在公司作为一名售前工程师会有大量的方案策划落到头上,这些方案里小的有几十万,大的有上千万。如何写好方案一直是我们很关注的事情。
而我们基本上都是在方案提交前一两天接到写方案的任务,也不能不做,只好心里大骂一句,骂完后就打电话搞清楚别人的要求,边问就边构思整个方案的推导思路和结构提纲。
所以我其实也特别紧张,注意力也特别集中,大脑也高速反应,基本上几分钟电话或面谈完思路基本就有了,然后该干嘛干嘛,找一些零散的小时间把思路不断推导一下,然后到了一个比较安静和完整的时间前才开始写,这个时候基本上要写的话都想清楚了,只需要不断敲字,敲字的时候也是注意力也特别集中,大脑也高速反应,越写思路越开,很快也就完工了。
写方案不难,知道怎么写才难。关于写方案我总结一点,结构化地去组织你的思想。
有结构就有思路,有思路就有方案。
另外真正写方案的人,对自己写过的方案是永远不会满意的,只有这样,每次都会进步一点点,解决方案水平质量就会随公司能力不断增长。
当然我曾经问过很多人,你到底为什么写不出好的方案呢?
基本上原因可以归为四类:
1.1 第一种是没有体系
一旦用户要求提供关于网络的方案,很多人大脑是一片空白,完全不知道从哪里下手。很多人说起自己的产品来,好像知道不少卖点,不过真要写出来,又觉得无从下笔。
这种情况一般是写方案者不熟悉自己产品体系造成的,知道一两个甚至更多的产品卖点不难,但难就难在成体系,知识就是成体系的点构成的,而不是一句离散的说法构成的。
因为我们这个行业从业人员说句不客气的话,大部分对所销售实施的管理系统并没有很深入的研究,都是半路出家,从头开始,在学习过程中熟悉,在熟悉过程中领悟。所以一下子去驾驭一个整体方案是很痛苦的。只有当一个人对一个产品思路有体系以后,才能够写出完整的方案,否则就是一个单元也要费尽脑汁。
所以一个人要想写好一个方案,首先要把自己产品的来龙去脉,功能模块,适应领域,典型客户实施情况有一个全面的了解,这样才能建立一个完整的知识体系,然后逐步补充竞争对手知识和一些技术性知识,不断深化自己的知识体系。
1.2 第二种是没有思路
有很多用户看多了模板化的方案以后,想看一些针对他们自己的业务的个性化内容,这个时候有的人按照标准方案模板修改还勉强能对付,但对于个性化内容针对性方案就速手无策了。
这种情况从根本上讲还是写方案者不熟悉企业业务造成的,写方案,特别是针对性方案不仅仅要求了解企业的需求,而且要知道这些需求是在何种业务需求下产生的,用户提出这样的要求到底想解决什么问题,把这个问题找出来,一般针对性解决思路就有了,有了思路,自然可以很好的写方案。
所以一个人要写好方案,还需要了解下游客户的业务,了解业务最有效的方法就是亲自做几次详尽的业务调研,有了业务调研做基础,在调研过程中把握用户关注,重难点问题,自然可以比较好的确定方案的个性化内容思路。
解决方案就是把客户的利益和产品特性之间建立一个逻辑性的桥梁。
1.3 第三种是没有素材
一般不经常写方案的人,在写一个方案的时候,即使有想法,有思路,但往往也会很累,就是因为缺少足够的素材。很多项目现在都是投标,不同用户可能有不同投标的要求,这样很难用一个方案去适应所有的用户,因此在每个方案中都有一些需要准备的内容。
这些内容基本上是通用的,但如果没有足够积累每次编制方案就需要花费大量时间去准备,造成方案完成周期过长。
所以写好方案必须具备这三个条件,第一方案编制者对企业业务要很熟悉,或者有相关业务调研经验,第二方案编制者对产品非常熟悉,至少对自己产品功能模块作用很清楚,第三方案编制者手上有大量可公用的素材库。
1.4 第四种是没有层次
很多人刚和用户接触没有多久,为了表现自己对客户的重视,马上表示要提供方案,当然有的客户刚刚开始选型,也不知道到底要什么搞,也要供应商马上提供一个方案。
结果拍胸脯容易,写方案难,自己写不出来只好求公司,公司没有安排专人了解情况,只好按模板制作一个,用户一看几个供应商内容都差不多,觉得不好,又总结出一些个性化要求,于是大家有开始折腾第二轮方案。
