本文阅读大约需要8分钟;
是的,您没看错!但是,当我说我不建议人们从事网络安全职业时,请不要误会我的意思。我已经在这个领域工作很长时间了,具体来说是从高中开始。这是在网络安全等领域拥有的唯一优势——“尽早开始”。正如中国谚语所说,种一棵树最好的时间是20年前,其次是现在。
尽早开始让你有机会塑造自己的职业道路,并充分利用你的机会。与22-25岁才开始的人相比,15-18岁的人在这个领域开始自己的职业道路,可以学习得更多,也更优秀。与那些迫切需要立即找到工作的人不同,年轻人在完全投身于自己的职业生涯之前,有更多的时间学习和实践。
当人们考虑将网络安全作为一种职业时,他们通常会参考那些不切实际的电影和电视剧,这些电影和电视剧展示了追捕网络罪犯的惊险刺激,以及保护敏感数据的满足感。是的,那看起来很酷,但只在电影里
01
网络安全行业的魅力
让我们首先了解为什么这么多人被网络安全所吸引。
这是一个充满机遇的行业。对技能娴熟的专业人士的需求空前高涨,薪资待遇具有竞争力,成为一名数字守护者的想法无疑很有吸引力。你经常听到人们说,这是一个充满目标、令人兴奋的职业,并且有机会产生真正的影响。
我最近从 Statista (全球知名的在线统计数据门户,提供了来自各主要市场、国家和民意调查的数据,数据主要来自商业组织和政府机构。)看到了一些关于网络安全市场未来的有趣数据。据统计,该行业有望实现显著增长,预计年增长率(2024-2029年复合年增长率)为7.92%。到 2029 年,市场规模预计将达到2719 亿美元。想到这个快速扩张的领域中的潜在机会真是令人兴奋。
接下来我们来看国内的网安人才的相关数据:
数据来源:信通院发布《2024网络安全产业人才发展报告》
《2024网络安全产业人才发展报告》调研采样的薪资数据来自各类行业,相比上市网络安全企业的薪资数据,更具有广泛性和代表性。调研数据显示,有28.7%的受访者年薪资在10万元及以下,37.1%的受访者年薪资在10-20万之间,18.1%的受访者年薪资在20-30万之间,11.2%的受访者年薪资在30-50万之间,4.9%的受访者年薪资在50万以上。
不同城市薪资分布
数据来源:信通院发布《2024网络安全产业人才发展报告》
结合受访者所在区域分析,因城市发展水平、影响力、网络安全企业规模等因素,超一线城市(北上广深)的薪资收入分布在20-30万及30-50万区间较多,10万元以下比例最低,50万元及以上在同其他城市相比时比例最高。新一线城市(成都杭州重庆等)的薪资收入主要集中在10-20万区间。其他省会城市的薪资收入集中在10万元以下及10-20万两个区间。其他地区的薪资收入比例大多在10万元以下。
然而,虽然网络安全的吸引力是显而易见的——高需求、丰厚的薪水以及保护数据免受恶意威胁的崇高事业——但这个行业也有一个没有被广泛宣传的一面。
TikTok/Udemy/YouTube/抖音/B站 等平台上的无数课程经常宣扬成为网络安全专家/黑客的梦想,使其显得平易近人且令人兴奋。然而,其中许多课程仅触及表面,仅提供对该领域真正含义的肤浅了解。
但现实是--
网络安全职业的日常工作可能与人们的想象大相径庭。它并不总是追踪黑客或设计无懈可击的系统。很多工作都非常细致繁琐,需要花费数小时监控、分析日志和更新安全协议。这些任务虽然至关重要,但可能会让人感到重复乏味,精神疲惫。
在这个领域,压力始终伴随着。风险非常高,防止数据泄露并在发生数据泄露时快速响应的压力可能是巨大的。
一个错误,一个被忽视的漏洞,后果可能是灾难性的——不仅对组织而且对你的职业生涯也是如此。
就业市场则增加了另一层复杂性。作为新人想要进入网络安全行业,其难度超乎想象。
这个行业要求极高,企业需要同时具备技术敏锐度和实践经验的人才,而这些能力很难在没有多年经验的情况下获得。许多新入行者发现,激烈的竞争和陡峭的学习曲线让他们感到沮丧。
我从一家中型电子商务公司的职位描述中得到了这张屏幕截图。这是安全工程师典型的中高级(3 年经验)职位描述。与该领域的应届毕业生相比,企业普遍更愿意聘用经验丰富的专业人士,他们的期望也相应较高,如上图所示。
02
情感损失
