今年的国家网络安全宣传周上，网络安全人才问题备受关注。《网络安全人才实战能力白皮书》数据显示，到 2027 年，我国网络安全人员缺口将达 327 万，许多行业面临着网络安全人才缺失的困境。

但与此同时，在经济发展压力下，不少企业都在降本增效。一边是人才紧缺的呼声高涨，一边却是急切地优化裁员，为何会出现这一看似矛盾的境况？本期话题我们以“如何看待我国网络安全人才的缺口矛盾"主题，就相关问题展开讨论。

有专家表示，从企业方面来讲，当前网络安全业务份额越来越重，但是招到匹配和适合的网络安全技术人才却并不容易，这一观点大家有何高见？

A1：

IT最不缺，运维最不缺，缺的是懂相关法律法规能协调能做等保的管理型人才。

A2：

不差钱的企业安全团队各司其职，差钱的企业不应该挑三拣四，网络安全应该区分技术和管理，应该和其他IT团队分开，我遇到的匹配都是要安全人员全能甚至要去做桌面运维，匹不匹配和企业管理者的理解相关。

A3：

了解业务，有管理能力、技术能力、价格合适的人肯定不容易。

A4：

校企割裂严重，即使有了科班专业，教育体系下的网络空间安全还是以CTF+密码学为主。

A5：

安全需求本身就短期内从低需求从合规驱动到现在价值驱动，人员能力积累时间短。

A6：

原因一方面是人才供给不足 ，更重要的方面是随着行业的发展，人才需求逐步向专业能力更强、招来既能独挡一面的方向发展，具备这类能力的人才始终是企业争抢的对象。

A7：

对于普通企业，网络安全业务份额加重是因为法律法规强制要求，并不是自身业务需要，口头重视，实操轻视，造成的结果是岗位薪资与职能权重背离实际要求。另外因为网络安全业务属于纯技术岗位，即使是直属管理岗位仍然需要有强大的技术背景，不然就是信口雌黄吹牛骗钱，花大钱却仍然不能给公司带去隐性利益。

Q：如何看待行业人才缺口巨大，但近来又不时传出裁员消息这一矛盾？比如在溯源西北工业大学攻击事件中立功的某安全大厂却在大幅裁员

A1：

安全是花钱的部门，公司业绩不善，第一个裁员的是花钱部门。

A2：

我觉得所有人才重大缺口都是培训机构的噱头, 现实中, 每个行业都有人才缺口。

A3：

渗透攻防，公司里面会网络的IT都会，缺口是管理型人才。

A4：

总是在说裁员，不应该成为打工人苟活的理由，还是应该勇敢，不被PUA，尽力提升，做好工作。即使遇到了裁员，也可以拿补偿再继续找下一份工作，没有哪个公司会养一个人一辈子。

A5：

安全是增值服务，无法产生直接价值，如果没有强制要求很多公司根本没有做这个的想法，这几年各个行业都在下行，裁的首要目标就是产生不了价值的。

A6：

裁员一部分原因还是因为大环境的问题，经济下行的趋势下，各行业还是以业务发展为重点。安全方面的投入并不能快速带来直接效益，间接造成安全企业业务收入下降，被迫裁员。

A7：

某大厂和西工大这个，目的还是公司形态的商业需求。他们本身裁员和这个事件关联意义不大。目前头牌的很多安全公司，都是年年亏损的。单看某个厂商的盈亏和人员流动，也无法总结整体需求。毕竟很多公司不靠台面项目营收。

A8：

行业人材缺口大是因为我们并没有成体系的培养机制，大部份人员都需要以老带新师徒授业，同时时间与项目实战经验的积累对这个人材培养有着很大的影响，因为网络安全从来都不是一个点，而是整个面。对于安全企业来说资本盈利是第一位的，人员技术能力、培养梯队、长期规划、战略布局这些都不是重点，所以裁网络安全这样的技术人员与裁一个工地搬砖工没有本质区别。

