【文章內(nèi)容簡介】 介質(zhì)支架4 個薄的熱插拔介質(zhì)支架8 個薄的熱插拔介質(zhì)支架適配器槽（PCI－X）：6 個可任意交換的熱插拔：12 個可任意交換的熱插拔：24 個可任意交換的熱插拔：5 個長的 64 位 133MHZ 10 個長的 64 位 133MHZ 20 個長的 64 位 133MHZ 1 個短的 64 位 133MHZ 2 個短的 64 位 133MHZ 4 個短的 64 位 133MHZ I/O 適配器：2 個 10/100/1000 以太網(wǎng)；2 個 Ultra320 SCSI 4 個 10/100/1000 以太網(wǎng)；4 個 Ultra320 SCSI 8 個 10/100/1000 以太網(wǎng)；8 個 Ultra320 SCSI 端口（最多）：3 個 USB 端口，3 個串行端口，2 個 HMC 端口6 個 USB 端口，6 個串行端口，2 個 HMC 端口12 個 USB 端口，12 個串行端口，2 個 HMC 端口I/O 擴展：最多可達 8 個遠程 I/O 擴展抽屜（7311D11 和 7311D20 的組合）最多可達 12 個遠程 I/O 擴展抽屜（7311D11 和 7311D20 的組合）最多可達 20 個遠程 I/O 擴展抽屜（7311D11 和 7311D20 的組合）連接支持：2Gb 光纖通道 － 12；萬兆以太網(wǎng) － 82Gb 光纖通道 － 24；萬兆以太網(wǎng) － 162Gb 光纖通道 － 96；萬兆以太網(wǎng) － 32邏輯分區(qū)支持動態(tài) LPARIBM Virtualization Engine 系統(tǒng)技術(shù)（可選）： 微分區(qū)（每個處理器的 LPAR 最多可達 10）微分區(qū)（每個處理器的 LPAR 最多可達 80）微分區(qū)（每個處理器的 LPAR 最多可達 160）虛擬 LAN（內(nèi)存到內(nèi)存的分區(qū)間通信）虛擬 LAN虛擬 LAN虛擬 I/O（共享的內(nèi)部 SCSI 磁盤；共享的 FC 適配器；共享的 GB 以太網(wǎng)適配器）虛擬 I/O虛擬 I/OCapacity on Demand 功能部件（可選）：處理器 CUoDNA處理器 CUoD內(nèi)存 CUoD1NA內(nèi)存 CUoD1預(yù)留的 CoD NA預(yù)留的 CoD 開/關(guān)處理器 CoDNA開/關(guān)處理器 CoD開/關(guān)內(nèi)存 CoD1NA開/關(guān)內(nèi)存 CoD1試用 CoDNA試用 CoDRAS 功能部件：銅和絕緣體硅（SOI）微處理器動態(tài)固件更新IBM Chipkill? ECC，位導(dǎo)引內(nèi)存ECC 二級高速緩存，三級高速緩存服務(wù)處理器熱交換磁盤支架熱插拔 PCIX 槽（在基本系統(tǒng)和 I/O 擴展抽屜上）7311D11 I/O 擴展籠上的可任意交換的 PCIX 槽熱插拔電源和冷卻風(fēng)扇動態(tài)的處理器釋放邏輯分區(qū)的動態(tài)釋放和 PCI 總線插槽的動態(tài)釋放冗余冷卻風(fēng)扇可選的冗余電源操作系統(tǒng)：AIX 5L? V SUSE LINUX Enterprise Server （SLES）*Red Hat Enterprise Linux*i5/OS?