其实方案编制在不同阶段有不同策略,不要轻易提供方案。刚开始接触是可以提供项目合作建议书,类似可行性报告,项目需要考察软件技术,可以提供标准的产品技术白皮书,到了经过售前调研,有所准备,在演示前后阶段和其它竞争对手刺刀见红的时候,才在知己知彼的基础上提供解决方案或者投标书。
过早提供方案只能匆匆了事,时间紧急,质量自然不高,自然也就觉得方案难写。想急就又能解决问题的事情,本来就是一般人做不来的。
方案想要写得好,一定要用心,用心就一定要耗时间,指望用几个小时写出一个高质量的方案是不可能的。如果你做了精心调研,你写不出一个好方案唯一缺的是技巧。写方案是一种技巧性工作,明白了这一点,大家都可以经过练习写出好的方案。
2.1 第一个容易犯的错误:只有论点,没有论证
不好的解决方案粗看起来非常厚重,其实都是功能罗列,像产品手册摘要版,不像方案书。
不好的方案是一大堆内容,淹没在一堆纸里面,也不知道想说什么,给你一个厚度,证明我们的工作质量很高。我们国内许多的企业客户特别是大型企业都很在乎这点,认为可以从方案厚薄中看出对项目重视程度。
如果你做了精心调研,你写不出一个好方案唯一缺的是技巧。写方案是一种技巧性工作,有个金字塔式的写做原理,也就是说文章一定是有结构的。
所以真正好的方案,不一定厚,但能看出你用心,你认真。
现在的解决方案一个不好的倾向是长、厚、全,看起来面面俱到,其实对决策者没有帮助。所有的方案无差异性,每家供应商都说自己能解决这些问题,而且都有成功案例。
结果所有的方案都无法给决策者简明的判断依据,不得不费更大劲去做产品演示和用户考察。
其实很少有企业高管不知道自己的毛病,在企业你随便去找一个人,对问题都能讲一通,在企业你费很大劲,可能都找不到一个人能告诉你这些问题可以怎样去解决。
通观这个方案并没有研究为什么企业会产生这么多问题?问题是这些问题是什么产生的?为什么出这么多问题?而是不断说我能!我能!选我,选我!
如果不能找到解决这些问题的原因,简单地去解决这些现象,就象治病不能治根一样。这样一个模板化,自我膨胀化的方案想打动用户的心是非常困难的。
不好的解决方案最大的问题就象写一篇议论文,能够发现问题(这个也是模板化的,可惜中国企业大部分没有意识到自己很多问题并不少见,总以为自己是特殊的一类企业),提出答案(搞信息化),但没有论证(为什么搞信息化和企业管理进步有联系呢?)。
没有论证的东西不管内容陈列得多么繁复,名词多么吓人,但是无法打动用户,特别是那种理性的用户。
看到方案时候,其实很多用户下不了决心,他会感觉每家都差不多。
如果从没看过方案的人,突然看到这几个方案,你为什么会感觉某个方案写得好呢,关键是有的方案图画的好,通过图,通过表,会感觉这个公司还不错,很规范。但对内容认可程度并不高,实际上没看懂。
2.2 第二个容易犯的错误:业务解决方案成为功能列表
解决方案省事的一种方法就是将产品功能描述作为技术方案内容进行罗列,或者参照软件用户手册罗列,这种解决方案不是按照用户业务去准备的内容,而是按照软件商自己的喜好去编制的解决方案是很难得到用户认可的。
大凡按照功能列表组织的解决方案用户会有一个体会,庞大而庸长,但要看到自己想看到的部分非常困难。
而且这种方案还有一个特点,一个问题反反复复的提,在业务背景中指出某个问题,讲一通,在价值分析中又重点解释一通,到了功能介绍时又将某个问题来龙去脉概要说明一下,给用户感觉是一堆资料的堆积,哪里体现出了方案的针对性呢?
按功能列表准备方案的做法在很长一段时间内不会消失,这和普遍都是4P销售人员,还缺少SPIN(顾问式)销售人员有关,在资源不足的情况下,要保证效率就只能提供功能列表方案了。
本文从网络安全工程的角度探讨一份网络安全方案的编写
介绍网络安全方案设计的注意点以及网络安全方案的编写框架最后利用一个案例说明网络安全的需求以及针对需求的设计方案以及完整的实施方案.
网络安全方案概念
网络安全方案可以认为是一张施工的图纸,图纸的好坏,直接影响到工程的质量.总的来说,网络安全方案涉及的内容比较多,比较广,比较专业和实际.
