Pages: 1/4 First page 1 2 3 4 Next page Final page [ View by Articles | List ]

关于安全服务和安全产品

  [不指定 September 25, 2013 11:45 | by !4p47hy ]
1、目前的现状是什么?
        
         在传统的信息安全厂商内部,安全服务和安全产品所占的比重一直都是严重失调的,通常是二八开,即销售额一般都是安全产品占 80% ,安全服务占 20% ,有的甚至更少。因此摆在公司决策者面前只会是产品比服务重要,因为卖服务不赚钱,卖产品才赚钱。这确实是目前在安全行业普遍存在的现象。

        从做服务和卖产品的人角度看,做服务的瞧不起卖产品的,经常说的是:这帮卖产品的,整天就知道卖产品。而卖产品的人又认为做服务,太虚,没有实际性的东西,认为做服务的人都是满嘴跑火车的,不靠谱,不过很多产品的销售人员,为了能够将产品销售出去,又何尝不是满嘴跑火车呢?有的销售在客户面前,都将自己的产品吹嘘成万能的,貌似只要上了安全产品,就可以解决所有的安全问题。
完美世界招聘信息安全技术工程师,要求如下:


岗位名称:信息安全技术工程师

岗位职责:

1、 负责公司web网站,应用系统的安全测试和加固;
转一篇不错的文章,看了之后受益匪浅··

在IT圈里混了十多年,差不多八年的厂家技术管理工作,一直与客户进行技术沟通;无论是做网络,还是做安全,感触最多的还是作为售前工程师的时候,因为售前技术工作是介于销售与技术之间的职位,经常接触到各式各样的客户,对提高自身的沟通能力有很好的磨练。在其他行业里一般是技术工程师,也就是我们常说的售后工程师,就算在IT业内售前的职位也很特殊,既要有与客户沟通的技巧,也要有技术人员的细致与执着,实际上是技术型的销售角色。

售前工程师的任务就是让客户接受公司的技术解决方案,在招标的时候,技术标打出最高分。若是纯粹的技术比拼,工作就简单了,大家的产品放在一起测试,谁的好一目了然,但是客户采购IT产品,无论硬件还是软件都是为客户业务提供支持服务的,需要的不是产品本身,而是解决方案,说得明白些,就是怎样解决客户面临的问题,客户一般来说不是IT的专家,有些甚至连具体的需求也说不清楚,需要你的提炼与讲解。如何合理地选择产品组成方案,价格低、功能多、性能好、适合客户未来的发展,多数是靠售前对技术方案的理解与讲解。所以售前技术人员需要有销售般的沟通能力、技术的表达能力、紧急应对的反应能力……

信息安全市场的人才泡沫

  [阴 October 15, 2011 22:52 | by !4p47hy ]
最近部门在招人,我负责了筛选简历和面试,通过一段时间下来,并对比目前安全圈子内的现象,发现信息安全圈子存在人才泡沫的现象。

归功于黑客攻击事件的频频发生以及脱库牛的努力,信息安全的市场呈现了一片欣欣向荣的景象,证监会、银监会等监管机构隔三差五的就发布相关的安全通报或者安全要求,使得下面的企业对于信息安全的建设,有种如履薄冰的感觉,生怕出事,从而遭到上级的批评,进而影响自己的仕途,所以近两年来,各大企业,都在笼络信息安全方面的人才,并且将安全人才的薪资一加再加。这里我想很大一部分的原因是,信息安全市场人才本来就有限,但是人才的缺口却是很大的。前两年安全工程师找工作还不是那么容易,因为岗位有限,所以竞争还是比较激烈的,而近两年,安全市场被打开,各个企业在安全岗位上,都有很大的缺口,而有经验的人已经基本有了自己的合适的岗位,都是一个萝卜一个坑,都已占好了位置,那么这些企业在招人方面,通常会有两个选择,一是高薪挖其他公司的安全人才,二是招有潜力的安全人才进行培养,第一个选择的成功率不是太大,因为每个企业的薪酬制度基本已经固定,不会为了哪个人进行改变,何况你想挖的人,如果真有能力的话,在原先的单位,待遇也不会很低,所以要想挖过来,你开出的价钱很难具有竞争力,所以很多企业通常选择了第二个,就是招一些有点技术基础并且有培养潜力的人,但这样的人一般很难通过几轮面试就能判断出来的,而是需要后期工作中的表现才能判断,也许正是因为这个原因,很多企业在选择有培养潜力的人才时,出现失误,或者从个人的角度出发,公司当初承诺给个人的某些福利或者其他要求,没有达到,诸如此类的种种原因,导致目前信息安全市场人才流动频繁,从而造就了工资的节节攀升。

