未来CSO训练营（Future CSO），是与安在国内首创推出的超级CSO研修班形成互补的，具有广受众、短周期、高精度、重实务、线上线下一体、社群互动交流等特点的，为有志于未来成为企业CSO/CISO/安全负责人的网安业者提供的特色精品培训。

为与未来CSO训练营活动呼应，自10月14日起连续四场的本系列直播，特别针对有志于从业网络安全的在校生、毕业生，更广泛的正在从事或想转行网络安全工作的年轻的职场中人，以及对未来职业发展道路有所期待的业界中坚。我们特别邀请各行各业大咖专家、职场精英，尤其是未来CSO训练营的高能讲师，现身说法，分享高见，解答疑难，指导前行。

当下，网络安全的就职方向有许多，所覆盖的范围也越来越广，泛安全概念的出现让许多毕业生包括安全从业人员感到了迷茫，他们困惑于该如何规划自己的这条职业道路。为此，本期直播《网络安全职场进阶，上升通道路在何方？》专门围绕职业规划为诸位解惑答疑。

安在特邀万科集团信息安全负责人吴致远、某科技公司信息安全总监刘凯、雪诺科技创始人兼CEO高雪峰、某大型互联网企业业务安全及数据安全治理负责人谢涛等行业资深业者，齐聚线上直播分享。本次直播由安在新媒体合伙人张威主持。

（从上到下、由左至右分别为张威、吴致远、谢涛、刘凯、高雪峰）

随着《个人信息保护法》、《数据安全法》、《关键信息基础设施安全保护条例》陆续颁布后，各行各业对网络安全的认识都有所提升，网络安全行业的快速发展一举成为了焦点，行业内外都备受关注。在这样的趋势下，越来越多其他行业的从业者也想加入网络安全领域，比如IT人员中的开发、运维等。

为此，张威提问，安全行业的空间有多大？能够容纳多少就业机会？安全从业人员的缺口又有多大？哪些类型的岗位是比较缺人的？

吴致远表示，据相关报告统计，目前全国网络安全专业人才的累计缺口大概在140万以上，相比之下，每年网络安全相关专业的高校毕业生大概就只有两万左右，加之大环境下，大中小企业对安全的需求都在不断提升，企业数字化转型后对安全的要求又越来越高，所以网络安全人才的缺口可以说非常之大。

至于哪些岗位比较缺人，吴致远拿万科举例，他表示在安全规划和安全设计领域里是比较缺人的，这些领域要求从业者要有全局的业务视角，同时又得具备相关的安全技术，上能承接业务需求，下能将各个业务的需求设计成不同的安全场景并成功落地。

而谢涛在甲方也有同样的感受，他表示投简历的人确实比原来多得多，但是也存在完全不匹配的情况。谢涛认为，不管是安全还是任何其他岗位，作为应聘者都需要具备基本的素质和技能，而不是抱着“试试看”的态度随波逐流，起码得关注和安全有关的知识和技术，这是作为从业者最基本的素养。

谢涛说，当下安全研发和安全架构师是比较缺人的。对安全研发来说，传统的研发人员缺少安全方面的知识，研发技能OK，但安全的背景知识缺乏；而安全架构师对于甲方来说，等同于业务架构师或基础架构师，这对个人的素质要求会比较高，既要有安全能力，又要有架构能力，能与业务和基础架构的架构师团队做平等对话、平等沟通、相互了解、相互协作。

在甲乙方都具备从业经验的高雪峰表示，网络安全人才有两缺，一是在总量上缺少，二是缺少高精尖的人才，尤其是在甲方建设安全能力团队时，对精英人才的需求会比较多。究其原因，直到2016年，国内具备真正网络安全空间学院的高校就只有9~11所，很多学校有安全专业，但不是具体的学院，国家也没有明确这种学院的课程教导，因此专业中所教的内容更多的是偏理论性或密码性，其导致的结果就是很多安全从业者都是半路出家，没有从教育上接受过体系化、公众化的培养。

