关于安这个圈子

 　  武汉北大青鸟光谷校区：校区新闻之关于安这个圈子

       安静下来想：自己有时候也在考虑这个问题——我们的所作所为，到底多少是真的从客户角度出发?客户的每一分钱，是否真的花到了点子上?

　　——不我犯嘀咕，可能犯嘀咕的人很多。

　　用户关心的，其实不是卖多少设备，而是：我关心的问题，到底解决了没有?

　　防火墙厂商说：不买防火墙怎么行?这是基本安措施;

　　杀毒软件厂商说：你有本事不买杀毒啊?网络层、主机层都要啊!

　　IPS厂商说：不支持阻断的IDS不是好防火墙……(理解下);

　　主机管理厂家说：打印、U盘、文件控制，一个都不能少;

　　WAF厂家说：没有防篡改功能的WAF不靠谱啊……

　　实际上呢?现在的网络环境下：

　　UTM是不敢开功能的，否则就设备就挂了;

　　很多IPS都是配置成旁路的，否则网就挂了;

　　很多主机审计都是被使用者骂的——不是因为功能，是因为性能;

　　很多WAF和防篡改是防不住一个内心坚定的黑客的。

　　厂家的人，给你做安咨询，是为了卖掉自己的产品;

　　集成商的人，给你做安咨询，是为了卖利润高的产品。

　　那么，这样一来，到底谁关心你的业务?

　　这也就是本文开头说的，几个朋友都说自己像是个骗子。因为不可能站在客户的角度出发去做安，而是站在厂家、站在赚钱的角度去设计方案。如此一来，安，成了赚钱之外的另一个目标。

　　国内，就是这样的现实。

　　今天下午，看到国内有名的漏洞公开网站乌云关闭了，看到说法是：

　　@乌云-漏洞报告平台：真是奇怪的互联网啊，要求我们删除漏洞遭拒绝，然后就非正常的把我备案取消，然后再通过IDC说没有备案要求关网站 乌云要跟各位短暂的说再见了.....

　　而前两天，网络世界的一名编辑也发了这么一条：

　　@Mister诺诺：越是智能的东西，漏洞越多。通过智能电话的一个漏洞就控制了整个网络的时代并不太远。有同学给某外国智能设备提供商上报漏洞，结果换来了恶劣的态度。其实，此同学发现了四个了，但后只上报了一个。不知道直接上报给此公司的总部会不会也是这样的态度?这么大一个的公司，员工竟然是这样的素质。

　　总之，国内就这样的环境，能如何?有时候，我倒是更赞成，遇到这些厂家出问题，直接公开得了……

　　前一段一个客户测试WAF，测试了三四家，发现没有一家能抗住专业渗透团队的攻击，无一幸免。

　　对此，无言。

　　多数安厂家，在忽悠客户能力上，比研发研发能力、技术支持能力、售后服务能力强得多。

　　有时候，说安圈，也是个娱乐圈，感觉也不是那么过分了。