信息安全企業(yè)和企業(yè) IT 部門在招募安全人才的時候，往往本著來之能戰(zhàn)，開箱即用的篩選原則，因此計算機科學(xué)，尤其是信息安全專業(yè)背景成了香餑餑，如今連賣煎餅果子的大媽都知道信息安全很熱門，好就業(yè)。

[[285644]]

但是一個重要的問題被掩蓋了，那就是在安全市場高速增長，產(chǎn)業(yè)結(jié)構(gòu)升級的大背景下，安全團隊的基因多樣化、技能多維化趨勢。居安思危，雖然中國信息安全市場近年來逆勢飄紅，2019 年市場規(guī)模保持著 20% 的 “逆市” 高速增長，并且對標(biāo)歐美日安全市場還有相當(dāng)大的成長空間，但是正如安全牛在過去的報道中曾指出，信息安全職場和人才市場目前存在很多問題，女性參與度低、老齡化、過度疲勞、軟技能缺失、創(chuàng)新力不足、職業(yè)發(fā)展道路模糊、人才流失率高等等。

信息安全市場為什么缺人才?原因很簡單，源頭在鬧人才荒，已有的人才留不住、職業(yè)滿意度低，行業(yè)整體形象刻板。

當(dāng)安全產(chǎn)業(yè)高呼 “自主安全”、“內(nèi)生安全”，要從 “最后的武士” 身上的笨重鎧甲進化成鋼鐵俠機甲助推數(shù)字化轉(zhuǎn)型時，根子上的問題——安全人才知識結(jié)構(gòu)和安全文化升級被忽視了。要知道，每時每刻上演 Endgame 大戲的信息安全行業(yè)可能是對個人好奇心、持續(xù)學(xué)習(xí)能力和創(chuàng)造力要求很高的行業(yè)。

這個世界上最堅硬的矛和盾，往往都含有多種稀土元素。以下，安全牛整理了網(wǎng)絡(luò)安全市場稀缺的六個非技術(shù)專業(yè)，同時也是安全技術(shù)人才提高自我修養(yǎng)的參考科目：

1、數(shù)學(xué)：算法才是王道

這個無需多言，眾所周知俄羅斯的 “黑科技” 很先進，這與俄羅斯數(shù)學(xué)水平全球領(lǐng)先有著很大關(guān)系。毫不夸張地說，未來的網(wǎng)絡(luò)空間戰(zhàn)爭中，決勝因素就是算法，而優(yōu)秀算法的背后，是一個個數(shù)學(xué)天才。

為什么 60 年代美國的阿波羅飛船能載人登月而 60 年后的印度航空器卻在月球背面抽風(fēng)?因為登月計劃的軟件工程師中很多都是數(shù)學(xué)家和物理學(xué)家。

從功利角度看，數(shù)學(xué)相關(guān)專業(yè)很多可以直接應(yīng)用于網(wǎng)絡(luò)安全業(yè)務(wù)。例如與威脅檢測相關(guān)的機器學(xué)習(xí)算法模型和數(shù)據(jù)訓(xùn)練任務(wù)，OSINT 數(shù)據(jù)分析等。

從更深層來解讀，數(shù)學(xué)專業(yè)人才具備很多稀缺特質(zhì)：激情、解決難題的動力和毅力，以及批判性思維能力。

Cequence Security 的常駐黑客 Jason Kent 贊揚數(shù)學(xué)專業(yè)學(xué)生的批判性思考能力。

批判性思維和能夠從不同角度看待事物，這是一種優(yōu)勢，特別是當(dāng)面臨從未遇到過的挑戰(zhàn)時。

數(shù)學(xué)人才往往能夠接受可用方案，即使這些方案看上去有些非常規(guī)。

2、心理學(xué)：較大安全漏洞是“心理漏洞”

大家都知道企業(yè)安全防線最薄弱的環(huán)節(jié)就是人。有人的地方就有漏洞，同時人也是很大的威脅。在危機四伏的原始叢林中，最危險的動物不是大蟒蛇，而是拿著狙擊步槍的 “伏地魔” 和 “老陰逼”。

