网络安全行业职业规划发展

以下观点和看法仅作者工作经验的总结和个人思考，难免遗漏，同时欢迎大家讨论发表各自看法

1.工作类型分类

对于职位类型的分类主要可以分为三种：甲方，乙方以及相关监管单位，然后来分别说下这三种都是一些什么职位以及相应的要求。

1.1甲方

什么是甲方：一般是出资方或投资方，也就是经营主体。在合同拟定的过程中，主要是提出实现目标，是合同的主导方。本文中指非经营安全业务的公司，并将自身的安全需求外包出去的公司。一句话，不靠网络安全赚钱。例如：

• 银行、证券、基金、期货（统称为金融业）
• 顺丰、小米、字节（互联网行业）
• 等等。。。

1.2乙方

什么是乙方：一般是劳务方，也就是负责实现目标的主体。本文中经营主体为安全的公司，承接甲方的业务需求。说白了就是需要靠网络安全赚钱，例如：

• 安全产品集成商（代理商）

                这种类型的乙方一般没有自己的核心产品和技术，主要是代理其他安全厂商的安全产品。优点：你可以接触到大量的不同厂家的安全产品和方案，同时也能接触到不同的厂商技术人员；缺点：起步低，大部分的代理商存在流程不规范，管理宽松，技术学习环境差等方面的问题，可以用作进入这个行业的前期过度。

• 安全公司

                如：深信服，长亭，安恒等有自己研发产品和安全技术的公司。优点：流程规范，技术提升快，能接触到很多业内的资源和大佬，有利于对安全行业认识的提升；缺点：所认知的范围仅限公司本身的业务。

• 等保机构

                一些提供安全咨询，等保测评，安全方案的公司，需要了解相应的法律法规以及各种安全体系，有利于之后去甲方的发展，但前期需要花费很大精力去了解、认识和学习。

1.3监管单位

不属于甲方，也不属于乙方，大部分是非盈利目的性的。为了让国家的法律法规，体系标准实施下去，同时也关注全球的网络安全风险，进行及时的预警和保障。例如：

• 银监会
• 证监会
• 等等。。。

这里机构要求比较高，不管是学历还是技术水平。一般来说，更多的是推荐前两个。

2.各类型的职位需求

2.1甲方的职位需求

• 安全工程师
  • 也就是甲方自己的渗透工程师
• SDLC
  • 就是对全流程中的漏洞进行管理，要求文档落地和代码审计能力，这也是为什么近年来甲方开始减少代码审计的招聘需求
• 隐私合规
• 数据安全
• 安全运营
• 安全运维
• 安全开发
• 红蓝对抗
• 风控
  • 主要是针对业务安全这块的风控，还有就是做情报
• 业务安全

2.2乙方的职位需求

• 安全服务工程师（也就是所谓的安服仔，一般要求下面的技能都会一点）
  • 应急响应（会考验一些现场应变的能力，以及沟通的能力）
  • 渗透
  • mss（通俗一点的说就是对自己公司的安全产品做一个评估，出一份价值报告，相当于云版的mdr）——后续发展：安全运营工程师
  • mdr（在甲方现场，对自家的安全设备做一个分析，看看有没有一些网络方面的威胁）
  • 安全意识培训
  • 重保护网
  • 代码审计
  • 驻场
  • 等保测评
  • 安服职业发展：
    • 项目经理
    • 红队
    • 进甲方（相对比较轻松，但是工作内容比较繁杂）
• 渗透测试工程师（应该说现在专门的渗透已经慢慢在减少了，逐渐并入安服里面了）
• 红队攻防（很多的安服梦想就是进入实验室，因为可以专心搞研究，有技术成就感，但是这块对漏洞和代码要求比较高，而且也存在一定的KPI）
  • 代码审计
  • 安全研究
  • 红队一线
  • 安全工具开发
• 安全运营工程师
• 项目经理
• 产品（提高安全能力，就是写防护规则，去提高安全产品的防护能力）
  • 规则
  • 防火墙
  • WAF
  • IPS/IDS
  • 态势感知
  • 。。。
• 病毒分析

大胆说几句：什么渗透也好，分析也好，到最后你会发现漏洞也就那么一回事，如果你真的想在红队技术长远发展，最终看的还是底层的东西，所以平时就要注意积累和打牢基础。

3.甲、乙方工作内容

• 工作氛围
  • 甲方更注重安全保障，确保业务正常以及合规。对于自身安全架构中发现的漏洞，该如何进行修复以及提高后期的运营水平，提前进行预防。
  • 乙方更注重价值展现，说白了就是能赚钱，比如渗透，就是给甲方挖洞，拿到权限，然后就可以交差了。
  • 可以看得出来，两者之间还是有很大差距的。你能够挖多少洞，牛逼到能内网漫游，其实对于甲方来说，没什么太大作用。同样，你很熟悉各种体系架构，熟悉整体运营能力水平提高，熟悉各种法律法规，其实对乙方来说也没什么屌用。找准自己的定位很重要。
• 待遇
  • 这个主要看自己的需求，作者就不多言了
• 技术以及自身成长
  • 如果你听到很多说：你去甲方就废了，以后出来啥用没有，啥都不会。作者自己的看法是：就是上面说的那样，甲乙方针对技术的需求特点不同，而且就我了解而言，不管在甲方还是乙方，主要还是看自身的主观能动性。
• 未来晋升
  • 对于成长来说，甲方：大部分是往安全负责人的方向发展。（这是我自己的一种看法，不代表所有）

4.作为大学生我该如何选择

• 兴趣

这个主要还是看自身的一个想法，比如你就喜欢去搞技术，想要在单一领域做大做强；又或者你喜欢去接触不同的领域，去接触不同的事物。这个其实会对后期的一个选择有很大影响，也很影响你自身入职之后的一个工作状态。在这一点上，我的建议是不要人云亦云，甲方也好，乙方也好，适合自己的才是真的，工作是你毕业之后的常态，将伴随你下半辈子的事情。

• 技能点
  • 如果你对渗透很熟悉，同时代码能力比较强，熟悉各种漏洞，推荐去乙方安全公司
  • 如果你更熟悉各种安全架构体系，更熟悉全流程的一个防护能力提高，推荐去甲方
  • 以上的建议是基于兴趣的基础上，这里只做参考。

5.个人看法

其实作者进入行业也多年了，网络安全虽然归类于计算机大类，但其实还是和开发这块有很大不同。

开发更注重的是一种技术性的提高，其实可以类比为工地搬砖，不管你喜不喜欢，只要把砖搬好就行。开发也是，只要能够把功能和需求实现，其实相较于安全来说，走下去赚钱的门槛不是很高。

但是安全行业你想要继续留在这个行业发展，自身的驱动性很关键，有兴趣和没兴趣其实在同样的发展时间过后，差距会非常明显。因为，它并不特定要求某一类的知识技能，实际涉及的面非常杂而且很广。这就要求从业人员自身要不断地去学习各种知识，去接触各种不同的东西，提升各种各样的软性技能，包括但不限于开发、沟通、法律法规、文案输出等。如果你只是看钱就来，我本人不是太推荐，后期你会很累，然后过不了多少年就会被新人淘汰。