在现代企业中,IT系统已经成为业务运营的核心和基础。随着信息技术的飞速发展,越来越多的业务流程和操作都依赖于IT系统的支持。对于大企业而言,选择合适的IT系统成为了一个至关重要的战略决策。
但是选择很难。
外部的生产系统,类似于美团,的的,公有云这种系统,软件本身就是经营系统,靠外购是不现实的,所有的都是开发运营一体。
对于企业内部的IT系统,表面上看是个软件,其实是管理思想和管理模式的承载。这一块,目前还存在多种情况,包括外购,定制和自研,咱们一起看看。
- 1. 外购软件。外购软件系统通常是通用的解决方案,设计初衷是为了适应广泛的用户需求。然而,随着企业的发展,业务流程的复杂性和独特性逐渐显现,外购系统对企业个性化的需求支持不足,无法满足企业日益增长和变化的需求。这条路开始走不通了。
- 2. 定制开发。通用软件无法满足需求,有实力的企业开始在通用软件的基础上搞定制开发,来满足企业自身需求。但这种方式基本一次性交付完成,不再做长期演变,会从根本上局限企业的发展能力。
- 3. 自研,建立一定能力的自研,在通用基础软件的基础上自主研发,做符合自己公司管理思想和方法的软件,这才是合理的路径。自研团队可以在一些通用软件的基础上,逐步建立自己的按业务需求发展的能力,能够契合公司发展的需要。当前,应用软件的开发其实越来越容易,开源软件越来越多,一些应用可以基于低代码开发,大模型也有很多的代码能力,可以进一步降低开发难度。
如何从网络空间安全的角度看待这些模式:
- 1. 外购需要评估供应商安全能力。外购仍然在所难免,如操作系统,数据库,中间件这些产品,企业没必要自己做一套,还是要外采。但在外采的时候,要看供应商的安全能力,包括安全设计、漏洞补丁的跟踪能力,版本的兼容能力等。只有具备安全能力和持续发展能力的供应商才是可靠的。同时,供应链投毒也是目前很重要的攻击方式,只有供应商有足够的安全能力,才能基本保证公司软件的安全。
- 2. 定制开发无法满足安全要求。一般情况下,定制开发的内容无法纳入软件的主版本,这些版本无法持续维护。如果这样的版本在交付两三年后,有安全或其它问题要解决,很可能面临开发团队已经被解散,版本已经被废弃的状态,找不到代码,找不到熟悉的人,发不了兼容当前版本的补丁,想解决问题,往往是欲哭无泪。这真是一条不归路。
- 3. 自研是理想方案。由于团队持续运作,对代码熟悉,在安全问题发生时,能够迅速解决问题并发布版本。同时,自研软件,在设计之初就完全兼容、接入公司统一的框架,在安全管理上也是理想方案。公司的安全体系,需要所有应用都遵循安全要求和标准,靠外购搭积木是不现实的。安全也有很多个性化要求,也需要建立开发能力,仅靠外购的通用设备是不行的。
自研IT系统虽然初期投入较大,但从长远来看,其带来的收益是不可估量的。通过自研,企业不仅能够打造符合自身需求的专属系统,还能培养内部的技术团队,积累宝贵的技术经验和知识。这些都将为企业的持续创新和竞争力提升奠定坚实的基础。华为的内部IT系统长期有几千人的研发团队,就是为了建立一个高效率、高质量的IT系统,这是企业运行的根本保证。只有建立自研能力,才有可能建立完整的安全顶层架构,并实现所有系统向架构的对接和靠拢。
所以,建立自研能力并构筑统一的安全架构,是整体安全的保证。
我们可以看到这个趋势,互联网公司都是这么做的,实践证明很成功。目前大型央国企都在设立数科类公司,这个是重要的考量。这些大体量的公司,通用软件是不行的,先把自己用的系统做好,在此基础上可以对外输出,按此发展,未来的安全与业务贴合更紧密,也会更有效。
如何建立安全顶层架构并实现公司整体安全管理的统一,是一个非常复杂的问题,可以参考Google基础架构及BeyondCorp,暂不展开讨论。
很多单位知道自研需要的人力及代价,但安全应该投入多大是不清楚的,下一篇,我们将以华为云为例,作一个探讨。