网络安全年薪78万！美元！别人家孩子？咱这儿呢？

从研究报告来看，网络安全总监、安全经理、安全架构师、安全工程师和安全分析师都获得了丰厚的薪酬，其中有四分之一（前10%-25%）的人员年薪要远高于其职位的平均工资。

研究补充道：“受访人员中不同职位的前四分之一，其总收入要远高于薪酬中位数。在许多情况下，10%收入最高人员的年薪平均值是中位数总薪酬的三倍，这表明每个职位内部的薪酬差距都很大。”

对于网络安全主管来说，平均每年的总薪酬为330,000美元，他们每年收到的现金薪酬为250,000美元。对于更有经验的高级主管和那些比主管拥有更大控制权的人员来说，他们的薪酬分别为402,000美元和325,000美元。

企业管理协会研究副总裁Chris Stefan对此表示：“安全人员的薪酬将会继续增加，这是显而易见的，尤其是考虑到这些专业人士需要精通各种不同的IT和GRC学科，组织在市场上通常很难找到这些能满足要求的人才。”

此外，研究报告还显示了，高级主管中，25%收入最高人员的平均薪酬为424,000美元，而10%收入最高人员的平均薪酬竟高达783,000美元，此数值是该职位中位数薪酬（353,000美元）的两倍之多。

而网络安全架构师、经理、工程师和分析师的平均年薪分别为256,000美元、183,000美元、174,000美元和118,000美元，其中包括了相当于他们基本工资15%至40%的股权价值组成。

另一方面，安全领域具有更好的性别多样性，女性受访者在GRC职位中占40%，在IAM职位中占25%，在A&E职位中占19%，在SecOps职位中占据10%。尽管女性安全从业人员的平均薪酬差距依旧保持在7%，但随着行业不断完善，此差距将被缩短。

根据这项研究，在接受调查的受访者中，有42%的人负责多个网络安全领域的工作，其包含了应用程序安全（AppSec）、产品安全和身份识别与访问管理（IAM）。

报告指出，在应用程序安全（AppSec）工作人员中，74%的人同时也会负责产品安全，67%的人则参与了IAM。而在产品安全领域，支持IAM的受访者占比是63%。

Steffen表示：“这份报告证实了大多数安全专家的观点，即最优秀的安全从业者一般都是IT全才。道理很简单，安全人员若无法对所有要保护的信息系统有所了解，又如何能确保组织的安全性？虽然总会有专注于某个特定领域的安全专家，但大多数组织并没有这种奢侈的条件，可以一一去雇佣那些专家。因此，对组织而言，他们更希望能具备一名对IT各领域都有所了解的全才。”

然而，Candrick认为，对于安全从业人员来说，这种多功能性要求有时可能会过分。“虽然这种额外的工作内容可以促进专业发展，并使得职业不断成长，但这也会导致职业倦怠和精神健康问题。事实上，网络安全行业正面临着严重的精神健康危机，而人才短缺正是这一趋势的主要驱动力。”

随着网络安全工作的要求越来越严，留住人才成为了组织所面临的关键挑战。研究发现，有助于提高留任率的前两个激励因素是员工认可和工作津贴。Candrick指出：“组织只有去与投资网络安全相关的个人复原力计划，才会对人员倦怠问题有所帮助。就像Gartner所预计的那样，网络安全行业将从更通用、由人力资源驱动的健康管理方法，转变为专门针对网络安全专业人士实施的个人复原计划。”

此前，安在新媒体也对43位甲方从业者的年薪状况做了相关调查：43位甲方亲述网络安全的收入、预算和焦虑。

从结果来看，我们发现甲方安全从业者们对于自身薪资结构、工作压力等方面各执一词，有的认为网络安全因为企业的重视开始蒸蒸日上，有的认为企业裁员、降薪以及外部恶劣环境所带来的结构性压力使安全工作难以开展，安全从业者举步维艰。如此两极分化的评价如同“小马过河”一般，让想要加入安全领域的高校毕业生及非专业人士难以分辨。

比如某安全专家表示，自己的年薪在35万人民币，但其对组织的看法是：“公司不给人，不给预算，老板不懂安全，只会乱选产品。”

还有安全总监表示，虽然自己的年薪在70万人民币，但自己时常感到焦虑，因为大环境和行业在持续走低，业务萎缩，部门里也开始了裁员。

而某女性安全总监则指出，对于安全行业而言，进步空间小，安全做再好也不做到核心管理岗位。因此，她表示自己会认清现实，拒绝躺平，不管到什么年龄都会坚持学习。“付出要对得起自己的收入。”而她的年薪在50万人民币。

最后，基于43位甲方安全从业者的回馈，可以总结出几点：

对国内外安全人员的薪酬差距暂不评论。但对于业内一致认为的压力变化和倦怠问题，国内外安全专家都发表过不同的建议和看法。

比如IANS研究总监Nick Kakolowski曾说过：“对CISO来说，他们会将职业满意度归因于‘企业管理层对网络安全的承诺’，因为在CISO看来，组织能够重视他们的信仰，就是对他们而言最好的回报。正如大多数安全人员之所以会选择这行，是因为对‘能找到漏洞’‘能守护好系统’这些行为本身有着义无反顾的精神。从根本而言，没人愿意自己被称为‘成本中心’，是因为社会需要，所以他们才愿意担起责任。”