网络安全方案设计的注意点
对于一名从事网络安全的人来说,网络必须有一个整体,动态的安全概念.总的来说,就是要在整个项目中,有一种总体把握的能力,不能只关注自己熟悉的某一领域,而对其他领域毫不关心,甚至不理解,这样写不出一份好的安全方案.
因为写出来的方案,就是要针对用户所遇到的问题,运用产品和技术解决问题.设计人员只有对安全技术了解的很深,对产品线,了解的很深,写出来的方案才能接近用户的要求.
评价网络安全方案的质量
一份网络安全方案需要从以下8个方面来把握.
1,体现唯一性,由于安全的复杂性和特殊性,唯一性是评估安全方案最重要的一个标准.实际中,每一个特定网络都是唯一的,需要根据实际情况来处理.
2,对安全技术和安全风险有一个综合把握和理解,包括现在和将来可能出现的所有情况.
3,对用户的网络系统可能遇到的安全风险和安全威胁,结合现有的安全技术和安全风险,要有一个合适,中肯的评估,不能夸大,也不能缩小.
4,对症下药,用相应的安全产品,安全技术和管理手段,降低用户的网络系统当前可能遇到的风险和威胁,消除风险和威胁的根源,增强整个网络系统抵抗风险和威胁的能力,增强系统本身的免疫力.
5,方案中要体现出对用户的服务支持.这是很重要的一部分.因为产品和技术,都将会体现在服务中,服务来保证质量,服务来提高质量.
6,在设计方案的时候,要明白网络系统安全是一个动态的,整体的,专业的工程,不能一步到位解决用户所有的问题.
7,方案出来后,要不断的和用户进行沟通,能够及时的得到他们对网络系统在安全方面的要求,期望和所遇到的问题.
8,方案中所涉及的产品和技术,都要经得起验证,推敲和实施,要有理论根据,也要有实际基础.
网络安全方案的框架
总体上说,一份安全解决方案的框架涉及6大方面,可以根据用户的实际需求取舍其中的某些方面.
1,概要安全风险分析
2,实际安全风险分析
3,网络系统的安全原则
4,安全产品
5,风险评估
6,安全服务
网络安全案例需求
网络安全的唯一性和动态性决定了不同的网络需要有不能的解决方案.通过一个实际的案例,可以提高安全方案设计能力.
项目名称是:超越信息集团公司(公司名为虚构)网络信息系统的安全管理
项目要求
集团在网络安全方面提出5方面的要求:
1,安全性
全面有效的保护企业网络系统的安全,保护计算机硬件,软件,数据,网络不因偶然的或恶意破坏的原因遭到更改,泄漏和丢失,确保数据的完整性.
2,可控性和管理性
可自动和手动分析网络安全状况,适时检测并及时发现记录潜在的安全威胁,制定安全策略,及时报警,阻断不良攻击行为,具有很强的可控性和管理性.
3,系统的可用性
在某部分系统出现问题的时候,不影响企业信息系统的正常运行,具有很强的可用性和及时恢复性.
4,可持续发展
满足超越信息集团公司业务需求和企业可持续发展的要求,具有很强的可扩展性和柔韧性.
5,合法性
所采用的安全设备和技术具有我国安全产品管理部门的合法认证.
工作任务
该项目的工作任务在于四个方面:
1,研究超越信息集团公司计算机网络系统(包括各级机构,基层生产单位和移动用户的广域网)的运行情况(包括网络结构,性能,信息点数量,采取的安全措施等),对网络面临的威胁以及可能承担的风险进行定性与定量的分析和评估.
2,研究超越信息集团公司的计算机操作系统(包括服务器操作系统,客户端操作系统等)的运行情况(包括操作系统的版本,提供的用户权限分配策略等),在操作系统最新发展趋势的基础上,对操作系统本身的缺陷以及可能承担的风险进行定性和定量的分析和评估.
3,研究超越信息集团公司的计算机应用系统(包括信息管理信息系统,办公自动化系统,电网实时管理系统,地理信息系统和Internet/Intranet信息发布系统等)的运行情况(包括应用体系结构,开发工具,数据库软件和用户权限分配策略等),在满足各级管理人员,业务操作人员的业务需求的基础上,对应用系统存在的问题,面临的威胁以及可能承担的风险进行定性与定量的分析和评估.
4,根据以上的定性和定量的评估,结合用户需求和国内外网路安全最新发展趋势,有针对地制定卓越信息集团公司计算机网络系统的安全策略和解决方案,确保该集团计算机网络信息系统安全可靠的运行.