黑客很喜愛的釣魚攻擊、水坑攻擊、勒索軟件等社會工程類伎倆，無一不是在揣摩和利用人的 “心理漏洞”。如今大多數(shù)黑客都有攻擊框架的觀念，他們懂得如何根據(jù)人的心理和行為模式調(diào)整攻擊方法來騙取信任，達到目的， 這在社會工程學(xué)攻擊中很普遍。而對于信息安全防御團隊來說，心理學(xué)技能也同樣重要。

心理學(xué)專業(yè)還能提高網(wǎng)絡(luò)安全人員在溝通方面的軟技能。匹茲堡大學(xué)網(wǎng)絡(luò)法，政策與安全學(xué)院的常駐學(xué)者 Kiersten E. Todt 認(rèn)為，心理學(xué)對于網(wǎng)絡(luò)安全專業(yè)人員來說是大有前途的學(xué)術(shù)專業(yè)，因為心理學(xué)可以提高人類行為和溝通方面的軟技能，很多涉及網(wǎng)絡(luò)安全至關(guān)重要的人為因素。

此外，心理學(xué)的分析和數(shù)據(jù)操作在網(wǎng)絡(luò)安全中也會很有用。托特說：社會科學(xué)的統(tǒng)計，分析和其他內(nèi)容是有效發(fā)揮網(wǎng)絡(luò)安全專業(yè)人員的重要技能。

3、商業(yè)管理：安全不是企業(yè)的小腦

為什么硅谷一夜之間就被印度人以《人猿星球》的速度給接管了?一種比較流行的說法是，相比亞洲其他地區(qū)的碼農(nóng)，硅谷的印度碼農(nóng)非常熱衷于進修商業(yè)管理課程，爭當(dāng)將軍的士兵多了，蹦出一個 CEO 人選的幾率自然大增。

Digital Shadows 的策略和研究分析師 Harrison Van Riper 建議有志從事安全方面工作的商業(yè)管理專業(yè)人才從純業(yè)務(wù)與網(wǎng)絡(luò)安全相交的地方切入。例如，會計學(xué)位很適合 IT 審計領(lǐng)域。此外，適用于網(wǎng)絡(luò)安全的業(yè)務(wù)風(fēng)險分析是另一個安全行業(yè)非常重要的領(lǐng)域。

在越來越多的企業(yè)設(shè)立 C 級別安全高管，信息安全與數(shù)字化轉(zhuǎn)型高度融合的今天，CISO 是向 CEO 匯報還是 CIO 匯報，信息安全部門有多大話語權(quán)和話事權(quán)，就要看咱們這些杰出安全人才能否參透 “安全經(jīng)濟學(xué)” 了。

4、哲學(xué)：安全之道

俗話說盜亦有道，但安全行業(yè)能自洽普適的 “道”(包括道德和哲學(xué))并不多見。

哲學(xué)對于我們來說是如此熟悉又是如此陌生。哲學(xué)到底是干嘛的?熟讀《道德經(jīng)》和《摩托車維修藝術(shù)》能否幫我們降低 Bug 產(chǎn)量，或者感知未知威脅?

答案是肯定的，哲學(xué)是很高級的科學(xué)，一個不重視哲學(xué)的民族沒有未來。同樣，一個不重視哲學(xué)和倫理的信息安全公司或技術(shù)部門，起樓翻車都很快。

匹茲堡大學(xué)研究所的托特曾擔(dān)任奧巴馬總統(tǒng)領(lǐng)導(dǎo)下的加強國家網(wǎng)絡(luò)安全委員會的執(zhí)行主任，他說，道德方面的知與行，對網(wǎng)絡(luò)安全專業(yè)人士和任何人都至關(guān)重要。

