学校教不出来!!!
学校教不出来!!!
学校教不出来!!!
众所周知
大多数大学网安专业 ≈ 密码学
差别巨大。
首先,年轻人,国家大力宣传让你读某某某专业,基本上意味着这个专业就是个坑,如果这个专业非常好,还需要宣传么?曾经的搜索引擎,证券/银行/基金,在他们最赚钱的时候你何时见过国家大力宣传让年轻人去学?厅级及以上的公务员你何时见过国家大力宣传让年轻人去报考?国家的宣传机器只会鼓励年轻人去基层,你有没有想过为什么?
再说回网安和计算机科学,严格来说网安只是计算机科学的一个分支,你没法说网安和计算机科学有什么区别,就好比你没法说“电动车和特斯拉有什么区别”一样。我现在假设你的问题是:网安和计算机科学的其他分支差别大不大。
说到计算机科学,就不得不提到机器学习和AI类的方向,可以说这十年来这个领域把全国计算机本科生/硕士生/博士生的知识结构直接掰歪了,你随便找个211/985的计算机系学生,他都能跟你扯几句机器学习,但是你问他PE文件结构,ELF文件结构,陷阱门调用门,进程调度,至少一半人都是一脸懵逼。但是这曾经是每个计算机系的人都该懂的“通识教育”内容啊。。。为什么会这样呢?不是因为这十年的年轻人变蠢了,而是这些知识不值钱,而机器学习的知识太值钱了,学机器学习的硕士应届是有可能拿到一年50W的工资的,但同样水平的硕士想在网安领域拿50W基本就是天方夜谭。一般来说,你能入学网安专业的本科,那么也差不多能入学计算机科学本科,那么其实你完全可以选择最热门的泛AI方向,工资高得多,所以理性人该怎么选还不是很明显么?
我不是理性人,我最初就是选的机器学习方向,硕士快毕业了才觉得这方向没意思,找工作的时候直接自学了渗透,然后找了个流量分析的工作,最后又在公司里自学了代码逆向。所以你要问计算机科学能不能从事网安工作,答案是可以的(反过来则未必)。然后我为什么会认为行业不景气呢?以下的事实可能可以告诉你:
1.我待过不止一家大型网安企业,待过北京,上海,西南。我所在的公司的设备经常被客户“借用”,借到使用寿命快耗尽了才付钱。即使是付钱比较爽快的客户,也经常让公司每个月甚至每周派人去给他们分析数据,这个人力成本直接抵消了利润,甚至会导致每台设备还得亏钱。
2.客户只认产品,而不怎么认可服务,除了少量的标准化服务(漏洞扫描等),其他的服务体制内客户经常没法付钱,因为规章制度允许他们买产品,但不一定允许买非标准化安全服务(否则有利益输送的可能),所以明明有需求,但是却没有市场和利润。
3.对于大多数企业,尤其是传统企业而言,安全就是个笑话。出了安全事故领导不免职不坐牢,那么他就没有动力花钱买安全服务。至于体制外企业,出了安全事故赔偿用户巨额罚金的案例你见过几次?既然不用赔,那买啥安全服务,脑子有坑么?
4.奇安信的财报大家可以看看,亏得多厉害,不考虑节操问题,奇安信可以说是国内绝对的安全一哥,他财表都那样了,其他厂商呢?大都在生死线上挣扎,生存压力那么大,哪里有心思考虑长期利益?所以人才培养什么的全都靠边站,业务推着人走,新人除非天赋异禀,家里有钱有闲自己研究,不然大概率一辈子只做很基础的工作,然而这个行业的从业者学历和家庭背景往往都不咋样,所以任何想从事这个行业的有志青年们要掂量掂量了,安全领域是计算机知识最杂,学习难度最大,学习曲线最陡峭的细分领域之一,没有公司投入大量资源培养你们,你们爬得出新手村么?
其他的就不一一列举了。
然后这些不景气的深层原因呢?我个人认为主要是:
1.对网络安全事故缺少惩罚机制,你要重判几个主管领导(无期徒刑,死刑),重罚几家出安全事件的企业(几个亿几十个亿),你看看这帮甲方老爷买不买安全设备。
2.商业模式不好,客户大多是实权体制内单位,剩下的也是行业寡头,运动员和裁判员做生意,必死无疑。
3.体制内单位,尤其是传统行业没有容纳网络安全人员的土壤(很多单位会每隔几年有意地把中层领导换到他不懂的领域去,防止形成小团体,更不会容忍一个长期存在的专业化网安团队)。
4.安全的学术中心不在中国,没有学术界支持,产业界就只是个跛脚鸭,我们大多时候一直在模仿美国,从技术到战略都被人牵着鼻子走,本身素质就不高,美帝的安全也不算什么很赚钱的细分领域,我们难道还指望赚钱么?