美国劳工部每年会对全国各职业(约830 种)进行就业和工资统计(OEWS),该统计数据是职业就业统计(OES)的升级版。这项统计在许多州都是强制报告的,官方会从州上缴失业保险的人群中按照大城市/非大城市、行业等角度进行抽样选择被调查人。基于 2015 年到 2020 年的统计情况,美国劳工部从 2021 年 5 月开始启用新估算方法(MB3),感兴趣的可以去美国劳工部统计局官方网站查看具体方法。
2024 年 4 月 3 日,美国劳工部统计局发布了截至 2023 年 5 月的统计数据。其中,代码 15-1212 为信息安全分析人员。按照美国劳工部的岗位定义,信息安全分析人员能够规划、实施、升级或监控保护计算机的安全措施,评估漏洞的安全风险,提出并实施风险缓解策略。确保采用适当的安全控制措施,以保护数字文件和重要的数字基础设施。必须指出的是,美国劳工部对职业的界定比较严格,属于“狭义”的安全从业人员。
概览
在“狭义”安全从业人员的情况下,美国一共有 17.53 万个从业人员,平均每小时工资为 59.97 美元(约合 428.79 人民币),平均年工资为 12.47 万美元(约合 89.16 万人民币)。美国劳工部统计全年工作时间按照 2080 个小时计算,折合八小时工作制下的 260 天。
注:① 全文按美元兑人民币汇率为 7.15 估算,大约是年初到四月初的中间值。② 相对标准误差(RSE)是衡量调查统计可靠性的指标。相对标准误差越小,估计就越精确。
也是来自美国劳工部的数据,美国所有职业年平均工资为 6.54 万美元(约合 46.76 万人民币),计算机行业的年平均工资为 11.31 万美元(约合 80.86 万人民币)。按照同一份统计数据的可比口径,美国安全行业的平均年工资比整个计算机行业的平均年工资还要高 10.26%。
为防止平均数不具备代表性,按照各个分位也提供了中位数数据。美国信息安全分析人员每小时工资的中位数为 57.87 美元(约合 413.77 人民币)。
美国信息安全分析人员年工资的中位数为 12.03 万美元(约合 86.06 万人民币)。也就是说在“狭义”安全从业人员中,有超过一半的人年工资超过 12 万美元。
行业分布
信息安全分析人员就业人数最多的 TOP5 行业如下所示,计算机系统设计及相关服务提供了全行业接近四分之一的就业。
信息安全分析人员占比最高的 TOP5 行业如下所示,美国央行(美国联邦储备系统)的信息安全人员密度是遥遥领先的。
信息安全分析人员薪酬最高的 TOP5 行业如下所示,网络搜索和流媒体的代表可能是 Google 与 Netflix。
地域分布
具体到地域而言,提供岗位最多的是弗吉尼亚州(VA)、加利福尼亚州(CA)、德克萨斯州(TX)、佛罗里达州(FL)、纽约州(NY)。注:地图中爱达荷州(ID)和怀俄明州(WY)上面的空白地区为没有数据的蒙大拿州(MT)。
去年的公众号文章介绍过美国国家网络安全学术卓越中心(NCAE-C)计划,弗吉尼亚州和佛罗里达州是网络安全相关专业学士学位授予量的第二名与第三名。按参与 NCAE-C 计划的组织数量进行排名,从业人数最多的弗吉尼亚州、加利福尼亚州、德克萨斯州、佛罗里达州和纽约州分列第二、第五、第一、第三、第六。大学和各类教育机构提供了庞大的人才供给,可能是公司选择这些州的原因之一。注:LQ 为 Location Quotient 即区位商,反映行业在空间上的分布集中度。
弗吉尼亚州的从业人员的集中度遥遥领先,产业确实特别发达,被 Google 以 53 亿美元收购的 Mandiant 总部就在弗吉尼亚州。此外,还有 Endgame、ThreatConnect 等许多业界知名的公司。
前三者(弗吉尼亚州/VA、马里兰州/MD、哥伦比亚特区/DC)算是形成了围绕首都的产业优势带,网络安全产业可能有向首都聚集的“向心性”。
从薪资水平来说,美国呈现出“沿海高、内陆低”的态势。
华盛顿州(注:并非美国首都华盛顿)平均工资最高达到 14.8 万美元(约合 105.82 万人民币)。
城乡差异
美国信息安全从业人员平均年工资最高的大城市地区是加利福尼亚州“圣何塞-森尼维尔-圣克拉拉“地区,年平均工资超过了 17 万美元(约合 122.23 万人民币),这可能与硅谷中云集的互联网公司有关。而非大城市地区收入最高的是新墨西哥州东部非都市区,年平均收入为 13.71 万美元(约合 98.03 万人民币)。未对城乡差异进行细致的分析,所有数据都在美国劳工部网站披露,感兴趣的可以自行获取数据计算。
再探从业人数
前文提到由于美国劳工部对职业的界定比较严格,属于“狭义”的安全从业人员划分,美国的从业人员数量就显得相对少得多。但其实是这样吗?
事实上如果拓宽美国劳工统计局对网络安全从业人员的概念,按照美国国家网络安全教育倡议中认定的 52 个工作角色进行统计就会更贴合实际情况。美国乔治城大学安全与新兴技术中心基于 LinkedIn 上 5.13 亿用户的个人资料,分析发现在全球的 13.9 亿个工作岗位中,一共有 1.4%(约 1962 万)个网络安全职位。如果缩小到美国范围,大约有 145.67 万个网络安全岗位,从业人员约为 137.78 万个。这一结果与 ISC2 估算的数据(133.85 万)差别不大,与美国国家标准与技术研究院(NIST)提供 Cyberseek 的数据也是略有差别。
Cyberseek 的数字认为美国在 2024 年一共有 109.85 万从业人员,还有 44.8 万人的缺口。这个缺口的数字与 ISC2 估计的 48.29 万也很接近。
岗位缺口
在美国,缺口最大的岗位是运营与维护、安全配置、监督与治理、保护与防御、收集与运营。注:NICE 的分类并不是互斥的,也就是说同一个工作可能会对应多种岗位职责。
运营与维护中,最缺的是数据分析师、系统安全分析师、系统管理员、网络运营专家、技术支持专家。
安全配置中,最缺的是软件开发人员、安全架构师、其他(系统测试与评估专家、系统需求规划师等)、安全控制评估人员、系统开发人员。
监督与治理中,最缺的是IT项目经理、IT项目审核人员、其他(产品支持经理、隐私合规经理等)、信息系统安全经理、网络政策和战略规划师。
保护与防御中,最缺的是漏洞评估分析人员、网络防御基础设施支持专家、网络防御分析人员、网络防御事件响应人员。
美国网络安全与基础设施安全局(CISA)认为,网络安全劳动力短缺的问题并不在于缺乏人才,而是缺乏认证证书。传统的招聘手段会排除大量潜在候选人,这些人缺乏招聘中要求的教育证书和技术证书,但具备相应的技能和经验。因此,CISA 认为主要是劳动力界定的问题,而不是劳动力供给的缺乏。
专业认证
美国从业人员中接近四分之一都持有 CompTIA Security+ 认证,而 CISSP 的持证人数也超过九万。
即便 CompTIA Security+ 在美国的持证量这么大,也远未能满足需求,仍然还有大量的岗位空缺要求应聘者持有 CompTIA Security+ 认证。与此同时,CISSP 的缺口是最大的,相当多的岗位希望应聘者可以持有该认证。当然,像 CISA、CISM 的缺口甚至比目前美国的持证人数量都要大。