未来CSO训练营（Future CSO），是与安在国内首创推出的超级CSO研修班形成互补的，具有广受众、短周期、高精度、重实务、线上线下一体、社群互动交流等特点的，为有志于未来成为企业CSO/CISO/安全负责人的网安业者提供的特色精品培训。

为与未来CSO训练营活动呼应，自10月14日起连续四场的本系列直播，特别针对有志于从业网络安全的在校生、毕业生，更广泛的正在从事或想转行网络安全工作的年轻的职场中人，以及对未来职业发展道路有所期待的业界中坚。我们特别邀请各行各业大咖专家、职场精英，尤其是未来CSO训练营的高能讲师，现身说法，分享高见，解答疑难，指导前行。

新冠疫情已持续两年半有余，各行各业都或多或少受到影响。对于网络安全行业而言，就业行情状况如何？有没有受到疫情影响？行业的薪资状况如何？安全理论与实践有何差别？安全新手应当如何入门？针对这类问题，本期直播的主题为《网络安全这碗饭到底香不香？》，专门解惑答疑。

对此，安在特邀乐信集团信息安全中心总监刘志诚，持安科技联合创始人兼CEO何艺，数世咨询创始人兼总经理李少鹏，某跨国企业CSO赵锐（因故未出席直播）等行业资深业者，齐聚线上直播分享。本次直播由安在新媒体合伙人张威主持。

从上到下、由左至右分别为张威、刘志诚、何艺、李少鹏

张威介绍安在在2021年做过安全从业人员的薪资调查问卷，其中工作5年以上的年薪为44.28万元，工资和奖金的比例大概是65%：35%，这样的数据也遭到一部分人的质疑认为安全从业人员的薪资没这么高。

那么行业的薪资水平真实情况是什么样的？身边的朋友高中低岗位又是什么待遇?

甲方代表刘志诚介绍，从行业角度来看，44万年薪在传统行业里的中高层工程师里算是比较高的，但是在互联网行业，尤其是大厂里则算入门级的水平，因为超百万的也不在少数。

另外安全也不能一概而论，因为岗位及工作能力的差异，比如是乙方操作方面的工程师，还是管理方面的专家。还有在综合能力是否具有跨界和创新素质等等，都会影响薪资水准，10万-300万都有可能。

而刘志诚作为70后，属于这个行业的“中老年人”，身边安全行业的朋友，工作十年左右，年薪超百万的还是蛮多的。

何艺以前在甲方工作了16年，在乙方一年半，他了解的情况其实跟刘总说的差不多。

何艺认为，安全行业的工资水平跟行业本身有很大关系，互联网行业整体的薪资水平，不光是安全岗位，包括研发各岗位，都比传统行业都要高。而安全行业作为其中相对稀缺的工种，薪资自然要比相同水平的研发、运维高一些。

而安全覆盖的面也比较广，不仅有技术岗，还有管理岗，所以个体之间的差异性也会非常大。

乙方的薪酬结构跟甲方还是会有差异的，甲方一般是工资+奖金，很少一部分人可能还有期权；而乙方尤其是创业公司一般都是工资薪酬，然后包括股权激励。

何艺称，针对工作5年年薪44万这个数据，觉得刘志诚所言还算比较公允，在他的圈子里也算是比较低的薪资水平，甚至达不到他们“四面中小学男性群”的入群门槛，在群里年薪数百万甚至千万都有，如果加上股票期权，薪酬特别高的也有不少。

所以何艺觉得，安全行业的天花板大家都可以大胆地去突破。因为安全做到10年以上，薪资往往会发生很大的变化，如果纯技术的就意味着技术方面非常专业；而一部分人也可能会转向管理岗如安全总监，薪资基本都会过百万。

刘志诚表示，疫情对网络安全领域的影响是一个比较敏感的话题，今年年初就有传闻某互联网品牌的安全团队都被裁掉了，而华为的“过冬论”以后，各公司都会收紧成本、压缩成本、压缩编制，而安全在很多公司被当成后台成本中心，基本上大多数企业都会有一定的影响，不光安全企业，甚至行业都会受影响。

另一方面，安全有其特殊性，国家颁布系列的管理办法和制度，如去年的《个人信息保护法》、《数据安全法》、及今年《网络安全法》的修订，导致公司的网络安全合规压力越来越大，违规成本也是越来越高。

