专访|一名信息安全人的自白：做信息安全就像卖保险

据麦可思研究院发布的《中国大学生就业报告》，信息安全专业被列为近5年上榜“绿牌专业”次数最多的专业之一。所谓绿牌专业，又称需求增长型专业，特点就是失业率小，且就业率、薪资和就业满意度高。

前不久，张雪峰在做高薪且有前景的专业推荐时，首推也是信息安全。那么，信息安全专业真有这么香吗？信息安全人的一天是怎样的？为什么信安人自我调侃“做信息安全就像卖保险的”……

为此，「谈思汽车」独家采访了一位在信息安全行业摸爬滚打了17年、曾先后在国内top互联网大厂从事各类信息安全子领域的行业老将——木木（化名），借他的自白，来呈现那些只有信息安全人才能体会的酸甜苦辣。

黑客杂志领进门，没跑路全凭热爱

如果从入行开始算的话，我在信息安全这个行业迄今大概有17年了，从参加工作开始算的话，也有10多年了。

读高中的时候，学校门口会有一些黑客相关的杂志在售卖，买来看了以后，就着了迷，后面就一直买，这些杂志也成为我入门这个行业的契机。

注：随着《黑客防线》的电子杂志在2015年6月停刊，那些伴随着中国第一代黑客成长的刊物正式走出历史舞台。

后来在电子科技大学就读的4年，也一直跟着我们学院的一个信息安全专业老师学习，并在这位老师带领的一个工作室里，结识了很多志同道合的朋友。

当时，我们那个工作室成立了也有八九年了，所以我们在14、15年开始参加CTF的时候，成绩还不错，属于国赛入围的常客。

毕业后在腾讯上过班，那时才发现工作中用到的知识技能，学校从来没有教过，全都是自己在实践的项目中习得的。所以，对于大学生来说，要想在信息安全这个领域走远的话，在学好课程的基础上，需要自己学习的东西还有很多。

但说实话，相比较我们当年读大学的时候，现在信息安全专业的培养体系越来越正规。现在不少学校都设立了网络空间安全学院，这类学院里，就会把信息安全专业分得更细。但在我上学那时候，只有一个信息安全专业。

除此之外，可学习的资料也更加丰富。像我们当年，主要的学习方式其实就是泡论坛，但论坛也就那么几个，再就是混一些信息安全爱好者的圈子。

凭兴趣想做一个系统，也只能自己一边查资料一边做，查到的资料可能还是十年前的一些资料，也就是国内的第一代黑客成长起来的时期，大概是在2000年左右。

但现在的大学生，光是开源的安全项目就有很多，此外，还可以去打CTF，线上线下的学习渠道和资料也能较轻松地获取，还可以通过实习去看一下实际企业什么样子，我们当年想找个信息安全的实习岗，几乎不可能。

那时候一家上市公司都没有，现在所有上市公司的市值加起来就有大几百亿了。可以说，市场对信息安全领域的关注度，早就不能同日而语，我们信安人的角色也越来越重要。

我们那个时候，其实就只是做技术，圈子很小，现在小到个人信息安全的保护，大到企业乃至国家的信息安全，都越来越受重视，这也使得信息安全从业人员身上的担子越来越重，在我看来，这是一个非常特殊的行业。

由腾讯安全发起的腾讯信息安全争霸赛（简称TCTF）

我们现在看到的互联网环境整体来说还是比较太平的，这其中离不开安全人员在背后的努力。如果范围扩展到中国所有企业，每年遭受到的攻击其实是千亿次量级的，但这些攻击之所以能够不影响到我们的生活，中间到底是谁在努力呢？

再举个跟大家生活息息相关的例子，诈骗。关于诈骗防护，各大互联网厂商的投入其实非常多，（他们会）通过技术手段，来协助我们的公安机构，或者是政府机构，一起来打击这些违法犯罪的行为。

想来这就是很多人热爱这个行业的原因，或许也曾想过另谋生路，但最后还是出于热爱，选择一条道路走到黑。

做信息安全就像卖保险

当然，从事这个行业，会应对的严峻问题也有不少。

首先，就是要经常面对来自客户甚至公司其他部门的不理解，然后我们就需要不断地去阐述我们的工作价值。

我们内部经常调侃，说做信息安全其实跟卖保险差不多。出事的时候，客户可能就会想，还好买了这么个东西，没出事的时候，就在想为什么要在这上面花这么多钱？当然也不乏一些非常信赖你的客户，所以在这过程中，挫败感和成就感兼有吧。

其次，现在漏洞的门槛越来越高。

以前我们去做一些渗透任务的时候，由于管制宽松，就可以有大把的标的，放到现在，就不敢随便弄。而且当年的基础建设还不是很完善，所以很容易就能以较低的成本获得较高的成就感，现在想去实施一次比较成功的测试，比以前难了很多。

其实这有点像现代的足球体系，从个人的英雄主义转变成集体主义了。现在一个人做不了太多事情，背后肯定要有一个团队，包括一些大型的攻防演练，不可能说一个人大杀四方，背后可能都有数十甚至百来号人的团队在支撑。

换言之，对于企业来说，想要自身去搭建这么一个安全团队，成本就会非常高。虽然每年毕业季，会有大量的信息安全毕业生涌入市场，但好的人才还是很稀缺。

首先，要拥有丰富的安全相关知识面。我们现在招的很多人，是希望他既要够了解操作系统底层运行的原理，又要了解网络协议通讯的细节，可以的话，还了解密码学的一些原始原理，以及标准的解读、行业的趋势等等，要求还挺高的。