解决方案设计
总结一下,需要我们了解的有以下这几方面的内容
交流和需要了解的内容通常包括:
1.用户的组织机构,信息化的现状,现有的硬件设备、网络情况、正在使用的软件系统情况;
2.新系统的规划、目标、规模,要求等,包括用户对系统的安全性、可靠性、易用性、扩展性的要求;
3.业务内容、业务流程系统的现状,软件功能需求;
4.平台和数据库的选型;
5.信息安全、存储的需求;
6.对软件开发机制的认识;
7.用户感兴趣的热点技术;
交流应该广泛,不要只限于项目的具体负责人,如果有条件,可以拜访更上级的用户,以及各部门的主要负责人或技术权威,尽量了解用户的对项目的认识和想法,交流和拜访中要善于识别用户的身份,抓住对项目有决定权、影响大的用户的想法,留意他们对项目感兴趣的地方。以便在方案中有所针对性。
引导用户向本公司的擅长的技术路线和产品特点上。可以将以往做过项目的情况、功能特点讲给用户,最好是借助演示,这是用户会告诉你哪些是他感兴趣的,哪些是没有意思的,其它对手的产品是什么样的等等。这样便于与用户进行深入的交流,找到与用户相互的共鸣点。
跟踪和了解对手情况,了解同类产品的现状,这是一个长期积累的过程,分析对手的产品和解决方案可能的特点,找到或提出比对手有新意的、能吸引用户的系统亮点。当然,这些亮点的提出必须先考虑自己的技术实力和项目的投资规模。
点点网络安全公司(公司名为虚构)通过招标,以150万的工程造价得到了该项目的实施权.在解决方案设计中需要包含九方面的内容:公司背景简介,超越信息集团的安全风险分析,完整网络安全实施方案的设计,实施方案计划,技术支持和服务承诺,产品报价,产品介绍,第三方检测报告和安全技术培训.一份网络安全设计方案应该包括九个方面:
1.公司背景简介,
2. 安全风险分析,
3.解决方案,
4.实施方案,
5.技术支持和服务承诺,
6.产品报价,
7.产品介绍,
8.第三方检测报告
9.安全技术培训.
具体来讲
一.公司背景简介
介绍点点网络安全公司的背景需要包括:公司简介,公司人员结构,曾经成功的案例,产品或者服务的许可证或认证.
1,点点网络安全公司简介
2,公司的人员结构
3,成功的案例
4,产品的许可证或服务的认证
5,超越信息集团实施网络安全意义
二.安全风险分析
对网络物理结构,网络系统和应用进行风险分析.
1,现有网络物理结构安全分析
详细分析超越信息集团公司与各分公司得网络结构,包括内部网,外部网和远程网.
2,网络系统安全分析
详细分析超越信息集团公司与各分公司网络得实际连接,Internet的访问情况,桌面系统的使用情况和主机系统的使用情况,找出可能存在得安全风险
3,网络应用的安全分析
详细分析卓越信息集团公司与各分公司的所有服务系统以及应用系统,找出可能存在的安全风险.
三.解决方案
解决方案包括五个方面:
1,建立卓越信息集团公司系统信息安全体系结构框架
2,技术实施策略
3,安全管理工具
4,紧急响应
5,灾难恢复
四.实施方案
实施方案包括:项目管理以及项目质量保证.
1,项目管理
2,项目质量保证
五.技术支持和服务承诺
包括技术支持的内容和技术支持的方式.
1,技术支持的内容
包括安全项目中所包括的产品和技术的服务,提供的技术和服务包括:(1)安装调试项目中所涉及的全部产品和技术.(2)安全产品以及技术文档.(3)提供安全产品和技术的最新信息.(4)服务器内免费产品升级.
2,技术支持方式
安全项目完成以后提供的技术支持服务,内容包括:(1)客户现场24小时支持服务.(2)客户支持中心热线电话.(3)客户支持中心Email服务.(4)客户支持中心Web服务.
六.产品报价
项目所涉及到全部产品和服务的报价.
七.产品介绍
超越信息集团公司安全项目中所有涉及到的产品介绍,主要是使用户清楚所选择的产品使什么,不用很详细,但要描述清除.
八.第三方检测报告
由一个第三方的中立机构,对实施好的网络安全构架进行安全扫描与安全检测,并提供相关的检测报告.