但是从整体来看，正常的公司从长远目标和长远价值来说，在安全方面不会大面积地压缩和控制成本，但是他们公司基本不受影响，人员和预算保持在正常水平，至于进一步扩张也是不太现实。

从整体来讲，安全行业从业者相对研发而言相对安全，因为每一个企业安全团队的规模本来就是有限的，已经很少有空间去压缩，大家应该理性看待，社会整体环境如此，谁也躲不过。

何艺介绍，他现在做乙方，且公司自身的研发任务比较重，人员编制还是有所扩张。但是行业内的大体情况还是受到一些影响，人员可能压缩1/5，甚至1/3。

另外利好的一面就是，国家对安全重视程度越来越高，导致安全岗位需求也在增加。但是也由于外部的经济形式的不确定性，导致企业普遍不敢去做投资、扩张，降本增效在短期还不会扭转过来，这样会直接影响安全团队内部的人员结构。

比如在互联网安全公司，很多安全团队是有研发人员来做，当遇到人力成本压缩时，这些研发人员会被优先优化掉，会保留偏安全运营、安全实施这类角色，研发产品的工作会慢慢转向专业的厂家以更好的产品或者服务方式来交付，所以人员结构调整未来可能会有比较大的变化。

张威介绍，很多学员都有这样一个疑惑，他转型安全可以有两份收入，一是单位收入，二搞搞兼职还收入不菲，听说行业内很多白帽子都有自己的第二职业。

何艺表示，这种情况在行业内很普遍，他以前所在的团队也有这种非常知名的白帽子。这类的兼职非常多，首先第一大类是挖漏洞。现在各大公司都有漏洞悬赏平台，就是说你去帮某公司挖漏洞，然后该公司会拿钱或奖品对你进行激励。像一些大的公司，每年的这种奖金可能高达数百万。有的人兼职收入甚至超于本职工作收入。

另外一类是国家每年的HW活动，就是大的攻防演练，包括地方的也会有。往往这时，很多甲方乙方自己是没有足够多的人员去支撑，就会从外面去找兼职。然后以短期比如说一周或者两周等比较高密的状态下去做。据他所知，有一些白帽子，甚至会把本职的工作辞掉去做，然后赚了钱，休息一段时间，再去找工作。

刘志诚介绍，白帽子在团队的工作饱和度大家也是能看到的，在标准工作时间之内需要完成自己的工作，至于额外的休息时间做什么事，则属于个人的私人空间，他们不会干涉。

他认为他们团队的每个人，都承担专业领域的专业事情，单纯从攻防的角度来看，无论去挖洞还是去做白帽子，有效利用时间去做一些专业的事情，收入的提升和成长的收益会更高，也更有价值。

李少鹏拥有自己专栏“点评安全行业的这些事”，算是安全圈的红人。作为第三方，他认为安全领域上千万年薪已经有了，但属于凤毛麟角。

安全产业虽有三十来年的发展，他认为还处于初级阶段，虽然技术架构都有了，但是产业规模及目前所储备的创新能力和创新环境以及生态等方面，都还处于初级阶段，未来还是有很大的发展前途。

这两年受疫情影响，由之前每年20%-30%的增长降到去年18%的增长，今年可能也在10%左右，但还是在高速增长。虽然安全行业的规模在增长，但是净利润一直在下滑。

从2014年提出“没有网络安全就没有国家安全，一直到2020年六年时间，安全市场规模增长速度超过了过去二十多年的生长速度。但是那六年涨得太快，纯利润虽然有，但是不够规模，再加上主要是以合规驱动，综上安全行业还是初级阶段。

李少鹏表示，安全行业脱离初级阶段进入成熟阶段，首先要达到以下几个标准：

第一，规模至少得有几千亿。国内的GDP已达100万亿的级别，如果连GDP的1%都不到，只能是小众产业。另外安全产业能支撑起数字经济，而规模只是上述理论上的一个反应；

第二，需要增加纯利润。只有增加更多利润，才能创新和投入更多的新兴领域；

第三，行业内出现比较有统治力的企业。现在最大的企业只占市场5%-6%的份额，且他们的统治力不是因为其技术或者市场上的咖位，而是利用渠道销售来匹配；

第四，网络安全不再依附其他部门。现在行业内大部分网络安全都是受CEO管，CEO上面又有董事会，安全作为第三方角色应该和CEO并行，达到这样的阶段应该还要5-10年的时间。

