从用户键盘到服务器硬盘的全域安全管理,涉及网络通信、密码学、IO、沙箱、权限,保证用户每一步操作安全可控。非对称加密支持经典密钥机、量子密钥机、自定义软硬件密钥设备的接入,能够从根本上实现全网络、全流程的分布式安全管理,满足云边端一体化状态下的通信安全、存储安全、计算安全的业务需要。
这是一个“网络->节点->用户->业务”的四层管理架构。RSA+SHA的安全策略,是系统所有业务的安全基础。在FIXP网络里,要求所有业务都使用RSA加密,所有数据都经过SHA验证。此后,分别是对称加密、资源安全策略、签名管理、用户安全策略、业务安全策略一系列安全管理措施。在这些措施里,RSA是目前安全等级最高的加密手段,SHA是数字签名算法,可以保证网络传输内容的正确性。针对不同的安全需求,系统提供了SHA1、SHA256、SHA512三种签名验证。之后,对大量传输的数据,FIXP网络将启用对称加密。目前对称加密算法除了AES、DES等常用算法外,管理员还可以通过系统提供的API接口,将自己的私有对称加密算法加入其中。资源安全策略则包含了为不同节点和服务设计的安全验证。签名管理判断每个注册用户的合法性。用户安全策略通过规范化的API接口,赋与用户自定义安全规则的能力,方便用户自由定义、调整自己的私有数据业务,这有助于强化数据处理过程中的用户数据安全。业务安全策略配合用户安全策略,保证每一项数据业务全程处于系统监管状态下。
上述安全管理措施非常繁多,但都是围绕着两个目标进行:防窃取和防篡改。考虑到安全管理对数据处理业务的影响(频繁的RSA计算对CPU的占比非常高),在系统的某些层面,安全管理被设置为可选项,决定权交给集群管理者和用户自己处理。例如在内网通信中,由于内网的安全保障度比较高,并且内网的数据传输量又非常巨大,主要的网络计算工作都在内网中进行。所以在这种情况下,为了给数据处理是腾出基础资源,提高处理效率,可以酌情选择省略掉部分安全管理。