【正文】 ess Charge15765F62IBM POWERHA V51B8NGPer Proc with 1 Year SW Maint MEDIUM165765G62AIX 6 for POWER 1B8TDPer Processor F5 AIX 6 for POWER 165773SM3Software Maintenance for AIX, 3 Year1466F5 3 Yr SWMA for AIX per Processor Reg/Ren16　　　　IBM HMC清單　ProductDescriptionQty7042CR4HMC 1:7042CR4 Rackmounted 1962Hardware Management Console Licensed Machine Code v713645IBM T117 Flat Panel Monitor142426 Foot Extender Cable for Displays (15 pin Dshell to 15 pin Dshell)14651Rack Indicator, Rack 114767HMC CR4 Redundant Power Supply, 670 W15767PCIe 1Gb Ethernet UTP 2Port15951Full Width Quiet Touch Keyboard USB, US English, 103P16458Power Cable Drawer to IBM PDU, 14foot, 250V/10A26493Power Cord (9foot), To Wall/OEM PDU, (250V, 10A), Plug Type 6217801Ethernet Cable, 6M, Hardware Management Console to System Unit18841Mouse Business Black with Keyboard Attachment Cable19069HMC/Server Order Linkage Indicator19722Language Group Specify Simplified Chinese (PRC)15773RS3Initial Software Support 3 Year1569Per Processor Software Support 3 Year17000Agreement for MCRSA1　　　　IBM T42機柜清單　ProductDescriptionQty7014T42Rack 1:Rack Model T421242Rack Content Specify: 9117570 or 9117MMA 16U2284Rack Content Specify: 7042/CR4 1U14651Rack Indicator, Rack 136098Side Panel (Black)26249 Rack Acoustic Doors16491PDU to Wall Powercord 1439。CPU:Intel x86,CompatiblesHard Disk:100MB以上自由空間Windows NT/2000CPU:Alpha CPU,CompatiblesHard Disk:100MB以上自由空間CompaqTru64CPU:IBM CPU,CompatiblesHard Disk:100MB以上自由空間AIXCPU:HP CPU,CompatiblesHard Disk:100MB以上自由空間HPUXCPU:Sparc CPU,CompatiblesEC,KMS,GroupWare ServerSolarisIntranet/Extranet Server,Proxy ServerHard Disk:100MB以上自由空間CPU:x86 主頻500Mhz 以上Hard Disk:100MB以上自由空間CPU:Intel x86,Compatibles 系統(tǒng)運行環(huán)境SNUMEN For Agent 模塊SNUMEN For MANAGER使用范圍Linux在安全策略的實施過程中，我們先采用TEST模式，就可以檢查設置的安全策略是否會影響業(yè)務的正常運行，是否真正保障系統(tǒng)的安全等等。test模式(模擬運行)功能對所有安全控制策略的實施，SNUMEN還提供了模擬運行TEST模式，以此減少因配置安全策略引起的問題。可以顯示遠程站點的系統(tǒng)信息：n 遠程系統(tǒng)信息n 遠程系統(tǒng)磁盤信息n 網(wǎng)絡狀態(tài)n 系統(tǒng)信息n 登錄信息(reboot, shutdown 等)黑客侵入系統(tǒng)后試圖通過非法結束系統(tǒng)，如關機或重啟的方式，來導致系統(tǒng)不能正常工作，SNUMEN 可以防止未經(jīng)授權的超級用戶中斷系統(tǒng)，只有獲得認證的用戶才能結束系統(tǒng)。