5款弱點評估產品測試結果

在本次測試中，我們總共檢測iThome的8臺主機，其中4臺由Hinet代管，4臺位於iThome的內部網路。外部4臺主機分別是網頁伺服器、資料庫伺服器、郵件伺服器及SSL加密伺服器，涵蓋的作業系統有Solaris 8和FreeBSD 4.4/4.6.2；內部4臺則是Windows 2000 Server及Exchange伺服器、郵件伺服器、資料庫伺服器及網頁伺服器，涵蓋的作業系統有Windows 2000 Server、Solaris 8和FreeBSD 4.4。賽門鐵克的公司政策規定不參與測試評比，而ISS System Scanner為主機型弱點評估產品，所以未能參與本次測試。

在整個測試期間，產品測試與操作都是由各家廠商負責，希望模擬企業實際測試的狀況。外部主機由iThome提供URL和IP位址，廠商自行由外部測試；內部主機則是各家廠商實際到iThome來執行測試工作。而且在測試期間，我們沒有變更這8部主機和iThome的網路架構。
滿足技術人員需求，就是第一名的好產品

從這5款弱點評估產品掃描8臺主機的風險數量，相信你一定很想知道哪一款產品最準確，其實我們也很想知道，但要從5份掃描報告來評估產品的好壞，其實意義不大，因為只要能滿足技術人員需求的產品，就都是第一名的好產品。

幾乎每份報告都有誤報發生，可能與當時的網路狀態、掃描政策和掃描軟體有關。我們先從最根本的作業系統版本來看，弱點評估產品的第一步驟都標榜先偵測作業系統，但準確率卻是一樣的慘，有廠商事先詢問作業系統，坦承軟體不支援，有的報告顯示為「Unknown」，甚至還誤判為Mac OS。

若偵測不出作業系統版本，通常後續的結果也不正確，當然網路型弱點評估軟體本身的準確度就沒有主機型的高，而且越複雜的網路環境會有越多的問題。另一個狀況則是DNS解析的問題，我們分別列出外部4臺主機的IP位址和URL，但其中有兩份報表分析出來的URL不正確，建議最好用IP位址測試，以避免不必要的問題發生。

另外，各家風險等級的定義都不同，A廠商定義是高風險，但B廠商卻認為是中風險，完全都是廠商主觀定義，雖然有CVE（Common Vulnerabilities & Exposures）、CERT或X-Force的弱點資料庫，也沒有統一標準，所以，除非有公正單位統一定義弱點的風險高低，不然我們只能依照廠商的定義。看完這5份報告，我們歸納出報表的必備要素與參考項目，可做為選購時的參考。
報表必備要素中文介面與報表

能夠有中文介面和中文報告，應該是政府單位和軍方的功勞。假如一開始是大型企業導入弱點評估系統，相信不會有這麼多廠商會進行中文化。比較遺憾的是沒有足夠的本土化，本土廠商開發的ERP、KM等應用程式，應該也有不少弱點，要企業自行定義弱點仍有些難度，或許這是本土弱點評估廠商可以努力的方向。

依職務分類
常見的報表分法是高層決策人員、IT主管和MIS等3類。MIS會選擇能夠自動產生報表的產品，還是自己加工才能得到報表的產品呢？我想應該是前者。個人電腦有弱點，應該也要給使用者一份報告，告訴他存在哪些弱點，以及修補的步驟。

圖表和表格統計
不論是直條圖、圓餅圖或表格，都是經過統計分析後的資料，具備簡單易懂的特性，顯然會比文字容易閱讀。能讓你越輕鬆的閱讀，它就是好報表。

詳細解說與修補建議
初學者DIY組裝電腦會照雜誌的說明一步一步執行，專家只要給他工具和零件，他就能自行完成組裝。相同的，不是每個人都是專家，越詳細的解說和修補建議，對初學者的幫助愈大，讓安全也能是一種學習。

差異化分析
真正的弱點管理，不應該只是前半部的工作排程、執行掃描、分析整理，當管理者修補弱點後，該如何去驗證成效？最簡單的辦法就是再掃描一次，比較之間的差異，直接驗證修補的成效。
建議參考項目安全分數

外國人習慣以ABCD計分，但中國人卻擺脫不了對分數的迷失，滿分100分，60分及格。用分數計分有好有壞，企業高層一下就能看出企業整體安全分數，只是不同產業、不同規模的企業，評分標準應該也不同，最好能夠自訂扣分標準。

網頁弱洞檢測
設計不良的網頁常存在許多安全漏洞，某些網頁暫存檔可能包含連結資料庫的帳號與密碼。因此，弱點評估軟體要能針對企業網站執行進階掃描，內容包含Web登入帳號密碼組合、SQL資料庫弱點、網頁檔案程式碼弱點……等，檢測網站是否隱藏弱點，避免成為駭客入侵的跳板。

網路架構圖
第一眼看到Foundstone報表的網路架構圖，只能說：「哇！真不可思議。」以3D圖形描繪整個網路架構，還能以超連結點選單一主機，這或許要你實際操作才能體會。
說穿了，這些參考項目都是FoundScan的報表功能，有的廠商可能會說它的產品比較貴，當然功能比較多，卻很少反求諸己，為什麼有人能，自己卻不能？

修補之路遙遙無期
回到問題的實際面，我們拿到了6份檢測報告，知道有這麼弱點，該如何修復呢？iThome只有一位技術人員，除了要負責全公司的大大小小電腦問題，還要維護10多臺伺服器，加上一些雜務，實在沒有多少時間能夠再進行修補。

另一個問題就是，這8臺主機仍在「服役」當中，也是缺一不可，冒然更新修正檔是相當危險的事，最正確的做法是將資料備分，並有備援主機，然後再執行修補，這更是一項不可能的任務。文⊙陳世煌