故事的开始

小A是我认识的第一个“护网逃兵”。

他是2017年入行的，彼时刚毕业，考了几个证——CISP、CISSP、等级保护测评师——打了一手“合规三件套”。顺利进了业内一家中型安全公司做蓝队工程师。

那年，正是网安的上升期，国家刚出了新政策，公司刚拿了融资，市面上攻防演练的项目像下饺子一样砸下来。人手不够，新人就得顶上，他上了两轮护网，昼夜轮班地跑靶场、写规则、改检测链路。客户急，老板更急，凌晨三点，边打VPN边换ACL，边打Redmine边挨项目经理骂，但他却觉得“值”。

他说：“那时候我真的以为这是条能走到头的路。”

后来，他跳槽去了某知名大厂做蓝队，挂着“攻防研究专家”的名头，每天分析战术图谱、复盘演练流程、写威胁报告。虽然做的依然是“抗红”，但节奏比乙方稳定多了，节假日能休息，团队还有专职的 CTI、应急响应人员配合。小A曾感慨：“我以为，我终于跳进了‘编制队’。”

但到了2023年，他辞职了。

不是因为拿到了更高的 offer，也不是去创业，而是——

“项目没了，岗位也没了。”他说得很平静，“我们整个部门被并掉了。”

原因是，公司刚刚发布了半年报：营收大幅下滑，政府订单缩水，研发预算被砍了 40%，裁员波及多个 BU。他所在的蓝队部门，在高层眼中属于“不能赚钱的重资产”，就这样消失了。

有人转岗去了 SOC，有人被调去写合规报告，还有一位年纪稍大的师兄，在内网发帖说“自己想转去做风控”。

小A没有选择留下。他离职那天，群里安静得出奇。曾经每天在朋友圈晒攻防图谱、秀攻防 kill chain 的人，开始默默转发“低代码转行指南”、“如何三个月学会产品经理”的帖子。

小A走之前对我说了一句话：

“我当时以为，只要技术好就不会被淘汰，现在才知道——这行早就不是靠技术立身了。”

“安全公司，不再安全”

小A的经历不是个例，而是整个行业变局的缩影。

进入 2024 年，20 家信息安全领域的 A 股上市企业中，有 13 家公布的半年财报净利润为负，几乎占据半壁江山。某些企业虽营收看似增长，但增长的是“外包服务”与“硬件转包”，利润率却直线下滑。

• 某头部安全厂商，2021 年市值一度突破 800 亿元，而到了 2024 年中，市值仅剩 120 多亿元，三年间蒸发超六百亿；

• 同一家公司在三年间裁减了超过 500 名研发人员，多个省级分支机构关闭，原本负责攻防演练和靶场研发的团队“整体解散”；

• 另一家主打“态势感知”的平台型企业，员工数从 2800+ 降至不到 1900，校园招聘连续两年“只招市场、不招研发”；

行业内曾炙手可热的“国产密码”方案提供商，也在 2024 年暂停了海外市场扩张计划，内部项目转为“维护优先、少谈创新”。

而更难的，还不是人走了，而是钱没了。

以前，政府客户为了完成合规、应对监管，每年都会预算几百万用于红蓝对抗、漏洞扫描、渗透评估。这些“项目”往往有明确的预算节点：10天以内搞定，报告交齐就付款。

如今，这些预算正在消失：

• 某地级市去年还花 30 万搞全市“攻防演练”，今年只批了 8 万“做个台账”；

• 某央企原计划进行三轮实战对抗测试，但在二季度突然冻结预算，项目叫停；

• 某省护网项目，从原来的 7 天项目制，变成“为期 2 个月以上的协作制”，工作量翻倍，但总价只剩过去的一半；

付款也不再一次性支付，而是“按月发票、分阶段对账、延迟结算”，很多乙方不得不自掏腰包垫付成本。

有人戏称：“以前护网看你技术硬不硬，现在看你账期扛不扛。”

更夸张的案例是，一家安全公司中标某政务云渗透测试项目，最终项目跑了 60 天，输出了 40 页报告，复测了 3 次，但由于流程调整，付款审批卡了两个季度——从进场到结算，历时 8 个月，公司财务几乎断流。

还有人更直接地感慨：“我现在是技术总监，也是财务负责人，更是应收账款催收专员。”

而这一切背后的趋势只有一个词：降本增效。安全预算变成“可选项”，而不是“战略项”；项目交付变成“责任制”，而不是“技术成就”。

“走这行，得想清楚要什么”

2022 年，一个刚毕业的师弟微信问我：

“我想做安全研究，走技术路线，专注漏洞、协议、系统层面那种。你觉得有前景吗？”

