安全問題導(dǎo)致確需要規(guī)范的互聯(lián)網(wǎng)外包服務(wù)商

上上周看到一篇文章在討論安全的技術(shù)問題，就有一個想法寫篇blog，專門談?wù)劕F(xiàn)在乃至未來確實需要有專業(yè)的互聯(lián)網(wǎng)服務(wù)商，不僅僅提供域名注冊，托管服務(wù)器，還有一系列的建站服務(wù)。
多年前，我做產(chǎn)品評測的時候，一天廁所中得道，寫了篇《安全的電信網(wǎng)是不可能的》，那篇blog還上了新浪。當時還是從技術(shù)角度探討這個問題，但是現(xiàn)在我還想這樣說解決網(wǎng)絡(luò)安全是不可能的，但是我想從管理、經(jīng)營的角度分析一下，而且我也不想只是管殺，并不管埋。
記得在2005年的時候，有機會去參加安全領(lǐng)域的盛會，RSA Conference。比起國內(nèi)的IT會議來說，美國人的水平還是不一樣。國內(nèi)的其實就是弄個展覽館，大家展示一下產(chǎn)品，然后再搞個報告廳，專家、贊助商去噴噴，也就罷了。多掏錢的多噴，少掏錢的少噴，多掏錢的展臺大些，少掏錢的展臺少些。不知道為什么，中國按說機構(gòu)要比美國多很多倍，但是國內(nèi)的類似會議總是辦的不怎么樣。會場里常有目標是去拿口袋和資料，為了賣廢品的大爺大媽。而廠家們慢慢的都不愿意花市場費用干這個，不如組織銷售們一個省一個省的掃市場，一個行業(yè)一個行業(yè)的掃市場，把錢直接折現(xiàn)給客戶……
跑題了。
那次RSA Conference有一天早上主題演講前，會議組織方組織了一個情景小話劇。話劇在反應(yīng)安全行業(yè)的問題。那時候英語聽力還馬馬虎虎，記得主題思想就是反應(yīng)安全的問題，其實很大程度還是軟件的問題，軟件的設(shè)計問題、bug等等。這個事情在我腦海里留下了極深刻的印象，一方面他們是通過一個小的情景劇來展現(xiàn)這個問題，這一點非常吸引人，另外就是把安全問題落實在軟件的問題。
昨天回家的路上，和劉云提起了這個事情。劉云的看法是，很多安全問題，落實了無非如下幾點，IT團隊的經(jīng)驗，在設(shè)計軟件的時候的設(shè)計思路是否完善合理，以及實施的時候的問題。可能我按照我的思路理解了劉云的想法，我覺得和我的想法類似，就是是否有好的設(shè)計，而好的設(shè)計要來源于團隊是否有這樣的經(jīng)驗。實施的時候又有幾個子問題，比如是否及時進行了調(diào)整，比如使用的軟件工具出現(xiàn)軟件漏洞的時候是否及時進行了升級，以及在開發(fā)的過程中，項目的實施過程中，是否保證了實施的質(zhì)量，比如程序代碼的質(zhì)量如何，是否有一些邏輯上的問題，考慮不周。貌似看到實施領(lǐng)域的問題好像又可以落實到經(jīng)驗的問題，但是從我的角度進行匯總無非是有多少投資，是否有足夠的時間。
有較多的投資，可以找到專業(yè)的團隊，找到足夠多的工程師，他們能夠高效的、高質(zhì)量的完成工作。高效和高質(zhì)量，其實也是經(jīng)驗的一種體現(xiàn)。足夠的時間，就是說他們能否在保證質(zhì)量的前提下，進行高效的開發(fā)，有沒有時間去進行架構(gòu)的設(shè)計，而后推敲之。有沒有足夠的時間去實現(xiàn)代碼，然后推敲之，驗證之。有沒有足夠的時間去進行總體的測試，而部署的時候是否部署的很合理，這也需要時間。當然如果有錢，找到好的團隊，特別是在管理和技術(shù)經(jīng)驗上都具備經(jīng)驗的團隊，會提高效率保證質(zhì)量，但是時間有的時候是很難壓縮之的。
資源是有限的，人的欲望是無限的，這是一個非常大的矛盾，在企業(yè)運營中非常明顯。
我跑題了嗎？
回來了。
前兩天在彎曲評論上討論是不是開發(fā)軟件更難，開發(fā)無線的工程師容易。我不知道怎么說。但是現(xiàn)在開發(fā)互聯(lián)網(wǎng)應(yīng)用的工程師真的很多。而且我覺得入門門檻低，且需求量極大。因為現(xiàn)在很多公司都開始把生意放在互聯(lián)網(wǎng)上來經(jīng)營，不論是否情愿。一個公司，如果需要做一個網(wǎng)站，基本上的做法都會招一個團隊來做技術(shù)支持，或者說開始不愿意，但是后來都傾向于，夢想于具備一個有力的技術(shù)團隊來做開發(fā)和維護。找兩個熟悉Linux的，會弄php的工程師，然后開干……中國有多少企業(yè)和機構(gòu)想在互聯(lián)網(wǎng)上有所成就，就會有多少規(guī)模不大的互聯(lián)網(wǎng)團隊，哪怕只是兩三個人。效率如何，水平如何，薪酬是否合理，投資是否夠，每個人心理似乎都有桿秤。
