iT邦幫忙

0

請教該如何評估資訊安全管理設備

最近公司有意進行資訊安全管理設備評估採購
以小弟經驗大概列出下列這幾項的評估方式,在此請教版上神人前輩們指教
下列4款目前計畫評估的設備,各位前輩評一評(投票一下),若另能推薦設備更好~

Must 必要功能

  1. 主動過濾色情/釣魚/惡意網站
  2. 頻寬管理,防止檔案影音下載,大Size Mail 傳輸時影響正常流量傳輸
  3. 管理/側錄 IM傳輸,部分允許IM-Chat&Voice,但阻擋Vedio&File Transfer
    IM 至少包含 Yahoo Messager,Skype,MSN,QQ,前10大WebIM
  4. 對內防止間諜軟體/木馬/病毒/殭屍電腦 發作
  5. 阻擋外界 Webmail,至少包含 Yahoo mail /Hotmail/Gmail
  6. 阻擋 P2P 檔案傳輸
  7. 郵件過濾,防堵垃圾郵件(特別是繁簡體中文垃圾郵件)
  8. 管理 TCP-Tunnel (阻擋使用地道軟體,例如SoftEther、Vnn、HTTP tunnel)

Want 需要功能(加分方式)
A.整套系統建置成本(以500人的小公司/4M頻寬估算)
(10萬以內+5,10~20萬+3,20~30萬+1,30萬以上+0)
B.病毒碼/特徵碼 每年Update Cost
(免費+5,建置成本5%以內+3,建置成本10%以內+1,建置成本10%以上+0)
C.通過國內外資安單位認證或雜誌推薦
(兩年內每項+1,兩年以上每項+0.5,ICSA Labs額外再+2)
D.管理& Report可整合Microsof AD
(可以+2,不可以+0)
E.單一設備整合report功能,不需外掛 Report server
(可以+2,不可以+0)
F.設備公司產品永續經營1
(該產品線>5年+5,>3年+3,<1年+0)
G.設備公司產品永續經營2
(設備原廠保用>5年+5,>3年+3,<1年+0)

目前評估的產品
1.L7 Networks IS-100
2.BlueCoat SG-510
3.Marshal 8e6 R3000IR
4.Cellopoint CEF-200

lacanG iT邦研究生 4 級 ‧ 2009-06-12 09:52:15 檢舉
Cellopoint CEF-200只有郵件安全過濾與歸檔功能,應該不符所需吧。
yking7065 iT邦新手 2 級 ‧ 2009-06-26 10:48:36 檢舉
感謝cklin 提供一個量化的評估指標^^有機會我再試試!

基本上不用太理會業務的說法...
因為最近發現一堆廠商來的業務說出來的意見
(看起來就是7x年的年輕業務...)

名眼的人一聽就知有沒有....=.=...
常常我也是笑笑就算了!

2 個回答

21
Ken(Bigcandy)
iT邦大師 1 級 ‧ 2009-06-12 13:27:49
最佳解答

我很驚訝,沒人回答
後來還是很驚訝,發現自己大驚小怪,這種問題,當然沒人回答。

##您問對問題嗎?
包涵幾個層面,例如問對地方、表達清楚、範圍不大、容易回答等等

舉例:請問,我想買資安設備,怎麼選?
........問題很簡單,答案,一點都不簡單,是吧!?

回到主題,發問者,個人認為你有幾個地方,造成大家不願意幫忙
1.點數太少
2.問題太大
3.其實您做的已經相當完整
4.這種問題,很難有好的解答,一句話叫做:公說公有理,婆說婆有理。

個人建議:
1.商品借測一個月(絕對沒問題)
2.廠商願意提供用戶名單讓你『跟愛用者直接分享經驗』
3.廠商專業、評價、責任、態度,其次為商品是否努力建立自有品牌

沒有以上條件,我不可能跟對方採購,僅供參考,每個人考慮點一定不一樣!!

看更多先前的回應...收起先前的回應...
cklin iT邦新手 2 級 ‧ 2009-06-12 14:46:35 檢舉

bigcandy, 謝謝~

我以為我想要問的題目,已經表明的很清楚
[該如何評估資訊安全管理設備],要問的是一種方法,而不是單一的設備
以小弟經驗(10年網路管理者,採購過上億的網路設備),佐以上述的KT手法,公開需求資訊以正規化方式來評估設備
竟被廠商業務(7X年次,工作經驗不到2年)恥笑不夠專業~
只好到這來跟大家求教~

IT技術日新月異,小弟不敢倚老賣老
有些部份可能沒有想的很透徹,想藉助大家集思廣益~~
相信IT幫裡還有很多好人、神人願意幫忙~

關於您的建議
1.商品借測
(這一定是沒問題,每一家廠商都願意,必經有測有機會~,不借就出局,這是遊戲規則
但面對林林總總的設備,每個設備安排上線測個1~2個月,請問1年可以測幾個設備)

