国产日韩欧美一区二区三区三州_亚洲少妇熟女av_久久久久亚洲av国产精品_波多野结衣网站一区二区_亚洲欧美色片在线91_国产亚洲精品精品国产优播av_日本一区二区三区波多野结衣 _久久国产av不卡

?

如何采購高性價(jià)比產(chǎn)品?

2016-03-13 10:24:03
網(wǎng)絡(luò)安全和信息化 2016年5期
關(guān)鍵詞:漏洞應(yīng)用程序供應(yīng)商

網(wǎng)絡(luò)安全市場可謂是亂相叢生,前紐約市長魯?shù)蠁烫m尼將網(wǎng)絡(luò)安全問題比喻成無可醫(yī)治的癌癥,而問題重重、備受爭議的 Norse Corporation 卻拿到了1140萬美元的風(fēng)險(xiǎn)投資。

盡管現(xiàn)在我們說網(wǎng)絡(luò)安全是泡沫還為時(shí)過早,但可信賴的內(nèi)部技術(shù)、鋪天蓋地的專家營銷以及讓人感到恐懼、不確定和懷疑的策略,已經(jīng)讓人越來越難以區(qū)分哪些是真正的安全公司。這也使得網(wǎng)絡(luò)安全項(xiàng)目的采購過程對于各種規(guī)模的組織來說,都變得更加復(fù)雜和具有挑戰(zhàn)性的。

身在安全圈的朋友,或多或少地都聽到過不同組織的安全專家和管理者,抱怨他們在采購各種網(wǎng)絡(luò)安全產(chǎn)品或服務(wù)方面的失望。開放和透明的報(bào)價(jià)模式可能是在公開市場中得到高性價(jià)比產(chǎn)品和服務(wù)的最有效的方法之一。然而,由于網(wǎng)絡(luò)安全市場的復(fù)雜性和動(dòng)態(tài)變化的環(huán)境,那只“看不見的手”可能并不總能正常運(yùn)作。不過,如果我們考慮一些基礎(chǔ)的重要規(guī)則的話,網(wǎng)絡(luò)安全采購還是可以取得成功的:

確保該項(xiàng)采購符合公司的風(fēng)險(xiǎn)管理策略

在購買任何安全產(chǎn)品、系統(tǒng)或服務(wù)之前,確認(rèn)新的安全控制是否可以在一定程度上減輕亟待解決的安全風(fēng)險(xiǎn)。網(wǎng)絡(luò)安全市場時(shí)常出現(xiàn)新的趨勢,而通常企業(yè)投資新的產(chǎn)品、系統(tǒng)或服務(wù)只是為了趕時(shí)髦。如果您的企業(yè)中最重要的風(fēng)險(xiǎn)是駐留在企業(yè)內(nèi)部的威脅,在沒有確認(rèn)已經(jīng)擁有適當(dāng)可行的數(shù)據(jù)防泄露系統(tǒng)(DLP)以應(yīng)對風(fēng)險(xiǎn)之前,把錢花在外部威脅情報(bào)上就是錯(cuò)誤的。

通常,新的安全的趨勢都是圍繞先前已有的風(fēng)險(xiǎn)、威脅和漏洞進(jìn)行的一個(gè)漂亮包裝。然而,有時(shí)新趨勢也會(huì)真正代表一個(gè)重要的、以前忽略或不存在的風(fēng)險(xiǎn),那就有必要進(jìn)行風(fēng)險(xiǎn)分析,定義如何減小這種風(fēng)險(xiǎn)。新技術(shù)能給企業(yè)帶來偉大的洞見,為公司的網(wǎng)絡(luò)安全增值、降低成本。并且在部署之前,要確定好如何將其集成到風(fēng)險(xiǎn)管理策略和風(fēng)險(xiǎn)緩解計(jì)劃中去。

精確把握每一個(gè)需求的細(xì)節(jié)

我們看到過的需求和定義常常非常模糊,如要求產(chǎn)品具備檢測OWASP(開放式Web應(yīng)用程序安全項(xiàng)目)十大漏洞的功能,但卻未提供任何額外的細(xì)節(jié)。而如今,我們已經(jīng)很難找到一個(gè)網(wǎng)絡(luò)安全廠商不聲稱其產(chǎn)品具備檢測OWASP十大漏洞。所以,更重要的是去了解供應(yīng)商檢測OWASP十大漏洞的技術(shù)、效率和實(shí)用功能。

例如,經(jīng)典的XSS漏洞很容易就可以通過自動(dòng)化工具進(jìn)行檢測,然而基于DOM的XSS、JS內(nèi)部的XSS以及隱含XSS就沒那么容易檢測得到了。WAF邊信道攻擊呢?此外,由于其復(fù)雜的特質(zhì),一些OWASP十大漏洞是無法通過預(yù)定義的自動(dòng)掃描(DAST)可靠地檢測到的。