除了技术挑战之外,还有一个经常被忽视的情感负担。网络安全专业人员经常身处一线,面对不断变化的威胁形势。持续不断地警惕会导致倦怠,而在这个高度专业化的领域工作带来的孤立感也难以克服。
更重要的是,你的工作成果往往是无形的。当一切顺利时,没有人会注意到。只有当出现问题时,你才会突然成为众人瞩目的焦点——而且是以一种不好的方式。这种“成功无名,失败背锅”的现象,使得网络安全人员的工作缺乏成就感,也容易造成心理压力。
我附上两篇重要文章供大家阅读,因为它们很好地叙述了市场上正在发生的事情:
请访问以下链接 https://timesofindia.indiatimes.com/
请访问以下链接 https://www.gartner.com/
03
学习曲线
对于那些进入网络安全领域的人来说,一个重大的挑战是他们学习旅程的时机。许多人认为他们可以在短短几个月内掌握它,因此在大学的第二年或第三年才开始探索这个领域。
时间错觉: 许多人低估了网络安全学习的难度和所需的时间,认为可以在短期内速成。
起步太晚: 许多人到了大学后期才开始接触网络安全,导致学习时间不足,难以建立起扎实的知识体系和实践经验。
然而,网络安全并不是一项能够快速掌握的技能。它需要对操作系统、网络、Web应用程序和编程有基本的了解。理想情况下,人们应该更早地开始学习——最好是在高中阶段。早点开始并不意味着要立即投身于黑客技术,而是要牢固掌握基础知识,比如理解操作系统在内核层面的工作原理、网络的运作方式以及各种技术栈的基础知识。
如果没有这些基础知识就直接进入网络安全领域,往往只会成为一个“脚本小子”——一个只会使用现有工具,却不真正理解其背后原理的人。
数据来源:walkme.com
网络安全的学习曲线就像一个包含五个阶段的过程:
1.初始学习 (Initial Learning): 这是接触新技能的第一个阶段,例如学习基本的网络概念、操作系统原理或编程语言。学习者处于探索阶段,了解新概念和术语,并进行一些基础的实践。
2.持续学习 (Sustained Learning): 在这个阶段,学习者开始将学到的技能应用于不同的环境和场景。例如,尝试使用不同的工具进行漏洞扫描,或者尝试在不同的操作系统上进行渗透测试。持续学习的关键在于不断练习和实践,并将知识融会贯通。
3.平台期 (Plateau Learning): 学习者可能会遇到瓶颈期,感觉学习进展停滞不前。这可能是因为他们已经掌握了现阶段的知识和技能,需要进一步挑战自己,学习更高级的内容。
4.技能精进 (Learning Refinement): 学习者开始精进已有的技能,并将其应用于更复杂和具有挑战的场景。例如,学习更为复杂的攻击技术,或者尝试开发自己的安全工具。
5.知识巩固 (Learning Consolidation): 学习者已经精通了所有之前学到的技能和知识,并能将其灵活运用到各种情况下。他们可以独立进行复杂的网络安全任务,并能应对各种挑战。
04
认证困境
网络安全认证为这个复杂的领域又增添了一层挑战。许多专业人士发现自己面临着高昂的认证考试费用,这可能是一个沉重的经济负担。虽然并非所有雇主都强制要求这些认证,但越来越多的雇主倾向于聘用持有认证的求职者。OSCP、CompTIA Security+、CISSP、CISA、CCSP、CISM、GPEN、ITIL等认证被视为求职者投入程度和专业技能的证明。它们可以增强你的信誉,让你在竞争激烈的就业市场中脱颖而出。然而,重要的是要记住,虽然认证可以打开大门,但它们并不能替代实践经验和对该领域的深入理解。
数据来源:Security Certification Roadmap
05
多元化的专业
网络安全不是一个单一的领域;它涵盖各种专业,每个专业都有自己的重点和技能。一些主流领域包括:
1. 漏洞评估和渗透测试 (VAPT): 识别系统中的安全漏洞并利用它们进行测试,以评估系统的安全性。需要掌握各种攻击技术和工具,以及对目标系统架构和代码的深入理解。
2. 事件响应 (Incident Response): 管理和 mitigation 安全事件的后果,包括调查事件原因、遏制攻击、恢复系统、收集证据等。需要具备快速反应能力、分析能力和沟通能力。
