近日，Spring爆出RCE高危漏洞，編號CNVD-2022-23942，已有多家企業因此遭受攻擊。安全漏洞隱患不可一日不防，以規范化漏洞管理作為安全防護抓手顯得愈來愈重要。

2021年9月，《網絡產品安全漏洞管理規定》（以下簡稱《規定》）正式施行。《規定》旨在規范和指導網絡產品提供者、網絡運營者等主體單位對網絡產品安全漏洞的管理工作。同時，《規定》中明確指出要以網絡產品為主視角建立漏洞接收、驗證、修補、報送的管理制度，實現對上下游整個供應鏈網絡產品安全漏洞的規范化管理，因此主體單位建立規范化漏洞管理機制勢在必行。

天融信提供脆弱性合規管理方案，以安全漏洞全生命周期管理為核心理念，從網絡產品安全漏洞的識別、確認、修復、復查等全流程建立技術支撐手段，快速發現和處置網絡產品安全漏洞，形成常態化、規范化漏洞管理機制。與此同時，貼合《規定》的漏洞管理要求，從漏洞接收、漏洞驗證、漏洞修補、漏洞報送4個維度出發，為客戶提供成熟全面的漏洞管理方案。

漏洞接收

《規定》要求

應當建立健全網絡產品安全漏洞信息接收渠道并保持暢通，留存漏洞信息接收日志不少于6個月。

應對辦法

系統可納管多類漏掃系統，通過制定漏洞檢測規則，有效發現接收網絡產品安全漏洞，同時天融信漏洞共享中心可接收各節點上報的漏洞信息形成情報共享互聯，并且系統可以自定義存儲釋放時間，響應各類合規要求。

漏洞驗證

《規定》要求

應當立即采取措施并組織對安全漏洞進行驗證評估。

應對辦法

內置豐富的漏洞庫，并配合天融信云端漏洞情報中心及第三方情報中心獲取最新漏洞情報，對網絡資產漏洞的存在性、等級、類別等進行技術驗證，結合天融信安服專家團隊人工研判，從而實現安全漏洞驗證評估工作的快速響應 。

漏洞修補

《規定》要求

應當及時組織對漏洞進行修補，將漏洞風險及修補方式告知可能受影響的產品用戶，并提供必要的技術支持。

應對辦法

對已研判確認的產品漏洞的嚴重程度，受影響范圍等因素進行全方位評估，提供專業的漏洞修復方案及處置辦法。內置流程化處置機制，可針對不同規模的安全團隊實現高效的流程作業。

漏洞報送

《規定》要求

應當在2日內向工業和信息化部網絡安全威脅和漏洞信息共享平臺報送相關漏洞信息。

應對辦法

積極響應《規定》要求，向上開放報送接口，對接工信部漏洞信息共享平臺，實現對安全漏洞信息的收集和上報。

天融信脆弱性合規管理方案以整合提升企業現有漏洞管理能力為目標，引入天融信脆弱性合規管理系統，驅動多類系統漏掃、Web漏掃、基線檢查等漏洞發現工具，對接天融信云端情報中心，全面識別網絡資產并進行漏洞檢測發現。在此基礎上，優化漏洞處置流程協作業務管理員、安全管理員和安服人員進行漏洞處置，同時系統提供報送接口實現與工信部平臺的對接上報。

面對企業日常運維作業

天融信脆弱性合規管理方案

針對不同場景

幫助客戶建立規范化漏洞流程管理

新資產上線漏洞掃描

新資產上線前通常是系統漏洞缺陷存在最多的時機，需要對其進行全面檢查，盡可能在上線前發現并修復漏洞。天融信脆弱性合規管理方案進一步完善新資產上線漏洞掃描流程，同時驅動多種類型掃描工具，整合各種漏洞檢查能力進行綜合發現。

定期資產脆弱性檢查

天融信脆弱性合規管理方案可執行周期性檢查策略，驅動掃描工具進行定期漏洞檢查，實現自動化漏洞掃描、分析報告、告警通知、態勢展示，降低定期資產脆弱性檢查流程中人力投入，加強檢查過程自動化。

重大漏洞的應急處置

當出現重大安全漏洞時，天融信脆弱性合規管理方案在云端第一時間推送漏洞情報信息到網絡運營單位本地脆弱性合規管理系統，提供受影響資產特征、修復加固方案，幫助客戶在重大漏洞應急處置流程中快速識別受影響資產范圍，縮短應急響應時間。

TOPSEC

天融信目前已陸續推出了主動防御、智能分析、集中管控、追蹤溯源、攻防演練等多套安全運營業務場景方案，真正做到從客戶痛點入手，形成業內場景最全面的方案組合套件。未來，天融信將持續緊貼政策要求，覆蓋漏洞治理的全流程、多角度，有力保障網絡產品安全性，完善網絡安全運營工作中的漏洞治理能力，實現更加全面的安全運營。