忽悠也是项技术活

  [阴 October 15, 2011 22:18 | by !4p47hy ]
最近有点忙··忙着实施项目,忙着部门招人,忙着房子装修,忙着考试等等··一堆的事情···

发现自己要面对的东西越来越多,要学的东西更多,最近在微博看到一个评论,说做顾问的大概分为三种人:1、完全不懂,在客户面前瞎 JB 乱吹的;2、懂一点,然后抓住某个案例或者亮点不厌其烦的说多少次  3、学的越多,发现自己不足的地方就越多,反而不敢在用户面前乱说;

话说回来,做顾问的人,就是要对每一项技术或者是标准都要能够了解,不求非常精通,起码要知道是怎么回事。没有谁有那个精力去学所有的知识,也就不可能做到每一项技术或者标准你都能精通,但必须要了解,这也就是做甲方和做乙方的区别吧,在乙方做久了的人,再到甲方肯定会不适应,甲方需要的是单一技术的专家,而不是一个技术的万精油,同样在甲方做的时间长了的人,到乙方也会不习惯,会发现自己需要学习和关注的方面还有很多,而且如果你只会一门单一的技术,你在乙方的使用价值就有限,乙方需要的是全才,什么都要懂,但不一定都要精通。

共享一些加固方案

  [阴 August 14, 2011 10:08 | by !4p47hy ]
You don't have the permission to view this entry.

如何做好一名咨询顾问?

  [不指定 March 13, 2011 23:24 | by !4p47hy ]
来成都也有 1 个多星期了···在来成都之前,去了次珠海。

这次在珠海给客户培训网银相关安全性的东西,因为之前做的准备工作比较充分,培训的效果不错。由于中国银行网银的钓鱼事件给很多银行业的客户敲响了警钟,本次的培训的内容主要是关于网银的安全,并且重点讲了网银的钓鱼,简单介绍了钓鱼事件的触发原因,并且从客户的角度出发,作为银行方面,应该如何防止网络钓鱼?譬如建立相关的监控小组和有相关的监控流程等等,客户听后感觉很好,客户认为你是花了功夫的,是真正切实为客户考虑的。

做安全咨询几年来,感触良多。现在的整个安全咨询行业,存在一定的问题,中间有人员的问题也有客户的问题。究其原因,客户预算不足,安全服务提供商为了中标项目,以低价打标,造成中标的服务商从成本收益方面考虑,在项目的交付质量上就存在了问题,很多都是拿以前的报告模板改改就完事了。所以很多时候,给人的感觉就是咨询就是忽悠。诚然,咨询业和咨询顾问的口才和自身的经验有一定的关系,有好的口才,给自己带来一定的优势。我认为作为一名咨询顾问应具备以下几方面能力:

关于安全项目招标的乱谈

  [晴 January 15, 2011 10:14 | by !4p47hy ]
这两天要写个券商的项目实施方案,看了招标书,头疼了··不过看的出来,这个招标书肯定是客户写的,不是乙方公司帮忙写的···

因为里面竟然没设置什么门槛,而且里面的投标时间竟然是 2010年 X 月 X 日,我表示很震惊,这一看就是用模板改,而写标书的人肯定是客户自己,一般乙方公司经常写报告,对于投标截止时间这么重要的东西,不可能写错的··汗下··

继续往下看的时候,又发现服务器的台数不名,只写了面向公网的所有服务器,这让乙方怎么报价,连数量都不写清楚,怎么知道工作量,不知道工作量,就无法报价嘛··报出来的价钱肯定是不准确的,要么甲方吃亏,要么乙方吃亏··不过乙方吃亏的可能性要大很多,因为甲方都是有预算的,乙方往往不清楚工作量,报出来的价钱会低一点···

项目心得分享

  [阴 December 1, 2010 16:57 | by !4p47hy ]
自从有了腾讯微博之后,这个博客都疏于打理了··由于很多原因吧··因为很多时候实在没那么多时间和精力去写那么多的文章和打那么多的字··这估计也就是微博会火的原因吧···

今天在某省烟草公司做了安全规划的项目汇报,讲了 2 个多小时的 PPT ,真是口干舌燥。这个项目从今年 4 月份开始启动,一直到现在才算暂时告一段落,期间由于很多商务的原因,离场了一段时间,从11 月份再次进场来做后期规划的事情,经过了调研、访谈、现状分析、需求分析和差距分析,经过了无数次的研讨,终于确定了最终的方案,不容易啊··当然,在这一次次的研讨过程中,也学会了很多东西,学会了站在客户的立场来看待信息安全规划,而不是只是从自己的第三方的立场来看。因为往往站在第三方的立场来看待安全规划,你可能给的规划是最好的,是行业的最佳实践,但却不一定是最适合用户的,所以我们在做规划的时候,应学着从客户的角度来看,搜集客户的需求,然后融入到我们的最佳实践里,这样才能做出一个好的规划。

