当网安专业的毕业生找不到网安的工作——一个行业观察者的冷思考又是一年毕业季。朋友圈里各地高校网安学院的毕业典礼照片刷了屏。校长寄语、院长嘱托、优秀毕业生代表发言一派朝气蓬勃的景象。但如果你翻到这些照片下面点开那些没有出现在官方镜头里的话你会看到另一个版本的故事。“投了四十多份简历拿到三个面试两个是销售岗一个是技术支持。” “我们班三十个人真正在做安全的一只手数得过来。” “面试官问你会做漏洞复现吗我说学过理论。他说那你搭个环境把这个CVE高危漏洞复现出来试试。我半天没搭起来。”这不是段子。而就在同一时间安全公司的技术负责人群里却是完全相反的焦虑“招一个能上手的中级渗透工程师面了八个没有一个过技术面的。” “今年招了四个应届生带着项目时间培训了三个月给客户做安全交付根本就支持不了。” “不是我们不要应届生是确实用不了。”一边是找不到工作的毕业生一边是招不到人的安全公司。需求很大匹配很少。这个市场到底出了什么问题我做了十三年安全创业也参与过一些高校网安学科建设的交流活动。站在产业界和学术界的交汇点上看到了太多微妙但重要的错位。这篇文章想坦诚地谈一谈我的观察。一、十年拓荒到千亿产业人却不够用了2015年前后网络空间安全成为一级学科。那几年安全人才极度稀缺一个会挖漏洞的应届生还没毕业就被抢光起薪轻松过万。CTF打得好直接走特殊通道免笔试进大厂安全部门。十年过去了。全国开设网络空间安全相关专业的高校超过两百家每年毕业生规模在两万人以上。与此同时中国网络安全产业规模已逼近千亿。数字看起来很好——千亿市场百万缺口两万毕业生不该是供不应求吗但如果你拆开看缺口和供给之间有一道很深的裂缝。百万缺口中绝大多数是复合型、实战型的中高级人才需求。初级执行岗位的需求量并没有想象中那么大。换句话说缺的不是刚毕业的学生缺的是能干活的人。这跟在其他行业看到的情况其实一样——医院缺的是能主刀的医生不缺刚毕业的医学生律所缺的是能独立办案的律师不缺刚拿证的实习律师。安全行业也不例外。二、产业正在发生什么结构性变化在进一步分析之前有必要把产业侧的变化讲清楚。因为如果你不理解安全行业这几年发生了什么你就理解不了为什么招不到人和找不到工作会同时存在。2016年到2020年前后是中国网络安全产业的一个快速上升期。《网络安全法》实施等保制度落地关基保护条例推进。政策的密集出台让安全从锦上添花变成了刚性支出。那几年只要你有团队、能交付就不愁没项目。但接下来的几年风向变了。首先是宏观调整。政企客户的IT预算整体趋紧安全预算作为其中的一部分同样受到挤压。头部安全公司的营收增速普遍放缓有的甚至出现下滑。当行业龙头都在过紧日子中小企业的生存压力可想而知。其次是AI的冲击。这是我要重点谈的。AI对安全行业的影响不是替代安全工程师这么简单。它带来的是一种结构性的重塑。过去一个安全公司的梯队大致是这样的顶部是技术专家中间是骨干工程师底部是一大批做基础执行的初级员工包括大量的应届毕业生。这是一个经典的金字塔结构。底部足够大可以容纳大量新人。很多行业前辈回忆起自己入行的时候就是从最基础的信息收集、日志分析、漏洞验证开始干的——那时候有大量的初级工作等着人去做。但AI正在吃掉金字塔底部。那些需要人来做的基础执行工作——端口扫描、漏洞验证、日志分析、报告初稿——AI做得更快、更稳定、成本更低。以前可能需要几个初级工程师花一天做的基础信息收集现在一个AI Agent加上一个中级工程师review半小时就完成了。这意味着什么意味着安全行业的岗位结构可能正在从金字塔转向纺锤形——底部在收缩中部在膨胀。这对毕业生的冲击是巨大的。过去你可以从一个初级岗位入门边干边学用两三年成长为中级工程师。现在初级岗位在快速减少。企业要么招能直接干活的中级人才要么用AI加上少量高级工程师完成以前需要一个团队才能完成的工作。应届毕业生恰好卡在最尴尬的位置——既达不到中级岗位的要求又要跟AI拼性价比。这是一个从未有过的新局面。但AI不止是一面砸饭碗的刀。它也是一把梯子。