電源需求： 200v 到 240v 交流系統(tǒng)尺寸： 高 （4U） x 寬 x 長— x 483mm x 790mm8U／19 機柜16U／19 機柜保修三年內(nèi), 7X24小時保修（無附加收費）. SNUMEN系統(tǒng)簡介 產(chǎn)品背景隨著信息技術(shù)的不斷發(fā)展，越來越多的企業(yè)和組織機構(gòu)加快信息化建設(shè)的步伐，與此同時，Internet和Intranet無所不在的緊密結(jié)合亦使IBM服務(wù)器問題突出顯現(xiàn)。目前常見的IBM服務(wù)器解決措施：主要采用防火墻、入侵檢測系統(tǒng)、防病毒等安全產(chǎn)品。IBM服務(wù)器是一項系統(tǒng)的工程，上述的產(chǎn)品只能針對某一方面，解決部分安全問題。而目前許多黑客也綜合采用多種手段來攻擊，如果只解決某一方面的安全問題，不能起到真正的安全，所以必需全面的考慮安全問題。長期以來信息安全對基于網(wǎng)絡(luò)應(yīng)用的外部防范技術(shù)關(guān)注較多，而通過系統(tǒng)內(nèi)核加固技術(shù)對內(nèi)網(wǎng)核心系統(tǒng)進行有效的保護，筑起數(shù)據(jù)安全的最后一道防線，正在成為繼網(wǎng)絡(luò)層應(yīng)用層IBM服務(wù)器產(chǎn)品后已成為信息安全產(chǎn)品的發(fā)展趨勢。 技術(shù)原理信達的SNUMEN作為操作系統(tǒng)級系統(tǒng)保護產(chǎn)品，是在不改變操作系統(tǒng)內(nèi)核的情況下，對核心服務(wù)器進行保護。SNUMEN工作原理如下：Unix操作系統(tǒng)有一個系統(tǒng)調(diào)用表，包含指向每個系統(tǒng)調(diào)用的內(nèi)存地址的指針。應(yīng)用程序?qū)Y源的訪問、對硬件設(shè)備的使用、進程間的通訊都是通過系統(tǒng)調(diào)用接口在操作系統(tǒng)內(nèi)核中實現(xiàn)的。安全內(nèi)核保存了該表中與安全有關(guān)的系統(tǒng)調(diào)用的指針，并把這些系統(tǒng)調(diào)用重定向到SNUMEN的相應(yīng)代碼。當(dāng)用戶或程序執(zhí)行一個與安全有關(guān)的系統(tǒng)調(diào)用時，SNUMEN系統(tǒng)調(diào)用代碼會檢查SNUMEN數(shù)據(jù)庫。如果調(diào)用是被授權(quán)的，SNUMEN調(diào)用原來的Unix系統(tǒng)調(diào)用，就像SNUMEN沒有安裝一樣。否則，安全內(nèi)核返回權(quán)限錯誤，禁止該請求。這種實現(xiàn)方式與應(yīng)用級的安全產(chǎn)品比較有著明顯的優(yōu)勢。系統(tǒng)入侵檢測產(chǎn)品作為應(yīng)用層產(chǎn)品出于本身安全性考慮以及功能上無法到達系統(tǒng)保護的功能。網(wǎng)絡(luò)級入侵檢測產(chǎn)品和防火墻作為網(wǎng)絡(luò)級安全產(chǎn)品從技術(shù)原理上講不具備內(nèi)網(wǎng)核心安全的要求。同時，SNUMEN產(chǎn)品與其他系統(tǒng)保護產(chǎn)品的優(yōu)勢在于它不需要修改操作系統(tǒng)內(nèi)核并且無需重啟系統(tǒng)，這種方式完全滿足現(xiàn)有高端服務(wù)器的要求。而其它系統(tǒng)保護產(chǎn)品不但使系統(tǒng)管理和支持復(fù)雜了，也會違背操作系統(tǒng)的供應(yīng)商授權(quán)使操作系統(tǒng)維護更困難，增加了巨大的開支。 