CSO的好日子來了，這件事現在已經成為了共識。在2013年以前別說好日子了，很多公司和機構連CSO這個詞都沒聽過，安全只不過是CIO（這個也才有了沒多久）的工作范疇之一，而且還不是太重要的部分。我們中國的IT規(guī)劃從來都是業(yè)務先行安全滯后。2013年之后事情發(fā)生了非常巨大的變化，“斯諾登”事件掀起了網絡安全的熱潮，一直到2014年初中央“網絡安全與信息化領導小組”的成立，把網絡安全成功帶到了歷史上的最高峰。從中央到地方，從朝堂到民間，安全引起了前所未有的重視，CSO的隊伍也相應的如雨后春筍一樣的成長了起來，當然還有相應的大量的安全預算。

 

幸福來得太快，很多CSO也許還沒做好準備，至少關于怎么花掉手里的錢，可能就沒考慮太清楚。市場上的安全產品如過江之鯽，可謂亂花漸欲美人眼，該如何去選擇真正適合本企業(yè)的網絡安全產品呢？本文試圖在CSO進行產品選擇時提供一些思維的角度，以幫助CSO做出正確的決策。

 

 

在這片熱土上從事CSO這份光明遠大的職業(yè)，有兩個標準不得不了解。一個是《等級保護標準》，一個是即將正式出臺的《網絡安全審查制度》。“等保標準”從技術的角度規(guī)定了一個信息系統(tǒng)屬于什么安全等級并需要什么程度的安全防護。這是一個已經執(zhí)行了很久的成熟標準，可以成為CSO設計自己企業(yè)安全管理框架的一個參考工具。而《網絡安全審查制度》則重點在于強調對網絡安全產品供應商進行審查。通俗的理解就是，生產這款安全產品的企業(yè)自身必須是“安全”的。

 

所有的主流媒體一直在避免把這個審查制度簡單的解讀為“國產化”制度，一再強調這是面向全世界供應商都平等執(zhí)行的一個制度。但是考慮到這個制度中很可能會出現的一些具體條款，例如“產品源代碼必須接受中國政府審查”，恐怕除了國內企業(yè)也沒有能夠滿足的了。

 

我們需要客觀地來看待這個審查制度。首先，國外企業(yè)在信息安全這個領域確實劣跡斑斑，隨著一起起信息盜竊事實被披露出來，我們確實不太敢采購這樣的產品。一旦惹出麻煩，給公司帶來財產損失不說，來自官方的問責和處罰恐怕都不是CSO乃至所在機構所能承受的。

 

另外，外國企業(yè)的響應能力差，服務能力差，基本不能定制的實際情況是業(yè)界都很清楚的，而企業(yè)級產品尤其是安全產品在這幾方面的要求又都是非常高的。所以國外企業(yè)的產品也確實不太滿足我們市場的需求。

 

那么是不是國內廠商就一定值得我們信賴呢？當然不是，我們強調的是“自主可控”，除了“自主”還得“可控”。什么叫可控呢？就是說這個產品及其供應商還得滿足一系列的評判標準。這里我們列出幾條標準供各位CSO來參考。

 

一） 時間

 

所謂路遙知馬力，日久見人心。我們人生中的一些重要角色都只能通過時間來判斷其真?zhèn)蝺?yōu)劣，比如朋友，比如合作伙伴，比如愛人等等。其實對供應商的評價，時間也是最為重要的也是最為準確的一個維度。一個歷史悠久廣為人知的企業(yè)，其信譽、其能力，與其合作的成功幾率都遠遠高于一般企業(yè)。所以首先要選擇那些有一定創(chuàng)建時間，在市場上被廣泛認知，并有較高美譽度的企業(yè)。

 

二） 資質

 

資質不是萬能的，但沒有資質也是萬萬不行的。“資質”這個事其實也不是什么太有中國特色的東西，全世界對于企業(yè)級產品，尤其是安全產品都會有各種各樣的資質。就中國而言，資質大概可以分為企業(yè)資質和產品資質兩類。企業(yè)資質包括一些諸如“高新技術企業(yè)”，“ISO90001”一類的資質。產品資質要更多一些，有一些是國家級別的，比如3C認證，EAL3認證。有一些是行業(yè)內的，比如“軍B”資質，以及一些行業(yè)的“入圍”評測。

 

