CSO如何准确选择安全产品?

“斯诺登”事件掀起了网络安全的热潮, 2014年初中央“网络安全与信息化领导小组”的成立,把网络信息安全推到了史上最高峰。信息安全引起了前所未有的重视,企业CISO(信息安全官)的队伍也相应成长了,当然还有大量的安全预算也跟上步伐。

幸福来得太快,很多CISO也许还没做好准备,关于如何选择安全产品,可能就没考虑太清楚。市场上的安全产品如过江之鲫,可谓乱花渐欲迷人眼,今天小编支招,告诉各位CISO们如何准确选择安全产品!

一、国产化 必须的

选购安全产品,有两个标准不得不提。一个是《等级保护标准》,一个是由中共中央政治局审议通过、即将正式出台的《网络安全审查制度》。“等保标准”从技术的角度规定了一个信息系统属于什么安全等级并需要什么程度的安全防护。这是一个已经执行了很久的成熟标准,可以成为CISO设计自己企业安全管理框架的一个参考工具。而《网络安全审查制度》则重点在于强调对网络安全产品供应商进行审查。通俗的理解就是,生产这款安全产品的企业自身必须是“安全”的。

所有的主流媒体一直在避免把这个审查制度简单的解读为“国产化”制度,一再强调这是面向全世界供应商都平等执行的一个制度。但是考虑到这个制度中很可能会出现的一些具体条款,例如“产品源代码必须接受中国政府审查”,恐怕除了国内企业也没有能够满足的了。

二、时间

所谓路遥知马力,日久见人心。我们人生中的一些重要角色都只能通过时间来判断其真伪优劣,比如朋友,比如合作伙伴,比如爱人等等。其实对供应商的评价,时间也是最为重要的也是最为准确的一个维度。一个历史悠久广为人知的企业,其信誉、其能力,与其合作的成功几率都远远高于一般企业。所以首先要选择那些有一定创建时间,在市场上被广泛认知,并有较高美誉度的企业。

三、资质

资质不是万能的,但没有资质也是万万不行的。“资质”这个事其实也不是什么太有中国特色的东西,全世界对于企业级产品,尤其是安全产品都会有各种各样的资质。

安全产品对于资质的要求尤其高。我们都知道对于一个安全产品的评估往往需要很高的技术水平和较长的时间,而在绝大多数安全项目中,这都是难以实现的。因此,产品是否具备某些资质,就成为一个CISO评估产品能力的一个重要依据。

四、案例

案例是评价一个供应商及其方案最有效的手段之一,该供应商是否服务过和本机构类似的客户,该方案是否在类似的场景中有过成功部署,成为绝大多数CISO进行产品选择的首要评判标准。事实上,很多CISO不仅仅要求供应商提供本行业内成功案例,还会主动打电话进行核实(行业内的CISO们往往联系紧密),更有甚者,还会要求参观成功案例。

五、产品

产品要满足CISO需求,能够真正解决客户问题,这是一个基本原则,但这不是本文要讨论的。本文要讨论的是一些相对更实用,更接地气,并且在CISO中被广为实用的一些方法。

产品是否为该厂商原厂产品,这很重要。众所周知在国内存在OEM这么一种产业生态,也就是说,厂商销售的产品可能不是自己研发设计的,而只是贴了自己的牌子的,事实上由其他厂商生产设计的产品。对于这样的产品,在需求定制、上线实施、乃至后期维护过程中往往存在这样那样的问题。所以,采购原厂生产的产品,在使用的过程中能够有更多的保障,售后服务也会更加到位!

IP-guard满足以上所有条件,各位CISO们,你们懂的啦!

 

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注