信息安全职业发展的几点个人思考

冷清化一场,游过往,只剩花前痴梦

  最近跟业内朋友聊天时经常会谈起信息安全行业现状,以及未来信息安全行业发展趋势相关的话题。我从业五年多时间,经历了信息安全行业从小众走向大众,从忽视到逐渐重视的阶段。五年信息安全从业经验算不上长,但也足够总结自身对于行业的一些思考,至少是阶段性的思考。

信息安全行业现状

  信息安全行业现状,我简单理解为“国家层面重视、行业监管重视、企业领导相对重视、企业员工有点意识”。虽然信息安全得到了国家层面、行业监管层面的高度重视,但真正落实到企业自身,往往就不是那么回事了。这几年国家相继出台了《网络安全法》、《等保2.0》等相关法律规范,监管部门也随即出台了相关配套的行业规范。依托着国家、行业规范,大多数企业陆续开展了一系列信息安全建设工作,使得国内整体信息安全能力提高了一些水位,然而近几年国内信息安全事件仍然频频发生,这就需要我们思考,满足了国家规范要求,是否就表示企业信息安全做得足够好?答案显然是否定的,一方面是因为国家、行业层面的规范大多是一些基线标准,也就是满足信息安全的最低标准,说白了就是为了提升国家整体信息安全水位的;另一方面,一部分企业只是为了满足监管要求,而不是真正为了提升安全能力,多少有点本末倒置。
  除了出台相关的法律条款,近几年监管部门与时俱进得多了一些抓手,比如由公安部牵头的重保(HW行动)。HW行动不得不说是一个推动企业自身安全能力建设的强力抓手。如果说法律法规是纸上谈兵,那么HW就是实战练兵了。近几年参加过HW的企业无疑都多少提升了自身的安全能力,但这种能力可以持续多久还有待商榷,尤其是等HW热度过后,企业到底是铜墙铁壁,还是一片狼藉?这取决于安全能力是企业自身具备,还是依赖第三方公司。我个人感觉,这几年HW从原先比拼企业自身安全能力,慢慢转变成了背后财力、资源的比拼。关于更多HW的事情这里不细说了。
  总结来说,个人认为信息安全行业尽管目前存在很多问题,但总体还是向好的,也正在慢慢规范化。

信息安全行业未来方向

  有很多朋友跟我讨论过行业未来的发展方向,有说大数据安全、物联网安全、区块链安全的,也有说可信计算、零信任、欺骗防御的。我没有进行过市场调研,也不是行业大佬,不敢妄下结论,但也有过思考。我个人感觉一般行业的未来发展方向可以参考一下监管的风向,尤其是信息安全行业。还是拿HW举例子,近几年HW带火了蜜罐、威胁情报、主机安全等产品以及买0day服务,由此也养活了一批安全公司。可以预见接下来几年,HW还会带火更多的安全产品、概念以及服务。开玩笑的说,HW简直是一场疯狂的带货营销活动。当然除了HW,近几年监管也比较关注个人隐私、数据安全,那么未来数据安全绝对是一个热门领域。因此,我个人认为信息安全未来的发展方向可以参考监管风向。当然,有些朋友可能会反驳,脱离监管层面企业自身也会进行一些新兴安全领域的研究。有,但很少。

信息安全从业人员的未来

  前面我提到了信息安全行业现状以及未来发展趋势,总体上还是持乐观态度,但对于信息安全从业人员的未来我并不是特别乐观。一方面由于前些年国家重视信息安全,一大批高校开设了信息安全专业(或方向),换句话说未来几年信息安全从业人员会大幅增加,然而对应的安全岗位增加了多少呢?没做过调研,没有数据支撑,但据我了解,安全岗位仍然集中在互联网、金融、乙方安全公司,普通企业即使有安全,很多也是兼职。网上所谓的网络安全岗位存在巨大缺口到底有多大,我个人表示存疑。另一方面,随着国家整体经济下行,网络安全还会那么重要吗?国家层面当然重要(没有网络安全,就没有国家安全),但对于需要盈利的企业来说呢,并不见得。单纯只是为了满足监管并不需要太多的安全投入,在国内安全事件的处罚机制没有成熟的前提下,经济下行带给企业的压力远比信息安全大,因此安全岗位即使不减少也不会大幅增加。
  个人认为市场是由供需关系决定的,安全从业者的大幅增加与相应岗位的减少(维稳),对于我们每一位从业者来说,都不是利好。

nmask wechat
欢迎您扫一扫上面的微信公众号,订阅我的博客!
坚持原创技术分享,您的支持将鼓励我继续创作!

热门文章推荐: