IT人才需求最旺盛的領(lǐng)域中，安全獨樹一幟。據(jù)統(tǒng)計，2014到2015年，美國的網(wǎng)絡(luò)安全職位數(shù)量激增了40%+，有50,000個空缺，之前1年的增長率是16.8%。

[[179434]]

安全崗位比技術(shù)領(lǐng)域其他方面的增長速度要快得多，雖然這些其他技術(shù)領(lǐng)域同樣增長很快。同時，(ISC)²2015年的調(diào)查發(fā)現(xiàn)，62%的受訪者稱缺乏足夠的安全人員，45%找不到適格者。未來5年，全球信息安全勞動市場人才短缺將達150萬。

很多公司在找尋人才填充安全崗位上的無力，只會催生薪酬上漲，以及IT人員發(fā)展這些技能以謀職的興趣。薪酬又高，需求又多，而且對安全人才的需求只會越來越多，有什么理由不往這個方向發(fā)展呢?

如果你想乘上這波人才短缺的東風，以下洞見可供參考。想知道轉(zhuǎn)行適不適合你，也可以看看。

01.不用擔心自己不具備特定安全經(jīng)驗

今天的大量需求都集中在需要數(shù)年經(jīng)驗的職位上，比如高級安全軟件工程師。此類職位年薪可達$200,000。(ISC)²研究也報告稱，最大的就業(yè)增長將是安全工程師和架構(gòu)師。

但同時，安全需求還很廣，需要太多不同類型的技術(shù)集，沒人能單槍匹馬搞定所有這些角色需求。想要照顧到方方面面，你需要一支龐大的團隊，包含進懂得網(wǎng)絡(luò)和網(wǎng)絡(luò)流量、硬件設(shè)備、軟件程序及業(yè)務(wù)邏輯的各類人才。

信息安全是一個巨大而廣泛的領(lǐng)域，包括了程序員、風險經(jīng)理、能用商業(yè)語言與業(yè)務(wù)人士交流的公共關(guān)系專家、理解人類行為的人才，甚至具有經(jīng)濟學背景的人。如果有經(jīng)濟學學位或懂得金融，即便沒有安全專業(yè)知識，也是被聘用為風險經(jīng)理的——因為經(jīng)濟和金融干的就是理解風險嘛。

同樣，心理學背景也會擁有理解為什么人們會去點擊釣魚鏈接及該怎樣阻止這種行為的洞見。具心理學背景的人需要學習基本的網(wǎng)絡(luò)或信息安全知識，但已經(jīng)擁有的知識依然可以再教育自身。

02.考慮長期發(fā)展

可預見的未來中最大的需要，就是軟件和應(yīng)用安全。我們面對的最大問題，與不安全代碼和糟糕的軟件開發(fā)過程相關(guān)。人們開發(fā)軟件已經(jīng)有50多年的歷史了，但直到最近10年我們才開始注意到與軟件安全相關(guān)的問題。對考慮進入安全行業(yè)的年輕IT人而言，軟件工程和編程是機會最大的地方，而挑戰(zhàn)亦存。

甚至現(xiàn)在，供需差距就已經(jīng)很大了，尤其是在這一領(lǐng)域幾乎沒有可用培訓，且有天賦的開發(fā)者傾向于涌入谷歌或下一個Facebook之類的公司，而不愿就職安全公司的狀況下。

這一領(lǐng)域需要兩種人：項目經(jīng)理和實際的實踐者。聘用項目經(jīng)理，然后讓項目經(jīng)理組建安全團隊來幫助培訓和指導，是對公司企業(yè)最有利的做法。

從應(yīng)用安全起步，IT人士可以繼續(xù)演進到其他很多領(lǐng)域，如架構(gòu)安全或云安全——雖然其他選擇，比如網(wǎng)絡(luò)或硬件安全，可能會有點門檻。如果是18歲新新人類，加入應(yīng)用安全行列或者成為開發(fā)運維安全團隊的一員是不錯的選擇。

03.別低估了你的現(xiàn)有技能

如果你現(xiàn)在是系統(tǒng)、網(wǎng)絡(luò)或數(shù)據(jù)庫管理員，那你在通向特定信息安全子領(lǐng)域的路上已經(jīng)走了75%的路程了，比如道德黑客、滲透測試和信息保障職位。有這些職業(yè)背景的人，能理解系統(tǒng)運行原理和人們訪問系統(tǒng)的方式，所以，從設(shè)置用戶到檢查標準與框架合規(guī)之間并沒有太大的障礙。有了這一基礎(chǔ)，繼續(xù)下去就很容易了。

事實上，擁有此類背景是極大的助力。要想在安全界嶄露頭角，有堅實的系統(tǒng)管理、網(wǎng)絡(luò)工程或軟件工程背景非常重要。盡管有很多方面都不是技術(shù)性的，理解系統(tǒng)運行基本原理，正是讓人具備收獲長遠成就所需知識和能力的基礎(chǔ)。

因此，CIO們應(yīng)開始在已有員工中間培養(yǎng)安全能力，而不僅僅是找尋外部候選人來填充這些需求。簡單地提升薪酬或福利是不夠的，找到培養(yǎng)內(nèi)部人才填補技能空缺的方法才是公司應(yīng)該做的。

IT和安全職位之間存在共同點，描繪出一張技能地圖，可幫助員工建立填補進這些職位空缺的計劃。好消息是，有很多相關(guān)工作可供各種角色的員工借以邁向安全職位。助理安全工程師、安全審計員、IT安全項目經(jīng)理之類名號所需的典型技能，與網(wǎng)絡(luò)安全或入侵檢測之類職位的基本要求是相一致的。

