CSO的好日子來(lái)了，這件事現(xiàn)在已經(jīng)成為了共識(shí)。在2013年以前別說(shuō)好日子了，很多公司和機(jī)構(gòu)連CSO這個(gè)詞都沒聽過(guò)，安全只不過(guò)是CIO（這個(gè)也才有了沒多久）的工作范疇之一，而且還不是太重要的部分。我們中國(guó)的IT規(guī)劃從來(lái)都是業(yè)務(wù)先行安全滯后。2013年之后事情發(fā)生了非常巨大的變化，“斯諾登”事件掀起了網(wǎng)絡(luò)安全的熱潮，一直到2014年初中央“網(wǎng)絡(luò)安全與信息化領(lǐng)導(dǎo)小組”的成立，把網(wǎng)絡(luò)安全成功帶到了歷史上的最高峰。從中央到地方，從朝堂到民間，安全引起了前所未有的重視，CSO的隊(duì)伍也相應(yīng)的如雨后春筍一樣的成長(zhǎng)了起來(lái)，當(dāng)然還有相應(yīng)的大量的安全預(yù)算。

 

幸福來(lái)得太快，很多CSO也許還沒做好準(zhǔn)備，至少關(guān)于怎么花掉手里的錢，可能就沒考慮太清楚。市場(chǎng)上的安全產(chǎn)品如過(guò)江之鯽，可謂亂花漸欲美人眼，該如何去選擇真正適合本企業(yè)的網(wǎng)絡(luò)安全產(chǎn)品呢？本文試圖在CSO進(jìn)行產(chǎn)品選擇時(shí)提供一些思維的角度，以幫助CSO做出正確的決策。

 

 

在這片熱土上從事CSO這份光明遠(yuǎn)大的職業(yè)，有兩個(gè)標(biāo)準(zhǔn)不得不了解。一個(gè)是《等級(jí)保護(hù)標(biāo)準(zhǔn)》，一個(gè)是即將正式出臺(tái)的《網(wǎng)絡(luò)安全審查制度》。“等保標(biāo)準(zhǔn)”從技術(shù)的角度規(guī)定了一個(gè)信息系統(tǒng)屬于什么安全等級(jí)并需要什么程度的安全防護(hù)。這是一個(gè)已經(jīng)執(zhí)行了很久的成熟標(biāo)準(zhǔn)，可以成為CSO設(shè)計(jì)自己企業(yè)安全管理框架的一個(gè)參考工具。而《網(wǎng)絡(luò)安全審查制度》則重點(diǎn)在于強(qiáng)調(diào)對(duì)網(wǎng)絡(luò)安全產(chǎn)品供應(yīng)商進(jìn)行審查。通俗的理解就是，生產(chǎn)這款安全產(chǎn)品的企業(yè)自身必須是“安全”的。

 

所有的主流媒體一直在避免把這個(gè)審查制度簡(jiǎn)單的解讀為“國(guó)產(chǎn)化”制度，一再?gòu)?qiáng)調(diào)這是面向全世界供應(yīng)商都平等執(zhí)行的一個(gè)制度。但是考慮到這個(gè)制度中很可能會(huì)出現(xiàn)的一些具體條款，例如“產(chǎn)品源代碼必須接受中國(guó)政府審查”，恐怕除了國(guó)內(nèi)企業(yè)也沒有能夠滿足的了。

 

我們需要客觀地來(lái)看待這個(gè)審查制度。首先，國(guó)外企業(yè)在信息安全這個(gè)領(lǐng)域確實(shí)劣跡斑斑，隨著一起起信息盜竊事實(shí)被披露出來(lái)，我們確實(shí)不太敢采購(gòu)這樣的產(chǎn)品。一旦惹出麻煩，給公司帶來(lái)財(cái)產(chǎn)損失不說(shuō)，來(lái)自官方的問責(zé)和處罰恐怕都不是CSO乃至所在機(jī)構(gòu)所能承受的。

 

另外，外國(guó)企業(yè)的響應(yīng)能力差，服務(wù)能力差，基本不能定制的實(shí)際情況是業(yè)界都很清楚的，而企業(yè)級(jí)產(chǎn)品尤其是安全產(chǎn)品在這幾方面的要求又都是非常高的。所以國(guó)外企業(yè)的產(chǎn)品也確實(shí)不太滿足我們市場(chǎng)的需求。

 

那么是不是國(guó)內(nèi)廠商就一定值得我們信賴呢？當(dāng)然不是，我們強(qiáng)調(diào)的是“自主可控”，除了“自主”還得“可控”。什么叫可控呢？就是說(shuō)這個(gè)產(chǎn)品及其供應(yīng)商還得滿足一系列的評(píng)判標(biāo)準(zhǔn)。這里我們列出幾條標(biāo)準(zhǔn)供各位CSO來(lái)參考。

 

一） 時(shí)間

 

