未来CSO训练营（Future CSO），是与安在国内首创推出的超级CSO研修班形成互补的，具有广受众、短周期、高精度、重实务、线上线下一体、社群互动交流等特点的，为有志于未来成为企业CSO/CISO/安全负责人的网安业者提供的特色精品培训。

为与未来CSO训练营活动呼应，自10月14日起连续四场的本系列直播，特别针对有志于从业网络安全的在校生、毕业生，更广泛的正在从事或想转行网络安全工作的年轻的职场中人，以及对未来职业发展道路有所期待的业界中坚。我们特别邀请各行各业大咖专家、职场精英，尤其是未来CSO训练营的高能讲师，现身说法，分享高见，解答疑难，指导前行。

随着安全行业的细分领域越来越多，安全岗位也越来越多，甲方、乙方、咨询、体制内出现了诸多安全岗位，这让许多初入行业的新人摸不到头脑。安全岗位之间的差异到底大不大？作为新人应该如何选择自己的职业方向？安全岗位对学历的要求高不高？面试时应该注意什么？甲乙丙丁到底哪里更有钱景？针对以上问题，安在以《甲乙丙丁体制内外，如何选方向？》为题开展直播分享，为观众答疑解惑。

此次直播安在特邀安信证券安全总监李维春、某跨国支付公司信息安全经理沈勇、某集团广州分公司总经理王东、安言咨询副总经理钱伟峰齐聚线上直播分享。本次直播由安在新媒体合伙人张威主持。

（从上至下，由左至右依次为张威、钱伟峰、李维春、沈勇、王东）

李维春认为，从金融行业的岗位来看，像银行、保险、证券等行业可以将安全岗位分为四大类。第一类是体系与合规，这类岗位更多关注的是ISO27001等安全管理等合规体系及合规内控等要求，主要偏向于制度体系、流程建设、内控管理等。第二类是策略与方案，任何一家公司无论安全建设达到什么程度，都需要策略与方案的统筹，因此这类岗位主要是制定一些方案和策略，对综合能力的要求比较高。第三类是运营类，这类岗位有很多技术细分岗位，有的侧重开发安全，有的专注安全运营，根据不同的领域例如主机侧、网络侧、终端侧、分析侧等等会有很多细分岗位。第四类是审计和检查，这类岗位有时会和合规整合到一起，但一般规模较大的组织都会将其拆分开。

从技能来看，体系合规与内控审计的岗位对技能的要求比较类似，这也是部分企业将这两类岗位合二为一的原因，这类岗位对技术性的要求并不高，但对于体系和技术覆盖面比较看重。策略与方案类的岗位主要关注到员工的规划、架构、策略及方案，对技术的全面性和深度的要求更高，并且还要求员工有足够的沟通能力和大局观。最后是安全运营，对于技能的要求主要看各自细分岗位的差别，主机侧、终端侧、网络侧三者通常有一定的关联性，但对于其他细分岗位来说，转岗的难度比较大。

王东表示，从乙方安全服务公司的视角来看，安全的驱动力主要有三：一是合规驱动，二是事件驱动，第三是少数企业所涉及到的安全竞争力驱动。因此，安全的部分岗位可以对应这三种，第一类对应是合规类别的等保测评工程师、密评工程师以及隐私合规专家等。第二是安全事件类别的如，应急响应工程师、电子取证工程师、恶意样本分析工程师等。第三是甲方大厂产品安全竞争力上涉及的隐私算法、同态加密等业务安全的岗位。当然乙方厂商的常规岗位包括渗透工程师、攻防研究员、售前工程师、售后工程师、安全咨询等。

对于岗位之间的差异，王东认为，这些岗位之间的差别很大。例如，咨询类对于法律法规、ISO27001以及IT合规审计等都会比较熟悉，包括国外的GDPR等；技术类岗位对渗透测试、红蓝对抗、代码分析等技术了解，对于从业者的要求截然不同。另外，技术岗位之间也有区别，如应急响应和逆向、代码分析要求并不一样。

沈勇认为，外资企业有很多比较独特的岗位，例如数据治理和隐私。对于欧美类的企业来说，隐私的要求比较高，比如国外的法律法规生效较早，所以对应岗位也设置的比较早和普遍。外资企业总体可用两个维度来区分成四个象限：技术还是管理，个人贡献者（IC）还是经理（people manager），四象限之内切换要比之间切换更为容易，虽然说外资企业对于安全岗位的划分有较高的细粒度。

钱伟峰表示，第三方咨询公司对于员工的要求并不严格，咨询公司有很多成员是来自甲方、乙方，也有技术出身、运维出身，更有甚者还有纯管理和应届生。一般来说根据岗位的不同，最终的发展方向也有所不同，例如合规类、架构落地类等等。咨询公司的架构落地与甲方、乙方的岗位有所区别，一般来说是偏规划类的角色，为客户提供整体的框架，对于细节方面，则会有专注于各个细分领域的成员进一步延伸。

