信息安全初窥（一）：聊一聊这个专业的前途

---

前言

原本计划着手写微服务系列的文章，但刚巧公司组织我们参加 CISP（注册信息安全专业人员） 培训，过程中多有感触，于是决定写几篇文章做一个总结，也许将来能发展成一个完整的信息安全专栏，这里就算是一个引子吧。

一开始我是对类似的职业资格培训有偏见的，毕竟相比某些行业，计算机相关证书的含金量确实不怎么明显。

实际上，CISP 除了万把块的报名费有点门槛，本身考试的通过率相当高，拿证很容易。但是经过一段时间的学习，我真替公司觉得这钱花的值。

说来惭愧，虽然我们部门的业务里信息安全也是大头，但没有成体系学习的时候，觉得也就那么回事。真正去了解后，才发现这玩意儿确实有点东西，不尊重这个专业就会很容易栽跟头。

作为开局的第一篇，我打算先不写具体的技术内容，简单和大家聊一聊这个专业的前途。

在我看来，信息安全专业具有以下几个特点：天花板足够高，需求足够大且呈上升趋势，经验值钱， 基本符合我们对 “前途光明” 的定义。

一、学信息安全能干什么？

小到给妹子修电脑，大到保家卫国。拿起键盘，你就是最靓的仔。

我们都知道开发的起薪在 CS 行业里是比较高的，但除了少数几个一二线城市外，工作并不是太容易找，大部分地方根本没有环境，空有技术无处施展。

但是没有互联网公司不代表没有互联网，不代表没有信息系统。这些地方的党政机关、大大小小的公司，都需要信息化设施的支撑，因此对信息安全的需求并不比别处少，甚至人才缺口更大。

给我们上课的老师就长期呆在自己的老家，三四线城市，工作之余给当地政府相关部门当当顾问，开开讲座，也算是当地小有头脸的人物，闲的没事儿还创过业，年收入估摸着也有大几十万。

当然我还是喜欢大城市，机会总是多一些，但这种进可攻退可守的本事还是很有诱惑力的。

你想潜心修炼技术，那么恭喜你，这是一个可以用实力说话的专业，生死看淡，不服就干，没有那么多的花里胡哨，行家一出手就知道有没有。

你想转管理往上爬，那也没问题，这是一个能够培养你的体系思维与认真严谨的专业，让你在别的路上也能走地更加顺畅。

二、未来的需求会增多吗？

先说结论，会。

信息系统发展的趋势是越来越复杂，没错，你可能感觉开发同样的功能越来越简单，因为有各种工具，框架，但实际上产出的东西变得更加复杂了。

复杂的东西就容易有漏洞，而且由于市场信息的严重不对称，这些漏洞有很大一部分还是故意为之，你不知道多少人惦记你那一亩三分地。

软件还仅仅是信息系统的一个方面，多样异构的网络环境，层出不穷的硬件设备，形形色色的管理制度，相互交织在一起，使得信息安全成为一个不可能仅仅依靠单个技术解决的命题，也就是说，很难用机器去替代人的劳动。

开发变地简单，信息安全变地复杂，你说哪个需求会增多？

做开发我们讲尽量不要去做乙方做外包，技术上容易有缺陷。信息安全的人才需求目前大多在乙方，但除了少数几个养得起安全团队的互联网大厂，这个行业的乙方才是更专业的。

互联网野蛮发展的时候，大家浏览的网页千奇百怪，时不时就会中个木马病毒被盗个号，所以大量需求在个人终端杀毒软件上。

现在人人都用手机上网，流量基本上集中在几个巨头 APP 上，平时想中个病毒也不那么容易。

而企业级应用在背地里迅猛增长，并逐渐成为安全问题的重灾区，目前相当数量的信息安全从业人员其实是在为这些应用提供解决方案。

云的推广对信息安全来说确实是一种进步，能够使中小企业能共享巨头的一部分安全机制，但也容易城门失火，殃及池鱼。而且不是什么应用都能上云的，越是值钱的东西越不会往云上放。

很多人认同信息安全问题会越来越突出，但却不认为从事信息安全专业的出路好，找了一堆的理由，说企业不愿意花钱，工作机会少，学的东西难，挣的比开发少。

我一直有一个观点，在不同的文章中也提到过很多次，你想吃到一件事的红利，要在低点入手，高点收割。等信息安全的收入全面反超开发再往里挤，还那么容易轮到你吗？

三、35 岁怎么办？

这一行经验有多重要，还是要相对开发来说。

开发这一行的特点，是技术更新快。你学了很多东西，过两年一看，都过时了。

当然不是说没有可以积累的东西。像软件工程、软件设计的思想，对代码品质的把控，解决复杂问题的能力，放到哪里都是有用的。

但问题是，你的工作就是要求你不断学习那些会淘汰的东西。

你的老板关心的是你的产出，你进不进步对他来说不那么重要，市场上有足够多的架构师可以用，没有必要非自己培养。

当然，即便这样，开发仍是一个值得羡慕的高薪职业，虽然写代码年龄大了确实拼不过年轻人，但实际情况也大多不是 35 岁这么夸张。

不过 20 年后什么样还真的不好说。

再来说信息安全，举个例子，现在 PHP 程序员恐怕不太好找工作，因为需求在逐渐萎缩。

当然我没有看不起 PHP 的意思，决定一个语言发展的因素有很多，用的人少不代表不好。

用 PHP 新开发的系统少了，但用 PHP 写的系统存量还是很大。哪怕企业觉得别的技术更好，但一合计成本，还是凑合着用比较划算。

那么你就可以盯着这些存量搞事情。你可能会问，技术变化快，存量不一样会变化吗？

存量会变化，但一个技术有能耐占据很多存量，已经是经过了市场的筛选。你做这个选择的正确率，比开发决定钻研哪些技术要高的多。

再来说其它方面，软件安全开发，计算环境安全，信息安全管理，信息安全评估，业务连续性，安全工程与运营，这些在实际工作中都是不拘泥于具体技术的，没有人说你来搞信息安全必须懂 PHP。

你的见识广了，遇到问题自然能处理地快，平时不怎么重视信息安全的企业，出了事情就知道什么叫一寸光阴一寸金。

这个时候，一个 40 岁的信息安全专家看起来可比 20 出头的小伙子可靠的多。

四、要避免踩哪些雷？

法律，法律，法律。

一定要时时刻刻把法律作为自己的底线。

过去盗个小马哥 QQ 什么的可能都没太大事，现在随便搞点小动作就得进去几天，弄不好前途就毁了。

要把技术用到正道上。舞台很广阔，有的是发挥的空间，一定不要贪图小便宜。

一定要认真，谨慎，干这一行，心越细越好，马虎大意就一定会阴沟里翻船。

最后，干任何一行，都是坚持，坚持，还是他喵的坚持。

要重视选择，学会选择，这篇文章说的就是如何分析，如何选择。

但其实现在会选择的人多，能坚持的人少。

很多人今天看着这个好，明天看着那个好，老是想踩风口赚快钱。

今天读到薛兆丰老师的一段话，刚好用作结尾：

如果你每样都想尝试一下，最后可能什么都做不好。社会的标准一直在变，今天流行短视频，明天流行直播，每一步都踩着的话，你反而不会成功的。

你总是要看的远一点，你就是忽视了很多东西，放弃了很多东西，然后你才能在某一个领域做到更好。

---

下篇预告：

下一篇文章主要分析一下从事信息安全相关工作需要哪方面的能力，应该如何培养这些能力。

下篇地址：信息安全初窥（二）：信息安全能力体系