关于安全产品选型的吐槽
起因:
本来懒的写这种文章。不过昨天某群里面又针对这个事情讨论起来了。回想起来不止一次讨论选型改如何选的问题了。针对某个人的总是以鸡汤行为来误导有着迫切信息安全需求的人,我决定派出文章讨伐,维护正义,以免更多信息安全从业者受到鸡汤的干扰,轻则导致项目失败,重则个人发展停滞,影响前程……………具体过程原因如下图所示,颜色相同的为一个发言者:本人讨伐是黄色鸡汤传播者
相信大家看完后自己有了自己的判断,一万个莎士比亚心目中有一万个哈姆雷特,以下言论仅代表个人看法,大家都是受过高等教育的成年人,是非对错自己去判断,同时也欢迎大家来讨论。营造信息安全界的春秋时代(百花齐放,百家争鸣)。
在讨伐之前必须要说下心灵鸡汤是什么,来个例子先:
一个大学生问于丹:“我和我女朋友,我们毕业留在北京,我们俩真没什么钱。我买不起房子,就租一个房子住着,我们的朋友挺多,老叫我们出去吃饭,后来我们就不好意思去了,老吃人家的饭,我俩没钱请人家吃饭。我在北京的薪水很低,在北京我真是一无所有,你说我现在该如何是好?” 于丹答:“第一,你有多少同学想要留京没有留下,可是你留下了,你在北京有了一份正式的工作。第二,你有了一个能与你相濡以沫的女朋友,第三,那么多人请你吃饭,说明你人缘挺好有着一堆朋友,你拥有这么多,凭什么说你一无所有呢?”大学生:“哎,你这么一说我突然间还觉得自己挺高兴的。”
相信每个人看完之后都有自己的想法,我们姑且不去讨论你心里的想法,自己明白就行了。接下来我们来看看上面的讨论。
首先有人咨询网闸厂家的选型问题,一开始大家各抒己见,发表了各自的看法,也算是比较正常,突然,冒出了一个黄色鸡汤悠悠的来了句“其实”,先没吭声,然后过了几句别人的发言后在来了个“选品牌这事最简单了”“打电话问兄弟单位”“使用行业内的通用的”。乍一听,还挺正确的嘛,同行业的共同选择肯定没错,错也是他们的错。接下来的言语讨论其实大家在上图也已经看到了。下面就来分析分析鸡汤的成分了。
1、无伤大雅的开场白。“选行业内通用的产品”这种话语一看就知道是官方话语,几乎可以回答所有类似的问题,没有一点纰漏,适用于任何场合任何情况的通用话语。但是这种话说了等于白说,而且是没有看清题目就开始做题,效果可想而知。人家问的是网闸的选型,网闸一般的适用单位是什么?他估计想都没想就脱口而出了“官方回答”,这种回答用语不会有人说错,但是解决问题了吗?回答是肯定的“没有”。
2、比喻是王道。“你知道为什么很多人不用思科ucs装用友么?”“很简单,客户说,我见过的都是装在ibm上。出问题领导问我怎么说” 看到没,你不懂没关系,我给你打个比喻你就很快就懂了。这一步就是为了强化上一个论点,让你浅显的明白我上一个论断是正确的,给你提供决绝方案了吗?没有
3、话题转移。A:“好吧。政府行业用得多的哪些。” B:“现在政府的都要用国产的” C 鸡汤:“13来吧这是学术派的活” 不会正面回答问题,没关系,转移嘛。“哪里不会转哪里,so easy”
以上三点是鸡汤传播的共性,用着一套国际通用的鸡汤准则,加上自己在单一行业的统一标准下非典型性案例衍生出来的模式化流水线式忽悠,基本上走遍天下无敌手。
回顾以往黄色鸡汤者以前的言论,对于产品的选型的讨论隐约记得我当时说选个售后好的厂家,黄鸡汤马上反驳,并且搬出H3C和cisco的言论,言之凿凿说H3C是售后最好的,但是产品存在问题,一定要选产品好的例如cisco(顺便提下黄鸡汤是cisco的忠实fans,我常开玩笑说cisco的CEO要每年像他这种fans下跪以表谢意。)
映像中的两次提问者都是明确提出“xxx选哪个厂家好点”,鸡汤总是用非信息安全产品的产品比如来回复,一次是用cisco的服务器选型UCS来做比喻,一次使用H3C和cisco网络设备来做比喻。我们不可否认对于任何产品的选型必定有一套的通用标准,但是这种标准真的是用于细化的产品选型的选择吗?回答当然是否定的。安全设备的选型和其他IT设备的选型有差吗?差别大吗?
