小型机采购项目技术方案

上传人:沈*** 文档编号:100002456 上传时间:2022-06-01 格式:DOC 页数:53 大小:580KB
返回 下载 相关 举报
小型机采购项目技术方案_第1页
第1页 / 共53页
小型机采购项目技术方案_第2页
第2页 / 共53页
小型机采购项目技术方案_第3页
第3页 / 共53页
点击查看更多>>
资源描述
. . . 小型机采购项目技术建议书目 录1.概述12.总体技术要求13.技术建议方案33.1.小型机选型33.2.网核心系统防护软件选型43.3.数据库系统HACMP架构设计53.4.IBM Power 5709117-MMA介绍103.4.1一般特性103.4.2硬件摘要113.4.3P5 570规格153.5.S-NUMEN系统简介173.5.1 产品背景173.5.2 技术原理183.5.3 产品特色及功能183.5.4 S-NUMEN系统功能203.5.5 系统运行环境283.6.服务器配置清单294.项目实施及验收333.5项目实施计划333.5.1项目实施计划原则333.5.2项目实施计划要求333.5.3项目组人员343.5.4项目实施容343.5.5项目实施进度353.6系统测试及验收353.6.1系统测试353.6.2系统验收353.7培训计划363.7.1培训目标373.7.2培训容375.技术支持及售后服务体系405.1 服务目的405.2 服务容405.3 保修围415.4 保修方式425.5故障响应时间425.6 针对中烟小型机采购项目的售后服务承诺435.6.1项目技术支持与服务事件级别435.6.2项目技术支持与服务的容与时间445.6.3项目的故障应急策略与措施505.7 产品保修详细列表516.机房环境526.1.机房环境要求526.2.机房电气及承重要求526.3.机房通讯要求526.4.机房工作环境要求526.5.机房装机前要求5351 / 531. 概述某XX公司本次招标的品目二中拟采购2台小型机及服务,并且在2台小型机上部署2套网核心系统防护软件。本次采购的2台小型机都布署在某XX公司*厂,运行ORACLE数据库群集,数据存储使用SAN架构的光纤磁盘阵列。2. 总体技术要求l 小型机服务器满足高性能、高可用性、安全性、开放性、易于扩展和管理的特点,应优先选用技术先进的产品,关键软硬件设备应保证3-5年的业务运行需要,符合技术发展趋势,尽可能保护设备投资。l 所提供的2台小型机必须为同一品牌,且所配置的CPU、存、I/O接口卡、磁带机、光驱必须为同一型号规格,其组件必须支持互换。l 小型机TPC-C值必须是公开发布的测试值,如所投标机型无测试,则以该产品同等次机型为依据,并按线性推算。l 单台小型机所配置的存容量以GB为单位不得低于该机CPU核个数的2倍。l 运行数据库的小型机分区与后端存储必须实现冗余的链路连接,以避免存储部分的单点故障导致系统停机。l 所有设备必须为标准19英寸机架设备,必须配置小型机原厂标准42U机柜,机柜部必须提供至少两路电源,单个机柜含安装在部的小型机等设备总重量不得超过10u00公斤,机柜接入电源必须为220V交流电源。l 按光纤存储、局域网接口数量及规格配置长度不小于15米的光纤连接线。l 小型机群集必须支持节点间操作系统级和硬件级的故障迁移。l 集群软件必须支持服务器网络地址别名功能,在一台服务器发生故障后,客户机和另一台服务器不需更改配置,即可利用原服务器网络地址在客户机和另一台服务器之间建立网络连接。l 投标人应明确说明硬件设备的接地要求、接地方式、供电方式、环境温度、湿度及其他相关要求。l 提供小型机和网核心系统防护软件的原厂商安装服原。l 对所有提供的软件存储介质,要求三年免费更换,应采用DVD介质。3. 技术建议方案3.1. 小型机选型指标必须满足,否则视为废标招标要求服务器物理数量2台单机TPC-C1200000单机配置CPU核数量16单机存32G单机配置CPU类型64位RISC单机HBA光纤通道卡速率/种类/数量4Gbps/LC/不少于4个单机局域网接口种类/数量1000BaseSX/不少于4个,1000BaseT/不少于4个单机电源配置冗余交流电源单机配置的操作系统64位UNIX,支持UNIX、Linux单机硬盘配置数量/单盘容量/转速4/146GB/15000集群方式组成2个主动/备动集群单机实配分区数2CPU主频2GHz单机预留PCI插槽8单机最大CPU数量 16单机最大存容量512G单机最大分区数100分区特性支持动态分区,支持分区容错/故障隔离,支持分区资源管理,单机磁带机置DDS5磁带机单机光驱置DVDHMC1个机柜1个我们建议2台服务器采用IBM P570,基本配置为16个3.5GHz POWER6处理器,32GB存,4块15KRPM146GB硬盘,4GB光纤通道卡,4个10/100/1000 Base-TX网卡接口,4个Gigabit Ethernet-SX网卡接口。