高雪峰认为，在攻防方面，精通攻击、渗透、漏洞挖掘，并在实战中能展现出能力的人才较少；既懂安全又懂研发的人员较少；懂业务的安全人员较少。高雪峰指出，安全人员需要对安全业务、公司产品的价格、公司整个的沟通协调落地等都有所了解，当下市场真正符合这些需求的人员是极少的。

从厂商角度来看，除了安全研发外，高雪峰表示最缺的岗位角色是产品经理。产品经理首先需要懂客户，其次得懂相关的技术和原理，最后还得懂产品、懂安全攻防，对乙方来说，此岗位的要求最高，人才最难找。

另一方面，刘凯认为此问题有很多的维度。从地域维度来看，刘凯觉得在北上广深这些地方不缺安全人员，只要企业给得起，就一定能找到适合岗位角色的人才，而在小城市则不同，哪怕大厂给出了相对等的报酬，但不一定找得到相对应的人才，因为大城市的发展机会更多、更好，这是客观存在的事实。

从层级的维度来看，安全负责人一定是缺的，因为要找到一个了解安全行业，在企业内部对上对下都能承接安全工作、推动安全发展的负责人很难，可以说是安全行业本身的不成熟所导致的。

除此之外，在安全负责人之下的角色，比如安全开发、产品经理等，因为他们本身的作用是推进相关工作的进度或将工作落实，并不需要承受过多的压力，所以相对来说，只要企业给予的薪资是匹配的，便不难找到适合的人才。

从技能的维度来看，安全是配套的，它会随着技术发展、业务发展而衍生，因此只要有新的技术领域诞生，安全也一定会随之增加业务，相应的在新的安全业务里，人才就一定会紧缺。以数据安全为例，甲方所找的处理数据安全的公司，多多少少都能为甲方办理业务，但水准有限，为何？因为数据安全也是近年来才发布的。

总结来说，刘凯认为安全行业并不缺少人才资源，相关报告作为参考就行，因为人才缺口的标准没法统一，也没有标准，所以只能辩证地去看待这些问题。刘凯自己公司招安全管理、安全技术需要三四个月的时间，他表示对在意制度流程规范的公司而言，这个招人时间比较合理。

张威提问，踏入安全轨道，人们往往会有这样的疑惑，入门安全行业到底要先掌握技术还是先了解管理？到底是“未知攻焉知防”更重要，还是“三分技术七分管理”更重要？因此，职业规划到底是从技术入门比较好，还是从安全管理入门比较好？

刘凯认为，到底该从哪个方向入门是因人而异的，比如有人喜欢做管理，喜欢高屋建瓴出制度流程，而有人喜欢钻研技术，喜欢不断深入学术研究，这都和个人喜好有关，而和现有的结论并无关系，因为安全这条路不可能只做其一不做其二，所以无论怎样的入门偏好都不能说完全适用于谁，得亲自经历才能得出属于自己的方法论。

刘凯指出，企业真正在意的是员工的通用能力、迁移能力，从管理到技术，从技术到安全，从安全到研发，从研发到销售，能否快速适应、快速掌握岗位所需才是关键。安全和所有行业一样都是会变化的，世间没有一成不变的领域，所以最重要的是不断地学习，将通用技能作为跨领域的沉淀，这样无论在什么新的领域、新的环境里，就都能快速胜任了。

张威提问，运营的职业目标是COO，开发的职业目标是产品总监，那对安全从业者来说，职业规划的最后一站是什么？是CSO？还是在技术上挖掘到了独一无二的漏洞？还是年薪百万？

吴致远表示，安全从业者不要给自己的职业发展设限，CSO、独一无二的漏洞和年薪百万都不会是安全从业者的顶点，就比如他自己，除了保护好当下企业的网络安全外，更多地会想为行业做出相应的贡献，比如在产品选型上，尽量做出更好的选择，对市场、对行业内外给出正向的反馈，让整个行业都能有所进步。