九.安全技术培训
而我们基本上都是在方案提交前一两天接到写方案的任务,也不能不做,只好心里大骂一句,骂完后就打电话搞清楚别人的要求,边问就边构思整个方案的推导思路和结构提纲。
所以我其实也特别紧张,注意力也特别集中,大脑也高速反应,基本上几分钟电话或面谈完思路基本就有了,然后该干嘛干嘛,找一些零散的小时间把思路不断推导一下,然后到了一个比较安静和完整的时间前才开始写,这个时候基本上要写的话都想清楚了,只需要不断敲字,敲字的时候也是注意力也特别集中,大脑也高速反应,越写思路越开,很快也就完工了。
写方案不难,知道怎么写才难。关于写方案我总结一点,结构化地去组织你的思想。
有结构就有思路,有思路就有方案。
另外真正写方案的人,对自己写过的方案是永远不会满意的,只有这样,每次都会进步一点点,解决方案水平质量就会随公司能力不断增长。
当然我曾经问过很多人,你到底为什么写不出好的方案呢?
基本上原因可以归为四类:
1.1 第一种是没有体系
一旦用户要求提供关于网络的方案,很多人大脑是一片空白,完全不知道从哪里下手。很多人说起自己的产品来,好像知道不少卖点,不过真要写出来,又觉得无从下笔。
这种情况一般是写方案者不熟悉自己产品体系造成的,知道一两个甚至更多的产品卖点不难,但难就难在成体系,知识就是成体系的点构成的,而不是一句离散的说法构成的。
因为我们这个行业从业人员说句不客气的话,大部分对所销售实施的管理系统并没有很深入的研究,都是半路出家,从头开始,在学习过程中熟悉,在熟悉过程中领悟。所以一下子去驾驭一个整体方案是很痛苦的。只有当一个人对一个产品思路有体系以后,才能够写出完整的方案,否则就是一个单元也要费尽脑汁。
所以一个人要想写好一个方案,首先要把自己产品的来龙去脉,功能模块,适应领域,典型客户实施情况有一个全面的了解,这样才能建立一个完整的知识体系,然后逐步补充竞争对手知识和一些技术性知识,不断深化自己的知识体系。
1.2 第二种是没有思路
有很多用户看多了模板化的方案以后,想看一些针对他们自己的业务的个性化内容,这个时候有的人按照标准方案模板修改还勉强能对付,但对于个性化内容针对性方案就速手无策了。
这种情况从根本上讲还是写方案者不熟悉企业业务造成的,写方案,特别是针对性方案不仅仅要求了解企业的需求,而且要知道这些需求是在何种业务需求下产生的,用户提出这样的要求到底想解决什么问题,把这个问题找出来,一般针对性解决思路就有了,有了思路,自然可以很好的写方案。
所以一个人要写好方案,还需要了解下游客户的业务,了解业务最有效的方法就是亲自做几次详尽的业务调研,有了业务调研做基础,在调研过程中把握用户关注,重难点问题,自然可以比较好的确定方案的个性化内容思路。
解决方案就是把客户的利益和产品特性之间建立一个逻辑性的桥梁。
1.3 第三种是没有素材
一般不经常写方案的人,在写一个方案的时候,即使有想法,有思路,但往往也会很累,就是因为缺少足够的素材。很多项目现在都是投标,不同用户可能有不同投标的要求,这样很难用一个方案去适应所有的用户,因此在每个方案中都有一些需要准备的内容。
这些内容基本上是通用的,但如果没有足够积累每次编制方案就需要花费大量时间去准备,造成方案完成周期过长。
所以写好方案必须具备这三个条件,第一方案编制者对企业业务要很熟悉,或者有相关业务调研经验,第二方案编制者对产品非常熟悉,至少对自己产品功能模块作用很清楚,第三方案编制者手上有大量可公用的素材库。
1.4 第四种是没有层次
很多人刚和用户接触没有多久,为了表现自己对客户的重视,马上表示要提供方案,当然有的客户刚刚开始选型,也不知道到底要什么搞,也要供应商马上提供一个方案。
结果拍胸脯容易,写方案难,自己写不出来只好求公司,公司没有安排专人了解情况,只好按模板制作一个,用户一看几个供应商内容都差不多,觉得不好,又总结出一些个性化要求,于是大家有开始折腾第二轮方案。