產(chǎn)品特色及功能當(dāng)防火墻、入侵檢測、VPN等網(wǎng)絡(luò)級安全產(chǎn)品不能滿足日益受到威脅的內(nèi)網(wǎng)核心安全時，SNUMEN作為系統(tǒng)級系統(tǒng)保護產(chǎn)品可以保證內(nèi)網(wǎng)核心服務(wù)器的安全。由于來自于內(nèi)部外部的網(wǎng)絡(luò)入侵事件頻頻發(fā)生，企業(yè)的網(wǎng)絡(luò)和其他重要的服務(wù)器前所未有地暴露在黑客及非授權(quán)內(nèi)部人員的侵入和攻擊的威脅下。SNUMEN能夠防止非授權(quán)的訪問，使內(nèi)網(wǎng)核心服務(wù)器安全運行。大部分信息系統(tǒng)使用ID和口令保護自身安全。但是單獨的口令不能帶來充分的保護，它們很容易被共享和猜出來。有時候，口令會遭到野蠻攻擊和詞典攻擊。SNUMEN利用數(shù)字簽名證書機制保證了用戶身份識別的可靠性。，無需重啟系統(tǒng)SNUMEN是系統(tǒng)級安全產(chǎn)品，在加強操作系統(tǒng)安全的同時，并不對系統(tǒng)的內(nèi)核進行修改，從而保證了關(guān)鍵業(yè)務(wù)服務(wù)器的穩(wěn)定運行。除此之外，在服務(wù)器安裝SNUMEN后，系統(tǒng)無需重啟，避免了服務(wù)器重啟所產(chǎn)生的不必要損失。WINDOWS、UNIX系統(tǒng)大多為C2級，采用自主存取控制機制。安全性更高的B1級采用強制存取控制機制，強制存取控制(MAC) 提供了基于信息機密性的存取控制方法，用于將系統(tǒng)中的用戶和信息進行分級別、分類別管理，強制限制信息的共享和流動，使不同級別和類別的用戶只能訪問到與其有關(guān)的、指定范圍的信息，從根本上防止信息的丟失泄密和訪問混亂現(xiàn)象。尤其適用于軍事、政府重要部門和金融、電力領(lǐng)域。SNUMEN是國內(nèi)第一家自主知識產(chǎn)權(quán)支持跨平臺的系統(tǒng)保護（安全操作系統(tǒng)）產(chǎn)品，SNUMEN能夠提升每個系統(tǒng)的安全性，以滿足整個業(yè)務(wù)的安全需求。SNUMEN支持包括UNIX、Linux和Windows在內(nèi)的多種平臺。操作系統(tǒng)訪問控制以及操作系統(tǒng)漏洞的最佳策略是任務(wù)分離和最小權(quán)限原則。 SNUMEN通過RBAC（角色訪問控制）、MAC（強制訪問控制）將安全管理員的權(quán)限分離。嚴(yán)格分開系統(tǒng)管理員和安全管理員的權(quán)限，以控制系統(tǒng)管理員的權(quán)限，來防止內(nèi)外人員通過非法獲得系統(tǒng)管理員權(quán)限破壞文件系統(tǒng)信息。SNUMEN能夠防止黑客利用堆棧溢出的機會，從而可以阻止黑客執(zhí)行任意指令、侵入系統(tǒng)。 SNUMEN系統(tǒng)功能為了達到內(nèi)網(wǎng)核心安全的目的，SNUMEN采用了數(shù)字簽名證書為基礎(chǔ)并結(jié)合訪問控制的技術(shù)。當(dāng)安全內(nèi)核安裝后，沒有通過數(shù)字簽名證書認證的用戶，即使獲得了管理員權(quán)限，也不能訪問被安全內(nèi)核保護的資源。SNUMEN通過接管系統(tǒng)所有訪問控制權(quán)限，實際上取消了“超級用戶”（root）權(quán)限，通過使用數(shù)字簽名證書認證機制，達到用戶認證目的。用戶或者其他非法入侵者即使獲得了超級用戶口令也無法訪問系統(tǒng)重要資源。