未来CSO训练营（Future CSO），是与安在国内首创推出的超级CSO研修班形成互补的，具有广受众、短周期、高精度、重实务、线上线下一体、社群互动交流等特点的，为有志于未来成为企业CSO/CISO/安全负责人的网安业者提供的特色精品培训。

为与未来CSO训练营活动呼应，自10月14日起连续四场的本系列直播，特别针对有志于从业网络安全的在校生、毕业生，更广泛的正在从事或想转行网络安全工作的年轻的职场中人，以及对未来职业发展道路有所期待的业界中坚。我们特别邀请各行各业大咖专家、职场精英，尤其是未来CSO训练营的高能讲师，现身说法，分享高见，解答疑难，指导前行。

近十年来，网络安全已经成为热门领域。那么，想要踏入网安职场的人士，需要具备哪些学历证书与职业技能呢？哪些非安全类的证书有利于职业发展呢？对于新人来说怎样快速入门呢？公司不招35岁以上的员工是真的吗？在安全领域也是这样吗？针对诸如此类的问题，本期直播的主题为《学历/证书/资历/经验，何为硬通货？（入门）》，专门答疑解惑。

为此，安在特邀商汤安全总监成瑾，某金融机构信息安全专家何启翱，某科技公司银河实验室负责人王延辉，某外企大中华区信息安全总监陈皓（因故未出席直播）等行业资深业者，齐聚线上直播分享。本次直播由安在新媒体合伙人张威主持。

从左到右、自上而下分别为张威、成瑾、何启翱、王延辉

直播伊始，张威简单回顾了前几场直播的概况，由于前两场粉丝对安全行业的入行、转岗、晋升等话题比较感兴趣，所以特别邀请专家一起探讨“学位/证书/学历/经验，啥是从业‘硬通货’”的话题。

王延辉首先介绍了安全领域的相关证书及资质。比如安全领域的证书主要分两大类：一类是国内认证，比如CISP/CISP-PTE/CISA等；一类是国际认证，比如CISSP/CISA/CISM等等。

但是在现实招聘过程中，证书不会作为唯一的条件，但是会作为参考项。而做安全管理岗，如果对证书或者体系比较了解的话，那么PSP证书或ISO27001等，都将是加分项。

成瑾补充道，除了王延辉介绍的以上证书，还有新兴行业的特殊认证，比如，现在热门的隐私保护及国内外组织的相应认证。他建议结合岗位需求、职业规划去看相关的资质认证。

成瑾介绍，这两年疫情，导致整体经济形势比较严峻，各类企业的招聘暂时放缓，但是从国际形势及国家监管的要求来看，各种方向的安全需求还是在增多。

实际上，安全岗位面向应届生的招聘依然是开放的，但相对经济整体形势较好的时候招聘范围有所缩减。因此，目前企业在选择应届生时，更关注其实践能力。

对于应届生的能力，成瑾简单总结为三个方面：

第一，专业学习。国内的高校已经设置了信息安全专业，专业课学习成绩也是一种价值的判断标准。

第二，承担项目的能力。安全是实践性很强的岗位，无论在学校自我学习去承担的项目，还是读研读博跟着导师做的项目，就安全方向的综合能力，对于应聘都是加分的。

第三，实习情况。尤其在监管机构、科研院或者互联网大厂的实习经历，都可以直接参与到具体的安全工作之中，这一类人会优先考虑。

安全岗位只是计算机技术岗位的一个细分类别，所谓的上岗证和其他技术岗位一样，重点还是实践能力，能不能快速去做好交办的工作。

动手能力是入职时特别强调的，不光是要有一些资质认证，最好是要有一些项目经验。

其实现在非常多的在校生都参与过一些安全工具、安全平台的研发，这种经历就能快速地去适应当前的工作。还有一些同学在学校里跟着导师去做一些标准，参与课题研究，推动安全项目的落地，这样的人才也会优先得到企业的青睐。

何启翱表示赞成王延辉和成瑾的意见。从一个企业来看，对人才的评价肯定有一些标准及评价体系，而学历证书只是敲门砖。

从他参与的招聘工作实际情况来看，如果是安全专业毕业，肯定会优先受到关注；而在安全专业毕业的前提下，自主考过证书则是加分项，比如实操性或者理论框架体系比较强的证书会加分更高。而非安全领域相关的证书，尤其是安全运营与安全攻防，企业内部往往非常鼓励安全专业人才去了解这些领域。