3.2. 网核心系统防护软件选型网核心系统防护软件指标必须满足,否则视为废标招标要求数量2套权限控制支持基于数字签名的强身份认证,接管系统原有的访问控制权限机制,接管root账户的权限,支持依据用户、组、文件、任务、权限等配置安全策略,支持对用户操作权限进行细致划分,控制每个用户所使用的资源。安全性能提供堆栈溢出保护功能,以抵御常见的缓冲区溢出攻击;提供主机防火墙与入侵防护功能,支持对TCP、UDP以及ICMP协议的双向过滤,能够识别入侵行为或违反安全策略的操作,并自动做出阻断、报警等响应;提供口令质量控制功能,可以限制口令的最大最小长度、特殊字符的最少数量、口令使用期限等属性。管理与审计支持远程集中管理,可以通过远程控制台对安装了核防护系统的主机进行统一的管理和配置,并提供远程控制台的全套软件运行环境;具有独立的日志系统,提供查询和审计工具,支持syslog。数据库操作记录与回放可以记录数据库的所有操作,并提供数据库操作容回放功能;容回放包括所有对数据操作命令,具体数据库操作容可还原到SQL语句。操作系统平台支持Linux、Solaris、HP-UX、AIX、Compaq Tru64、Windows。安装与卸载安装不修改操作系统核,安装与卸载不需重启系统。产品性能系统资源占用低于4%。进程保护提供进程保护功能,防止重要进程被意外终止。其它界面友好,易于安装、配置和管理;提供中文文档资料。S-NUMEN是国一家自主知识产权支持跨平台的系统保护安全操作系统产品,它在操作系统的安全功能之上提供了一个安全保护层,通过从核层截取文件访问控制方式,加强操作系统安全性。S-NUMEN支持IBMAIX、HP-UX、Solaris、CompaqTru64以及RedHatLinux和WindowsNT多种系统。即使一个未经授权的入侵者获得系统管理员权限,他也不能对系统及数据进行窃取或篡改,从而在根本上防止由于操作系统自身缺陷所造成的入侵。在本次中烟采购的两台P570小型机上,我们推荐部署的是信达公司的S-NUMEN做为网核心系统防护软件。3.3. 数据库系统HACMP架构设计IBM的高可用性群集多处理HACMP是一种可以将RS/6000服务器连接起来的高可用的群集的应用。群集服务器支持并行数据访问,能够帮助提供冗余和容错恢复能力,完全满足关键性商务应用的需求。Pseries服务器,通过基本系统支持,包括动态扩展核,LVM和JFS以及HANFS高可用网络文件系统,加之HACMP包含基于图形用户界面的工具,可以帮助以一种极为高效的方式对群集进行安装、配置和管理。HACMP是IBM在92年推出的软件技术,到目前已升级为5.0版本。在全球围已安装几万套,在中国也有数千套的安装量。并且HACMP以IBM全球服务与支持作为其强大后盾。IBM在每一台售出的系统中都做出坚强承诺,使客户拥有尽可能高的满意度。可以相信,在本次项目建设中,IBM 的HACMP一定能满足客户的应用需求。下面详细介绍IBM的HACMP的工作原理及应用围。HACMP网络HACMP的工作原理是利用LAN来监控主机及网络、网卡的状态。在一个HACMP环境中有TCP/IP网络和非TCP/IP网络。TCP/IP网络即client访问的公共网,如果是一个并行数据库环境,那么还必需一个不允许client访问的私网,用以lockmanager对数据进行协同工作。非TCP/IP网络用来为HACMP对cluster中的各节点进行监控而提供的一个替代TCP/IP的通讯路径,它可以是用RS232将各节点连接起来,也可以是将各节点的SCSI卡或SSA卡设置成TargetMode方式。HACMP诊断故障类型HACMP将诊测并响应于三种类型的故障:1网卡故障,2网络故障,3节点故障。下面就这三种故障分别进行介绍。u 网卡故障在HACMP的群集结构中,除了TCP/IP网络以外,还有一个非TCP/IP网络,即通过RS232串口连接,它实际上是一根心跳线,专门用来诊测是节点死机还是仅仅是网络发生故障。