“百家”，对安在来说不算是新栏目，比如早前我们曾开设过的专家专栏，但算是又一次的开始，这意味着我们将以更开放和更包容的方式让网络安全“诸子百家”们“百花齐放”，他们是各个行业代表性企业的cso、安全骨干，是业界大咖、专家，是思想者、实践者和分享者。为此，安在将会持续呈现来自“百家”们的最佳实践和真知灼见。
作者简介
聂君，十余年银行证券信息安全从业经历，曾在招商银行总行信息技术部安全团队工作九年，现任安信证券信息安全总监。维护过网上银行、各类网络安全系统，在安全运营、异常行为模式识别、反钓鱼反欺诈等方面有过经历。担任国际灾难恢复协会（dri）中国区常委，银监会信息科技高层指导委员会联络员。牵头起草金融行业安全运营行业标准，参与了行业标准《证券期货业信息技术服务连续性管理》。业余时间维护“君哥的体历”公众号，专注于金融行业企业安全建设实践，企业安全落地最后一公里，订阅量1万+，公众号文章全部为原创分享。
工作日久，会接到一些朋友关于专业就业、职业规划的问题。自从开通“君哥的体历”以来，也会收到后台留言，提及职业规划，以及有关工作迷茫的问题。
比如：去一线城市还是回老家就业？我现在做的工作是xxx，感觉没前途，我很迷茫，我该怎么办？我现在有两个机会，一个是去大公司的xxx，一个是小公司的xxx，我该选择哪个？上述大部分问题，我能获得的信息比较有限，其实每个人的情况都不一样，在不了解实际情况的前提下，很难给出最合适的建议。人的一生会面临很多选择，判断选择的因素应该是：趋势、职业规划和未来收益。我试着从趋势、职业规划和从业者的未来等几方面，分享我了解的一些情况，经验体会和思考。
1. 职业规划方法论
社会分工：亚当.斯密在《国富论》写到：人的天赋差别并不大, 造成人们才能上重大差别的是分工的后果。哲学家和挑夫之间的差别, 就是职业分工的结果。社会分工在我们学习时就已经开始了，我和同学在参加高考时，大部分都不太清楚计算机科学与技术、材料科学、电气工程自动化等专业会在未来对自己就业，职业发展带来怎样的影响，但职业分工已经开始了。
现代工业发展，将业务流程化、标准化，催生了一个个非常细分的岗位，一方面大大提高了社会生产率，另一方面由于社会分工的高度细化，大部分劳动者只能在流水线前日复一日不知疲倦的敲着那颗钉子，可替代性很强，因此价值很低。保安、柜员、前台、应收应付会计、甚至是比较底层的码农、一线人员等。而且由于这种重复机械劳动的禁锢，劳动者还失去了学习的机会，这意味着他很难提升自我的内在价值。
举个例子：我原来在一家全国性股份制银行信息技术部工作，近距离观察过it部门负责采购的同事们的工作状态，因为it部门的项目比较多，采购同事们工作任务比较重，因此分工比较细，需求审核、采购文档录入和审核、供应商管理、采购谈判、合同签订和管理等几个岗位。负责文档录入、合同管理的同事每天要面临大量的采购文档和数据录入，经常加班到很晚，没时间学习新的技能充电，回家就躺床上一动不动了。
一个人的不可替代性越强，就越有价值。构建个人核心竞争力，一定要在自己的专业领域做出深度，成为专家。同时兼顾知识的广度，在相关的专业领域上扩展自己的知识结构。选择工作的时候，规避主要内容都是dirty work的工作，最完美的状态就是每时每刻都能学到新的知识，按照10000小时定律努力下去，就有可能成为某行业的顶尖人才。
小结一：尽可能规避社会分工给个人职业发展带来的不利因素，尽快塑造工作中的个人价值-不可替代性。
给职业生涯上杠杆：不管你是做技术，还是做管理，或者各种一线运营工作，你能创造的价值都是有明显的天花板的。如果你从事的工作职能单纯是靠出卖脑力和体力，那么就算是能力再强，天赋再高，24个小时不睡觉，一个人最多也就顶俩，顶仨，这是人的生理极限所决定的，那么你也就创造了两三个人的价值。如果你想迈入更高职级职位，必须突破个人生理极限瓶颈。
