【文章內(nèi)容簡(jiǎn)介】 介質(zhì)支架4 個(gè)薄的熱插拔介質(zhì)支架8 個(gè)薄的熱插拔介質(zhì)支架適配器槽（PCI－X）：6 個(gè)可任意交換的熱插拔：12 個(gè)可任意交換的熱插拔：24 個(gè)可任意交換的熱插拔：5 個(gè)長(zhǎng)的 64 位 133MHZ 10 個(gè)長(zhǎng)的 64 位 133MHZ 20 個(gè)長(zhǎng)的 64 位 133MHZ 1 個(gè)短的 64 位 133MHZ 2 個(gè)短的 64 位 133MHZ 4 個(gè)短的 64 位 133MHZ I/O 適配器：2 個(gè) 10/100/1000 以太網(wǎng)；2 個(gè) Ultra320 SCSI 4 個(gè) 10/100/1000 以太網(wǎng)；4 個(gè) Ultra320 SCSI 8 個(gè) 10/100/1000 以太網(wǎng)；8 個(gè) Ultra320 SCSI 端口（最多）：3 個(gè) USB 端口，3 個(gè)串行端口，2 個(gè) HMC 端口6 個(gè) USB 端口，6 個(gè)串行端口，2 個(gè) HMC 端口12 個(gè) USB 端口，12 個(gè)串行端口，2 個(gè) HMC 端口I/O 擴(kuò)展：最多可達(dá) 8 個(gè)遠(yuǎn)程 I/O 擴(kuò)展抽屜（7311D11 和 7311D20 的組合）最多可達(dá) 12 個(gè)遠(yuǎn)程 I/O 擴(kuò)展抽屜（7311D11 和 7311D20 的組合）最多可達(dá) 20 個(gè)遠(yuǎn)程 I/O 擴(kuò)展抽屜（7311D11 和 7311D20 的組合）連接支持：2Gb 光纖通道 － 12；萬兆以太網(wǎng) － 82Gb 光纖通道 － 24；萬兆以太網(wǎng) － 162Gb 光纖通道 － 96；萬兆以太網(wǎng) － 32邏輯分區(qū)支持動(dòng)態(tài) LPARIBM Virtualization Engine 系統(tǒng)技術(shù)（可選）： 微分區(qū)（每個(gè)處理器的 LPAR 最多可達(dá) 10）微分區(qū)（每個(gè)處理器的 LPAR 最多可達(dá) 80）微分區(qū)（每個(gè)處理器的 LPAR 最多可達(dá) 160）虛擬 LAN（內(nèi)存到內(nèi)存的分區(qū)間通信）虛擬 LAN虛擬 LAN虛擬 I/O（共享的內(nèi)部 SCSI 磁盤；共享的 FC 適配器；共享的 GB 以太網(wǎng)適配器）虛擬 I/O虛擬 I/OCapacity on Demand 功能部件（可選）：處理器 CUoDNA處理器 CUoD內(nèi)存 CUoD1NA內(nèi)存 CUoD1預(yù)留的 CoD NA預(yù)留的 CoD 開/關(guān)處理器 CoDNA開/關(guān)處理器 CoD開/關(guān)內(nèi)存 CoD1NA開/關(guān)內(nèi)存 CoD1試用 CoDNA試用 CoDRAS 功能部件：銅和絕緣體硅（SOI）微處理器動(dòng)態(tài)固件更新IBM Chipkill? ECC，位導(dǎo)引內(nèi)存ECC 二級(jí)高速緩存，三級(jí)高速緩存服務(wù)處理器熱交換磁盤支架熱插拔 PCIX 槽（在基本系統(tǒng)和 I/O 擴(kuò)展抽屜上）7311D11 I/O 擴(kuò)展籠上的可任意交換的 PCIX 槽熱插拔電源和冷卻風(fēng)扇動(dòng)態(tài)的處理器釋放邏輯分區(qū)的動(dòng)態(tài)釋放和 PCI 總線插槽的動(dòng)態(tài)釋放冗余冷卻風(fēng)扇可選的冗余電源操作系統(tǒng)：AIX 5L? V SUSE LINUX Enterprise Server （SLES）*Red Hat Enterprise Linux*i5/OS?