【需求背景】
XX电信运营商。
作为国内通信行业的领导企业，在信息安全建设方面，XX电信运营商（以下简称“集团”）一直走在同行业前列，由专门成立的集成公司负责其信息系统的安全建设与运维。集团根据业务需求，参考相关法案，确立了漏洞管理的总体目标。集成公司参照集团的目标，也将漏洞管理工作作为一项基本工作，准备引入漏洞管理工具来具体落实。同时，为了促使目标能够顺利实现，集团期望能够利用一些具体指标来衡量漏洞管理工作，一方面，可以对集成公司各省的漏洞管理工作进行评价和横向比较，另一方面，也也可以此指标体系确立漏洞管理的具体目标。
【解决方案】
针对集团公司的需求，启明星辰制定了如下针对性的解决方案：
首先，配合集成公司，使用天镜脆弱性扫描与管理系统V6.0（以下简称“天镜”）在集团内网部署了统一的漏洞管理体系，各省根据要求定期执行扫描，修补漏洞，使得基本的漏洞管理工作得到落实；
其次，在各省扫描的基础上，提取漏洞率以及脆弱性风险量化值，作为对前一阶段漏洞管理工作衡量结果，上报集成公司总部形成报告。集成公司根据每个省历次扫描的指标，进行纵向对比，根据指标的变化情况，马上就可以得知该省的漏洞管理工作进步还是退步，幅度有大；再者，通过各省之间的横向对比，也能清晰的了解到，在上一阶段漏洞管理工作中，哪个省的工作做得最好，哪个省的工作做得不好。漏洞率指标从脆弱性本身来衡量漏洞管理工作，而脆弱性风险量化值则上升到风险层次，衡量漏洞管理工作对于脆弱性风险控制的结果，这两个指标的设置，都弱化了不同网络规模对指标数值的影响因素，才使得各省之间指标的横向比较既有意义，又不失公平。
最后，集团参考集成公司提交结果报告，根据指标历史达成情况，确定了合理的达标体系，规定了阶段性的指标要求，为实现理想的漏洞管理目标，规划了切实可行的行动步骤。
通过以上方案，一方面，集成公司不仅通过天镜建立了统一的漏洞管理体系，将漏洞管理工作落到实处；另一方面，集团借助天镜的扫描结果，也建立了衡量漏洞管理工作的主要指标，使得集成公司的漏洞管理工作可评价，同时明确了漏洞管理的具体目标，达到相关法案和内控的要求。
【案例点评】
从此案例可以看出，天镜的扫描结果价值不仅仅在于它能够帮助管理员完成漏洞修复工作，而且在于它能够是对网络脆弱性的清晰展现，使得漏洞状况、脆弱性风险、漏洞管理工作成果这些抽象的安全概念可描述，可评价，可比较，也使的漏洞管理工作和脆弱性风险管理工作有了具体目标。