这些年，信息安全行业的现状！

这些年，信息安全行业的现状！

        前两天看到一个小视频，描述的是安全经理的年度预算被部门经理砍半了，安全经理带着小弟去部门经理那里讨要说法，部门领导提出了灵魂审问：“买了一堆安全设备放到数据中心，等设备涨灰安全策略都没有更改过”。我当时心里在想，是哪个不长眼的净说大实话，事情虽然可以被大家当作茶余饭后的段子消遣，但是也不免反映出部分的信息安全行业现状，晚上睡不着来聊聊信息安全这个行业的现状：

图片来源视频号•IT曼 图片来源视频号•IT曼 图片来源视频号•IT曼 图片来源视频号•IT曼

1.信息安全的从业者的技术水平不到位，无法驾驭该技术，制定出适合企业的信息安全策略；无法在安全性和可用性之间做出合理的平衡，原因当然有很多，最常见的就是没有充分理解、吃透企业的信息安全策略，对企业发展现状不了解，只从信息安全角度思考问题；安全需求分析阶段没有让业务、开发、网络、系统、数据库、中间件的同事参与，以至于后期开通策略畏手畏脚，瞻前怕后，这时默认策略的重要性就出现了，出了问题也是厂商的锅，也算是明哲保身了；

2.信息安全治理并不是自上而下开展的，执行管理层不清楚、不理解信息安全工作，认为信息安全每年花费大量的人力、物力、财力，成果确卓有成效，甚至安全事件更加层出不穷；所以每年对总裁室的大佬们（CEO，COO，CFO，CTO，CIO，CDO，CIO，CISO这些大佬们有多少在的信息安全治理委员会里）开展信息安全意识培训的重要性，不仅是让大佬们理解信息工作，更重要的是拿到金主们的安全预算，项目才是来年KPI最最扎实的背书，安全人员才能翻身做主把家当；

3.造成信息安全事件到底是安全技术不足的锅，还是安全管理的锅，信息安全管理和信息安全技术的边界到底要怎么鉴定，换个角度思考制定和执行策略算不算安全管理，稽核策略的执行情况包不包含技术；此时我又想到老司机（我前领导，操作风骚的一笔）忽悠各路审计、评估、检测、检查人员；懂得都懂信息安全从业者业务水平有多高，那么他的造假（忽悠）水平就有多高，【还记得监管检查前的那个夜晚吗？打印机纸盒里的纸还够用吗？】所以如果一个稽核者、审计者他的水平远远小于被检查者时，他的审计报告是否能够客观反映出企业的信息安全管理的“现状”？我一直是持怀疑态度的。当然了也要看合规的目的，这就扯远了，所以还是建议要入行的同志们不管做技术还是管理，基础知识还是要扎实啊，谨防被忽悠，要什么手表，哈哈！！

4.超乎想象，全球每年信息安全事件发生的原因信息安全技术事件只占20%，而由安全管理疏漏造成的安全事件却高达80%；唉！人永远是信息安全管理中最薄弱的一环，各种钓鱼攻击（电话、邮件、网页等等）、还有无处不在社会工程学；企业内部敏感数据泄露，哈哈！！！不瞒各位，90%是内部人员作案，古人云：日防夜防，“家贼难防”；有些技术大拿，以我现在的水平根本防不住啊，各种后门，说好听了叫做维护钩子，就算被发现也能搪塞过去，维护钩子也还算好，更有大拿离职前搞一些逻辑炸弹、蠕虫、木马等，可怕啊，只求HR不要招一些心里扭曲的人进来啊，瑟瑟发抖；

5.作为IT治理的1.5道防线，信息安全涉及IT管理的全生命周期，从物理环境安全、网络安全、主机安全、终端安全、数据和应用安全、业务连续性要求、软件开发安全、风险评估、安全认证（等保测评、ISO27001、PCI DSS、ITIL、ISO22301等等）、安全检测评估、内外审计、监管例行检查等等。“每天上班之前心里默念我在强监管企业上班”。看得出来信息安全工作之难，难于上青天；每天做不完的事情，搬不完的砖，各种报告更是要求从业者拥有贼高无比的文档功底。更可气的是，人员编制、预算严重不足，还到处得罪人；其它部门看到信息安全人员就像商贩看到城管，哈哈，有点夸张，但是话粗理不粗，也算是反映出信息安全从业者的窘状；

6.信息安全技术更新迭代太快，新概念层出不穷，这个行业真的是巨坑，大家慎入啊，真正意义上的活到老学到老，就算是你不想主动学，整个行业也会逼着你卷，别的行业如果是不进则退，哈哈信息安全从业者身后那可都是一道道鞭痕，都是血与泪的印记。而且类似于CISSP、CISA等从业者证书那可都是天价啊，比如CISSP，抛开备考的时间成本，培训费和考试费就需要1万5人民币左右，还不包括补考的费用；有人说考证书没有，那我只能说考国内的证书确实没啥鸟用，有本事你考考国际上的证书！

7.半夜起来处理安全事件（还未升级成事故），溯源！被吵醒睁眼的一瞬间心里一万个草泥马从脑海中飘过，想起曾经坐在堡垒机前面查一个月前的某个操作时；坐在ECC里看着一台台设备绿灯变成红灯时，领导断网了站在你旁边问你啥时好时；咦！压力山大，往事不堪回首，心里不强大的这个行业还真的不适合。

8.自从2017年以来国家层面陆续出台了《网络安全法》、《数据安全法》、《密码法》、《个人信息保护法》、《审计法》、《数据出境安全评估办法》等等法律法规，每个行业还有标准规范，企业内部规章制度。怎么说呢这些就是信息安全从业者身上的几座大山，越过去了就是大佬，可以变成手中的利剑，越不过去哈哈！！！就是扁担上睡觉 ———— 难翻身！！！

9.信息安全的每一个细小的领域，基本上就能养活一个公司，如果该公司领导有远见、内幕、关系，那么不得了不赚钱都难；尤其是这两年信息安全厂商如同雨后春笋般拔地而起，每次来交流信息安全厂商销售、市场、售前工程师一个个春光满面，这一看就知道捞了不少油水啊；对于信息安全从业者来说如何选择适合的安全产品，也是一个基本素养，当然选与不选之间有太多不可控因素，比如说关系户（在这方面吃过太多亏，一言难尽）！引用《甄嬛传》熹妃的一句话：“别让皇上在新欢和旧爱中感觉力不从心”。你品，你细品！！

远之作品

2022年8月19日