刘志诚认为，大家不能把安全局限于在攻防上，因为攻防只是安全技术领域的方向，而安全面对的风险不仅是攻防，还有管理、制度和流程等多方面的问题。

很多人员进入安全行业是感觉黑客很刺激、很好玩，然后进入到这个领域，但是当进入到一定的阶段之后，如果还是认为安全就是攻防，那你的认知就存在局限性。

从乙方的角度来讲，做一个产品或针对一个点的安全其实没有问题，或者在乙方做安全服务工程师或者安全团队也可以。但是如果作为一个甲方从业者，目标就不仅仅是攻防了，尤其是升任为管理者后，更要从安全的全局观及安全风险的维度去考量。

所以从攻防的兴趣进入，逐渐扩展自己在整个安全领域，这是安全成长的路径。但是每个人的路径是不同的，有从科班出身，也有从做管理体系以及做研发进入这个领域，条条道路通罗马，走自己的路就好。

张威补充道，从安全的业务角度来说，它其实是有两条线，一是讲究攻防，在此领域学习知识不讲究全面，强调单点突破，做到“精、尖、深”。另外一个就是刘志诚上述所讲，安全领域的“木桶原理”，可能每一块知识点不用太深入。

张威说，也有很多人疑惑做安全是先做运维转运维，还是先学攻防技术再去做别的方向，这两条路径哪个比较好？

刘志诚认为，首先要看个人的兴趣，第二需要看个人的基础的知识体系，第三，看自己未来的目标来判断自己的路径。

比如研发在挖洞的时候可能就有先天的优势，而做运营管理、项目管理在工作中会思考管理、风险的评估，风险的判断，机制和流程，那就走安全产品的操作性的配置、管理运营，这是最有利的路径。选择什么样的路径没有必然，只有最适合自己，这需要自己来去判断。

何艺认为，这需要看你从事的工作类型，行内很多知名的大佬都不是科班出身，其实兴趣是最重要的，但是如果你有运维、研发某一方面的经验，可能对安全工作有帮助。但是如果是小白，则需要看兴趣所在，然后花费时间肯定会有所收获。

有人问35岁是否还能转安全？李少鹏觉得如果他之前工作相关的比如懂代码、开发或者懂运维，转安全也很容易。也就是懂it 学安全容易，但是懂安全学it则没那么容易。

学历不是问题，不管是35岁还是40岁，只要愿意学都可以，但是要达到高精尖比如年薪千万、顶级黑客等，可能困难比较大。但如果是成为编程高手，只是养家糊口达到小康，还是没问题的，尤其是普通的it运维人员35岁到瓶颈更需要进阶。

何艺介绍，自己从业快20年了，在安全行业遇到的瓶颈，第一是从专到广的过程。现在做外部渗透攻击的门槛比较低，当你初步掌握这个技能后就能做相应的工作。但是工作了一两年后，可能会考虑是去扩展你的自身领域，还是扩展职业的一个方向，这个过程可能会遇到坑。

因为如果是单一的维度，可能是重复干一些门槛没那么高的事情，未来价值一定会降低，这是做职业规划尤其要注意的事情。何艺自己选择接触更广的事情，即安全各个方向都有所涉及。

但是在做广的同时，也要有所专注，也就是有自己的核心方向，根据核心提升技能和管理水平。其实完成这些，基本从业就有5-10年了，这阶段的多数人都清楚自己想去做什么事情，有这样的经历，在小公司可能变成安全总监，基本就很难再升职，因为很少公司有安全负责人担任总经理或副总裁等职位，接下来很多人会有困惑。

何艺是选择自己创业，挑战更多的可能性，但是这不是绝对的路，但是需要这阶段的人去思考。

针对大龄工作者，刘志诚认为要做到未雨绸缪，不能只看一两年三五年，而要看自己未来的方向及目标在哪里。

刘志诚介绍自己在移动体系内也工作到2018年，主要做安全产品和安全服务，当时也属于大龄工作者，因为在过程中学到一些东西，所以有机会去甲方做安全负责人，其实还是主要看个人的综合素质即个人经验、能力、知识架构及知识结构等等。