所謂路遙知馬力，日久見人心。我們?nèi)松�中的一些重要角色都只能通過(guò)時(shí)間來(lái)判斷其真?zhèn)蝺?yōu)劣，比如朋友，比如合作伙伴，比如愛人等等。其實(shí)對(duì)供應(yīng)商的評(píng)價(jià)，時(shí)間也是最為重要的也是最為準(zhǔn)確的一個(gè)維度。一個(gè)歷史悠久廣為人知的企業(yè)，其信譽(yù)、其能力，與其合作的成功幾率都遠(yuǎn)遠(yuǎn)高于一般企業(yè)。所以首先要選擇那些有一定創(chuàng)建時(shí)間，在市場(chǎng)上被廣泛認(rèn)知，并有較高美譽(yù)度的企業(yè)。

 

二） 資質(zhì)

 

資質(zhì)不是萬(wàn)能的，但沒有資質(zhì)也是萬(wàn)萬(wàn)不行的。“資質(zhì)”這個(gè)事其實(shí)也不是什么太有中國(guó)特色的東西，全世界對(duì)于企業(yè)級(jí)產(chǎn)品，尤其是安全產(chǎn)品都會(huì)有各種各樣的資質(zhì)。就中國(guó)而言，資質(zhì)大概可以分為企業(yè)資質(zhì)和產(chǎn)品資質(zhì)兩類。企業(yè)資質(zhì)包括一些諸如“高新技術(shù)企業(yè)”，“ISO90001”一類的資質(zhì)。產(chǎn)品資質(zhì)要更多一些，有一些是國(guó)家級(jí)別的，比如3C認(rèn)證，EAL3認(rèn)證。有一些是行業(yè)內(nèi)的，比如“軍B”資質(zhì)，以及一些行業(yè)的“入圍”評(píng)測(cè)。

 

安全產(chǎn)品對(duì)于資質(zhì)的要求尤其高。一個(gè)信息系統(tǒng)部署安全產(chǎn)品，核心的驅(qū)動(dòng)有二：一個(gè)是為了解決自身的信息安全問題，封堵網(wǎng)絡(luò)風(fēng)險(xiǎn)，提高網(wǎng)絡(luò)可靠性，另一個(gè)是為了符合國(guó)家和行業(yè)的法律法規(guī)要求。從第一個(gè)需求看，資質(zhì)實(shí)際上幫我們做了很好的把關(guān)工作。我們都知道對(duì)于一個(gè)安全產(chǎn)品的評(píng)估往往需要很高的技術(shù)水平和較長(zhǎng)的時(shí)間，而在絕大多數(shù)安全項(xiàng)目中，這都是難以實(shí)現(xiàn)的。因此，產(chǎn)品是否具備某些資質(zhì)，就成為一個(gè)CSO評(píng)估產(chǎn)品能力的一個(gè)重要依據(jù)。而從第二個(gè)需求看，資質(zhì)的重要性就更加凸顯了。機(jī)構(gòu)組織部署的安全產(chǎn)品是否滿足國(guó)家和行業(yè)的相關(guān)要求只能通過(guò)是否擁有相對(duì)應(yīng)的資質(zhì)來(lái)評(píng)價(jià)。否則，即使部署了安全產(chǎn)品，“有關(guān)部門”也未必認(rèn)賬。合不合理，見仁見智，但是規(guī)則就是如此，對(duì)于這一點(diǎn)，CSO們都懂的。

 

三） 案例

 

案例是評(píng)價(jià)一個(gè)供應(yīng)商及其方案最有效的手段之一，該供應(yīng)商是否服務(wù)過(guò)和本機(jī)構(gòu)類似的客戶，該方案是否在類似的場(chǎng)景中有過(guò)成功部署，成為絕大多數(shù)CSO進(jìn)行產(chǎn)品選擇的首要評(píng)判標(biāo)準(zhǔn)。事實(shí)上，很多CSO不僅僅要求供應(yīng)商提供本行業(yè)內(nèi)成功案例，還會(huì)主動(dòng)打電話進(jìn)行核實(shí)（行業(yè)內(nèi)的CSO們往往聯(lián)系緊密），更有甚者，還會(huì)要求參觀成功案例。

 

所以，很多領(lǐng)先企業(yè)都會(huì)主動(dòng)打造一些標(biāo)桿案例，以幫助打開一個(gè)行業(yè)的市場(chǎng)空間。當(dāng)然，這其實(shí)是個(gè)先有蛋還是先有雞的問題，不會(huì)有哪個(gè)企業(yè)天生就擁有標(biāo)桿案例，第一個(gè)標(biāo)桿案例的打造一定是在沒有參考案例的情況下完成的。這個(gè)時(shí)候，CSO確實(shí)要背負(fù)更多的風(fēng)險(xiǎn)，但如果該供應(yīng)商在我們前面談到的兩條標(biāo)準(zhǔn)中有較好表現(xiàn)（歷史悠久，品牌卓越，資質(zhì)齊全）,那么CSO也可以考慮和該企業(yè)合作，并且可以要求更低的價(jià)格和更好的服務(wù)以平抑所承受的風(fēng)險(xiǎn)（如果您的機(jī)構(gòu)在業(yè)內(nèi)有足夠代表性，很多企業(yè)在這個(gè)時(shí)候都是愿意以極低價(jià)格甚至免費(fèi)的形式為您服務(wù)的：））。

