安全问题导致确需规范的互联网外包服务商

安全问题导致确需规范的互联网外包服务商

作者：bigrong 转自弯曲评论

上上周看到一篇文章在讨论安全的技术问题，就有一个想法写篇blog，专门谈谈现在乃至未来确实需要有专业的互联网服务商，不仅仅提供域名注册，托管服务器，还有一系列的建站服务。
多年前，我做产品评测的时候，一天厕所中得道，写了篇《安全的电信网是不可能的》，那篇blog还上了新浪。当时还是从技术角度探讨这个问题，但是现在我还想这样说解决网络安全是不可能的，但是我想从管理、经营的角度分析一下，而且我也不想只是管杀，并不管埋。
记得在2005年的时候，有机会去参加安全领域的盛会，RSA Conference。比起国内的IT会议来说，美国人的水平还是不一样。国内的其实就是弄个展览馆，大家展示一下产品，然后再搞个报告厅，专家、赞助商去喷喷，也就罢了。多掏钱的多喷，少掏钱的少喷，多掏钱的展台大些，少掏钱的展台少些。不知道为什么，中国按说机构要比美国多很多倍，但是国内的类似会议总是办的不怎么样。会场里常有目标是去拿口袋和资料，为了卖废品的大爷大妈。而厂家们慢慢的都不愿意花市场费用干这个，不如组织销售们一个省一个省的扫市场，一个行业一个行业的扫市场，把钱直接折现给客户……
跑题了。
那次RSA Conference有一天早上主题演讲前，会议组织方组织了一个情景小话剧。话剧在反应安全行业的问题。那时候英语听力还马马虎虎，记得主题思想就是反应安全的问题，其实很大程度还是软件的问题，软件的设计问题、bug等等。这个事情在我脑海里留下了极深刻的印象，一方面他们是通过一个小的情景剧来展现这个问题，这一点非常吸引人，另外就是把安全问题落实在软件的问题。
昨天回家的路上，和刘云提起了这个事情。刘云的看法是，很多安全问题，落实了无非如下几点，IT团队的经验，在设计软件的时候的设计思路是否完善合理，以及实施的时候的问题。可能我按照我的思路理解了刘云的想法，我觉得和我的想法类似，就是是否有好的设计，而好的设计要来源于团队是否有这样的经验。实施的时候又有几个子问题，比如是否及时进行了调整，比如使用的软件工具出现软件漏洞的时候是否及时进行了升级，以及在开发的过程中，项目的实施过程中，是否保证了实施的质量，比如程序代码的质量如何，是否有一些逻辑上的问题，考虑不周。貌似看到实施领域的问题好像又可以落实到经验的问题，但是从我的角度进行汇总无非是有多少投资，是否有足够的时间。
有较多的投资，可以找到专业的团队，找到足够多的工程师，他们能够高效的、高质量的完成工作。高效和高质量，其实也是经验的一种体现。足够的时间，就是说他们能否在保证质量的前提下，进行高效的开发，有没有时间去进行架构的设计，而后推敲之。有没有足够的时间去实现代码，然后推敲之，验证之。有没有足够的时间去进行总体的测试，而部署的时候是否部署的很合理，这也需要时间。当然如果有钱，找到好的团队，特别是在管理和技术经验上都具备经验的团队，会提高效率保证质量，但是时间有的时候是很难压缩之的。
资源是有限的，人的欲望是无限的，这是一个非常大的矛盾，在企业运营中非常明显。
我跑题了吗？
回来了。
前两天在弯曲评论上讨论是不是开发软件更难，开发无线的工程师容易。我不知道怎么说。但是现在开发互联网应用的工程师真的很多。而且我觉得入门门槛低，且需求量极大。因为现在很多公司都开始把生意放在互联网上来经营，不论是否情愿。一个公司，如果需要做一个网站，基本上的做法都会招一个团队来做技术支持，或者说开始不愿意，但是后来都倾向于，梦想于具备一个有力的技术团队来做开发和维护。找两个熟悉Linux的，会弄php的工程师，然后开干……中国有多少企业和机构想在互联网上有所成就，就会有多少规模不大的互联网团队，哪怕只是两三个人。效率如何，水平如何，薪酬是否合理，投资是否够，每个人心理似乎都有杆秤。