刘志诚认为，年龄不是优势或劣势，但是随年龄所增长的个人能力才是关键，年龄我们也改变不了，改变的只能是自己的努力、认知及方向，从而提高自己的职场竞争力。

张威介绍说，很多小朋友在学安全时会遇到很多诱惑，比如名车名表，从长期的职业发展来看，一旦走上歪路，发展瓶颈就会出现。

李少鹏认为这个其实不是安全问题，安全专业是指在任何一种新生事物，一种利用灰色手段或者黑色手段去获得的捷径暴富，其实任何一个行业都出现初级技巧就能暴富，但是他的人生理念是，世界上没有白捡的便宜，最好的办法是增长自己技能，提高自己能力。

安全很容易就出现违法的事情，从业20年，身边很多人进去过。其中一件事很值得他警醒。就是某人有一次开玩笑进入朋友所开的私服游戏服务器，在里呼风唤雨，却导致他朋友非常紧张，他之前曾经因类似的事情被关了半年，所以违法的事千万不能做，一旦有污点就会影响一辈子。

何艺认为学技术一定要深入地去练学才能掌握，讲师跟你讲了三天三夜，能记住三个小时内容就不错了，安全是比较重视实操的工作，需要深入去做。

安全行业也有信息壁垒，参加培训班或者上课都是帮你把知识体系化，教一些安全技术操作，以及给你建议及方向，避免职业中的某些坑，缩短路径帮助你尽快实现自己的目标。比如从安全防御来切入安全，然后再去找一个自己喜欢的方向去做深入的研究。

刘志诚认为这个问题可以分成几个阶段来看：

第一阶段打基础。从入门到专家是蛮困难和痛苦的过程。显性的知识比如看书、听课大家付出时间就能掌握，而把这些知识变成操作性的知识则需要练习和实践，短则三五年长则5-8年，否则很难成为这个领域的高手，这个阶段人人都要经过，只能一定程度的缩短，不可能完全取消；

第二阶段是扩充能力。无论是创业还是做CSO抑或乙方的管理层，都需要提高综合素质和综合能力，甚至需要跨界能力。比如国内外相关的安全类的证书及体系化的知识如MBA，他自己基本上安全类的证书都有，以及四个硕士两个博士证书。他觉得最重要的能力是认知、洞察，能引领或者指导厂商、行业或者同行去做一些事情；

第三阶段则对安全从业者的跨度要求更高。安全未来大家都看好，数字化也离不开安全，应该和CTO齐头并进在董事会占据席位，就要求其不仅仅是懂通用的管理技能，还要懂业务、懂行业、懂董事会及执行层的沟通。他现在也面临这样职业天花板的问题，在努力去突破，并和大家共勉。

李少鹏介绍自己是2004年进入安全行业，在进入之前学了一些破解的知识如C语言、ASP等等，并且当时做攻防还不知道安全产业。从业十几年赶上好时候，04年到14年就做了一些行业积累、调研方面的积累。

真正感觉安全起来是从14年开始到现在，这是安全产业的风口，帮助他走得更轻松飞得更高。

李少鹏特别赞同刘志诚讲的，人应该增强其认知能力和底层能力，选择的方向对了，做事就事半功倍。但是我们不是神人，无法直接判断方向，但是我们能左右自己，多努力一点，勤奋一点，提高自己认知，提升自己技能，机会来了肯定能飞升起来。他认为网络安全行业在未来的5-10年还会是一个快速飞涨阶段。

何艺直截了当地回答“香”。创业其实挺苦的，为什么说香，是因为他之前读过吴军写的《浪潮之巅》，其中一个观点说，任何行业都会有巅峰期及衰落期，如果你在行业的上升期进入，大概能够享受到它的整个上升到巅峰的周期；当从巅峰下滑的时候，可能就没之前那么爽，但是基本上是比较平安，但是你自身的职业或待遇及发展空间都会受限，这是行业的趋势。

对应到安全行业，2014年以前安全情况没那么好，14年到现在安全增长的市值超过前面20年的增长，很大原因在于安全是上升期。安全行业本质不是一个能完全独立生存的行业，其本身没有创造价值，而是在保护业务的价值。

即使乙方创造社会财富，多数是所做出的产品、服务都是为了帮助甲方支撑其业务，少部分是把网络安全转化为军工行业。