如下图所示,一旦节点加入了cluster即该节点上的HACMP已正常运行,该节点上的各个网卡、RS232串口和Target-ModeSSA或SCSI就会不断地接收并发送Keep-Alive信号包,K-A的参数是可调的,针对以太网,当处于normal状态时,将每隔0.5秒发送一个K-A包,如果12个包丢失后HACMP确认对方网卡、或网络、或节点发生故障。如果在slow或fast状态,参数值又有所变化,不过这种变化对于整个的接管时间的影响非常之小,以至通常可以不用去考虑。因此,有了K-A后,HACMP可以很轻易地发现网卡故障,因为一旦某块网卡发生故障,发往该块网卡的K-A就会丢失。此时nodeA上的clustermanager会产生一个swap-adapter的事件,并执行该事件的scriptHACMP中提供了大部分通用事件的scripts,它们是用标准的AIX命令和HACMP工具来写的。其过程如下图所示。每个节点上都有至少两块网卡,一块是serviceadapter,提供对外服务,另一块是standbyadapter,它的存在只有clustermanager知道,应用和client并不知道。一旦发生swap-adapter事件后,clustermanager将原来的serviceadapter的IP地址转移到standbyadapter上,而standby地址转移到故障网卡上,同时网络上其他节点进行ARP的刷新。网卡互换通常在几秒就可完成,以太网为3秒,并且这种转换对应用和client来说是透明的,只发生延迟但连接并不中断。u 网络故障如果发往nodeA上的service和standby网卡上的K-A包全都丢失,而RS232上的K-A仍然存在,那么HACMP断定nodeA仍然正常,是网络发生故障。此时HACMP执行一个network-down的事件的script,通常这个script并不做什么事,只提供一个用户自行定义其行为的接口,用户可以根据自己的网络结构,用户数,是否有替代路径,使用的通讯软件,应用软件等来自行设计网络发生故障后应采取的行为。u 节点故障如果不仅网络上的K-A全部丢失,而且RS232上的K-A也丢失,那么HACMP断定该节点发生故障,一个node-down事件发生。此时将有资源的接管发生,即放在共享磁盘列上的资源将由备份节点接管,接管包括一系列操作:Aquiredisks,VaryonVG,Mountfilesystems,ExportNFSfilesystems,AssumeIPnetworkAddress,Restarthighlyavailableapplications,其中,IP地址接管和应用的重启是由HACMP来实现,而其它是由AIX来完成。当整个节点发生故障时,HACMP将故障节点的serviceIPaddress转移到备份节点上,使网络上的client仍然使用这个IP地址,这个过程称为IP地址接管,如下图所示。当一个节点down掉后,如果设置了IP地址接管,网络上的clients会自动连接到接管节点上;同样,如果设置了应用接管,该应用会在接管节点上自动重启,从而使系统能继续对外服务。对于要实现接管的应用,只需在HACMP中把它们设置成applicationserver,并告诉HACMP启动这个应用的startscript的全路径名和停止该应用的stopscript的全路径名。由此可见,应用接管的配置在HACMP中十分简单,重要的是startscript和stopscript的写作,这需要用户对自己应用的了解。HACMP简介各厂商现有的UNIX服务器一般都拥有很高的可靠性,在这一点上IBM的P系列服务器表现尤为突出。但所有UNIX服务器均无法达到如IBM大型主机S/390那样的可靠性级别,这是开放平台服务器的体系结构和应用环境所决定的。所以,对于使用开放平台服务器的关键应用领域,我们建议使用群集软件,如IBM的HACMP来做到双机或多机的热备份。HACMP是IBM公司在P系列 AIX操作系统上的高可靠集群软件,用来保证整个系统连续可用性和安全可靠性。HACMP是利用网络来侦测主机及网卡的状况,搭配AIX所提供的硬盘镜向等功能,在主机、网卡、硬盘控制卡、硬盘或网络发生故障时,自动切换到另一套备用元件上重新工作;若是主机故障还切换至备份机上继续应用系统的运行。HACMP是IBM在92年推出的软件技术,到目前已升级为4.5版本。HACMP 5 必须运行于AIX 5L的环境中,是AIX 5.2上目前唯一支持的HACMP版本。HACMP 5的版本分为HACMP,ES和 ESCRM三个版本,本文对其增强和增加的功能做以介绍。 