Q：有调研发现，网络安全人才本科学历占比在下降，大专及以下学历占比正逐步提升，那大家在用人时是更看重学历还是能力？二者该如何协同考量？

A1：

本科学历占比在下降，大专及以下学历占比正逐步提升：这个感觉是相反的吧 现在看招聘要求大部分本科跟两年前大部分专科就OK。

A2：

有的大专，比如上海兴韦学院 十几年前就有信息安全专业了， 术业有专攻 无关学历， 安全圈认可的不是学历而是CISSP。

A3：

做渗透搞攻防的话，学历影响不大，实力说话。

A4：

看不懂这个比例，是不是大量的人涌入了安全行业。能力是很重要，但是大多数企业还是看学历，学历基本能反映人的综合素质，是个偷懒的招人方法。

A5：

能力是重要，但是学历是硬条件，遇到越来越多拿学历卡人的事情，企业收紧人力，拿学历，名校卡人最简单，不重视学历就是给自己增加难度。

A6：

现在企业招新员工为了减税，新员工筛选基本都看学历，从社会层面扭转这个看法有难度。

A7：

本科占比不是逐年提升吗？现在大专越来越难找工作了，科班出身的越来越多。

A8：

A9：

会不会培训班出来的人太多了，这些人没有实践经验，所以被应聘上也很难做事。

A10：

去年面了个培训班出来的，连基础协议都搞不明白。

A11：

安全岗位、非安全岗位，其实本质上没有区别。牛逼的应届生进来进行培养，社招进来为了企业的鲶鱼效应，高学历的进来发安全研究Paper增加企业宣传力。

A12：

我认为学历始终是头部企业的敲门砖，也能从另一方面证明应聘者的学习能力。

A13：

大环境不景气的情况下，企业"开源增效"，只能花更少的钱做更多的事。所以选人范围会缩小: 同样的能力，要干更多的活，要花更少的钱。这时候就会增加技术人员个人技术能力比重的考量。技术>文凭会慢慢成为一种趋势。这种趋势的目的还是降低用工成本。简单来说要"性价比"。学历，年龄，经验。会成为薪酬谈判的筹码。本身卡线的情况会比较放宽得看公司实际情况。

A14：

如果大环境不景气，业务都没了，还要那么多边缘（安全）干啥，缺口大，对应被裁的人也就越多。企业想用实习生的待遇招到CSO的人，可不缺口大么？现在大学生太多了，一个岗位能收到几千份学历，不卡学历卡啥，有没有真能力，又不是一次面试就能完全看出来的。

A15：

本科现在也是基本没什么优势了吧，一堆研究生满地跑的时代。

A16：

我上一家，现在招人要211、985研究生。

A17：

真不见得，大学教育和实际工作关系不大。尤其是看操作的安全行业。

A18：

不应该养成文凭卡线的习惯，否则本科以后拿专科的钱，博士拿本科的钱。有的受。

A19：

我认同，单单讨论学历只是引起网络舆论的字眼，或者可能目前大部分企业招的安全还停留在渗透测试、红蓝攻防、安全运营、编写工具脚本EXP。所以关于学历的讨论从另一个角度来说，做这些实操性较强的工作内容的安全工程师有没有必要卡在本科学历。

A20：

现在招人经常遇到专科或者本科非安全甚至非计算机专业的人，学生阶段自学渗透的，尤其爱好挖洞的人，攻防能力一般都还可以，但企业不一定喜欢招，因为不确定招来会更安全还是更危险，个人见解。

A21：

学历能证明你的基础学习能力，只看学历选人是HR在招人时性价比最高的执行方法，但不代表招到的人真的能干活，反正HR不管干不干活，招到人填坑就完成它的工作任务KPI。

业务部门实际更需要能干活能接任务能扛活的人，而不是面对学历漂亮但工作不行需要重新培养的白板，因为这个白板可能稍微能点能力就会转职跳槽升级去，业务部门一场空。技术岗位招聘切忌走形式搞量化指标，实战才能证明能力是否满足岗位要求。

A22：

我一直强调的是高端岗位，安全一定要要有行业属性和全局的能力 ，这个是安全稀缺人才的关键，但路会变窄。

A23：

什么样的叫高端呢？除了研究院，安全公司实验室等，一般都用不到吧，而且甲方基本上用不到高端安全人才。

A24：

甲方永远追求的是标准化、流程化、自动化。这事你找一个牛逼的挖漏洞的人，他未必愿意干。

A25：

创业公司反倒不是很看重学历，但是他们需要网络安全岗位。

A26：

创业公司更看重学历、证书，很多创业公司，跟政府有协议，人才引进协议，会有补贴，然后就成了招人的强制要求。

A27：

创业公司不看重学历，看重技能和证书，解决问题才是第一核心生产力。

A28：

大学从来不是教一项具体技术的，大学学的是视野和思维方式，高端人才是得有大学学历的。低学历人才更关注一项具体技术，比如渗透测试，这些都是培训机构擅长的。

——————————————————

本期精彩观点到此结束啦~此外，FreeBuf会定期开展不同的精彩话题讨论，想了解更多话题和观点，快来扫码免费申请加入FreeBuf甲方群吧！

加入即可获得FreeBuf月刊专辑，还有更多精彩内容尽在FreeBuf甲方会员专属社群，小助手周周送福利，社群周周有惊喜，还不赶快行动？

申请流程：扫码申请-后台审核（2-5个工作日）-邮件通知-加入会员俱乐部

如有疑问，也可扫码添加小助手微信哦！

FreeBuf甲方群成员（因篇幅限制仅展现部分行业成员）：

金融行业：贝宝金融 安全负责人、成都农商银行 信息安全负责人、晋商银行 安全负责人、北京银行 安全负责人、君龙人寿 技术负责人、合合信息 合规负责人、合生 信息安全负责人、航天产业投资基金IT负责人、工银金融 信息安全负责人、前海联合基金 信息安全负责人、天弘基金 安全负责人、阳光保险 信息安全部负责人、南京证券 安全负责人、宝马金融 信息安全经理  

运营商：中国联通 网络安全主管、中国电信 信息安全技术主管、上海电信 网络安全主管、天津电信SOC主管、太平洋电信 研发总监