去年的时候,我曾经在团队内部分享了一个“网络安全人才迁徙图”,被圈子里的同行广为传播。几乎所有行业的安全人士都表示:国内网络安全行业人才资源情况并不乐观——有着10年以上网络安全行业经验的核心安全人才,只有很小一部分,遗憾的是,却没有更多的新鲜血液补充进来。

  我们来简单回顾下近年来网络安全行业的人才是怎么流动的。

  

  ▲安全人才迁移路线图

  我们发现有着10年经验以上的“老鸟”,基本有以下几种去路:

  ■一部分跑去做黑产了,赚得多但是风险高,说不定哪一天就“进去了”;

  ■一部分跑去国外了,因为国外条件比较好,比如现如今FireEye、Palo Alto这些世界知名安全公司,他们的主要技术负责人如技术VP、CTO、首席科学家等,都是华人;

  ■一部分离开传统安全公司,加入BAT这样的互联网巨头企业担任安全相关要职;

  ■ 还有很少一部分依然坚持在创业做安全公司,但是普遍都很辛苦。

  老的人才在流失,新的人才培养跟不上,这是国内当前网络安全人才市场的显著特征。我们发现,当前网络安全实力最强的还是美国,其次可能是新加坡这样的国家。究其原因,像美国、新加坡这样的国家,他们特别重视网络安全人才的培养,而且首先国家就会为网络安全服务买单,这让行业、人才有了前进的动力。

  但是在国内,网络安全行业并没有太多体系化的人才建设,这导致国内网络安全人才市场出现青黄不接的状况,一方面人才在不断流失,一方面即便出现一些好的苗子,立马就被BAT这样级别的巨头互联网公司高薪收走,安全行业人才现在越来越少。

  安全行业洗牌在即

  我认为2014年才是中国网络安全行业的元年。在这一年里,网信办成立,第一次国家网络安全宣传周的大力推广普及......我们需要感谢斯诺登,因为他的出现,中国才逐渐看到了与世界的差距。同时也让国家看到了网络空间安全的重要性,目前网络空间安全已经成为国家的首要战略之一。

  而从整个互联网环境来说,随着“互联网+”大战略的继续推进,越来越多的行业、资产、隐私信息将被放在互联网上、放在云上。这个时候,安全的重要性也逐渐体现出来了。腾讯副总裁马斌就不止一次在公开的演讲中表示,只有“安全的互联网+”才是真正的“互联网+”,安全就是“互联网+”的基石。

  需求在进化,行业也需要跟着进化。安全行业里的企业,如果还抱着传统的思维继续下去,等待着的只有淘汰。

  ●●●

  我们把以往的传统网络安全企业称为“盒子的搬运工”,为什么呢?因为在以往,传统安全企业往往服务的对象是国家政府机构以及央企。在以往,“合规性”的需求往往大于真正对安全能力的需求。以往传统安全企业更加注重销售体系、渠道的建设,所以安全产品或者服务的购买,往往更侧重于销售关系而并非产品性能、实用性。

  我经常拿病人生病来举例:以往的网络安全产业就像是一个人生病了,安全企业就卖给病人一个听诊器和说明书,让病人自己来判断病情;若是病人需要继续研究病理,那可能这些企业还能卖给病人B超机、CT机,甚至说最后发现要动过手术,就卖给你一把手术刀。这样做的结果就是,你可能并不能治好自己的病,买一堆仪器也只能放在那里。

  但是现在情况不一样了,现在的网络安全企业更应该像是一个三甲医院,它为你提供了各种诊疗设备,还为你准备了各个科室,以及各类专家医师。作为一个病人你只需要把自己交给这家医院,其他的问题你再也不需要考虑了。

  ●●●

  当国家、 行业对于网络安全有着明确的需求的今天到来,安全企业如果还依然担任“盒子的搬运工”这一角色,是治不了网络安全这个病的。而从长远来看,当智慧城市、 互联网+以及其他传统业态纷纷向云靠拢,传统安全企业所提供的硬件设备,也并不能完全满足于保障客户线上业务安全持续运行的需求。我认为,未来的网络安全问题,更多是集中在云上,所以我们需要以安全云的形式,来解决即将到来的云安全问题。

  在这个过程中,很多云安全企业会逐渐崛起,包括BAT这样体量的互联网企业,也在逐渐强化云安全领域的投入(不管是自建团队,还是对外收购、投资云安全团队),而以卖“盒子”为主要业务的传统安全企业开始出现疲软。它们下一步将面临的只有两个选择——被淘汰,或者转型。