通过并行资源处理达到更短的接管时间 接管后与AIX workload manager 结合,提供更好的运行性能 通过自动网络发现进行自主配置 为HAView 和HATivoli集群管理提供了更高的安全性 为需要保持节点地址不变的应用如TIVOLI提供了永久的IP地址支持 提供对WAN和X.25扩展支持 通过WEB BROWSER发布集群状态信息 增强的客户寻呼功能支持 并行访问资源使应用程序的运行和扩展性更好 配置灵活,覆盖所有P系列、RS/6000服务器产品 扩展的群集管理工具适合安装、配置和管理您的高可用环境 高可用性减少了由已知事件和意外事件引起的运行中断在HACMP/ES 5版本中,提供了新增功能- IPAT through IP aliasing,对我们十分有用。使用该功能cluster中的service IP以alias别名的方式附加在boot adapter上,即boot IP和service IP同时生效,boot IP在任何时候都不会被删除与传统模式有本质区别。使用alias别名时需要按照下列原则:1. 每个cluster节点上至少有一个service IP以别名方式附在boot adapter 上。2. 不需要定义standby adapter。3. 不需要定义HWAT。4. 同一节点上的多个boot IP必须在不同的子网上。5. 同一节点上的service IP必须与该节点上的所有boot IP处在不同的子网上。6. 多个service IP可以别名方式与boot IP同在一物理网卡上。IP alias的使用去掉了以前版本中的service IP的数量不能超过物理网卡的数量的限制。也就是说,多个带有service IP的资源组可以只用两快物理网卡。另外,在Enhanced Scalability 和 ES/Concurrent Resource Manager 版本中还提供: 更加简单的配置方法,在任意共享磁盘设备上定义并发资源组 新增应用可靠性分析工具,使用户可更好的衡量系统和应用的有效运行时间 提供与GPFS V1.5集群文件系统的紧密集成 对于卷组QUORUM丢失提供监视和恢复 对于在每快网络适配卡上配置的多个应用提供IP别名支持 为用户可编写的CLUSTER-AWARE的应用提供64位CLIENT INFO编程接口 可根据用户指定的资源组处理顺序进行接管3.4. IBM Power 5709117-MMA介绍9117-MMAIBM Power 570系统建立在基于 POWER6 处理器的技术之上3.4.1 一般特性机柜型安装带有独特构建块体系结构的 2 到 16 路 SMP 设计64 位 POWER6 处理器的技术秉承主机技术的 RAS,包括动态固件升级动态 LPAR 支持IBM Virtualizatuon Engine 支持可选:微分区共享的处理器池虚拟 I/O虚拟 LAN 多达 20 个可选的 I/O 扩展抽屉HACMP 支持可提供近乎不间断的运行操作AIX 5L V5.2、AIX 5L V5.3、i5/OS* 和 Linux* 支持Cluster 1600 支持具有群集系统管理功能i5/OS 计划用于特选的 p5-570 1H05 型号。3.4.2 硬件摘要2 个、4 个或 8 个 1.5GHz 64 位 POWER5 处理器2 个、4 个、8 个、12 个或 16 个 64 位 1.65GHz 或 1.90GHz POWER5 处理器 1.651.90GHz 的 2GB 到 512GB 存2GB 到 256GB 1.50GHz每模块 6 个热交换磁盘驱动器支架,可提供多达 880GB 的部存储容量4 模块 3.5TB;16 路每模块 6 个热插拔 PCI-X 适配器插槽每 16 路 24 个插槽I/O 扩展抽屉最多可添加 140 个 PCI-X 插槽和 240 个磁盘驱动器支架增加 32.5TB每模块 2 个集成的部 Ultra320 SCSI 控制器可选 RAID每 16 路 8 个 Ultra320 控制器每个模块支持12通道的2Gb以太网端口;支持8通道万兆以太网端口2Gb 光纤通道和万兆以太网适配器选配每模块 2 个介质支架每 16 路 8 个u P5 570描述l 构建块体系结构提供了卓越的性能和灵活的伸缩性 l IBM Virtualization Engine 和 Power Architecture 功能有助于提高系统的使用效率 l 灵活的 CoDCapacity on Demand功能有助于经济有效地管理增长和响应不断变化的工作负载IBM p5 570 中端系统具有卓越的性价比、秉承主机技术的可靠性和可用性功能、灵活的容量升级和创新的 IBM Virtualization Engine 系统技术。