安全產品對于資質的要求尤其高。一個信息系統(tǒng)部署安全產品，核心的驅動有二：一個是為了解決自身的信息安全問題，封堵網絡風險，提高網絡可靠性，另一個是為了符合國家和行業(yè)的法律法規(guī)要求。從第一個需求看，資質實際上幫我們做了很好的把關工作。我們都知道對于一個安全產品的評估往往需要很高的技術水平和較長的時間，而在絕大多數安全項目中，這都是難以實現的。因此，產品是否具備某些資質，就成為一個CSO評估產品能力的一個重要依據。而從第二個需求看，資質的重要性就更加凸顯了。機構組織部署的安全產品是否滿足國家和行業(yè)的相關要求只能通過是否擁有相對應的資質來評價。否則，即使部署了安全產品，“有關部門”也未必認賬。合不合理，見仁見智，但是規(guī)則就是如此，對于這一點，CSO們都懂的。

 

三） 案例

 

案例是評價一個供應商及其方案最有效的手段之一，該供應商是否服務過和本機構類似的客戶，該方案是否在類似的場景中有過成功部署，成為絕大多數CSO進行產品選擇的首要評判標準。事實上，很多CSO不僅僅要求供應商提供本行業(yè)內成功案例，還會主動打電話進行核實（行業(yè)內的CSO們往往聯系緊密），更有甚者，還會要求參觀成功案例。

 

所以，很多領先企業(yè)都會主動打造一些標桿案例，以幫助打開一個行業(yè)的市場空間。當然，這其實是個先有蛋還是先有雞的問題，不會有哪個企業(yè)天生就擁有標桿案例，第一個標桿案例的打造一定是在沒有參考案例的情況下完成的。這個時候，CSO確實要背負更多的風險，但如果該供應商在我們前面談到的兩條標準中有較好表現（歷史悠久，品牌卓越，資質齊全）,那么CSO也可以考慮和該企業(yè)合作，并且可以要求更低的價格和更好的服務以平抑所承受的風險（如果您的機構在業(yè)內有足夠代表性，很多企業(yè)在這個時候都是愿意以極低價格甚至免費的形式為您服務的：））。

 

四） 產品

 

產品要滿足CSO需求，能夠真正解決客戶問題，這是一個基本原則，但這不是本文要討論的。本文要討論的是一些相對更實用，更接地氣，并且在CSO中被廣為實用的一些方法。

 

首先是產品是否為該廠商原廠產品，這很重要。眾所周知在國內存在OEM這么一種產業(yè)生態(tài)，也就是說，廠商銷售的產品可能不是自己研發(fā)設計的，而只是貼了自己的牌子的，事實上由其他廠商生產設計的產品。對于這樣的產品，在需求定制、上線實施、乃至后期維護過程中往往存在這樣那樣的問題。

 

其次是產品是否為該廠商的當家產品。很多國內安全廠商都會有很長的產品線，但是一部分是OEM來的，一部分雖然是自己做的，但是也做得并不好。往往一個安全廠商只能做好很有限的幾款產品。至于哪個廠商的哪款產品屬于當家花旦，那就需要CSO們進行詳盡的調查了，好在這往往并不困難，群眾的眼睛是雪亮的，誰家的什么東西是好東西，還是有公論的。

 

五）合作伙伴

 

還有一點很重要，那就是該廠商的渠道合作伙伴。安全廠商的能力在于研發(fā)和設計產品，而在全國范圍內進行產品交付和服務，往往不是廠商所能具備的能力。目前比較成熟的產業(yè)形態(tài)是，廠商會選擇在一個行業(yè)或者區(qū)域內領先的服務供應商作為合作伙伴，共同為客戶提供服務。相對于廠商而言， SI往往會更加關注客戶利益，更加理解客戶需求。他們在項目中往往需要承擔各種風險和資金壓力，他們對供應商的了解會更客觀更準確。所以，是否能夠和當地或本行業(yè)內領先的SI取得合作，也是CSO判斷一個廠商及其產品非常重要的標準。

 

 

最后，和大家介紹一下筆者所在公司——北京網康科技有限公司。網康科技建立于2004年，今年喜逢10年華誕。網康科技總部位于北京中關村腹地，是一家典型的高科技企業(yè)，一直以來始終深耕于網絡應用層技術，并且憑借其上網行為管理和下一代防火墻被業(yè)界廣為認可。網康科技在全國設有32家辦事處，近千家簽約合作伙伴，迄今為止累計服務了1.5萬家客戶，并深受好評。從行業(yè)看，網康科技的服務對象遍布各行各業(yè)，在教育，金融，政府，公安，軍隊，能源，運營商等各大行業(yè)都有成熟的解決方案和大量成功案例——當然還有完備的資質體系。

 

作為一家土生土長的安全公司，我們不僅把網絡安全當作我們的生意，而是將之視為我們的責任和使命。我們堅信，信息安全對于國家和民族有著至關重要的意義，我們將盡全力做好我們的產品，為我們國家的網絡安全事業(yè)盡一份力，我們也相信社會也必將給我們豐厚的回報。