如果说月薪5万，还能靠高校学子们用最好的光景交付给最风口的行业来实现，那么年薪百万真的就是大江东去浪淘尽，留下的都是行业翘楚。

这不得不提到知乎上的一个高热问题：网络安全的发展前景和行业薪资到底如何？

自2017年6月1日《中华人民共和国网络安全法》正式实施已过去6年，一方面，网络安全人才需求规模呈现大幅增长态势，网络安全行业被大量95后普遍看好。

而另一方面，我国网络安全产业人才整体呈现供需失衡状态，尤其是实战型人才短缺。在供给端，院校人才培养数量有待提升，需创新产教融合培养模式。在产业端，在职人员能力提升体系欠缺，需重点加强从业人员能力建设。

随着全球远程办公日趋常态化、网络犯罪频发、企业数字化转型安全需求增长但IT支出缩减、AI技术横空出世，在这些纷繁复杂的背景下，每个网安人都想知道，网络安全人才市场的需求和供给正在经历怎样的复杂变化？身处围墙中的年轻人们更渴望的是，普通打工人的职业天花板——“年薪百万”，距离他们还有多远？

本期，FreeBuf知识大陆有幸邀请到某知名安全厂商安全技术总监大余，就广大网安人所关心而又好奇的这一系列问题进行解答。

我们希望结合他近十年的安全领域从业经历和对中国网络安全的政策解读，来聊聊他对中国网络安全人才市场的看法。或许，能给身处漩涡之中的从业者，辟出一条可参照的晋升方向。

大余

▶某知名安全厂商安全技术总监

▶本科毕业于南昌航空大学经济学院。现任企业安全技术团队总监，安全行业领域专家，在多个领域具有很深造诣和研究成果，专业从事网络安全领域工作近10年，获得了HCIP-Security数通安全中级工程师、HCS-Solution-IP-L3华为解决方案专家、HCS-Pre-sales-L2华为售前专家认证、ITSS息技术服务标准应用经理、CISP、CCSS-R应急响应工程师、CISAW应急响应工程师、CISAW风险评估工程师、CISP-PTE渗透测试工程师、HCIE&RS华为高级数通工程师等多项专业技术资质。在FreeBuf、CSDN、安全平台及公众号独立创作了500余篇网络安全技术文章。开展了百项教学课题，学生中有军事从业人员、白领、个体经营者、阿里技术员、360技术员等，遍布全国各地10多个省份。

“百万负债”到“百万年薪”的距离有多远

小编：网络安全行业，做到年薪百万难吗？

大余：实话说，不是很容易。但是肯定的讲，百万年薪能达到。因为我自己就是一个成功的案例。

在这个行业（网络安全领域），第一，你技术肯定要过硬。实现高薪的基础必须要拥有高水平的技能和专业知识，还有至关重要的一点是，你要不断学习，提升技能，因为这个时代发展太快了，高自律，对自己高要求很重要，很多人在坚持学习，更新技能点这块就很难坚持下去了。

我去看一下招聘网站的岗位要求，年薪在50~100万的，要求你要能承担高级攻防类项目(红队攻防，内网渗透，定制化渗透，持续性渗透等)，跟踪国内外安全动态，跟进国内外最新的攻防技术，对windows域，大型防御体系攻击链挖掘，分析研究大型apt攻击技战术，参与公司重要产品线攻击方向设计的能力。

第二，经验。实际经验对于职业发展非常重要。积累丰富的经验通常意味着更高的薪水。我的职业生涯始于网络工程师，然后升华为主机系统安全工程师、应用安全工程师、渗透测试工程师等。实际经验对于职业发展是非常重要的。

