对于CIO或者CTO来说， 在安全工具的选择方面， 你会碰到不同的供应商， 每个供应商的产品有各种不同的功能。 如何才能正确地评估各类安全工具呢？ Rapid7公司的安全解决方案经理Pia Flora给出了安全工具评估的7大原则：

第一： 设定目标

这一点非常重要， 尤其在评估的开始阶段， 一定要充分听取评估组里不同成员的意见。 在评估中经常遇到的情况就是， 很多人一直到坐下来开会时， 才会考虑他们对安全工具的具体目标是什么。 因此， 一定要要求他们事先准备， 全面考虑好。

第二， 建立一个评估标准矩阵

这一点常常被忽视， 而做到这一点， 会从长远来说节省你大量的时间。 一个评估标准矩阵应该包括所有你在安全方面的要求。 而根据企业的业务需求和安全需求， 对标准赋予不同的权重也极有帮助。

第三， 明确需要解决的问题

很多情况下， 供应商会给你推荐产品的功能， 告诉你这是他的产品与别的产品的重要区别。 这时候， 你一定要问自己：“这个功能真的能够满足我们的业务需求或者解决我们的问题吗？“ 在与供应商打交道是一定要明确你需要解决的问题， 而不是仅仅被产品功能所吸引。

第四， 进行情景测试

一定要根据企业实际环境进行一些情景测试。 很多情况下， 受到资源或者时间的限制 并且处于安全的考虑， 你无法在生产系统中测试， 那么， 尽量能够做一些与实际环境相关的情景测试。 比如说， 企业网的带宽不足， 而你考虑到扫描时间过长可能会影响带宽。 那么可以在实验环境中加以模拟低带宽的情景， 或者选择一两个实际系统进行测试。 总之， 要尽量在与实际环境类似的情景下进行测试， 而不要仅仅依赖于样本环境。

第五，考虑一些无形因素

这里的无形因素， 指的是如技术支持之类的产品外的因素。 比如在产品评估阶段， 如果你发现企业的技术支持很差的话， 基本上在正式使用后的技术支持也好不到哪里去。 看一看不同供应商的支持响应时间， 对问题的准备程度， 就可以评估作为正式用户后所能得到的技术支持水平。 此外， 还有一些无形因素如供应商的公司远景也很重要。他们公司的发展目标是什么？ 他们如何提高他们的解决方案等等， 也是考察评估的一个重要的无形因素

第六， 了解产品路线图

如果签署了保密协议， 可以跟供应商要一份他们的产品路线图。 这样可以了解这个产品的发展方向。 也可以了解这个产品在过去的6个月或者1年里进行的哪些改进， 添加了哪些功能。 这些能够给你一个很好的指标来判断这家公司在这个产品上投入了多少资源和资金。 所有的供应商都会给你一大堆的功能， 而你可以看到究竟有多少功能被真正实现。 你需要了解他们的开发过程， 他们如何出来客户反馈的需求等等。 这样可以判断过去6个月到1年产品的开发进度， 以及企业将来准备在产品上如何进一步投入。

第七， 考虑未来需求

看一下你现在的安全需求， 考虑一下你未来理想的安全产品需求。 你未来会有什么样的安全项目， 需要什么样的安全解决方案。 评估安全工具的时候， 要保证能够满足目前的需求， 同时也要能够满足未来可能的需求。