其实方案编制在不同阶段有不同策略,不要轻易提供方案。刚开始接触是可以提供项目合作建议书,类似可行性报告,项目需要考察软件技术,可以提供标准的产品技术白皮书,到了经过售前调研,有所准备,在演示前后阶段和其它竞争对手刺刀见红的时候,才在知己知彼的基础上提供解决方案或者投标书。
过早提供方案只能匆匆了事,时间紧急,质量自然不高,自然也就觉得方案难写。想急就又能解决问题的事情,本来就是一般人做不来的。
方案想要写得好,一定要用心,用心就一定要耗时间,指望用几个小时写出一个高质量的方案是不可能的。如果你做了精心调研,你写不出一个好方案唯一缺的是技巧。写方案是一种技巧性工作,明白了这一点,大家都可以经过练习写出好的方案。
2.1 第一个容易犯的错误:只有论点,没有论证
不好的解决方案粗看起来非常厚重,其实都是功能罗列,像产品手册摘要版,不像方案书。
不好的方案是一大堆内容,淹没在一堆纸里面,也不知道想说什么,给你一个厚度,证明我们的工作质量很高。我们国内许多的企业客户特别是大型企业都很在乎这点,认为可以从方案厚薄中看出对项目重视程度。
如果你做了精心调研,你写不出一个好方案唯一缺的是技巧。写方案是一种技巧性工作,有个金字塔式的写做原理,也就是说文章一定是有结构的。
所以真正好的方案,不一定厚,但能看出你用心,你认真。
现在的解决方案一个不好的倾向是长、厚、全,看起来面面俱到,其实对决策者没有帮助。所有的方案无差异性,每家供应商都说自己能解决这些问题,而且都有成功案例。
结果所有的方案都无法给决策者简明的判断依据,不得不费更大劲去做产品演示和用户考察。
其实很少有企业高管不知道自己的毛病,在企业你随便去找一个人,对问题都能讲一通,在企业你费很大劲,可能都找不到一个人能告诉你这些问题可以怎样去解决。
通观这个方案并没有研究为什么企业会产生这么多问题?问题是这些问题是什么产生的?为什么出这么多问题?而是不断说我能!我能!选我,选我!
如果不能找到解决这些问题的原因,简单地去解决这些现象,就象治病不能治根一样。这样一个模板化,自我膨胀化的方案想打动用户的心是非常困难的。
不好的解决方案最大的问题就象写一篇议论文,能够发现问题(这个也是模板化的,可惜中国企业大部分没有意识到自己很多问题并不少见,总以为自己是特殊的一类企业),提出答案(搞信息化),但没有论证(为什么搞信息化和企业管理进步有联系呢?)。
没有论证的东西不管内容陈列得多么繁复,名词多么吓人,但是无法打动用户,特别是那种理性的用户。
看到方案时候,其实很多用户下不了决心,他会感觉每家都差不多。
如果从没看过方案的人,突然看到这几个方案,你为什么会感觉某个方案写得好呢,关键是有的方案图画的好,通过图,通过表,会感觉这个公司还不错,很规范。但对内容认可程度并不高,实际上没看懂。
2.2 第二个容易犯的错误:业务解决方案成为功能列表
解决方案省事的一种方法就是将产品功能描述作为技术方案内容进行罗列,或者参照软件用户手册罗列,这种解决方案不是按照用户业务去准备的内容,而是按照软件商自己的喜好去编制的解决方案是很难得到用户认可的。
大凡按照功能列表组织的解决方案用户会有一个体会,庞大而庸长,但要看到自己想看到的部分非常困难。
而且这种方案还有一个特点,一个问题反反复复的提,在业务背景中指出某个问题,讲一通,在价值分析中又重点解释一通,到了功能介绍时又将某个问题来龙去脉概要说明一下,给用户感觉是一堆资料的堆积,哪里体现出了方案的针对性呢?
按功能列表准备方案的做法在很长一段时间内不会消失,这和普遍都是4P销售人员,还缺少SPIN(顾问式)销售人员有关,在资源不足的情况下,要保证效率就只能提供功能列表方案了。
本文从网络安全工程的角度探讨一份网络安全方案的编写
介绍网络安全方案设计的注意点以及网络安全方案的编写框架最后利用一个案例说明网络安全的需求以及针对需求的设计方案以及完整的实施方案.
网络安全方案概念
网络安全方案可以认为是一张施工的图纸,图纸的好坏,直接影响到工程的质量.总的来说,网络安全方案涉及的内容比较多,比较广,比较专业和实际.
