全文化和技能提升同样重要。

然而，并非所有从业者的薪资都符合预期。研究显示，接近一半的网络安全专业人员认为他们的报酬过低。其中，22% 的网络安全专业人员认为他们的报酬高于从事类似工作的其他人，38% 的网络安全专业人员认为他们的报酬与从事类似工作的其他人差不多，40% 的网络安全专业人员认为他们的报酬低于从事类似工作的其他人。由于工作满意度在很多层面上与薪酬正相关，因此，那些认为报酬过低的人（也就是近40%的人）很可能会给组织带来减员风险。

此外，工作压力也是导致满意度参差不齐的主要原因之一。网络安全工作在某些时候或大多数时候压力很大，在国内的HW期间，大部分安全从业者甚至要不眠不休长达1天以上。研究显示，半数以上（55%）的网络安全专业人员认为，他们的工作在全部时间（100%）、绝大部分时间（75% 以上）或大部分时间（51% 到74%）都有压力。

当被问及工作中压力最大的方面时，部分网络安全专业人员指出，工作量过大、与不感兴趣的业务经理合作、发现没有安全监督的项目以及跟不上新项目的安全需求等都是带来压力的原因。此外，工作过度、被忽视、薪水过低，这些都让网络安全专业人员倍感压力，这些因素与组织架构及组织在安全方面的关注度等有直接关系。

受薪水及工作压力的影响，大量安全从业者正在考虑离职或离开行业。据研究显示，近半数网络安全专业人员正在考虑更换工作。当被问及离职的可能性时，21% 的人表示非常有可能，7% 的人表示有可能，21% 的人表示有点可能。从某种意义上来说，这些数据并不夸张，但也需要包括CISO在内的C级高管密切关注。

不仅仅是离职，许多网络安全专业人员甚至在考虑退出网络安全行业。在接受调查的网络安全专业人员中，有 30% 的人在过去 12 到 18 个月内曾考虑过完全离开网络安全行业。产生这种想法的主要原因包括：职业压力大、对不重视网络安全的组织感到失望、退休以及网络安全职业需要的工作时间太长等等。

可以看出，让安全从业者离职甚至离开行业的主要原因在于压力以及组织对安全的关注程度。幸运的是，大部分组织发现了这些问题，安全从业者的留用率正在上升。ISACA 在其《2023年网络安全状况：劳动力努力、资源和网络运营全球最新情况》报告中指出，受访者的留用率有所上升，报告留用问题的受访者数量比上一年下降了 6%。

然而，有专家认为留用率的上升与经济环境有关，而不是工作条件有所改善。全球经济正在下行，大部分行业和企业都受到了经济下行的影响，对于个人来说，离职并不一定能够加入更好的团队及公司，留用或许是当下最好的选择。

此外，ISACA 发现员工离职的主要原因包括其他公司的招聘（58%），而第二位的原因是经济激励措施（如工资或奖金）不力。同时，寻求更好经济补偿的人比去年增加了 6%，达到 54%。换言之，薪酬待遇及激励措施已然成为员工离职的主要原因。报告指出：“任何形式的不确定性似乎都在减少职位变动，虽然职位空缺依然存在，但调查结果表明，企业似乎在潜在的经济衰退之前紧缩了预算和薪酬补贴。”

高压、高流动率的环境让企业在招聘时也多了一些顾虑。长期以来，包括IT行业、互联网行业以及网络安全行业一直在讨论公司聘用和培训应届毕业生，但这些专业技能人才却流失到其他地方从事高薪工作的问题。大洋洲 CISO 兼 ISACA 大使 Jo Stewart-Rattray 表示，很大程度上，培训和提高技能对于帮助解决网络人员短缺问题是必要的。但人员不足限制了企业对于员工技能的提升和培训，相比于有学习能力的新人，企业更喜欢那些兼具能力和经验的专业人员。换言之，在人员匮乏方面，企业本身就是自己最大的敌人。

