0x1本周话题
话题:如何看待网络安全产业内卷?网络安全行业还会热门多久?
A1:个人浅薄观点:
1、内卷本身定义就不明确,这个命题是否成立,打问号
2、本质是正常的商业竞争,只要屁股挪个位置,看下来都有其合理性
3、恶性竞争不可能消失,但要看整体结果,抓主要矛盾。这些年安全行业是不是向好了?需求端是不是预算整体增加了?供给端是不是涌现了一批优秀、创新的企业?安全实战能力是不是得到了提升?生态上资金、市值、优秀人才是不是都在涌入?
A2:只吐槽,没有建言是没有未来的。在这一点上,我很服气群友提的网络安全险制,把不可量化的东西量化出来,很多问题迎刃而解。
A3:看ChatGPT的答复,网络安全产业内卷的主要根源有以下几个:
1. 市场泡沫:随着网络安全市场变得越来越大,市场上涌现出更多的公司和从业者,这部分公司和从业者往往把网络安全看成是赚钱的机会而不是维护安全的责任,从而导致市场泡沫和产业内卷。
2. 恶性竞争:由于市场大,使得竞争激烈,某些企业或从业者为了争夺更多市场份额,采取不正当手段,例如诋毁竞争对手、恐吓客户等恶性竞争行为。
3. 技术更新快:网络安全技术更新非常快,企业和从业者必须不断学习和更新知识才能跟上潮流。这也导致了从业者之间的差距越来越大,技术实力强的公司和从业者会得到更多的市场份额,竞争也越来越激烈。
4. 资源分配不均:有些大型企业会通过收购或投资来获得更多资源,从而扩展自己在网络安全市场上的地位,这会使得小型企业和个人从业者面临更大的压力。因此,网络安全产业内卷的根源是复杂多样的,要解决这个问题,需要整体改进网络安全行业的基础环境和行业标准,促进市场规范化和职业道德化,同时也需要注重企业和从业者的技术积累和人才培养,促进从业者的持续发展和成长。
A4:劳动者与雇佣者处于从属关系:
第一阶段:在无劳动商品形成之前,必定要提高劳动者的工资收入,以技术作为生产要素,逐步形成、积累劳动商品。也就是说,第一阶段劳动者的对立面是雇佣者。
第二阶段:在积累与形成劳动商品的过程中,主要劳动输出的面向对象是人的劳力输出。也就是说,第二阶段劳动者的对立面是劳动者的劳动产出。
第三阶段:在形成劳动商品后,既产生了生产资料,弱化劳动者的人力输出与劳动者的人员比例。也就是说,第三阶段劳动者的对立面是劳动者与劳动者之间。
以上分别解释了:1:为何某个周期内人员的收入相对较高。2:为何某个周期内人员相对较累。3:为何某个周期内人员相对较卷。也就是说,从经济学的角度分析这件事情的本身。
A5:令人欣慰,说明我们是热门行业。
A6:今年和去年大学新申请开办专业的第一名都是信息/网络安全专业,目前没有看到下降趋势。近期网上填志愿热议的张雪峰老师推荐的十大高薪专业,第一个就是信息安全。
1、信息安全(连续七年薪资最高的专业共上榜8次)
2、软件工程(唯一一个连续十年入围Top10的专业)
3、信息工程icon(上榜9次)
4、网络工程(上榜8次) 、
5、计算机科学与技术(上榜8次)
6、电子科学与技术(上榜5次)
7、物联网工程icon(上榜5次)
8 数字媒体技术(近五年薪资稳步上升)
9、法语(上榜5次)
10、信息管理与信息系统(十年来薪资涨幅较大)
《信息安全第一!2022 本科工资最高的专业 TOP 10 出炉》文中判断:网络安全行业正处于下一个“黄金十年”的起点。我个人观点是达峰后易下跌,顶峰一定至少有3年。
A7:前十就算热门的话,十年没问题。不过总感觉信息安全需求在减少,心里没底。
A8:企业安全需求很多时候是政策要求驱动;另外,安全实际是一直在为可能发生的事情而工作,久而久之,投入产出不对等,驱动力就会慢慢下降。不晓得对不对哈。不过,安全将伴随各领域新数字化业态一直在,只能是卷完旧业卷新业。
群里这么多甲方,还有啥必须要买的吗?这些都是全国比较大的需求方了。
Q:各领域数字化还有很大扩展空间,这里有两个问题:一是数字化扩展空间很大相比以前会更大吗?二是数字化扩展空间会带来明显的安全需求吗?
