信息安全企業和企業 IT 部門在招募安全人才的時候，往往本著來之能戰，開箱即用的篩選原則，因此計算機科學，尤其是信息安全專業背景成了香餑餑，如今連賣煎餅果子的大媽都知道信息安全很熱門，好就業。

[[285644]]

但是一個重要的問題被掩蓋了，那就是在安全市場高速增長，產業結構升級的大背景下，安全團隊的基因多樣化、技能多維化趨勢。居安思危，雖然中國信息安全市場近年來逆勢飄紅，2019 年市場規模保持著 20% 的 “逆市” 高速增長，并且對標歐美日安全市場還有相當大的成長空間，但是正如安全牛在過去的報道中曾指出，信息安全職場和人才市場目前存在很多問題，女性參與度低、老齡化、過度疲勞、軟技能缺失、創新力不足、職業發展道路模糊、人才流失率高等等。

信息安全市場為什么缺人才?原因很簡單，源頭在鬧人才荒，已有的人才留不住、職業滿意度低，行業整體形象刻板。

當安全產業高呼 “自主安全”、“內生安全”，要從 “最后的武士” 身上的笨重鎧甲進化成鋼鐵俠機甲助推數字化轉型時，根子上的問題——安全人才知識結構和安全文化升級被忽視了。要知道，每時每刻上演 Endgame 大戲的信息安全行業可能是對個人好奇心、持續學習能力和創造力要求很高的行業。

這個世界上最堅硬的矛和盾，往往都含有多種稀土元素。以下，安全牛整理了網絡安全市場稀缺的六個非技術專業，同時也是安全技術人才提高自我修養的參考科目：

1、數學：算法才是王道

這個無需多言，眾所周知俄羅斯的 “黑科技” 很先進，這與俄羅斯數學水平全球領先有著很大關系。毫不夸張地說，未來的網絡空間戰爭中，決勝因素就是算法，而優秀算法的背后，是一個個數學天才。

為什么 60 年代美國的阿波羅飛船能載人登月而 60 年后的印度航空器卻在月球背面抽風?因為登月計劃的軟件工程師中很多都是數學家和物理學家。

從功利角度看，數學相關專業很多可以直接應用于網絡安全業務。例如與威脅檢測相關的機器學習算法模型和數據訓練任務，OSINT 數據分析等。

從更深層來解讀，數學專業人才具備很多稀缺特質：激情、解決難題的動力和毅力，以及批判性思維能力。

Cequence Security 的常駐黑客 Jason Kent 贊揚數學專業學生的批判性思考能力。

批判性思維和能夠從不同角度看待事物，這是一種優勢，特別是當面臨從未遇到過的挑戰時。

數學人才往往能夠接受可用方案，即使這些方案看上去有些非常規。

2、心理學：較大安全漏洞是“心理漏洞”

大家都知道企業安全防線最薄弱的環節就是人。有人的地方就有漏洞，同時人也是很大的威脅。在危機四伏的原始叢林中，最危險的動物不是大蟒蛇，而是拿著狙擊步槍的 “伏地魔” 和 “老陰逼”。

黑客很喜愛的釣魚攻擊、水坑攻擊、勒索軟件等社會工程類伎倆，無一不是在揣摩和利用人的 “心理漏洞”。如今大多數黑客都有攻擊框架的觀念，他們懂得如何根據人的心理和行為模式調整攻擊方法來騙取信任，達到目的， 這在社會工程學攻擊中很普遍。而對于信息安全防御團隊來說，心理學技能也同樣重要。

心理學專業還能提高網絡安全人員在溝通方面的軟技能。匹茲堡大學網絡法，政策與安全學院的常駐學者 Kiersten E. Todt 認為，心理學對于網絡安全專業人員來說是大有前途的學術專業，因為心理學可以提高人類行為和溝通方面的軟技能，很多涉及網絡安全至關重要的人為因素。

此外，心理學的分析和數據操作在網絡安全中也會很有用。托特說：社會科學的統計，分析和其他內容是有效發揮網絡安全專業人員的重要技能。

3、商業管理：安全不是企業的小腦

為什么硅谷一夜之間就被印度人以《人猿星球》的速度給接管了?一種比較流行的說法是，相比亞洲其他地區的碼農，硅谷的印度碼農非常熱衷于進修商業管理課程，爭當將軍的士兵多了，蹦出一個 CEO 人選的幾率自然大增。