  未来网络安全产业,人才实力的竞争

  我们大胆抛出一个观点——网络安全人才格局,决定了网络安全行业未来格局。

  当国家、行业对于网络安全的需求从“合规性”转变为对“实用性”的需求的今天,谁拥有真正的实力,谁就能为客户解决问题。这就意味着,网络安全公司市场格局的竞争,到最后可能就变成了网络安全人才实力的竞争。

  目前来看,行业内对漏洞攻防方面的人才需求最为迫切,有着多年实战经验的网络安全人才尤其成为行业内的抢手货。前面我们简单介绍了一下当前国内网络安全人才的一个分布情况,我们会发现一个有趣的现象——目前国内最活跃的网络安全团队,并非存在于以往传统的安全企业,反而更多出现在阿里、腾讯、百度、360、知道创宇以及更多提供SaaS安全服务的互联网安全公司中。

  ●●●

  为什么传统安全行业核心人才,都纷纷选择出走?

  以往传统安全行业核心安全人才不断出走,正是因为传统安全企业历史以来一直都以关系型销售为导向为客户提供服务,“盒子”好坏也许并非是决定业务好坏的关键。所以这些安全人才并不能最大化发挥自己的能力、收入方面也并不乐观。当BAT等巨头崛起之时,它们对安全有着真正的实用性需求,需要有真正的安全能力接入,来保障自身庞大业务体系的安全运行。这个时候,这些核心安全人才,可以去BAT等企业大展抱负,而个人收入也是倍数增长。而另外也有部分的安全人才,选择加入知道创宇这样的新兴安全企业,同样可以让自己的价值放大。

  核心安全人才的流失意味着核心能力的流失。传统安全企业在全新的市场需求下,逐渐丧失服务客户的能力,把机会让给了有能力的团队。目前网络安全产业的格局基本形成——随着360、百度、腾讯、阿里(后简称3BAT)自身安全业务的不断发展,传统网络安全企业正在遭受来自于新兴互联网企业的强力挑战。这些巨头不仅自身实力强悍,并不断通过收购、投资有着真正技术实力的安全企业,来扩大市场的割据,让传统安全企业更加没有生存的空间。

  ●●●

  在未来“互联网+”的大环境下,安全企业的能力还需要得到进化,才能满足时代的需求。一方面自身拥有安全领域的顶尖技术,还需要能够接入互联网巨头的大数据作为培育云安全攻防能力的土壤,两者强强结合才能够成为是最强。我们看到当前业界3BAT已经在开始疯狂的战略布局,各自拉拢对产业生态布局有利的第三方企业结盟或者并购,3BAT的战线已经形成,安全产业市场格局基本已定。

  另外,基于SaaS服务的创业型安全公司或者创业团队开始逐渐成为当前行业的一股新兴力量。这些企业往往可以集结很多业界的优秀人才加入,试图能够在全新的市场需求下寻求一个突破口。面对他们的是一个很大的机遇,但是同样挑战也十分艰巨——一方面面临着3BAT的行业竞争、人才抢夺,生存空间同样受到挤压;另一方面,这些新兴的团队虽然在技术实力上或许比传统安全企业还优秀,但是未来的行业格局下,是否能够战胜“互联网巨头+实干型安全公司”的战略组合,还是个未知数。

  最后,一些个性化的网络安全需求也逐渐成为培育行业发展的沃土。比如渗透测试,仅仅这一个需求就已经刺激行业在2015年崛起了不少的众测平台。但是我认为这块市场未来的发展空间还需要进一步考证,毕竟众测这种特殊的安全解决方案将面临着一个最大的挑战——你如何让你的客户放心地给予你进行渗透测试的权限?

  文章转自CSDN《程序员》杂志

  作者:杨冀龙

  

  知道创宇公司首席技术官,创始人之一。是中国民间著名白帽黑客团队“安全焦点”核心成员,参与编写了安全技术畅销书《网络渗透技术》,被记录中国互联网发展史的畅销书《沸腾十五年》评为中国新一代黑客领军人物之一。2015年杨冀龙被兰州大学聘请为荣誉教授。

知道创宇CTO杨冀龙:网络安全人才决定行业格局的更多相关文章

  1. 【FreeBuf视频】《安全大咖说》专访知道创宇CTO杨冀龙(watercloud)

    [FreeBuf视频]<安全大咖说>专访知道创宇CTO杨冀龙(watercloud) 发布于 2016/05/16 FreeBuF.COM 杨冀龙,江湖人称watercloud,知道创宇公 ...

