最近有很多网站渗透测试安全的员工问我就业的情况，他们去甲方公司做安全防护或者去乙方客户企业做安全防护，特别是应届毕业生或者工作1-3年的员工。其实这个问题不容易回答，因为涉及的因素很多，而且每个人的情况都不一样。但之所以能问这么多人，更多的是反映了甲方安防企业和乙方客户企业上工作的人数不明。不清楚哪个更适合自己，更多的想法会是自己职业发展的不确定性。

毕业后直接进入鹰盾信息安全工作，三年后加入甲方公司，一直工作到现在。我可以告诉你甲方安全防护和乙方安全防护的区别。正如安全行业在不断动态变化，甲乙双方的工作和发展也在变化趋势，仅限于个人视角，仅供参考。其实甲乙双方最主要的区别就是你的职业性格不同。在乙方，你是一个有利润的人(能给企业带来直接利润)，在甲方，你是一个后台管理技术员(不给企业带来直接利润，但保证企业的安全防护或合规管理建设，避免隐患，保证企业网络安全运行)。性格的差异代表着你的工作环境、抗压能力、薪资待遇、发展和晋升空间的巨大差异。

一、渗透测试行业推广问题分析

保安岗位在甲方公司晋升难度极大，企业没有保安也很难有CISO。解释一下，岗位的提升是和企业的发展联系在一起的，不注重安全或安全防护的岗位是不能给企业带来实际利润价值的，所以只有一个安全工程师就足够了。乙方的推广更快，因为售前服务项目需要TeamLeader，售后服务项目需要team leader，服务项目需要精英团队，营销团队需要team leader。总之，有对安全管理岗位的需求。对了，招聘的时候，大部分应聘者的工作规划都是去工作管理，很少有人会去走技术路线。事实上，走技术路线是对差的工作管理路线的不屑，你可以转型成为企业某个行业的顾问或权威专家，所以你的知名度和认可度是其他工作无法比拟的。

很多人会奇怪，为什么甲方那么多公司都有负责安全防护的高层领导。因此，请与所有人交谈，并转向安全保护领域高级领导的切入点：

1.让安全防护引领企业产品或涉及业务。换句话说，安全防护不是保证企业的网络安全，而是勇往直前，转化为企业产品的特色，推送核心卖点。某个企业产品的竞争条件是安全防护，竞争对手的企业产品的安全性无法和大家的相比，所以你可以成功晋升为安全防护总监或者CISO。这也需要很强的整体能力，也需要熟悉企业涉及的业务，企业产品的特点，充分调动资源的能力，真正让企业产品非常安全稳定，在安全防护上别人找不到漏洞或者竞争对手无法防御攻击。否则，如果有漏洞，头条新闻就意味着“某个以安全防护著称的企业产品有匿名登录漏洞”，你的负责人和CISO又会看到你。

2.把安全防护技术部变成盈利部门。简而言之，安全部门可以自己赚钱，比如为外部客户提供安全扫描、渗透测试和安全评估咨询服务。它可以向分销商、同行和服务提供商提供类似的服务项目。如果安全防护的效益收入是每年50万或者100万甚至1000万，那么各个部门的地位就会不一样。安全防护已经成为企业相关业务的发展方向，企业需要安全防护的高层领导，你才能上得去。

3.安全标准和合规管理要求。合规管理要求必须有安全防护负责人和安全防护精英团队，因此需要匹配的安全防护管理层。

4.安全防护性能显示。如果你想展示安全防护的实际价值或可视化安全防护的实际价值，你必须建立一个可衡量的安全计划，例如，每年不超过3起安全事件，不超过6次恶性攻击，不超过1次数据和信息泄露，不要有勒索者病毒。这样，当你到了年度工作总结的时候，就可以分批上报，让领导和企业意识到原来的安全部门做了这么多事情，为公司争取到了稳定的利益，堵住了多少隐患，为企业提供了多少安全防护效果。如果安全防护性能高，需求高，就会有提升的机会。

增加一点额外的心理差异。很多在乙方工作的人会羡慕在甲方公司工作的人，会因为能找到乙方做服务项目而为在甲方公司工作而感到自豪。但换个角度看，本质上就是有需求，有实施方案，一个省钱一个出力，心态平衡。

以上内容是否对大家都有帮助还不清楚。安全保护每天都在变化，选择也是如此。每个人在不同的阶段都会有不同的意见或选择。去甲方公司还是去乙方永远是个问题，希望大家都能有最合适的选择。如果安全渗透测试行业有需求，想测试公司网站或App安全的朋友可以去专业的安全公司SINESAFE和鹰盾安全或者启明星辰，