前兩天在智聯(lián)招聘上看到一個現(xiàn)象，同樣是做互聯(lián)網(wǎng)的企業(yè)，但是招聘技術(shù)團隊的時候就能夠看到千差萬別。比如一般的公司，頂多是雇上幾個程序員（比如Php 的，或者數(shù)據(jù)庫的）還有維護工程師，再加上總監(jiān)。稍好一些的則會加上前臺的工程師，美編，乃至產(chǎn)品人員。再彪悍的一些會有產(chǎn)品設(shè)計還要加上互動設(shè)計。但是看看百度、騰訊等大的互聯(lián)網(wǎng)公司的技術(shù)招聘人員吧，天吶，我真不知道我適合做什么，太細致了。我甚至回想起老范的一句話，有那么細的分工，是因為有人需要工作。哈哈，笑談。
但是我要說的是，這些互聯(lián)網(wǎng)站，這些互聯(lián)網(wǎng)團隊是良莠不齊的，而這些軟件集合體是良莠不齊的。錢、時間，就導(dǎo)致了很多很多網(wǎng)站注定是不安全的。團隊沒有經(jīng)驗，沒有時間，導(dǎo)致實施中埋下了諸多的安全隱患。昨天和劉云探討這個問題的時候，我覺得我相信他們的能力，但是抱歉，我們沒有足夠的時間。
好了說了管殺，此次還想管埋，怎么埋？
不要一提安全問題，就是防火墻、防病毒軟件、IPS、UTM列舉一系列的名詞。有很多技術(shù)人員的計算機大多時候是裸奔的，或者頂多裝個360的安全衛(wèi)士（抱歉本不想給360做廣告），他們靠的是經(jīng)驗。在我加入的一個QQ群里，有個朋友問，怎么給服務(wù)器防病毒，要買什么殺毒軟件，而很多互聯(lián)網(wǎng)上的服務(wù)器其實沒有防病毒軟件，靠得是技術(shù)人員的經(jīng)驗，哪些服務(wù)不開，哪些地方要如何設(shè)置、他們策略是什么，他們的工作安排、流程、習(xí)慣決定了他們的系統(tǒng)是否夠安全。
我的解是未來會有一個互聯(lián)網(wǎng)服務(wù)的成熟外包市場。這是最好的解，從搭建到軟件開發(fā)和服務(wù)。
為什么我們總是要什么東西都自己做呢？
在過去的2009年，美國的IDG和我們有一定的交流。當我們在開發(fā)網(wǎng)絡(luò)世界的Lead Generation System的時候。我在想，什么時候我們能和美國一樣有好的產(chǎn)業(yè)環(huán)境呢？美國IDG的很多系統(tǒng)都是買來的，甚至是租來的，要下載的白皮書是租別人的系統(tǒng)做得，甚至填寫的數(shù)據(jù)表單也是外包給別人的。性能不錯，而且流程非常規(guī)范。老外還提到，他一年的業(yè)務(wù)預(yù)算是能夠算出來的，比如預(yù)計這部分的銷售有多少，從而能夠推算出他需要多少的外包服務(wù)量，然后去租。網(wǎng)絡(luò)世界的產(chǎn)品和技術(shù)團隊很不錯的完成了開發(fā)，我們比老外做得工作多多了，我們的系統(tǒng)很切合我們的業(yè)務(wù)需求，但是，租這個想法深深的留在我心底。
再多說一句自建技術(shù)團隊的事情。對于很多公司希望在互聯(lián)網(wǎng)上做生意，包括一些平面或者傳統(tǒng)媒體提出的互聯(lián)網(wǎng)轉(zhuǎn)型啊，搶占新媒體等等策略，對于他們來說究竟什么是他們的主業(yè)呢。記得兩年前，宮曉靜是我的老板時，對我們說過，我們做得不是一個技術(shù)創(chuàng)新型的生意。這句話現(xiàn)在想起來沒錯。
有一個工程師之前離開了我們的團隊，很優(yōu)秀的一個工程師。在他離職之前，有一次搭我車回家，在回答未來方向這個很虛的問題時，我說，我們這樣的生意可能并不需要技術(shù)上太大的創(chuàng)新。如果說是我自己的生意，我可能會給你們干股，而后不忙的時候你們可以去做些別的事情。對于有追求的開發(fā)工程師來說，在一個小技術(shù)團隊里有什么樣的發(fā)展空間呢？是現(xiàn)在互聯(lián)網(wǎng)站雨后春筍般涌現(xiàn)，包括中糧等公司都在試水電子商務(wù)，但是在一些貌似投資很大的項目中，優(yōu)秀的技術(shù)人員又有多少的上升空間呢？
這是個貌似的題外話。如果從解決安全問題的角度上講，我們需要一個好的產(chǎn)業(yè)環(huán)境，讓希望在互聯(lián)網(wǎng)上有所進展的企業(yè)，去外包他們的IT業(yè)務(wù)，從搭建、域名申請、維護、到部分定制軟件的開發(fā)，集成多種的網(wǎng)站服務(wù)。盡可能把專業(yè)的事情，在軟件開發(fā)和服務(wù)層面上，外包給信譽好、服務(wù)好的公司。
不要免費。如果免費，就意味著你不重視這業(yè)務(wù)。錢總是會有的，而且錢不是要一步到位都花出去的。
我看好云計算。