甲方网安专家:“这些产品坑,我栽了,您随意”
基于诸子云社群(企业网络安全专家联盟),出于“甲方说好,产品才好”、“取之于民、用之于民”之理念,由安在新媒体发起的网络安全“大众点评”——2019中国网络安全产品用户调查,启动数周后,现已进入问卷征集阶段尾声。
作为颇受关注也极具意义的一件事,除了来自各行各业以及各代表城市和典型企业的“甲方”网络安全业者的广泛参与,我们还特意邀请了一些具有行业代表性和影响力的大咖担任专家顾问,包括前期策划、问卷设计、过程指导以及后续的成果评定,特邀专家都给予我们极大的信任和帮助。
这里,我们向本次活动的特邀专家表达诚挚的谢意,他们是:
除了上述专家,受邀顾问本次活动的还有数位不具名专家,包括某金融机构网络安全专家Y、某股份制银行信息安全负责人L、某知名证券公司资深安全专家C,这里一并表示感谢。
针对本次活动,我们特意听取特邀专家意见和建议,并以问答方式整理成文。专家观点聚焦两个方面:什么是好的网络安全产品?网络安全产品选购部署和使用都有哪些“坑”?这两方面内容,我们将分两次发布,以飨读者。
本次发文,关注与网络安全产品采购、部署和使用相关的那些“火坑”,就让我们听听专家有哪些不得不说的苦衷吧。
关于网安产品,您曾经历或听到过哪些“坑”?
黄乐:采购阶段最大的坑就是恶意竞标(公开招标方式),这会导致企业采购的产品不能满足实际需求;
部署过程中最容易出现的问题是影响业务的连续性,一般会在两个方面出现问题,一是厂商提供产品的性能或者可用性不能达到招标时的需求,二是强耦合的产品没有选择好上线方案;
使用过程中一般会出现售后效果较差,出现问题找不到售后支持的情况。另外,遇到bug或者产品漏洞不能快速修复也是一件很恐怖的事。
李维春
“(1)好产品、功能强大,但是学习成本高、或者后续运营需要大量人力;
(2)没有经过严谨、全面的测试,光听产品宣讲就决定采购和部署;
(3)沟通不到位、没有和大领导达成一致,结果买来了、部署上去了,大领导不同意用;
(4)商务条款上不严谨,厂家低价提供产品后、被厂家套牢,对于后续维保费用,厂家坐地起价;
(5)产品还行,后续的服务跟不上,导致产品实施完毕后烂尾。
”刘锋:最怕被忽悠。因为安全相对比较技术和专业,甲方不太容易掌握,易被忽悠上一堆看似很强大的安全产品,但只关注了几个点,做的很强,在网络整体上,依然留下很多短板和漏洞。
刘新凯:简单的分为:商务、技术、团队三个方面。
商务方面,简单来说就是产品的价格,或者说是招投标过程中的相对价格,造成的“好”产品选不上的尴尬。
技术方面,更多的是在POC或选型过程中,没有发现的一些技术问题,导致在实施或者使用过程中,无法使用或者无法推广,比如很多年前基于国外产品做NAC,因为802.1x协议和交换机的原因,导致稳定性,相应时间等指标无法满足,没有办法大规模推广。
团队方面,好的结果,不仅仅是产品本身,对于实施或者支撑的厂商团队,甲方团队,都有很高的要求,往往团队人员的调整、技能不足等问题,也会导致意想不到的“坑”出现。
