作者：陳鑫傑

隨著國內外大規模安全事件的愈發升級，例如大批量CIA/NSA等核武器級網絡攻擊工具持續曝光、WannaCry病毒席卷全球、Apache Struts2高危漏洞刷爆安全圈，影響數千萬在線服務，並且伴隨國內的《網絡安全法》正式成為法律法規，《信息安全等保安全》系列政策更新，[安全]對於大部分企業來說，已經從[可選項]變成了[必選項]甚至是[強制項]。舉個例子，越來越多的互聯網企業、金融或電商企業、國企或政府單位，不斷組建SRC（Security Response Center，安全應急中心）和安全研究團隊，拉攏各方安全人才，為自己的產品、應用、數據保衛護航。

很多公司的IT技術崗位劃分上面，以往大體分為開發族和運維族，現在突然多了一個獨立的安全族。（可以到百度或者Google搜索“SRC安全響應中心”），安全團隊也不再是大廠或者互聯網公司專有，只要是“觸網”的企業，都需要安全人才加入。

這跟幾年前的安全行業相比，已經發生了極大的變化，最大的變化便是：[ 安全從“被動”變為“主動”，從“意識”變為“行動” ]。以前的安全行業基本是這樣來運轉的：甲方單位根據自身的業務和應用，向乙方公司提出安全需求，乙方向甲方提供安全解決方案、安全產品、安全加固、滲透測試等服務。這裏甲方一般是國企政府、銀行金融、電商遊戲等任何有安全服務需求的機構，而乙方單位則可能是啟明星辰、綠盟科技、天融信、安恒、深信服、華為、知道創宇等網絡&安全企業，說的更簡單一點，以前安全的需求就是，甲方出錢向乙方購買安全服務，是的，[安全]直接買過來不就可以了？缺安全產品？買! 被人攻擊了，買攻擊回溯和安全加固 ! 缺人？買安全駐場人員！總之，[安全]在以往企業和政企運轉中，以類似“插件”的方式來實現。

但是現在的情況可有所不同，越來越多公司的的業務、應用、數據直接基於雲端來開展，核心數據直接連接在互聯網上，而中間僅僅隔著一堵”墻”，稍有不慎，就引來殺身之禍，例如核心用戶數據被黑客“脫褲”並公布。用以往做安全的角度來防禦，我們可以設計一個安全網絡架構、購買一堆安全硬件產品，並且堆砌上來，就可以後顧無憂了。而現在企業的業務場景完全不同，服務器上面跑的業務可能是電商業務、可能是視聽業務、可能是遊戲業務…… 這樣的話，不同業務產生的安全問題（攻擊面）也隨著變化，甚至很多安全問題不是來源於技術層面的，而是業務和邏輯層面的，這些已經很難用單維度的安全產品來解決。

正因如此，甲方單位的安全需求尤其以互聯網公司為例，已經沒法再由乙方單方面的安全服務來[完整滿足]了。簡單來說，安全從單維度的以購買安全產品和服務的傳統的 [ 被動防禦 ]，需要加入另外一個維度即 [ 主動防禦 ]，例如成立安全小組，主動了解黑客入侵方式，對攻擊事件零延遲響應，對攻擊路徑進行回溯分析，對自家產品進行安全審計、安全測試等。那麽，這些安全審計、滲透測試等，不也是可以直接從乙方企業購買？ 當然可以購買，沒有核心技術團隊的，暫時就是這種方式來實現。而有強烈安全意識的、有核心技術團隊的，而且業務系統和應用非常多又雜的、核心數據非常重要的、對安全響應要求零延遲的，類似這些企業，會全盤交付給乙方單位？所以，這兩年，我們可以看到越來越多的SRC（安全響應中心）出現，各種各樣的在線漏洞提交平臺和眾測安全服務出現，以一種全新的[主動防禦]的方式，更加開放的、更加多維度的姿態來應對安全，例如邀請白帽子來為自己的業務系統挖洞並且給出獎勵，組辦高大上的安全會議和安全大賽拉攏各方大神。

從這個層面來講，這對我們安全人員其實是大大好處，因為從職業發展規劃上來看，我們的選擇權變得更加多了，可以從甲方跳到乙方，更可以從乙方跳到甲方，行業的需求和人才流動性變得更加大了，例如這兩年周邊做安全的小夥伴，從綠盟科技、天融信、華為這種網絡&安全大廠，跳到互聯網公司、政企國企單位、或者新興的安全創業團隊等，圈子和技術力量不再集中在乙方安全企業，當安全無處不在的時候，也正說明這個市場是更加的活躍和成熟了。

而站在[純技術]人員的角度來出發，最好的了解和把握這個行業趨勢，就是做滲透攻擊出身的學習安全防禦知識框架，做安全防禦出身的更好的學習滲透攻擊知識框架。舉個栗子，但凡在IT系統集成商、服務商、網絡或安全廠商待過的，有給過政府、銀行、稅務、社保、運營商等等做過系統集成&安全集成服務的夥伴，都會有一種錯覺，以為自己能寫的了各種安全等保/分保方案（什麽三級、金稅、金土、金X …）、選的了安全設備、能刷各種配置調通各種產品、能做各種安全加固，然後就會以為自己上了天，而當回過神來看的時候，各種[雲安全解決方案]、[軟件定義安全]、[機器學習/自動化/主動防禦技術]、[機器學習+大數據+安全]等概念已經滿天飛了，這個時候才意識到，手藝活又該抓緊更新了。

恩，上面這段話，其實也是說給自己聽的……

題外話
安全行業的崗位和需求層出不窮，可以站在甲乙雙方來分類，可以站在攻防兩端來分類、可以站在技術鏈來分類，也可以根據崗位具體業務來分類。經常聽到的，例如安全服務、滲透測試、安全加固、安全運維、安全審計、安全架構、安全集成、攻防研究、安全研發、雲安全、Web安全、移動安全、工控安全 ……
當然，技術鄙視鏈存在於各行各業，尤以IT互聯網為甚，例如“程序猿”、“攻城獅”、“產品汪”等等；即便是同一安全行業，也有所謂的安全研發鄙視做安全滲透的，做安全滲透的鄙視做安全運維的…… 對於這個，個人觀點如下：
大家都是出來做“雞”（技術）賣藝的，也就別相互嘲諷啦，事兒能否做成，取決於於團隊的通力合作；另外，在新技術和未來面前，大家都是孩子，保持學習、保持敬畏才是真道理。

相關課程：

《Web安全工程師》：http://edu.51cto.com/topic/1181.html

《高級Web安全工程師》：http://edu.51cto.com/topic/1183.html

《CCIE魔鬼訓練營》：http://edu.51cto.com/topic/255.html

本文出自 “陳鑫傑講網絡” 博客，請務必保留此出處http://chenxinjie.blog.51cto.com/7749507/1949452

我所看到的安全行業趨勢