如今，各行各業(yè)走上了向云端遷移之路，高度動(dòng)態(tài)的云環(huán)境給傳統(tǒng)漏洞管理工作帶來(lái)越來(lái)越多的挑戰(zhàn)。一方面，網(wǎng)絡(luò)安全漏洞是大量網(wǎng)絡(luò)安全事件、網(wǎng)絡(luò)違法犯罪活動(dòng)發(fā)生的罪魁禍?zhǔn)?，防不勝防，即使是再?lài)?yán)格的測(cè)試也無(wú)法根除網(wǎng)絡(luò)安全漏洞；另一方面，基礎(chǔ)電信企業(yè)經(jīng)過(guò)多年建設(shè)，IT資產(chǎn)數(shù)量龐大，管理工作繁雜，云計(jì)算、大數(shù)據(jù)、工控和物聯(lián)網(wǎng)等新技術(shù)的廣泛應(yīng)用，數(shù)字攻擊面持續(xù)增長(zhǎng)將成為常態(tài)化趨勢(shì)，新的安全威脅不斷涌現(xiàn)。

由工業(yè)和信息化部、國(guó)家互聯(lián)網(wǎng)信息辦公室、公安部共同發(fā)布的《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》，作為《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的重要配套規(guī)范，明確網(wǎng)絡(luò)產(chǎn)品提供者、網(wǎng)絡(luò)運(yùn)營(yíng)者，以及從事漏洞發(fā)現(xiàn)、收集、發(fā)布等活動(dòng)的組織或個(gè)人等各類(lèi)主體的責(zé)任和義務(wù)。此次規(guī)定的發(fā)布，標(biāo)志著我國(guó)網(wǎng)絡(luò)產(chǎn)品安全漏洞管理工作的制度化、規(guī)范化、法治化。

漏洞管理作為企業(yè)安全建設(shè)的重要工作，需要一個(gè)清晰的、體系化的漏洞管理思路，以提高漏洞管理水平。為此，天融信提出網(wǎng)絡(luò)安全漏洞全生命周期閉環(huán)管理解決方案，以天融信漏洞管理平臺(tái)為主要載體，實(shí)施“六步走”策略，多角度覆蓋漏洞治理全流程，實(shí)現(xiàn)漏洞收集、驗(yàn)證、處置、跟蹤的閉環(huán)管理效果。

第一步：對(duì)資產(chǎn)進(jìn)行全量采集與發(fā)現(xiàn)，并通過(guò)自動(dòng)化工單流轉(zhuǎn)建立標(biāo)準(zhǔn)化資產(chǎn)管理流程。

第二步：收集知名漏洞庫(kù)、開(kāi)源社區(qū)、安全論壇、供應(yīng)商官方網(wǎng)站等披露的漏洞信息，同步關(guān)聯(lián)存量資產(chǎn)，第一時(shí)間感知資產(chǎn)風(fēng)險(xiǎn)。

第三步：結(jié)合人工、自動(dòng)化工具對(duì)漏洞有效性、真實(shí)性進(jìn)行驗(yàn)證，優(yōu)先修復(fù)風(fēng)險(xiǎn)等級(jí)高的漏洞，提升漏洞修復(fù)效率。

第四步：持續(xù)跟蹤監(jiān)測(cè)，對(duì)修復(fù)后的漏洞實(shí)施二次掃描研判，根據(jù)實(shí)際情況對(duì)防范措施做進(jìn)一步改進(jìn)。

第五步：建立漏洞發(fā)布內(nèi)部審核機(jī)制，在滿(mǎn)足國(guó)家漏洞相關(guān)規(guī)定的情況下，按漏洞嚴(yán)重程度發(fā)布漏洞。

第六步：建立漏洞挖掘眾測(cè)機(jī)制，調(diào)動(dòng)內(nèi)、外部安全專(zhuān)家參與積極性，聯(lián)合多方技術(shù)能力，對(duì)業(yè)務(wù)系統(tǒng)和產(chǎn)品安全風(fēng)險(xiǎn)進(jìn)行自查。

方案結(jié)合資產(chǎn)管理，漏洞收集、漏洞驗(yàn)證、處置、眾測(cè)和報(bào)送等工作機(jī)制，持續(xù)提升網(wǎng)絡(luò)安全主動(dòng)防御能力和水平，確保漏洞管理工作流程規(guī)范化、統(tǒng)一化、標(biāo)準(zhǔn)化，著力實(shí)現(xiàn)漏洞整改閉環(huán)管理。

○全面化資產(chǎn)管理

借助天融信脆弱性?huà)呙枧c管理系統(tǒng)對(duì)客戶(hù)資產(chǎn)全方位掃描探測(cè)，確保全面覆蓋漏洞管理對(duì)象。同時(shí)聯(lián)動(dòng)天融信漏洞管理平臺(tái)對(duì)資產(chǎn)增刪、資產(chǎn)歸屬、工單流轉(zhuǎn)進(jìn)行維護(hù)與管理。

○流程化漏洞管理與處置

持續(xù)預(yù)警漏洞風(fēng)險(xiǎn)、關(guān)聯(lián)分析漏洞與資產(chǎn)、動(dòng)態(tài)流轉(zhuǎn)漏洞驗(yàn)證工單，全程跟蹤處置結(jié)果，實(shí)現(xiàn)漏洞精準(zhǔn)化、流程化風(fēng)險(xiǎn)修復(fù)。