咨询公司对于成员的要求，钱伟峰表示，首先是看一个人是否具有快速学习能力，另外，对于是否有安全或IT背景也比较重要。除此之外，拥有一些证书也是加分项。证书的作用有几点，第一是应聘者基础能力的展现，第二是应聘者对于整体安全的知识体系是相对完整的，无需大量的适应过程。咨询顾问除了本身的知识以外，还需要大量的经验，因此，对于成员专业技能的要求不会特别高，主要沟通能力、数据分析能力等。

李维春表示，无论体制内外，学历都是敲门砖，没有基础学历，除非能够展现出很强的个人能力，否则连门槛都进不去。这主要是因为学历是证明自身具有良好的个人素质和综合能力的最好方法。对于企业来说，这可以省去很多招人的成本。

钱伟峰表示，一般来说，国有六大行和十几家全国性股份制商业银行的招聘标准是211以上硕士或是双一流硕士，本科生都很难进入。当然也有例外，对于在某些方面例如技术能力非常强的人才，是可以特批进入的，但特批需要较高层次的领导批准。还有一种情况，是驻场外包人员，其表现十分优异，可以考虑转为正式编制。

王东表示，目前所接触的大部分企业来看，本科是标配，这不是安全岗位不想降低标准，而是大型集团的用人制度所造成的。目前还有一些高职、大专学历的从业人员在人才市场中，他们会对非头部企业的安全岗位进行一些填充，如果不是拥有较强的安全能力或实战经验，很难突破头部企业的用人标准。

沈勇表示，外企相比于内资企业，很多外企在年初就能预估全年70%-80%的工作，越成熟的安全团队越能接近这一比例。因此，大家在工作中就可以根据计划按部就班的完成工作。对于内卷，沈勇表示，这取决于企业的类型和企业的发展状态，如果是一家处于垄断的企业，其生存压力较小，无需控制成本，那么内卷现象就不严重；如果是一个处于平缓期的企业，利润率不高，也开始卷了。另外，当此类处于行业竞争优势地位的企业招聘安全人员时，招聘门槛要求就会比较高。

王东表示，收入高低取决于整个行业的发展状态。目前我国安全行业体量依然较小，网络安全做为一级学科建设至今不到10年。最初的安全从业者往往来源于自身的兴趣爱好，很少有科班出身的前辈。这些前辈中有些学历可能偏低，但具丰富的工作经验和很长的工作年限，拥有比较完整的知识体系或强大的个人能力。这种情况下，学历与薪资关系不大。

从当前的现状来看，本科大约占据从业者总数的70%，专科大约在15%左右，研究生在10%左右。根据比例来看，能够看出学历与薪资还是呈现正相关的。另外，薪资还与岗位相关，岗位价值决定岗位薪资，这一个岗位能够解决的问题的价值与薪资相关。另外一个角度来看，安全从业者的岗位架构是金字塔型，从人才供给的角度来看，综合能力较强的高级人才相对短缺，所匹配的岗位薪资也会偏高。

钱伟峰表示，十年前，南北方安全人员的需求有一定的差异。以北京为例，北京拥有很多央企的总部，包括部委机关等，对于技术型人才并不缺乏，缺的是管理和整体规划类人才，需要员工拥有更高的视角和大局观。上海、深圳等地需要更加务实的人才，例如实战型人才等。

但目前，南北方的差异已经不存在了，反而因为安全的细分领域越来越多，不同岗位之间的要求也各不相同。目前，中西部城市的人才需求越来越多。

对于安全从业者应该去哪里发展，钱伟峰认为，这取决于个人。根据个人的职业规划选择不同的城市。例如，如果偏向实战攻防方向，那么应该去往北京、上海、广州等地，因为这些地方往往拥有很多大型企业的总部，它们对于实战攻防的人才的需求以及对个人的帮助都很大。如果偏向安全服务类，可以考虑省会城市和一二线城市，这些城市有用很多分支机构，会有很多更加细分的安全需求。

王东表示，这个问题取决于企业的不同需求。例如，安全服务类公司长期缺乏安全服务人员，厂商可能更缺乏大售前或解决方案专家，该岗位需要广阔的知识储备、逻辑清晰有良好的沟通能力，对内能够进行自身产品或服务的功能流程优化，对外需要针对客户的不同需求形成解决方案。

李维春表示，甲方企业不缺人，缺人才。目前行业缺少综合素质强的安全从业者，需要有足够的专业和大局观，同时还要有很强的学习能力。

钱伟峰表示，目前主要缺乏工作年限较久的，拥有丰富行业经验的人。当前各行业的差异化越来越明显，因此，工作经验就格外重要。对于缺乏经验的人来说，就需要有较强的学习能力，目前有很多非安全专业出身的人，由于过于按部就班，思维上存在一些定式，这对安全工作来说影响很大。

