对网络威胁零容忍 交通运输部全力推进民生发展

在改善民生的道路上，部机关对网络威胁零容忍，确保了信息系的高效、稳定运行。

截至去年10月底，在通过运政基础数据清理出的78万辆“两客一危”车辆中，接入联网联控系统的车辆达到58万辆，入网率达到74%，入网车辆上线率达到80%，而到今年年中，“两客一危”车辆将全部入网上线。

重点营运车辆联网联控系统只是交通运输部近年来建设的重要信息系统的其中之一，与之同样重要的还有道路运输管理与信息服务系统、公路水路建设质量与安全监督系统等。信息系统的不断增多使交通部信息系统由相对的封闭和低风险，逐渐转变为更加开放和高风险。并且，数据大集中模式在交通的推广，又对交通行业的安全提出了更高的要求。如何提升系统的安全性来应对新业务的需求是交通运输部面临的重大难题。“我们需要重新评估系统的安全性，并且能够确保各个平台能够安全稳定的运行。”交通运输部信息中心负责人说。

服务民生从保障平台稳定开始

“交通运输部机关在公众服务与行业管理等方面一直都探索，近几年建立了一批交通运输行业重要信息系统，基本形成了以政务外网、行业专网为架构的服务网络，这对我们的网络安全工作提出了更高的要求。”该负责人说，“一方面是因为系统增多，需要保障的范围扩大，另外更重要的原因是许多系统需要通过互联网进行信息交互，相对过去封闭的系统现在越来越开放，这进一步增加了安全的难度。”

正是因为意识到信息安全的重要性，交通运输部立项开展部机关电子政务信息安全等级保护体系建设，完善相关保护措施。根据国家信息系统安全等级保护及《公路水路交通运输信息化“十二五”发展规划》相关要求进行部署，提高信息安全防护水平，保障部机关非涉密重要信息系统安全稳定运行，促进交通运输行业信息化科学健康有序发展。

在这次安全升级中，专家发现交通运输部系统主要面临来自三方面的挑战：系统对对病毒木马等恶意程序免疫能力、系统底层安全建设以及安全审计系统都比较缺乏。

目前，互联网中病毒和木马的数量以几何级数增长，传统杀毒软件“特征库”的查杀方式，已很难跟上病毒增长的速度，很多病毒已经深入到系统内核层。交通部信息系统中很多子系统都是自有的专网，虽然这种网络结构可以一定程度上避免外部病毒的进入，然而相应也会产生操作系统、杀毒软件等安全产品无法及时更新的情况，从而导致整个系统对病毒的查杀效率极低。一旦病毒通过业务数据流、移动存储介质等手段进入某交通信息系统，势必对系统安全造成不可弥补的后果。

交通运输部信息系统中有一部分使用Windows操作系统。这个操作系统使用自主访问控制模型，缺乏对访问主客体的安全标记和控制策略，无法限制系统管理员行为，不能防止员工的恶意行为或误操作，自身安全性不足。

此外，随着新业务系统的不断建立，交通部的信息系统服务器数量增多，部门人员岗位复杂。信息系统中缺乏一套有效的安全审计系统，来监控和规范操作人员对服务器的行为。

“我们研究了目前市场上的所有技术和产品，最后发现浪潮的主机加固系统能够帮助我们化解危机，解决目前遇到的所有问题。”该负责人表示。

从主机加固入手提升系统安全

浪潮SSR之所以成为交通运输部的最终选择，是因为这套系统能够满足交通部对于主机安全要求所具备的身份鉴别、访问控制、安全审计等功能。

具体而言，SSR的强制访问控制功能保证了文件、进程、服务的保密性、完整性、可用性，使重要文件、进程、服务等得到充分的保护。同时该功能也保证了权限最小化、降低用户权限扩散的风险、避免恶意提权的发生。SSR的审计功能将操作发起的主体、响应操作的客体、操作发起的时间、操作行为的成功与失败，都详细记录下来并做分类，方便追踪事件源头，审计员查阅日志。

与交通运输部部署在边界的安全产品不同，浪潮SSR不需要依赖病毒行为特征库来识别攻击，而是采用白名单防护技术。这就把事后“修补”变为了彻底“免疫”，从而进一步保证了系统的安全运行。

安全系统为交通运输加油

“在部署了浪潮SSR之后，我们系统的安全性得到了有效提升。SSR帮助我们实现了对信息系统的纵深防御，有效的弥补了安全体系中系统层防护缺失的问题。”该负责人表示。

部署示意图

针对交通运输部信息系统中出现的问题，浪潮SSR从技术上一一攻破。

对于底层安全不足的问题，SSR通过在驱动层加上安全内核模块，SSR拦截了所有的内核访问路径，所有符合交通运输部规则的文件、注册表（Windows）、进程、服务、权限都予以“放行”，不符合规则的就进行屏蔽。这样做的效果与重构操作系统原代码技术类似，而好处是不会影响用户的业务连续性，甚至不需要重启系统，但是这样做从根本上解决了恶意程序免疫能力低下的问题。

对审计系统的问题，SSR通过对系统管理员的权限进行分散，设置访问控制规则，约束信息中心管理员行为，达到从根本上保障系统安全的目的。

“习总书记说，在服务民生的道路上，各级干部也是蛮拼的。在保障民生方面，我们交通运输部其实也是蛮拼的，不仅建设了多套信息系统为民生服务，而且通过对网络威胁零容忍的态度确保了系统安全。”该负责人说，“浪潮SSR是帮助我们实现零容忍的‘利器’，让我们这套大系统得到了更好的安全保护，能够更加安全稳定的运行，为服务民生尽力。”