我没打鸡血，也没敷衍，直接回了句：

“有，但很难。”

说“有”，是因为这个行业确实需要技术人——那些能挖到 0day、能分析复杂链条攻击的人依然稀缺、仍然有市场。

但说“难”，是因为你必须穿过一片泥潭才能活下来，而大多数人根本没机会靠近“研究”两个字。

现实是：

• 你进公司做“安全研究员”，结果日常是写检测规则、改 JSON 模板、跟客户对账漏洞等级；

• 项目需求常常是“今天交 PPT、明天做 POC、后天上线 Demo”，根本没人给你时间复现一篇顶会论文；

• 一年下来你做了 17 份应急响应、19 个靶场搭建、33 个合规测评项目，连 kernel 的手都没摸过一次；

• 你写了几万字的报告，但除了你自己和老板，没人知道你做过啥；

• 你以为安全研究靠技术，后来才发现甲方想看的是“行业情报雷达图”和“可视化风险地图”。

更残酷的是：

• 薪资两年没涨，一问就是“现在预算紧”；

• 技术晋升靠作品、靠汇报、靠包装，实打实挖洞反倒没那么重要；

• 身边当年一起进来的同事，有的转岗做销售，有的去管项目，有的考公，有的出国了；

• 真正还在研究的人，没时间社交，白天干活、晚上论文，周末写 CTF wp 做复现，有时连自己也在怀疑“还有意义吗？”

你能熬，就能留下来——但留下来的人，未必真的快乐。

他们是这个行业沉默的大多数，用脚本撑起服务，用报告保住合同。 他们不会在社交平台高谈阔论，不会去饭局讲“风控思维”，但他们撑住了系统，也熬坏了身体。

有人说，技术人不该考虑现实。可现实不会绕过你。

“转行”和“留下”，不是对错

小A后来跳去了某家做云原生安全的厂商，岗位是 DevSecOps 平台开发。

“其实工资比我做蓝队的时候少了一点，”他坦白说，“但我终于不用 24 小时盯微信群了，也不用再半夜给甲方解释‘这个告警不是误报’。”

他原来负责应急响应，一年跑了 28 次现场，有时凌晨出发，有时下班前刚准备走就被“拉去通宵”。回头一看，那些年他的朋友圈不是在机场就是在 IDC 机房，从来没睡过一场安稳觉。

现在他写写工具、开开会，K8s 安全防护、CICD 漏洞扫描、SBOM 合规检测……虽然没有了“攻防第一线”的激情，但生活开始回到白天，也有了喘息的空间。

而另一边，那个 2021 年刚入行的师妹，还坚守在原单位蓝队部门。

她告诉我，项目变得更卷了：

• 客户预算缩水了，但需求没减少，还多了“必须附赠攻击复盘”；

• 以前是一年一次护网，现在一年三次“实战演练”；

• 工具要自己写、报告要自己改、数据要自己清，还要培训甲方安全团队……

有一次她在护网现场连续通宵 3 天，回家洗完澡睡了两个小时又被电话叫醒，因为某个甲方领导临时要求做“模拟渗透可视化 Demo”。

“我知道很累，但我还不甘心。”她说，“我还想试试，能不能走到更远一点的地方。”

她的目标是走技术晋升路线，现在正在准备 CISP、CISSP、OSCP，同时还在参加某研究院的顶会论文训练营。她说：“虽然不确定值不值，但我不想一开始就认命。”

他们的选择，没有对错。

有人转去“低波动、低回报”的稳定方向，有人留在“高压、高消耗”的核心岗位坚持拼搏。

只是这条路，已经不再是“人人都有盼头”的年代。

如果你愿意留下，那要做好准备：更复杂的项目、更不确定的未来、更慢的涨薪路径。

如果你想转行，那也请理解：不是什么都能复制粘贴，不是所有行业都愿意“重新培养一个网安人”。

做选择的时候，别带太多幻想，也别被别人带节奏。

最重要的是：你清楚自己在干什么，要什么，能承担什么。

写在最后：关于这条路，我们必须坦诚一点

如果你是冲着“钱多事少”、“黑客光环”、“国家重点扶持”来的，那我劝你趁早转行没错。 现实是，护网不等于高薪，写报告不等于研究，“安全岗位”早已不是一块铁饭碗。

别再相信“上岸就高薪”，也别被朋友圈的“入场日薪三千”迷了眼。你看到的是开场报价，没看到的是回款遥遥无期、外包层层分包、乙方自己贴钱垫资的那一面。

但如果你是真心想啃技术这块硬骨头，愿意在冷板凳上坐几年，耐得住“项目没了，岗位也不稳定”的周期波动，那信息安全，依然值得你钻研。

行业确实在收缩，项目预算减少、红利褪去、大厂“收缩战线”是事实。2024 年前二十家网安上市公司中，超过六成处于亏损，研发投入锐减，校招缩招、蓝队重构、红队打包出售，情况比外人想象的都要“真实”。

