为什么我不建议你进入网络安全行业

2020年左右，网络安全厂商的股价还不错，以为是开始，没想到是巅峰，只能说现在网络安全对投资者的吸引力已经很小了。这几年来，网络安全上市公司大部分处于亏损状态，在不断降薪裁员，人员的待遇也在逐步缩减，比如砍差旅费，年终奖励、公积金等。从项目上来看，市场上的项目总量减少了，竞争也内卷严重，安全服务都是被当做赠品。

如果你是初出茅庐的新人，进入网络安全行业或许损失不大，因为年轻人有试错的机会，但是你要为此承担试错的时间和经济的成本。如果是一个工作时间较长者，不建议进入，除非你没有更好的选择。

网络安全在媒体的宣传下，看起来是“风口上的猪”，需求巨大、前途无量，但实际情况如我前面所说，风已停。对于许多一线从业者和初入行者来说，网络安全可能是一个“坑多肉少”的领域。

国内大部分企业（尤其是中小型企业）投入网络安全，首要驱动力是满足国家法律法规和行业监管要求（如等保2.0），而不是真正从业务风险和内生需求出发。这导致市场对安全的需求是“底线思维"，达到60分及格线就行，不愿为追求90分而投入更多。因此，企业需要的往往是能“应付检查”的合规型人才，而不是能“构建纵深防御体系”的顶尖技术专家。工作内容容易变得枯燥、重复、缺乏技术挑战。

除了金融、互联网、国企等少数不差钱的行业，绝大多数公司的安全预算有限。安全部门是成本中心，不能直接创造利润，在经济下行周期最容易成为被削减预算的对象。 有限的预算往往优先投入到看得见的工程，如买硬件防火墙、WAF、IDS/IPS等，而在需要持续运营的安全服务、人员培训、漏洞奖励等方面投入甚少。这导致安全设备买了，但没人能用好，效果大打折扣。

国内安全厂商众多，但产品和技术同质化严重，最终往往深陷价格战泥潭。 身处其中的工程师们，常常背负着繁重的售前、实施、售后、安服等支持任务，频繁出差，加班加点，被称为“安全民工”。他们疲于奔命，技术成长却在重复劳动中缓慢前行。

国内很多企业更愿意花几百万买一套高级安全产品，却不愿给一个优秀的安全分析师开出50万的年薪。他们认为设备是资产，而人是成本。这种观念导致安全人才的薪酬天花板相对较低（与互联网研发、算法等岗位相比），尤其是非管理岗。

从数千元的入门认证，到数万元的证书的高级认证，你需要不断考取“行业硬通货”来证明自己。这还不算后续的维护和再认证费用，花费不少。最可笑的是很多证书最后成了一张废纸，倒是养活了不少培训机构。

持续学习：这是最巨大的隐性成本。漏洞日夜不停地涌现，攻击技术日新月异。你的业余时间将被阅读资讯、复现漏洞、搭建实验环境完全填满。没有“下班”概念，你的生活与工作的边界极其模糊。

身心透支：长期的精神紧绷、不对称对抗带来的挫败感，防御者不能有任何疏忽，随时可能发生的应急响应占用个人时间，安全事件不会挑时间发生。一旦发生高危漏洞或安全事件，周末、深夜、节假日都可能被紧急征召，进行排查、分析和修复，生活节奏完全被打乱，导致了极高的职业倦怠率。

这是甲方安全岗位的典型困境。一旦发生安全事件，背锅的首先是安全团队。但在平时，安全部门为了推动一个修复方案，往往需要与业务部门、研发部门、运维部门进行大量沟通和博弈，推进困难，成就感低。这种“救火队员”和“背锅侠”的角色定位，对心理是巨大的消耗。

技术路径：纯技术路线在国内企业中很难获得高薪和高地位。资深工程师的薪酬和话语权往往不如一个初级管理者。

管理路径：管理岗位稀少，竞争激烈。而且转向管理后，可能会脱离一线技术，这与许多因为热爱技术而入行的人的初衷相悖。

转型困难：网络安全技能的专业性太强，如果想转型到其他IT领域（如软件开发、架构师），壁垒较高，路径并不顺畅。

很多安全技术（如渗透测试、漏洞研究），初学者若把持不住，或为了快速牟利，很容易误入歧途，从事黑产或其他非法活动，葬送整个职业生涯。

现在，你会看到一个令人沮丧的场景：

· 你夜以继日、自掏腰包掌握的尖端攻防技术，在“60分万岁”的合规市场里，可能英雄无用武之地。

· 你牺牲健康、陪伴家人换来的持续学习成果，在一个“重设备轻人力”的环境里，可能无法兑换成等值的薪酬与尊重。

· 你怀着“守护数字世界”的理想入行，最终可能大量精力耗费在写报告、扯皮和“背锅”上，成就感被现实一点点磨蚀。

这种个人付出的超高强度与市场回报的不确定性、不匹配性，是网络安全职业最核心的矛盾，也是不建议大多数人盲目入行的原因。

如果你是以下人群，不建议从事网络安全：

· 追求高性价比、稳定轻松工作的人：网络安全行业既不轻松，也不稳定，别信什么越老越吃香的鬼话。

· 希望通过短期培训就能拿高薪的转行者：网络安全没有捷径，基础不牢，地动山摇。

· 对技术没有持续热情，把工作仅仅当作谋生手段的人：知识的快速迭代会让你异常痛苦。

在决定进入这个行业之前，请务必进行深刻的自我评估。不要只看媒体的鼓吹和培训机构画的大饼，去和一线从业者聊一聊，听听他们每天的抱怨和成就。问自己三个问题：

· 我是否有持续燃烧的热情，来支撑终身学习？

· 我是否能接受高投入与潜在回报不匹配的现实？

· 我是否有强大的身心，来应对长期的压力和可能的倦怠？

那么，什么样的人“仍然适合”从事网络安全？

尽管有上述诸多挑战，但网络安全行业依然在发展和进步，对于特定人群来说，它依然是一个充满机遇的领域：

1. 真正的极客与热爱者：对技术有发自内心的热爱，享受“攻防”的智力快感，学习新技术对他们来说是乐趣而非负担。

2. 具备强大综合能力的人：不仅懂技术，还懂业务、会沟通、善管理。这类人能够将安全价值传递给业务部门，推动安全措施落地，最终走向CISO等领导岗位。

3. 能进入核心赛道或头部公司的人：如国家的关键信息基础设施单位、顶尖的互联网大厂（如阿里、腾讯、字节的安全团队）、头部安全厂商或专业的安全实验室。这些地方能提供更好的平台、资源和薪酬。

4. 能承受高压和不确定性的人：具备强大的心理素质，能将“背锅”和“救火”视为工作的一部分，并从中找到价值。

网络安全是一个“用爱发电”属性很强的行业。如果你不是那个对的人，它可能会耗尽你的热情；但如果你恰好是，它也能给你带来无与伦比的智力挑战和成就感。

亲爱的朋友，若你觉得文章不错，请点击关注。你的关注是笔者创作的最大动力，感谢有你！