  2. 数据库性能测试---前阿里数据库团队资深DBA杨奇龙

    杨奇龙 前阿里数据库团队资深DBA 主要负责淘宝业务线,经历多次11.11,有海量业务访问DB架构设计经验. 目前就职于有赞科技DBA,负责数据库运维工作,熟悉MySQL 性能优化,故障诊断,性能压测 ...

  3. MetaData Lock 杨奇龙 ---MYSQL博客专家

    http://blog.itpub.net/22664653/viewspace-1791608/ http://blog.csdn.net/dba_waterbin/article/details/ ...

  4. mysql使用硬链接配合truncate 删除2.2T的表 --杨奇龙

    http://blog.csdn.net/wyzxg/article/details/8626814 http://blog.itpub.net/22664653/viewspace-750408/ ...

  5. archsummit_bj2014

    http://bj2014.archsummit.com/schedule.html 大会日程 时间 2014年12月19日 会议室 二号会议厅 7:45 入场注册 8:45 开场致辞 9:30 论高 ...

  6. CTO这点事(技术,业务,管理,情商,周期,趋势)转

    几乎整个互联网行业都缺 CTO,特别是一些草根背景的创业者,这个问题更加显著.从我自己的感受,身边各种朋友委托我找 CTO 的需求,嗯,算下来超过两位数了,光最近一个月就有 3 个,而且这三家都是刚拿 ...

  7. BAT齐聚阿里安全-ASRC生态大会:呼吁联合共建网络安全白色产业链

    图说:近日,阿里安全-ASRC生态大会在杭州举行,包括BAT在内的20余家国内知名互联网企业代表,回顾过去一年网络安全面临的问题与挑战,共谋生态安全治理思路. "123456.111111. ...

  8. CTO 之“六脉神剑”

    他深谙电商之道,从零打造 1 号店网站及供应链系统,以技术引领业务发展.他是欧电云创始人韩军,下面将由他分享完美 CTO “六脉神剑”的经验之谈. 首先,从对 CTO 的一个认识误区讲起. 不写代码的 ...

  9. 曹政:CTO这点事

    几乎整个互联网行业都缺 CTO,特别是一些草根背景的创业者,这个问题更加显著.从我自己的感受,身边各种朋友委托我找 CTO 的需求,嗯,算下来超过两位数了,光最近一个月就有 3 个,而且这三家都是刚拿 ...

随机推荐

  1. Supervisor 守护 dotnetcore 程序

    版权声明:本文由屈政斌原创文章,转载请注明出处: 文章原文链接:https://www.qcloud.com/community/article/240 来源:腾云阁 https://www.qclo ...

  2. MYSQL的三种注释

    #CREATE SCHEMA `paw-jj` DEFAULT CHARACTER SET utf8 ; -- select * from vrv_paw_terminalinfo /*  selec ...

  3. JSON生成c#类代码小工具(转)

    原文地址: http://www.cnblogs.com/tianqiq/archive/2015/03/02/4309791.html

  4. lucene Lock obtain timed out: Lock@

    出错界面: 解决办法: 出现以上异常主要有两种原因: 1.系统正在写索引未完成之前,应用程序关闭 解决方法:删除提示的lock文件后重启应用(最好在应用中捕捉到,自动删除) 2.系统中有多个线程或程序 ...

  5. 创建生产订单函数BAPI_PRODORD_CREATE

    创建生产订单,创建订单长文本,订单下达 DATA:gs_bapi_pp_order_create TYPE bapi_pp_order_create. DATA:gt_bapi_order_key T ...

  6. SQL Server数据库(作业)

    create datebase zuoye2gouse zuoyegocreate table student --学生表( Sno varchar(20) not null primary key, ...

  7. 循环语句for

    循环语句for 格式: for(int i=1/*初始条件*/;i<=100/*循环条件*/;i++/*状态改变*/) { //循环体,执行代码:(break:跳出循环体) } 给出初始条件,先 ...

  8. VBA SQLServer 基本操作

      读取MS SQL Server数据表数据,并将它保存到excel工作表中 Sub ReturnSQLrecord() 'sht 为excel工作表对象变量,指向某一工作表 Dim i As Int ...

  9. C#入门篇6-7:字符串操作 看看字符串的特殊之处 值类型与引用类型的区别

    //看看字符串的特殊之处值类型与引用类型的区别 public static void CompareString(string stra, string strb, int i) { #region ...

  10. 161018--NOIP模拟

    老实说,感觉自己好菜啊..(安慰自己省选做多了 T1:看似1e6很大,实际上常数52都能草过去...不知为何RE.. T2:记忆化搜索.看错题目条件QAQ,其实把自己暴力搜的程序改改就好了.. T3: ...