关注企业数字化过程中网络空间安全风险治理，对技术风险治理拥有丰富的理论和相关经验。

安在的超级CSO课程举办三期，为解决信息安全职场迷茫期的新生力量成长的烦恼，适时推出了未来CSO的课程，忝列为导师，参加了关于网络安全职场成长的第一期直播，畅谈网络安全这碗饭到底香不香。囿于时间原因，再加上圆桌访谈，颇感意犹未尽，恰好本期征文主题涉及这个话题，就仗着自己近25年的工作历程，反思过往，复盘过程中的抽象总结，体系化谈一下这个问题。当然，个人经验适用范围有限，仅供参考，以免误人子弟。

图一、网络安全职业成功的三个层次

职业成功是个逐层递进的关系，相对于马斯洛需求的五个层次，我把网络安全领域职业成功分解成三个层次。首先是岗位的成功，从职场小白到组织骨干，在岗位上要有扎实的业绩。其次是组织的成功，岗位是对本职工作的要求，到了一定阶段，要不满足于岗位的限制，从组织的维度看待网络安全对组织的威胁和机会，协同组织内不同部门，共同应对风险，抓住机遇，有了这个领域的成功，无论是晋升为公司管理层的一员，还是承担无管理职衔的领导者，本质上都实现了组织级的成功。然后是在网络安全行业的成功，对行业的发展创新、洞察意见以及人才培养等，具备独特的见解和体系化的思想，受到行业的普遍认可，达到了行业成功的层次。无论是作为网络安全行业的创业者，还是组织的CSO，甚或是某领域的资深专家，都具备行业领导者和传道者的美誉。

图二、网络安全职业成功三个层次的核心要素

专业是从知识与技能领域的维度谈成功要素，职业是从组织的社会关系中具备沟通、协调、组织的管理能力谈成功要素，敬业是从认知、创新、发展、努力的精神角度谈成功要素。虽然成功的层次中，每个层次都需要做到专业，职业，敬业，但从职业发展的道路上，核心要素的比例是逐层递进的，和每个阶段的成功密切相关，本文就从这个维度进行逐层分解。

表一、职业成功从要素、逻辑、根源到路径

网络安全职业成功的第一站是岗位的成功，涉及到网络安全专业体系的复杂度，会有不同的专业领域。例如，攻防实战领域是比较热门的，无论是白帽黑客的漏洞挖掘、渗透测试还是破解、反编译、跟踪调试等系列ATT&CK攻击技术实战。也有建立安全防御基础设施三分之一天下的密码技术体系的技术研究，从身份认证、证书公钥、区块链到可信计算、隐私计算，同样具有广阔天地。还有以管理促进技术的ISO27001安全管理体系的审计与合规检测等，都可以走出同样精彩的道路。

岗位成功的底层逻辑是对技术的把握，需要体系化掌握领域内的知识体系，这个阶段需要的是对操作性知识的训练以及显性知识的记忆，最好的路径其实是在科班出身的基础上进行专业证书的学习和考取。当然，这是个相对轻松的捷径，未走过这条路的大神们，比如依靠网上论坛、曾经的杂志和自己的摸索取得成功，或许会对这个捷径嗤之以鼻，但本质上而言，考证确实是个事半功倍的捷径。例如攻防领域的OSCP、CEH，包括国内现在的CISP-PTE都是可以参考的体系化技术知识体系。还有管理领域的CISM、CISA，当然，密码技术体系学科教育中已经有不少基础课程可以用于训练。

岗位的成功，并不是以局限于某一安全领域作为终结，对安全专业领域进行全面涉猎，有过3-5个领域的经验，对走向领域专家的道路更有价值。例如，CISSP的考试就涉及到安全所有的10个领域，并建议学员具备3-5个领域的实践经验。岗位成功的时间阶段有长有短，我个人认为，在这个阶段停留3-5年，对打好自己的基础，实现下一个阶段的成功多有裨益。

岗位上的成功并不一定处于低级成功的阶段，这和个人发展路径，社会认知和文化因素密切相关。比如一个老生常谈的话题，西方的程序员，做到50-60岁，满头白发依然奋斗在第一线者依然时有耳闻。但西方社会工作、生活、成功的态度，于当下中国的现状并不一致，因此在中国就会存在“35岁现象”。虽然这种对一线工作的年龄歧视并不符合人类知识发展的规律，但在社会价值观普遍如此的前景下，在职业规划的道路上，如何在现有模式下脱颖而出才是我们讨论的重心，而不是进行社会性批判。