对学习能力强的学生来说AI是最好的私人教师和编程助手。以前学一门新技术可能要翻一个月的文档现在跟AI对话就能快速掌握核心概念。以前写一个漏洞利用脚本可能要调试一整天现在AI帮你起头、帮你纠错、帮你优化。学习的门槛正在被AI拉低学习的速度正在被AI拉快。问题在于你是用AI来替代思考还是用AI来加速学习如果是前者那你就是在帮企业训练替代你的理由。如果是后者你就是在武装自己让自己更快地跨越初级门槛进入AI替代不了的中高级领域。这个区分可能决定了一个安全从业者未来十年的职业走向。三、行业前辈们的非线性成长没有一条路是标准答案聊完了产业变化再聊一个和毕业生切身相关的话题在这个行业里人是怎么成长起来的如果你翻一翻安全行业里那些现在被称为大牛、前辈的人的职业履历你会发现一个很有意思的现象——几乎找不到两个人的路径是一样的。有的人在2008年、2009年就开始接触渗透测试甚至更早的老前辈们那时候国内连长期安全稳定运营下去的安全社区都没几个。他们靠翻英文资料、泡论坛、反复在自己搭的环境里练手一点点硬啃出来的。后来赶上移动互联网爆发各大互联网公司开始组建安全团队他们成为第一批被高薪挖进大厂的安全工程师完成了从野路子到正规军的转变。有的人是在乙方安全公司一路做上去的从最基础的漏洞扫描做起一路做到攻防演练的项目负责人。打过几百家客户的真实系统踩过上千个坑对什么样的系统容易出什么问题有一种肌肉记忆式的直觉。这种人的市场价值往往远高于他的学历背景所能预测的。还有的人走了一条更少有人走的路——从甲方跳到乙方从大厂跳到初创公司从技术转到产品从产品又回到技术。每一次转换都放弃了一些东西但也获得了别人在同一轨道上跑十年都获得不了的视野。等他们开始创业或带团队的时候这种跨界的积累价值就体现出来了。这些非线性的成长路径告诉我们一件事安全行业不需要每个人都走同一条路。但有一个共同点每一个走到今天的前辈都在某个阶段有过一段高强度的自我加速期——那段时间里他们的成长主要不来自课堂来自实战。这无关学历无关出身。985科班出身的人如果没有经历过高强度的实战锤炼照样会被市场淘汰。大专学历的人如果在某个技术方向上持续深耕照样能成为团队里不可替代的技术担当。这个行业很残酷也很公平。所以对于在校学生来说重要的不是我这四年能不能学到足够的东西——客观地说任何学校的课程都不足以让你毕业就能独立干活。重要的是我这四年有没有建立起自我加速的能力。一旦你学会了如何让自己快速成长后面几十年的职业生涯都是你的加速赛道。四、安全行业需要什么样的人一个认知升级的需求刚才讲的是岗位结构的变化还有一个更深层的趋势值得关注对人本身的素质要求也在变化。十年前你掌握一个别人不会的工具就是竞争优势。五年前你有一套别人没有的漏洞库就是技术护城河。但在当下工具在拉平Payload在泛滥知识在贬值。GPT可以生成渗透测试报告可以写漏洞验证脚本可以分析代码中的安全问题。当知道什么不再稀缺怎么想变得更重要。真正稀缺的是你分析问题的框架——面对一个陌生系统你知道从哪里入手用什么方法去拆解它。是你判断风险的直觉——你看一眼架构图就能感知到哪个模块最薄弱。是你理解业务的能力——你不仅知道这里有一个SQL注入你还知道这个注入在企业业务链条中的位置以及它可能引发的连锁反应。而这些软能力恰恰是学校教育最难覆盖的部分。它们不是靠听课获得的是靠上手做、靠犯错、靠复盘积累出来的。一万小时的刻意练习一万小时的真实对抗。那么问题来了如果一个网安专业的学生四年时间主要花在听课、考试、拿学分上他的上手时间有多少他的犯错机会有多少他的复盘经验有多少答案可能不太乐观。但这不是学生的错。五、课堂和战场的距离说实话很多高校的网络安全教学确实面临困境。这种困境执教者自己比谁都清楚。教材更新慢于产业节奏这是一个普遍问题。网络安全的半衰期极短——一个漏洞类型的生命周期可能只有两三年一个攻击技术的迭代周期更短。但一本教材从编写到审定到出版周期往往需要两年以上。老师拿着两年前的教材讲三五年前的案例面对的是将要进入一个和教材完全不同的现实世界的学生。