【需求背景】
XX省地税局。
地税网络是国家金税工程信息化建设极为重要的一部份，XX省地税广域网主要由省局局域网、11个下属市局局域网及各市辖属的县、基层分局局域网络共同组成，它与国家税务总局网络形成了总局、省局、市局、县（区）局、基层分局的分级结构的多层网络。由于其承载了XX省省范围内的所有地税业务系统，一旦发生信息安全事件，将会影响到全省范围的业务正常运转，因此XX省地税用户从省局到各市县分局对信息安全工作一直十分重视。
漏洞管理工作也是其中一项重要内容。但是，由于XX省地税局各地技术力量和水平存在差异、工作制度不十分完善、监管力度有限等原因，各地漏洞管理工作经常达不到局信息中心的要求，由此引起的网络安全事件也层出不穷。为了切实保证漏洞管理工作的有效执行，并响应国家等级保护标准的相关要求，由XX省地税局信息中心牵头，拟在全省范围内建设一套统一的漏洞管理体系，将漏洞管理的要求在全局上下落实，并由省局信息中心对各地进行有效监管。
【解决方案】
天镜脆弱性扫描与管理系统V6.0（以下简称“天镜”）最终帮助XX省地税局在全省的地税广域网中实现了统一的漏洞管理体系，具体方案如下：
1、 分布式分级部署
由于省局和各地市分局的局域网均有防火墙保护，因此在省局和11个地市分局各局域网节点分别部署天镜扫描引擎，实现多扫描引擎的分布式部署，各扫描引擎分别负责扫描各自所在的局域网；在省局设置全局的管理控制中心（总控中心），直接管理总局天镜扫描引擎，各分局节点设置子控制中心，直接管理本地天镜扫描引擎，同时接受总控中心管理（仅需要在各分局防火墙上开放天镜的管理端口），实现分级部署，这样就形成了一个分布式分级部署的统一管理构架，如下图示：

2、 统一漏洞管理
在分布式分级部署的统一管理构架下，全局的漏洞管理拓扑、状态都以图形化方式展现在总控中心上，省局通过总控中心做到了以下工作：
 制定统一的漏洞扫描策略并及时下发各地子控制中心；
 通知各级子控制中心统一启动扫描任务对全网进行扫描；
 及时下发漏洞库升级包和天镜补丁文件；
 在必要的时候，控制地市局的天镜引擎启动扫描任务对其本地网络进行扫描，并自动收集扫描结果。
各地市可根据需要执行独立的扫描任务，将结果汇总到总控中心，若遇到紧急情况，可通过平台及时报告总控中心，总局就能够及时响应，在全网发布安全预警通知，以便其他地市及时采取防范措施，形成对于重大潜在攻击和破坏源的预警体系。
通过这个方案的实施与应用，XX地税局建立了包括漏洞管理平台和漏洞管理制度在内的统一漏洞管理体系，圆满解决了之前漏洞管理难题，效果显著：
 通过定期对全省网络进行统一漏洞检查，发现漏洞及时并及时安排修补工作，保证了漏洞管理工作的有效性，最大限度的降低系统遭受攻击的风险；
 通过统一管理体系，XX省地税局克服了跨地域的管理困难，做到策略下发、漏洞扫描、报表分析、升级维护等工作全省统一，步调一致，全省范围的网络安全状况一目了然，在加强监管力度的同时，提高了工作效率；
 通过定时计划任务和自动升级功能，可以按时自动执行扫描任务和漏洞库升级，无需人工干预，使技术人员从繁重的工作中得到解脱；
 通过全局的扫描结果汇总分析，能够对全网漏洞情况全面了解，为调整相关安全策略提供依据。
难怪作为项目的总策划和负责人，省局信息中心主任以一句简单的话表达了自己的得意之情：“统一管理，好！”
【案例点评】
天镜脆弱性扫描与管理系统V6.0的管理特性在本案中得到了充分展现，对与拥有大型网络的用户来说，分布式分级部署，统一管理的特点给他们的漏洞管理工作带来了质的飞跃，又很贴近了等级保护标准对于漏洞管理的要求，给用户带来了巨大价值：统一的安全管理体系，不仅有利于安全策略的贯彻执行，而且节约了安全管理成本，确保了漏洞管理工作的效率和效果。