在改善民生的道路上，部機(jī)關(guān)對(duì)網(wǎng)絡(luò)威脅零容忍，確保了信息系的高效、穩(wěn)定運(yùn)行。

　　截至去年10月底，在通過運(yùn)政基礎(chǔ)數(shù)據(jù)清理出的78萬輛“兩客一?！避囕v中，接入聯(lián)網(wǎng)聯(lián)控系統(tǒng)的車輛達(dá)到58萬輛，入網(wǎng)率達(dá)到74%，入網(wǎng)車輛上線率達(dá)到80%，而到今年年中，“兩客一?！避囕v將全部入網(wǎng)上線。

　　重點(diǎn)營運(yùn)車輛聯(lián)網(wǎng)聯(lián)控系統(tǒng)只是交通運(yùn)輸部近年來建設(shè)的重要信息系統(tǒng)的其中之一，與之同樣重要的還有道路運(yùn)輸管理與信息服務(wù)系統(tǒng)、公路水路建設(shè)質(zhì)量與安全監(jiān)督系統(tǒng)等。信息系統(tǒng)的不斷增多使交通部信息系統(tǒng)由相對(duì)的封閉和低風(fēng)險(xiǎn)，逐漸轉(zhuǎn)變?yōu)楦娱_放和高風(fēng)險(xiǎn)。并且，數(shù)據(jù)大集中模式在交通的推廣，又對(duì)交通行業(yè)的安全提出了更高的要求。如何提升系統(tǒng)的安全性來應(yīng)對(duì)新業(yè)務(wù)的需求是交通運(yùn)輸部面臨的重大難題?！拔覀冃枰匦略u(píng)估系統(tǒng)的安全性，并且能夠確保各個(gè)平臺(tái)能夠安全穩(wěn)定的運(yùn)行?！苯煌ㄟ\(yùn)輸部信息中心負(fù)責(zé)人說。

　　服務(wù)民生從保障平臺(tái)穩(wěn)定開始

　　“交通運(yùn)輸部機(jī)關(guān)在公眾服務(wù)與行業(yè)管理等方面一直都探索，近幾年建立了一批交通運(yùn)輸行業(yè)重要信息系統(tǒng)，基本形成了以政務(wù)外網(wǎng)、行業(yè)專網(wǎng)為架構(gòu)的服務(wù)網(wǎng)絡(luò)，這對(duì)我們的網(wǎng)絡(luò)安全工作提出了更高的要求?！痹撠?fù)責(zé)人說，“一方面是因?yàn)橄到y(tǒng)增多，需要保障的范圍擴(kuò)大，另外更重要的原因是許多系統(tǒng)需要通過互聯(lián)網(wǎng)進(jìn)行信息交互，相對(duì)過去封閉的系統(tǒng)現(xiàn)在越來越開放，這進(jìn)一步增加了安全的難度?！?/p>

　　正是因?yàn)橐庾R(shí)到信息安全的重要性，交通運(yùn)輸部立項(xiàng)開展部機(jī)關(guān)電子政務(wù)信息安全等級(jí)保護(hù)體系建設(shè)，完善相關(guān)保護(hù)措施。根據(jù)國家信息系統(tǒng)安全等級(jí)保護(hù)及《公路水路交通運(yùn)輸信息化“十二五”發(fā)展規(guī)劃》相關(guān)要求進(jìn)行部署，提高信息安全防護(hù)水平，保障部機(jī)關(guān)非涉密重要信息系統(tǒng)安全穩(wěn)定運(yùn)行，促進(jìn)交通運(yùn)輸行業(yè)信息化科學(xué)健康有序發(fā)展。

　　在這次安全升級(jí)中，專家發(fā)現(xiàn)交通運(yùn)輸部系統(tǒng)主要面臨來自三方面的挑戰(zhàn)：系統(tǒng)對(duì)對(duì)病毒木馬等惡意程序免疫能力、系統(tǒng)底層安全建設(shè)以及安全審計(jì)系統(tǒng)都比較缺乏。

　　目前，互聯(lián)網(wǎng)中病毒和木馬的數(shù)量以幾何級(jí)數(shù)增長，傳統(tǒng)殺毒軟件“特征庫”的查殺方式，已很難跟上病毒增長的速度，很多病毒已經(jīng)深入到系統(tǒng)內(nèi)核層。交通部信息系統(tǒng)中很多子系統(tǒng)都是自有的專網(wǎng)，雖然這種網(wǎng)絡(luò)結(jié)構(gòu)可以一定程度上避免外部病毒的進(jìn)入，然而相應(yīng)也會(huì)產(chǎn)生操作系統(tǒng)、殺毒軟件等安全產(chǎn)品無法及時(shí)更新的情況，從而導(dǎo)致整個(gè)系統(tǒng)對(duì)病毒的查殺效率極低。一旦病毒通過業(yè)務(wù)數(shù)據(jù)流、移動(dòng)存儲(chǔ)介質(zhì)等手段進(jìn)入某交通信息系統(tǒng)，勢(shì)必對(duì)系統(tǒng)安全造成不可彌補(bǔ)的后果。

