據(jù)天融信《2022年網(wǎng)絡(luò)空間安全漏洞分析研究報(bào)告》顯示，國家信息安全漏洞共享平臺（CNVD）披露的高危漏洞數(shù)量仍持續(xù)增長。

當(dāng)前，高危漏洞依舊是網(wǎng)絡(luò)安全防護(hù)的最大威脅之一。信息化的快速發(fā)展促使IT環(huán)境日益復(fù)雜，在傳統(tǒng)的漏洞掃描和管理方法基礎(chǔ)上，還需綜合運(yùn)用資產(chǎn)梳理、多維度漏洞檢測能力、漏洞風(fēng)險(xiǎn)優(yōu)先級評估、漏洞自動(dòng)化管理各項(xiàng)能力，才能更全面、更及時(shí)、更高效地完成漏洞檢測發(fā)現(xiàn)及響應(yīng)處置工作。

①資產(chǎn)梳理全面性：數(shù)字化轉(zhuǎn)型浪潮下，云計(jì)算、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)等技術(shù)的發(fā)展使各類資產(chǎn)暴露面不斷擴(kuò)大，高效、全面、準(zhǔn)確完成資產(chǎn)發(fā)現(xiàn)、識別和梳理工作，是進(jìn)一步完成漏洞檢測發(fā)現(xiàn)的基礎(chǔ)和必要條件。

②漏洞檢測能力多維度：隨著數(shù)字技術(shù)的變更，云計(jì)算、物聯(lián)網(wǎng)等多種新興業(yè)務(wù)場景讓漏洞檢測方式更為復(fù)雜，需要將漏洞的概念擴(kuò)展，納入包括系統(tǒng)漏洞、Web漏洞、弱口令、不安全配置、敏感信息泄露、容器鏡像漏洞、API漏洞等多方面。

③漏洞風(fēng)險(xiǎn)優(yōu)先級評估：單一采用CVSS評分標(biāo)準(zhǔn)（通用漏洞評分系統(tǒng)），使超過半數(shù)的漏洞識別為中、高危險(xiǎn)，無法根據(jù)業(yè)務(wù)情況判斷漏洞真實(shí)影響，導(dǎo)致漏洞修復(fù)工作負(fù)荷大，需要建立漏洞修復(fù)優(yōu)先級機(jī)制，及時(shí)確定關(guān)鍵威脅漏洞，提高修復(fù)效率。

④漏洞檢測與響應(yīng)自動(dòng)化程度：通常情況下，漏洞處置工作需要人工導(dǎo)出報(bào)告，再進(jìn)行針對性修補(bǔ)，耗費(fèi)不少人力、物力進(jìn)行溝通和報(bào)告整理，導(dǎo)致漏洞修復(fù)周期長，已無法滿足實(shí)際漏洞管理需要。

天融信緊跟安全技術(shù)發(fā)展，深入研究客戶脆弱性檢測需求，結(jié)合各行業(yè)漏洞管理的成功實(shí)踐，全面優(yōu)化天融信脆弱性掃描與管理系統(tǒng)。新一代漏掃升級動(dòng)態(tài)資產(chǎn)檢測、多引擎融合掃描、動(dòng)態(tài)漏洞評分、漏洞情報(bào)關(guān)聯(lián)、PoC腳本驗(yàn)證、IAST灰盒掃描、漏洞生命周期管理七大能力，構(gòu)建靜態(tài)掃描、動(dòng)態(tài)評估、修復(fù)驗(yàn)證的漏洞閉環(huán)管理體系。

動(dòng)態(tài)資產(chǎn)管理

資產(chǎn)梳理是漏洞管理的基礎(chǔ)。產(chǎn)品支持服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備和終端電腦等傳統(tǒng)的資產(chǎn)識別，同時(shí)支持虛擬化資產(chǎn)、云資產(chǎn)、物聯(lián)網(wǎng)資產(chǎn)等新類型資產(chǎn)的識別，通過資產(chǎn)標(biāo)簽自動(dòng)歸集，為客戶提供全面資產(chǎn)識別和動(dòng)態(tài)梳理分析能力。

全面掃描能力

在原有的系統(tǒng)掃描、Web掃描、數(shù)據(jù)庫掃描、基線檢查、弱口令等掃描能力基礎(chǔ)上，升級鏡像掃描、配置審計(jì)、API掃描等能力，可以高效、全方位地檢測網(wǎng)絡(luò)中的各類脆弱性風(fēng)險(xiǎn)以及配置合規(guī)性狀況，同時(shí)生成風(fēng)險(xiǎn)分析報(bào)告和修補(bǔ)建議，滿足不同客戶的多樣化需求。