○模塊化漏洞眾測(cè)

天融信漏洞管理平臺(tái)支持管理員發(fā)起眾測(cè)項(xiàng)目，對(duì)反饋的漏洞風(fēng)險(xiǎn)量化計(jì)分，鼓勵(lì)安全專(zhuān)家發(fā)揮其技術(shù)實(shí)力，更好地發(fā)現(xiàn)自有業(yè)務(wù)系統(tǒng)和產(chǎn)品的安全風(fēng)險(xiǎn)。

○技術(shù)化漏洞挖洞

天融信安全服務(wù)團(tuán)隊(duì)專(zhuān)注于網(wǎng)絡(luò)空間的攻擊技戰(zhàn)法、溯源、分析、防御技術(shù)的研究，挖掘傳統(tǒng)網(wǎng)絡(luò)空間及云、5G、IOT新環(huán)境下的軟硬件0day漏洞。

○專(zhuān)業(yè)化漏洞庫(kù)建設(shè)

對(duì)接國(guó)家信息安全漏洞庫(kù)、開(kāi)源漏洞情報(bào)、第三方威脅情報(bào)等漏洞來(lái)源，持續(xù)接收更新漏洞信息，可定制化實(shí)現(xiàn)與上級(jí)監(jiān)管單位漏洞管理平臺(tái)任務(wù)指令的接收與響應(yīng)。

○定制化接口對(duì)接

打造上下貫通、部企協(xié)同、兩級(jí)聯(lián)動(dòng)的安全漏洞監(jiān)測(cè)與管理體系，實(shí)現(xiàn)行業(yè)安全漏洞態(tài)勢(shì)感知、風(fēng)險(xiǎn)預(yù)警、協(xié)同處置，提升行業(yè)安全漏洞管理能力。

方案價(jià)值

政策合規(guī)，實(shí)現(xiàn)漏洞及時(shí)修補(bǔ)：滿(mǎn)足《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》以及《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》要求，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)產(chǎn)品、服務(wù)、系統(tǒng)等漏洞及時(shí)修補(bǔ)，提高網(wǎng)絡(luò)安全防護(hù)水平。

提高效率，降低業(yè)務(wù)風(fēng)險(xiǎn)：提升企業(yè)網(wǎng)絡(luò)安全漏洞管理工作效率，縮減安全漏洞發(fā)現(xiàn)、修復(fù)和有效監(jiān)管時(shí)間，減少資產(chǎn)漏洞對(duì)網(wǎng)絡(luò)空間的安全威脅，提升國(guó)家關(guān)鍵基礎(chǔ)設(shè)施及業(yè)務(wù)系統(tǒng)安全性。

閉環(huán)管理，漏洞全生命周期防護(hù)：針對(duì)漏洞全生命周期防護(hù)，從資產(chǎn)采集、漏洞收集、漏洞驗(yàn)證、漏洞處置、漏洞發(fā)布、漏洞跟蹤、漏洞消除進(jìn)行全生命周期閉環(huán)管理，實(shí)現(xiàn)管理自動(dòng)化、流程化。

多年來(lái)，天融信積極參與并承擔(dān)多項(xiàng)國(guó)家級(jí)、省部級(jí)重點(diǎn)網(wǎng)絡(luò)安全科研項(xiàng)目，持續(xù)為國(guó)家互聯(lián)網(wǎng)應(yīng)急響應(yīng)中心、中國(guó)信息安全測(cè)評(píng)中心提供大量技術(shù)及攻關(guān)支撐。目前，天融信已連續(xù)九年獲得國(guó)家信息安全漏洞庫(kù)（CNNVD）技術(shù)支撐單位（一級(jí)），連續(xù)四屆獲得國(guó)家信息安全漏洞共享平臺(tái)（CNVD）原創(chuàng)漏洞發(fā)現(xiàn)突出貢獻(xiàn)單位，首批獲得信創(chuàng)政務(wù)產(chǎn)品安全漏洞專(zhuān)業(yè)庫(kù)（CITIVD）技術(shù)支撐單位、工業(yè)和信息化部移動(dòng)互聯(lián)網(wǎng)APP安全漏洞庫(kù)（CAPPVD），連續(xù)兩年獲得國(guó)家工業(yè)信息安全漏洞（CICSVD）優(yōu)秀成員單位等榮譽(yù)。

TOPSEC

作為國(guó)內(nèi)網(wǎng)絡(luò)安全企業(yè)，天融信始終以捍衛(wèi)國(guó)家網(wǎng)絡(luò)空間安全為己任，積極投身網(wǎng)絡(luò)安全建設(shè)。未來(lái)，天融信將繼續(xù)發(fā)揮自身優(yōu)勢(shì)，在漏洞挖掘與分析領(lǐng)域深入研究、持續(xù)跟蹤國(guó)內(nèi)外安全漏洞情況，為客戶(hù)排除安全隱患提供強(qiáng)有力的安全保障，助力國(guó)家數(shù)字化建設(shè)筑牢安全基底。