對系統(tǒng)管理員或用戶頒發(fā)數(shù)字簽名證書，通過基于操作系統(tǒng)內(nèi)核級的認證機制完成用戶登錄過程。SNUMEN提供遠程站點的unix用戶帳戶及組管理功能。SNUMEN在內(nèi)核層基于證書進行認證，提高安全強度，所以為控制安全管理員配置的文件要用安全管理員發(fā)行的證書得到認證。SNUMEN為管理員提供了口令質(zhì)量控制的功能，管理員可以利用這項功能實現(xiàn)密碼的質(zhì)量控制，如：設(shè)置密碼的最大長度和最小長度，密碼中出現(xiàn)的特殊字符的最少數(shù)量，當(dāng)口令更改后，該密碼的使用期限等。通過SNUMEN與系統(tǒng)結(jié)合，SNUMEN提供了對用戶登錄口令的管理，SNUMEN 將口令質(zhì)量控制分為兩部分：密碼更改期限amp。密碼登錄限制和密碼格式。這些口令質(zhì)量控制規(guī)則如下：n 一旦口令被更改，那么該口令將在多少時間內(nèi)不允許再次更改。n 當(dāng)口令更改后，該密碼的使用期限。n 該帳戶被注銷的期限。n 帳戶距注銷時間還剩多少時對該用戶進行通知。n 試圖更改密碼的次數(shù)。n 密碼中存在數(shù)字的數(shù)量。n 密碼的最大長度和最小長度。n 密碼中存在的字符串大寫字母和小寫字母的最少數(shù)量。n 密碼中出現(xiàn)的數(shù)字的最少數(shù)量。n 口令不能重復(fù)的期限。n 密碼中出現(xiàn)的特殊字符的最少數(shù)量。n 與以前密碼之間至少有多少個字符不一樣。n 創(chuàng)建的用戶名至少與其他用戶名有多少個字符的區(qū)別。n 利用口令字典限制某些特定詞做口令。n 禁止使用的用戶。SNUMEN 允許已經(jīng)通過認證的SNUMEN 用戶或該組訪問由SNUMEN保護的文件。SNUMEN 可以控制多達17種的系統(tǒng)調(diào)用，SNUMEN將對照相應(yīng)的列表實現(xiàn)對用戶的控制。UNIX本身用戶對用戶、組成員、其他用戶擁有讀、寫、刪除等控制權(quán)限，通過SNUMEN 可以實現(xiàn)更強大的安全策略，由SNUMEN 控制的文件，即使root用戶也不能對其進行訪問。提供有條件的訪問控制列表的方式對資源保護：SNUMEN 可根據(jù)用戶的需求，依據(jù)用戶、組、文件、任務(wù)、權(quán)限等配置安全策略，制定詳細的訪問控制，可管理23個以上的系統(tǒng)調(diào)用，對文件、系統(tǒng)、進程等系統(tǒng)資源進行保護。并可防止由攻擊引起的對數(shù)據(jù)的篡改， 阻止非授權(quán)用戶中斷進程和守護進程，保障服務(wù)器的穩(wěn)定運行。限制訪問資產(chǎn)的方式。：按組、用戶、操作等分類的多種訪問控制功能。（a）SNUMEN 可以建立基于用戶的訪問控制，可以根據(jù)業(yè)務(wù)及責(zé)任建立信息策略。（b）SNUMEN 可以建立基于Group的訪問控制。（c）多樣的Operation Control 功能(控制17個以上的 Permission)，控制17個以上的訪問控制。注釋：數(shù)據(jù)庫中最基本的單位是文件，實現(xiàn)對文件訪問權(quán)限控制即可達到對數(shù)據(jù)庫的保護。SNUMEN 提供進程保護功能，通過防止進程的非法終止保證服務(wù)器的穩(wěn)定運行。被SNUMEN 保護的進程無法kill，即使是root用戶不通過認證也無法終止被保護的進程。