電源需求： 200v 到 240v 交流系統(tǒng)尺寸： 高 （4U） x 寬 x 長(zhǎng)— x 483mm x 790mm8U／19 機(jī)柜16U／19 機(jī)柜保修三年內(nèi), 7X24小時(shí)保修（無附加收費(fèi)）. SNUMEN系統(tǒng)簡(jiǎn)介 產(chǎn)品背景隨著信息技術(shù)的不斷發(fā)展，越來越多的企業(yè)和組織機(jī)構(gòu)加快信息化建設(shè)的步伐，與此同時(shí)，Internet和Intranet無所不在的緊密結(jié)合亦使IBM服務(wù)器問題突出顯現(xiàn)。目前常見的IBM服務(wù)器解決措施：主要采用防火墻、入侵檢測(cè)系統(tǒng)、防病毒等安全產(chǎn)品。IBM服務(wù)器是一項(xiàng)系統(tǒng)的工程，上述的產(chǎn)品只能針對(duì)某一方面，解決部分安全問題。而目前許多黑客也綜合采用多種手段來攻擊，如果只解決某一方面的安全問題，不能起到真正的安全，所以必需全面的考慮安全問題。長(zhǎng)期以來信息安全對(duì)基于網(wǎng)絡(luò)應(yīng)用的外部防范技術(shù)關(guān)注較多，而通過系統(tǒng)內(nèi)核加固技術(shù)對(duì)內(nèi)網(wǎng)核心系統(tǒng)進(jìn)行有效的保護(hù)，筑起數(shù)據(jù)安全的最后一道防線，正在成為繼網(wǎng)絡(luò)層應(yīng)用層IBM服務(wù)器產(chǎn)品后已成為信息安全產(chǎn)品的發(fā)展趨勢(shì)。 技術(shù)原理信達(dá)的SNUMEN作為操作系統(tǒng)級(jí)系統(tǒng)保護(hù)產(chǎn)品，是在不改變操作系統(tǒng)內(nèi)核的情況下，對(duì)核心服務(wù)器進(jìn)行保護(hù)。SNUMEN工作原理如下：Unix操作系統(tǒng)有一個(gè)系統(tǒng)調(diào)用表，包含指向每個(gè)系統(tǒng)調(diào)用的內(nèi)存地址的指針。應(yīng)用程序?qū)Y源的訪問、對(duì)硬件設(shè)備的使用、進(jìn)程間的通訊都是通過系統(tǒng)調(diào)用接口在操作系統(tǒng)內(nèi)核中實(shí)現(xiàn)的。安全內(nèi)核保存了該表中與安全有關(guān)的系統(tǒng)調(diào)用的指針，并把這些系統(tǒng)調(diào)用重定向到SNUMEN的相應(yīng)代碼。當(dāng)用戶或程序執(zhí)行一個(gè)與安全有關(guān)的系統(tǒng)調(diào)用時(shí)，SNUMEN系統(tǒng)調(diào)用代碼會(huì)檢查SNUMEN數(shù)據(jù)庫。如果調(diào)用是被授權(quán)的，SNUMEN調(diào)用原來的Unix系統(tǒng)調(diào)用，就像SNUMEN沒有安裝一樣。否則，安全內(nèi)核返回權(quán)限錯(cuò)誤，禁止該請(qǐng)求。這種實(shí)現(xiàn)方式與應(yīng)用級(jí)的安全產(chǎn)品比較有著明顯的優(yōu)勢(shì)。系統(tǒng)入侵檢測(cè)產(chǎn)品作為應(yīng)用層產(chǎn)品出于本身安全性考慮以及功能上無法到達(dá)系統(tǒng)保護(hù)的功能。網(wǎng)絡(luò)級(jí)入侵檢測(cè)產(chǎn)品和防火墻作為網(wǎng)絡(luò)級(jí)安全產(chǎn)品從技術(shù)原理上講不具備內(nèi)網(wǎng)核心安全的要求。同時(shí)，SNUMEN產(chǎn)品與其他系統(tǒng)保護(hù)產(chǎn)品的優(yōu)勢(shì)在于它不需要修改操作系統(tǒng)內(nèi)核并且無需重啟系統(tǒng)，這種方式完全滿足現(xiàn)有高端服務(wù)器的要求。而其它系統(tǒng)保護(hù)產(chǎn)品不但使系統(tǒng)管理和支持復(fù)雜了，也會(huì)違背操作系統(tǒng)的供應(yīng)商授權(quán)使操作系統(tǒng)維護(hù)更困難，增加了巨大的開支。 產(chǎn)品特色及功能當(dāng)防火墻、入侵檢測(cè)、VPN等網(wǎng)絡(luò)級(jí)安全產(chǎn)品不能滿足日益受到威脅的內(nèi)網(wǎng)核心安全時(shí)，SNUMEN作為系統(tǒng)級(jí)系統(tǒng)保護(hù)產(chǎn)品可以保證內(nèi)網(wǎng)核心服務(wù)器的安全。