我認(rèn)為倫理學(xué)和哲學(xué)是任何開發(fā)人才都應(yīng)該掌握的輔修知識。

Thycotic 首席安全科學(xué)家約瑟夫·卡森 (Joseph Carson) 解釋了在人類行為中建立基礎(chǔ)的重要性。

網(wǎng)絡(luò)安全不是一項技術(shù)挑戰(zhàn)，而是一項人為挑戰(zhàn)。我們需要提供更多可用的網(wǎng)絡(luò)安全解決方案，因為未來的網(wǎng)絡(luò)攻擊將首先針對并濫用人類信任。

Digital Shadows 的 Van Riper 說，能夠從各種角度看問題對于解決網(wǎng)絡(luò)安全問題至關(guān)重要。

在網(wǎng)絡(luò)安全和威脅情報中，獲得對各種問題的多角度觀點是進行具體而全面的分析的關(guān)鍵。無論是對威脅因素進行調(diào)查還是執(zhí)行事件響應(yīng)，了解可能受到影響的所有不同觀點和觀點都非常重要。

5、音樂：你距離卓越只差一坨音樂細胞

自古以來音樂與數(shù)學(xué)和工程就有著不可描述的內(nèi)在關(guān)聯(lián)，但很少有人意識到，音樂人才在當(dāng)下火熱的大數(shù)據(jù)和信息安全領(lǐng)域，也是一股不可或缺的清流。也許有人會不屑一顧：要音樂人才干嘛?開發(fā)的時候擔(dān)綱辦公背景音樂 DJ 嗎?

在《線中幽靈》一書中，凱文尼特米克同學(xué)和他的小伙伴利用音樂天賦攻破了拉斯維加斯的吃角子老虎機。但這只是音樂才能在安全領(lǐng)域的牛刀小試。

管理咨詢與技術(shù)顧問公司 Booz Allen 的戰(zhàn)略創(chuàng)新部門副總裁喬什沙利文認(rèn)為，團隊中的音樂人才具備 “驚人的創(chuàng)造力和量化技能”。當(dāng)數(shù)據(jù)分析團隊在處理多種數(shù)據(jù)的時候，非常類似交響樂作者編配多種樂器的過程，而這方面音樂人才是最在行的。

6、社會學(xué)：軟技能才是硬通貨

就像心理學(xué)可以幫助網(wǎng)絡(luò)安全專業(yè)人員了解個人如何使用系統(tǒng)一樣，社會學(xué)對于理解個人在特定情況下的行為或群體的行為也非常有用。Shared Assessments 的艾倫說：我在國際商務(wù)，市場營銷和組織行為方面背景和教育有助于我理解人及其動機。

(ISC)² 的辛普森認(rèn)為，了解網(wǎng)絡(luò)安全在組織內(nèi)的工作原理以及如何向組織內(nèi)每個人傳達網(wǎng)絡(luò)安全的重要性是至關(guān)重要的技能。

安全團隊通常規(guī)模很小，需要與其他業(yè)務(wù)部門接觸，培訓(xùn)和幫助他們提高安全意識，讓網(wǎng)絡(luò)安全成為業(yè)務(wù)部門日常詞典的一部分。

辛普森說，公司必須學(xué)會吸引社會學(xué)專業(yè)人才，就像社會學(xué)專業(yè)人才也應(yīng)當(dāng)積極學(xué)習(xí)安全專業(yè)知識來增加對網(wǎng)絡(luò)安全招聘經(jīng)理的吸引力。他說：網(wǎng)絡(luò)安全職業(yè)給人的印象是非?？贪搴拓?fù)面的：996、過勞、不被尊重、不被重視。當(dāng)我熱衷談?wù)? “大安全”、“大網(wǎng)絡(luò)空間” 的概念時，部門主管和人力資源們也應(yīng)該換換腦筋，打開思路，迎接那些內(nèi)在驅(qū)動力強、愿意接受新挑戰(zhàn)的社會科學(xué)人才。要知道，向軟技能人才傳授專業(yè)知識遠比讓專業(yè)人士掌握軟技能容易。