第三，学历和认证。部分高级职位是需要学士或硕士学位，以及相关的网络安全认证。这些学历和认证可以增加竞争力。

第四，公司和行业需求。选择是很重要。不同公司和行业对网络安全专家的需求不同。选择适合自己目标的公司和行业也非常重要。

第五，自我推销和人脉。建立良好的人脉关系、参加行业会议和社区活动、积极自我推销自己的能力也可以帮助你获得高薪职位。

小编：当初为什么选择这个行业？

大余：说因为热爱入这行，可能这么说你觉得有点空，但是这份喜欢，确实是支撑我到现在一个很大的原因。我很直白的讲，我也顺应时代，顺应自己的职业和经验积累，做出了一个对我而言比较正确的选择，并愿意为之努力奋斗。

我大学是经管专业，顺利毕业后，贷款2万，学习网安工程师。没错，就是贷款学的。我是初中就喜欢电脑，也用电脑在当时赚了一点零花钱，大学虽然学经管，但对电脑的喜欢一直是在的，又不想放弃，毕竟找到一个喜欢的东西，并长久保持热爱，是一件很开心，也很不容易的事情。

所以凭着喜欢，贷款2万学了网安工程师。学成后成为华为高级网络工程师，进入一家70人左右的中小公司，做天网项目，当时薪资每月只有2K。在2016年底，入职3个月后升职主管，管理17人团队，也因为在当时的公司技术没有办法得到很大的提升，所以在2017年底，跳槽360企业集团，18年底奇安信，2017年到2019年底跑了70个多个城市，负责大部分政府单位的安全产品策划和布属，熟悉几十种安全产品。

2019年底，我的双胞胎小朋友出生，因为小朋友的身体原因，我需要把很多精力投入到家庭中，加上“口罩”影响，我选择了离职，经历过6个月无工作。当时是负债100多万。

我是从大学开始就没和家里要过一分钱，所以在6个月的待业中，我每天就是学习安全，每天写文章，写了有500多篇，主要是安全攻防类，也获得了很多同行的认可。

2020年下半年，我创办教学，主要讲安全审计开发与Cobalt Strike二次开发，（安全审计开发与Cobalt strike二次开发）讲了百项教学课题，学生中有军事从业人员、白领、个体经营者、阿里技术员、360技术员等，遍布全国各地分部10多个省份。也入职了一家甲方企业，事业和家庭的天枰尽最大努力保持平衡。

2019年底到今天，有待业过，有负债百万过，到今天年薪百万，几年时间达到现在的成就。我是一个很“敢”的人 ，决定了去做，就不怕任何干扰，就是学，就是不断的补充自己，提升自己。

小编：30岁做到安全技术总监，你认为自己是“天选之子”吗？

大余：我自己认为天赋还是很重要的。我算是一个有些天赋的人吧。当然我也是一个很努力的人。天赋，热爱，选择，努力，自信，好心态。我用这6个关键词来形容自己。

我前面也聊到，我个人是经历过半年的待业，百万的负债，到现在的百万年薪。过程中也会遇到很烦的时候，烦的时候，就研究靶场，研究系统底层逻辑，时间也过得很快，加上我自己是个不会轻易放弃的人，决定学习，就投入进去，提升自己，结果证明也是不错的，知识体系搭建后越来越自信，也越来越顺，1年时间外债也还清了。

所以，“天选”也谈不上，最多是有些天赋，自己努力，把自己投入进去，保持对这个行业的热爱和敬畏，不断更新提升自己，不被淘汰。

35岁面临裁员危机，让公司/行业给你的技术“买单”

小编：在这个行业，什么样的人容拿到结果？

大余：站在企业安全总监的角度，你需要进入到安全圈子，成为“圈内人”，企业比较看重你有没有很多大赛/比赛的经验，排名好不好；

有没有整体的大局观，全局观，这就需要你有参加过全国或省级护网的红蓝队经验，代表你实际参加过，有这个认知。同时还需要你具备沟通能力，因为我们要面向客户，面向实际的业务；还有就是编辑报告的能力，这个大家肯定不陌生。