Digital Shadows 的策略和研究分析師 Harrison Van Riper 建議有志從事安全方面工作的商業管理專業人才從純業務與網絡安全相交的地方切入。例如，會計學位很適合 IT 審計領域。此外，適用于網絡安全的業務風險分析是另一個安全行業非常重要的領域。

在越來越多的企業設立 C 級別安全高管，信息安全與數字化轉型高度融合的今天，CISO 是向 CEO 匯報還是 CIO 匯報，信息安全部門有多大話語權和話事權，就要看咱們這些杰出安全人才能否參透 “安全經濟學” 了。

4、哲學：安全之道

俗話說盜亦有道，但安全行業能自洽普適的 “道”(包括道德和哲學)并不多見。

哲學對于我們來說是如此熟悉又是如此陌生。哲學到底是干嘛的?熟讀《道德經》和《摩托車維修藝術》能否幫我們降低 Bug 產量，或者感知未知威脅?

答案是肯定的，哲學是很高級的科學，一個不重視哲學的民族沒有未來。同樣，一個不重視哲學和倫理的信息安全公司或技術部門，起樓翻車都很快。

匹茲堡大學研究所的托特曾擔任奧巴馬總統領導下的加強國家網絡安全委員會的執行主任，他說，道德方面的知與行，對網絡安全專業人士和任何人都至關重要。

我認為倫理學和哲學是任何開發人才都應該掌握的輔修知識。

Thycotic 首席安全科學家約瑟夫·卡森 (Joseph Carson) 解釋了在人類行為中建立基礎的重要性。

網絡安全不是一項技術挑戰，而是一項人為挑戰。我們需要提供更多可用的網絡安全解決方案，因為未來的網絡攻擊將首先針對并濫用人類信任。

Digital Shadows 的 Van Riper 說，能夠從各種角度看問題對于解決網絡安全問題至關重要。

在網絡安全和威脅情報中，獲得對各種問題的多角度觀點是進行具體而全面的分析的關鍵。無論是對威脅因素進行調查還是執行事件響應，了解可能受到影響的所有不同觀點和觀點都非常重要。

5、音樂：你距離卓越只差一坨音樂細胞

自古以來音樂與數學和工程就有著不可描述的內在關聯，但很少有人意識到，音樂人才在當下火熱的大數據和信息安全領域，也是一股不可或缺的清流。也許有人會不屑一顧：要音樂人才干嘛?開發的時候擔綱辦公背景音樂 DJ 嗎?

在《線中幽靈》一書中，凱文尼特米克同學和他的小伙伴利用音樂天賦攻破了拉斯維加斯的吃角子老虎機。但這只是音樂才能在安全領域的牛刀小試。

管理咨詢與技術顧問公司 Booz Allen 的戰略創新部門副總裁喬什沙利文認為，團隊中的音樂人才具備 “驚人的創造力和量化技能”。當數據分析團隊在處理多種數據的時候，非常類似交響樂作者編配多種樂器的過程，而這方面音樂人才是最在行的。

6、社會學：軟技能才是硬通貨

就像心理學可以幫助網絡安全專業人員了解個人如何使用系統一樣，社會學對于理解個人在特定情況下的行為或群體的行為也非常有用。Shared Assessments 的艾倫說：我在國際商務，市場營銷和組織行為方面背景和教育有助于我理解人及其動機。

(ISC)² 的辛普森認為，了解網絡安全在組織內的工作原理以及如何向組織內每個人傳達網絡安全的重要性是至關重要的技能。

安全團隊通常規模很小，需要與其他業務部門接觸，培訓和幫助他們提高安全意識，讓網絡安全成為業務部門日常詞典的一部分。

辛普森說，公司必須學會吸引社會學專業人才，就像社會學專業人才也應當積極學習安全專業知識來增加對網絡安全招聘經理的吸引力。他說：網絡安全職業給人的印象是非常刻板和負面的：996、過勞、不被尊重、不被重視。當我熱衷談論 “大安全”、“大網絡空間” 的概念時，部門主管和人力資源們也應該換換腦筋，打開思路，迎接那些內在驅動力強、愿意接受新挑戰的社會科學人才。要知道，向軟技能人才傳授專業知識遠比讓專業人士掌握軟技能容易。