3. 安全工程 (Security Engineering): 设计和实施安全的系统和网络,包括选择和配置安全设备、制定安全策略、进行安全评估等。需要掌握网络安全架构、安全协议、加密技术等方面的知识。
4. 威胁情报 (Threat Intelligence): 分析和了解潜在和新出现的威胁,包括收集和分析威胁数据、评估威胁等级、制定防御策略等。需要具备数据分析能力、情报收集能力和战略思维能力。
5. 取证 (Forensics): 调查和分析网络犯罪,以收集证据,包括收集和分析数字证据、追踪攻击者、还原攻击过程等。需要掌握取证技术、法律法规和调查技巧。
6. 合规和风险管理 (Compliance and Risk Management): 确保安全实践符合监管要求,并管理风险,包括制定和实施安全策略、进行风险评估、管理安全合规等。需要掌握安全法规、风险管理框架和合规流程。
7. 安全运营 (Security Operations): 监控和防御系统免受持续攻击,包括监控网络流量、分析安全日志、识别和响应安全事件等。需要具备安全监控工具、安全事件分析和应急响应能力。
8. 安全架构 (Security Architecture): 开发支持整个组织安全性的框架和架构,包括设计安全架构、选择安全技术、制定安全策略等。需要掌握安全架构设计原则、安全技术和安全管理。
9. 云安全 (Cloud Security): 保护云环境中的数据和系统,包括配置云安全服务、管理云访问权限、监控云安全态势等。需要掌握云计算技术、云安全服务和云安全最佳实践。
10. 应用程序安全 (Application Security): 确保软件和应用程序免受威胁和漏洞的影响,包括进行代码审查、安全测试、漏洞修复等。需要掌握安全编码实践、安全测试方法和漏洞修复技术。
11. 硬件安全 (Hardware Security): 保护物理设备及其固件免遭篡改和攻击,包括硬件安全评估、固件安全分析、硬件安全加固等。需要掌握硬件安全原理、固件分析技术和硬件安全工具。
12. 物联网安全 (IoT Security): 保护构成物联网生态系统的连接设备和网络,包括设备安全加固、网络安全配置、数据安全保护等。需要掌握物联网技术、物联网安全风险和物联网安全解决方案。
13. 汽车安全 (Automotive Security): 保护汽车系统和联网车辆免受网络威胁,包括车载系统安全评估、车辆通信安全分析、安全漏洞修复等。需要掌握汽车电子技术、汽车网络安全风险和汽车安全解决方案。
14. Web3 安全 (Web3 Security): 应对去中心化和基于区块链的应用程序中的安全挑战,包括智能合约安全审计、区块链安全分析、去中心化应用安全测试等。需要掌握区块链技术、智能合约安全和去中心化应用安全。
每个领域都需要不同的技能,并专注于网络安全的不同方面。选择一个与你的兴趣和优势相符的专业领域至关重要,因为每个领域都可能与其他领域截然不同。
06
网络安全人才市场:技能差距的困境
与可能专注于数据结构和算法 (DSA) 和编程的传统软件开发工程师 (SDE) 不同,网络安全专业人员必须具备广泛而深入的技能组合。仅仅知道如何编写代码是不够的;
-你需要知道如何操作一段代码;
-如何绕过当前(代码)的安全策略
-更重要的是,你需要知道如何让代码违背其预期行为。
这个角色需要在各个领域具备专业知识,从攻击事件应急响应到漏洞评估和安全编码实践。
这种广泛的技能要求通常意味着,虽然普通的软件开发工程师可以通过专注于编程挑战来磨练他们的技能,但网络安全专业人员需要成为多面手。他们必须既精通安全策略的全局,又精通技术实施的细节。
07
看不见的路
这并不是说网络安全不是一个有回报的职业——它绝对可以是。但重要的是,你需要。这个行业有其自身的挑战,并不适合所有人。如果你能在压力下茁壮成长,对解决问题充满热情,并且能够承受精神压力,你可能会发现它令人难以置信地充实。但如果你仅仅是被它表面上的刺激或高薪所吸引,你可能需要重新考虑。
网络安全是一个需要韧性、适应能力和对技术的热爱才能胜任的领域。它不是为了荣耀;而是坚持不懈的毅力。所以,在你投身其中之前,问问自己:你准备好面对屏幕背后的现实了吗?
如果您觉得文章对您有所帮助,还请您关注我!