由于我是甲方,我只能从客户的角度来谈谈对安全产品的理解。我们企业目前人数大概在4000人左右,服务器在5000台上下。
前几天和国内的文件保护的厂商聊天,提到目前的文件保护产品,深刻地感受到文件保护产品为什么会在今年火爆?是因为需求到了这个阶段,因为去年的终端管理到了一个如火如荼的地步,客户已经接受了这个理念,由于接受了终端保护的理念,那么文件保护的概念自然是水到渠成的。为什么MarkAny在2001年已经开发出了文件保护产品?但是直到现在这个产品也没有多大的起色?终其原因是时间太早了,在所有客户都还没有彻底理解安全是什么和安全应该怎么做的时候,这个时候你提出要保护数据文件,实在是超的太多了,太超前的结果只能是先烈了。那么又是谁导致了MarkAny在2001年就开发文件保护产品呢?并不是这家厂商高瞻远瞩的看到了5年后的安全产品发展趋势,而是当时韩国三星有这样的需求,他们付了一笔可观的费用要求MarkAny公司替他们开发一套文件保护的产品。所以从现实的角度出发,安全产品的发展是要水到渠成才行,水都不知道什么时候才能流到村里,你要去说服“村民“投资去建设一个渠有多难啊?当然我不是否认高瞻远瞩,高瞻远瞩很重要,但是随风潜入夜,润物细无声更是我推崇的。
任何产品都是为需求服务,没人会做没有任何需求的产品。对于客户来说也就是三个字,我想要;对于厂商也是三个字,我能给。你都不知道我想要什么,就硬要给我,有点霸王强上弓的感觉。当然碰到逆来顺受的客户是没有问题的,但是客户就是上帝,一般情况下上帝多少是有些脾气的。为什么自由恋爱是男女相互选择的主旋律?因为这是双方自由选择的你情我愿,就算是选错了,也没有什么好埋怨的。但如果是红娘介绍的,一旦感情破裂,红娘或多或少会受到一些牵连?谁让你当时把他(她)吹得和一朵花一样?红娘难做啊!
我觉得厂商首先要考虑的是深刻理解客户要什么,然后才是我能给你什么和怎么给的问题?有多少安全厂商静下心来耐心的和客户交流过?一味的给与并不是客户所希望的,因为最终的评价不在你手里。这个体会来自我几年的婚姻生活。多年以来我都是理所当然的认为家庭的幸福就是我想的这样,可是在一次激烈的争吵过后,在我老婆的泪如梨花般散落的时候,我才彻底明白,原来女人要的幸福和我想的完全不一样。我从未严肃而认真地问过她想要的幸福是什么样的,也从未认真仔细的倾听过她的感受。不错,世界的确是你我眼中的世界。但是关键是我们是否幸福完全取决于她的评价,我自己说我很幸福是不可信任的假幸福。只有当我老婆无论在谁面前都不由自主地说和我在一起非常非常幸福才是真幸福。做不做是你的事情,好不好是她的事情。目前整个大环境是追求和谐社会,那么对于厂商来说追求和客户的和谐,扎扎实实的替客户解决各种疑难杂症,让客户从内心心存感激之心非常值得我们一起去探讨。
所有安全产品的本质都是为了满足客户的安全管理需求。注意管理二字。客户更加看重通过技术手段体现出来的管理效果。技术产品必须有管理思想,必须融入更多的管理思想才能成为安全管理者的工具。单纯的从技术角度出发的产品是很难吸引客户的眼球的。我总感觉目前的安全公司和客户之间的距离太远,相互之间好象雾里看花一样,无法将对方彻底看透:)。作为企业用户在购买产品的时候最先打动我的不是你的技术,而是你的产品思路和我的管理思路是否吻合,是否能替我们解决问题,能否高效率的去管理企业的安全。毕竟企业不是研究机构,企业非常现实的注重产品能带来的实际效果。
比如你说服我去买一个扫描软件,那你首先要知道我用它来做什么?难道我只是用它来扫描一下服务器和PC,然后发现一堆问题,就搁在那里了?10台机器还容易解决,但是我有3500台PC,5000台Server的时候难道还是这样来解决?我买扫描器的目的并不是为了扫描机器,是为了管理通过扫描发现的漏洞,因为漏洞会带来风险。漏洞有啥可怕,只要不对我构成威胁,我有啥可怕。虽然扫描产品的核心技术是漏洞库,但是它的核心思想是如何管理这些漏洞带来的风险。那么继续延伸开来--风险管理的生命周期是如何的(风险管理策略-确定资产种类和数量-定义资产价值和重要性-;漏洞扫描-威胁对比-计算风险等级-实时阻断各类入侵-修补漏洞-追踪进度和成效-用量化方式评估风险管理成效-是否符合预先设定的管理策略)?其中哪些环节是我们可以依赖产品来控制的?这就是某些扫描产品的卖点。但是就是这样为什么扫描软件或者说风险漏洞管理软件依然不能卖的很好呢?这其实和软件已经没有关系了,因为所有的客户都存在一个硬伤,这个硬伤限制了客户无法真正的用好它,因为国内的导向是一切以应用为王。不管你再怎么不安全但是不能影响应用稳定,就算你知道了安全风险又咋样?谁为安全补丁升级导致应用出的问题负责?
未完,待续。。。。。