p5-570 基于具有同步多线程、独特的可伸缩性和构建块封装技术的 IBM POWER5 处理器,非常适合于服务器整合项目、数据库与应用程序服务、电子商务以及部门或地区服务器的部署。机柜型 p5-570 为商业应用程序和高性能计算HPC应用程序提供了动力,并提供了灵活性、可伸缩性和可靠性功能。IBM p5 570 在随需应变的环境中是经济实惠和灵活的服务器。IBM 创新的 Virtualization Engine 系统技术和 CoD 可选功能有助于提高服务器对各种计算需求的响应能力。这些功能还有助于提高处理器和系统组件的系统利用率,从而允许企业以较小的系统满足他们的计算需求。通过组合最先进的 IBM 前沿技术,p5-570 提供了企业级的性能和对于不断变化的市场条件的灵活适应能力,从而为公司提供了在当今竞争激烈的随需应变环境中生存所需的关键能力。模块化构建块提供了灵活的可伸缩性p5-570 由构建块模块封装而成。每个 p5-570 模块可以支持多达 4 个处理器,还有存、介质、磁盘、I/O 适配器、电源和冷却系统以创建均衡的、高性能的机柜系统。构建块模块通过具有全总线速度的独特电缆系统相连接。在 19 英寸的机柜里最多可以将 4 个模块集成为一个的对称多处理器SMP服务器。客户可以通过提供基础架构例如:电源 、安装有冷气设备的空间以及机架空间,来经济有效地构建规模正好适合于处理需求的系统,以支持所需模块的数量。因为 构建块体系结构使客户能够扩充的不仅是处理能力,而且还有存、部存储器和 I/O 容量,当计算需求增加时,p5-570 服务器可以提供巨大的容量和灵活性,以应对应用程序的无缝扩展。另外,在单个 HPC 群集中可以包含多达 64 个 p5-570 系统。为了使 IBM 服务器的可用性达到极致,可以使用旨在提供近乎不间断可用性的 HACMP 软件将 p5-570 群集化。IBM Virtualization Engine 技术有助于提高利用率和生产力eServer p5 570 服务器的一大特点是为 UNIX 或 Linux 入门级系统带来突破性技术。IBM Virtualization Engine 系统技术是可选的功能,这种技术包括了许多创新技术,如微分区,它在帮助企业确保应用程序可以持续获得所需资源的同时,还能提高系统的利用率。 微分区通过精细地调优系统来整合多个独立的 AIX 5L 和 Linux 工作负载,从而有助于降低成本。一个 16 路 570 型号可以托管多达 160 个虚拟服务器分区。动态逻辑分区帮助分配系统资源处理器、存和 I/O以便对不断变化的工作负载需求进行更快的且不间断的响应。 类似虚拟 I/O 这样的可选创新技术允许共享昂贵的磁盘驱动器、通信适配器和以光纤通道连接的磁盘,并有助于降低复杂性和系统管理费用。共享的处理器池能够在分配给共享池的分区之间,不间断地自动均衡处理能力,从而提高了吞吐量和利用率。类似虚拟 I/O 这样的可选创新技术允许共享昂贵的磁盘驱动器、通信适配器和以光纤通道连接的磁盘,并有助于降低复杂性和系统管理费用。共享的处理器池能够在分配给共享池的分区之间,不间断地自动均衡处理能力,从而提高了吞吐量和利用率。随需应变地增长可以在 1.65GHz 和 1.90GHz 的 p5-570 系统上选择使用多种 CoDCapacity on Demand,通过使用安装在系统上而最初购买系统时未激活的资源,来帮助满足随需应变环境中不断变化的资源需求: Capacity Upgrade on DemandCUoD允许公司购买额外的永久处理器或存容量,以便在需要资源时激活。 试用 CoD 提供了一次性的无需额外费用的 30 天试用期,它允许客户使用其服务器上未处于活动状态的处理器容量。 预留 CoD 允许公司购买处理器功能部件,这些处理器已预付费用,使用期限为 30 个处理器日,然后每过 24 小时激活一次,以响应工作负载的需求,在需求下降时自动取消激活这些处理器。 CoD 开关使得公司能够根据需要每隔一天激活一次处理器或存。秉承主机技术的 RAS 功能有助于使随需应变系统保持可用eServer p5 570 系统秉承主机的可靠性、可用性和可维护性功能,这有助于使系统能昼夜不停地运行。 