弱点评估评鉴方式之参考

弱点评估系统在进行安全漏洞扫描後会产生风险评估报表及分析统计图，但是这份报表能否协助管理者准确、快速进行修补以消除安全弱点呢？检测结果是否可靠？功能是否齐备？

虽然目前在各个国家中并没有评鉴弱点评估系统的标准，但其实美国的资安单位对於弱点评估系统的评鉴并非毫无依据，不过这些评鉴项目并非是『标准』，也并非是 On Document 的『规格』。由於国内一直没有获得 On Document 的评鉴内容相关资讯，可能因此停留在单一功能比较的迷思中 (不可否认的，简单式的比较是可以直接对销售有帮助，只是未必能够对资安状况有所改善)。这种迷思如果长久延续下去，对国内在资讯安全的整体发展上并不健康。

参考国外几个资安单位对弱点评估系统的内部评鉴文件後，DragonSoft 归纳出 20 项对弱点评估系统『打分数』的热门评鉴项目，评鉴的方式原则上可以将每一项平均以 5% 计算 (但建议依照网路环境中所重视项目的程度调整百分比，可以得到较为客观的结果)。

弱点评估之 20 项评鉴项目∶

便利性
1. 安装、检测操作的简易程度
2. 功能自订及客制化的弹性程度
3. 检测目标设定的弹性程度
4. 安全政策设定的弹性程度
5. 自动更新、排程检测的程度
效能及能力
1. 通讯埠的扫描数及耗费时间
2. 检测的弱点数及耗费时间
3. 辨识网路服务的准确度
4. 辨识作业系统的准确度
5. 弱点检测的可靠度
报表与输出
1. 报表分类及自订的程度
2. 报表的容易理解程度
3. 项目及弱点容易找到的程度
4. 图表及报表资讯的丰富程度
5. 报表及检测档输出的弹性程度
弱点资料库
1. 弱点资料库的更新频率
2. 新弱点的加入速度
3. 弱点描述、修补等内容实用度
4. 弱点的确认度 (符合软体原厂或国际安全组织所公布)
5. 相容性程度 (弱点编号之对照)

* 附注: 以上评鉴项目仅提供参考，并非规格，亦不保证完全客观