我们必须承认，信息安全不再是风口行业。但它未必没有未来。

为什么？

因为安全永远不会被“彻底解决”。新的系统、新的架构、新的边界，必然伴随新的攻击面和新的问题。 从本地到云，从客户端到 AI，从单体架构到微服务，从传统 DevOps 到 MLOps，每一个技术跃迁背后，安全问题只会变得更复杂、更深层次。

未来的安全，不会再是“护网”那一套就能撑起来的，而是系统级思维、自动化防御、跨学科融合能力的全面比拼。

那些能留下来的人，不是“最擅长演练”的，而是“最擅长适应”的。

所以，如果你还在犹豫，不妨问问自己三个问题：

• 你是真的热爱技术，还是只是听说“这个专业好找工作”？

• 你能不能接受三五年没有结果的研究和熬夜调 bug？

• 你愿不愿意在“行业冷却期”仍然留在牌桌上，等机会重新浮现？

信息安全行业，不是高速电梯。它是漫长的楼梯，你得自己一步一步爬。

现在这条路，不好走，但也没完全塌。

只是，它只属于那些愿意走完的人。

而你，想清楚了吗？

有人走了，有人留下。 有人在转行清单上划掉了“信息安全”，有人还在凌晨的群里 debug 流量规则；有人在项目空档期刷题面试，有人还在盯着日志追踪未知威胁。

每个人都有自己的理由。 离开的，不是“失败者”；留下的，也不是“幸运者”。只不过，这条路从来不简单。

请记住一件事： 信息安全本质上是一个冷行业——冷在回报周期长、冷在被误解、冷在快速变化的技术前线没有太多掌声。

但真正决定你能不能走下去的，不是行业热不热，而是你有没有热情，有没有扛得住寂寞的韧劲。

这个行业值得尊敬，不在于它有多“赚钱”，而在于它在保护这个世界悄无声息地运转。 那些你写下的检测规则、追过的恶意 IP、做过的演练、交付的系统，可能不会被谁记住，但它们真真切切地抵挡了一次未知的风险。

所以，不管你是刚刚入行，还是准备离开，或者正咬牙坚持， 这不是一碗鸡汤，只是一个前辈/同行给你的提醒：

安全的世界，永远是静悄悄的； 而那些坚持下来的，都是内心有光的人。

最后，说点不该说的。

这个行业，号称“国家战略”，结果却是人人自己垫款，签完合同没项目，做完项目没回款； 讲的是“红蓝对抗”，最后干成了“乙方混战”，你防我偷、我挖你洞，打得比甲方还激烈； 本来想研究漏洞，结果漏洞成了KPI里的“加分项”，你发一篇论文，客户却问：“这个能修服务器吗？” 搞的是网络安全，最后最不安全的是从业者自己，五险一金交得断断续续，夜里还在写应急处置报告。

你发着五千块的工资，在PPT上谈“APT集团战术画像”，甲方只在意图标有没有对齐； 你半夜写报告到吐血，领导让你“格式规范点”，客户一句“先放着”，一放就是半年不给钱； 你以为你在保卫国家，其实你在看工单排队； 你说你在做攻防，其实你在攻防“工资到账时间”和“人力成本倒挂”的现实。

你接了个紧急响应，三天三夜不眠不休，等报销的时候，财务问你“这个打车能不能合并下单号”； 你拼了命拿下合同，结果被中间商一层一层扒皮，甲方给10万，你到手2万还要垫一台设备的钱； 你写的安全建议没人看，你发的威胁通报没人回，客户只在出事那天要你写“事前防御文档”。

但说到底，谁不是自愿。

你点了“接单”，就默认接受了“临时工的尊严”； 你投了网安简历，就签下了“996攻防条约”； 你站上了演练现场，就默默同意了“没有双休、不谈加班”的规矩。

别只骂平台，别只恨甲方， 网安这个圈子最大的漏洞， 是我们都默认了“安全不是给自己留的”。

所以啊， 你还要写日报、写周报、写复盘、写工单， 最后写完那份没人读的审计报告， 再默默签下明年的攻防邀约。

你说，这是热爱； 但更像是一种，从未停止的自我消耗。

原文链接 https://mp.weixin.qq.com/s/H0TMcxN3ixg5lC01zgosQw