A9:各种熄灯工厂、智能x服务,只要数字化扩展过去,必然就是需要安全的。个人感觉还是很大的,而且国内卷完还可以一带一路跟着基建卷出去。安全的天花板就是数字化、信息化。
Q:市场肯定存在,但是会不会接着爆发呢?需要什么样的安全呢?会购买什么安全设备呢?对于乙方来说,要么买设备或软件,要么买服务,甲方能有多大空间?
A10:设备不重要吧;本质来讲,就是需要环境的可用性,数据的完整性、机密性。甲、乙的人员都是安全人员;甲方用的人,给的工资;整体看起来应该大于乙方吧,这个大家算一下自己一年的人力投入和预算投入。
A11:养活大多数安全人员的地方,是乙方。而且能自己搞的甲方也没几个。从现状看,自己搞安全的甲方都在向乙方转化。
A12:这个就像军备竞赛,就是要对外卖摊薄成本,维持高投入;当然特别有钱的甲方不在意。从整体看,因为数字化的拓展和设备,对安全的需要也是会同步增长;因为和现实世界结合的加深,安全的级别要求也会提升;这个就是对安全人才的需求来源。
至于对乙方,甲方养那么多人,自己做方案、产品;根本原因还是乙方的产品不闭环,哪个安全产品可以简单直接用起来;整个IT生态里面,网络设备最简单、然后是系统、数据库、应用;最难搞的就是安全的这堆东西;不下功夫运营,几乎就是摆设;所以,企业就要在安全上自己养人,且薪酬还处于比较高的位置。这个也就是乙方的机会点。
A13:从安全市场化或行业来看,我觉得纯甲方自研是不是应该都不算安全行业。没有在市场上买卖,没有动力将成果从1到n扩展,扩大或占有市场。
A14:宏观层面,安全往往和国家的经济发展(业务)绑定的。产业层面,安全需求远没有得到满足,一定会有更大更强更好的安全公司进化出来。就目前安全产品成熟度,安全远远没有达峰。
A15:参考云,云的市场起来了,原本不想做的安全也被带着一起做了。还有信创,信创不可否认带动了一波。
A16:这两年确实能看到这种明显趋势,行业的头部企业安全团队的职能开始部分对外,服务生态公司或供应链的上下游,有明显的资源优势。就像各家金融行业的科技公司,互联网行业的中台或云服务公司。
对乙方来说市场就更卷了,不一定卖产品,但可以垄断集成和服务,对于甲方一方面是平衡过高的人力成本,一方面也是很好的向上汇报的故事。
A17:这个和我印象不同,甲方不好好做自己的安全,还往外卖的,那个收入一般公司都看不上,反而容易无疾而终吧……
我知道甲方做对外的成功案例并不多,做了的大概率也是收缩不再做。最早百度要做安全对外,后来腾讯阿里通过云的封装对外,然后我知道的还有滴滴对外,还有其它么?