无论是攻防、挖漏洞、守护企业还是创业，总而言之就是把自己该做的事情做到极致，而那些所谓的高收入、高成就都是自然而然的。

安全从业人员大多都是半路出家，因此张威提问高雪峰，团队中安全专业毕业的同事占比是多少？非安全专业毕业的同事占比又是多少？其中的成因又是为何？

作为创业者的高雪峰表示，安全专业毕业的同事比例不到30%，这种整体人员的比例趋向于三七开。而从年龄段来看，团队中的95后基本上都有安全相关的学习背景，90后、80后则很少参与过网络安全专业的学习，更多的是拥有计算机专业的背景。

至于成因，高雪峰认为有两点。其一是国内的信息安全专业起步较晚，直到2016年，国家才抬高了对网络安全的定位，和过去高校只教授密码、简单算法等相关课程比较，2016年后各学校对信息安全无论从专业的培养、课程的设置还是整个的招生规模来看，都可谓是走向了正轨。而这样的时间差会为“重视安全”的那几年带来适时的人才补充，半路出家也就变得理所当然。

其二可归结为“就是对网络安全感兴趣”。比如从攻防的角度来看，有人就是喜欢琢磨他人所写的软件到底有没有漏洞，自己又能不能找到；再比如曾经学习不好无法毕业的学生，因为擅自改了教务处的数据而走上了安全之道；再比如自己创建的网站被攻击了、被诈骗了，因此走进了安全行业，或者没工作，闲暇时喜欢研究攻防最后走上国家队的路线；甚至还有医学院毕业但就是对网络安全感兴趣的，平时通过自学、泡论坛来增加自己的安全技术和认知。

高雪峰指出，这些对网络安全感兴趣的人才们存在一些职业长期发展的问题，即他们对知识体系结构的认识不够系统化，工作到一定的时候就会出现瓶颈。高雪峰认为，在面对这些瓶颈时，不是纯粹有兴趣、能力强就能克服的，而是需要得到系统性的、专业的培养才能更好的对多元化的文化有着必要的理解。

张威提问，哪些岗位的人适合转到安全领域？运维、开发还是产品、测试？

谢涛表示，从传统上来说，安全团队或说安全部门可分为三类。第一类叫做安全保障部门，也就是大家最为熟悉的安全运营中心，其职务往往表现为善后，所以对职位的要求有两点，一是需要足够的耐心，二是需要足够负责，也就是说技术方面不是最关键的，个人品质的影响因素更大。因此比较适合转入此部门的是运维和测试，这两类人在转向安全保障这种定位的部门时，更容易契合到团队的文化和核心诉求中。

第二类是效率工程，它的核心和安全保障不一样，其绩效考核点在于降本增效，和安全工程类似，因此这种定位的岗位需要员工拥有一定的产品理念：让服务优先。对于这样收益成本意识的需求，产品以及研发的从业者更容易get到其中的要点。这一类在当下大型的银行、金融企业里都多有显露，可认为是零信任、云原生等概念引进后带来的一种行业转变，说明安全整体的定位正在发生变化。

第三类比较特殊，叫业务职能部门，即安全是公司的业务，在公司的整体战略中安全已经提升到业务的层面了。比如安全合规、风控以及业务模式创新类的安全部门。

安全合规，就像对口网信办、工信部、公安在做的用户权益的保护，个人隐私的保护，隐私合规以及海外的合规保护，其在法律合规上具备严格的落地实施要求，并需要岗位人员具有强烈的忧患意识、危机意识以及兜底意识。风控，与传统安全相比，更明确地是为企业的业务所服务的。而业务模式创新比较难理解，在金融领域有一个典型的岗位叫做风险管理，此岗位是能给银行带来收益的，这是完全不一样的概念。

