弱點評估評鑑方式之參考
弱點評估系統在進行安全漏洞掃瞄後會產生風險評估報表及分析統計圖,但是這份報表能否協助管理者準確、快速進行修補以消除安全弱點呢?檢測結果是否可靠?功能是否齊備?

雖然目前在各個國家中並沒有評鑑弱點評估系統的標準,但其實美國的資安單位對於弱點評估系統的評鑑並非毫無依據,不過這些評鑑項目並非是『標準』,也並非是 On Document 的『規格』。由於國內一直沒有獲得 On Document 的評鑑內容相關資訊,可能因此停留在單一功能比較的迷思中 (不可否認的,簡單式的比較是可以直接對銷售有幫助,只是未必能夠對資安狀況有所改善)。這種迷思如果長久延續下去,對國內在資訊安全的整體發展上並不健康。

參考國外幾個資安單位對弱點評估系統的內部評鑑文件後,DragonSoft 歸納出 20 項對弱點評估系統『打分數』的熱門評鑑項目,評鑑的方式原則上可以將每一項平均以 5% 計算 (但建議依照網路環境中所重視項目的程度調整百分比,可以得到較為客觀的結果)。

弱點評估之 20 項評鑑項目:
  • 便利性
    1. 安裝、檢測操作的簡易程度
    2. 功能自訂及客製化的彈性程度
    3. 檢測目標設定的彈性程度
    4. 安全政策設定的彈性程度
    5. 自動更新、排程檢測的程度
  • 效能及能力
    1. 通訊埠的掃瞄數及耗費時間
    2. 檢測的弱點數及耗費時間
    3. 辨識網路服務的準確度
    4. 辨識作業系統的準確度
    5. 弱點檢測的可靠度
  • 報表與輸出
    1. 報表分類及自訂的程度
    2. 報表的容易理解程度
    3. 項目及弱點容易找到的程度
    4. 圖表及報表資訊的豐富程度
    5. 報表及檢測檔輸出的彈性程度
  • 弱點資料庫
    1. 弱點資料庫的更新頻率
    2. 新弱點的加入速度
    3. 弱點描述、修補等內容實用度
    4. 弱點的確認度 (符合軟體原廠或國際安全組織所公佈)
    5. 相容性程度 (弱點編號之對照)
* 附註: 以上評鑑項目僅提供參考,並非規格,亦不保證完全客觀