网络安全方案设计的注意点
对于一名从事网络安全的人来说,网络必须有一个整体,动态的安全概念.总的来说,就是要在整个项目中,有一种总体把握的能力,不能只关注自己熟悉的某一领域,而对其他领域毫不关心,甚至不理解,这样写不出一份好的安全方案.
因为写出来的方案,就是要针对用户所遇到的问题,运用产品和技术解决问题.设计人员只有对安全技术了解的很深,对产品线,了解的很深,写出来的方案才能接近用户的要求.
评价网络安全方案的质量
一份网络安全方案需要从以下8个方面来把握.
1,体现唯一性,由于安全的复杂性和特殊性,唯一性是评估安全方案最重要的一个标准.实际中,每一个特定网络都是唯一的,需要根据实际情况来处理.
2,对安全技术和安全风险有一个综合把握和理解,包括现在和将来可能出现的所有情况.
3,对用户的网络系统可能遇到的安全风险和安全威胁,结合现有的安全技术和安全风险,要有一个合适,中肯的评估,不能夸大,也不能缩小.
4,对症下药,用相应的安全产品,安全技术和管理手段,降低用户的网络系统当前可能遇到的风险和威胁,消除风险和威胁的根源,增强整个网络系统抵抗风险和威胁的能力,增强系统本身的免疫力.
5,方案中要体现出对用户的服务支持.这是很重要的一部分.因为产品和技术,都将会体现在服务中,服务来保证质量,服务来提高质量.
6,在设计方案的时候,要明白网络系统安全是一个动态的,整体的,专业的工程,不能一步到位解决用户所有的问题.
7,方案出来后,要不断的和用户进行沟通,能够及时的得到他们对网络系统在安全方面的要求,期望和所遇到的问题.
8,方案中所涉及的产品和技术,都要经得起验证,推敲和实施,要有理论根据,也要有实际基础.
网络安全方案的框架
总体上说,一份安全解决方案的框架涉及6大方面,可以根据用户的实际需求取舍其中的某些方面.
1,概要安全风险分析
2,实际安全风险分析
3,网络系统的安全原则
4,安全产品
5,风险评估
6,安全服务
网络安全案例需求
网络安全的唯一性和动态性决定了不同的网络需要有不能的解决方案.通过一个实际的案例,可以提高安全方案设计能力.
项目名称是:超越信息集团公司(公司名为虚构)网络信息系统的安全管理
项目要求
集团在网络安全方面提出5方面的要求:
1,安全性
全面有效的保护企业网络系统的安全,保护计算机硬件,软件,数据,网络不因偶然的或恶意破坏的原因遭到更改,泄漏和丢失,确保数据的完整性.
2,可控性和管理性
可自动和手动分析网络安全状况,适时检测并及时发现记录潜在的安全威胁,制定安全策略,及时报警,阻断不良攻击行为,具有很强的可控性和管理性.
3,系统的可用性
在某部分系统出现问题的时候,不影响企业信息系统的正常运行,具有很强的可用性和及时恢复性.
4,可持续发展
满足超越信息集团公司业务需求和企业可持续发展的要求,具有很强的可扩展性和柔韧性.
5,合法性
所采用的安全设备和技术具有我国安全产品管理部门的合法认证.
工作任务
该项目的工作任务在于四个方面:
1,研究超越信息集团公司计算机网络系统(包括各级机构,基层生产单位和移动用户的广域网)的运行情况(包括网络结构,性能,信息点数量,采取的安全措施等),对网络面临的威胁以及可能承担的风险进行定性与定量的分析和评估.
2,研究超越信息集团公司的计算机操作系统(包括服务器操作系统,客户端操作系统等)的运行情况(包括操作系统的版本,提供的用户权限分配策略等),在操作系统最新发展趋势的基础上,对操作系统本身的缺陷以及可能承担的风险进行定性和定量的分析和评估.
3,研究超越信息集团公司的计算机应用系统(包括信息管理信息系统,办公自动化系统,电网实时管理系统,地理信息系统和Internet/Intranet信息发布系统等)的运行情况(包括应用体系结构,开发工具,数据库软件和用户权限分配策略等),在满足各级管理人员,业务操作人员的业务需求的基础上,对应用系统存在的问题,面临的威胁以及可能承担的风险进行定性与定量的分析和评估.
4,根据以上的定性和定量的评估,结合用户需求和国内外网路安全最新发展趋势,有针对地制定卓越信息集团公司计算机网络系统的安全策略和解决方案,确保该集团计算机网络信息系统安全可靠的运行.
