安全产品选择——CSO的重要课题
CSO的好日子来了,这件事现在已经成为了共识。在2013年以前别说好日子了,很多公司和机构连CSO这个词都没听过,安全只不过是CIO(这个也才有了没多久)的工作范畴之一,而且还不是太重要的部分。我们中国的IT规划从来都是业务先行安全滞后。2013年之后事情发生了非常巨大的变化,“斯诺登”事件掀起了网络安全的热潮,一直到2014年初中央“网络安全与信息化领导小组”的成立,把网络安全成功带到了历史上的最高峰。从中央到地方,从朝堂到民间,安全引起了前所未有的重视,CSO的队伍也相应的如雨后春笋一样的成长了起来,当然还有相应的大量的安全预算。
幸福来得太快,很多CSO也许还没做好准备,至少关于怎么花掉手里的钱,可能就没考虑太清楚。市场上的安全产品如过江之鲫,可谓乱花渐欲美人眼,该如何去选择真正适合本企业的网络安全产品呢?本文试图在CSO进行产品选择时提供一些思维的角度,以帮助CSO做出正确的决策。
国产化,必须的
在这片热土上从事CSO这份光明远大的职业,有两个标准不得不了解。一个是《等级保护标准》,一个是即将正式出台的《网络安全审查制度》。“等保标准”从技术的角度规定了一个信息系统属于什么安全等级并需要什么程度的安全防护。这是一个已经执行了很久的成熟标准,可以成为CSO设计自己企业安全管理框架的一个参考工具。而《网络安全审查制度》则重点在于强调对网络安全产品供应商进行审查。通俗的理解就是,生产这款安全产品的企业自身必须是“安全”的。
所有的主流媒体一直在避免把这个审查制度简单的解读为“国产化”制度,一再强调这是面向全世界供应商都平等执行的一个制度。但是考虑到这个制度中很可能会出现的一些具体条款,例如“产品源代码必须接受中国政府审查”,恐怕除了国内企业也没有能够满足的了。
我们需要客观地来看待这个审查制度。首先,国外企业在信息安全这个领域确实劣迹斑斑,随着一起起信息盗窃事实被披露出来,我们确实不太敢采购这样的产品。一旦惹出麻烦,给公司带来财产损失不说,来自官方的问责和处罚恐怕都不是CSO乃至所在机构所能承受的。
另外,外国企业的响应能力差,服务能力差,基本不能定制的实际情况是业界都很清楚的,而企业级产品尤其是安全产品在这几方面的要求又都是非常高的。所以国外企业的产品也确实不太满足我们市场的需求。
五个评判角度
那么是不是国内厂商就一定值得我们信赖呢?当然不是,我们强调的是“自主可控”,除了“自主”还得“可控”。什么叫可控呢?就是说这个产品及其供应商还得满足一系列的评判标准。这里我们列出几条标准供各位CSO来参考。
一) 时间
所谓路遥知马力,日久见人心。我们人生中的一些重要角色都只能通过时间来判断其真伪优劣,比如朋友,比如合作伙伴,比如爱人等等。其实对供应商的评价,时间也是最为重要的也是最为准确的一个维度。一个历史悠久广为人知的企业,其信誉、其能力,与其合作的成功几率都远远高于一般企业。所以首先要选择那些有一定创建时间,在市场上被广泛认知,并有较高美誉度的企业。
二) 资质
资质不是万能的,但没有资质也是万万不行的。“资质”这个事其实也不是什么太有中国特色的东西,全世界对于企业级产品,尤其是安全产品都会有各种各样的资质。就中国而言,资质大概可以分为企业资质和产品资质两类。企业资质包括一些诸如“高新技术企业”,“ISO90001”一类的资质。产品资质要更多一些,有一些是国家级别的,比如3C认证,EAL3认证。有一些是行业内的,比如“军B”资质,以及一些行业的“入围”评测。
