文章总结： 文章指出网络安全行业已从野蛮生长的红利期进入成熟饱和阶段，增速放缓导致内卷严重，表现为证书竞赛、技能堆砌和价格战。破局之道在于避免同质化竞争，建议从业者选择垂直深耕细分领域（如工控安全、云原生安全）、技能跨界组合（安全+法律/销售/产品）或行业深耕积累不可替代的经验。同时强调需调整心态，将安全视为手艺而非信仰，注重长期职业规划与投入产出比，在拥挤赛道中寻找差异化路径。 综合评分： 72 文章分类： 安全建设,安全意识,实战经验,安全运营,其他

你发现没，网络安全越来越不好干了

原创

Caigensec Caigensec

菜根网络安全杂谈

2026年3月2日 13:07 安徽

点击上方蓝字关注我们

免责声明：本公众号尊重知识产权，如有侵权请联系我们删除。

你发现没，网络安全越来越不好干了。前些年这行还是香饽饽，现在到处都在说优化、砍预算、项目难做。入行时都说是朝阳产业，缺口几十万，会点技术就不愁饭吃。这才几年，怎么就成卷王聚集地了？

01

先认清现实，红利期真过了

咱们得承认一个现实，网络安全行业，已经是个成熟行业了。什么意思？就是野蛮生长的阶段结束了。

以前那种“随便做个产品就能卖给政府”“会点合规就能当专家”的好日子，真没了。现在的行业增速，从以前的百分之二三十，掉到了个位数。这不是什么周期波动，是市场真饱和了。银行、电信、政府这些大户，该买的设备都买了，该过的等保都过了。

这就是第一个感受：行业没以前那么缺人了，也没以前那么舍得花钱了。

02

再看清内卷，我们是怎么把自己卷进去的

有次跟几个老安全讨论，一个哥们儿吐槽：“现在招人真难。”

我们问：“怎么难？不是大把应届生找不到工作吗？”

他说：“我要找一个能写代码、懂渗透、会合规、能背锅的，给八千，面试了二十多个，没一个合适的。要么只会用工具，要么只会写文档，要么啥都会一点但啥都不精。”

另一个哥们儿笑了：“你这是想招个超人啊。问题是，真有这本事的人，会来拿八千？”

这话说到点子上了。现在安全圈的内卷，本质上就是这么回事：需求方想要全能选手，供给方全是标准化零件，最后大家都难受。

1、内卷长啥样？你看看身边有没有。

一是证书竞赛。早年有个CISP就能横着走，后来变成CISSP、CISA、PMP、OSCP……现在入行没两三个证，简历都不好意思投。问题是，这些证真的代表能力吗？但招聘的时候，HR不懂技术，只看证。于是大家拼命考证，考完发现，除了证明自己能考试，啥也没证明。

二是技能堆砌。你看现在的招聘JD：精通Python/Go/Java，熟悉Kali/Linux，掌握OWASP TOP 10，有应急响应经验，懂等保2.0，能出差，能加班，能背锅，抗压能力强……这是招人还是招牲口？结果就是，大家都往这个模子里套。学Python、学渗透、考证书、刷漏洞平台……最后所有人都长一个样。你会的我也会，你不会的我还不会。那凭什么要你不要他？拼价格呗。

三是价格战。乙方圈子里最明显。一个安全服务项目，招标预算一百万，最后可能五十万中标。为啥？你不做有人做，你报五十万，有人报四十万。最后大家都赚不到钱，只能压缩成本，压谁的成本？压员工的工资和工时。于是你发现，自己干的活越来越累，钱却没涨多少。想跳槽吧，发现别的公司也一样。

2、为啥会卷成这样？

根源就一个：大家都挤在同一个池子里。

这个池子叫“通用型安全人才”。就是那些在任何一家公司都能干的活：配防火墙、看告警、写报告、应付合规检查。这些活儿有没有技术含量？有。但问题是，门槛不高，可替代性强。

随便一个培训班，三个月就能批量生产一批渗透测试工程师。他们可能不懂原理，但会用工具，能跑脚本，能找到一些现成的漏洞。对很多公司来说，这就够了。

于是市场上充满了这样的标准化人才。供给多了，自然就不值钱了。再加上行业增速放缓，新岗位变少，老岗位又没什么流失。结果就是：一个岗位放出来，几百份简历砸过来。HR只能靠硬指标筛：学历、证书、工作年限。至于真实能力？没人有时间细看。