如果是搬砖性质的工作，长年累月的加班，累死累活，也就是砖搬的又快又好有多，发展空间是明显天花板的，再进一步就要猝死了。会计行业很多审核发票报销的岗位、银行的柜员、四大会计师事务所的安全审计等日复一日重复性工作且得不到太多价值提升空间的岗位，随着人工智能发展，未来能保住饭碗就算不错了，这是市场供需和工作难度决定的。
破解困境的方法是给你的职业生涯上杠杆，用你的24个小时去撬动许许多多的别人的24个小时，你才能用你那渺小的微薄的身驱去创造出更大的价值。组建团队，团队作战产出更多绩效是上杠杆；优化改进现有工作机制避免类似问题再次发生是上杠杆，拓宽工作范围承担更多职责是上杠杆，合理利用和优化资源配置解决实际问题还是上杠杆。
如果说在自己的专业领域做出深度，成为专家是1，给职业生涯上杠杆就是1后面的0.给职业生涯上杠杆，你可以十倍百倍的创造价值。很多安全传奇人物，技术上到达一定巅峰后，转而从事各类“安全生态”建设，推动某个安全领域往前发展，这也是善用团队力量，优化配置资源，从解决单纯的点状问题转向批量彻底解决一类问题。庄子说君子生非异也，善假于物也。安全从业人员，也可以审时度势建设各类“安全生态”，善用团队力量，优化配置资源，从而创造更大价值，那其职业生涯也将取得更大成就。
小结二：个人单独能创造的价值有明显天花板，给职业生涯上杠杆，善用团队力量，优化配置资源，创造更大价值，职业生涯将取得更大成就。
是不是每个人，坚持按照10000个小时定律努力下去，就成为顶尖人才，从此走上人生巅峰，迎娶白富美呢？显然不是^_^。一方面，个体的差异是存在的，有些人适合从事技术类岗位往深度发展并成功，有些人并不适合。另一方面，高阶岗位除了需要技术专家以外，更多需要综合全面搞定问题的复合型人才。
像创业那样去打工：周鸿祎说他当年工作，他跟别人最大的不一样，就是从来不觉得他是在给别人打工，他觉得是在为自己干。因为他干任何一件事情首先考虑的是，通过干这件事情能学到什么东西，学到的东西是别人夺不走的。
塑造个人价值-不可替代性，如果说给职业生涯上杠杆，创造更大价值这两方面如果属于职业规划战略的话，那么像创业那样去打工就属于职业规划的战术。
人的本性是懒惰的，科技的进步本质上是为人类提供更“懒惰”的生活方式。基于这一前提，个人是很难突破本我，实现超我。为什么有的人像打了鸡血一样勤奋不辍，为什么有的人孜孜以求，为什么有的人对于困难甘之如饴？因为这类人不是在为别人打工，是在为自己打工，是在创业。由要我干，转变为我要干，就是在创业，在为自己的未来打工。像创业那样去打工和其他打工的区别是，前者不断在学习，提升自身价值，后者在日复一日的重复劳动中消耗青春。
学东西，在工作中分为被动学习和主动学习。被动学习是指，为了完成日常工作任务和弥补知识欠缺，你不得不去进行的学习。需要注意的是，这种学习其实是十分的高效的，因为为了生存，人容易调动起学习的积极性，因此，一份好工作，它的被动学习空间应该越大越好。
大部分人，如果不是环境所迫，一般都不会主动去学习，容易陷入混吃等死的工作生活状态。工作的流水线程度越高，被动学习的空间越小。什么样的工作被动学习空间小？那些一成不变，不断重复，工作非常之清闲，完成过程不是那么“痛苦不堪”，那么被动学习空间比较小。
为什么大部分行业，销售类的岗位收入都高于其他同等要求的岗位？因为不同行业不同发展阶段的客户需求千奇百怪，会遇到和需要解决各类令人棘手的问题，这些都是解决起来很需要经验的非结构化问题。
主动学习，指平常工作可能用不上，主动储备用于以后使用。对大部分人来说，如果没有环境逼迫，加之日常繁重的工作，很难做到持之以恒地、积极地主动学习，而且人的时间精力总是有限的，如果对自己所处行业的大局和趋势缺乏了解，一般人很难能框定出一个比较合理的学习范围，万一学了一堆用不着的职业技能，也会付出巨大的机会成本。主动学习不如被动学习效率高，但一旦建立起主动学习的能力和习惯，持之以恒的坚持，机会一定会垂青有准备的人。
