真正的安全采购流程应该是怎样的?-阿里云开发者社区

开发者社区> 云栖大讲堂> 正文

真正的安全采购流程应该是怎样的?

简介:
+关注继续查看

我的企业正在考虑新的安全采购计划,但我们的预算有限,而且我们担心成为供应商炒作的“牺牲品”。对于安全产品采购和供应商选择,我们是否应该制定基本准则?在与预选的供应商交谈以及评估供应商之前,信息安全官应该提出什么问题,我们应该避免哪些常见的陷阱?

真正的安全采购流程应该是怎样的?

Mike O. Villegas:首席信息安全官(CISO)每天都被供应商轮番轰炸,这些供应商都声称他们的产品可以解决所有问题。另外有些供应商则很冷淡,即使他们的产品很优秀,CISO可能都不会再想见他们。这里的挑战在于买什么以及从谁那里购买。

在你知道你需要的产品(SIEM、FIM、NGFW、WAF、防病毒、反恶意软件、DLP等等)后,你可以通过选择供应商来开始供应商管理流程。

确定供应商:企业在寻找潜在的供应商时,可考虑Gartner魔力象限或Forrester Wave作为可靠的信息来源。在你感兴趣的领域有哪些供应商?看看右上象限内的供应商,并了解其详细信息。不要只挑最便宜的产品,尽管有时候开源可能是正确的选择。

短名单:挑选少数具有不错成绩的供应商。如果你与其他CISO有联系,可以询问他们的意见。

概念验证:在供应商管理流程中,在确定潜在供应商清单后,下一步是打电话给供应商,并建立概念证明(POC)。企业可以查看供应商的宣传册,并进行粗略的背景调查。另外,安排时间让供应商展示其产品,并邀请主题专家(SME)。POC可能需要花一些钱,因为它需要内部资源对产品进行测试。请确保你起草了非公开的协议,并根据功能、平台(设备或软件)、资源和需要的技能以及成本制定了选择标准。同时,使用相同的选择标准来评估所有产品,让它们处于同一起跑线。

POC不应该使用实时数据或生产数据来测试,但你还是要考虑对你环境的影响:

• 在POC测试环境中每秒预期事件,并估计在生产环境的情况;

• 日志记录活动以及它需要多少存储空间;

• 日志记录活动是否协调或者不一致,以及这对生产延迟性的影响;

• 如果数据包在目标设备需要代理,确定代理的足迹、对生产的延迟性、性能或可访问性问题;

• 如果需要特殊培训、技能或SME资源,你是否需要从外部聘请,或者从供应商或其他专业服务机构获得。

联系参考客户:所有供应商必须提供参考客户。选择与你环境和行业类似的参考客户。向供应商要求只有你和参考客户参与电话会议,供应商不参与。确保参考客户与供应商没有利益冲突。询问参考客户寻找供应商产品的驱动力是什么,他们使用其产品的时间?他们还评估了哪些其他产品?POC?为什么他们选择该供应商?他们是否满意POC工程师?他是否知识渊博且有问必答?他们是否花了很长时间让该产品在其环境中运行?在他们使用产品时,产品在哪方面没有达到他们的预期?他们是否认为价格合理并且值得购买?

成本:成本不应该是选择产品的首要因素。成本是相对的,但所有价格都可以与供应商商量。永远不要支付标签价格。看看数据包是否可捆绑同一供应商的其他产品,如果可能的话,等到月末、季度末或年末再决定。我们都知道供应商有其销售目标,你可以用它来协商成本,但如果你不打算买的话,不要浪费供应商的时间。如果各供应商之间的成本差别不小,确定功能是否超过了成本。如果成本远远超出了你的预算,确定预期投资回报率是否超过成本。同时,与信息安全、网络、IT、开发团队、审计、风险管理和合规团队共享这些数据,看看他们是否可以使用该产品。如果该产品为软件,考虑下载软件以节省税费。

高管认可:没有人喜欢惊喜,包括管理层。在你与供应商的谈判结束后,再告诉高管产品的成本。追踪你的预算,不要让供应商知道你的预算。让高管知道供应商管理流程谈判,并让法律团队认可该产品,这可以有助于高管对这次购买感到满意。同时,让IT认同该产品。你还应向高管展示你在选择时进行了尽职调查,并在谈判结束后,展示列表价格和产品实际价格,让高管看到你的管理工作做得不错,同时你自己也会被看好。最后,你可以换位思考,假设这是你自己的公司,你在做出购买决定。你会怎么做?