资源投入和实际效果之间的落差也不少见。很多高校在网络安全学科建设上投入了真金白银——建实验室、买设备、搭靶场。但如果这些资源建成后学生的使用频率不高或者使用深度不够就变成了为建而建。这不是某一个人的问题更像是一个系统性难题建设的评估标准和使用的效果评估之间存在错位。更根本的是教师们的考核压力确实很大。评职称需要论文需要项目需要奖项。同时还要承担大量的教学工作。在这种多重要求下让一位教师再额外花时间去企业实践、追踪产业前沿、更新教学内容——即便他个人有这个意愿时间从哪里来我不是在批评谁。我只是想说当培养出产业需要的人才不是评价体系的核心权重时培养学生这件事在很大程度上依赖于老师的个人责任感。有些老师做得很好——他们自费找资源、周末带学生打CTF、主动联系企业建立实习通道。他们值得最大的敬意。但个人的力量始终有限。当系统性的激励方向和个人理想不完全一致时我们期待的很多改变就难以规模化地发生。六、高校和产业之间到底缺什么这些年高校和企业之间的合作很多停留在表层。最常见的模式是签一份战略合作协议挂一块校企联合实验室的牌子领导们拍一张握手的照片。然后每年请企业的人来开一两次讲座派几个学生去企业参观一天。仅此而已。这种合作模式对双方来说成本都很低。但效果也很有限。学生听了一次讲座记住的可能只是某个安全大牛的传奇故事对实际能力的提升几乎为零。企业派了一个人来讲了两小时既没筛选到合适的人才也没留下任何可持续的合作路径。更深一层的合作应该是怎样的行业内其实也有不少值得参考的做法。一些高校在某个学期把一个完整的Web安全课程项目化——整个学期的教学内容围绕着一个真实的渗透测试任务展开。从信息收集到漏洞利用到报告撰写每一步都有业界的工程师参与指导。学生的期末成绩不是一次闭卷考试而是一份真实的渗透测试报告加上一次面对企业导师的答辩。这门课的老师说备课量是普通课程的三倍。但他愿意做因为学生上完这门课眼神都不一样了。我身边也有不少例子。一些安全公司工作多年的技术骨干和技术管理者被高校聘为兼职教师甚至是特聘教授。他定期去学校上几节课课程内容全部来自他那段时间处理的真实安全问题。学生交了学费上到的是昨天的实战经验。这种教师不是一年来一次讲座的客座教授而是每月都在教学现场的编外全职教师。这两种模式都比挂个牌子拍个照辛苦得多。但效果也实在得多。七、毕业生的另一条路说到这里可能会有人觉得我在唱衰科班教育推崇自学成才。完全不是。我自己就是从行业早期成长起来的见过太多前辈和同行的职业路径——他们来自各式各样的背景有的科班出身一步步成为技术总监有的是半路出家靠自学杀出一条路有人从大厂安全部门积累几年后出来创业有人从乙方跳到甲方又回到乙方。这个行业最迷人的地方恰恰在于路径的多样性。学科教育提供的是系统性的知识框架、有验证的课程体系、有资质的师资团队。这些价值是自学无法替代的。哪怕是那些自学能力强到令人羡慕的安全专家当他们回头看自己的成长路径时往往也会说如果当时有人系统地教过我XX就好了。所以问题不在于上学还是自学而在于学校教的和产业要的之间怎么找到更有效的对接方式。对在校学生而言一条比较现实的路径可能是第一尽早开始实战。大一学好编程基础大二就可以开始做漏洞复现。不是做一两道CTF题而是从头到尾复现真实的CVE漏洞——自己搭环境自己写利用脚本自己写分析和修复报告。四年的时间如果能完整复现二十到三十个不同类型的真实漏洞动手能力就上了一个大台阶。第二用好AI但不依赖AI。让AI帮你加速学习而不是替你完成作业。遇到不懂的技术问题先用AI辅助理解但最终要自己动手验证。记住——AI生成的代码你必须自己读懂、自己改好、自己测试通过。第三找到一个技术方向深入。不要什么都学。Web渗透、二进制安全、代码审计、云安全、移动安全、威胁情报……选一个你最有热情的方向深耕下去。这个行业的深度远比你想象的深。在任何一个方向上做到精通都不愁出路。第四尽早接触产业。暑假不是用来玩的是用来长本事的。去安全公司实习去做真实的项目去面对真实的客户。