如何写好IT方案

在公司作为一名售前工程师会有大量的方案策划落到头上，这些方案里小的有几十万，大的有上千万。如何写好方案一直是我们很关注的事情。

而我们基本上都是在方案提交前一两天接到写方案的任务，也不能不做，只好心里大骂一句，骂完后就打电话搞清楚别人的要求，边问就边构思整个方案的推导思路和结构提纲。

所以我其实也特别紧张，注意力也特别集中，大脑也高速反应，基本上几分钟电话或面谈完思路基本就有了，然后该干嘛干嘛，找一些零散的小时间把思路不断推导一下，然后到了一个比较安静和完整的时间前才开始写，这个时候基本上要写的话都想清楚了，只需要不断敲字，敲字的时候也是注意力也特别集中，大脑也高速反应，越写思路越开，很快也就完工了。

写方案不难，知道怎么写才难。关于写方案我总结一点，结构化地去组织你的思想。有结构就有思路，有思路就有方案。

另外真正写方案的人，对自己写过的方案是永远不会满意的，只有这样，每次都会进步一点点，解决方案水平质量就会随公司能力不断增长。

当然我曾经问过很多人，你到底为什么写不出好的方案呢

基本上原因可以归为四类：

1.1第一种是没有体系

一旦用户要求提供关于网络的方案，很多脑是一片空白，完全不知道从哪里下手。很多人说起自己的产品来，好像知道不少卖点，不过真要写出来，又觉得无从下笔。这种情况一般是写方案者不熟悉自己产品体系造成的，知道一两个甚至更多的产品卖点不难，但难就难在成体系，知识就是成体系的点构成的，而不是一句离散的说法构成的。

因为我们这个行业从业人员说句不客气的话，大部分对所销售实施的管理系统并没有很深入的研究，都是半路出家，从头开始，在学习过程中熟悉，在熟悉过程中领悟。所以一下子去驾驭一个整体方案是很痛苦的。只有当一个人对一个产品思路有体系以后，才能够写出完整的方案，否则就是一个单元也要费尽脑汁。

所以一个人要想写好一个方案，首先要把自己产品的来龙去脉，功能模块，适应领域，典型客户实施情况有一个全面的了解，这样才能建立一个完整的知识体系，然后逐步补充竞争对手知识和一些技术性知识，不断深化自己的知识体系。

1.2第二种是没有思路

有很多用户看多了模板化的方案以后，想看一些针对他们自己的业务的个性化内容，这个时候有的人按照标准方案模板修改还勉强能对付，但对于个性化内容针对性方案就速手无策了。

如果不能找到解决这些问题的原因，简单地去解决这些现象，就象治病不能治根一样。这样一个模板化，自我膨胀化的方案想打动用户的心是非常困难的。

不好的解决方案最大的问题就象写一篇议论文，能够发现问题(这个也是模板化的，可惜中国企业大部分没有意识到自己很多问题并不少见，总以为自己是特殊的一类企业)，提出答案(搞信息化)，但没有论证(为什么搞信息化和企业管理进步有联系呢)。

没有论证的东西不管内容陈列得多么繁复，名词多么吓人，但是无法打动用户，特别是那种理性的用户。

看到方案时候，其实很多用户下不了决心，他会感觉每家都差不多。

如果从没看过方案的人，突然看到这几个方案，你为什么会感觉某个方案写得好呢，关键是有的方案图画的好，通过图，通过表，会感觉这个公司还不错，很规范。但对内容认可程度并不高，实际上没看懂。

2.2第二个容易犯的错误：业务解决方案成为功能列表

解决方案省事的一种方法就是将产品功能描述作为技术方案内容进行罗列，或者参照软件用户手册罗列，这种解决方案不是按照用户业务去准备的内容，而是按照软件商自己的喜好去编制的解决方案是很难得到用户认可的。

大凡按照功能列表组织的解决方案用户会有一个体会，庞大而庸长，但要看到自己想看到的部分非常困难。

而且这种方案还有一个特点，一个问题反反复复的提，在业务背景中指出某个问题，讲一通，在价值分析中又重点解释一通，到了功能介绍时又将某个问题来龙去脉概要说明一下，给用户感觉是一堆资料的堆积，哪里体现出了方案的针对性呢

按功能列表准备方案的做法在很长一段时间内不会消失，这和普遍都是4P销售人员，还缺少SPIN(顾问式)销售人员有关，在资源不足的情况下，要保证效率就只能提供功能列表方案了。

本文从网络安全工程的角度探讨一份网络安全方案的编写

介绍网络安全方案设计的注意点以及网络安全方案的编写框架最后利用一个案例说明网络安全的需求以及针对需求的设计方案以及完整的实施方案.