聚焦關(guān)鍵風(fēng)險(xiǎn)

結(jié)合威脅情報(bào)、漏洞信息、資產(chǎn)重要性等上下文信息，產(chǎn)品聚焦業(yè)務(wù)關(guān)鍵風(fēng)險(xiǎn)，并能隨著威脅環(huán)境的變化實(shí)時(shí)更新漏洞風(fēng)險(xiǎn)修復(fù)優(yōu)先級，有助于第一時(shí)間識別出最需修復(fù)的漏洞。

漏洞風(fēng)險(xiǎn)預(yù)警

通過漏洞威脅情報(bào)聯(lián)動(dòng)，在當(dāng)新漏洞暴發(fā)后，產(chǎn)品可通過靜態(tài)掃描能力，發(fā)現(xiàn)受新漏洞影響的資產(chǎn)，進(jìn)行資產(chǎn)漏洞預(yù)警，協(xié)助客戶第一時(shí)間對受影響資產(chǎn)進(jìn)行防護(hù)，降低被攻擊利用的可能性。

專項(xiàng)漏洞檢測

內(nèi)置大量漏洞PoC驗(yàn)證腳本。產(chǎn)品通過構(gòu)造真實(shí)可控的請求報(bào)文，對目標(biāo)進(jìn)行無害化漏洞驗(yàn)證，具備誤報(bào)率低、發(fā)包量少、檢測速度快等特點(diǎn)。同時(shí)客戶可依據(jù)業(yè)務(wù)場景編寫符合自身需求的PoC驗(yàn)證腳本，有效提升漏洞檢測水平。

IAST賦能安全左移

提供IAST灰盒掃描功能。產(chǎn)品將漏洞檢測無感融入軟件開發(fā)階段，從軟件內(nèi)部實(shí)時(shí)檢測應(yīng)用漏洞，更快更準(zhǔn)地暴露漏洞，減少應(yīng)用發(fā)布時(shí)的漏洞，提高應(yīng)用安全性，降低客戶安全性風(fēng)險(xiǎn)。

漏洞生命周期管理

從資產(chǎn)梳理、漏洞檢測、風(fēng)險(xiǎn)評估、漏洞修復(fù)、漏洞驗(yàn)證、處置歸檔等方面出發(fā)，產(chǎn)品建立一整套體系化、流程化、持續(xù)化的漏洞管理機(jī)制，實(shí)現(xiàn)漏洞閉環(huán)的集中處置，提高工作效率與漏洞響應(yīng)處置速度。

作為國內(nèi)網(wǎng)絡(luò)安全企業(yè)，天融信始終以捍衛(wèi)國家網(wǎng)絡(luò)空間安全為己任，積極投身網(wǎng)絡(luò)安全建設(shè)，在漏洞挖掘、分析、排查、修復(fù)等方面有豐富的實(shí)戰(zhàn)經(jīng)驗(yàn)與積累。至今，天融信已連續(xù)九年獲得國家信息安全漏洞庫（CNNVD）技術(shù)支撐單位（一級），連續(xù)四屆獲得國家信息安全漏洞共享平臺（CNVD）原創(chuàng)漏洞發(fā)現(xiàn)突出貢獻(xiàn)單位，首批獲得信創(chuàng)政務(wù)產(chǎn)品安全漏洞專業(yè)庫（CITIVD）技術(shù)支撐單位、工業(yè)和信息化部移動(dòng)互聯(lián)網(wǎng)APP安全漏洞庫（CAPPVD），連續(xù)多年榮獲CNVD技術(shù)組成員單位以及CICSVD、CAPPVD、CITIVD等多個(gè)權(quán)威國家平臺技術(shù)支撐單位等榮譽(yù)。

TOPSEC

未來，天融信將持續(xù)深入開展漏洞生態(tài)體系技術(shù)研究，依托豐富的實(shí)踐經(jīng)驗(yàn)與雄厚技術(shù)研發(fā)實(shí)力，為各行業(yè)客戶提供全方位的網(wǎng)絡(luò)安全解決方案，快速提升客戶整體網(wǎng)絡(luò)安全性，為建設(shè)網(wǎng)絡(luò)強(qiáng)國保駕護(hù)航。