哪怕实习工资很低你挣到的也不是钱是从入门到能干活的加速器。八、AI时代的双刃剑对从业者和教育者的共同挑战前面提到AI正在吃掉金字塔底部。这里我想再展开聊聊AI给这个行业带来的两面性。对从业者而言好消息是AI让高手的生产力爆发式增长。以前需要一周完成的技术评估报告现在可能一天就能搞定。但坏消息是高手因此变得更稀缺——一个能用好AI的高手生产力远超一个普通工程师。企业更愿意花高薪请一个AI加持的高手而不是用同样的钱请三个普通工程师。这在一定意义上加剧了强者愈强、弱者愈弱的马太效应。对刚入行的年轻人来说这里有一个很微妙的陷阱需要警惕。如果你在工作中学到的第一件事就是让AI帮我做那你可能永远也学不会为什么这么做。一年以后AI升级了你还停留在原地。但如果你先让自己理解原理再用AI加速执行那AI就是你的翅膀而非拐杖。这个道理听起来简单但在真实的职场环境里实践起来很难。因为当你的主管催你快点出活、当你的同事都用AI几分钟搞定而你还在手动研究时先用AI应付过去的诱惑非常大。一个人能不能迈过初级门槛、进入AI替代不了的中高级领域很大程度上就取决于他在这种时刻的选择。对高校而言AI带来的挑战更为复杂。如果教学方法不改变学生可能会用AI完成作业、生成论文、甚至在考试中作弊——这会让能力认证变得更加困难。但如果善用AI它可以成为教学中最强大的辅助工具——为学生提供即时的答疑解惑、个性化的学习路径、无限的练习机会。关键不在于AI本身而在于使用方式。一些高校已经开始尝试在教学中有意识地引导学生使用AI。比如一门安全开发、代码审计课程的教学设计变得很有意思老师允许学生在课堂上随时使用AI编程助手但要求学生在最终答辩时必须能够逐行解释AI生成的代码讲清楚每行代码的逻辑、潜在风险和优化方向。这样一来AI不再是学生逃避思考的工具反而变成了锻炼理解能力的好帮手。这样的探索比简单地禁止或默许更有价值。九、几点务实的建议基于这些年的观察我想提出几条建议。不追求大而全只希望能被认真考虑。第一本科阶段做一次分类分流。不是每个网安专业的学生都适合走学术路线。可以考虑在大二下学期做一次分流工程方向面向产业强化编程、工具使用、漏洞实战培养能直接进入产业的人学术方向面向深造强化数学基础、密码学、形式化方法目标读研读博交叉方向面向多元出口安全法律、安全管理、安全产品不同方向的课程体系、考核方式、实习要求应该有不同的设计。统一培养方案下出来的学生千篇一律分方向培养才能让不同类型的人找到适合自己的路。第二把真实漏洞复现写进培养方案。一个网安专业毕业生的基本功应该包括能从公开漏洞数据库中自主选择目标能独立搭建受影响环境能独立完成漏洞复现能编写检测规则和修复建议能撰写完整的技术分析报告如果一个学生毕业时没有独立复现过一定数量的真实漏洞那他在动手能力上的训练可能是不够的。第三建立真正有效的企业导师制度。不是一年来一次的讲座嘉宾而是每月都在教学现场的兼职教师。三到五名来自产业界的工程师稳定地参与教学。学校出课时费企业出人。对学校而言一次几千块钱的成本换来了产业一线经验的持续注入。对企业而言提前一年就接触到了潜力学生招聘成本和培训成本都可能大幅降低。第四给老师的产业参与留出制度空间。教学需要看论文、看项目但教安全的人同样需要看产业。能否在教师考核中加入产业实践的维度——比如每年在企业挂职的最低时长、教学案例中真实产业案例的最低占比、学生产业就业的跟踪指标这些维度不需要很大的权重但只要有就能给那些愿意花时间做产业落地的老师一个制度上的支撑。第五投入的经费多投人少投物。一个上百万甚至几百万的攻防靶场如果建了不使用不如把这些资源用来送一批学生去安全公司深度实习六个月、请多位产业专家到学校上一个完整学期的课、支持学生参加五十场安服项目或攻防演练。投资的物会折旧投资的人会增值。十、最后的话几年前我第一次参加高校网安学科的交流活动时坐在满场的学者中间听着那些前沿理论术语和高规格人才称号觉得自己像是一个误入学术殿堂的野路子创业者。几年过去了我依然觉得自己是野路子。但我不再觉得慌张了。