因为信息安全是一个非常非常复合的学科。从业人员对研发中涉及到的不同技术栈、技术架构等，都得有了解。

比如说我们现在做整车信息安全解决方案的时候，首先他一定要懂车，然后车内的网络通讯协议、系统相关的知识、密码学的内容、移动安全的内容等他也必须得懂，不然是没法开展工作的。当然，丰富的知识面不是一蹴而就的，而是有赖于日积月累。

另外，优秀人才还得有非常强的学习能力。每当有新的行业或者业务出现时，能给到你的学习和适应时间可能不到一个月。像我在安全的子领域也转了很多次，每次的适应期大概就一个月。

所以我们内部对一些高级工程师或架构师的要求，就是他必须要具备能够快速迁移到另一个安全子领域的能力。

宇宙的尽头也可以是信息安全

目前市场的优秀人才之所以会这么稀缺，就我本人来看，有两点原因：

一来，学校教的东西其实是基础。比如说应用密码学，网络攻防的软件漏洞，以及一些通用的计算机知识操作系统，网络协议等等。工作中要用到的很多知识技术，是需要个人主动去学习的，所以，兴趣驱动很重要，非常重要。

以我为例，因为是出于兴趣进入这个行业，所以在工作的这十来年间，才能持续不断地学习积累，对一些新的信息安全技术总能抱有很大的兴趣。如果不是足够热爱，我不可能有那么持久的动力去琢磨提升的，所以说，兴趣是最好的老师。

二来，关键岗位的需求有限。比如说，今年毕业来了10万人，尽管基础岗位不少，但能得到锻炼的关键岗位可能就只有2000个，那对于剩下的大部分人来说，他可能工作数年，依然没太大长进，最后只能面临市场淘汰。

但我的建议是，不要放弃学习的机会，要能够持续关注市场，总会有机会的。

信息安全行业的一个特点在于，它是随着行业的变动而变动，随着行业发展而发展的。

我最早工作的时候，还没出现数据安全，到15年“云”概念火起来以后，云安全就出现了，物联网行业起来后，物联网安全也出现了，类似的还有区块链安全。

到了18、19年，数据安全法法、GDPR起来以后，数据安全的需求也就出现了。

除了国家层面对这个领域人才的需求，它不像其他行业，可能某一年火了，两年后就凉了，它一直保持一个比较稳定的市场需求。只要高科技行业在不断拓展，人才需求就会一直存在。

两年不加班，一加加半年？

从业这么多年，我发现，差不多每隔两、三年，就会出现一次非常严重并且影响广泛的漏洞安全。

比如说去年就有一个漏洞，基本上影响所有行业的信息安全；几乎每隔2-3年都有一个影响手机终端的漏洞，覆盖范围大概有上千万台手机；2014年也有一个影响全球的漏洞安全。

虽然说是随机出现的，但就从发生的频次来看，基本上就是这么个情况。当出现这种规模的漏洞时，那安全人员基本就不用睡觉了。

首先，我们得做防御，防御完了以后，得有个临时解决方案，来保障公司不受这个漏洞的影响，然后还得分析哪些服务已经受这个漏洞的影响，影响规模如何等等。

这个过程中，我们要一边防御这个漏洞的侵害，还要一边去给它上安全模块，保证业务不受影响。小公司还好，有些大公司的服务要是停上个一分钟，可能几千万的收入就没了，这时候真的压力山大。

这还没完，这些大公司的服务可能有上百万台机器，机器上跑了上百个服务，要把这些服务全部修复完毕，然后还能监控攻击的发生，紧急修复大概要在24小时之内完成，彻底修复可能要半年，这意味着在漏洞发生后的半年时间里，我们要一直处理这个事情。

信息安全人的一天

就从我参与过的工作来说，信息安全工作其实分很多种，包括合规的安全、办公的安全、车安全、漏洞研究、运营分析、产品研发等等。

像研发类的工作，其实跟一般研发岗没有太大区别，也都是做架构，写代码，调试上线。但是这里面，它需要有一些安全背景，有时候可能要去分析总结一些安全问题，思考应对这类攻击的防御策略和手段。

像安全工程师的话，就需要处理各类公司的安全警报，去判断所受到的攻击是否真实，是的话，他们可能还得溯源取证、定损（确定业务的损失），然后帮助业务快速修复，把损失降到最小。后续可能还得拉业务一起来复盘，比如说怎么避免下次攻击。

合规工程师更多会去关注标准的解读，以及跟业务一起排查相关的法律法规风险，梳理出相关的数据清单，再针对这些数据清单去做一定的治理。同时，他们可能还要和监管的部门沟通联系，代表企业做一些工作成果的述职或论述。

更高级一些的工程师或者架构师，他们的工作内容更多是关注集团层面的重要业务，可能会跟业务一起去定制一些战略及上线节奏。此外，他们还有了解市场、分析客户需求、分析市场趋势等工作内容。

可能在外面的人看来，会觉得做信息安全很酷，就像一些黑客电影中演的那样，手指翻飞间，就可以弄瘫一个国家的网络系统，黑进跨国公司的数据库（不是提倡这种违法行为的意思）……

但这些炫酷操作的背后所付出的努力，也是难以想象的。所以尽管是老生常谈之言，我还是想对那些意欲在信息安全领域长远走下去的人说一句：唯有热爱，方可抵漫漫艰辛路。

-  THE END  -

因文章部分文字及图片涉及到引用，如有侵权，请及时联系17316577586，我们将删除内容以保证您的权益。