利用SNUMEN管理控制臺連接到安裝SNUMEN的服務器上，用戶可以通過界面化的方式，查看系統(tǒng)中的重要信息。SNUMEN可以同時管理不同操作系統(tǒng)的服務器，并且在不同操作系統(tǒng)中功能完全一致，顯示了良好的跨平臺性。SNUMEN采用內核密封(Kernel Sealing)技術，可防止內核模塊的Loading/Uploading，阻斷入侵者對內核層的惡意攻擊；通過隱藏自身的安全模塊(Kernel Stealth)的功能，盡可能避免了由于安全產(chǎn)品暴露所導致的黑客攻擊，進一步降低安全風險，使非法者不能察覺SNUMEN在系統(tǒng)中的存在；并且通過對安裝程序的目錄及文件的自動保護，來防止刪除與卸載，SNUMEN采用了以上多種技術保證了在自身安全的情況下持續(xù)的維護系統(tǒng)安全。并且SNUMEN支持各種第三方安全審計軟件。SNUMEN提供多種檢索功能，方面管理員的管理工作。日志審計和日志管理對于IBM服務器會起到重要作用，SNUMEN擁有獨立的日志審計系統(tǒng)，通過方便的檢索可以方便安全管理員的工作。3)SNUMEN IPS可以制定任何主動防御規(guī)則，這個規(guī)則可以歸納為8個類型：文件 權限 登錄 網(wǎng)絡 進程 系統(tǒng) 認證 入侵。這時，網(wǎng)絡級IPS不會對這個用戶的任何操作做出響應，因為他是“正?！钡卿?。2)如果破壞者擁有“合法身份”，只要他違反了SNUMEN IPS制定的規(guī)則，SNUMEN IPS仍然會第一時間對這種入侵行為進行主動攻擊。同時，如果網(wǎng)絡IPS規(guī)則應對不好，還會造成大量的合法IP地址被屏蔽。SNUMEN IPS功能特點：1)不同于網(wǎng)絡級IPS產(chǎn)品，SNUMEN IPS功能不存在誤報率問題。在報警條件中添加相應的報警規(guī)則，SNUMEN可對入侵行為和違反安全策略的用戶（程序）進行阻斷。并且當某種登錄連接（例如：telnet、ftp）在一段時間沒有任何操作時，SNUMEN可以自動斷開連接。c)限制用戶的登錄段SNUMEN可以對用戶的登錄時間段進行限制，這些策略包括用戶在一周中的哪天可以登錄，一天中的某個時間段可以登錄，以及某個特定的時間段可以登錄。a)過識別不同登錄過程中使用的系統(tǒng)調用序列來攔截用戶登錄過程SNUMEN具備了識別不同登錄過程中使用的系統(tǒng)調用序列來攔截用戶登錄過程，在SNUMEN中添加相應的策略，可以限制用戶使用telnet、ftp、rlogin、dtlogin、ssh等多種登錄系統(tǒng)的方式。SNUMEN 提供對登錄服務的限制，這些服務包括 ”telnet”、 ”ftp”、 ”rlogin”、”dtlogin”。通過功能強大的網(wǎng)絡服務及IP地址控制，可以很好的限制用戶訪問系統(tǒng)資源。通過SNUMEN向用戶頒發(fā)的數(shù)字簽名證書，只有通過數(shù)字簽名證書認證的用戶可以使用特權程序。SUID因臨時對用戶賦予更大的權限，所以對設置Setuid位的所有系統(tǒng)中的程序要監(jiān)控它的變化。 控制－特權程序控制控制執(zhí)行文件時UID變化的文件。SNUMEN 中對設置訪問控制的文件通過證書進行認證，所以沒有獲得認證的用戶(進程)不能訪問受保護的文件。 如果對運行這種程序所需的文件設置了訪問權限，程序無法被訪問，因此會無法正常運行。由于SNUMEN 會控制未經(jīng)過電子簽名認證過程的用戶(程序)訪問已設置了訪問權限的文件，所以，未獲得認證的用戶(程序)無法訪問設置了訪問權限的文件。被保護的進程可以正常或異常退出，但是不能被非授權的用戶(包括root)殺死。實際上，一些關鍵的進程如數(shù)據(jù)庫守護進程、應用程序進程等應該一直運行，不應該被殺死。傳統(tǒng)的Unix沒有對進程的保護措施。SNUMEN提供了對進程的保護，截取發(fā)向進程的sigkill、sigstop和sigterm信號。進程被SNUMEN 保護后， 除通過電子簽名認證過程并取得認證的安全管理員之外，任何人都無法停止相應程序的運行。SNUMEN 提供進程保護功能，通過防止進程的非法終止保證服務器的穩(wěn)定運行。（c）多樣的Operation Control 功能(控制17個以上的 Permission)，控制17個以上的訪問控制。（a）SNUMEN 可以建立基于用戶的訪問控制，可以根據(jù)業(yè)務及責任建立信息策略。限制訪問資產(chǎn)的方式。提供有條件的訪問控制列表的方式對資源保護：SNUMEN 可根據(jù)用戶的需求，依據(jù)用戶、組、文件、任務、權限等配置安全策略，制定詳細的訪問控制，可管理23個以上的系統(tǒng)調用，對文件、系統(tǒng)、進程等系統(tǒng)資源進行保護。