网络安全人才缺口巨大为何招聘却寥寥？

网络安全人才缺口巨大为何招聘却寥寥？

现状概述

2020 年我国网络空间安全人才数量缺口超过了 140 万，就业人数却只有 10 多万，缺口高达了 93%。这一数据揭示了行业发展的严峻形势：一方面是国家对网络安全的战略需求日益迫切，另一方面是实际从业人员的严重不足。这就引发了两个核心问题：为什么网络安全行业这么缺人？明明人才那么稀缺，为什么招聘时招安全的人员却没有那么多呢？

一、为什么网络安全行业这么缺人？

1. 政策背景驱动

自从斯诺登棱镜门事件曝光之后，网络空间成为现代战场第一战场，网络安全能力也被各国列为了必要的发展战略。 上到政府、下到企业、个人，大家对网络安全的关注迅速提升。公安部推出了网络安全等级保护制度（等保 2.0），网信办推出了《网络安全法》等诸多法规。随后，《数据安全法》和《个人信息保护法》相继出台，构建了更严密的法律框架。并且对政府网站、政务系统到能源、电力、金融、医疗、教育、军工等所有行业都提出了规范制度，明确了要求。 解读一下：所有行业对于'网络安全'的规范，如果不按照规范实施，没有保护好自己的一亩三分地，甚至出现被入侵事件的话，相关单位是要被惩罚的、相关领导要被问责的、相关人员甚至要追究刑事责任的。这种强监管环境迫使各单位必须建立安全团队，从而产生了巨大的用人需求。

2. 市场需求爆发

政策、经济、技术对人才的需求量都极大的提升了。 为了合规和避险，要具备防范能力，甲方开始组建安全部门。过去很多公司认为安全是锦上添花，现在则是生存底线。 甲方迅速扩大，有市场、能赚钱，乙方开始拓展安全服务。安全厂商需要大量的售前、售后、交付人员。 万物互联，各大巨头开始开发安全产品。云安全、物联网安全、工控安全等新领域不断涌现，需要跨领域的复合型人才。

3. 行业现状与教育滞后

2020 年网络空间安全人才数量缺口超过 140 万。 人才输出最大的来源是高校。但是网络安全作为新兴技术，现有体质的教授虽然理论、基础非常杂事，但是对于安全的应用和实践经验非常缺乏。在老师们的大学时代，有几个人可以拥有一台自己的电脑？ 所以，有能力且有应用实践经验的老师，非常缺乏。高校课程往往滞后于技术发展，教材内容陈旧，缺乏真实的攻防演练环境。学生在校期间接触不到真实的攻击流量和防御场景，导致毕业即失业，或者入职后无法上手。

二、为什么招聘时招安全的人员却没有那么多呢？

1. 高校教育与产业脱节

很多招聘方大都面向的是高校毕业生，但是据了解绝大多数的网络安全专业的毕业生并没有进入这个行业，各大院校的网络安全专业仍然面临着专业对口率低的窘境。 导致这个现象的主要原因是大学教育更重视的是理论知识，而在实践知识的传授上有所欠缺。学校里面的专业课拥有的是专业的教科书、丰富的理论知识，但是却缺少了网络安全的核心内容——具有说服力的实践操作。 很多老师上完课之后就吩咐一句，自己下课多练习，并没有把练习落到实处。老师教授的内容通常都需要学生去深度挖掘、积极操作，才可能获得相应的能力，而很多学生都忽略了这一点，要么就是有拖延症、要么就是想混一个学历拿到毕业证，然后再混一个工作。 殊不知，这其实是非常不现实的，没有实践能力，毕业证明就是纸上谈兵！ 解决这个问题最好的办法就是提升学生的实践能力。有一个关于黑客的电视剧《亲爱的热爱的》里面虽然都是训练打 CTF 比赛的，但是也和网络安全大同小异。里面的人都是集中封闭式训练，连休息时间也少的可怜。所以想要拥有强大的实战能力，还是需要像他们一样集中训练。一个好的培训机构就是一个比较好的选择，当然选择哪个培训机构也是一门学问要选择而真正教网络安全知识的，有自己靶场进行实战的。否则最终肯定是竹篮打水一场空。

2. 企业安全意识与成本考量

很多小企业之前根本没有安全意识，觉得网络安全不够重要，网络安全的重要性没有得到重视。 而近几年来，政府、企业、个人，都对网络安全的关注大大提升！就在今年的 3.15 晚会上，还设置了一个信息安全实验室，进一步提升了我们对网络安全的关注度。国家近年来也对网络安全宣传作出了重要指示强调，举办网络安全宣传周、提升全民网络安全意识和技能。 网络安全方面的岗位才受到重视不久，正是由于学习并熟知这一专业的人才稀缺，这一人群就业的福利和薪资水涨船高，可很多人其实并没有与高薪水适配的能力，小的企业大多负担不起这方面的专业人才，也就不了了之。而大企业虽负担得起，但要求的能力相应也就越高，但是往往采取的都是内部互推的形式，或者到专业机构直接聘请优秀毕业学员，保守挖掘人才，而不会选择大海捞针。

3. 岗位细分与招聘渠道局限

关注的安全岗位类别少。 如果你只关注了安全岗位的某一类，那么你会发现招聘的确实比较少。但是安全是一个非常大的分支，有很多职位分化。等保测评、渗透测试、安全研究、安全产品售前、安全产品售后、安全产品研发等等，都有着比较多的就业岗位。 很多公司都在招人，不过和第二条所说一样，喜欢'内部消化'，所以在一些招聘平台上看到的岗位就比较少。这印证着这行业还是需要有人辅助、需要人脉资源！那么，一些走了'捷径'的人就更加有优势，他们有老师推荐、有同学内推。

三、技术技能要求与职业发展

1. 核心技术栈

网络安全涉及的技术栈非常广泛，主要包括但不限于以下方向：

• Web 安全：熟悉 OWASP Top 10 漏洞原理，掌握 SQL 注入、XSS、CSRF 等常见漏洞的利用与修复，熟练使用 Burp Suite、SQLMap 等工具。