但是，相对于项目经验和实践效果来看，证书的含金量价值要低一些，尤其是在大机构参与过项目的实施或大型攻防实战演练，会得到高度重视。

除此之外，还有参加过国家级或行业级CTF比赛的成绩，以及在CNNVD这类向公众和大学生开放的漏洞库贡献的漏洞编码和数量，也是招聘中关注的指标。另外还会关注业界比较火的BSRC高质量漏洞现金奖励计划，以及在大型安全厂商中参加BSRC贡献的漏洞价值。

何启翱强调，证书虽然是敲门砖，也有含金量特别高的证书，但并不意味着有了证书就能入职，有一些项目经验反而会给予更高的重视，如在HW过程中能够达到2万分或者3万分；或者在BSRC排名前二十，都会是特别关注的对象。

王延辉也认为证书基本都是加分项，不是主要衡量标准。安全除了关注实践外，还会关注其他方面的能力，如学习能力，过往的学习内容及获得的成果；研究能力，发表的论文或者在媒体及网站的文章；编程能力，这是it行业所必须的。

另外，还会考校实战能力，比如给一个网站去验证抓取漏洞的动手能力，几个方面的能力相结合，最终给出综合判定结果。

成瑾所在的公司本身是做人工智能方向，主要为to B 业务。他也认为在具体工作中体现的实践能力比较加分，应届生中很少有直接上任，一般是先实习，承担具体的工作，在工作中给予全面的评价。

当然学历也有一些要求，他们的主力研究员基本都是来自清华北大，招聘对象基本是985、211的高校，但更期望于通过实习来验证能力，虽然也有校招通道，但是发正式offer之前，还是希望候选人能先实习。

王延辉觉得对于应届毕业生或者刚入职的员工来说，他不建议花钱考，如果学习能力强，完全可以自学。他表示自己的证书就是公司出钱考的，自己没有花钱。

他认为，考证和学到多少东西是不相关的，或者不成正比的。有的人有证书，但是能力没达到，而有些人通过自学就可以拥有一些能力。但是证书确实是有价值的，如果你觉得这个钱投入是没问题的，也可以自己出钱考。

虽然证书不能代表实践能力，为何还是会受到关注呢？主要是这几年安全行业的人不太好招，更偏重于自己培养，而证书就是加分项。

此外，考取证书的过程，就是一个相对系统化的学习过程，也证明了其学习态度和学习能力。但是王延辉建议考取的证书最好与工作相关，否则很快就忘记，体现不出其价值。

如果自身经济不是那么充裕，可以先进入工作，通过自学来提升能力。当实践能力达到一定程度后，通过系统化学习，才能更快更好地补充提升自己。不过安全行业内不会因为考取某个证书就能直接升职。

这个问题何启翱比较有发言权，他说自己就是非安全出身，之前做了15年的大数据，2019年才转到安全领域。

他从最开始都记不清网络七层协议，到后期的专业认证，都是受迫性学习，但是效果也非常好。不过他不推荐这种方式培养人才，也不推荐大家尝试，因为过程非常痛苦。

在此过程中，他获得了一份学习心得：安全想要上手，最好的方式是结构化学习方法。他当初用七个月时间，从国内的CISP到国际的CISSP考取专业证书，又用了将近三个月的时间，把培训教材画成思维导图，进行结构化识别，他认为这是建立知识框架体系最快的方式。

另外，他去年把安全领域的架构方式做了一段梳理，从最早的IOS27001包括国内的等保体系，感受最深的就是安全体系是依附于其他it 架构存在，很多标准的规则属于其他领域，也就导致了安全领域知识体系碎片化比较严重，而采用思维导图或者结构化的方式去整理，能够以成本最小的方式上手。

成瑾认为，安全是实践能力要求很强的领域，它也是一个综合学科，涉及的内容很多，安全的对象其实就是系统、后台、网络及基础设施甚至上升到了合规法律法规要求等等。

而安全行业入门就是通过系统地学习安全体系的基础知识，同时对安全依赖的计算机知识有必要的学习和掌握，能完成一些安全方向的相关工作。

如何快速的上路，成瑾认为可以从以下三方面来做：

第一，自我学习，自己有意识地把安全知识体系融会贯通灵活应用，面对新的知识概念能持续学习；以及在原有的技术体系下，对一些细分的子领域能深入去学习，并能快速掌握相关的知识和概念，会进行一些实践，如做简单的测试然后做推演等等，都能提升相关的能力。