网络设备和服务器设备基本上属于基础部件类,承载着公司的基础架构的运营,然而安全设备是在此基础上的一种附加功能设备,所以说安全设备和基础架构部件还是有着非常不一样的定位和角色分配。
鉴于黄色鸡汤一直沉浸在cisco的意淫当中不可自拔,可以参考本站长在《【吐血整理】2014年最新国内外信息安全厂家及安全产品分类v1.1.pdf》 一文中的“一叶障目”之说。
以上都是废话,现在才回到正题,选型容易,选好不易,且选且珍惜。接下来我针对如何选好安全设备说点自己的个人看法,言论仅供参考。由此造成的任何后果概不负责,也欢迎大家留言讨论。
1、选品牌。说起可乐,你会想到可口可乐和百事;说起手机,你会想到苹果、三星、诺基亚;说起洗发水,你会想到,潘婷、海飞丝、清扬等。这就是品牌的效益。当一个人还处在犹豫不觉选择的时候说明他本身就不熟悉此类产品,对于这种情况就好比我们安全从业人员在选择非本行业自己想要买的东西是一个心态。品牌的效应不是一天两天形成的,它之所以能够成为此行业的佼佼者,必定有着其扎实的基本功。所以选品牌重要吗?绝对重要!罗马绝对不是一天建成的。
2、选“关系”。本文是抛开领导因素的关系,指得是厂家或者供应商和甲方的关系。一般来说,甲方都有自己熟悉的供应商或者厂家,选择自己熟悉的供应商或者厂家来说绝对比开拓一个新的“关系”来的容易且易控制。我们要做的就是“Everything is under control”
3、选售后。任何设备你都不能保证不出问题,这个时候售后的重要性就凸显了。前面还说了,安全设备基本上都是附加功能,你可能不会像网络设备那样一放上去基本上就不需要动了。安全设备有很多的例如攻击规则等需要进行不断的优化和应急事件的处理,这时候你就会发现一个良好的售后就彰显其作用了。虽说授人以鱼不如授人以渔,但是你有考虑过甲方的感受吗?用户体验,什么叫用户体验,我想要你来的时候你马上就能出现!所以现在有些乙方认为变态的招标规则例如需要本地交社保的人员清单对于甲方来说是一个很好的选择。
以上三点都是从宏观的角度来阐述如何选择信息安全产品,对于细分到各个安全类别的产品可能略有不同,例如相应的行业专有特性这些基本上有些细微的变化,但是大方向可以参考以上三点。
细分的选择可以参考如下意见:
1、划分阶梯:其实我们有些朗朗上口的调子:启明的IDS、绿盟的漏扫、天融信的防火墙等等,但是真的一定要选IDS的时候选启明么?漏扫就选绿盟?防火墙就选天融信?非也非也,启明的IDS会比绿盟和天融信的强很多吗?至少我觉得没那么屌,你首先要做的是划分你所选产品的阶梯阵营,三个厂家一个阶梯,在同一阶梯里面选哪个其实都没什么所谓,但是千万记住是同一阶梯里面的,不要跨阶梯。
2、行业积累。我们会发现某些细分厂商在某个行业有这比较扎实的积累,比如说联软准入在金融业的积累、绿盟华为DDoS在运营商的储备、imperva在Waf上面的耕耘。这些积累会凸显在其运营的产品当中,也必然会更加符合其行业需求。选择这些只是说相对来说好一点而已。
3、参考宏观三点
千言万语融汇成一句话就是“选择一个在业内有名气的厂家并且能够提供的质量保证的售后的信息安全产品”。
以上为本人拙见,欢迎大家讨论,也欢迎黄色鸡汤的反驳。哈哈哈哈哈哈哈哈哈哈哈哈哈…………………………
另推荐关联文章“冷漠”大牛的关于安全服务和安全产品的吐槽