合同谈判:让法律部门的同事帮助你完成合同谈判。确保合同包含针对POC和购买的条款,审查许可协议、维护成本和续订成本。有时候,在花时间进行POC后,你与供应商的法律部门可能不会达成一致意见,这可能导致最终交易无法完成。在大多数情况下,合同谈判应该是双方都同意的。确保有终止条款—有原因或没原因,合同中应具有双方责任限制条款以及审核权利条款。如果涉及代码或软件,考虑代管条款或不披露条款。

总之,如果雪佛兰皮卡车就行,那就不要买凯迪拉克。你应该选择正确的产品,而不是最好的产品。因为最好的产品有时候最昂贵,但并不是基于你的商业模式、预算和需求,正确的产品才是你的目标。你需要确保所选择的产品可以根据公司发展进行扩展。另外,基于你的行业、企业文化以及人员技能,你可能还有其他考虑因素,但你应该购买你所需要的产品,不一定是你想要的产品。


作者:Mike O. Villegas 翻译:邹铮

来源:51CTO

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云服务器怎么设置密码?怎么停机?怎么重启服务器?
如果在创建实例时没有设置密码,或者密码丢失,您可以在控制台上重新设置实例的登录密码。本文仅描述如何在 ECS 管理控制台上修改实例登录密码。
9496 0
渗透测试对网站安全扫描与检测流程
很多客户网站以及APP在上线运营之前都会对网站进行渗透测试,提前检测网站是否存在漏洞,以及安全隐患,避免因为网站出现漏洞而导致重大的经济损失,客户找到我们SINE安全做渗透测试服务的时候,我们都会对文件上传功能进行全面的安全测试,包括文件上传是否可以绕过文件格式,上传一些脚本文件像php,jsp,war,aspx等等,绕过上传目录,直接上传到根目录下等等的一些漏洞检测。
6709 0
https安全证书如何申请 https证书申请流程及费用
  随着谷歌、百度等主流浏览器大力支持鼓励网站安装SSL证书进行https加密,保障网站安全,网站安装https证书已经成为一种趋势。那么,https安全证书如何申请?申请https证书需要什么?https证书申请多少钱?      一、什么是https证书?     https证书也就是SSL证书,网站通过申请SSL证书将http协议升级为https加密协议,搭建加密传输、身份认证的网络安全通道。
3732 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
13184 0
阿里云ECS云服务器初始化设置教程方法
阿里云ECS云服务器初始化是指将云服务器系统恢复到最初状态的过程,阿里云的服务器初始化是通过更换系统盘来实现的,是免费的,阿里云百科网分享服务器初始化教程: 服务器初始化教程方法 本文的服务器初始化是指将ECS云服务器系统恢复到最初状态,服务器中的数据也会被清空,所以初始化之前一定要先备份好。
11508 0
《Java编码指南:编写安全可靠程序的75条建议(英文版)》—— 第6章 使用字符串来交流 6.1 在字符串中存储文本
Java程序将字符串作为与用户交流的主要方式。字符串是一组文本,可以包含字母、数字、标点符号及其他字符。本章将介绍如何在Java程序中使用字符串。
1136 0
[安全]-应急响应的基本流程
应急响应的基本流程: 1.了解情况 2. 遏制传播风险 3.已知高危漏洞排查 4.系统基本信息 5.异常连接排查 6.正在运行的异常进程排查 7.异常账号排查 8.异常文件分析 9.启动项排查 10.计划任务排查(定时任务) 11.日志排查 12.恢复阶段 13.跟踪总结
114 0
阿里云ECS云服务器初始化设置教程方法
阿里云ECS云服务器初始化是指将云服务器系统恢复到最初状态的过程,阿里云的服务器初始化是通过更换系统盘来实现的,是免费的,阿里云百科网分享服务器初始化教程: 服务器初始化教程方法 本文的服务器初始化是指将ECS云服务器系统恢复到最初状态,服务器中的数据也会被清空,所以初始化之前一定要先备份好。
6893 0
+关注
云栖大讲堂
擅长前端领域,欢迎各位热爱前端的朋友加入我们( 钉钉群号:23351485)关注【前端那些事儿】云栖号,更多好文持续更新中!
3918
文章
1754
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载