孙锦泉
“1)网安产品还是要按需采购和使用,有些产品声称可以“包治百病”,到头来往往每个方面的效果都不佳。
2)网安产品是需要运维的,所以购买时必须要考虑如何开展日常安全运维的问题。
”王彬
“
1.产品稳定性有问题,推广不下去。
2.误报太多,不可运维。
3.支持响应不到位,部署后没人人管。
”薛忠胜:目前还没有经历过大的坑,如果一定要说的话,就是曾经买过产品但现有人力无法充分驾驭。
叶翔:我经历的坑多了,主要是兼容性,涉及终端的,涉及和现网联调的,就各种坑。那种独立的,防火墙这种设备,就不会有坑。
某信的天*,因为要装在每个员工电脑,情况如此复杂,各种各样的问题。某为的Anyoffice 也是,要装在每个员工的手机,还要和企业的APP兼容,也是各种问题。最近遇到的是某信的日志审计,无法对现网的设备日志进行解析,超过50%需要技术支持进行配置和调整,实施起来十分麻烦。
赵锐
“
一、某堡垒机在关键时刻中断,自动重启。
二、某产品销售方,骚扰甲方客户,在甲方已明确晚些再采购以后,还不断打电话、发邮件、通过业内其他朋友来骚扰甲方,要求甲方尽快采购。
三、乙方找甲方聊需求,甲方热情培训半天,乙方最后回复不太懂、没能力做。
”Y(某金融机构网安专家):不同单位遇到的际遇不一样。一分钱一分货是亘古不变的道理,如果钱少想多办事儿,那就要用单位名誉替产品背书而已,只是不同的选择和体制,你无法叫醒一个装睡的人。
国内传统信息安全产业在云计算、大数据中明显落后,但凭借资质和案例低价中标明显,低价采购中遇到的坑,部署和使用会补上来的,自己挖的坑,跪着也得填了。
L(某股份制银行信息安全负责人):功能多而全,用户想要的、能想到的都具备,但是实际上误报、漏报多,部署后因为底层机制缺陷导致在处理真实环境的大量信息时出现性能不足;定制化支持不足,难以与企业整体安全体系整合。
C(某知名证券公司资深安全专家):a.性能的坑,标称虚高或来自特定组合的实验环境,在实际生产环境爆表。b.测试全license,采购各种收费license。
您有哪些可供借鉴以避免掉坑的“锦囊”?
黄乐:项目立项阶段,需要与目标厂商进行充分沟通,沟通过程最好能了解厂商核心技术的实现逻辑,辅助判断售前材料的真实性,在有可能的情况下尽量测试,准备好测试用例和数据;
采购阶段,尤其是公开招标的项目,应该在需求制定阶段避免恶意竞标的行为。需要合理制定技术需求和评分标准;
部署过程中,需要考虑与现有系统的关系,尤其是与业务系统强耦合的产品,需要格外注意,一方面要求厂商提供相关建议,另一方面有测试环境的,可以通过测试环境检验上线方案的可行性;
使用过程中需要与厂商沟通好对接方式和时效性(这方面的规则应在合同制定阶段确定),确定对接联系人,保证在产品使用过程中出现任何问题能够快速的找到可以解决问题的联系人。
李维春
“
(1)明确自己的需求是什么。需求应该是:期望解决什么问题、达到什么状态?需求的范围边界是什么?需求的功能和性能指标是什么?近期和中长期需求是什么?
