在改善民生的道路上，部機關對網路威脅零容忍，確保了資訊係的高效、穩定運作。

　　截至去年10月底，在通過運政基礎數據清理出的78萬輛“兩客一危”車輛中，接入聯網聯控系統的車輛達到58萬輛，入網率達到74%，入網車輛上線率達到80%，而到今年年中，“兩客一危”車輛將全部入網上線。

　　重點營運車輛聯網聯控系統只是交通運輸部近年來建設的重要資訊系統的其中之一，與之同樣重要的還有道路運輸管理與資訊服務系統、公路水路建設品質與安全監督系統等。資訊系統的不斷增多使交通部資訊系統由相對的封閉和低風險，逐漸轉變為更加開放和高風險。並且，數據大集中模式在交通的推廣，又對交通行業的安全提出了更高的要求。如何提升系統的安全性來應對新業務的需求是交通運輸部面臨的重大難題。“我們需要重新評估系統的安全性，並且能夠確保各個平臺能夠安全穩定的運作。”交通運輸部資訊中心負責人説。

　　服務民生從保障平臺穩定開始

　　“交通運輸部機關在公眾服務與行業管理等方面一直都探索，近幾年建立了一批交通運輸行業重要資訊系統，基本形成了以政務外網、行業專網為架構的服務網路，這對我們的網路安全工作提出了更高的要求。”該負責人説，“一方面是因為系統增多，需要保障的範圍擴大，另外更重要的原因是許多系統需要通過網際網路進行資訊交互，相對過去封閉的系統現在越來越開放，這進一步增加了安全的難度。”

　　正是因為意識到資訊安全的重要性，交通運輸部立項開展部機關電子政務資訊安全等級保護體系建設，完善相關保護措施。根據國家資訊系統安全等級保護及《公路水路交通運輸資訊化“十二五”發展規劃》相關要求進行部署，提高資訊安全防護水準，保障部機關非涉密重要資訊系統安全穩定運作，促進交通運輸行業資訊化科學健康有序發展。

　　在這次安全升級中，專家發現交通運輸部系統主要面臨來自三方面的挑戰：系統對對病毒木馬等惡意程式免疫能力、系統底層安全建設以及安全審計系統都比較缺乏。

　　目前，網際網路中病毒和木馬的數量以幾何級數增長，傳統殺毒軟體“特徵庫”的查殺方式，已很難跟上病毒增長的速度，很多病毒已經深入到系統內核層。交通部資訊系統中很多子系統都是自有的專網，雖然這種網路結構可以一定程度上避免外部病毒的進入，然而相應也會産生作業系統、殺毒軟體等安全産品無法及時更新的情況，從而導致整個系統對病毒的查殺效率極低。一旦病毒通過業務數據流、移動存儲介質等手段進入某交通資訊系統，勢必對系統安全造成不可彌補的後果。

　　交通運輸部資訊系統中有一部分使用Windows作業系統。這個作業系統使用自主訪問控制模型，缺乏對訪問主客體的安全標記和控制策略，無法限制系統管理員行為，不能防止員工的惡意行為或誤操作，自身安全性不足。

　　此外，隨著新業務系統的不斷建立，交通部的資訊系統伺服器數量增多，部門人員崗位複雜。資訊系統中缺乏一套有效的安全審計系統，來監控和規範操作人員對伺服器的行為。

　　“我們研究了目前市場上的所有技術和産品，最後發現浪潮的主機加固系統能夠幫助我們化解危機，解決目前遇到的所有問題。”該負責人表示。

　　從主機加固入手提升系統安全

　　浪潮SSR之所以成為交通運輸部的最終選擇，是因為這套系統能夠滿足交通部對於主機安全要求所具備的身份鑒別、訪問控制、安全審計等功能。

　　具體而言，SSR的強制訪問控制功能保證了文件、進程、服務的保密性、完整性、可用性，使重要文件、進程、服務等得到充分的保護。同時該功能也保證了許可權最小化、降低用戶許可權擴散的風險、避免惡意提權的發生。SSR的審計功能將操作發起的主體、響應操作的客體、操作發起的時間、操作行為的成功與失敗，都詳細記錄下來並做分類，方便追蹤事件源頭，審計員查閱日誌。

　　與交通運輸部部署在邊界的安全産品不同，浪潮SSR不需要依賴病毒行為特徵庫來識別攻擊，而是採用白名單防護技術。這就把事後“修補”變為了徹底“免疫”，從而進一步保證了系統的安全運作。

　　安全系統為交通運輸加油

　　“在部署了浪潮SSR之後，我們系統的安全性得到了有效提升。SSR幫助我們實現了對資訊系統的縱深防禦，有效的彌補了安全體系中系統層防護缺失的問題。”該負責人表示。

部署示意圖

　　針對交通運輸部資訊系統中出現的問題，浪潮SSR從技術上一一攻破。

　　對於底層安全不足的問題，SSR通過在驅動層加上安全內核模組，SSR攔截了所有的內核訪問路徑，所有符合交通運輸部規則的文件、註冊表(Windows)、進程、服務、許可權都予以“放行”，不符合規則的就進行遮罩。這樣做的效果與重構作業系統原代碼技術類似，而好處是不會影響用戶的業務連續性，甚至不需要重啟系統，但是這樣做從根本上解決了惡意程式免疫能力低下的問題。

　　對審計系統的問題，SSR通過對系統管理員的許可權進行分散，設置訪問控制規則，約束資訊中心管理員行為，達到從根本上保障系統安全的目的。

　　“習總書記説，在服務民生的道路上，各級幹部也是蠻拼的。在保障民生方面，我們交通運輸部其實也是蠻拼的，不僅建設了多套資訊系統為民生服務，而且通過對網路威脅零容忍的態度確保了系統安全。”該負責人説，“浪潮SSR是幫助我們實現零容忍的‘利器’，讓我們這套大系統得到了更好的安全保護，能夠更加安全穩定的運作，為服務民生盡力。”