安全的收入在这几个巨头的角度,感觉不一定够,而且内部能力溢出时,距离商业化的一些现实难度,应该也是甲方没有预估的。我记得有一些同学当时维护HIDS或者扫描器,客户稍微有点啥事,响应起来,甲方都是力不从心,和标准的产品服务差距应该还是比较大的。
A18:这个就跟安全没必然联系了,甲方投了成本做IT,业务需求不能满足IT的发展需要、成本投入,就会想要走出去,十几年前就已经这样。只不过是一般失败罢了,两大原因:
1、找需求可不是那么好找的;
2、这种甲方固然做得不错,但人力成本也奇高,应对不了市场竞争。
A19:自研和做市场上的通用产品,差别还是比较大的了。我是支持甲方安全出去做2b的,尤其是竞对们,不要卷我们了。例如金融行业top银行的数据科技公司都提供对外的安全服务,有些会包着乙方的解决方案一起。
A20:内部工作都忙不过来,外部客户也服务不好。甲方做安全的目的是啥?赚钱、讲故事还是啥?
A21:只是说看到这种趋势,目前看的重心肯定在内部安全,很多行业的IT相关业务是独立实体,但对外的合同额相对一家IT公司也不算小。对外输出的前提肯定是内部安全底线保得住。
Q:有谁家敢说内部底线保得住了?
A22:自研可以解决非重要的小规模的场景,可以锦上添花,让安全看上去更华丽。责任上大可兜底。核心的大规模场景,安全要投入自研很难,还得靠外部。
一般这种“趋势”都发生在拆出去的科技公司,他不想或不能只做业务需求,才会向外拓展。成本部门一下子变成了营收部门,那价值更显性了。保得住也是相对的,向上管理要做好。同样的hc能对外服务,有收入也算一种降本增效。
A23:各个公司场景不一样,不妨从投资的角度,老板投资安全团队,期望是什么?我们满足没有,我们有什么追求,我们能不能改变老板的预期。本质都得基于打工的事实,创业也要说服投资人。
各个公司老板对安全投资的期望不一样,和公司业务发展阶段也有很大关系。
A24:数据类是最好变现的,我先做,做了壁垒,做了服务,你来查,我收过路费,基本不用搭人进去,甚至可以自助安全,很难这么即插即用,恨不得卖产品送解决方案,一旦投人,hold不住的,而如果不投人又有什么业务可做呢。
A25:内部底线没保住,我是不太敢忽悠对外商业化的。当然听说有一些老板,思路是拿商业化要HC,拿自负盈亏甚至赚钱来覆盖新的资源,然后曲线救国解决内部安全资源不够的问题。
A26:类似数据服务,安全产品saas化的服务就可以,里面可能集成还是多家乙方产品的能力,本质也能做到边际成本递减,保底线和零事故类似,本身就是伪命题啊,只存在于管理汇报层面,安全本质还是风险问题。
Q:各位大佬,现在信息安全方面是不是还没有对应的高级职称?
A27:广东这边有个安全的高级职称可以评,是人社厅授权来评审的,设立广东省网络空间安全工程职称评审委员会,负责全省网络空间安全工程技术人才职称评审工作:《关于开展2022年度广东省网络空间安全工程领域高技能人才与专业技术人才职业发展贯通申报评审工作的通知》。
A28:每个省不一样,比如《四川网信人才有了专门职称评价体系 》。
Q:软考可以吗?听说过了好像不算有高级职称吧,还得评发聘书才算?
A29:软考高级没有安全的,软考信息安全工程师是中级的。另外,所有的职称都需要聘书的,不管是直接聘任,还是以考代评的证书聘任,还是评审的证书聘任。都要聘书。
上海这边叫专业技术聘任表 ,我们这有证也不认高级工程师,还是得有聘书, 最早一版也是上海人社局2017定制的。之前五花八门。公司发聘书也行。人事局监制的聘书也行。
总之,这是一个评价体系。有的体系不认,看CISSP或者其它的;有的体系只认这个;有的只看实战。
0x2 群友分享
【安全资讯】
信息安全第一!2022 本科工资最高的专业 TOP 10 出炉
导致网络安全产业内卷的根源:产业秩序不严谨、产业态度不端正、产业链条不完整
-------------------------------------------------------------------------------