再比如，GuidePoint Security的CISO兼顾问Brian Betterton对组织提出了这样的建议，他说，高管和董事会成员必须重新评估他们对CISO职位的认知，不要只会按着绩效指标衡量工作结果，要多去评估关系、报告结构、资源、工作量和CISO的心理健康。“各组织最好能优化当前CISO的有效性，而不是想着‘有钱能使鬼推磨’，多换几个CISO就行，因为接下去越来越多离开安全行业的人员会站向组织的对立面。”

关于安全人员的压力问题，国内安全专家姚俊先曾说，有压力才有动力，有动力才有荣誉。所以他建议团队要树立统一的奋斗目标，共同成长，内部做好对应分工协作机制，建立安全团队人才梯队，培养和储备骨干，才能长期应对压力带来的挑战。同时，安全负责人也需要将安全实施推动，完善对组织其他部门的安全培训，因为外部所带来的压力不能由安全部门独自承受，而是要让组织从上到下都重视起安全，这样压力才会被分摊，安全团队才能有更多的精力去应对威胁。

当然，获得工作资源也可以让个人对自己的工作有更大的控制感，这有助于减少压力和焦虑。所谓工作资源也可理解为权力，也就是说企业要给予员工“权责对等”的工作环境，这可以提高员工的动力，从而防止倦怠的发生。当下许多安全部门没有足够的权利，因此总在落地方案时寸步难行，很多时候安全部门的压力就来自企业本身，若企业没有良好的制度提高安全的实施率，那压力自然会加增到安全人员的身上。

对于国内安全人员的年薪和压力问题，安全专家们如此建议。

某科技公司实验室负责人王延辉表示，国内安全人员当下的年薪是普遍较高的，这主要是因为随着网络安全威胁的增加，国家和企业对安全越来越重视。企业对安全人员的需求也在不断增加。安全人员需要具备专业的技能和经验，因此他们的薪资水平相对较高，也应该较高。

此外，在安全压力方面，王延辉认为该有两个方面的考量：

某互联网企业安全专家郑欢表示，安全人员的年薪因行业、地域及岗位的不同，会有较大的差异。疫情前几年，得益于近几年国家政策法规的出台，HW行动等活动的推动，安全人员的整体薪资情况在IT行业属于相对较高的水平。但随着疫情三年带来的全球经济衰退、国际地缘政治冲突加剧的影响，不管是甲方安全团队，还是作为乙方的安全厂商，缩编、降薪、减员已成为常态，安全从业人员也需要适当调低薪资预期，同时做好自身的职业规划，紧跟科技发展方向，在不断提升专业水平的同时，也要关注工作成果转化为业务价值的能力。

而对于安全压力，郑欢表示，这是一个老生常谈的问题了，既然选择了安全行业，高压的工作环境就是一个不得不面对的事实。为此，郑欢觉得可以从以下几个方面释放、缓解自己的压力；

九方云业务安全负责人刘欣表示，在信息安全行业，甲方和乙方的信息安全人员年薪因角色、经验和技能差异而有所不同。甲方的安全负责人负责制定策略、管理团队，年薪在几十万至数百万人民币之间；信息安全工程师执行日常安全操作，年薪大致在15万至60万元区间，随经验与专长增长。乙方的项目经理或高级顾问提供客户解决方案并推动项目实施，年薪同样可达几十万至数百万人民币；信息安全工程师承担技术支持、漏洞扫描等工作，年薪也在15万至60万元人民币范围内，且具备特殊技术能力者薪资更高。实际年薪受地域经济、行业状况、供需关系及个人背景等多因素影响。

而在压力问题方面，刘欣认为要从两方面来理解，其分别为就业压力与工作压力。

另一方面，安全人员在应对工作压力时，刘欣建议，安全人员要持续技术学习以适应威胁环境变化；合理规划工作负载与团队协作减轻压力；明确职业定位并制定发展计划；积极心理调适保持工作生活平衡；参与行业交流拓宽资源和视野。

结合国内外各行各业的发展趋势来看，确实部分安全从业人员的平均薪资较高，待遇较好，但反观薪资待遇不那么理想的安全从业人员，他们一样为企业殆精竭力、呕心沥血，可为什么他们的工作回报会偏低呢？这在同样要经受倦怠、压力、经济下行的环境中，确实更让人觉得雪上加霜。其在国内更甚。

因此，这也就导致了“一半海水一半火焰”的现象，火焰之中的安全人员看到了国家对安全的重视度，认为安全行业一定会蒸蒸日上，安全从业人员的未来也一定会越发辉煌；而海水之中的安全人员则逐渐平静，他们只感受到了安全赛道在不断被稀释，人工智能等新型领域都在瓦解企业对安全的关注。

那到底是什么导致了如此结果？其根本原因和底层逻辑在哪儿？同时，对于这样的情况又有什么较好的改善措施？欢迎大家来讨论，踊跃发表自己的观点。