近年来漏洞爆发具有突发性特点，如Struts框架严重漏洞，OpenSSL心脏出血，但是相关的扫描器未能快速提供插件，本系统支持自定义，离线更新，AP接口等漏洞插件更新，同时二三线提供漏洞检查插件，第一时间对相关资产进行检测，保护资产不受攻击。

基于误报筛选规则库，建立漏洞与资产强关联的误报规则，实现了漏洞误报筛选的自动化，解决了由于手工开展庞大的漏洞扫描数据误报筛选工作带来的耗时长、效率低下、准确性低的问题。

1、情报采集途径：主动采集外界各类途径所提供的漏洞情报信息，加工整理成可管理的漏洞情报;采集工作支持手动添加、自动多数据源采集和公司内部提供的采集数据源。
2、情报通知方式：支持自定义配置采集间隔以及信息通知方式，其中包括页面通知、邮件通知以及短信通知，支持对接4A等公司内部工单系统;支持全局允许或禁止采集。
3、 接口设计：提供标准API数据接口，与其他系统交互传输漏洞情报信息，实现系统互动。

通过系统支撑以资产与漏洞为核心的漏洞管理，将原有离散的漏洞管理工作进行有机结合，并运用趋势化的分析，实现漏洞管理的电子化、系统化、自动化，整体提升漏洞管理的效率和质量实现安全。漏洞全生命周期闭环管理。

项目背景
1、业务系统繁杂：400多个业务系统，资产类型和数量多、漏洞多，用户数量多，导致管理异常复杂；

2、人员众多，追责难：安全管理团队、安全服务外包团队、开发团队缺少协同能力，难以保障资产系统安全高水平；
3、流程管理混乱：安全管理制度和规范难以落地，难以落实到人，管理指标难以体现；

4、漏洞状态难追踪：缺少管理手段对漏洞在不同阶段进行跟踪。缺少对整体应用风险态势的掌握。

解决方案

1、漏洞全周期漏洞管理：在漏洞发现、指派、修复和复测四个阶段，分别建立漏洞管控能力。包括漏洞报告文档、IP地址、应用站点；
2、IT资产数据同步与扩展：IT资产属性为基础，横向扩展漏洞管理属性，形成符合安全风险管理维度的安全资产数据库
3、漏洞工单流转：建立漏洞管理工单机制，协同安全管理人员、开发人员、安全服务人员三类角色对资产漏洞风险进行持续管控；

4、漏洞状态消息通告：通过邮件、站内信等方式，将资产漏洞安全指标与描述信息自动发送至相关责任人。实现所管理的资产漏洞状态消息快速通告。

5、安全指标分析：将内部安全管理制度落地系统，将安全管理指标落实到人。并以系统可视化分析的模式将管理指标进行自动展现。
项目成效

通过对人员、资产、漏洞建立精准关联，实施漏洞全生命周期管理，达到资产漏洞可识别、可定位、可跟踪、可追溯的闭环管理，提高漏洞管理效率；

将员工从大量的人工出报告的工作方式中解放出来，将漏洞数据可视化，标准化，并开通邮件自动派发漏洞处理告警，提供多维度的漏洞展示，将员工从大量的重复性劳动中解放出来，提高工作和协同效率。

项目背景
1、《工业和信息化部国务院国有资产监督管理委员会关于开展基础电信企业网络与信息安全责任考核有关工作的指导意见》明确指出对于基础电信企业涉及经营电信业务的专业公司开展网络与信息安全责任考核工作。

2、《2018年省级基础电信企业网络与信息安全工作考核要点与评分标准》，明确指出电信主管部门每月分别对基础电信企业进行专项远程检测，对重点网络单元现场抽查。

解决方案
1、实现安全漏洞管理合理、规范、严格，提高漏洞自动化管控程度和水平，节省人力资源投入，降低在安全漏洞管理的成本投入;
2、提供安全漏洞管理的整体解决方案，缩短漏洞修复周期和漏洞解决时间，降低或规避安全漏洞对河南移动业务所造成的影响，保障业务安全稳定开展、保障广大用户通信业务的正常使用。
项目成效
缩短漏洞修复周期和漏洞解决时间，减少漏洞修复和加固方面的工作量和成本约80%，极大的减少漏洞暴露时间；
提高漏洞自动化管控程度和水平，节省人力投入，误报漏洞数量下降到5%，降低在安全漏洞管理的成本投入；
实现业务支撑网安全漏洞在“发现阶段-验证阶段-处置阶段-加固阶段”各环节的全生命周期自动化管控、闭环管理。