铁路信息系统安全管理中心的设计

CA认证平台负责建设铁路信息系统的统一身份认证，为构建铁路信息系统信任体系奠定基础，提高应用系统安全保障和防护能力。其中.CA认证平台下设数字证书签发服务平台、数字证书应用支撑平台和数字证书综合监管平台。

安全管理平台对铁路信息安全系统进行统一、集中的监管，保障系统运行安全，监控和保护信息处理过程的安全。其中，安全管理平台下设核心系统安全管理平台和通用系统安全管理平台，核心系统安全管理平台与铁路已建核心系统的安全管理平台实现接口互联；通用系统安全管理平台实现与核心系统以外未建设安全管理平台的其他信息系统的通信网络子系统、区域边界子系统和计算环境子系统之间的互联互通及设备联动，进行统一标准化管理。

4.2安全管理中心网络结构

安全管理中心网络覆盖全路各级信息系统广域网和局域网，安全管理中心下设的安全管理平台和CA认证平台部署于铁道部和铁路局两级，在铁道部和铁路局之间、铁路局与基层站段间部署网络汇接点。网络结构如图2所示。

铁道部安全管理平台和CA认证平台位于铁道部安全生产网内，通过局域阿与铁道部生产网内核心及通用业务系统相连，通过骨干网传输通道和基层网传输通道与各铁路局和大型基层站段安全系统相连。

铁路局安全管理平台和CA认证平台位于铁路局安全生产网内，通过局域网与铁路局生产网内核心及其他业务系统相连，通过骨干网传输通道与铁道部安全系绕相连，通过骨干网和基层网传输通道与各车站安全系统相连。

5安全管理平台的设计

安全管理平台是铁路信息系统安全保护环境建设必要的组成部分，为铁道部及各铁路局提供对所辖区域整个安全体系的监管，在计算机网络应用体系与各类安全技术、安全产品、安全防御措施等安全手段之间搭建桥梁，使各类安全手段与现有的计算机网络应用体系紧密结合，实现无缝连接。铁路信息系统安全管理平台框架见图3。

5.1数据信息采集及控制模块

提供安全设备的标准接口和信息交换，支持安全设备间的互通互联，对安全设备采集的数据进行整理并存放到数据信息库中，协调和调度自身的运行，并提供系统管理员进行监管操作的服务。

5.2数据信息库

主要用于保存采集到的设备状态及安全事件信息，并进行简单的整理和归类，为管理员提供信息，并为分析和决策模块提供基础数据。

5.3智能分析和决策模块

将数据信息库中的数据通过数据挖掘和关联技术，从中提炼出有规律性的可用信息，为整个应用系统的安全有效运行提供技术保障和决策支持。同时采取安全联防策略，使整个网络安全设备能有效联动，并提供报警管理、审计管理和报表管理。

5.4配置与响应管理模块

管理员进行安全管理平台的配置管理，通过制定相应的系统安全策略，采用基于权限控制的集中式管理和区域自治管理模式，实现铁路信息系统各类安全设备之间的互动和联动，同时监管其工作状态，根据响应措施进行综合处理。提供策略管理、权限管理和系统管理。

6CA认证平台的设计

CA认证平台通过身份认证、访问控制、权限管理等技术措施，有效解决应用系统的身份认证相关问题，使之具备高强度的身份认证和责任认定机制，从而保证数据中心数据完整性、保密性和行为的不可否认性，为应用系统的权限管理和单点登录提供支撑平台和服务。

数字证书签发服务平台为铁路信息系统的数字证书用户发放认证证书，实现数字证书的签发、更新、作废等生命周期的管理；数字证书应用支撑平台为铁路行业各种业务应用系统提供基于数字证书应用的安全支撑服务，包括数字签名、身份认证、通信保密、时间戳等；数字证书综合监管平台可统计、显示数字证书的发放和使用情况，并对数字证书的发放和使用情况进行安全审计。

其中，数字证书签发服务平台是铁路CA认证平台的关键业务部分，主要由CA管理中心、注册机构（RA）管理中心、密钥（KM）管理中心和交叉认证中心4部分组成（见图4）。