大多数企业都会在发生紧急安全事件后，才选择招募安全岗位或扩大安全队伍，这时的企业往往会选择高薪聘请有经验的人来“救火”。因此，有能力、有经验的安全从业者的机会更多，待遇也更高，这导致外界看待网安岗位的视角是片面的。此外，有攻防经验的人的机会也更高，在HW背景下，攻防经验意味着能够帮助企业在HW期间完成相关任务，不仅满足了合规的要求，还能以此来促进营销及业务的推广。

那些既没经验、又没攻防实战能力的毕业生或培训机构输送的学员们，就只能去需求量最大，但也是工作最基础的安全运维岗位。因为日复一日做着相同的工作，这类岗位的成长空间非常有限，薪酬待遇也无法与“救火队员”相比。因此，安全运维岗位的人员流动情况最为复杂。

所以，真正想要改变安全产业人才匮乏的现状，不仅需要建立完善的人才培养和输送体系，还需要企业自己的努力。为了改变职业生涯，也为了获得相应的技能技巧，大部分网安从业者会选择自考证书或其他认证。报告发现，65% 的受访者支付了员工认证费用。但其余 35% 的受访者表示，不少专业人员需要自掏腰包进行认证，而这些费用并不总是很便宜，这对一些员工来说是额外的压力。因此，对于企业来说，要么自费建立有体系化的技能提升和长期的人才培养计划，要么为员工埋单，促进其去外部的培训机构提升能力。

当然，有企业会认为，自掏腰包支付员工的技能培训是一项额外的支出，特别是在哪些员工流动率较大的企业，这些支出很可能便宜了其他企业。对此，企业可以通过合同来制约员工，也可以什么都不做，有能力的员工流出在某种程度上也会给企业带来收益，例如曝光度及有机会招聘更多新人。

对于教培机构及CTF是否对就业有帮助这一问题，知乎用户武汉网盾科技有限公司 CTO小白表示，现在很多人提起培训，或者培训机构，就立马露出厌恶的表情，这也好理解，现在的培训机构确实太杂，水太深，一些垃圾机构在行业里面搅混水，导致整个培训行业的口碑很多差。但是你要知道，培训机构在早期并不是一个贬义词，所以并不要一棍子打死一片。

网络安全工程师，初级的可以速成，高级的不行。不过参加培训可以迅速、系统化的了解各种网络安全模型原理，流程，工具的使用，漏洞的利用、各种攻击方式。在这几个月里熟练掌握工具的操作后，对基础原理有自己很好的理解，其实这就是一个好的开始了。师傅领进门，修行在个人，后面的就是靠你自己了。培训机构只是带你入门，入圈子，剩下的路就要靠你自己去慢慢摸索，永远不要停止学习。

腾讯安全科恩实验室负责人吴石表示，参与CTF比赛的队员在求职方面肯定很有优势。腾讯科恩实验室多年来一直关注有CTF参赛背景的学生，这也是互联网厂商的基本趋势。随着HW的逐渐普及，那些攻防演练较为出众的企业，其安全成员大多数来自CTF，这也意味着通过这种方式来挖掘方式是有效的。

上海交通大学信息化推进办公室、网络信息中心副主任姜开达表示，从国家、教育部以及高校层面，都希望推进实战型网络安全人才的培养，CTF是一种非常好的方式，以赛促学、以赛促练不仅可以选拔出非常多的具有学习能力的学生，还能普及大量的安全知识。CTF与攻防演练不同的是，攻防演练更关注常态化的安全状况，对于小概率发生的安全事件和相关能力是考察不到的。但这些小概率事件并不是没有研究价值的，对此就需要CTF等比赛来进行专门的研究和探讨，将这些非常态化的能力普及给更多安全从业者或毕业生。

此外，CTF竞赛以及培训机构也可以吸引那些对安全感兴趣的非专业人士。以往，非专业人士想要加入安全行业的成本是很高的，需要大量知识的普及以及面临企业的低认可度。但现在，随着CTF以及培训机构的普及，这些人可以采取各自喜欢的方式来实现自己的理想，这不仅扩张了安全人才库，还提供了更多“跨专业”的机会。

产学研用相互配合不能只是一句空话，企业作为产业的重要一环，也是最主要的用人单位，不能只依靠产业上游来输送人才，自身也要具备培养安全人才的意识和能力。与信得过的培训机构长期合作，或许是一个非常好的方式。