　　交通運(yùn)輸部信息系統(tǒng)中有一部分使用Windows操作系統(tǒng)。這個(gè)操作系統(tǒng)使用自主訪問控制模型，缺乏對(duì)訪問主客體的安全標(biāo)記和控制策略，無法限制系統(tǒng)管理員行為，不能防止員工的惡意行為或誤操作，自身安全性不足。

　　此外，隨著新業(yè)務(wù)系統(tǒng)的不斷建立，交通部的信息系統(tǒng)服務(wù)器數(shù)量增多，部門人員崗位復(fù)雜。信息系統(tǒng)中缺乏一套有效的安全審計(jì)系統(tǒng)，來監(jiān)控和規(guī)范操作人員對(duì)服務(wù)器的行為。

　　“我們研究了目前市場(chǎng)上的所有技術(shù)和產(chǎn)品，最后發(fā)現(xiàn)浪潮的主機(jī)加固系統(tǒng)能夠幫助我們化解危機(jī)，解決目前遇到的所有問題?！痹撠?fù)責(zé)人表示。

　　從主機(jī)加固入手提升系統(tǒng)安全

　　浪潮SSR之所以成為交通運(yùn)輸部的最終選擇，是因?yàn)檫@套系統(tǒng)能夠滿足交通部對(duì)于主機(jī)安全要求所具備的身份鑒別、訪問控制、安全審計(jì)等功能。

　　具體而言，SSR的強(qiáng)制訪問控制功能保證了文件、進(jìn)程、服務(wù)的保密性、完整性、可用性，使重要文件、進(jìn)程、服務(wù)等得到充分的保護(hù)。同時(shí)該功能也保證了權(quán)限最小化、降低用戶權(quán)限擴(kuò)散的風(fēng)險(xiǎn)、避免惡意提權(quán)的發(fā)生。SSR的審計(jì)功能將操作發(fā)起的主體、響應(yīng)操作的客體、操作發(fā)起的時(shí)間、操作行為的成功與失敗，都詳細(xì)記錄下來并做分類，方便追蹤事件源頭，審計(jì)員查閱日志。

　　與交通運(yùn)輸部部署在邊界的安全產(chǎn)品不同，浪潮SSR不需要依賴病毒行為特征庫來識(shí)別攻擊，而是采用白名單防護(hù)技術(shù)。這就把事后“修補(bǔ)”變?yōu)榱藦氐住懊庖摺?，從而進(jìn)一步保證了系統(tǒng)的安全運(yùn)行。

　　安全系統(tǒng)為交通運(yùn)輸加油

　　“在部署了浪潮SSR之后，我們系統(tǒng)的安全性得到了有效提升。SSR幫助我們實(shí)現(xiàn)了對(duì)信息系統(tǒng)的縱深防御，有效的彌補(bǔ)了安全體系中系統(tǒng)層防護(hù)缺失的問題?！痹撠?fù)責(zé)人表示。

部署示意圖

　　針對(duì)交通運(yùn)輸部信息系統(tǒng)中出現(xiàn)的問題，浪潮SSR從技術(shù)上一一攻破。

　　對(duì)于底層安全不足的問題，SSR通過在驅(qū)動(dòng)層加上安全內(nèi)核模塊，SSR攔截了所有的內(nèi)核訪問路徑，所有符合交通運(yùn)輸部規(guī)則的文件、注冊(cè)表(Windows)、進(jìn)程、服務(wù)、權(quán)限都予以“放行”，不符合規(guī)則的就進(jìn)行屏蔽。這樣做的效果與重構(gòu)操作系統(tǒng)原代碼技術(shù)類似，而好處是不會(huì)影響用戶的業(yè)務(wù)連續(xù)性，甚至不需要重啟系統(tǒng)，但是這樣做從根本上解決了惡意程序免疫能力低下的問題。

　　對(duì)審計(jì)系統(tǒng)的問題，SSR通過對(duì)系統(tǒng)管理員的權(quán)限進(jìn)行分散，設(shè)置訪問控制規(guī)則，約束信息中心管理員行為，達(dá)到從根本上保障系統(tǒng)安全的目的。

　　“習(xí)總書記說，在服務(wù)民生的道路上，各級(jí)干部也是蠻拼的。在保障民生方面，我們交通運(yùn)輸部其實(shí)也是蠻拼的，不僅建設(shè)了多套信息系統(tǒng)為民生服務(wù)，而且通過對(duì)網(wǎng)絡(luò)威脅零容忍的態(tài)度確保了系統(tǒng)安全?！痹撠?fù)責(zé)人說，“浪潮SSR是幫助我們實(shí)現(xiàn)零容忍的‘利器’，讓我們這套大系統(tǒng)得到了更好的安全保護(hù)，能夠更加安全穩(wěn)定的運(yùn)行，為服務(wù)民生盡力?！?