各种网络媒体一直鼓吹网络安全人才缺口很大,高校也增加专业扩大招生,这是一个很大的误区。在网络安全行业,不缺少低端网络安全人才,缺少中高端人才。其实,网络安全是一个看似市场很大却又很窄的行业,不同的行业、不同的客户对网络安全的需求不一样,至少不能是千篇一律的解决方案,当下可能都是一视同仁。同时,网络安全对从业者的技术宽度和深度都要求很高,很多时候是需要兴趣和天赋,不管处在什么岗位,都需要具备一定的技术知识储备和业务知识储备,抛开业务谈技术,可能你不真懂客户,抛开技术谈业务,可能你不真懂产品。只有同时从业务和技术出发,才能做到即懂客户又懂产品,不然就是缺胳膊少腿。
任何行业、任何产品都有周期性,网络安全行业也不例外,可以说网络安全行业近十年的黄金期已过,如果不变革,不寻求新的创新点,挖掘新的市场潜力,可能还是处于下行状态。十年前,网络安全市场虽然小,很多企业还是靠业务自身需求去驱动安全建设,但是近十年,随着各种法律法规出台,合规这部分太重了,虽然说很多政府网站得到了一点加强,但是针对一些大型企业,反而是负担重了,不断地去首先满足合规,其实合规没有解决根本性问题,劳命伤财。
近十年的建设,合规层面在加强,但是整体需求还是不足,效果也不明显,形势主义居上。抛弃风险谈合规、抛弃业务谈合规,只会是风马牛不相及,风险不同、业务不同,网络安全防护方案不同,这是定理。世上没有相同的两片树叶,如果这个世界本来是被设计的,可能就会出现两片相同的树叶。常言道:“乱世用重典,沉疴下猛药”,就像食品安全一样,没有罚他倾家荡产,永远不可能根治食品安全问题。网络安全问题也一样,如果不重罚,也会如食品安全一样,政府部门和企业都不会重视网络安全,缺少足够措施来保护公民个人信息,政府部门应做好带头作用。
对比欧美网络安全市场大热,国内网络安全市场实在是太冷了,各种国外理念蜂拥而至,炒作一波接一波,就是市场反响不大,为什么?一是政府主导下的合规市场增长疲乏;二是大多数企业疲于应付各种合规检查;三是政府安全防护重在合规流于形式;四是安全产品无法真正满足企业安全需求;五是安全厂商满足于安全产品能力无法验证的怪圈中;六是安全行业的低价营销策略冲击了整个安全市场将很难修复。七是安全厂商出海的技术储备不足和决心意愿不强,在国内市场卷。八是护网重保等只是定期举行没达到达到长效机制,完全是在应付当下,事后并没有多大改善,年复一年,让很多企业不堪重负。九是国外产品在满足国内要求情况下也会冲击国内安全市场,例如飞塔公司。十是很多安全保密产品测评没有满足真正实战要求,都是拿着答案做题。总的来说,国内网络安全市场不容乐观,下行周期依然存在,在当前阶段,还有必要入行网络安全吗?
如果不在网络安全行业的建议不要入行了,已经在的能转行尽量转行,刚毕业新人也不要入行网络安全了。因为网络安全是技术和业务驱动的,作为刚毕业新人,建议还是重视写代码,选定某个行业从开发业务系统出发,理解所在行业的业务,从系统层面和业务角度去考虑安全问题,需要一定的时间沉淀,因为安全是服务于业务的,没有必要脱离业务去专门做安全,当你在熟悉一个行业的业务之后,那你就有资格谈论安全了,到时候想转行专门做安全也不迟。不要以为渗透测试就是安全,一出来就做安服,这样路只会越走越窄,每次裁员都是首当其冲。其实现在安全厂商很多情况下是不了解客户的业务的,如果不主动学习客户的业务,我想也提出不了合适的安全解决方案,这种情况现在是普遍存在的。
总之,如果安全企业不盈利的局面持续不好转,那么这个行业就不会出现朝阳,直接入行网络安全需谨慎,不要直接入行网络安全公司做安全。不要听说网络安全行业是高投入回报慢行业,难道美国那些初创安全公司持续不盈利,这显然是不可能的。网络安全行业其实是不存在的,存在是任何行业都需要网络安全,安全是相伴于业务的。最后还是那句话:“入行需谨慎,望各位三思而后行。”