如何做好弱點評估

是否擁有弱點資料庫快速的維護能力
首先必須先去確定的是，該弱點評估系統是否擁有優異的弱點知識庫維護能力。對於弱點評估這項工作而言，最重要的即是迅速地找出網路環境裡，存在哪些安全上的缺失與弱點漏洞，進而去修復與改進補強，因此能否提供出迅速的弱點資料庫維護能力，會是最重要的首要考量之一。且由於網路上也存在一些免費的弱點掃描評估工具，效能也非常優秀，但是對於企業用戶而言，似乎仍是無法成為第一線的資安弱點評估系統，重點就是因為其弱點資料庫的更新維護能力相較於一般商用軟體來看，在完整度與速度上仍舊是稍嫌不足，因此，該弱點評估系統能否迅速的提供最新的弱點訊息與最新的弱點檢測模給予系統管理者，進而快速地幫助系統管理者更正這些缺失會是執行這項工作的成敗關鍵。

是否擁有清楚簡潔易懂的介面與描述
另外，當出現新的弱點漏洞時，能否於第一時間內提醒系統管理者該弱點的嚴重性高低及該弱點的影響深淺，並清楚的加以描述呈現出來，則是另一關鍵點。由於多數的系統管理者工作量已是相當繁重，若評估系統本身操作已是艱澀難懂，對弱點漏洞的描述又不很清楚，如何能使系統管理者快速的掌握狀況，進而做出因應呢？ 　如何在不增加系統管理者的工作負擔下，同時提昇其工作效能，是任何工具設計者的一大目標，而愈清楚簡單的說明與介面操作則愈能幫助系統管理者盡快上手進行檢測評估與修復。多數的產品雖都以此為目標來設計，但真正能符合國人習慣的產品則較不多見。

是否易部署、易擴充、易管理
除了介面易上手、產品操作簡潔外，產品本身是否具備方便的部署與擴充能力，進而得到方便易管理的能力，會是另一項重要考量。弱點評估系統是針對存在於網路上的任一通訊端點去探測評估，進而得到該通訊端點的資訊，因此，在產品的部署與授權上則需要有絕對的靈活性。而通常多數的弱點評估系統會由廠商設定住此被評估端的IP位置，如此一來，該系統則會失去方便性了。因為不管是擴充部署其它設備或是變更部分的網路環境設定，勢必將牽涉到弱點評估系統的配置與授權必需也異動過，將會增加不少的管理上的負擔。

是否容易整合與搭配其他產品
確認以上的條件考量後，再來就是去分析該弱點評估系統是否可以迅速的與其它資安產品整合運作，或是可以簡單迅速地與其它管理工具搭配運用。原因是，弱點評估系統的運作是包含：弱點評估、確認、修復、再確認的流程。與其他產品整合的條件是，這些經搜尋得到的資料，不管是新增弱點或是已修復的弱點資料，可否輕易地匯入資料庫供系統管理者進一步去分析或比對，甚至是利用這些資料做出其他進階的運用，包含資產風險管理分級及稽核的參考資料等。

是否擁有快速專業的支援服務
提供產品快速的技術支援服務是一定會考量到的重點，但是一旦狀況發生後，好比是發佈出十分嚴重的弱點，或是出現新的蠕蟲攻擊手法，在刻不容緩的前提之下，系統管理者需審思可以容忍的安全空窗期有多短，在等待技術支援一來一往的時間裡，誰也不敢保證會否造成任何的營運影響，系統管理者的支援可否於第一時間內得到牽涉到該單位的資安應變計劃啟動後的成功性，支援的速度快與專業正確會是最重要的關鍵要素。

結語
弱點評估系統在目前市場上已是處於百家爭鳴的階段，較貴的產品是否代表提供較佳的產品功能與售後服務，這個答案恐怕不是絕對，同時弱點評估系統是否應該內含更多的輔助功能，也頗見仁見智，但是最重要的是，這套弱點評估系統是否真能確實有效的幫上忙，讓資安風險降到最低，讓系統管理者的效能有效提高，可以真正的落實去做好各項的弱點評估及弱點漏洞補強，才是企業或單位組織在採購一套弱點評估系統應深思的地方。

（本文作者為中華龍網DragonSoft資深產品經理）