p5-570将p系列的世界一流RAS传统特性扩展到入门级系统中这些特性包括并发固件更新,对于大多数操作来说,可以在进行IBM系统固件升级的同时,保持应用的运行、热拔插I/O扩展机箱,可以在正在运行的应用不中断运行的情况下添加I/O容量、更为细致的L2高速缓存分解、增强的L3高速缓存列删除和能够提供更好自恢复功能的ECC高速缓存。IBM eServer p5 570中端 UNIX 和 Linux 服务器中的新标准P5 570 系统兼有通过构建块体系结构进行灵活扩展的功能、出色的可靠性/可用性功能、便利的 CoD 选项和先进的虚拟化技术,使得它成为金融服务业、保险业、医疗机构、娱乐业、运输业、工业企业、批发业、公共事业、零售业和通信业理想的选择。在具备这些品质的基础之上,p5-570 旨在以合理的成本为任何规模的企业提供企业级的随需应变计算能力,而且不会降低可用性、性能或安全性。u P5 570功能部件与益处功能部件益处POWER6 微处理器旨在提供卓越的应用程序性能以及高可靠性包含 SMT 来帮助提高商业系统性能与处理器的利用率高容量存I/O 带宽快速的处理器,减少在系统中移动数据时等待的时间能更快速地传输数据以满足 HPC 以及其它需要大量使用存的应用程序的需求灵活的安装方式p5-570 机柜系统的模块化结构有助于实现更低的成本和易扩展性共享的处理器池*能够在分区间透明地共享处理能力有助于均衡处理能力,并确保高优先级分区获得它们需要的处理器周期微分区*允许共享处理器池中的每个处理器最多可分成 10 个分区可细调处理能力以满足工作负载要求虚拟 I/O*通过共享昂贵的资源来帮助节约成本并使系统管理更容易。虚拟 LAN*有助于加速分区间部通信以存速度动态的逻辑分区允许在不重启受影响分区的情况下,重分配系统资源在使用可用容量方面提供了更大的灵活性,并能更快速地提供资源以满足不断变化的业务需求秉承主机技术的 RAS 使用通常在更大、更昂贵系统中才有的功能部件提供卓越的系统可用性,这些功能部件包括服务处理器、Chipkill 存、FFDC、所选系统资源的动态释放、动态固件,等等多样化的 CoD 方案* 提供对处理器和存的临时使用,以满足可预测的业务峰值提供对处理器的预付费使用来满足间歇性或周期性需求在永久激活之前提供 30 天的试用期来测试增加的处理器或存容量允许永久添加处理器和存以满足长期的工作负载增长网格计算支持*允许在异构和地理位置不同的环境之间共享全异的计算资源和数据资源,以帮助提高最终用户的生产力带 CSM 支持的扩展考虑以更小容量单位的增长,以便能轻易地满足最终用户的需求提供对多个互联系统的集中管理提供了通过共享资源处理意外的工作负载峰值的能力多操作系统支持允许客户灵活地选择合适的操作系统以及合适的应用程序以满足其需求提供扩大应用程序选择围的能力,从而可以选择大量开放源码应用程序AIX 5L 操作系统无需复杂的系统配置或调优,就能为各种工作负载提供最大吞吐量提供二进制向上兼容性来帮助保持软件投资提供了集成的安全功能来保护系统通过 Linux 的同源性,扩展了应用程序的选择围Linux 操作系统可以使用 32 位和 64 位开放源码的 Linux 应用程序在 IBM eServer 平台之间提供公共的操作环境3.4.3 P5 570规格可用配置每个模块1.50GHZ 处理器配置1.65 或 1.90GHz 处理器配置微处理器:第一个模块的配置为2路或4路64位1.5 GHz、1.65 GHz或1.9 GHz POWER5处理器; 其它模块配置4路处理器2、4 或 8 路 64 位 1.50GHz POWER5 处理器2、4、8、12或 16 路 64 位 1.65 或 1.90GHz POWER5 处理器 三级L3高速缓存最大:36MB2 个处理器模块或 72MB4 个路处理器模块144MB288MB共享系统存标准/最大:2GB/128GB12GB/16GB22GB/256GB12GB/512GB12GB/64GB2处理器到存的带宽最大:25.5GB/秒151.1GB/秒251.0GB/秒1102.1GB/秒1204.6GB/秒2L2 高速缓存到 L3 高速缓存的带宽最大:48.0GB/秒160.8GB/秒296.0GB/秒1192.0GB/秒1243.2GB/秒2置磁盘支架最多:在分开的底板上有 6 个3+312 2 块分开的底板24 4 块分开的底板介质支架最多:2 个薄的热插拔介质支架4 个薄的热插拔介质支架8 个薄的热插拔介质支架适配器槽PCIX:6 个可任意交换的热插拔:12 个可任意交换的热插拔:24 