第二，作为一个入门者，已经日常参与安全工作中，无论是乙方做客户服务，还是甲方承担内部的一些职责，在常态化工作中建议其要主动去发问，尤其是要去问为什么这么做，或者相关联的内容是什么。也就是不仅要看到眼前工作，更需要争取看到项目的全貌；

当然这也是一个挑战，毕竟刚入门时的知识体系、思路或者眼界都会有所欠缺，但是要努力去了解实现项目的终极目标，这样对于自己工作所处地位的重要性和其他共同参与项目同事之间的相互关系更能理解。另外希望刚入门的从业者，能够主动提出优化和改进方案；

第三，努力承担一些挑战性的工作。企业对一些岗位考核时，会设定基础目标和挑战目标，尤其是团队领导分配一些工作是自己没有做过的，更不要退缩。

成瑾的团队从实习到成为正式员工，也都有这样的经历。其从工作的流程、开发工具、应用场景熟悉后，对运行的某一个系统提出优化改进方案，并且最后还把自己的想法实践了。这个过程就是员工从原来做一个细分领域到独立完成这项工作，后续他就可以独立承担一些工作，这也是一个阶段性的成果。

王延辉介绍，除了技术能力、证书背景外，找工作也不是能者就能上，有时候也存在机遇。比如公司年底急缺python，要求就会降低，而年后可能就不招了。

他建议，不管什么途径，先进入到行业接触工作，在工作过程中再去找你学习的方向。如果你有比较好的学历背景，比如985大学研究生学历，又做了导师的项目，那肯定是加分的。

此外，建议小伙伴要注重学习积累。若现在对这一行业是空白的，但是学习能力强也是一种优势，比如日常的博客、论文都可以是成果，而进入行业后在工作压力下学习往往是最快的。

成瑾介绍他们公司面试时，首先会对候选人有一个综合评价，比如学习能力、职业技能等等。另外在面试候选人时至少要有三个优点，比如在外国领域攻防能力比较强，这就一个显著的标签；还有至少要有一个缺点，他们会看到他的不足，比如沟通时不自信，声音小等等。因为在工作中会涉及到团队合作、沟通及叙述能力都挺重要。

另外，他觉得气场也很重要，这可能涉及到和现有团队的成员搭配的问题。比如，他们整体文化是充分信任、充分分享，团结互助，如果他能展现出这样的气场，也会优先考虑。

张威总结，招聘方都比较看重项目经验，比如挖洞、安全体系建设、管理体系建设、乙方的应急培训等等，但哪种经验加分比较多呢？

何启翱认为，最吃香的经验还是实战。这几年由于公安部的实战体系推进，在业界最好的就是红蓝对抗、HW。随着HW的推进，大家对HW规则的理解进一步透彻，效果实际上逐步递减，但是过往的业绩在业界内认可度还是比较高。

除了HW，各行业、各企业尤其大型企业，也会组织一些实战攻防，这样的经历也比较有说服力，因为挖洞没有时间和场地的限制，很难鉴定他在里面的贡献，而实战是在有限的空间及时间里，把一个人的潜力发挥到极致，能够凸显你在攻防实战中的作用。

其次是比赛经验。现在安全的比赛也很多，过去以CTF为主，现在有网鼎杯、密码杯挑战赛等比赛，虽然没有实战的含金量高，但是也接近于实战。

再者就是挖洞、项目经验、编码经验等。大家关注度高了之后，对漏洞定义已经越来越松散，含金量也是大打折扣。一些通用性产品，尤其像OA的软件，可以搞到相应的源码，尤其是可进行逆向工程团队里，挖洞也是很容易的。所以挖洞是有一定的加分项，但是含金量没有那么高。

最后就是参与一些运维工作,或者发表论文，参与一些标准制定的经验。相对于没经验的人来说，还是有点优势的。

王延辉认为，安全领域的细分度比较广，安全开发与系统开发、安全运维与it运维的区别都不是很大，但是安全管理不一样。安全管理需要对安全体系了解更深刻一点，唯一特殊的就是安全攻防讲实战。他们这几年除了专注内部培养，其余就是转岗。