2.愛用者名單
(愛用者是經過挑選的,會說不好的大概都被[不方便]的理由擋掉了,問不出真相
因此平常的人脈以及IT邦幫忙這類型的網站都是口碑來源~)

3.SI廠商要靠經驗與長期配合度挑選
(像國際大廠SI HX、IXX 專業夠、責任劃分清楚、態度嚴謹、不是他們的事不碰、費用貴
本土上市SI DX、SX、GX、STX 配合度高,但遇到設備原廠換代理時也無力可施
小型SI 什麼人都有,臥虎藏龍~ 但大多是單兵作戰,一個諸葛亮比不上一群臭皮匠)
原廠的話就更難說了,自有品牌剛有點知名度,馬上就被併購,換湯換藥以後就沒效了;
不願被併的,在大廠強力競爭下活的很辛苦,氣不夠長的1~2年就不見了
大廠的設備也不全然是好的,大多都是併進來,效果和之前的品牌就有差了~)

網路設備我外行
所以沒法提供什麼好建議

倒是看到「竟被廠商業務(7X年次,工作經驗不到2年)恥笑不夠專業~」這一句話
我會告訴該業務的上級主管:
「此次採購會將貴公司排外
因為依據貴公司業務的意見
本公司不夠專業
所以資格不符」

不然這樣如何?
1.看有幾台,一起借測,交換用個幾天,你麻煩,設定要一致、還要換來換去....通常,同一台操了7天就差不多知道狀況才對
2.把你的廠商、商品列出來,用刪去法....我最喜歡刪去法了!!
..業務唬爛、太貴、沒名氣、經濟部查不到公司資料、網站很爛、人很少...........我刪~我刪~~我刪刪刪

然後,就找到了....(不過,大家都知道,再怎麼嚴謹,還是有踩到地雷的機會)

cklin iT邦新手 2 級 ‧ 2009-06-19 09:42:49 檢舉

KT 手法就是一種刪去法
但刪去的理由一定要正大光明,且每一個條件出來都要獲得老闆的背書,不能有主觀意見
開規格有綁標、圖利廠商的嫌疑,最好是依照需求提出RFP(Request for purpose)
通常RFP出來,只要需求正確有理,即使要買到很貴的設備,老闆也都會認帳
KT 只是一種過濾廠商所提Purpose的方法

否則遇到廠商業務剛好是XX老闆的XX親戚這種[皇親國戚],有理也說不清
秉持原則行事,雖然 [計畫]趕不上[變化],[變化]比不過[老闆一句話]
當老闆要下指導棋時,就必須明確指示要開哪個洞,這樣才不會喇到DS
即使不小心踩到地雷,不是IT人員自己去跳火坑。

cklin 說到一個重點:
最大的地雷,是老闆~~諸位邦友,謹記唷!!

cklin iT邦新手 2 級 ‧ 2009-06-23 10:36:04 檢舉

咍咍~ [最大的地雷,是老闆~]這句話是 bigcandy 所說的

老闆是地雷?還是助力? 真的要看你怎麼去應用管理這股力量,[向上管理]這是企業組織的一門學問,有空可以在IT專門技術領域之外,去研究研究。相信對大家都是有幫助的~

[地雷]可能把你炸的灰頭土臉、榨乾你所有的精力,也可能是可以把你炸上天,讓你享受乘風破浪的感覺,應用的好還可以將[地雷]作為自己的防禦工事、擋箭牌。就看怎麼應用~

12
jamesjan
iT邦高手 1 級 ‧ 2009-06-22 09:01:12

您提的幾項產品,我只接觸過 L7 與 BlueCoat
如果要達到您所提 MUST 功能,應該 BlueCoat 比較符合
但是 20~30 萬以上的門檻價,可能分數會較低

我們當初 survey 過幾家,最後採用中華數位的產品(當然可能不能滿足您的 MUST 功能)
我的感想是,Sales 與整個公司客服等的售後服務也是蠻重要的
這家公司服務沒話說

cklin iT邦新手 2 級 ‧ 2009-06-23 10:26:15 檢舉

James,謝謝您提供的資訊~

其實KT手法的Must/Want的條列是有技巧的,如果真的要綁想要品牌規格的話,那就把該家的獨特功能列在 Must 中,其他家自然就被刪除了。
但是為了避免這種嫌疑,真的要列出來Must/Want要依據需求狀況來列,且在內部就要先有共識,那些條件是真正必要的,哪些功能可有可無。大概透過這些需求條件的列出這樣才不會被某些業務手法所矇蔽,買到的設備功能無法達到自己的需求。

我要發表回答

立即登入回答