网络安全方案概念

网络安全方案可以认为是一张施工的图纸,图纸的好坏,直接影响到工程的质量.总的来说,网络安全方案涉及的内容比较多,比较广,比较专业和实际.

网络安全方案设计的注意点

对于一名从事网络安全的人来说,网络必须有一个整体,动态的安全概念.总的来说,就是

要在整个项目中,有一种总体把握的能力,不能只关注自己熟悉的某一领域,而对其他领域毫不关心,甚至不理解,这样写不出一份好的安全方案.

因为写出来的方案,就是要针对用户所遇到的问题,运用产品和技术解决问题.设计人员只有对安全技术了解的很深,对产品线，了解的很深,写出来的方案才能接近用户的要求.评价网络安全方案的质量

一份网络安全方案需要从以下8个方面来把握.

1,体现唯一性,由于安全的复杂性和特殊性,唯一性是评估安全方案最重要的一个标准.实际中,每一个特定网络都是唯一的,需要根据实际情况来处理.

2,对安全技术和安全风险有一个综合把握和理解,包括现在和将来可能出现的所有情况.3,对用户的网络系统可能遇到的安全风险和安全威胁,结合现有的安全技术和安全风险,要有一个合适,中肯的评估,不能夸大,也不能缩小.

4,对症下药,用相应的安全产品,安全技术和管理手段,降低用户的网络系统当前可能遇到的风险和威胁,消除风险和威胁的根源,增强整个网络系统抵抗风险和威胁的能力,增强系统本身的免疫力.

5,方案中要体现出对用户的服务支持.这是很重要的一部分.因为产品和技术,都将会体现在服务中,服务来保证质量,服务来提高质量.

6,在设计方案的时候,要明白网络系统安全是一个动态的,整体的,专业的工程,不能一步到位解决用户所有的问题.

7,方案出来后,要不断的和用户进行沟通,能够及时的得到他们对网络系统在安全方面的要求,期望和所遇到的问题.

8,方案中所涉及的产品和技术,都要经得起验证,推敲和实施,要有理论根据,也要有实际基础.

网络安全方案的框架

总体上说,一份安全解决方案的框架涉及6大方面,可以根据用户的实际需求取舍其中的某些方面.

1,概要安全风险分析

2,实际安全风险分析

3,网络系统的安全原则

4,安全产品

5,风险评估

6,安全服务

网络安全案例需求

网络安全的唯一性和动态性决定了不同的网络需要有不能的解决方案.通过一个实际的案例,可以提高安全方案设计能力.

项目名称是:超越信息集团公司(公司名为虚构)网络信息系统的安全管理

项目要求

集团在网络安全方面提出5方面的要求:

1,安全性

全面有效的保护企业网络系统的安全,保护计算机硬件,软件,数据,网络不因偶然的或恶意破坏的原因遭到更改,泄漏和丢失,确保数据的完整性.

2,可控性和管理性

可自动和手动分析网络安全状况,适时检测并及时发现记录潜在的安全威胁,制定安全策略,及时报警,阻断不良攻击行为,具有很强的可控性和管理性.

3,系统的可用性

在某部分系统出现问题的时候,不影响企业信息系统的正常运行,具有很强的可用性和及时恢复性.

4,可持续发展

满足超越信息集团公司业务需求和企业可持续发展的要求,具有很强的可扩展性和柔韧性.

5,合法性

所采用的安全设备和技术具有我全产品管理部门的合法认证.

工作任务

该项目的工作任务在于四个方面:

1,研究超越信息集团公司计算机网络系统(包括各级机构,基层生产单位和移动用户的广域网)的运行情况(包括网络结构,性能,信息点数量,采取的安全措施等),对网络面临的威胁以及可能承担的风险进行定性与定量的分析和评估.

2,研究超越信息集团公司的计算机操作系统(包括服务器操作系统,客户端操作系统等)的运行情况(包括操作系统的版本,提供的用户权限分配策略等),在操作系统发展趋势的基础上,对操作系统本身的缺陷以及可能承担的风险进行定性和定量的分析和评估.

3,研究超越信息集团公司的计算机应用系统(包括信息管理信息系统,办公自动化系统,电网实时管理系统,地理信息系统和Internet/Intranet信息发布系统等)的运行情况(包括应用体系结构,开发工具,数据库软件和用户权限分配策略等),在满足各级管理人员,业务操作人员的业务需求的基础上,对应用系统存在的问题,面临的威胁以及可能承担的风险进行定性与定量的分析和评估.