这就是第二个感受：我们在一个越来越挤的赛道里，用同样的技能，抢越来越少的机会。

03

怎么破，别跟别人挤同一个门

说了这么多丧气的，总得给点出路。毕竟日子还得过，房贷还得还。

我觉得，破内卷的核心就一句话：别跟别人在同一个维度竞争。

大家都在卷广度，你就卷深度；大家都在卷技术，你就卷业务；大家都在卷单兵能力，你就卷团队协作。

具体来说，有几个方向可以试试。

方向一：垂直深耕，做细分领域的专家

通用型人才已经饱和了，但细分领域永远缺人。比如工控安全。懂工业控制系统的人本来就少，懂安全的更少。你要是能把Modbus协议、PLC编程、工业网络架构搞明白，再去研究工控系统的漏洞和防护，你就是稀缺资源。那些电厂、水厂、制造企业，想找个人给他们做安全评估，翻遍圈里也就那么几个人。

再比如云原生安全。现在都在上云，但云上的安全逻辑和传统完全不一样。容器逃逸、K8s权限配置、服务网格安全……这些东西，学校里不教，培训班也教得浅。你要是能自己啃下来，把K8s的安全机制摸透，你就是香饽饽。

还有数据安全、隐私计算、车联网安全……每一个细分领域，都有大把机会，只是需要你沉下心来，花时间钻研。

方向二：技能杂交，做跨界选手

单一技能容易被替代，但组合技能就很难。

举个例子：安全+法律。你懂GDPR、懂个人信息保护法，又能从技术上解释清楚数据流向和风险点，那你就是法务和技术的桥梁。那些大厂的法务团队，做梦都想招一个这样的人。

再比如：安全+销售。你懂技术，又能跟客户喝酒、能听明白客户的潜台词、能把复杂的技术翻译成销售话术，那你就是售前大神。售前的薪资，往往比纯技术岗高一大截。

还有安全+产品、安全+运维、安全+开发……每一个“安全+”的组合，都能让你从一堆人里跳出来。

方向三：行业深耕，做懂行业的安全人

同样的安全技能，放在不同行业，价值完全不一样。

你在互联网公司做安全，可能天天跟业务部门撕逼，被当成成本中心。但你在金融机构做安全，就是风险管理的核心环节，老板得供着你。

为啥？因为有些行业对安全的依赖更强，监管更严，出事成本更高。你帮他们搞定合规，就是帮他们省罚款；你帮他们防范攻击，就是帮他们保饭碗。

而且，你在一个行业待久了，积累的经验是带得走的。有些行业的监管要求，换一家公司还是那些；有些行业的技术规范，换一个厂子还是那些。这些行业知识，不是随便一个刚毕业的学生能替代的。

04

心态上也得调整

最后说点虚的。

内卷不光是外部环境，也是心态问题。很多人卷，是因为不知道自己要什么，看到别人干什么就跟着干。别人考证，我也考；别人学新框架，我也学；别人跳槽，我也跳。最后发现，自己一直在追别人的尾巴，从来没想过自己要成为什么样的人。

其实，职业生涯不是短跑，是马拉松。起跑快不快没那么重要，重要的是你跑的方向对不对，能不能坚持跑下去。与其在拥挤的赛道里跟人挤破头，不如找一条人少的路，慢慢走。哪怕走得慢一点，只要方向对，总能走到终点。

还有一个心态要调整：别把安全当信仰，它就是门手艺。

很多刚入行的兄弟，容易把网络安全当成一种信仰。什么“守护数字世界”“对抗黑暗势力”，听着热血沸腾。但干久了你就知道，这就是份工作。既然是工作，就得讲投入产出比。你在一家公司干三年，攒下的经验、人脉、对业务的理解，能不能带到下一份工作？如果换个公司就得从头学起，那你这三年积累了什么？举个例子，在一家小安全厂商干了好几年，产品卖不出去，公司倒闭了。出来找工作，人家问他懂不懂金融业务，不懂；懂不懂制造业场景，不懂。会的那些安全产品配置，换个厂商就不适用了。

这就是把安全当信仰、没想清楚自己往哪儿走的代价。

反过来，如果你把安全当成一门手艺，用它当门票，进到一个好行业，在里面扎根、生长，那你才有未来。

05

最后说几句

写这么多，不是想制造焦虑。恰恰相反，我是觉得，焦虑是因为看不清方向。

网络安全这行，确实越来越不好干了。但这行也不会消失，只是游戏规则变了。

以前是“什么都会一点”就行，现在得“有点真本事”。咱们能做的，就是接受现实，调整心态，然后找准自己的路，一步一步往前走。

别躺平，但也别瞎卷。共勉！

END

亲爱的朋友，若你觉得文章不错，请点击关注。你的关注是笔者创作的最大动力，感谢有你！

往期推荐

Recommended in the past

为什么有人迷信网络安全无用论

聊一聊网络安全公司的内部争斗

网安人，稳住就是赢

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：菜根网络安全杂谈 Caigensec Caigensec《你发现没，网络安全越来越不好干了》