由于來自于內(nèi)部外部的網(wǎng)絡(luò)入侵事件頻頻發(fā)生，企業(yè)的網(wǎng)絡(luò)和其他重要的服務(wù)器前所未有地暴露在黑客及非授權(quán)內(nèi)部人員的侵入和攻擊的威脅下。SNUMEN能夠防止非授權(quán)的訪問，使內(nèi)網(wǎng)核心服務(wù)器安全運(yùn)行。大部分信息系統(tǒng)使用ID和口令保護(hù)自身安全。但是單獨(dú)的口令不能帶來充分的保護(hù)，它們很容易被共享和猜出來。有時(shí)候，口令會(huì)遭到野蠻攻擊和詞典攻擊。SNUMEN利用數(shù)字簽名證書機(jī)制保證了用戶身份識(shí)別的可靠性。，無需重啟系統(tǒng)SNUMEN是系統(tǒng)級(jí)安全產(chǎn)品，在加強(qiáng)操作系統(tǒng)安全的同時(shí)，并不對(duì)系統(tǒng)的內(nèi)核進(jìn)行修改，從而保證了關(guān)鍵業(yè)務(wù)服務(wù)器的穩(wěn)定運(yùn)行。除此之外，在服務(wù)器安裝SNUMEN后，系統(tǒng)無需重啟，避免了服務(wù)器重啟所產(chǎn)生的不必要損失。WINDOWS、UNIX系統(tǒng)大多為C2級(jí)，采用自主存取控制機(jī)制。安全性更高的B1級(jí)采用強(qiáng)制存取控制機(jī)制，強(qiáng)制存取控制(MAC) 提供了基于信息機(jī)密性的存取控制方法，用于將系統(tǒng)中的用戶和信息進(jìn)行分級(jí)別、分類別管理，強(qiáng)制限制信息的共享和流動(dòng)，使不同級(jí)別和類別的用戶只能訪問到與其有關(guān)的、指定范圍的信息，從根本上防止信息的丟失泄密和訪問混亂現(xiàn)象。尤其適用于軍事、政府重要部門和金融、電力領(lǐng)域。SNUMEN是國內(nèi)第一家自主知識(shí)產(chǎn)權(quán)支持跨平臺(tái)的系統(tǒng)保護(hù)（安全操作系統(tǒng)）產(chǎn)品，SNUMEN能夠提升每個(gè)系統(tǒng)的安全性，以滿足整個(gè)業(yè)務(wù)的安全需求。SNUMEN支持包括UNIX、Linux和Windows在內(nèi)的多種平臺(tái)。操作系統(tǒng)訪問控制以及操作系統(tǒng)漏洞的最佳策略是任務(wù)分離和最小權(quán)限原則。 SNUMEN通過RBAC（角色訪問控制）、MAC（強(qiáng)制訪問控制）將安全管理員的權(quán)限分離。嚴(yán)格分開系統(tǒng)管理員和安全管理員的權(quán)限，以控制系統(tǒng)管理員的權(quán)限，來防止內(nèi)外人員通過非法獲得系統(tǒng)管理員權(quán)限破壞文件系統(tǒng)信息。SNUMEN能夠防止黑客利用堆棧溢出的機(jī)會(huì)，從而可以阻止黑客執(zhí)行任意指令、侵入系統(tǒng)。 SNUMEN系統(tǒng)功能為了達(dá)到內(nèi)網(wǎng)核心安全的目的，SNUMEN采用了數(shù)字簽名證書為基礎(chǔ)并結(jié)合訪問控制的技術(shù)。當(dāng)安全內(nèi)核安裝后，沒有通過數(shù)字簽名證書認(rèn)證的用戶，即使獲得了管理員權(quán)限，也不能訪問被安全內(nèi)核保護(hù)的資源。SNUMEN通過接管系統(tǒng)所有訪問控制權(quán)限，實(shí)際上取消了“超級(jí)用戶”（root）權(quán)限，通過使用數(shù)字簽名證書認(rèn)證機(jī)制，達(dá)到用戶認(rèn)證目的。用戶或者其他非法入侵者即使獲得了超級(jí)用戶口令也無法訪問系統(tǒng)重要資源。對(duì)系統(tǒng)管理員或用戶頒發(fā)數(shù)字簽名證書，通過基于操作系統(tǒng)內(nèi)核級(jí)的認(rèn)證機(jī)制完成用戶登錄過程。SNUMEN提供遠(yuǎn)程站點(diǎn)的unix用戶帳戶及組管理功能。