進程被SNUMEN 保護后， 除通過電子簽名認證過程并取得認證的安全管理員之外，任何人都無法停止相應(yīng)程序的運行。該功能設(shè)置到需要持續(xù)提供服務(wù)的程序(例如，Web服務(wù)器程序、DNS 程序、郵件服務(wù)器程序等)中，是非常有用的功能，可防止由于非法取得系統(tǒng) root權(quán)限而引起中斷服務(wù)的事故。SNUMEN提供了對進程的保護，截取發(fā)向進程的sigkill、sigstop和sigterm信號。被保護的進程可以正?；虍惓Ｍ瞥?，但是不能被非授權(quán)用戶（包括root）殺死。傳統(tǒng)的Unix沒有對進程的保護措施。進程的屬主和root可以用kill命令殺死正在運行的進程。實際上，一些關(guān)鍵的進程如數(shù)據(jù)庫守護進程、應(yīng)用程序進程等應(yīng)該一直運行，不應(yīng)該被殺死。SNUMEN 提供了對進程的保護，他截取了發(fā)向進程的sigkill、sigstop和sigterm信號。被保護的進程可以正?；虍惓Ｍ顺?，但是不能被非授權(quán)的用戶(包括root)殺死。這就保護了誤操作造成的關(guān)鍵進程的異常中止，保障了系統(tǒng)的可靠性，只有通過認證的超級用戶(安全管理員)可以結(jié)束進程。由于SNUMEN 會控制未經(jīng)過電子簽名認證過程的用戶(程序)訪問已設(shè)置了訪問權(quán)限的文件，所以，未獲得認證的用戶(程序)無法訪問設(shè)置了訪問權(quán)限的文件。但是，如是在系統(tǒng)中不停運行的程序，它不是用戶程序，所以無法經(jīng)過認證過程。 如果對運行這種程序所需的文件設(shè)置了訪問權(quán)限，程序無法被訪問，因此會無法正常運行。在這種情況下，SNUMEN 通過“程序自動權(quán)限設(shè)置”，設(shè)置為賦予相應(yīng)程序以適當(dāng)?shù)臋?quán)限，可保障在運行相應(yīng)程序時，自動分配相應(yīng)權(quán)限，程序即可正常運行。SNUMEN 中對設(shè)置訪問控制的文件通過證書進行認證，所以沒有獲得認證的用戶(進程)不能訪問受保護的文件。在這樣的情況下通過[自動權(quán)限文件設(shè)置]對相應(yīng)進程賦與適當(dāng)權(quán)限,這樣可以保障進程的正常運行。 控制－特權(quán)程序控制控制執(zhí)行文件時UID變化的文件。例如象對系統(tǒng)的口令文件記錄信息的 passwd 程序，為執(zhí)行命令以root權(quán)限運行。SUID因臨時對用戶賦予更大的權(quán)限，所以對設(shè)置Setuid位的所有系統(tǒng)中的程序要監(jiān)控它的變化。SNUMEN在安裝時會自動檢測系統(tǒng)中的特權(quán)程序，將這些特權(quán)程序加入SNUMEN資源列表中，安全管理員可以通過配置，限制特權(quán)程序的使用，如果沒有SNUMEN的授權(quán)，即使root用戶也不能使用特權(quán)程序，這樣就可以進一步加強系統(tǒng)的安全性。通過SNUMEN向用戶頒發(fā)的數(shù)字簽名證書，只有通過數(shù)字簽名證書認證的用戶可以使用特權(quán)程序。SNUMEN網(wǎng)絡(luò)控制具備了系統(tǒng)防火墻功能，該功能控制遠程對服務(wù)器IP或服務(wù)的訪問。通過功能強大的網(wǎng)絡(luò)服務(wù)及IP地址控制，可以很好的限制用戶訪問系統(tǒng)資源。SNUMEN 提供的系統(tǒng)防火墻功能允許對TCP