因此作为业务职能部门的安全人员具备更高端的业务素养意识、法律意识，同时还要熟悉黑灰产、竞争对手、反向熟悉企业业务等，而这些人员很多都是非安全行业的，他们可能是研发的leader，业务的leader转行而来。

谢涛对此总结，谁更适合安全岗位得看企业对自己的安全团队是什么定位，以及整个企业文化对安全的认知是什么，因此不能一概而论。

当下很多从业者想借着“安全被大量关注”的时机给自己找一个比较好的职位，张威提问吴致远，是不是这些从业者只要多跳几次槽就能找到更好的职位？对此有何建议？

吴致远认为，现在这个大环境里反复跳槽会有风险，而真正应该跳槽的情况是，在职位上遇到了瓶颈，但企业内部又没办法让员工获得自己想要的，这时再去寻找外部的机会是比较合理的。如果只想单纯通过跳槽去获取更高的薪资，那结果只会让自己的简历变得更为“复杂”。

张威提问各位专家，从个人的发展经历来看，是如何一步步走到现在这个位置的？期间有无什么瓶颈？又是如何克服的？各人的职业规划又是什么？

刘凯表示自己并没有什么职业规划，但他建议从业者可以做些规划，人若能按着自己的规划前进，也说明其具备优秀的能力。此外，工作十年是一个分水岭，家庭是另一个分水岭，特别是在有了后代的情况下，在承担为人父母的责任时，精力势必会在工作上有所分散，这是两个重要的时间节点。而在这两个分水岭之前，有一个相对靠谱的规划是比较好的，在它们之后，规划是其次，主要看机缘和自己在家庭或工作上的偏重。

谢涛认为，总体上要按照自己的规划执行，但不能死守规划，要多了解行业内外的变化，感知行业的动态，包括政策变化给行业带来的影响等，比如在乙方公司的那十年里，谢涛发现自己很难再有所提升，之后便毅然而然地去了甲方，直至到了甲方才发现过去隔岸观火、雾里看花的格局一下子被打开了，才明白在甲方公司做安全需要面临多大的压力，比如和业务、场景、技术、研发、运营等打交道，让这些部门意识到安全的重要性并配合安全工作，这些都是以前从未经历过的。

除了规划之外，谢涛还建议多做复盘，比如回顾这两年来在各家企业都做了什么，获得了什么，所获得的经验是不是自己想要的，同时还包括失去了什么，是失去了机会，还是在某些地方有比较大的得失，然后再去展望自己下一年想要什么，等等。规划一定要和个人的感受相结合，对谢涛来说，他做任何事都希望能获得成就感。

在乙方时，谢涛会挑战诸多难题，这些经历带给了谢涛质的飞跃，让他可以站在一个更高、更广的维度去看待安全的价值和含义，同时也锻炼了谢涛对项目的把控、对技术的把控、对人的把控，以及对节奏的把控等。

到了甲方后，谢涛的思考角度被转换，再不是过去“以安全论安全”的思维模式，而是真正地意识到安全的核心艺术在于妥协和平衡，可以说到了一定的层次后，安全和技术、业务、运营没有区别，大家都是在做平衡、做妥协，都是在有限条件、有限范围、有限时间内寻找最优点。

另一方面，高雪峰表示，规划不代表完全按着自己的方式前进，过程中也会有迷茫的时候，但方向和终点是明确的。在360工作的这十一年里，高雪峰常常会问现阶段的自己，接下去的几年要做些什么，可以说这也是一种规划的态度。

之后高雪峰总结，无论是在甲方还是乙方，安全最核心的本质是为业务服务，安全存在的价值就是保障业务。因此在这样的基础上，随着互联网不断飞速发展，规划已跟不上问题的步伐了，所以很多时候都是问题在导向，比如出现了什么类型的问题？这问题会带来怎样的影响？以目前的专业能力和团队该如何快速地将解决方案落地？等等。