沈勇表示，外企在国内的安全团队一种比较常见的一种形态，好比哨所，由1到3人组成，需要他们能够有很强的沟通能力和快速发现问题的能力。一旦发现问题，他们需要将问题及时反馈到业务和总部，呼叫总部炮火来支持。此类团队需要的安全人才对知识全面性、沟通协调能力要求较高。另一种外企在国内有完整的技术体系和安全团队，这种就和国内大厂的安全团队一样五脏俱全，这一类数量没有第一种多。

李维春表示，对于他来说，未来还有很多未知性，他要清楚自己想要从事安全专业的核心原因是什么。例如是因为喜欢攻防或是认为安全薪资高。不同的目的有不同的学习策略。对于企业来讲，只要证明自身有足够的安全能力和实战经验，专业并不是非常重要。

王东表示，安全行业拥有很多职位，从技术和销售类别。需要清楚自己喜欢做安全行业什么方向的工作，根据不同的方向来规划自己。可以通过招聘平台的职位描述去学习了解不同岗位所需要的能力和要求，知道具体的工作职责。

王东表示，从应届和社招两个角度上来看。首先是应届生，应届生最大的问题是自我的定位并不清晰，能力与所求职目标不匹配。对于社招的候选人，他们的问题是技术能力可能匹配，但沟通能力很差，知识面较窄，建议拓宽视野提升综合素质。 

李维春表示，安全从业者普遍期望较高，这是因为行业整体的薪资待遇被互联网大厂等企业拉高了，但实际上并不是每一家企业都能提供很高的待遇。第二个问题是眼高手低，有部分人员半路出家做安全，并没有很强的经验储备，但却认为自身能力很强，这是很大的问题。

沈勇表示，由于目前行业越来越内卷了，所以在面试时要掌握一些技巧。第一，如果不是熟人介绍，在简历中就要更加吸引人，比如将核心要点、岗位匹配点都突出出来。第二，在面试时一定要听清楚面试官的问题，有很多人员在面试时过于紧张，以至于未能听清楚问题，不能完整的展现出自身的能力。这点可以在回答时重复一遍对方的问题，让对方予以确认。最后就是如果去外企面试，不要担心口语不好或发音不准，尽量说，因为磕磕绊绊的说出来和没说是质的区别。

有很多HR在面试时会问这个问题，在过去的生涯中最成功的或最有挑战的项目是哪个。这个问题应该这么回答，将其中的价值最好量化，从客观的角度用数据的方式来证明这个项目的难度和价值，并且要将其中的细节讲解出来，以免被对方误解为道听途说。最后，沈勇建议，无需追求能力与企业要求完全匹配，企业一般也乐意招聘稍稍不满足岗位要求的候选人。一旦遇上心仪的岗位，但是不能完全达到要求，还是可以去应聘尝试一下，突出基础扎实，学习能力强，说不定就能打动面试官。

王东表示，混圈子的本质是想要在安全行业中获得资源，先把圈子分为安全技术圈和安全人脉圈。安全技术圈不论是学校的社团、各种高校组别安全竞赛交流，对于在校生来说可能格外重要，如果没有这样的一些兴趣小组、圈子可能很多人不会进入安全行业；另外在安全技术学习的过程中，混些安全技术圈，成员们可以获得一些学习资源，彼此之间可以互相交流，扩充知识面的同时还能扩展视野。至于安全人脉圈，王东认为这是锦上添花，不是入职或进入网络安全行业的必要条件；自身的知识架构和能力是进入安全领域的首要条件，其次才是有没有圈内好的前辈、老师推荐。

对于入职的帮助，王东认为有朋友推荐，入职的成功率肯定更高一些，但究其本质是因为内推本身就是一个筛选的过程，与岗位需求相匹配才会被朋友内推，岗位匹配度高入职成功率肯定更高一些。总体来说，圈子是有作用的，希望大家更多的聚焦在学习交流上，自我提升上，而不是浮躁、功利的混会希望一蹴而就。

沈勇表示，从企业视角来看，无论是甲方还是乙方，都是金字塔最顶尖的人收益最多。对于甲方来说，一定是自身有一定盈利能力和市场地位，才会考虑安全，换言之在甲方的薪资平均值会高一些。另外，金融行业、互联网行业及新兴产业的岗位值得考虑，这些企业普遍能付出更高的薪资。

钱伟峰表示，越在意信息系统的行业，对薪资的付出肯定越多。例如金融行业、关基运营者等等。李维春表示，在他的团队中，会优先考虑人员对团队、公司的价值，没有价值的高薪待遇是不存在的，肯定是先有价值、后有高薪，对于新人来说，这个价值观是很重要的。

王东表示，任何方向都取决于个人选择，要先探索、规划自身的职业发展路径，在路径上设立一个又一个学习、成长目标。根据目标看自己的知识和能力，再有看兴趣爱好，这是驱动力，不要做一份自己不喜欢的工作，最后结合目标与自身差距进行自我提升。一定要将自身的核心价值修炼出来，竞争力越强的人，物质回报一定越高。