前两天在智联招聘上看到一个现象，同样是做互联网的企业，但是招聘技术团队的时候就能够看到千差万别。比如一般的公司，顶多是雇上几个程序员（比如Php 的，或者数据库的）还有维护工程师，再加上总监。稍好一些的则会加上前台的工程师，美编，乃至产品人员。再彪悍的一些会有产品设计还要加上互动设计。但是看看百度、腾讯等大的互联网公司的技术招聘人员吧，天呐，我真不知道我适合做什么，太细致了。我甚至回想起老范的一句话，有那么细的分工，是因为有人需要工作。哈哈，笑谈。
但是我要说的是，这些互联网站，这些互联网团队是良莠不齐的，而这些软件集合体是良莠不齐的。钱、时间，就导致了很多很多网站注定是不安全的。团队没有经验，没有时间，导致实施中埋下了诸多的安全隐患。昨天和刘云探讨这个问题的时候，我觉得我相信他们的能力，但是抱歉，我们没有足够的时间。
好了说了管杀，此次还想管埋，怎么埋？
不要一提安全问题，就是防火墙、防病毒软件、IPS、UTM列举一系列的名词。有很多技术人员的计算机大多时候是裸奔的，或者顶多装个360的安全卫士（抱歉本不想给360做广告），他们靠的是经验。在我加入的一个QQ群里，有个朋友问，怎么给服务器防病毒，要买什么杀毒软件，而很多互联网上的服务器其实没有防病毒软件，靠得是技术人员的经验，哪些服务不开，哪些地方要如何设置、他们策略是什么，他们的工作安排、流程、习惯决定了他们的系统是否够安全。
我的解是未来会有一个互联网服务的成熟外包市场。这是最好的解，从搭建到软件开发和服务。
为什么我们总是要什么东西都自己做呢？
在过去的2009年，美国的IDG和我们有一定的交流。当我们在开发网络世界的Lead Generation System的时候。我在想，什么时候我们能和美国一样有好的产业环境呢？美国IDG的很多系统都是买来的，甚至是租来的，要下载的白皮书是租别人的系统做得，甚至填写的数据表单也是外包给别人的。性能不错，而且流程非常规范。老外还提到，他一年的业务预算是能够算出来的，比如预计这部分的销售有多少，从而能够推算出他需要多少的外包服务量，然后去租。网络世界的产品和技术团队很不错的完成了开发，我们比老外做得工作多多了，我们的系统很切合我们的业务需求，但是，租这个想法深深的留在我心底。
再多说一句自建技术团队的事情。对于很多公司希望在互联网上做生意，包括一些平面或者传统媒体提出的互联网转型啊，抢占新媒体等等策略，对于他们来说究竟什么是他们的主业呢。记得两年前，宫晓静是我的老板时，对我们说过，我们做得不是一个技术创新型的生意。这句话现在想起来没错。
有一个工程师之前离开了我们的团队，很优秀的一个工程师。在他离职之前，有一次搭我车回家，在回答未来方向这个很虚的问题时，我说，我们这样的生意可能并不需要技术上太大的创新。如果说是我自己的生意，我可能会给你们干股，而后不忙的时候你们可以去做些别的事情。对于有追求的开发工程师来说，在一个小技术团队里有什么样的发展空间呢？是现在互联网站雨后春笋般涌现，包括中粮等公司都在试水电子商务，但是在一些貌似投资很大的项目中，优秀的技术人员又有多少的上升空间呢？
这是个貌似的题外话。如果从解决安全问题的角度上讲，我们需要一个好的产业环境，让希望在互联网上有所进展的企业，去外包他们的IT业务，从搭建、域名申请、维护、到部分定制软件的开发，集成多种的网站服务。尽可能把专业的事情，在软件开发和服务层面上，外包给信誉好、服务好的公司。
不要免费。如果免费，就意味着你不重视这业务。钱总是会有的，而且钱不是要一步到位都花出去的。
我看好云计算。Sibyl很喜欢这篇随笔

补充一个，甲方监理水平更决定安全和质量。09年遇到一个事情，客户的门户网站和OA一起发包，公司接了后，门户网站转包给本地一家较有实力的网站制作公司。项目经理首次经手这种项目，合作起来真有三权分立的味道。后来，建议将这个项目经理撤出，有彼公司团队直接与客户协商，2周完成。懂得放手，放给信任的合作伙伴，是智慧，安全的智慧。小人总是被惦记出来的。指责他人的问题，往往是自己的弱点死穴：）