說句老實話。資訊保安缺人麼？缺人。信安崗位多麼？不多。

為什麼會形成這樣一個扭曲的狀況？因為我們現在說“資訊保安缺人”，一般是指“缺口很大”，而不是指“需求很大”。

比如某小型“雲服務”供應商，一共也就大概幾百臺物理機器，每隔四五個月才喊人來手動升級一下系統、打打補丁。要是補丁打得不及時導致使用者被黑，那就認栽然後直接理賠。你說他們這個資訊保安做得這麼垃圾，是不是非常缺乏專業的資訊保安人員來補齊這個短板？

可問題在於，他們養不起專業的資訊保安團隊啊。阿里雲養一個安全團隊，可以把這筆資訊保安的成本攤平到每臺機器上，最後實際對產品價格的影響微乎其微。可這小服務商一共也就這幾百臺機器，請上幾個專業的資訊保安人員，價位就開始顯著浮動了。

除此之外，這幾個資訊保安人員請來之後，能夠給這些中小企業產生實際的利益嗎？不能。來買他們產品的使用者水平本來就參差不齊，伺服器上放不了什麼值錢資料，被黑了也未必能察覺到。這些中小企業哪怕不請資訊保安人員，也賠不了使用者幾個錢，那何不把這些錢拿去做產品呢？畢竟那才是真金白銀的利益啊。

如果需要拿資訊保安做產品賣點，那也簡單啊。拉幾個程式設計師，冠他們一個資訊保安工程師的頭銜，然後大搖大擺地在宣傳海報上吹就可以了，有誰能來揭穿他們呢？無端攻擊他人網站和資訊系統那可是違法犯罪行為，被關了四年才放出來的烏雲團隊就是大家的前車之鑑。

所以對於這些中小企業來說，養一個安全團隊，一是成本偏高，二是收益微妙。他們能做出的最大努力，也就是去市面上買一兩個現成的解決方案，把業務中的某一小塊關鍵環節覆蓋住，這就已經是他們的極限了。接下來的時間就是燒香拜佛，求佛祖保佑自己公司的大名不要出現在新聞上，使用者資料被黑不要被使用者發現，那他們就心滿意足了。

目前這種現狀，歸根結底是資本逐利的本性導致的，是網路安全這項工作的基本性質決定的。哪怕國家從戰略層面打雞血，也只能吹出一個短暫的泡沫而已，我覺得我看不到任何從根本上解決問題的可能。作為從業人員，能做到的大致也就是好好打磨本領，然後找家養得起安全團隊的公司棲身，僅此而已。

現在想想，也許只有在一個網路攻擊四處氾濫、中小公司人人自危的環境裡，大家才會真正開始把資訊保安提到足夠的高度上吧。