解决方案设计
总结一下,需要我们了解的有以下这几方面的内容
交流和需要了解的内容通常包括:
1.用户的组织机构,信息化的现状,现有的硬件设备、网络情况、正在使用的软件系统情况;
2.新系统的规划、目标、规模,要求等,包括用户对系统的安全性、可靠性、易用性、扩展性的要求;
3.业务内容、业务流程系统的现状,软件功能需求;
4.平台和数据库的选型;
5.信息安全、存储的需求;
6.对软件开发机制的认识;
7.用户感兴趣的热点技术;
交流应该广泛,不要只限于项目的具体负责人,如果有条件,可以拜访更上级的用户,以及各部门的主要负责人或技术权威,尽量了解用户的对项目的认识和想法,交流和拜访中要善于识别用户的身份,抓住对项目有决定权、影响大的用户的想法,留意他们对项目感兴趣的地方。以便在方案中有所针对性。
引导用户向本公司的擅长的技术路线和产品特点上。可以将以往做过项目的情况、功能特点讲给用户,最好是借助演示,这是用户会告诉你哪些是他感兴趣的,哪些是没有意思的,其它对手的产品是什么样的等等。这样便于与用户进行深入的交流,找到与用户相互的共鸣点。
跟踪和了解对手情况,了解同类产品的现状,这是一个长期积累的过程,分析对手的产品和解决方案可能的特点,找到或提出比对手有新意的、能吸引用户的系统亮点。当然,这些亮点的提出必须先考虑自己的技术实力和项目的投资规模。
点点网络安全公司(公司名为虚构)通过招标,以150万的工程造价得到了该项目的实施权.在解决方案设计中需要包含九方面的内容:公司背景简介,超越信息集团的安全风险分析,完整网络安全实施方案的设计,实施方案计划,技术支持和服务承诺,产品报价,产品介绍,第三方检测报告和安全技术培训.一份网络安全设计方案应该包括九个方面:
1.公司背景简介,
2. 安全风险分析,
3.解决方案,
4.实施方案,
5.技术支持和服务承诺,
6.产品报价,
7.产品介绍,
8.第三方检测报告
9.安全技术培训.
具体来讲
一.公司背景简介
介绍点点网络安全公司的背景需要包括:公司简介,公司人员结构,曾经成功的案例,产品或者服务的许可证或认证.
1,点点网络安全公司简介
2,公司的人员结构
3,成功的案例
4,产品的许可证或服务的认证
5,超越信息集团实施网络安全意义
二.安全风险分析
对网络物理结构,网络系统和应用进行风险分析.
1,现有网络物理结构安全分析
详细分析超越信息集团公司与各分公司得网络结构,包括内部网,外部网和远程网.
2,网络系统安全分析
详细分析超越信息集团公司与各分公司网络得实际连接,Internet的访问情况,桌面系统的使用情况和主机系统的使用情况,找出可能存在得安全风险
3,网络应用的安全分析
详细分析卓越信息集团公司与各分公司的所有服务系统以及应用系统,找出可能存在的安全风险.
三.解决方案
解决方案包括五个方面:
1,建立卓越信息集团公司系统信息安全体系结构框架
2,技术实施策略
3,安全管理工具
4,紧急响应
5,灾难恢复
四.实施方案
实施方案包括:项目管理以及项目质量保证.
1,项目管理
2,项目质量保证
五.技术支持和服务承诺
包括技术支持的内容和技术支持的方式.
1,技术支持的内容
包括安全项目中所包括的产品和技术的服务,提供的技术和服务包括:(1)安装调试项目中所涉及的全部产品和技术.(2)安全产品以及技术文档.(3)提供安全产品和技术的最新信息.(4)服务器内免费产品升级.
2,技术支持方式
安全项目完成以后提供的技术支持服务,内容包括:(1)客户现场24小时支持服务.(2)客户支持中心热线电话.(3)客户支持中心Email服务.(4)客户支持中心Web服务.
六.产品报价
项目所涉及到全部产品和服务的报价.
七.产品介绍
超越信息集团公司安全项目中所有涉及到的产品介绍,主要是使用户清楚所选择的产品使什么,不用很详细,但要描述清除.
八.第三方检测报告
由一个第三方的中立机构,对实施好的网络安全构架进行安全扫描与安全检测,并提供相关的检测报告.
九.安全技术培训
相关产品的介绍说明,使用说明等
本文转自左正博客园博客,原文链接:http://www.cnblogs.com/soundcode/archive/2011/01/03/1925073.html,如需转载请自行联系原作者