SNUMEN在內(nèi)核層基于證書進(jìn)行認(rèn)證，提高安全強(qiáng)度，所以為控制安全管理員配置的文件要用安全管理員發(fā)行的證書得到認(rèn)證。SNUMEN為管理員提供了口令質(zhì)量控制的功能，管理員可以利用這項(xiàng)功能實(shí)現(xiàn)密碼的質(zhì)量控制，如：設(shè)置密碼的最大長(zhǎng)度和最小長(zhǎng)度，密碼中出現(xiàn)的特殊字符的最少數(shù)量，當(dāng)口令更改后，該密碼的使用期限等。通過SNUMEN與系統(tǒng)結(jié)合，SNUMEN提供了對(duì)用戶登錄口令的管理，SNUMEN 將口令質(zhì)量控制分為兩部分：密碼更改期限amp。密碼登錄限制和密碼格式。這些口令質(zhì)量控制規(guī)則如下：n 一旦口令被更改，那么該口令將在多少時(shí)間內(nèi)不允許再次更改。n 當(dāng)口令更改后，該密碼的使用期限。n 該帳戶被注銷的期限。n 帳戶距注銷時(shí)間還剩多少時(shí)對(duì)該用戶進(jìn)行通知。n 試圖更改密碼的次數(shù)。n 密碼中存在數(shù)字的數(shù)量。n 密碼的最大長(zhǎng)度和最小長(zhǎng)度。n 密碼中存在的字符串大寫字母和小寫字母的最少數(shù)量。n 密碼中出現(xiàn)的數(shù)字的最少數(shù)量。n 口令不能重復(fù)的期限。n 密碼中出現(xiàn)的特殊字符的最少數(shù)量。n 與以前密碼之間至少有多少個(gè)字符不一樣。n 創(chuàng)建的用戶名至少與其他用戶名有多少個(gè)字符的區(qū)別。n 利用口令字典限制某些特定詞做口令。n 禁止使用的用戶。SNUMEN 允許已經(jīng)通過認(rèn)證的SNUMEN 用戶或該組訪問由SNUMEN保護(hù)的文件。SNUMEN 可以控制多達(dá)17種的系統(tǒng)調(diào)用，SNUMEN將對(duì)照相應(yīng)的列表實(shí)現(xiàn)對(duì)用戶的控制。UNIX本身用戶對(duì)用戶、組成員、其他用戶擁有讀、寫、刪除等控制權(quán)限，通過SNUMEN 可以實(shí)現(xiàn)更強(qiáng)大的安全策略，由SNUMEN 控制的文件，即使root用戶也不能對(duì)其進(jìn)行訪問。提供有條件的訪問控制列表的方式對(duì)資源保護(hù)：SNUMEN 可根據(jù)用戶的需求，依據(jù)用戶、組、文件、任務(wù)、權(quán)限等配置安全策略，制定詳細(xì)的訪問控制，可管理23個(gè)以上的系統(tǒng)調(diào)用，對(duì)文件、系統(tǒng)、進(jìn)程等系統(tǒng)資源進(jìn)行保護(hù)。并可防止由攻擊引起的對(duì)數(shù)據(jù)的篡改， 阻止非授權(quán)用戶中斷進(jìn)程和守護(hù)進(jìn)程，保障服務(wù)器的穩(wěn)定運(yùn)行。限制訪問資產(chǎn)的方式。：按組、用戶、操作等分類的多種訪問控制功能。（a）SNUMEN 可以建立基于用戶的訪問控制，可以根據(jù)業(yè)務(wù)及責(zé)任建立信息策略。（b）SNUMEN 可以建立基于Group的訪問控制。（c）多樣的Operation Control 功能(控制17個(gè)以上的 Permission)，控制17個(gè)以上的訪問控制。注釋：數(shù)據(jù)庫中最基本的單位是文件，實(shí)現(xiàn)對(duì)文件訪問權(quán)限控制即可達(dá)到對(duì)數(shù)據(jù)庫的保護(hù)。SNUMEN 提供進(jìn)程保護(hù)功能，通過防止進(jìn)程的非法終止保證服務(wù)器的穩(wěn)定運(yùn)行。被SNUMEN 保護(hù)的進(jìn)程無法kill，即使是root用戶不通過認(rèn)證也無法終止被保護(hù)的進(jìn)程。進(jìn)程被SNUMEN 保護(hù)后， 除通過電子簽名認(rèn)證過程并取得認(rèn)證的安全管理員之外，任何人都無法停止相應(yīng)程序的運(yùn)行。