(2)把需求拆分成测试项,逐个完整测试评估;
(3)计算5-8年内的综合成本,综合成本包括第一次采购成本、后续可能的采购成本、项目实施成本、配套软硬件成本、后续维保费用、学习成本、后续运营成本。根据评测结果,选择性价比最合适(不一定是性价比最优)的产品;
(4)商务决策之前,多听听同行的经验教训,到诸子云的群里多问问情况,会得到更多辅助决策信息。
”刘锋:做安全顶层设计,请专家评审,制定分布部署计划,按优先级部署项目。
刘新凯:提两点建议,技术上能够在团队内把控最好,如果能力不足,可以多和业内的相关团队多沟通,看看别人实际选型的考虑,使用的情况,做案例参考。
团队方面,努力争取厂商更高层面资源的投入,从厂商的组织层面,来尽可能的拿到更好的保证,和在遇到问题时,资源协调的能力。
孙锦泉:避免掉坑很简单,就是不要盲目购买产品,一是要明确自己的需求,解决实际问题;二是在购买前可以做一下POC验证测试,验证产品的实际效果。
王彬
“
1.要多测试,把问题测出来提早解决。
2.要结合生产仔细考量各产品,充分测试,并考虑和现有运维相融合。
3.选择靠谱的厂商很重要,行业成功经验也很重要。
”薛忠胜:一条建议:购买网络安全产品特别是复杂的产品前,要评估企业自身的信息化成熟度和安全团队的人力能够支持新产品在企业中的成功运用。如果不具备这些条件,买回来的产品很可能变成摆设。
叶翔:其实也没啥可总结的,只要涉及大规模终端部署,涉及现网联调,绝对有坑,标前测试不会解决多少坑的,要么降低自己的要求,要么尽量不要碰这类项目,坑不好填。
还有2类坑,是特征库升级和license 的坑,我是没有掉进去过,但见到很多人掉进去。
带特征库的,WAF,AV,IPS 之类的设备,特征库每年更新报价是设备价格的30%,实在太黑了。如果没有在标书约定,绝对被坑。
还有就是能力和许可不匹配,我说我要买 1000并发能力的 VPN,买回来,能力是1000,但许可只有50,要扩到1000,对不起,license 价格可以再买一台了。
这两种坑要解决其实不难,吃一堑长一智就好了。初出茅庐,难免被骗。
赵锐
“
一、防止骚扰,不留手机、不加社交工具,都通过公司邮箱和公司的固定电话联系,如果一定要留手机,买个小号。减少对个人生活的影响。
二、做好准备,要找有过实际经验的乙方,或者从甲方出来的乙方。通过多种手段、方式了解不同甲方的使用情况,减少做小白鼠的风险。
三、有效实施,全程有标准化的流程,使用合适的人、技术进行管控。
”Y(某金融机构网安专家):打铁还需自己硬,首先是提高自身鉴别能力,安排就基础安全内容开展培训,实践,自己把需求、市场搞清楚了,才不容易被忽悠。其次,需求明确,严格把握需求范围,避免需求镀金,科学安排项目范围。最后,设定总体规划而非人云亦云,把基础打牢了,基础安全做好了再聊别的。
L(某股份制银行信息安全负责人):多听多问,一是要听不同厂商的介绍、进行技术交流,从已有类似案例中了解产品的使用、运行情况;二是采用迭代方式逐步深入,从产品接触、熟悉、体验到功能、机制、原理,逐步深入,也要利用不同厂商间的差异作为突破口。
新型网络安全产品往往涉及定制化,要重点看研发能力、研发部门对技术支持部门的支撑情况,厂商组织内部的协同程度对客户的使用有很大的影响。
C(某知名证券公司资深安全专家):a.实际环境或模拟真实环境测试,结合自身应用特点,比如防火墙小包高并发场景。b.合同约定,除明确说明外,采购费用已包含满足招标要求的所需license。
截至目前,本地活动问卷收集阶段工作已近尾声,共计收到近800份问卷反馈,并在诸子云社群内分三次抽出六件礼品。就在昨天,我们第三次抽出两份礼品——小米照片打印机一台,以及,本次活动终极大奖——iPhone11手机一部!抽奖写真参见如下视频。
中奖者是:
祝贺中奖的朋友!
随着问卷收集阶段工作结束,我们将进入到紧张的数据整理、分析和统计阶段,就让我们共同期待,真正属于甲方自己评选的第一份“答案”的问世吧。
后续,我们计划将在本次活动基础上,进一步针对网络安全各重点细分领域的深入调查,同时,会将“甲方说好,产品说好”贯彻运用到日常持续性机制上,最终坐实网络安全“大众点评”。
再次感谢大家的关注、支持和参与!
推荐阅读
甲方说好,产品才好!2019网络安全产品用户大调查
什么是好产品?听听甲方网安专家怎么说
▼加入诸子云