分布式架构与集中式架构在数据的完全一致性和安全性比较有哪些优势？

关于安全性的比较，我的理解是首先需要一个全面的安全策略，最佳安全策略：降低安全管理成本，简化安全机制，提高安全监测效率，保证安全机制敏捷性。涉及到很多方面，包括硬件，软件，应用，管理等等，而基础架构即硬件这一块，公路客票系统必然要面对移动互联的压力和规模，其安全性也是一个挑战，据统计只有20%可见安全隐患在移动终端，80%安全隐患隐藏在基础架构层，LinuxONE为公路电子客票云系统提供端到端的安全，提供全层级的安全。大型主机设计之初就是为了提供最高的安全性，所以安全这个特性一直是大型主机的一个优势，其他平台没有，或者需要增加相应的第三方组件才能实现，复杂度和成本都相当高，而且组装式的安全远远不能和把安全贯穿于硬件整体设计的 LinuxONE进行比较。

ResourceAccess Control Facility (RACF）是LinuxONE的安全基石,提供最安全的保护:包括控制所有资源的访问，整合硬件和操作系统，支持加密服务支持数字证书。

也帮助应用程序和数据库安全，而无需修改应用程序:减少安全复杂度和成本开销，集中化安全流程易于管理新的工作负载和基础用户层的增加，满足跟踪审计和合规性要求。

LinuxONE提供商用平台最高级别的安全性:基于策略的一致性用户身份认证, 访问控制, 审计和管理，保护关键数据的高速加密和集中式的密钥管理，企业云和负载整合平台的安全基础，加强符合法规和标准的合规性检查和审计功能，通过早期的应用和网络漏洞的预防，降低运营风险。

LinuxONE安全设计创新： 超过40年历史，不断发展

1970: Hardware Cryptography

1977: DES Encryption Unit

1985: Crypto Operating System

2004: Multilevel  Security (MLS)

2012: RACF Evaluated at EAL5+

2013: EKMF – Enterprise Key Management Foundation

客户调查显示LinuxONE平均受攻击成本明显低于其他分布式平台,只有LinuxONE涵盖安全所涉及各个维度，其他平台要实现同等安全等级需要增加额外的费用。

LinuxONE获得许多权威的安全性认证，包括下面的

TheCommon Criteria program (CC)共同准则是美国、欧盟和加拿大联合研究制订的“信息技术安全共同评价准则”的简称,是对计算机产品安全的评价准则。（LinuxONE获得了EAL5+,商用服务器中最高，相当于军事级别，在美国也被用于军事和国防，这也意味着LinuxONE的设计能够实现不同分区间操作系统的安全隔离，保证运行在一个分区操作系统上的应用不能访问跨分区的不同操作系统实例的应用数据。）

FIPS 140-2是NIST所发布的针对密码模块的安全标准，被世界范围业界所广泛应用。

IBM LinuxONE Crypto的加密特性已经发展了10多年，还在不断提升和创新，能够帮助客户实现更安全的业务交易。

LinuxONE每个处理器都可提供CPACF功能,通过协加密处理器支持主处理器实现最快的加密速度,重新设计的加密协处理器能够支持更高容量的加密需求。 较上一代产品，提高了大块数据的加密性能,提供一组对称的加密函数和哈希函数,明文操作提高加减密性能以帮助实现更好的：SSL ／  VPN   ／存储数据应用,使用最新的CPACF功能将使得下面的功能随着吞吐量的增大而获益：DB2 encryption tool,DB2® built in encryption,DFDSS Volume encryption,Linux on z Systems; kernel, openssl, openCryptoki, GSKIT.

LinuxONE提供基于PCIe的加密卡－Crypto Express5S，先进的高速加密技术; 利用处理器对敏感数据进行的智能加密能够节约成本。支持多种类型，包括PIN码型交易类型,信用卡EMV型交易类型(处理器和PIN码),使用对称密钥，哈希，公开密钥算法的一般意义的加密应用, VISA加密(VFPE), 简化的加密密钥管理等。设计达到FIPS 140-2认证，符合规定要求，适用于PCI标准。

而且LinuxONE也在致力于满足符合中国加密算法的硬件设计.

LinuxONE简化加密管理－TKEworkstation

TKE可以帮助Crypto Express5S进行域分组,模块化克隆。这些功能都大大减少部署时间和带来更高的安全等级。当客户需要管理加密模块时，TKE的安全和简化管理能力提供显著的客户价值。 如果使用TKE, 将更容易管理85个域组。 TKE提供密钥部分的保护和双重控制能力在未定义域组给分区前或者分区不可用时，的TKE能够管理这些域。

IBM zSecure套件 － 综合性安全产品，包括自动化能力，简化安全管理的复杂度，整合各安全功能实现智能化安全。