在3-5年的岗位成功基础上，我们需要考虑的是组织层面的成功。组织层面成功关注的是组织的目标实现，作为网络安全从业者，懂业务、知目标、谈贡献是必备的功课，这个时候仅靠网络安全领域知识的专业性，显然难以满足成功的必要条件。既然我们需要关注组织的战略目标，就需要把网络安全的目标与业务目标进行整合，实现组织网络安全建设成本与效益的平衡，以最小的代价实现最大的价值。

组织成功是需要竞争意识的，如何在岗位成功的基础上脱颖而出，实现组织成功，需要具备通用的管理能力，组织、协调、指挥、控制的管理基本职能涉及到跨领域的协同，下级、平级、上级、目标、利益实现平衡，获得相应的认可，是跟人打交道，在组织文化的基础上实现软技能的提升。这其实对技术出身，利用智商对技能和知识体系深耕的技术人员而言是一个挑战，但又是组织成功的必然路径。这个阶段，通过职业化的训练非常有价值，而MBA、或者项目管理（PMP）的职业认证是一些学习领域知识、讨论和探讨、案例分析与实践快速提升自己软性能力的机会。如果能有行业的专业领域课程则是意外之喜。从这个意义上来说，安在的超级CSO和未来CSO课程可以说是看到行业的痛点，适时推出的最佳课程，通过对行业经验的提炼、抽象，为后来者提供了一个捷径。

至于这个领域的停留时间，我觉得一个台阶3-5年在同一个组织内可能是按部就班的过程，当然，具备跨组织经验这个过程也可能快速突破瓶颈，实现职业生涯的飞跃。每个人的成长经历，所处的行业、组织不同，遇到的机会和机遇大不相同，很多人会停留在这个阶段，也有不少人会卡在这个阶段的某个阶层中，彷徨与徘徊。但也不否认，有些人快速实现突破，达到很多人难以企及的高度。每个人都需要想明白，对个人而言，这个阶段已经不是单纯努力就可以收获的，有太多因素参杂其中，要学会得失淡然，只管努力，莫问前程，保持一颗平常心。

敬业从爱岗敬业的角度一般会谈对岗位对企业的忠诚度，对职业的尊重与敬仰。这里拿过来重新诠释，被用来指代在行业中受到普遍认可需要对行业的创业和发展做出了自己的贡献，真正实现职业的尊敬、认可与融入。看到这个词，笔者想到的是稻盛和夫老先生的敬天爱人，而成功的最高阶段，是对网络安全职业的崇敬与奉献。

如果前两个阶段的成功主要源于输入，无论是对专业知识的硬能力，还是对职业知识的软能力，在学、练、总结、思考、持续优化的过程中实现自我成长。那么第三个阶段的成功主要源于输出，对行业的思考、总结，创新向行业从业者的回馈，通过分享、共享、探讨，实现行业的繁荣与发展。

这个阶段需要跨越行业的界限，站在网络安全行业的外面，以第三者的视角观察体会网络安全行业，从而发现不同的风景以及忽略的细节。Security有证券的含义，也是金融领域在大航海时代规避海运奉献的金融创新，如果去了解金融行业的历史，发现其中共通之处。当个人信息涉及到个人权利保护，当重要数据涉及到国家安全和社会稳定时，就会越来越多地从法律合规的视角看待安全的风险与责任，思考是否从法律的视角和维度关注安全。

安全意识涉及到人，社会工程涉及到人，那么人的思想、行为之间的关系维度如何定义？心理学的若干领域是如何通过实验干涉人的行为和思考？从这几个例子而言，金融、法律、心理学、社会学、政治学都与安全有底层的逻辑关系，更不用说，技术相关的新技术演进与发展、云大物移、ABCDE新技术都是安全创新与进步的源泉。因此，提升自己的认知能力，跨界思考与创新，是网络安全行业成功绕不开的主题。

条条道路通罗马，个人的经验抽象总结，仅能当作其中的一条可能路径，作为思维的借鉴与参考。希望每个网络安全从业者都能走出自己成功的道路，汇聚在一起，就会为后来者提供更多参考的路径，也为后来者提供一条适合自己职业生涯成功的道路。