SNUMEN 可以控制多達17種的系統(tǒng)調用，SNUMEN將對照相應的列表實現(xiàn)對用戶的控制。n 禁止使用的用戶。n 創(chuàng)建的用戶名至少與其他用戶名有多少個字符的區(qū)別。n 密碼中出現(xiàn)的特殊字符的最少數(shù)量。n 密碼中出現(xiàn)的數(shù)字的最少數(shù)量。n 密碼的最大長度和最小長度。n 試圖更改密碼的次數(shù)。n 該帳戶被注銷的期限。這些口令質量控制規(guī)則如下：n 一旦口令被更改，那么該口令將在多少時間內不允許再次更改。通過SNUMEN與系統(tǒng)結合，SNUMEN提供了對用戶登錄口令的管理，SNUMEN 將口令質量控制分為兩部分：密碼更改期限amp。SNUMEN在內核層基于證書進行認證，提高安全強度，所以為控制安全管理員配置的文件要用安全管理員發(fā)行的證書得到認證。對系統(tǒng)管理員或用戶頒發(fā)數(shù)字簽名證書，通過基于操作系統(tǒng)內核級的認證機制完成用戶登錄過程。SNUMEN通過接管系統(tǒng)所有訪問控制權限，實際上取消了“超級用戶”（root）權限，通過使用數(shù)字簽名證書認證機制，達到用戶認證目的。 SNUMEN系統(tǒng)功能為了達到內網(wǎng)核心安全的目的，SNUMEN采用了數(shù)字簽名證書為基礎并結合訪問控制的技術。嚴格分開系統(tǒng)管理員和安全管理員的權限，以控制系統(tǒng)管理員的權限，來防止內外人員通過非法獲得系統(tǒng)管理員權限破壞文件系統(tǒng)信息。操作系統(tǒng)訪問控制以及操作系統(tǒng)漏洞的最佳策略是任務分離和最小權限原則。SNUMEN是國內第一家自主知識產(chǎn)權支持跨平臺的系統(tǒng)保護（安全操作系統(tǒng)）產(chǎn)品，SNUMEN能夠提升每個系統(tǒng)的安全性，以滿足整個業(yè)務的安全需求。安全性更高的B1級采用強制存取控制機制，強制存取控制(MAC) 提供了基于信息機密性的存取控制方法，用于將系統(tǒng)中的用戶和信息進行分級別、分類別管理，強制限制信息的共享和流動，使不同級別和類別的用戶只能訪問到與其有關的、指定范圍的信息，從根本上防止信息的丟失泄密和訪問混亂現(xiàn)象。除此之外，在服務器安裝SNUMEN后，系統(tǒng)無需重啟，避免了服務器重啟所產(chǎn)生的不必要損失。SNUMEN利用數(shù)字簽名證書機制保證了用戶身份識別的可靠性。但是單獨的口令不能帶來充分的保護，它們很容易被共享和猜出來。SNUMEN能夠防止非授權的訪問，使內網(wǎng)核心服務器安全運行。 產(chǎn)品特色及功能當防火墻、入侵檢測、VPN等網(wǎng)絡級安全產(chǎn)品不能滿足日益受到威脅的內網(wǎng)核心安全時，SNUMEN作為系統(tǒng)級系統(tǒng)保護產(chǎn)品可以保證內網(wǎng)核心服務器的安全。同時，SNUMEN產(chǎn)品與其他系統(tǒng)保護產(chǎn)品的優(yōu)勢在于它不需要修改操作系統(tǒng)內核并且無需重啟系統(tǒng)，這種方式完全滿足現(xiàn)有高端服務器的要求。系統(tǒng)入侵檢測產(chǎn)品作為應用層產(chǎn)品出于本身安全性考慮以及功能上無法到達系統(tǒng)保護的功能。否則，安全內核返回權限錯誤，禁止該請求。當用戶或程序執(zhí)行一個與安全有關的系統(tǒng)調用時，SNUMEN系統(tǒng)調用代碼會檢查SNUMEN數(shù)據(jù)庫。應用程序對資源的訪問、對硬件設備的使用、進程間的通訊都是通過系統(tǒng)調用接口在操作系統(tǒng)內核中實現(xiàn)的。 技術原理信達的SNUMEN作為操作系統(tǒng)級系統(tǒng)保護產(chǎn)品，是在不改變操作系統(tǒng)內核的情況下，對核心服務器進行保護。而目前許多黑客也綜合采用多種手段來攻擊，如果只解決某一方面的安全問題，不能起到真正的安全，所以必需全面的考慮安全問題。目前常見的IBM服務器解決措施：主要采用防火墻、入侵檢測系統(tǒng)、防病毒等安全產(chǎn)品。虛擬 LAN*有助于加速分區(qū)間內部通信（以內存速度）動態(tài)的邏輯分區(qū)允許在不重啟受影響分區(qū)的情況下，重分配系統(tǒng)資源在使用可用容量方面提供了更大的靈活性，并能更快速地提供資源以滿足不斷變化的業(yè)務需求秉承主機技術的 RAS 使用通常在更大、更昂貴系統(tǒng)中才有的功能（部件）提供卓越的系統(tǒng)可用性，這些功能（部件）包括服務處理器、Chipkill 內存、FFDC、所選系統(tǒng)資源的動態(tài)釋放、動態(tài)固件，等等多樣化的 CoD 方案* 提供對處理器和內存的臨時使用，以滿足可預測的業(yè)務峰值提供對處理器的預付費使用來