在IT的诸多领域中，网络安全是一个相对新兴的、有潜力的领域（或许也更有趣），但对于留学生来说，在澳大利亚从事网络安全行业不是一个容易做的决定，因为与本地人相比，他们往往会考虑更多因素。为了更好地向大家阐明我所了解的当前澳大利亚这一行业的现状，我打算将这篇博客分成三个方面，来具体展示这个行业是否值得尝试，以及它具有哪些细分领域。

壹. 行业发展和劳动力紧缺

首先值得肯定的是，网络安全行业在澳大利亚，甚至在全球范围内都发展迅猛。根据statista 2023年9月发布的澳洲网络安全市场数据和预测显示，在过去七年中，行业总收益从2016年的18.3亿美元增长至2022年的34.5亿美元，几乎翻倍；而根据其预测未来数年行业仍然处于高速发展阶段，预计至2028年，行业总收益将会达到56.1亿美元。不过从细分市场来看，网络安全解决方案的增速明显大于安全服务的速度。

同时，澳大利亚于2022年11月通过了Privacy Legislation Amendment Act 2022，该法案加重了对高价值数据泄露的处罚力度，这促进了企业对信息安全和合规性的建设，也从侧面促进了网络安全行业的发展。类似促进网络安全行业发展的还有很多，比如Security of Critical Infrastructure Act 2018。

另外，根据澳大利亚网络安全中心（ACSC）发布的2021至2022财年网络威胁报告显示，澳大利亚组织机构承受的网络攻击不论是数量还是复杂度都有提高。仅上财年一年，ACSC收到了近九万四千次网络犯罪的举告，比前一个财年增长了23%，相当于每6分钟就有一次重大网络安全事件被报告；公开报告的CVE漏洞增加了20%；澳大利亚信号局（ASD）响应了1,100 多起网络安全事件；在cyber.gov.au和合作伙伴门户网站上发布了64 份警报、建议、事件和见解报告 。不难看出的是，针对澳大利亚组织和个人的网络攻击和网络犯罪在持续增长，这也促进了网络安全行业的劳动力需求。

根据SecurityBrief 2022年9月发布的文章显示，到2026年，澳大利亚可能需要约16600名额外的网络安全人员担任技术和非技术岗位，尽管澳大利亚劳动力近期有所增长，但仍有大量空缺的网络安全职位，因为公司找不到合适的人才。根据ISC 2021年的网络安全劳动力研究，全球网络安全劳动力增长65%才能有效保护组织的关键资产。

贰. 职位细分和薪资水平

在网络安全行业也有不同的细分领域，可以将不同专业背景和特长的候选人纳入整体的网络安全共同工作，使组织的网络安全防御体系更加晚上；同时也可以给刚进入行业的从业人员提供不同的发展机会，允许他们依照各自的喜好来选择未来的发展方向。这些细分领域可以粗略分为红队、蓝队和GRC，其中红队指通过模拟网络攻击来帮助组织发现其安全防御体系漏洞和弱点的角色，主要包括渗透测试、威胁模拟、红队测试等内容；蓝队一般指在安全运营中心（SOC）中工作的角色，主要职责包括监视威胁、响应安全事件、进行取证等一系列的工作。关于SOC中的各类角色和职能，我将在另一篇文章中详细展开讨论，不过一般来说蓝队成员大多会被冠以网络安全分析师或类似的头衔。红队和蓝队都是技术型角色，而GRC，即管控、风险和合规，则主要偏向非技术工作，主要工作包括对组织网络安全风险进行评估和管理、管理组织的信息安全相关的政策和流程、进行信息安全审计等。

对于不同角色和职位，不同熟练度的而言，他们的薪资水平都是不尽相同的，我们采用talent.com 的数据，列出一些常见职位的年薪范围（AUD/year）以供参考：

1. Security administrator: 96,265-124,027
2. Cyber security analyst: 99,500-145,000
3. Security engineer: 117,157-183,750
4. Security architect: 149,874-204,580
5. Security consultant: 110,857-189,450
6. Penetration tester: 91,713-175,000
7. Incident responder: 112,852-177,500
8. Threat intelligence analyst: 139,500-273,000

叁. 网络安全、身份和移民

这一部分我们重点讨论两个问题，第一个问题是比较多被人问到的：“在澳洲从事网络安全行业是不是必须要有PR或者公民身份？”回答是：PR和公民身份不是必须的。首先需要理解的是为什么有一些网安工作对签证和公民身份有要求。据我观察这类工作绝大多数是政府职位、处理政府项目或军工相关项目的公司、以及其它可能会接触机密信息的职位。澳大利亚政府要求可能会接触机密信息的候选人持有Security Clearance，按照级别从低到高分为Baseline、NV1、NV2和PV，不同级别的clearance可以被允许接触的信息机密性不同，但是所有clearance的共同特点都是要求候选人具备澳大利亚公民身份。因此，如果不是在这类岗位工作，网络安全职位本身对于候选人所持有的签证或公民身份并没有硬性要求。尤其考虑到目前行业劳动力的紧缺状态，还是有很多企业愿意雇佣持有工签的候选人的。

第二个问题是关于移民问题的。对于很多计划移民的留学生和毕业生来说，职业是否在澳大利亚移民清单上也是他们选择职业发展方向的考虑因素之一。澳大利亚移民局采用澳大利亚和新西兰职业标准分类（ANZSCO）来定义职业。在ANZSCO列表中与 cyber security 有关的职位一共有六个，分别是

1. ICT Security Specialist (262112)
2. Cyber Governance Risk and Compliance Specialist (262114)
3. Cyber Security Advice and Assessment Specialist (262115)
4. Cyber Security Analyst (262116)
5. Cyber Security Architect (262117)
6. Cyber Security Operations Coordinator （262118）

其中262112在澳大利亚中长期战略技能清单（MLTSSL）上，基本通过186、494、189、190、491等签证移民都没什么问题。其他职位全部都在塔斯马尼亚190职业清单，而262116在去年底刚加入塔斯马尼亚的紧缺职位清单。对于其他州的偏远地区移民职业清单我暂时还不是特别清楚，感兴趣的朋友可以上州政府官网自行查询。