iT邦幫忙

2

防火牆驗收問題

  • 分享至 

  • xImage

各位先進好,想跟各位請教一下。我司最近因資安考量,將公司舊有的防火牆換成fortigate 600D,同時有跟他們簽三年維護合約。當初在設定時,有請SI廠商協助先看我司內部設定,再看如何加強我司防火牆設定。廠商也同意。最近在談驗收,廠商卻只有將原有的防火牆設定轉移至新的防火牆。並沒有做任何加強或變動設定。有跟SI的人員反應。但他們的說法是,因為對我司內部的應用程式及相關服務不熟悉,所以他們覺得先以現有的設定轉換來做驗收。等到驗收後過一段時間,再來根據我們的環境做設定調整。因為在合作的過程,覺得廠商的服務不是很OK,有點毛毛的。有點怕會不會驗收好,錢拿了,就不太理人。想跟各位請教的是,這樣的說法合理嗎?因為當初在採買時,廠商的確有答應我司協助做網路及資安優化,但在驗收時卻又說之後再做調整。感覺很怪,但也不能說他講的沒道理。想請各位提供在防火牆做更換時要做驗收,一般會去看那些方面來判定廠商有合乎驗收要求。因為我是覺得,如果只是把舊有的設定換到新的設備上,其實真的不用花那麼多錢換,但也不能說廠商說的錯的。

看更多先前的討論...收起先前的討論...
跑得快 iT邦新手 3 級 ‧ 2018-08-22 16:09:39 檢舉
三年MA是跟Forti還是SI呢@@
lht61527 iT邦新手 5 級 ‧ 2018-08-22 17:46:10 檢舉
跟SI,但感覺他們也不是很熟。所以心裏有點毛毛的
mathewkl iT邦高手 1 級 ‧ 2018-08-23 08:59:37 檢舉
沒有事前調查就亂動很可怕的,動一下就有人無法正常上網,伺服器斷線之類的,SI講的也沒錯,保護自己也保護你
Abbott iT邦研究生 4 級 ‧ 2018-08-23 09:41:29 檢舉
接過原本架構有三台不同廠牌 Firewall , 要整合到新的 Fortigate HA 架構
2千多條政策 , 3千多個物件 ,
客戶開玩笑說 錯五條就驗收不過
一共花了 2個多月的時間 , 如果沒收錢那公司會賠死 !
魷魚 iT邦新手 1 級 ‧ 2018-08-23 10:40:44 檢舉
如果站在廠商的立場想,防火牆設定什麼的不是問題,問題是如果user只是要求要優化防火牆,卻沒辦法提供到底要優化什麼、架構是什麼、背景跑了什麼服務等等的,廠商根本不敢調整。
換個方法,如果user很明確的告知,policy要怎要設定、架構要怎樣調整,並給出足夠的停機時間或測試環境,那廠商就能一次處理了。
很多時候不是廠商不願意調整,是user給的資訊不足,真的不知道怎樣調整QQ
bluegrass iT邦高手 1 級 ‧ 2018-08-24 09:55:35 檢舉
SI 又不是 AUDIT

SI 會被說是辛苦工就是因為你這種人
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
10
Ray
iT邦大神 1 級 ‧ 2018-08-22 20:24:53
最佳解答

採購流程錯了...

你們要求的《網路及資安優化》, 是一種在正常安裝防火牆之外的額外附加服務, 對不對?

既然是額外附加的服務, 必定會有額外的費用, 對不對?
既然會有額外的費用, 必定有對價的施作項目, 對不對?
請問, 你們《網路及資安優化》的施作項目有哪些?

事前沒有談定施作項目, 怎麼可能事先估得出成本?
事前沒有進場實地評估, 怎麼可能估得出施作項目?

所以, 廠商從一開始議價, 就打定一個主意:「優化只是敷衍一下就夠了, 不需要太多成本, 我自己吸收就好」
所以只給你一個普通正常跟同業相當的報價...

但是你能怪廠商嗎? 採購單上並沒有講清楚這段, 是能怎麼要求?

正確的流程應該是這樣:

  1. 雙方議定採購設備, 和業主目前的痛處
  2. 廠商進來實地探查, 了解業主痛處的原因
  3. 廠商根據探查結果, 評估優化可能性與成本
  4. 廠商提出優化施作項目和預期成果, 跟業主討論
  5. 雙方協商調整預期成果之後, 廠商依最後定案報價
  6. 業主同意價格後, 進行採購與後續優化作業
  7. 業主核對當初承諾的優化成果, 認定無誤後驗收

本案應該是跳過 1,2,3,4,5 直接到 6 去了...

有個技能叫做: 期望管理, 適用各種領域, 可以練習一下..

lht61527 iT邦新手 5 級 ‧ 2018-08-23 09:50:40 檢舉

謝謝ray大神回應,感恩!這個案子其實是在我到職前就有人談好了,廠商也不是我找的。本來有打算找廠商談我司的需求,結果廠商一直推拖,一直到最近案子要談驗收了,才回覆說已轉好現有防火牆的設定,觀察2.3個月再來調設定。這個跟當初跟我們講的又不一樣。因為這家廠商在案子進行期間,請他們處理一些東西的態度不是很積極。雖然跟他們有簽後續維護合約,但現在都叫不太動,我擔心在案子驗收後他們可能更難叫。才想問看看在現在這種情況,怎麼做,比較能確保公司的權益不受損

Ray iT邦大神 1 級 ‧ 2018-08-23 10:57:04 檢舉

那就寫附條件驗收:

不要全部付清, 只給 80~90% 貨款, 其他的壓著, 等做到你們的期望之後, 再全部付完...

lht61527 iT邦新手 5 級 ‧ 2018-08-23 14:45:06 檢舉

謝謝ray大神分享,我再跟對方談看看。感恩!