因为我越来越清楚地看到学术圈和产业圈之间那条鸿沟的两端其实都在焦虑。学者们焦虑的是学科评估、科研产出、人才帽子。产业界焦虑的是业绩增长、客户交付、人才缺口。两边都很忙都很累都在自己的评价体系里拼尽全力。但两边都很少真正停下来认真地看一看对方的世界。学者们的研究成果需要被翻译成产业能理解、能落地的方案。企业家们的实战经验需要被结构化、被提炼、被传承回到课堂。这两件事本身就是一个巨大的生态位。而我想做的就是在鸿沟上搭一座有人真正会走的桥。不是那种签完协议拍完照就锁进档案柜的桥。是有人摔过、爬起来、继续走的桥。这座桥的一头连着教室另一头连着战场。桥上的行人是我们的学生。他们不需要在两套评价体系里站队——到底是做研究高级还是做产业有前途。他们需要的是在课堂上学到真正能用得上的本事在实习中遇到真正关心他们成长的导师在毕业时拥有真正自由的选择。去科研、去产业、去创业、去甲方都是堂堂正正的路不是退而求其次的选项。对说了这么多回到最根本的问题网络安全这个行业有没有前途有而且很大。千亿市场还在增长安全的需求只会越来越多。有没有足够的岗位有但和正在消失的初级岗位不同在增加的是需要更高认知能力的中高级岗位。能不能顺利进入这些岗位能但这需要学生、学校、企业三方都迈出自己舒适区的一步。学生需要更早地开始动手学校需要更实在地对接产业企业需要更有耐心地参与人才培养。这是一个可以被解决的问题。只是目前三方都还没有使出全力。希望下一次毕业季我打开朋友圈时能看到更多这样的对话“恭喜你拿到offer了去哪家” “去XX安全做攻防演练的方向。他们去年就在我们学校带过项目算是已。学习资源如果你也是零基础想转行网络安全却苦于没系统学习路径、不懂核心攻防技能光靠盲目摸索不仅浪费时间还消磨自己信心。这份 360 智榜样学习中心独家出版《网络攻防知识库》专为转行党量身打造01内容涵盖这份资料专门为零基础转行设计19 大核心模块从 Linux系统、Python 基础、HTTP协议等地基知识到 Web 渗透、代码审计、CTF 实战层层递进攻防结合的讲解方式让新手轻松上手真实实战案例 落地脚本直接对标企业岗位需求帮你快速搭建转行核心技能体系这份完整版的网络安全学习资料已经上传CSDN【保证100%免费】**读者福利 |******[CSDN大礼包《网络安全入门进阶学习资源包》免费分享02 知识库价值深度 本知识库超越常规工具手册深入剖析攻击技术的底层原理与高级防御策略并对业内挑战巨大的APT攻击链分析、隐蔽信道建立等提供了独到的技术视角和实战验证过的对抗方案。广度 面向企业安全建设的核心场景渗透测试、红蓝对抗、威胁狩猎、应急响应、安全运营本知识库覆盖了从攻击发起、路径突破、权限维持、横向移动到防御检测、响应处置、溯源反制的全生命周期关键节点是应对复杂攻防挑战的实用指南。实战性 知识库内容源于真实攻防对抗和大型演练实践通过详尽的攻击复现案例、防御配置实例、自动化脚本代码来传递核心思路与落地方法。03 谁需要掌握本知识库负责企业整体安全策略与建设的CISO/安全总监从事渗透测试、红队行动的安全研究员/渗透测试工程师负责安全监控、威胁分析、应急响应的蓝队工程师/SOC分析师设计开发安全产品、自动化工具的安全开发工程师对网络攻防技术有浓厚兴趣的高校信息安全专业师生04部分核心内容展示360智榜样学习中心独家《网络攻防知识库》采用由浅入深、攻防结合的讲述方式既夯实基础技能更深入高阶对抗技术。内容组织紧密结合攻防场景辅以大量真实环境复现案例、自动化工具脚本及配置解析。通过策略讲解、原理剖析、实战演示相结合是你学习过程中好帮手。1、网络安全意识2、Linux操作系统3、WEB架构基础与HTTP协议4、Web渗透测试5、渗透测试案例分享6、渗透测试实战技巧7、攻防对战实战8、CTF之MISC实战讲解这份完整版的网络安全学习资料已经上传CSDN【保证100%免费】**读者福利 |**[CSDN大礼包[《网络安全入门进阶学习资源包》免费分享 ]文章来自网上侵权请联系博主