企业信息规划的过程分解与应用

  [晴 June 21, 2010 15:03 | by !4p47hy ]
      在今天这个信息技术快速发展的时代,企业发展与信息技术的关系日益密切,企业创新日益加快,信息化规划是企业 发展的助推器。
  经过多年的信息化研究和实践,国内的生产企业和IT企业都开始逐渐认识到IT规划的重要性。企业信息化从本质上讲 就是管理的信息化, 企业信息化的水平也就是企业管理水平的具体体现。
  进行IT规划,需要以科学的方法论做指导,同时也需要通过合理、有效的的实施步骤来完成。通过科学的规划可杜绝 “一把手”的形象工 程并消除企业信息化的“孤岛”问题。

IT工作规划与IT战略规划的十大区别

  [阴 June 10, 2010 23:07 | by !4p47hy ]
规划还是规划··转一篇文章

目前大多数大中企业的信息化部门,已经将研究、制定IT战略和IT战略管理工作放在信息化建设的首要位置,但却普遍存在制订IT战略规划目的不清、问题分析模式化、报告内容雷同、效果不突出的状况。笔者认为,上述问题产生的根本原因是将IT工作规划或其他规划当作IT战略规划来做。由于发生了根本的错误,而导致效果不突出或可以取得短期效益而丧失长远利益的情况。

     有些企业为了IT部门工作规划,请咨询公司做IT战略规划,然后拿来做极少的修改就作为IT工作规划的汇报;或者是以以前的工作规划为主体进行IT战略规划的设计。要注意企业IT战略规划是其战略的展开,是指导IT工作规划的思想工具,IT战略规划与IT工作规划存在十大明显区别。

乙方的安全服務路在何方?

  [多云 March 21, 2010 23:02 | by !4p47hy ]
今天看了大風写的关于现在甲方互联网公司的安全团队的现状,详细请见:http://hi.baidu.com/aullik5/blog/item/a2fbb110c6950e75ca80c4f8.html,然后又看了 Ben 等人总结的一些:http://bbs.cisps.org/viewtopic.php?t=22406&postdays=0&postorder=asc&start=0

感想比较多,晚上和职业欠钱又聊了下,不禁引发思考,乙方安全服务的路在何方?是否还有存在的必要?仔细思考一番,发现乙方安全服务自有它存在的道理,具体的原因如下几点:

1、首先要明确一点,民营企业的安全做的比国企等事业单位要好。道理很简单,民营企业是由个人来创办的,每一笔钱花出去,老板都希望花在实处,而不是像国企那样,很多都是浮于表面。

再谈安全风险评估方法

  [阴 December 9, 2009 21:36 | by !4p47hy ]
Author: 大潘

引子:

     从最开始接触风险评估理论到现在,已经有将近5个年头了,从最开始的膜拜捧为必杀技,然后是有一阵子怀疑甚至预弃之不用,到现在重拾之,尊之为做好安全的必备法宝,这么一段起起伏伏的心理历程。对风险的方法在一步步的加深,本文从风险评估工作最突出的问题:如何得到一致的、可比较的、可重复的风险评估结果,来加以分析讨论。

北京市网络与信息安全事件应急预案

  [晴 October 22, 2009 11:40 | by !4p47hy ]
1、总则

为做好应对网络与信息安全事件的各项准备工作,提高应急处理能力,结合本市实际,制定本预案。

1.1 、编制依据

《中华人民共和国突发事件应对法》、《北京市实施<中华人民共和国突发事件应对法>办法》、《北京市信息化促进条例》等法律法规,《国家突发公共事件总体应急预案》、《国家网络与信息安全事件应急预案》、《北京市突发公共事件应急总体预案》、《信息安全事件分类分级指南》(GB/Z20986-2007)等相关规定。

基于等级保护的安全解决方案

  [晴 September 4, 2009 11:03 | by !4p47hy ]
说起等保大家可能都不陌生,前年的时候闹的比较凶,去年貌似动静不大,据说今年又开始轰轰烈烈实施了。今天一直在想弄一个基于等级保护的安全解决方案,不妥之处还请大家一起讨论。

解决方案的整体思路为 现状分析 ---> 差距分析 --> 需求分析 --> 安全规划 ,简单来说先分析企业的安全现状,再分析目前企业的现状与等级保护的一个差距,由差距我们得到需求,由需求最后得出企业在未来 3- 5 年内的安全解决方案。
Pages: 1/4 First page 1 2 3 4 Next page Final page [ View by Articles | List ]