个可任意交换的热插拔:5 个长的 64 位 133MHZ 3.3V10 个长的 64 位 133MHZ 3.3V20 个长的 64 位 133MHZ 3.3V1 个短的 64 位 133MHZ 3.3V2 个短的 64 位 133MHZ 3.3V4 个短的 64 位 133MHZ 3.3VI/O 适配器:2 个 10/100/1000 以太网;2 个 Ultra320 SCSI 4 个 10/100/1000 以太网;4 个 Ultra320 SCSI 8 个 10/100/1000 以太网;8 个 Ultra320 SCSI 端口最多:3 个 USB 端口,3 个串行端口,2 个 HMC 端口6 个 USB 端口,6 个串行端口,2 个 HMC 端口12 个 USB 端口,12 个串行端口,2 个 HMC 端口I/O 扩展:最多可达 8 个远程 I/O 扩展抽屉7311-D11 和 7311-D20 的组合最多可达 12 个远程 I/O 扩展抽屉7311-D11 和 7311-D20 的组合最多可达 20 个远程 I/O 扩展抽屉7311-D11 和 7311-D20 的组合连接支持:2Gb 光纤通道 12;万兆以太网 82Gb 光纤通道 24;万兆以太网 162Gb 光纤通道 96;万兆以太网 32逻辑分区支持动态 LPARIBM Virtualization Engine 系统技术可选:微分区每个处理器的 LPAR 最多可达 10微分区每个处理器的 LPAR 最多可达 80微分区每个处理器的 LPAR 最多可达 160虚拟 LAN存到存的分区间通信虚拟 LAN虚拟 LAN虚拟 I/O共享的部 SCSI 磁盘;共享的 FC 适配器;共享的 GB 以太网适配器虚拟 I/O虚拟 I/OCapacity on Demand 功能部件可选:处理器 CUoDNA处理器 CUoD存 CUoD1NA存 CUoD1预留的 CoD NA预留的 CoD 开/关处理器 CoDNA开/关处理器 CoD开/关存 CoD1NA开/关存 CoD1试用 CoDNA试用 CoDRAS 功能部件:铜和绝缘体硅SOI微处理器动态固件更新IBM Chipkill ECC,位导引存ECC 二级高速缓存,三级高速缓存服务处理器热交换磁盘支架热插拔 PCI-X 槽在基本系统和 I/O 扩展抽屉上7311-D11 I/O 扩展笼上的可任意交换的 PCI-X 槽热插拔电源和冷却风扇动态的处理器释放逻辑分区的动态释放和 PCI 总线插槽的动态释放冗余冷却风扇可选的冗余电源操作系统:AIX 5L V 5.2/5.3 SUSE LINUX Enterprise Server SLES*Red Hat Enterprise Linux*i5/OS电源需求:200v 到 240v 交流系统尺寸:6.85 高 4U x 19.0 宽 x 31.1 长174.1mm x 483mm x 790mm8U19 机柜16U19 机柜保修三年, 7X24小时保修无附加收费3.5. S-NUMEN系统简介3.5.1 产品背景随着信息技术的不断发展,越来越多的企业和组织机构加快信息化建设的步伐,与此同时,Internet和Intranet无所不在的紧密结合亦使IBM服务器问题突出显现。目前常见的IBM服务器解决措施:主要采用防火墙、入侵检测系统、防病毒等安全产品。IBM服务器是一项系统的工程,上述的产品只能针对某一方面,解决部分安全问题。而目前许多黑客也综合采用多种手段来攻击,如果只解决某一方面的安全问题,不能起到真正的安全,所以必需全面的考虑安全问题。长期以来信息安全对基于网络应用的外部防技术关注较多,而通过系统核加固技术对网核心系统进行有效的保护,筑起数据安全的最后一道防线,正在成为继网络层应用层IBM服务器产品后已成为信息安全产品的发展趋势。3.5.2 技术原理信达的S-NUMEN作为操作系统级系统保护产品,是在不改变操作系统核的情况下,对核心服务器进行保护。S-NUMEN工作原理如下:Unix操作系统有一个系统调用表,包含指向每个系统调用的存地址的指针。应用程序对资源的访问、对硬件设备的使用、进程间的通讯都是通过系统调用接口在操作系统核中实现的。安全核保存了该表中与安全有关的系统调用的指针,并把这些系统调用重定向到S-NUMEN的相应代码。当用户或程序执行一个与安全有关的系统调用时,S-NUMEN系统调用代码会检查S-NUMEN数据库。如果调用是被授权的,S-NUMEN调用原来的Unix系统调用,就像S-NUMEN没有安装一样。