刚开始接触安全圈的时候，一直觉得这个圈子的人太好赚钱，比如挖个洞就能买套Cherry键盘，打场比赛就能新马泰7日游，写篇文章就能送女朋友一支口红（没有可以送我鸭~），于是乎，网上各种培训打着零基础入门网络安全工程师月入过万的那种，然而真的接触些安全技术人员后才发现，月入过万是真的，但这个行业的从业者更多的是处在平均月薪12k以蜗牛时速前进的状态。 

回过来想想，月薪12k和月薪30k，从数字上看都是五位数，初听都是过万，给人的感觉也是“我是不是努努力跳一下就很容易升到30K”。实际上呢？当我真的接触过一些圈内的安全小哥们，了解过一些用人公司的安全人才需求后，窥探一些安全从业者的薪资后发现，月薪12k和月薪30k大概就差那么一“点”，让我深刻理解了差之毫厘，失之千里。

为什么会这样子呢？我继续扒了一下全网关于安全从业者的研究资料，再次偷偷关注下安全圈从业者的动态消息，询问了几家用人单位对于“高薪”安全人才的定义，提炼出以下两点：

安全领域人才技能与岗位错配

安全行业目前仍处于发展期，而且是飞速发展期，对各类年资人才都有较大需求。国内这个行业诞生也有20 年了，早年入行的人远没有今天多，而且早入行的人现在大都离开一线，有了自己的公司或者创业团队，所以高年资从业者比较少，反而越来越多的是萌新爱好者或者刚入职1-2年的新手们。

这就造成了市场上现有的网络安全人才储备不足以满足政企机构对相关岗位的实际技能需求，网络安全领域的人才技能与岗位出现了错配，从业人员多集中于传统的低技能基础型岗位，呈现过剩的状态；高技能人才的空缺则非常明显，供不应求。

没有价值的经验，只能叫乐色

做技术的，尤其是安全圈里的从业者，到最后拼的其实都是自己的经验值，但是现在安全圈的公司却有一个怪象，很多公司让安全从业者今天去参加个比赛、明天去参加个大会、后天再去SRC平台刷个榜单……经历似乎很丰富，工作也似乎很繁忙，期间说有经验也是有的，但是实际沉淀下来后才发现和自己所在的工作上并无卵用，而现实中公司所面临的风险从来不是一场模拟赛就能预判的。

做安全行业，我们都知道需要经验累积，比如能不能预先想到可能的薄弱环节，能不能配置预防措施，能不能敏锐地发现风险苗头，都依赖于经验。所以在这里也希望安全从业者能更多的从自身的职业发展路径上去提升自己的经验值，沉淀出属于你自己的经验和工作发方法论。

近几年来，从表面上看，不管是国家，还是企业，高校等都越来越重视安全，积极的举办各种安全的活动，提高安全能力，这对于安全从业者是个好的趋势，所以安全圈内从业者很容易薪资过万，但是同时也对于真的想要投身于安全事业的人的一个试验，如何从当下纷乱的工作内容中提升自己的能力，是安全从业者想要走出一条通往高薪之路的关键点，以下是小编总结的几点经验，供大家讨论：

1、业务能力

计算机基本知识娴熟，咨询方法论娴熟，文案沟通能力娴熟，各类安全产品特性娴熟，项目管理能力娴熟，风险评估方法娴熟，渗透测试常规实力，软件测试一般经验……如果是特定的行业比如金融类还需要了解该行业的安全策略等信息，安全行业很多岗位并不是拼体力的，行业经验和沟通技巧都很重要。

2、职业规划

回归安全从业者本身，很多从业者涉猎广泛而不精通，想要在一个岗位上得到薪资的飞越提升，一定是在深度上对自己所在岗位的所需的技能点做到专业化垂直化的提升，具备更深层次的技术储备，能够处理各种突发状况，熟悉各类网络攻击，有能力处置各类突发网络安全事件。如果能做到的话，即使不在职业上晋级，技术牛逼后，不工作也有几百种发财方法（去掉旁门左道的那种）。

3、学习能力

小编自从接触安全圈后，就发现这个行业特别年轻化，青年人才辈出，大有长江后浪催前浪趋势，所以不及时充电，肯定会被后辈们拍死在沙滩上的……当然除了这个考虑，如果你进入到一个安全公司以后，老板如果觉得你很优秀的话，可能会安排一些其它活给你你做，比如第一点里说的综合业务范畴中的技能点……所以一定要让自己随时处在充电状态上。

写在最后的话

小编其实也发现对绝大多数企业来说，安全是IT的附属，IT是业务的附属，要投入进去做安全，就要甘心做幕后英雄。而安全实际上不一定属于IT，要做好安全，必须深入根植于安全的核心，必须比IT人更懂IT，比业务人更懂业务，否则只能是流离于表面而已。再次致敬所有的安全从业者。

作者：張張 | X安全主编

互联网潜藏分子，关注安全，诚邀行内大咖关注&投稿分享。