甲方真话：网络安全行业不能入？是你还挤在10年前的独木桥上！

2026-04-14 22:23:02 | 发布者: admin1 | 查看: 204 | 评论: 0

预算年年涨，人才却难求，新安全时代的风口早就转向了。

刷到“网络安全还能入行吗”这个问题，我翻了翻底下的回答，几乎清一色是劝退声。什么行业太卷、35岁危机、工资不如从前……看到这些，我笑了。

在 To G 数字化领域干了 17 年，前前后后对接过不知多少安全厂商，我太清楚了——不是这个行业不能入，而是太多人还在用 10年前的老黄历来规划今天的职业路径。

作为长期身处项目甲方的角色，我比谁都懂现在安全市场的真实需求：我们手里的安全预算一年比一年多，可想招个合适的人，难如登天。

不是没人，而是绝大多数从业者，还在那座早已拥挤不堪的独木桥上互相踩踏。

01 甲方视角：安全预算到底怎么变？

首先谈谈一个根本趋势：政府信息化项目中，安全投入的比重与地位已发生根本变化。

硬性底线已确立：如今全国多地已出台明文规定，新建政务信息化项目的网络安全预算占比不得低于 5%，且成为项目评审的“一票否决项”。

比如浙江安吉、山东济宁高新区等地，都已明确此要求。预算不够？项目连上会评审的资格都没有。

这 5% 只是起步线，仅覆盖等保整改、基础防护等常规需求。

重点项目，实际占比远超底线：若是智慧城市、数据要素、关键信息基础设施等重点项目，安全预算占比通常达到 10%—15%，部分特殊场景还会更高。

今年初行业专家齐向东就在提案中明确建议，智慧城市重点项目网络安全预算占比应硬性要求不低于 15%，并单独设置 AI 安全专项预算——这已是许多地方的实际执行标准。

2026 年，预算仍在攀升：例如赣州今年 3 月印发的市本级数字化项目费用指南，就单独明确了网络安全专项费用的比例，等保测评、密码评估等费用还需额外计算。

中央财政在数字化领域的预算中，数字安全已成为贯穿性要求，AI 安全、数据安全等新兴方向带来的是新增预算，而非存量替换。

前几年全国平均安全投入可能还在 3% 左右，如今早已不是这个数字。安全，正从“配套”角色，走向项目的“核心组件”。

说个我亲身经历的例子。几年前我们启动一个总预算 1.7 亿元的工程项目全生命周期 BIM 平台，仅安全一块就预留了 1500 多万元，占比超过 10%。

在政府项目中，安全拥有一票否决权，没有可靠的安全方案，项目再优秀也无法过审。

另一个是 3200 万的气象数据开放平台，需对接深圳数据交易所。其中数据安全相关预算就接近 600 万，用途涵盖数据脱敏、溯源、权限管控及合规评审。

当时我们寻遍市场，发现多数安全厂商的工程师仍停留在“我会渗透测试”的层面，对数据安全合规的具体要求、实施路径知之甚少。

最终我们不得不以每天 8000 元的咨询费，外聘一位数据安全顾问，还需提前半个月预约他的时间。

还有我们打造的低空气象 AI 系统。这套系统的 AI 模型一旦被恶意篡改或投毒，天气预报失准，可能直接影响低空飞行安全，后果不堪设想。

为此我们专门设置了 AI 安全防护岗位，聚焦模型防篡改、训练数据防污染等方向。这个岗位我们招了三个月，几乎无人真正符合要求——多数安全工程师甚至没听说过“AI 安全”具体要做什么。

你说这行业不能入？是很多人根本没触达今天甲方的真实需求点。

我观察过，那些高声劝退的，往往是哪些人？

干了五年六年仍停留在初级渗透测试，依赖工具扫描漏洞，把挖到 XSS、SQL 注入当作核心技术实力。如今自动化工具日益普及，部分基础性工作逐渐被替代，他们的竞争力下降，于是感叹行业太“卷”。
或只懂机械式进行等保整改，套用模板应付检查，对《数据安全法》《个人信息保护法》施行后的新规、数据要素化、AI 安全等新议题一无所知，却抱怨行业没有前景。

不是行业不行，而是他们自己停滞在了上一个时代。

十年前，懂点渗透技术或许就能获得不错待遇，因为市场处在拓荒期，基础安全能力普遍缺失。但如今，数字化迈入深水区，数据要素流通、AI 全面落地，安全需求已全面升级。

如果仍固守十年前的技能栈，怎能不感到“卷”？