1
mytiny
iT邦超人 1 級 ‧ 2018-08-22 21:35:46

小弟是覺得雙方都有各自的盤算
貴公司是希望服務有保障,卻又沒法提出具體的內容
銷售商肯定是希望少服務次數降低成本
當初若是議價議的很兇,心態自然如此
工程師更是怕麻煩一而再的上門處理
最好能一兩次設定之後就等三年
業務就只想早早開發票收錢

一個非常專業需要 持續不斷 技術服務的資安設備
市場上竟搞得像賣豬肉如此不堪,可惜了!

建議大家心平氣和坐下來討論吧
把廠商願意承諾的服務及次數頻率寫下來
白紙黑字做成紀錄
這是樓主現階段能得到最佳的結果了
說實話,當初貴公司如果沒像 raytracy 大神說的那樣做
現在能拿到多少保障,實在是難說了

lht61527 iT邦新手 5 級 ‧ 2018-08-23 09:54:43 檢舉

謝謝mytiny大大回覆,因為案子不是我談的,廠商不是我找的,可是我們部門卻要負責驗收。我也很無奈。因為廠商感覺蠻皮的,請他們處理問題,往往是要發一堆信,還不見得有處理好。所以才想請教各位,看看有什麼方法能收尾收的比較好。很謝謝您寶貴的建議,感恩!

0
riches88
iT邦研究生 3 級 ‧ 2018-08-23 07:36:25

我個人的意見:
客戶沒有足夠資訊,所以需要廠商經驗進行協助資訊安全管理優化的協助指導,這本就無可厚非
議價不論高低,既然願意接案,也就沒有因為議價過程而影響服務。
至於優化嗎?
很多資訊網路行為需要配合公司應用與規範控管,所以需要設定條件。
客戶不見得瞭解這麼風險,所以需要廠商提出建議。一起配合
例如:部門單位群組不能對外傳輸,外部webmail夾檔,這些需要廠商與客戶一起討論擬定與設定
我也認為廠商部會因為想少幾次服務而有所刁難。
至於接案與討論流程,先行定義~
很多時候,變化絕對少不了
“正確的流程”“採購單內容”,認為充滿想像與不足,更多是技巧性陷阱
~這段~...只能說“信用”

最近接一個協助調整防火牆,只有幾千元服務費,跨縣市不知跑了幾次
因為客戶無法有內部資訊與公司政策。中間還定時聯繫客戶盡快準備相關資料
我要說的不是我服務好,是客戶沒有足夠管理與相關技術能力
我也後悔超過預期服務次數與時間。錯估客戶先前的資訊與能力
前幾天,剛結案,也有感而發~
服務的價格該多少?不是廠商自己認定,還要客戶可以接受
服務的價值有多少?不是客戶付錢就一乾二盡,因為也需要配合廠商與一起提升能力

畢竟,客戶仍要有相關知識,接手維護。廠商提供必要諮詢與協助
共好,才是合作的根本~

lht61527 iT邦新手 5 級 ‧ 2018-08-23 10:01:01 檢舉

謝謝riches88大大分享,我蠻讚同您的說法"共好,才是合作的根本"的確,廠商也有廠商的難處,我也會再想想要如何把案子驗收的比較符合公司的需求,謝謝您的分享,感恩!

0
hsiang11
iT邦好手 1 級 ‧ 2018-08-24 02:01:03

不管是哪個領域 最怕的都是錢花下去了 收錢的廠商就開始擺爛不屌你了
在我們消費者不懂的專業的狀況下 全部都隨他玩了
我近期也遇到有廠商全部給我裝副廠的零件搞出問題再推責任到別地方
偏偏那些專業的技術未必懂 只好又找其他專業廠商收攤
台灣很多這類廠商要注意

驗收也要服務滿意才可以驗收吧,你說的很像是做一半他們就急著收錢了
怎麼不先做好再談驗收 不然簽了也只會是你的責任
要優化網路和資安到甚麼程度你自己要心裡有數
跟廠商溝通好你要做的!! 叫他們到場了解要優化的部分
再一併施作,然後你在測試通過後簽驗收
這才是比較正常的流程

我之前找的廠商都是靠遠端連線防火牆
我也都跟著邊討論邊看要了解的地方
才把forti的設定了解了一大部分
所以說也要趁有維護合約的期間 學習了解 才不會未來都被牽著走
因為防火牆 是一個IT基本上要完全懂概念的基礎設備
除錯的技術是可以交給廠商
但是公司基礎的資安是IT人要守下來的 這就不能完全依賴廠商了

hsiang11 iT邦好手 1 級 ‧ 2018-08-24 02:07:54 檢舉

舉例來說 到一家新公司就要先把非管理人員與管理人員做網路區隔
讓非管理人員無法登入server 取得root
這就是防火牆要達到的功能
這丟給廠商做沒什麼問題,自己資安觀念正確就好
但是自己至少也學著如何測試
到每個非管理人員電腦登登看server,檢查防火牆設定是否有問題
這就有在驗收了

我要發表回答

立即登入回答