其間障礙，只是缺乏對特定職位所需具體技術(shù)的理解，以及怎樣最快實現(xiàn)角色轉(zhuǎn)換。雖然回學校再拿個學位是條康莊大道，方法卻并不止只一個。

04.別假定你需要回爐重造

實際上，盡管安全職位門檻很難跨越，卻也從未出現(xiàn)過這么豐富的學習資源，免費在線課程、職業(yè)資格認證以及加入安全社區(qū)都是絕佳的學習途徑。從SANs(系統(tǒng)管理和網(wǎng)絡(luò)安全審計委員會)，到ISACA(國際信息系統(tǒng)審計協(xié)會)，到信息系統(tǒng)安全協(xié)會(ISSA)，到(ISC)²(國際信息系統(tǒng)安全認證聯(lián)盟)，到開放網(wǎng)絡(luò)應(yīng)用安全項目(OWASP)……有太多非常活躍的安全組織提供培訓和分享思想的社區(qū)了。

加入OWASP是被聘用和收到最佳認證建議的好方法。

可以先從Coursera或EdX之類免費大型公開在線課程項目上學習安全基礎(chǔ)開始，然后再確定哪個子領(lǐng)域適合自己進一步深入。一旦基礎(chǔ)打好，就可以去尋找自己最感興趣的信息安全領(lǐng)域，開始進入專家養(yǎng)成時。

在線課程是培養(yǎng)技術(shù)的極佳選擇，尤其是在雇主并不提供培訓的情況下。可以自主選擇課程，自由安排時間，無需回到學校再專門花上幾年拿下網(wǎng)絡(luò)安全本科或碩士學位。

而只要確定了發(fā)展方向，考幾個認證是個不錯的主意，安全領(lǐng)域中認證還是很吃香的。人們常說證書證明不了現(xiàn)實技能，但真相是，招聘經(jīng)理認這個啊!即便你覺得這堆認證沒什么卵用，只要你還想找到工作，它們就是必備的敲門磚。缺了這些證書，你的簡歷都到不了第二輪。

特別地，(ISC)²頒發(fā)的信息系統(tǒng)安全師(CISSP)認證，是通往更高級別職位的有力籌碼;而ISACA頒發(fā)的風險與信息系統(tǒng)控制認證(CRISC)，則是風險管理職位的必需。其他情況，比如申請比防火墻管理這種入門級工作更高檔次的職位，那么來自思科或Juniper之類廠商的認證就是個不錯的主意。

同時，在軟件開發(fā)行業(yè)，安全軟件開發(fā)生命周期(SSDLC)認證實踐者的身份，將能證明你在應(yīng)用安全方面的能力。

05.清楚自己即將踏入的是什么領(lǐng)域

安全職業(yè)當然也有其陰暗面，壓力和職業(yè)倦怠就是其表現(xiàn)形式。美國的安全大會上，主要話題之一就是抑郁，這一現(xiàn)象越來越多地出現(xiàn)在該領(lǐng)域中。如果你覺得自己應(yīng)付不來工作壓力和職業(yè)倦怠，從事安全職業(yè)可能不是個好的選擇。

這種現(xiàn)象的成因，是很多公司對待安全職能的態(tài)度：如果數(shù)據(jù)泄露發(fā)生，那必然是安全崗位的人沒能履職盡責。高曝光度的數(shù)據(jù)泄露事件，傷害的不僅僅是客戶，還有員工。股價下跌、員工被炒、公共信譽喪失……如果你是電腦前敲著鍵盤評估事件發(fā)生前安全控制狀態(tài)的人，那樂子就大了。

除了總是如坐針氈，安全部門還總被業(yè)務(wù)部門疏遠。業(yè)務(wù)部門可不總是認同施加在項目上的安全控制所帶來的延遲，而且，只要出了什么事，背鍋的總是安全部門。入職安全崗位，可能會高處不勝寒。

隨著安全逐漸成為業(yè)務(wù)發(fā)展周期的一個完整部分，長期來看情況應(yīng)該會有所改變。當安全完全嵌入并與業(yè)務(wù)同步，安全團隊的壓力就會小很多。業(yè)務(wù)部門需要認識到自己很有可能被黑。目前，這種認知還很缺乏，導致總會找個人來背鍋。

而且，安全職業(yè)需要在很多不同領(lǐng)域都有一手。技術(shù)不斷改變，威脅不斷進化，新監(jiān)管規(guī)定不斷出臺，還有老生常談的安全預算戰(zhàn)爭——你永遠走不到工作干完的那一步。(ISC)²的調(diào)查顯示，即便超過3/4的受訪者稱滿意自己當前職位，安全行業(yè)在去年還是經(jīng)歷了近20%的離職率，破了(ISC)²的歷史記錄。

06.追尋激情，而非金錢

需求和薪酬是安全領(lǐng)域的吸引力構(gòu)成，但絕不是唯一的驅(qū)動力。積極的方面，安全職業(yè)可以充分融入社區(qū)，尤其是與軟件開發(fā)世界相對比。安全從業(yè)者往往能組成組織嚴密的社區(qū)，很好地相互協(xié)作。

某種程度上，如果你是那種渴望理解事務(wù)運行原理，或喜歡拆拆裝裝的人，那你就會知道自己是否適合安全行業(yè)。走進安全行業(yè)的人中，藝術(shù)家、音樂家、創(chuàng)意人和非對稱思想者的比例不小。真的是取決于個人追求和對挖掘內(nèi)在原理和價值的興趣。

【本文是51CTO專欄作者李少鵬的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權(quán)】