诺伊尔保持着他的“扑克脸”,把合上的笔记本又翻开:“钱先生,你提到‘伟中’的生产采购中70%来自中国大陆以外,包括从185家美国供应商采购了32%的部件,也包括在台湾、欧洲等地的采购,我想这些采购不仅是硬件,也包括了软件吧?另外,你们的产品是否也有在利用开源软件?”
“是的。”
“那么,你们如何管理第三方软件、开源软件的安全风险?”
钱旦心想诺伊尔第一个问题就问在了点子上,在电信行业发展趋势中,越来越多的设备在演进成基于通用架构的IT硬件和软件平台,“伟中”的产品中对开源及第三方软件的利用越来越多。
这些软件大部分来自美国,或者开源社区的发起方在美国,诺伊尔这样问,也说明了他审视网络安全风险并不是基于产品是从哪个国家来的,他是一个无歧视的态度。
“伟中”已经发现自身对第三方软件的安全管理存在问题,例如一些在客户网络上运行的现网老产品仍然在使用很老旧的第三方插件,没有及时升级到新版本。但他们对这个风险识别较晚,改进策略和计划仍在讨论中。
钱旦已经下意识地把诺伊尔当作了一个帮助公司进步的师友,他没有说些粉饰太平的话,而是坦率说明了“伟中”目前存在的问题和下一步计划。
钱旦从管理视角讲完,看了一眼苏启亮,苏启亮机敏地接过他的话,从技术角度做了补充。
诺伊尔的另一个问题:“你们关注到了欧洲的‘通用数据保护条例(GDPR)’,并做了必要投入,例如由爱尔兰技术支持中心来处理欧洲的网上问题,避免将用户的个人数据传出欧盟,这很好。但是,你们在欧盟国家的中方员工使用的电子邮件服务器放在哪里?你们如何管理过来短期出差的员工?”
公司已经将欧洲员工的电子邮箱全部切换到了在英国的邮件服务器,就是为了避免出现虽然邮件收件人在欧洲,但是其邮件服务器在中国,导致发送邮件时可能将包含当地用户个人数据的文件以附件形式传至中国的情况。
诺伊尔问得细致,钱旦给出了令他满意的答案。
但公司人员流动性强,钱旦对短期出差员工的思想意识是否都能跟上没有底,他只能拍胸脯说了一些网络安全要求已经“嵌入”流程,不论对什么样的人都有效,以及培训、上岗考试之类的措施。
讨论的气氛始终融洽,而且是越聊越开感觉。
最后,双方约定成立一个小范围的联合工作组,保持顺畅沟通,跟进确定下来的几项工作计划。
散会时已经到了午餐时间,“伟中”的几个人告别客户后一合计,决定去楼下“莱茵电信”的餐厅吃了午餐再回去。
钱旦端了两根香肠、土豆泥和一小堆德国酸菜,苏启亮的盘子里装着半只炸鸡、土豆泥和一杯沙拉。他端详着钱旦的盘子:“老钱,你这么爱吃德国酸菜啦?”
路文涛和张文华已经带他俩去过一趟老城,吃过德国猪手和酸菜了,钱旦爱吃一切,苏启亮有点儿嫌弃德国人的酸菜。
一旁的路文涛说:“老旦就是个老饕,他吃狗屎都是香的。”
钱旦说:“老饕是那些讲究人吧?我顶多算个吃货。还不是当年在海外养成的习惯,吃得香才不想家!我是进了哪座山就吃哪座山上的草,不像一些兄弟必须把一切变成‘老干妈’的味道。”
钱旦吃得快,很快扫干净盘中餐。他起身去柜台拿了一杯酸奶,一转身却看见诺伊尔不知什么时候来了,独坐一隅。
他晃了过去,礼貌打过招呼,然后坐下。
诺伊尔说:“你今天讲的令人印象深刻!”
“真的吗?谢谢!”
“上次你们德国同事和我交流过一次,但只是讲了人员管理上的一些措施,用你今天的话来说,就是‘附加’的管理要求。我对你今天讲解的产品开发流程、技术支持流程,以及‘嵌入’流程的网络安全管理印象深刻,这是正确的道路。”
“是的,‘伟中’是个善于学习的公司,正如我今天所说,产品开发流程本身是‘IBM’指导我们制定的。”
诺伊尔说:“超出了我的期望,我以前认为‘伟中’对网络安全的理解近于零。”