其他的工作经历要求、学历要求、证书要求、技能要求，我就不赘述了，建议大家平时多去刷一下招聘网站，了解行业，市场的行情也还很重要的。

小编：去年是互联网的“裁员年”，今天的经济形式也不容乐观，大家对于就业前景都很悲观，你这么看？

大余：虽然经济形势可能波动不定，但网络安全的需求依然持续增长。网络安全专家具备多领域的技能，将继续受到市场的需求。不断演化的威胁、新技术的出现以及法规和合规性要求将为网络安全专家提供不断增长的就业机会。

小编：安全行业也存在35岁裁员危机吗？

大余：35岁确实一道坎，不仅是网安行业，各行各业都一样，年龄，时间对每个人都是公平的。

我们需要减少被裁员的风险。一是往管理岗位晋升。35岁如果没有做到管理岗，或者没有往管理岗发展的意愿，我觉得是有些危险的。但是也不能一杠子打死一船人，在网安行业，或者说在各行各业，高级人才永远是不缺机会的。二不断提升自己的专业技能。高级网络安全专家通常受雇主青睐，因为他们在网络安全方面的知识和经验对于公司至关重要。不断提升技能和岗位晋升也息息相关。

作为高级人才，或者是做一个管理岗位，你需要在技术层面提升认知，具备从物理层、网络层、应用层进行分析整个拓扑框架，知晓拓扑框架中安全产品的定位防护和突破口，还需具有一定的领导能力，以有效地引导团队应对未来安全的挑战和危机，同时在心态方面要维持坚韧和适应性。

对网络安全的职业规划建议

小编：近10年的网安经验，你对网安从业人员有哪些职业规划建议呢？

大余：关于如何发展职业的指导，我把他分为七个层面：

1. 网络安全工程师：了解网络架构、防火墙、入侵检测系统等基础知识。
2. 主机系统安全工程师：深入了解操作系统的安全配置、漏洞管理和日志分析。
3. 应用安全工程师：学习如何编写安全代码和进行应用程序漏洞扫描。
4. 框架安全：学习渗透测试工具和方法，如Metasploit、Burp Suite等。
5. 渗透测试工程师：模拟攻击者的行为，检测系统和应用程序中的弱点。
6. 安全服务工程师：提供安全咨询、威胁情报、风险评估和安全培训等服务。
7. 安全开发工程师：学习如何编写安全代码和应用程序，以及安全设计原则。

以上职业涉及的技术内容，部分我写文章分享过，也得到了同行的认可，我前面也聊到，我自学后也创办了教学，也教出了很多优秀的学生，如果你感兴趣，也欢迎加入我们这个团队。

小编：课程学完就能年薪百万吗？

大余：我要肯定年薪百万在网络安全行业是可实现的，但不同因素会影响是否能实现这一目标。我的经验是高级网络安全专家在网络安全方面的知识和经验对于公司至关重要。我的课程认真学完，对你的知识体系搭建，实际技能提升会有很大的帮助。（安全审计开发与Cobalt strike二次开发）

“学完后你的能力可以达到红队安全开发岗位的工作要求，具有岗位竞争的能力。”

小编：老师，我穷，想白嫖可以吗？

大余：哈哈哈哈哈，当然也可以。因为考虑到有一些年轻人确实目前手头拮据，像我年轻那会儿一样，但是又很想在网络安全领域深入学习，所以我才决定到Freebuf知识大陆成立了我第一个帮会，让每个人可以最低成本的学习想要学的内容。我希望真正热爱这个行业的人不因为钱这个事情阻碍他进步的脚步。我会在帮会内定期分享二次开发、渗透测试、安全审计等原创内容，纯干货，不掺水。现在只要9.9就可以体验1个月，但是我保证这一个月你收获的内容远超这杯柠檬水的钱，大家就当交个朋友了。

我只想把每件事做到极致，这就是我对待生活的态度！

我是大余，谢谢。