他比较关注基础积累和学习能力，比如何启翱谈到的HW，但是如果技术能力不强的话，反而上限非常低，他更喜欢积累比较深厚，学习能力强，并且对这个方向极度感兴趣的人。

何启翱认为，计算机从发明到现在已有大半个世纪，其各个领域都在不断地进化。因为他从事安全行业只有三年，对安全周期性发展没有太多的感受，但是对大数据有一些切实的体验，比如他在上学那段期间，面试时他提到人工智能、神经网络，可能很多面试官都不知道这些词汇是什么意思。

前一段时间，他研究最新数据安全的技术，当年要花半年时间写神经网络的编程，现在的工具已经发展到只需一个周末就能完成相关工作。

技术的发展一定是几何级数的增长，今天定义未来哪个方向比较有前景，是比较不负责任的说法。未来行业一定会逐步细分、逐步深入，“三百六十行，行行出状元”，如果在某一细分领域做到业界的前十名，一定会有前途。

其次，专业体系之所以能成为一个体系，不管是云安全、iOT安全、数据安全，既然都归到安全领域，它的基本原理和理论基础应该是共通的。而且在基础原理上衍生发展出了一些细分领域的知识概念体系，未来想要有好的发展，需要掌握许多领域的基础理论知识。

比如，他读研时，导师是做大数据领域的，但是其宁愿要数学专业的本科生，也不愿意要计算机专业的本科生，原因是大数据的基础理论是数学，网络安全也是这样，基础才是最重要，决定你未来发展的高度和深度。

最后，他对未来细分领域的选择没有太大的倾向性，他觉得可以有两个参考指标，一是市场需求，市场越广阔发展越大，比如loT设备肯定不如云安全。二是基础扎实了，寻找的只是机会，深耕后再看行业发展，围绕行业发展去做出自己的变化。

成瑾认为，首先安全的发展在不同的领域、不同的点都有一些需求，这也体现了整体的监管形式和技术的发展。无论是应届生还是入门者，或者一些有经验准备再一步提升的人，不断拓展自己的知识面是非常有必要的。

安全的细分方向，知识体系都是相通的，方法论和学习方法都一样，在自身时间有余力的情况下，尽量去了解一下方向的情况。

至于未来职业的发展方向，还是要看自身的机缘，有没有入行时就进入到这个领域。比如导师就是做AI安全的，那初学者就可以学一些AI的基础知识，但想深入地做进去，一方面要有天赋，能够很快掌握里面的知识要求。

另外，如果没有很好的项目经历，很难成为这方面的专家，那就要找这样的机会，无论是实习还是项目的机会，这也是比较实际的发展路径。作为资深从业者，他认为宽广的知识面可以带给自己很强的竞争力

另外，安全专业的同学进入行业后，学习能力非常强。他们在学校里受过专业的体系化的培训，可以多参与开源项目和一些讨论组去做某个方向的尝试，当然也要结合自己的兴趣爱好，这样能很好地构建自己的能力体系。

虽然有时候，安全像隐私计算更多的是偏一些算法，将之转化为一些工程应用到系统里，就可能变成数据平台的开发。隐私计算只是其中很小的算法引擎，这和基于攻防的系统有很大的区别。

而零信任、数据安全，都是需要去学习或者认证，甚至再扩大一些做云安全，如要参与阿里云相关的一些操作，其实都得先过阿里的一些认证。学完之后才会上升到系统的一些安全问题，无论是攻击还是防护角度，都能有一些自己的想法，才能为实践提供一些建议。

王延辉认为，无论你是哪个学习阶段，不管是大学、研究生还是自我进修，都要好好学习。当步入岗位后，你会发现你的所有学习都没有白费，它无形中提升了你的学习能力、逻辑能力、写作能力和表达能力。比如成瑾上面提到的气场、沟通能力，如果没有这些，你很难与面试官达成一致。

关于新的领域学习方向，王延辉认为要先进入，如果想进入安全行业，可以先做基础安全。当进入公司后，根据公司的业务去找寻感兴趣的方向，无论是云安全、it安全还是零信任，现在都要好好学习。

对于在职人员，如果有机会，肯定要努力去学习新方向，学习新东西，做一些知识技能储备，至于职业方向还是跟人的性格有关，是成为专家还是团队管理者，则跟自己的兴趣、天赋和选择有关。