此外，安全还会涉及到和客户交流，在此过程中会发现这些客户的沟通方式、办事逻辑，和在互联网与人交流技术是不一样的，因此在对比自己的规划时难免会产生质疑：长此以往技术会不会生疏？自己所做的各种交流又是不是无用功？这对立志成为CSO的从业者来说会是挑战。高雪峰对此表示，其实所有的沟通、组织、推动进程，都是在培养人的综合能力，这些对他之后的创业道路起到了很大的帮助。

而不管规划与否，高雪峰认为最核心的地方在于“从业者想要什么”。如果只是要钱，那规划里无非就是让自己不断地跳槽，向雇佣者加价。而如果是想学习更多的知识，获得成就感，那不管在什么行业，从业者都得意识到当下所做的事能不能为自己带来进步，这是最重要的。就像对高雪峰来说，创业是他从未经历过的，是挑战也是新鲜感，也是胜负欲，这才是他做职业规划时的动力所在。

至于如何看待创业，高雪峰表示，除了天时地利人和外，家庭环境和自身性格也是重要的因素之一，很多外在条件不容自己创业那就不要逆势而为。再者，若常常在考虑“如果失败了该怎么办”，那也不适合创业，因为考虑得越多便越难迈出创业这一步。“无非损失两三年，无非损失了一笔钱”，这些风险能够接受吗？不能接受就还是求稳吧。

而吴致远以自己的工作经历为例，他表示安全人员的职业规划里无需让自己常常跳槽，也无需刻意去变换甲乙方的身份，在某个企业、某个领域里不断沉淀也不乏是正确的选择，因为企业是死的，人是活的，我们虽然身处同一个公司，同一个岗位，但眼界和格局并不会被局限于一处，只要常常怀着多学习的态度，总能让自己不断提升、不断成长。

张威提问，当下从业人员在选择安全方向时会关注隐私保护和数据治理，这个方向和传统的安全保障有没有区别？未来数据安全会从传统安全里分化出来吗？企业对此需不需要组建新的团队？

谢涛表示，企业发展到一定的高度必然会分成两个团队，可能他们在同一个部门，但会有两套逻辑。传统安全的底层逻辑基于两个模型，一个是PDR模型，包含保护、检测、响应，另一个是风险评估模型，这两个模型是传统安全中最典型的两个通用模型，也是通用方法论的框架。

但数据安全和业务安全的模型机制不一样，这两个领域讲究的是治理，治解释为治问题、治风险，理解释为对业务流程的梳理。从这两个角度来看，其对人的能力要求和底层的运行逻辑是不一样的，其核心是要建立一个秩序，而这个秩序在企业内部会被认知成两部分，一个是共识，即对安全作为同一个底线的共识；第二个是效率，即安全不能减少企业的效率，甚至要考虑提升效率。不单单是研发、运维的效率，甚至包括业务的效率。

之前所谓妥协、平衡的艺术就在于此，对企业来讲效率始终是第一位的，而对数据安全和业务安全来说，在效率意识下中达成统一的安全共识是最关键的。

因此，从两种思维逻辑和底层认知模型来看，企业必然会发展为两个团队，具备两套处事风格。

谢涛建议，如果谁之前做的是业务侧的研发，那之后的职业道路可以选择往业务安全方向或数据安全方向，因为本身其做业务研发时会涉及到服务、接口，且并不关心底层的内容，因此停留在业务上的视角会帮助其融入更快。而如果之前是在传统安全中做运营的，那继续留在传统安全行业去沉淀自己的知识体系和框架会更好。

刘凯补充道，公司给新招员工的机会一般不会太差，而当下互联网公司更讲究的是适应力，所以从业者在选择这些网络安全道路的时候，一定要衡量好自己的适应能力，即对企业文化、岗位的要求以及岗位的职责能不能快速融入并负担，而若从业者是比较慢热的，那在往后的趋势里，互联网企业不会给予太多的时间让他们适应。

