近日，关于网络安全人才的两个话题引起热议，一个是麦可思研究针对十年来的本科高薪专业发布调研报告，称信息安全已取代建筑学成为收入最高的专业，并连续7年问鼎各本科专业的收入最高，十年间，该专业毕业生的平均月收入由4357元升至7396元，起薪涨幅高达9.7%，成为各行业之最。另一个则是刚刚过去的2021年国家网络安全宣传周期间，工业和信息化部网络安全产业发展中心联合其他机构发布了《网络安全产业人才发展报告》（2021年版），报告指出2021年网络安全领域的平均招聘薪酬达到22387元/月。

看到这两个新闻，很多朋友笑称又被平均了，作为一名行业老兵，姑且不谈数据的准确性，仅从招人这一点就能感受到行业的变化。十几年前招聘的时候，特别看重的是求职者是否热爱安全，并可适当放低对学历和专业的要求，当然当时大学本科基本也没有网络安全专业，行业薪资难以吸引非常优秀的IT人才，没有兴趣可能干不久。整个国内安全市场也就几十亿，老板说咱们这个行业的天花板取决于法规，操着卖白X的心赚着卖白菜的钱是从业者的普遍状态（黑灰产例外）。记得当时一个销售是IT技术转型过来的，约访一医院客户屡屡受挫后给我诉苦：要是我有亲戚在政府就好了，我当时直接骂他，你爹要是市里的你还搞安全这行？后来他真的去外资IT厂商了，这几年很多外企大厂的销售又纷纷进入网络安全行业则是后话。

2014年开始，网络安全上升到国家安全，法律法规密集出台逐渐完善，数字化转型如火如荼，如今已然进入网络空间安全甚至数字安全时代，有人说万亿市场不是梦，不管靠不靠谱，各路大神都开始进入这个行业是真，今天就谈谈承载这个行业盘子的销售人员修养的话题。

这几年在面试或和销售沟通过程中，常有诸如此类的一些对话（如有雷同纯属巧合，并无他意）：

问A：你以前在大集成公司帮客户上云，合作的都是国内顶级的云计算公司，为啥来搞安全这个小行业？你对哪个领域的安全技术比较熟悉可以讲下吗？

答：因为这两年安全比较火，收入应该会比较高，上云的时候也会给大家推荐下云安全产品，一般是卖主机的时候让客户一起选，但技术方面我没了解太多。

问B:你原来做To C的销售，觉得TO B有啥不同？

答：就是多陪客户，做好服务，我喜欢与人沟通。

问C:介绍下你对网络安全行业的认识和比较熟悉的技术

答：国家比较重视，每年都搞网络安全周，了解钓鱼邮件和防病毒。

问D:你喜欢学习吗？看过哪些销售方面的专业书籍？

答：我看过《圈子圈套》和《做单》两部小说。

问E:你原来的安全公司有将近上百个安全产品，你都熟悉吗？怎么学的？

答：除了公司最著名的那X个产品外，我会把catalog打开让客户选，卖到哪个产品我不懂就拉上技术，下次就会了。

现代管理学大师德鲁克曾说过：企业的存在目的在于“创造顾客”，因此只有两种基本功能：行销与创新，其他工作都是成本。其中，行销的目的在于充分了解顾客，将其潜在需求转化为实际需求；创新则是赋予人力、物力创造更大财富的任务，用超越过去的方法满足顾客需求。

从商业的角度定义，销售是提供产品或服务，获取收入回报的活动或过程。

销售常分为资源关系型、商务公关型、推销型、顾问型等不同风格。要做好销售，除了自信、勤奋、抗压力强、善于沟通和协调内外部资源外，最好还需要有广泛的知识和某些特长。网络安全作为一个高科技行业，销售还需要具备专业的知识和良好的职业习惯，顾问式销售风格比较适合。

最近把十几年前培训销售时准备的一篇材料翻出来给入行三年内的新人学习，时隔多年感觉依然可用，真正为客户创造价值，为数智时代保驾护航需要专业的网络安全产品和解决方案，而销售人员的专业性也是行业健康发展的重要保障。

最后一页重点解释下，涉及安全行业从业人员所需的专业知识。网络安全与攻防对抗、信息技术、业务场景紧密相关，不断演进此消彼长的攻防技术和手段、层出不穷的新概念和名词、合规和事件驱动的压力都要求我们与时俱进。同时，既然安全没有银弹，客户预算一定，碎片化的技术导致细分领域特别多，竞争有时不仅仅是同类展开，还可能是跨品类，比如你推IPS最后可能客户买WAF或NGFW，你介绍的漏洞管理系统可能被友商引导成态势感知所包括，数据库防火墙可能被替换成了堡垒机，反正谁也不能保证上你的东西后完全不出事。正因如此，具备专业知识的销售更可能获得客户的信任和认可。

• IT基础知识：比如说Wintel架构、操作系统、存储、数据库、虚拟化、网络通信协议等。
• 基本的安全观：比如说安全与业务的关系、安全对抗的本质、动态性、非对称性、安全的相对性、技术和管理的关系、木桶理论、风险的三要素、为什么要安全运营等等。
• 数字化技术与趋势：当下流行的ABCDE等场景下的安全风险及这些技术如何赋能安全。
• 通用的行业知识框架和最佳实践：PPDR、IPDDR、ISO27001、Kill Chain、ATT&CK模型、DSMM、NIST零信任架构ZTA、Gartner CARTA等。
• 政策和法规：网络安全法、数据安全法、关键信息基础设施安全保护条例、个人信息保护法、等级保护、三化六防挂图作战、GDPR，以金融行业为例，还包括金融数据安全数据安全分级指南、关于规范金融业开源技术与发展的意见、人行和银保监各种发文等。
• 行业热点事件：震网事件、各种脱裤、Colonial Pipeline遭受勒索软件攻击、SolarWinds供应链APT攻击事件、每年一度的大型Hvv等等。
• 客户行业与业务：比如医疗行业，你需要知道医院的HIS、LIS、PACS和互联网医院系统、气动管道输送系统(PTS)等。
• 同行与友商：从网络安全、终端安全、应用安全、数据安全、到安全管理与运营等近百个细分领域的相关产品是干什么的，属于哪个类别。
• 自身产品：这个就不用多说了吧，但好像很多销售是经不起细聊的。

根据近几年来的情况来看，网络安全行业新技术和概念不断出现，应该再补上个新兴技术或热点，比如SASE、SOAR、ZT、DevSecOps、云原生安全、隐私计算等。 

可能有人会说，这些是给技术人员的要求才合适吧？我如果这些都懂，哪有时间搞客户关系，还做啥销售？这个问题如同问有人不好好上课怎么也发展得很好一样，我没法回答。毕竟，销售这个职业是八仙过海各显神通的，数字才是王道，我只想说，如果你是入行不久的新人并希望在这个行业长期干下去，尽量多了解一些并养成良好的学习习惯，在实效驱动和数字化转型的背景下，甲方最终会更信赖专业的安保人士。