Question

1.安全环境趋势

在 2010 年以前，我们和国内金融行业同仁交流的时候，做安全的思路普遍还在监管合规+设备部署的阶段。2010 年后，由于网上银行、移动金融的快速发展，以及国内互联网安全形势的进一步严峻，金融行业的安全需求开始发生深刻变化，需要有效解决实际安全问题，对安全攻防、安全运营的需求逐渐增多。安全环境变化趋势体现在以下几点：

·监管从合规为主，技查为辅，转向合规、技查双轨并进，不断提升技查比重，以技查促合规落地。银监会、证监会均会聘请专业的第三方机构对商业银行、证券期货公司的互联网系统进行远程渗透，甚至直接渗透进办公网和交易网，这将是未来监管科技的“新常态”。

·应用安全、内网安全和数据安全，从企业安全建设关注度和投入度来看，是从高到低，这与攻击者攻击应用安全的门槛相对内网安全、数据安全低很多有关，攻击门槛越低，攻击从业者越多，发现的问题也越多，防守方投入也越多。从防护难度上看，这三类是从低到高，因为防守方通常会首先选择防守难度较低的应用安全开始。

·企业安全建设的安全岗位范围从安全设备管理向安全有效性、安全运营扩展。越来越多的企业在安全负责人意识到，安全设备只是工具，要管理好安全设备，真正起到防护能力，实现安全有效性，必须通过安全运营来实现。这点体现在越来越多的企业在招聘企业安全负责人、安全岗位人员时，都强调有实际安全攻防对抗经验和安全事件分析经验，能够讲清楚安全价值实现思路。

·业务和信息系统不断云化。各类业务和信息系统上云是不可阻挡的趋势，公有云、私有云，突破传统安全防护边界，面临新的挑战。

·安全防护向自动化、智能化迈进。

·安全重心向前端业务靠近。在 IT 内部，安全防护越来越向研发深入，向需求立项、架构评审、代码开发阶段渗入。在 IT 外部，安全也向支撑业务发展、打击黑灰产、业务风控靠近，贴近前端和业务，安全才有价值。

·向互联网行业和公司学习。

·金融企业安全团队规模爆炸性增长，团队定位 3~5 年内走向公司二级部门，安全团队负责人职级职位将成为一级部门副总。

2.安全从业趋势

为适应上述安全环境变化趋势，金融行业安全从业趋势体现在以下几点：

·至少 5 年内，对安全从业者的需求还是相当大的，甚至供不应求。如果需求大于供给，那么对于供给方各类要求必然下降，不知道这对于安全从业者来说是好消息还是坏消息。

·人还是安全中最重要因素。一位优秀的安全团队成员，远比一两款安全产品、安全设备重要，再好的安全防护也需要人设计、落地实施、运营优化。

·无论是既懂安全又会开发点小工具、还爱折腾的安全“全栈工程师”，还是聚焦于 xx 万 IDC 规模下的入侵检测的某个特定领域的安全专家，都会有不错的发展前景。

·目前国内并没有 CSO 文化，大部分企业也只是在 IT 部门设置安全团队，因此国内金融企业基本上都没有 CSO 岗位，只能称作“企业安全负责人”。随着安全对 IT、对公司的重要性不断提升，以及监管要求提升，5~10 年内，重视安全的金融企业必然会设置 CSO 岗位。

·安全从业获得回报和解决实际问题产生的价值，与该类问题所需成本高低有关。笔者听过很多抱怨，如安全团队不受重视等。安全团队不受重视是结果，而不是原因。比如大部分企业资产管理做得并不好，安全资产管理更是糟糕。如果在爆发 Struts2 漏洞时，安全团队能够迅速列出一张受影响清单，以及受影响业务系统，并给出修复建议和顺序，那么安全团队的价值就体现出来了，反之，若只能转发一下漏洞预警信息，公司内哪些业务会受影响、业务系统修复可能带来的问题等一概不管，安全团队的价值就极其有限。所以安全团队的价值和其解决实际问题产生的价值有关。

·能够采用各种方式，推动企业安全防护能力不断提升的从业人员将获得更大发展。企业里安全团队和其他团队的冲突点主要在于大家对安全、可用性和业务的平衡点认识不同。如何在各类资源有限、各种纷繁复杂的情况下，说服、推动不同利益方取得一致意见，提升安全防护能力，取得平衡，将是安全从业人员的重要能力。

·创业也是不错的选择。