 

四） 產(chǎn)品

 

產(chǎn)品要滿足CSO需求，能夠真正解決客戶問題，這是一個(gè)基本原則，但這不是本文要討論的。本文要討論的是一些相對(duì)更實(shí)用，更接地氣，并且在CSO中被廣為實(shí)用的一些方法。

 

首先是產(chǎn)品是否為該廠商原廠產(chǎn)品，這很重要。眾所周知在國(guó)內(nèi)存在OEM這么一種產(chǎn)業(yè)生態(tài)，也就是說(shuō)，廠商銷售的產(chǎn)品可能不是自己研發(fā)設(shè)計(jì)的，而只是貼了自己的牌子的，事實(shí)上由其他廠商生產(chǎn)設(shè)計(jì)的產(chǎn)品。對(duì)于這樣的產(chǎn)品，在需求定制、上線實(shí)施、乃至后期維護(hù)過(guò)程中往往存在這樣那樣的問題。

 

其次是產(chǎn)品是否為該廠商的當(dāng)家產(chǎn)品。很多國(guó)內(nèi)安全廠商都會(huì)有很長(zhǎng)的產(chǎn)品線，但是一部分是OEM來(lái)的，一部分雖然是自己做的，但是也做得并不好。往往一個(gè)安全廠商只能做好很有限的幾款產(chǎn)品。至于哪個(gè)廠商的哪款產(chǎn)品屬于當(dāng)家花旦，那就需要CSO們進(jìn)行詳盡的調(diào)查了，好在這往往并不困難，群眾的眼睛是雪亮的，誰(shuí)家的什么東西是好東西，還是有公論的。

 

五）合作伙伴

 

還有一點(diǎn)很重要，那就是該廠商的渠道合作伙伴。安全廠商的能力在于研發(fā)和設(shè)計(jì)產(chǎn)品，而在全國(guó)范圍內(nèi)進(jìn)行產(chǎn)品交付和服務(wù)，往往不是廠商所能具備的能力。目前比較成熟的產(chǎn)業(yè)形態(tài)是，廠商會(huì)選擇在一個(gè)行業(yè)或者區(qū)域內(nèi)領(lǐng)先的服務(wù)供應(yīng)商作為合作伙伴，共同為客戶提供服務(wù)。相對(duì)于廠商而言， SI往往會(huì)更加關(guān)注客戶利益，更加理解客戶需求。他們?cè)陧?xiàng)目中往往需要承擔(dān)各種風(fēng)險(xiǎn)和資金壓力，他們對(duì)供應(yīng)商的了解會(huì)更客觀更準(zhǔn)確。所以，是否能夠和當(dāng)?shù)鼗虮拘袠I(yè)內(nèi)領(lǐng)先的SI取得合作，也是CSO判斷一個(gè)廠商及其產(chǎn)品非常重要的標(biāo)準(zhǔn)。

 

 

最后，和大家介紹一下筆者所在公司——北京網(wǎng)康科技有限公司。網(wǎng)康科技建立于2004年，今年喜逢10年華誕。網(wǎng)康科技總部位于北京中關(guān)村腹地，是一家典型的高科技企業(yè)，一直以來(lái)始終深耕于網(wǎng)絡(luò)應(yīng)用層技術(shù)，并且憑借其上網(wǎng)行為管理和下一代防火墻被業(yè)界廣為認(rèn)可。網(wǎng)康科技在全國(guó)設(shè)有32家辦事處，近千家簽約合作伙伴，迄今為止累計(jì)服務(wù)了1.5萬(wàn)家客戶，并深受好評(píng)。從行業(yè)看，網(wǎng)康科技的服務(wù)對(duì)象遍布各行各業(yè)，在教育，金融，政府，公安，軍隊(duì)，能源，運(yùn)營(yíng)商等各大行業(yè)都有成熟的解決方案和大量成功案例——當(dāng)然還有完備的資質(zhì)體系。

 

作為一家土生土長(zhǎng)的安全公司，我們不僅把網(wǎng)絡(luò)安全當(dāng)作我們的生意，而是將之視為我們的責(zé)任和使命。我們堅(jiān)信，信息安全對(duì)于國(guó)家和民族有著至關(guān)重要的意義，我們將盡全力做好我們的產(chǎn)品，為我們國(guó)家的網(wǎng)絡(luò)安全事業(yè)盡一份力，我們也相信社會(huì)也必將給我們豐厚的回報(bào)。