該功能設(shè)置到需要持續(xù)提供服務(wù)的程序(例如，Web服務(wù)器程序、DNS 程序、郵件服務(wù)器程序等)中，是非常有用的功能，可防止由于非法取得系統(tǒng) root權(quán)限而引起中斷服務(wù)的事故。SNUMEN提供了對(duì)進(jìn)程的保護(hù)，截取發(fā)向進(jìn)程的sigkill、sigstop和sigterm信號(hào)。被保護(hù)的進(jìn)程可以正?；虍惓Ｍ瞥觯遣荒鼙环鞘跈?quán)用戶（包括root）殺死。傳統(tǒng)的Unix沒有對(duì)進(jìn)程的保護(hù)措施。進(jìn)程的屬主和root可以用kill命令殺死正在運(yùn)行的進(jìn)程。實(shí)際上，一些關(guān)鍵的進(jìn)程如數(shù)據(jù)庫守護(hù)進(jìn)程、應(yīng)用程序進(jìn)程等應(yīng)該一直運(yùn)行，不應(yīng)該被殺死。SNUMEN 提供了對(duì)進(jìn)程的保護(hù)，他截取了發(fā)向進(jìn)程的sigkill、sigstop和sigterm信號(hào)。被保護(hù)的進(jìn)程可以正常或異常退出，但是不能被非授權(quán)的用戶(包括root)殺死。這就保護(hù)了誤操作造成的關(guān)鍵進(jìn)程的異常中止，保障了系統(tǒng)的可靠性，只有通過認(rèn)證的超級(jí)用戶(安全管理員)可以結(jié)束進(jìn)程。由于SNUMEN 會(huì)控制未經(jīng)過電子簽名認(rèn)證過程的用戶(程序)訪問已設(shè)置了訪問權(quán)限的文件，所以，未獲得認(rèn)證的用戶(程序)無法訪問設(shè)置了訪問權(quán)限的文件。但是，如是在系統(tǒng)中不停運(yùn)行的程序，它不是用戶程序，所以無法經(jīng)過認(rèn)證過程。 如果對(duì)運(yùn)行這種程序所需的文件設(shè)置了訪問權(quán)限，程序無法被訪問，因此會(huì)無法正常運(yùn)行。在這種情況下，SNUMEN 通過“程序自動(dòng)權(quán)限設(shè)置”，設(shè)置為賦予相應(yīng)程序以適當(dāng)?shù)臋?quán)限，可保障在運(yùn)行相應(yīng)程序時(shí)，自動(dòng)分配相應(yīng)權(quán)限，程序即可正常運(yùn)行。SNUMEN 中對(duì)設(shè)置訪問控制的文件通過證書進(jìn)行認(rèn)證，所以沒有獲得認(rèn)證的用戶(進(jìn)程)不能訪問受保護(hù)的文件。在這樣的情況下通過[自動(dòng)權(quán)限文件設(shè)置]對(duì)相應(yīng)進(jìn)程賦與適當(dāng)權(quán)限,這樣可以保障進(jìn)程的正常運(yùn)行。 控制－特權(quán)程序控制控制執(zhí)行文件時(shí)UID變化的文件。例如象對(duì)系統(tǒng)的口令文件記錄信息的 passwd 程序，為執(zhí)行命令以root權(quán)限運(yùn)行。SUID因臨時(shí)對(duì)用戶賦予更大的權(quán)限，所以對(duì)設(shè)置Setuid位的所有系統(tǒng)中的程序要監(jiān)控它的變化。SNUMEN在安裝時(shí)會(huì)自動(dòng)檢測(cè)系統(tǒng)中的特權(quán)程序，將這些特權(quán)程序加入SNUMEN資源列表中，安全管理員可以通過配置，限制特權(quán)程序的使用，如果沒有SNUMEN的授權(quán)，即使root用戶也不能使用特權(quán)程序，這樣就可以進(jìn)一步加強(qiáng)系統(tǒng)的安全性。通過SNUMEN向用戶頒發(fā)的數(shù)字簽名證書，只有通過數(shù)字簽名證書認(rèn)證的用戶可以使用特權(quán)程序。SNUMEN網(wǎng)絡(luò)控制具備了系統(tǒng)防火墻功能，該功能控制遠(yuǎn)程對(duì)服務(wù)器IP或服務(wù)的訪問。通過功能強(qiáng)大的網(wǎng)絡(luò)服務(wù)及IP地址控制，可以很好的限制用戶訪問系統(tǒng)資源。SNUMEN 提供的系統(tǒng)防火墻功能允許對(duì)TCP