张威提问，在安全领域晋升有什么捷径吗？

刘凯提供了两个思路。第一个思路是从工程师开始一级级往上走，高级工程师、安全经理、安全总监、安全专家，一直到CSO。层级越高，意味着发展越好，收入也就越多，这是大多数人会选择的路径。

第二思路是“世上本无路，走的人多了便有了路”，也就是对从业者来说，最远的那条路才是最好的晋升路线。会去选择这个思路的人很少，但这条路是真正能塑造安全技能和认知的，就像前辈们一路厮杀、一路开创的过去，没任何人能告诉他们该如何晋升、该如何选择捷径，但对他们来说，之前的这些经历就是最好的晋升路线了。

刘凯表示，在安全领域里，经过咨询培养和训练的从业者，他们对沟通、方案、解决问题、业务的各种理解能力比纯粹做技术的人群要更好，这是软能力的体现，因此企业会更愿意把安全负责人的位置给他们。

张威提问，除了技术基础外，有哪些软能力对安全从业者来说是很重要的？

高雪峰表示，虽然安全在国家层面已经非常重要了，但对很多企业的CEO来说，他们并不懂安全，他们也看不到安全发挥价值的地方在哪里，因此和他们沟通时，将安全价值体现出来就很重要了。

其次，从攻防角度中“攻”的层面来说，从业者需要具备守正出奇的底线，因为越是有技术的人越难守住底线；从“防”的层面来看，建立在把安全价值体现出来的基础上，从业者需要有情怀、有理想、有信念，因为守护企业安全是一件苦差事，但又是非常关键的，所以从业者要有很强的韧性，要热爱这份工作，否则很难坚持下去。

而最核心的软能力在于，安全人员要有好奇心和学习能力。科技是持续发展的，大环境每天的变化是日新月异的，各种新概念、新理念、新技术会层出不穷，所以安全人员要不断地学习才能适应这样的趋势。再者，对综合的交叉学科的学习也是必要的，其他方面的知识领域对本专业不一定有帮助，但或许在某个阶段、某个特殊的时刻，能给到从业者不一样的角度和感受，因此拓展视野和学习面也是软能力的要点之一。

安全行业正在快速发展，对未来的发展趋势，每个人都会有不同的见解，因此张威提问各专家，未来安全行业会走向什么地方？网络安全的前景会是怎样的？

吴致远认为，从政治环境来看，国家提出“没有网络安全就没有国家安全”；从立法层面来看，法律的要求、合规的要求越来越多，企事业单位也越来越重视网络与信息安全的建设，因此网络安全行业在这样的大环境下算是比较好的轨道，对想加入进来的人员来说也是不错的选择。

而谢涛表示，市场经济的核心是供需关系，因此在安全行业越来越多地被需求、被扩大时，竞争也不可避免，接下去从业人员面对的竞争会越来越大。因此谢涛建议大家要有紧迫感，不能像过去那样按部就班慢慢成长，要加快发展步伐。

另一方面，高雪峰认为，安全行业从长期来看一定是向好的，竞争压力变大也是必然的。在乙方从事安全工作要牢记的是，通过产品、通过能力服务客户，了解客户的需求，然后提供给他们更好的服务体验。而在甲方时更需要关注的是“七分管理，三分技术”，包括怎么去了解企业的业务、怎么讲清楚安全的价值、怎么推动安全工作等，而不管在甲方还是乙方，把安全的价值发挥出来，这是最重要的。

最后刘凯提出，中国的网络安全行业是向好的，近十年的窗口期一定是存在的。但大环境并不做好，在这个经济下行、国际形势复杂的背景下，各行各业都在集结自己的小圈子，同时政治因素的加入使得国内的许多领域都是遭受破坏的，因此综合来看，方向相反是在向坏处发展。