檢測的質(zhì)量、誤報(bào)率以及其他的一些細(xì)節(jié)也很重要。識別所有的沒有防跨站請求偽造令牌的WEB表單很容易,許多WEB漏洞掃描器就可以將它們一網(wǎng)打盡。然而,很少實(shí)現(xiàn)了跨站請求偽造保護(hù)的站點(diǎn)是可以輕松繞過的,況且許多WEB表單不執(zhí)行任何敏感操作,并不需要跨站請求偽造保護(hù)。設(shè)想一下,如果你的跨站請求偽造保護(hù)機(jī)制靠得住,并拿到一份實(shí)際可利用的漏洞列表,或者拿到無數(shù)個(gè)沒有跨站請求偽造保護(hù)的WEB表單,你會(huì)怎么想?還是要根據(jù)實(shí)際的情況來進(jìn)行判斷,IT 安全采購也是一樣的道理。

要求技術(shù)人員在您自己的環(huán)境中進(jìn)行演示和測試

許多公司創(chuàng)建了人工環(huán)境來證明其產(chǎn)品效率。在WEB安全領(lǐng)域,有各種各樣的WEB框架和應(yīng)用程序故意繞開漏洞進(jìn)行測試,并與其他的WEB安全測試解決方案進(jìn)行橫向?qū)Ρ?。不足為奇的是,這些WEB框架和應(yīng)用程序其內(nèi)部邏輯、爬行機(jī)制和漏洞檢測算法都只適合特定的產(chǎn)品。這樣的測試與現(xiàn)實(shí)情況相去甚遠(yuǎn),完全無法用于產(chǎn)品比較。

因此,一定要讓每一家供應(yīng)商在您自己的環(huán)境中進(jìn)行演示,不要在他們的環(huán)境中進(jìn)行演示,否則就無異于捫櫝估珠。

價(jià)格要和專業(yè)性和經(jīng)驗(yàn)相匹配

一定要確保報(bào)價(jià)最低的公司具備實(shí)現(xiàn)相同規(guī)模項(xiàng)目的技術(shù)經(jīng)驗(yàn)、用戶數(shù)量和案例,而不是僅僅有可以實(shí)現(xiàn)的產(chǎn)品或解決方案。在許多情況下,最低的價(jià)格也就意味著最低的交付、實(shí)現(xiàn)、支持或維護(hù)質(zhì)量。在進(jìn)行詢價(jià)時(shí),一定不要在價(jià)格上糾纏太多,否則就是自掘墳?zāi)?,逼迫供?yīng)商在競標(biāo)中忽略報(bào)價(jià),前所未有的報(bào)價(jià)的結(jié)果就是供應(yīng)商會(huì)交付一份前所未有的服務(wù)。在日后的交付過程中,一旦意識到項(xiàng)目的損失,供應(yīng)商會(huì)不得不削減未來費(fèi)用,以保證至少維持盈虧平衡,從而無法保證整個(gè)項(xiàng)目的質(zhì)量。

別忘了簽署服務(wù)等級協(xié)議(SLA)

有些公司,靠和銷售人員刷臉或被其華麗麗的營銷材料所迷惑,忘了簽署服務(wù)等級協(xié)議。銷售人員都有嚴(yán)格的KPI考核,顯然不會(huì)將產(chǎn)品的全部真相都告訴你,如果你對服務(wù)質(zhì)量有特殊要求,一定讓參與詢價(jià)的人員意識到,并得到確認(rèn)。

例如,WEB應(yīng)用程序防火墻服務(wù)很容易抵御小型的DDoS攻擊。然而,如果沒有簽署合適的服務(wù)等級協(xié)議,或?qū)τ诎l(fā)生DDoS攻擊沒有相應(yīng)的約束條款,那當(dāng)大規(guī)模DDoS攻擊發(fā)生時(shí),那就不必為應(yīng)用分分種掛掉而驚訝了。這時(shí)候再去和銷售人員刷臉,估計(jì)也只能刷出一堆借口,而你的網(wǎng)站可能在未來幾天都無法恢復(fù)訪問。

為了實(shí)現(xiàn)目標(biāo),一定要進(jìn)行POC測試,即針對具體應(yīng)用的驗(yàn)證性測試,通俗地講,就是先嘗后買,這樣有助于澄清需求,同時(shí)有助于選擇正確的解決方案來解決問題。

猜你喜歡
漏洞應(yīng)用程序供應(yīng)商
漏洞
刪除Win10中自帶的應(yīng)用程序
三明:“兩票制”堵住加價(jià)漏洞
漏洞在哪兒
高鐵急救應(yīng)補(bǔ)齊三漏洞
供應(yīng)商匯總
供應(yīng)商匯總
供應(yīng)商匯總
關(guān)閉應(yīng)用程序更新提醒
電腦迷(2012年15期)2012-04-29 17:09:47
推薦供應(yīng)商
404 Not Found

404 Not Found


nginx
从江县| 秀山| 灌阳县| 镇赉县| 武城县| 沁阳市| 任丘市| 西充县| 长宁区| 东乌| 乐平市| 临夏县| 利川市| 高尔夫| 灵璧县| 平乐县| 商南县| 太仆寺旗| 诏安县| 清镇市| 漾濞| 沙河市| 阜南县| 进贤县| 双牌县| 习水县| 汉川市| 丰镇市| 灯塔市| 二连浩特市| 内黄县| 翁牛特旗| 南涧| 南澳县| 遵化市| 长顺县| 正蓝旗| 昌邑市| 永登县| 梓潼县| 凉山|