如今，各行各業走上了向云端遷移之路，高度動態的云環境給傳統漏洞管理工作帶來越來越多的挑戰。一方面，網絡安全漏洞是大量網絡安全事件、網絡違法犯罪活動發生的罪魁禍首，防不勝防，即使是再嚴格的測試也無法根除網絡安全漏洞；另一方面，基礎電信企業經過多年建設，IT資產數量龐大，管理工作繁雜，云計算、大數據、工控和物聯網等新技術的廣泛應用，數字攻擊面持續增長將成為常態化趨勢，新的安全威脅不斷涌現。

由工業和信息化部、國家互聯網信息辦公室、公安部共同發布的《網絡產品安全漏洞管理規定》，作為《中華人民共和國網絡安全法》的重要配套規范，明確網絡產品提供者、網絡運營者，以及從事漏洞發現、收集、發布等活動的組織或個人等各類主體的責任和義務。此次規定的發布，標志著我國網絡產品安全漏洞管理工作的制度化、規范化、法治化。

漏洞管理作為企業安全建設的重要工作，需要一個清晰的、體系化的漏洞管理思路，以提高漏洞管理水平。為此，天融信提出網絡安全漏洞全生命周期閉環管理解決方案，以天融信漏洞管理平臺為主要載體，實施“六步走”策略，多角度覆蓋漏洞治理全流程，實現漏洞收集、驗證、處置、跟蹤的閉環管理效果。

第一步：對資產進行全量采集與發現，并通過自動化工單流轉建立標準化資產管理流程。

第二步：收集知名漏洞庫、開源社區、安全論壇、供應商官方網站等披露的漏洞信息，同步關聯存量資產，第一時間感知資產風險。

第三步：結合人工、自動化工具對漏洞有效性、真實性進行驗證，優先修復風險等級高的漏洞，提升漏洞修復效率。

第四步：持續跟蹤監測，對修復后的漏洞實施二次掃描研判，根據實際情況對防范措施做進一步改進。

第五步：建立漏洞發布內部審核機制，在滿足國家漏洞相關規定的情況下，按漏洞嚴重程度發布漏洞。

第六步：建立漏洞挖掘眾測機制，調動內、外部安全專家參與積極性，聯合多方技術能力，對業務系統和產品安全風險進行自查。

方案結合資產管理，漏洞收集、漏洞驗證、處置、眾測和報送等工作機制，持續提升網絡安全主動防御能力和水平，確保漏洞管理工作流程規范化、統一化、標準化，著力實現漏洞整改閉環管理。

○全面化資產管理

借助天融信脆弱性掃描與管理系統對客戶資產全方位掃描探測，確保全面覆蓋漏洞管理對象。同時聯動天融信漏洞管理平臺對資產增刪、資產歸屬、工單流轉進行維護與管理。

○流程化漏洞管理與處置

持續預警漏洞風險、關聯分析漏洞與資產、動態流轉漏洞驗證工單，全程跟蹤處置結果，實現漏洞精準化、流程化風險修復。

○模塊化漏洞眾測

天融信漏洞管理平臺支持管理員發起眾測項目，對反饋的漏洞風險量化計分，鼓勵安全專家發揮其技術實力，更好地發現自有業務系統和產品的安全風險。

○技術化漏洞挖洞

天融信安全服務團隊專注于網絡空間的攻擊技戰法、溯源、分析、防御技術的研究，挖掘傳統網絡空間及云、5G、IOT新環境下的軟硬件0day漏洞。

○專業化漏洞庫建設

對接國家信息安全漏洞庫、開源漏洞情報、第三方威脅情報等漏洞來源，持續接收更新漏洞信息，可定制化實現與上級監管單位漏洞管理平臺任務指令的接收與響應。

○定制化接口對接

打造上下貫通、部企協同、兩級聯動的安全漏洞監測與管理體系，實現行業安全漏洞態勢感知、風險預警、協同處置，提升行業安全漏洞管理能力。

方案價值

政策合規，實現漏洞及時修補：滿足《中華人民共和國網絡安全法》《網絡產品安全漏洞管理規定》以及《關鍵信息基礎設施安全保護條例》要求，實現對網絡產品、服務、系統等漏洞及時修補，提高網絡安全防護水平。

提高效率，降低業務風險：提升企業網絡安全漏洞管理工作效率，縮減安全漏洞發現、修復和有效監管時間，減少資產漏洞對網絡空間的安全威脅，提升國家關鍵基礎設施及業務系統安全性。

閉環管理，漏洞全生命周期防護：針對漏洞全生命周期防護，從資產采集、漏洞收集、漏洞驗證、漏洞處置、漏洞發布、漏洞跟蹤、漏洞消除進行全生命周期閉環管理，實現管理自動化、流程化。

多年來，天融信積極參與并承擔多項國家級、省部級重點網絡安全科研項目，持續為國家互聯網應急響應中心、中國信息安全測評中心提供大量技術及攻關支撐。目前，天融信已連續九年獲得國家信息安全漏洞庫（CNNVD）技術支撐單位（一級），連續四屆獲得國家信息安全漏洞共享平臺（CNVD）原創漏洞發現突出貢獻單位，首批獲得信創政務產品安全漏洞專業庫（CITIVD）技術支撐單位、工業和信息化部移動互聯網APP安全漏洞庫（CAPPVD），連續兩年獲得國家工業信息安全漏洞（CICSVD）優秀成員單位等榮譽。

TOPSEC

作為國內網絡安全企業，天融信始終以捍衛國家網絡空間安全為己任，積極投身網絡安全建設。未來，天融信將繼續發揮自身優勢，在漏洞挖掘與分析領域深入研究、持續跟蹤國內外安全漏洞情況，為客戶排除安全隱患提供強有力的安全保障，助力國家數字化建設筑牢安全基底。