谈谈对「工控安全」和「产品经理」的理解

俞军认为，优秀的产品经理其实做的也就是两件事，先理解这个世界，再把他理解的这个世界讲述给别人。

对工控安全的理解：

电力行业在信息安全方面的建设走在工业领域的前列，在配电、发电层面，16字方针“安全分区、网络专用、横向隔离、纵向认证”执行的较好。不过该方针重点还是放在网络隔离上，对由于管理不足而造成的社工类、摆渡类攻击，任然是防护不足的，在主机安全、应用安全、数据安全方面均有欠缺。

电力尚是如此，其他制造业、轨道交通、油田等行业隐患更加大，归类一下目前的工控安全问题：

1. 事前：存在已存在问题无法自知。如：控制网中可能已存在病毒木马，所使用的控制设备、网络设备存在严重的已知的漏洞且未打补丁修复。
2. 事中：网络入侵无法监测和阻断。网络攻击往往是有特征的，例如对已知控制器造成DOS攻击，会利用一些特定的报文；另外对控制器进行组态上下载的这些高危操作；对主机进行病毒传播、删除修改关键文件等操作，这些风险时可以通过安全产品的部署来缓解的，这些看上去是信息安全的风险，但是会直接造成生产安全的事故。
3. 事后：发生攻击事件后无法追溯。对于发生事故后，目前绝大多数场景都无法对事件进行追踪溯源，安全事件都是通过网络完成的，我们需要通过对流量的解析和记录来完成对网络运行的和人员操作的记录
4. 管理体系不足。在组织与合作团队、资产管理、人力资源安全、物理与环境管理、操作管理、信息安全事件管理方面没有形成规章制度并执行。

制造业的以前与现在 制造业的现在与将来 封闭、专有系统 对互联网开放、内部生产区域与管理区域互联、大规模采用通用的IT技术 通信是以独立的解决方案提供给用户，大量私有协议 集成化网络系统，与IT基础设备充分互联，以实现远程控制和互操性能 很少用到安全机制 综合全面的安全防范解决方案 面向产品的服务 面向解决方案的服务

工控的信息安全产品能卖好价格吗？

我的理解是可以的，LZ之前做生产安全产品的很多个项目，SIS（安全仪表系统）价格几乎是DCS的三倍，那时候更多的情况也是政策驱动的，你不上SIS不让你生产，所以我相信只要政策落地，信息安全产品一样是有市场的，当然政策是我们产品商业化的一个方法，我们做信息安全产品的目的也是保障制造业的生产安全。

事实也是可以验证，我们做工控的信息安全产品，能保障工控安全的很多风险，为生产安全贡献了很大的力量，是在为用户真正处理问题，为用户保护信息安全和生产安全，为国家保护工控安全，这是我们的目的，不只是为了钱。

对工控安全友商怎么看？

上次了解到某友商在很多现场部署安全方案，居然有很多工控卫士、工控防火墙与统一管理平台相连的链路直接走的是生产控制网络，而不是自己单独组网的。
这在我看来简直不能理解，一方面是用户居然能够接受非控制信号加入到控制网络中，在自动化工程人员眼中，这导致了控制网负荷上升，更导致了控制网络不纯净，破坏了原有的网络结构，安全产品的隐患也将直接影响控制网络。另一方面这家友商这样的做法不专业不说，简直对用户的网络和生产安全不负责任。
这个行业市场还没有爆发，友商也都比较缺钱，比较浮躁，需要我们来拯救^^。

对产品经理的理解：

从小白产品经理起步，到今天已经承担这个职位将近9个月了，记得入职前，我能够说出一堆产品经理的职责，当时虽然能说出一些东西，但是很肤浅，产品经理很需要通过做事情来提升对行业、对产品、对职责的理解。

以下谈谈我理解的产品经理的知识体系：
1. 产品设计：
需要不断思考和优化产品的愿景和定位，直到找到确认的结果，后续每个功能需求的取舍都是要服务于产品定位的。还有就是对产品roadmap的把控，切忌新产品第一个版本就“想法太多，做大而全”，产品开发一定是迭代向前。还有一些AXUSE,XMIND工具可以熟悉下。
2. 市场推广：
产品经理在向用户推广产品时，是要听用户的需求，但并不是被用户的需求领着走，我们应该是理解用户的需求，然后用对产品好、能够健康可持续发展的方案说服用户，引导用户、研发、领导用最好的办法产品化。在产品在一个项目中落地的过程中，会遇到一些产品当前无法满足的情况，此时，作为PM，不应只是把问题抛出来，这是销售干的事情，PM应该是提出自己的解决方案，得到同事的认可，然后就按照好的办法执行，用自己的理念把产品和项目做好。
在售前交流阶段有一点心得，就是要把我理解的工控安全讲述出来，让用户觉得你专业，然后才是用产品迎合用户的想法去解决问题。
3. 项目管理：
目前这方面接触地浅，产品目前靠谱的项目是一个，其他在售前阶段，只是用了JIRA管理工具跟踪项目，不定时地回访销售，了解一些进展，这方面需要深入一下，至少做到对项目丢掉的原因做好记录和分析。
4. 虚拟团队：
这方面团队中包括了交互、视觉、前端开发、和Java开发，大家环境还是很简单的，比较融洽，PM做的应该是对提出的需求尽量是思考清楚的，不要因为自己的原因导致同事们的返工。
5. 产品调研：
竞品分析应该是常做，知己知彼方能心里有底，目前自己的渠道主要是前线一手资料和网上友商的新闻动态信息。
6. 沟通：
之前觉得沟通的能力大同小异，没啥的，直到前段时间接触了以为经验丰富的PM，一件事情，PM说出来后用户表示拒绝，他能马上换个说法说出来，用户表示认可。沟通是一件很玄乎的事情。还要不断向老司机们学习。