4,根据以上的定性和定量的评估,结合用户需求和国内路安全发展趋势,有针对地制定公司计算机网络系统的安全策略和解决方案,确保该集团计算机网络信息系统安全可靠的运行.

解决方案设计

总结一下，需要我们了解的有以下这几方面的内容

交流和需要了解的内容通常包括：

1.用户的组织机构，信息化的现状，现有的硬件设备、网络情况、正在使用的软件系统情况；

2.新系统的规划、目标、规模，要求等，包括用户对系统的安全性、可靠性、易用性、扩展性的要求；

3.业务内容、业务流程系统的现状，软件功能需求；

4.平台和数据库的选型；

5.信息安全、存储的需求；

6.对软件开发机制的认识；

7.用户感兴趣的热点技术；

交流应该广泛，不要只限于项目的具体负责人，如果有条件，可以拜访更上级的用户，以及各部门的主要负责人或技术权威，尽量了解用户的对项目的认识和想法，交流和拜访中要善于识别用户的身份，抓住对项目有决定权、影响大的用户的想法，留意他们对项目感兴趣的地方。以便在方案中有所针对性。

引导用户向本公司的擅长的技术路线和产品特点上。可以将以往做过项目的情况、功能特点讲给用户，最好是借助演示，这是用户会告诉你哪些是他感兴趣的，哪些是没有意思的，其它对手的产品是什么样的等等。这样便于与用户进行深入的交流，找到与用户相互的共鸣点。

跟踪和了解对手情况，了解同类产品的现状，这是一个长期积累的过程，分析对手的产品和解决方案可能的特点，找到或提出比对手有新意的、能吸引用户的系统亮点。当然，这些亮点的提出必须先考虑自己的技术实力和项目的投资规模。

点点网络安全公司(公司名为虚构)通过招标,以150万的工程造价得到了该项目的实施权.在解决方案设计中需要包含九方面的内容:公司背景简介,超越信息集团的安全风险分析,完整网络安全实施方案的设计,实施方案计划,技术支持和服务承诺,产品报价,产品介绍,第三方检测报告和安全技术培训.一份网络安全设计方案应该包括九个方面:

1.公司背景简介,

2.安全风险分析,

3.解决方案,

4.实施方案,

5.技术支持和服务承诺,

6.产品报价,

7.产品介绍,

8.第三方检测报告

9.安全技术培训.

具体来讲

一.公司背景简介

介绍点点网络安全公司的背景需要包括:公司简介,公司人员结构,曾经成功的案例,产品或者服务的许可证或认证.

1,点点网络安全公司简介

2,公司的人员结构

3,成功的案例

4,产品的许可证或服务的认证

5,超越信息集团实施网络安全意义

二.安全风险分析

对网络物理结构,网络系统和应用进行风险分析.

1,现有网络物理结构安全分析

详细分析超越信息集团公司与各分公司得网络结构,包括内部网,外部网和远程网.2,网络系统安全分析

详细分析超越信息集团公司与各分公司网络得实际连接,Internet的访问情况,桌面系统的使用情况和主机系统的使用情况,找出可能存在得安全风险

3,网络应用的安全分析

详细分析公司与各分公司的所有服务系统以及应用系统,找出可能存在的安全风险.

三．解决方案

解决方案包括五个方面:

1,建立公司系统信息安全体系结构框架

2,技术实施策略

3,安全管理工具

4,紧急响应

5,灾难恢复

四．实施方案

实施方案包括:项目管理以及项目质量保证.

1,项目管理

2,项目质量保证

五．技术支持和服务承诺

包括技术支持的内容和技术支持的方式.

1,技术支持的内容

包括安全项目中所包括的产品和技术的服务,提供的技术和服务包括:(1)安装调试项目中所涉及的全部产品和技术.(2)安全产品以及技术文档.(3)提供安全产品和技术的信息.(4)服务器内产品升级.

2,技术支持方式

安全项目完成以后提供的技术支持服务,内容包括:(1)客户现场24小时支持服务.(2)客户支持中心热线电话.(3)客户支持中心Email服务.(4)客户支持中心Web服务.

六．产品报价

项目所涉及到全部产品和服务的报价.

七．产品介绍

超越信息集团公司安全项目中所有涉及到的产品介绍,主要是使用户清楚所选择的产品使什么,不用很详细,但要描述清除.

八．第三方检测报告

由一个第三方的中立机构,对实施好的网络安全构架进行安全扫描与安全检测,并提供相关的检测报告.

九．安全技术培训

相关产品的介绍说明，使用说明等