DragonSoft 安全通報

弱點評估評鑑方式之參考

弱點評估系統在進行安全漏洞掃描後會產生風險評估報表及分析統計圖，但是這份報表能否協助管理者準確、快速進行修補以消除安全弱點呢？檢測結果是否可靠？功能是否齊備？

雖然目前在各個國家中並沒有評鑑弱點評估系統的標準，但其實美國的資安單位對於弱點評估系統的評鑑並非毫無依據，不過這些評鑑項目並非是『標準』，也並非是 On Document 的『規格』。由於國內一直沒有獲得 On Document 的評鑑內容相關資訊，可能因此停留在單一功能比較的迷思中 (不可否認的，簡單式的比較是可以直接對銷售有幫助，只是未必能夠對資安狀況有所改善)。這種迷思如果長久延續下去，對國內在資訊安全的整體發展上並不健康。

參考國外幾個資安單位對弱點評估系統的內部評鑑文件後，DragonSoft 歸納出 20 項對弱點評估系統『打分數』的熱門評鑑項目，評鑑的方式原則上可以將每一項平均以 5% 計算 (但建議依照網路環境中所重視項目的程度調整百分比，可以得到較為客觀的結果)。

弱點評估之 20 項評鑑項目：

便利性
1. 安裝、檢測操作的簡易程度
2. 功能自訂及客製化的彈性程度
3. 檢測目標設定的彈性程度
4. 安全政策設定的彈性程度
5. 自動更新、排程檢測的程度
效能及能力
1. 通訊埠的掃描數及耗費時間
2. 檢測的弱點數及耗費時間
3. 辨識網路服務的準確度
4. 辨識作業系統的準確度
5. 弱點檢測的可靠度
報表與輸出
1. 報表分類及自訂的程度
2. 報表的容易理解程度
3. 項目及弱點容易找到的程度
4. 圖表及報表資訊的豐富程度
5. 報表及檢測檔輸出的彈性程度
弱點資料庫
1. 弱點資料庫的更新頻率
2. 新弱點的加入速度
3. 弱點描述、修補等內容實用度
4. 弱點的確認度 (符合軟體原廠或國際安全組織所公佈)
5. 相容性程度 (弱點編號之對照)

* 附註: 以上評鑑項目僅提供參考，並非規格，亦不保證完全客觀

關於 DragonSoft Security Associates, Inc. (中華龍網股份有限公司)

DragonSoft 於 2002 年推出全球第一個全中文的網路安全弱點評估軟體。
DragonSoft Secure Scanner 於 2003 年 10 月獲得國際安全組織 CVE(Common Vulnerability and Exposure) 的認可，為台灣第一個獲得 CVE 認可的資訊安全產品。
DragonSoft 安全弱點資料庫於 2004 年 1 月取得國際安全組織 CVE 頒發的 "CVE Compatibility Questionnaire Posted" 認證標章。
DragonSoft 於 2004 年 6 月 1 日推出全球第一個中/英文雙語安全弱點知識庫。
DragonSoft 於 2004 年 6 月 10 日開放網路安全弱點評估軟體英文版評估版下載。

國際安全組織 CVE (Common Vulnerability and Exposure)，是目前在國際上最具公信力的安全弱點披露與發佈單位，其目前與全球九十四個組織機構（包含相關之非營利政府單位、學術研究機構、公司單位）及全球一百四十一項安全產品、三十九家開發原廠共同合作，「CVE」是編號與命名特定弱點的標準協定，以確保哪個弱點已經清楚確實的被辨識出來。商業工具將提供追隨 CVE 協定的結果。並不是所有的軟體工具都會提供這樣的功能，而是只有少數的專屬工具(proprietary)會被 CVE 協定編入。