网安行业亡羊补牢的本质是网络安全意识的不足！

❤请点击上方 ⬆⬆⬆ 关注君说安全！❤

大家好，我是JUN哥，一个普通的IT牛马，一直在深深思索，身边的人、事和物。

最近一段时间，看了一些网安人士的观点，其中有一些认为中国的网络安全行业总是在“亡羊补牢”？为什么呢？也给出了三大原因。

第一个理由给的是网安行业虚假繁荣。

支撑这个观点的人士认为，企业购买安全产品更多是为了应付合规检查，而不是真正防黑客。的确，现实中确实有这样的案例，某些中小企业的老板确有这样的想法，甚至有一些企业的确是这样做的，但是个案并不代表这个观点成立。

笔者认为，这绝对不是大部分企业的主流观点。大部分的企业还是非常重视网络安全的，究其原因就是信息化时代下，网络安全是发展的保证，安全是发展的前提，一个企业无论规模大小，总有一些敏感信息需要保护，比如客户数据等等。企业要想发展良好，就必须想办法保护这些敏感数据或者核心资产。

或许现在的确有一些企业主认为安全并不重要，但是当真正发生安全事故时，他们的意识就会逐渐转变。个别案例案并不能说明他们不重视网络安全，现在越来越多的企业越来越重视网络安全了，这是笔者看到的向好的一面。当然，也有一些企业的确抱有侥幸心理，认为“网络安全”这种倒霉事哪能年年碰上？但是墨菲定律证明，你越是不想碰上，就越容易碰上。

另外，假设网安行业市场虚假繁荣，那么为什么中国有近三千家企业在从事网络安全行业？这是一个悖论！网络安全市场当前虽然已是红海市场，但绝不是夕阳产业，这个产品持续发展的背后是国家安全的强大支撑。

第二个理由给的是网络安全产品同质化。

支持这个观点的人士认为，70%的网络安全企业在重复造轮子。网络安全产品本来就是标准化产品，唯一的区别就是各安全厂商各有各的能力特长，核心功能的标准就是一样的。现在大家比拼的其实是性能、解决方案和价格，这个跟造不造轮子其实关系不大。

网络安全行业内卷这是大家的共识，同质化也是共识。但是笔者认为，这里面反馈出来的是经济的普遍规律，而不是产品的问题。也就是说卷的原因不是因为产品，而是来自市场经济行为。这跟去农贸市场买菜一样，货比三家，谁家质量好，谁的价格低，谁才能卖的更快，更有优势。造成“内卷”这个恶性循环的原因是市场，而不是产品。

第三个理由是网安行业人才的缺口。

支持这个观点的人士认为，主要有两个原因。一是现在的教育跟不上市场对当前网络安全人才培养的需要，甚至一些985，211的高校都还在教十年前的网络安全课程。二是35岁的职场危机，导致很多有经验的网安人员转行，这跟国外的情况相悖。他们举例说，美国一线攻防专家平均从业超过8年，而我们国家的一线攻防专家平均从业年纪不到5年。一旦遇到国家级的网络安全对抗，要技术没技术，要经验没经验。

笔者并不反驳这个观点。需要说明的是，由于近年来网络安全的火热，很多非网络安全相关专业的人士也都大量涌入网络安全这个行业，并且一些人还是取得一些不俗的成绩。当然，也有大量的譬如“苕皮哥”的人才，把网络安全行业搞的是乌烟瘴气。

网络安全专业的专业性还是比较强的，也分为很多工种，比如安全咨询、安全售后，安全服务，安全攻防，安全研究，安全研发、安全管理等等。攻防对抗只是其中比较稀缺的人才，并不是安全攻防人才的稀缺就说明网络安全行业人才奇缺。

的确，现在很多网安大厂招人都需要招全面化的人才，都要求网安从业人才要具有一定的攻防能力，这其实是对网络安全人才的一种误解，也是对网安人才认识的不足。网络安全人才的培养，选育一定不只是攻防人才。不同工种的网络安全人才也是讲专业性的，比如售后，很少有人能成为产品专家，就是因为老板的要求太多，既要，又要，还要，更要，还有比这更扯的，巴不得你啥都会。

回归正确的网络安全职场认知，网络安全是需要全员了解，全面协作才能做好的行业。不是依赖某个解决方案，某个产品或者某个人。举个简单例子，安全运营的核心四大岗位，包括安全监测、安全分析、安全处置和安全运维，只有四个岗位协调作战，才能保证好安全运营。

以上，拙见。网络安全行业总是在“亡羊补牢”吗？其实不是，网络安全行业现在既有信息孤岛，也有认知不足，更是网络安全意识的不足；既有过度投资，也有合规不足，作为关键的，还是缺乏整体的协调统一，这好比打仗，三军协调作战，各司其职，才能百战百胜。

诸君，你们怎么看？

免责声明：本文相关素材均来自互联网，仅为传递信息之用。如有侵权，请联系作者删除。

-End-★关注，在看，转发，设为星标★，与你一起分享网络安全职场故事。