一英里宽一英尺深。我说的是混信息安全行业的，要什么都知道，只知道几件事。如果你的目标是成为一名信息安全专家或者CIO，你基本上要给社会奉献一堆东西，人家不会隔个十几八年就认你。这个怎么样？先说个简单的。比如攻防技术。因为这种网页攻防最能调动年轻人的积极性，考虑到现在的互联网企业都是横着走在路上，也说明工作岗位多。当然，最重要的一个原因就是看起来简单。但是深入研究之后你会发现，啧啧啧真的是一个大坑。Web攻防你以为很酷，其实很猥琐。

学会它！反正我没学好web攻防技术。因为工作的原因，我从操作系统，数据库维护，bash，python等等开始。毕竟是后台运维。基本上已经从机房、服务器(小型机、x86服务器)、Linux/Windows/AIX的基本物理环境打磨到了对Oracle和Mysql的简单维护。后来有空了就开始学python，写小机器人，写微信后台，写简单的页面，带着兴趣瞎学点东西。

这时候我发现我的信息安全技术好像偏离了“正统”，就是没有接触和渗透，没有接近二进制安全。安全发展是完全不可能的。IT只是简单的IT运维，我没有信息安全工程师的高度。好像有背叛这个专业，虚度岁月后半职全栈工程师的心理安慰褒贬不一。直到角色真的换了，才发现要做好信息安全，确实需要半工半读的技术能力。如果时间和精力有限，我们应该首先尽可能地扩展我们的知识，以便我们能够从更高的角度解决安全治理问题。我也很佩服那些做二进制、反转、攻防的专家，但是我很清楚我学不会，也没有这个天赋。况且进入职场后，我也发现能支持这些专家的机构真的很少。

在信息安全行业，很多超级吹牛的行业专家都有很好的知识储备。从配置交换机端口的一线士兵，到捏评估指南条款的等待安全评估员，从纠结于平滑权重分配轮询算法可用性的代码农民，到评估整个数据库领域加密性能开销的DBA，他们可以畅谈侃侃，将安全治理的思想和要求嵌入到整个信息系统生命周期中。什么外在保护，内在控制，纵深防御等等。工作时，他们可以清楚地安排座位，分清主次，确定重点。还能写逻辑流畅，品味不错的PPT，总结安全管理相关的方方面面，向最高管理层汇报。真的是做练习的时候了，自然有更厉害更专业的人来做。

只是我们能发现这些吹牛的安全专家真的是高水平，高收益。