安全产品对于资质的要求尤其高。一个信息系统部署安全产品,核心的驱动有二:一个是为了解决自身的信息安全问题,封堵网络风险,提高网络可靠性,另一个是为了符合国家和行业的法律法规要求。从第一个需求看,资质实际上帮我们做了很好的把关工作。我们都知道对于一个安全产品的评估往往需要很高的技术水平和较长的时间,而在绝大多数安全项目中,这都是难以实现的。因此,产品是否具备某些资质,就成为一个CSO评估产品能力的一个重要依据。而从第二个需求看,资质的重要性就更加凸显了。机构组织部署的安全产品是否满足国家和行业的相关要求只能通过是否拥有相对应的资质来评价。否则,即使部署了安全产品,“有关部门”也未必认账。合不合理,见仁见智,但是规则就是如此,对于这一点,CSO们都懂的。
三) 案例
案例是评价一个供应商及其方案最有效的手段之一,该供应商是否服务过和本机构类似的客户,该方案是否在类似的场景中有过成功部署,成为绝大多数CSO进行产品选择的首要评判标准。事实上,很多CSO不仅仅要求供应商提供本行业内成功案例,还会主动打电话进行核实(行业内的CSO们往往联系紧密),更有甚者,还会要求参观成功案例。
所以,很多领先企业都会主动打造一些标杆案例,以帮助打开一个行业的市场空间。当然,这其实是个先有蛋还是先有鸡的问题,不会有哪个企业天生就拥有标杆案例,第一个标杆案例的打造一定是在没有参考案例的情况下完成的。这个时候,CSO确实要背负更多的风险,但如果该供应商在我们前面谈到的两条标准中有较好表现(历史悠久,品牌卓越,资质齐全),那么CSO也可以考虑和该企业合作,并且可以要求更低的价格和更好的服务以平抑所承受的风险(如果您的机构在业内有足够代表性,很多企业在这个时候都是愿意以极低价格甚至免费的形式为您服务的:))。
四) 产品
产品要满足CSO需求,能够真正解决客户问题,这是一个基本原则,但这不是本文要讨论的。本文要讨论的是一些相对更实用,更接地气,并且在CSO中被广为实用的一些方法。
首先是产品是否为该厂商原厂产品,这很重要。众所周知在国内存在OEM这么一种产业生态,也就是说,厂商销售的产品可能不是自己研发设计的,而只是贴了自己的牌子的,事实上由其他厂商生产设计的产品。对于这样的产品,在需求定制、上线实施、乃至后期维护过程中往往存在这样那样的问题。
其次是产品是否为该厂商的当家产品。很多国内安全厂商都会有很长的产品线,但是一部分是OEM来的,一部分虽然是自己做的,但是也做得并不好。往往一个安全厂商只能做好很有限的几款产品。至于哪个厂商的哪款产品属于当家花旦,那就需要CSO们进行详尽的调查了,好在这往往并不困难,群众的眼睛是雪亮的,谁家的什么东西是好东西,还是有公论的。
五)合作伙伴
还有一点很重要,那就是该厂商的渠道合作伙伴。安全厂商的能力在于研发和设计产品,而在全国范围内进行产品交付和服务,往往不是厂商所能具备的能力。目前比较成熟的产业形态是,厂商会选择在一个行业或者区域内领先的服务供应商作为合作伙伴,共同为客户提供服务。相对于厂商而言, SI往往会更加关注客户利益,更加理解客户需求。他们在项目中往往需要承担各种风险和资金压力,他们对供应商的了解会更客观更准确。所以,是否能够和当地或本行业内领先的SI取得合作,也是CSO判断一个厂商及其产品非常重要的标准。
村里有个公司叫小康
最后,和大家介绍一下笔者所在公司——北京网康科技有限公司。网康科技建立于2004年,今年喜逢10年华诞。网康科技总部位于北京中关村腹地,是一家典型的高科技企业,一直以来始终深耕于网络应用层技术,并且凭借其上网行为管理和下一代防火墙被业界广为认可。网康科技在全国设有32家办事处,近千家签约合作伙伴,迄今为止累计服务了1.5万家客户,并深受好评。从行业看,网康科技的服务对象遍布各行各业,在教育,金融,政府,公安,军队,能源,运营商等各大行业都有成熟的解决方案和大量成功案例——当然还有完备的资质体系。
作为一家土生土长的安全公司,我们不仅把网络安全当作我们的生意,而是将之视为我们的责任和使命。我们坚信,信息安全对于国家和民族有着至关重要的意义,我们将尽全力做好我们的产品,为我们国家的网络安全事业尽一份力,我们也相信社会也必将给我们丰厚的回报。