面对不景气的经济和高失业率，信息安全领域一直是IT求职者的希望堡垒，根据(ISC)2 等组织的保守估计，在未来几年信息安全行业将会提供数十万就业机会。

鉴于合格的IT安全专业人员稀缺，对于那些试图寻找好工作和更高薪水的人来说，安全认证有多少价值呢？根据一项新调查显示，信息安全领域平均工资正在上升，而安全认证可以开启或改善职业生涯，但专家质疑其真正的价值。

刚刚公布的2014年SANS研究所工资和职业发展调查（对信息安全培训企业的2008年工资和认证调查的扩展更新）对超过4000名受访者进行了采访，其目的是分析IT专业人员的目前就业趋势，包括工资水平、教育水平和未来职业期望等。

这个SANS调查发现，鉴于对合格安全人员的高需求，现在很多信息安全专业人员待遇很好。近一半的受访者每年收入超过10万美元，而在2008年的调查中，这个数字只有38%，并且，将近四分之一的受访者的工资在8万到99999美元之间。

这个SANS调查指出，工作经验是高工资的主要原因。在所有信息安全职位中，具有三年或更少经验的专业人员平均每年工资低于7.5万美元，而那些有七年或以上经验的受访者工资则超过10万美元。是否具有管理能力也对工资有很大影响：管理职位的受访者平均每年收入超过12万美元，而非管理人员的平均工资仅为9.5万美元。

SANS研究所总经理Scott Cassity表示，2014年的调查表明，作为一种职业，信息安全正在朝着正确的方向发展。

“我认为可以准确地推测，这个领域将会发展，”Cassity表示，“我们看到由于经济衰败，工资受到了一些影响，但现在的工资要高于六年前。”

安全认证的价值是什么？

虽然这个SANS调查指出了信息安全专业人士的工资主要与几个因素有关，但绝大多数受访者认为安全认证是职业成功的关键。

事实上，近五分之三的受访者表示，安全认证是影响其职业的最大的因素之一。相比之下，不到40%的受访者认为取得成功在于关系网，而不到四分之一的受访者认为关键因素是学士或硕士学位。

根据该调查显示，并非所有的认证都是一样。受访者认为SANS自己的GIAC安全专家认证和(ISC)2 CISSP 认证比其他认证更有价值，而CompTIA的Security+则被认为是价值最低的认证，该认证主要针对经验较少的安全从业人员。

SANS是营利性安全培训和认证行业的领导者之一，参与SANS调查的受访者可能有些偏颇，但Cassity表示，人力资源人员通常通过证书来判断应聘者是否具备一定的基础知识来胜任某个安全职位，可以说，证书是应聘的主要指标。在从业人员的职业生涯的早期阶段，尤其是如此，因为入门级安全职位通常是从其他IT领域（例如网络）过渡到这个行业的人员。

“很多时候，如果他们想要提高自己的应聘竞争力，获取相应的证书是正确的做法，”Cassity表示，“对于学士学位和其他正式培训，企业认为它们只是提供给应聘者理论知识，而证书和认证则才能够证明他们具有相关能力。”

“他们当然需要具有技术技能，”Cassity继续说道，“但伴随着科学的还有艺术。”

有趣的是，根据SANS调查显示，安全认证对于获得更高工资和升值的影响并不像受访者认为的那么高。SANS并没有提供具体数据来表明工资增长和认证之间的关系，而是指出：“高达5%的薪水增加与很多认证有关”。

不过，与正式教育差异造成的工资差距相比，这个5%显得有些相形见绌。例如，具有四到六年工作经验，且只有高中文凭的安全专业人员的平均工资为75938美元。而具有相同工作经验，且具有学士学位的人员每年工资为84619美元，另外，具有硕士学位或MBA的人员平均每年工资为97109美元。

信息安全猎头公司L.J. Kushner and Associates总裁Lee J. Kushner解释说，安全认证能够帮助应聘者进入这个行业，特别是当不了解行业技能的人力资源人员负责筛选应聘者时，然而，这些安全证书对工资的影响远远比不上工作经验和技能。

“除非是非常重视人力资源的企业，否则认证变得毫无意义，”Kushner表示，“我们的客户从来不会说他们愿意为特定职位支付10万美元的工资，但如果他们有某种证书，他们将支付12万美元。”

信息安全就业机会在增加，但也在改变

对于希望进入信息安全领域的人，或者想要跳槽的安全人员来说，这个SANS调查证实了一个事实：很多企业正在积极招募安全工作人员。

在过去的一年中，43%的受访者表示他们的雇主已经增加了信息安全工作人员，而只有10%减少了人员。预计未来一年，这种趋势还将继续下去，超过三分之一的受访者预计将增加IT安全人员，不到5%的受访者计划裁减人员。

这个SANS调查还指出了在未来两年可能增长最明显的安全领域，受访者预计，事件响应、云计算/虚拟化和分析是最需要的三大技能。

资深SANS分析师Barb Filkins表示，这些技能需求趋势突出了该行业最近几年所看到的发展，并通常表明，这个领域在未来几年还将继续产生新的机会。

Filkins表示：“在我看来，这表明安全行业是有利于职业发展的行业。”

安全认证只是职业“拼图”的一部分

Kushner警告说，任何大型调查并不会对所有人都有意义。他表示，SANS调查中指出的最重要的技能可能过于宽泛，或者是因为最近发生的事件而带来的影响。

例如，对事件响应技能的需求可能部分是因为在过去一年发生的针对Target和其他零售商的泄露事故。但按需技能可能很快会发生变化，例如，如果在未来一年内关键基础设施遭遇了网络攻击，SCADA安全技能可能会被很多受访者提及。

Kushner还警告说，如果没有在前沿环境的工作经验（例如在云计算企业的安全工作），很多最引人注目的工作机会可能与信息安全专业人员擦肩而过，即使他们获得了安全证书。他建议试图发展职业的安全专业人员首先明白“他们最终的目的”，然后采取相应的行动来到达目的地。例如，如果有人想成为一名首席安全官，他/她应该更多地关注业务技能，而不是纯粹的技术技能，甚至可以考虑获得MBA学位。

另外，他表示，招聘经理和人力资源人员必须意识到，如果其提供的机会或工资比不上候选者已有的水平，他们将很难从其他公司挖安全人才。Kushner指出，很多职位空缺的时间要比他们想象得要长，因为很多公司不愿意为符合要求的有经验的候选者调整工资水平，这个SANS调查和其他调查只是显示了行业工资的实际情况。

“我有一个客户正在招聘渗透测试人员，他们对应聘者有着很高的要求，”Kushner指出，在这个调查提到的薪酬范围，其客户永远找不到满足其高要求的候选人。

“毫无疑问，该行业非常需要信息安全人才，但明白这一点：具有某种区分性技能的优秀的信息安全人才面前有着一个非常光明的未来，”Kushner说道，“具有一般技能的人才也有机会，但大多数时候，这并不是一个不同的或更好的机会，只是‘换汤不换药’。”