抱着创业的心态去打工，而个人利益与公司利益正好能一致，那么工作积极性会大大提高，客观上也会为公司创造价值。每个人对人生的追求都不同，有的人喜欢平淡简单知足的生活，有的人立志成为呼风唤雨的大佬，不同的人生目标选择的道路自然不同。但千万不要因为贪图安逸不愿努力而做出选择，因为短期的安逸必然会让你付出长远的努力来弥补。
小结三：抱着创业的心态去打工
发展路径：安全人员职业生涯发展路径问题，先看看安全岗位分类，根据安全岗位所需的技术能力和非技术能力如沟通等做了个分类：
注：abcd表示工作岗位所需对应最低技能要求，非该岗位实际技能值。这里不是说哪些岗位技术能力高，哪些岗位沟通能力高，而是对岗位所需能力做个示意，无意区分职位优劣好坏，每个岗位上兢兢业业从业者都值得特别尊敬。如有冒犯，万分抱歉。
个人认为适合有志于安全从业的大学毕业生的职业规划思路是：
尽快超越a类工作所需要求：a类工作属于不需要太多技能和经验，且日复一日重复度极高的工作岗位，但很不幸，大部分安全从业者就像刚申请游戏账号的新手一样，都是从a类工作开始安全之旅的。a类岗位是必经之路，就像刚毕业的人总会经历一个干苦活累活杂活还没有太多成就感一样，想尽量走出a类岗位的玩家，会有意识的做到：
1.尽可能的将岗位工作标准化、自动化，节约人力，空出时间干更多有提升价值的工作和学习；
2.将交待的工作认真做到位，经常利用下班时间钻研，知其然更知其所以然，把原理和本质吃透；
3.总结经验教训，反向改进优化机制，提高效率，避免类似问题重复发生。
在a类岗位工作是新手玩家必经的一道坎，很多玩家倒在这道坎，从业十多年还在从事基础类工作，能够顺利且迅速的迈过这道坎，才能打开b类和c类岗位工作，并最终迈向d类岗位工作。
尽量从c类做起：为什么不是b，是因为在中国大部分应届毕业生沟通能力和技术能力还是不够的，在个人品质上，普遍脸皮薄、害羞、内敛，不如西方特别是欧美人热情自信，如果先从b做起最后发现不适应，而技术早就荒废了，从管理人生的风险敞口角度是不太合理的。c类工作的两个特点：一个是学习空间大，这样在工作上花的时间会凝结成自身的价值；二是会经常需要解决非结构化的问题。
大部分安全从业人员都面临在c类和a类岗位之间做出选择，比如金融企业大部分会购买一些安全设备如ips、waf、数据库审计之类，a类岗位安全设备管理员工作内容就是确保设备正常开关机，按照厂家建议修改一下默认规则配置一下，流量镜像、日志告警正常，偶尔看看高风险告警情况，定期出几份报告，加黑几个ip。
c类岗位工作内容是，先搞清楚安全设备底层原理，测试设备全部安全功能并知晓各功能局限以及关键有用功能，搞清楚此类安全设备能够防护的攻击类型和常见绕过方式，针对性配置防护规则和告警规则并作出优化，对于高风险告警一一进行安全分析并反向优化，对于异常进行溯源、定位、清除。明显c类岗位比a类岗位对安全有效性更有价值。如果选择前者工作范围，那么就是选择了a类岗位，如果选择后者，就让原本是a类岗位变成了c类，选择决定了未来。
即便是c类工作也很快就会遇到发展的瓶径。原因有两个。
一个是从企业角度来说，某一业务流程一旦变得越来越难杂，企业就会有将其不断肢解细化的强烈内在冲动，以降低对核心员工的依赖。比如安全分析中的安全事件应急处理，企业希望能够将安全分析的工作分解，流程化、标准化和工具化，一部分安全分析的工作能够交由技术功底和经验不是那么多的初级人员去完成，慢慢的安全事件应急处理就是照着标准的工作书，拿着标准的工具、流程跑一遍就好了，现在绝大多数的安全厂商的应急处理就是这样的。
二是工作一两年之后时间的边际效用在降低，不像刚入行每天都可以学到新的知识，重复机械劳动逐渐成为常态，在这种情况下工作所花时间并不会让你的人力资本增值，反映到薪酬上就是工资开始顶到了天花板停滞不前。更糟的是，一旦你花�...