否则,安全核返回权限错误,禁止该请求。这种实现方式与应用级的安全产品比较有着明显的优势。系统入侵检测产品作为应用层产品出于本身安全性考虑以及功能上无法到达系统保护的功能。网络级入侵检测产品和防火墙作为网络级安全产品从技术原理上讲不具备网核心安全的要求。同时,S-NUMEN产品与其他系统保护产品的优势在于它不需要修改操作系统核并且无需重启系统,这种方式完全满足现有高端服务器的要求。而其它系统保护产品不但使系统管理和支持复杂了,也会违背操作系统的供应商授权-使操作系统维护更困难,增加了巨大的开支。3.5.3 产品特色及功能3.5.3.1实现网核心安全当防火墙、入侵检测、VPN等网络级安全产品不能满足日益受到威胁的网核心安全时,S-NUMEN作为系统级系统保护产品可以保证网核心服务器的安全。由于来自于部外部的网络入侵事件频频发生,企业的网络和其他重要的服务器前所未有地暴露在黑客及非授权部人员的侵入和攻击的威胁下。S-NUMEN能够防止非授权的访问,使网核心服务器安全运行。3.5.3.2基于数字签名的用户认证大部分信息系统使用ID和口令保护自身安全。但是单独的口令不能带来充分的保护,它们很容易被共享和猜出来。有时候,口令会遭到野蛮攻击和词典攻击。S-NUMEN利用数字签名证书机制保证了用户身份识别的可靠性。3.5.3.3不修改操作系统核,无需重启系统S-NUMEN是系统级安全产品,在加强操作系统安全的同时,并不对系统的核进行修改,从而保证了关键业务服务器的稳定运行。除此之外,在服务器安装S-NUMEN后,系统无需重启,避免了服务器重启所产生的不必要损失。3.5.3.4提升现有操作系统的安全级别WINDOWS、UNIX系统大多为C2级,采用自主存取控制机制。安全性更高的B1级采用强制存取控制机制,强制存取控制 提供了基于信息性的存取控制方法,用于将系统中的用户和信息进行分级别、分类别管理,强制限制信息的共享和流动,使不同级别和类别的用户只能访问到与其有关的、指定围的信息,从根本上防止信息的丢失泄密和访问混乱现象。尤其适用于军事、政府重要部门和金融、电力领域。3.5.3.5跨平台支持功能S-NUMEN是国第一家自主知识产权支持跨平台的系统保护安全操作系统产品,S-NUMEN能够提升每个系统的安全性,以满足整个业务的安全需求。S-NUMEN支持包括UNIX、Linux和Windows在的多种平台。3.5.3.6权限分离操作系统访问控制以及操作系统漏洞的最佳策略是任务分离和最小权限原则。 S-NUMEN通过RBAC角色访问控制、MAC强制访问控制将安全管理员的权限分离。严格分开系统管理员和安全管理员的权限,以控制系统管理员的权限,来防止外人员通过非法获得系统管理员权限破坏文件系统信息。3.5.3.7堆栈溢出保护S-NUMEN能够防止黑客利用堆栈溢出的机会,从而可以阻止黑客执行任意指令、侵入系统。3.5.4 S-NUMEN系统功能3.5.4.1数字签名认证机制为了达到网核心安全的目的,S-NUMEN采用了数字签名证书为基础并结合访问控制的技术。当安全核安装后,没有通过数字签名证书认证的用户,即使获得了管理员权限,也不能访问被安全核保护的资源。S-NUMEN通过接管系统所有访问控制权限,实际上取消了超级用户root权限,通过使用数字签名证书认证机制,达到用户认证目的。用户或者其他非法入侵者即使获得了超级用户口令也无法访问系统重要资源。对系统管理员或用户颁发数字签名证书,通过基于操作系统核级的认证机制完成用户登录过程。3.5.4.2管理S-NUMEN提供远程站点的unix用户及组管理功能。S-NUMEN在核层基于证书进行认证,提高安全强度,所以为控制安全管理员配置的文件要用安全管理员发行的证书得到认证。3.5.4.3口令质量控制S-NUMEN为管理员提供了口令质量控制的功能,管理员可以利用这项功能实现密码的质量控制,如:设置密码的最大长度和最小长度,密码中出现的特殊字符的最少数量,当口令更改后,该密码的使用期限等。通过S-NUMEN与系统结合,S-NUMEN提供了对用户登录口令的管理,S-NUMEN 将口令质量控制分为两部分:密码更改期限&密码登录限制和密码格式。这些口令质量控制规则如下:n 一旦口令被更改,那么该口令将在多少时间不允许再次更改。n 当口令更改后,该密码的使用期限。n 该被注销的期限。n 距注销时间还剩多少时对该用户进行通知。n 试图更改密码的次数。n 密码中存在数字的数量。n 密码的最大长度和最小长度。n 密码中存在的字符串大写字母和小写字母的最少数量。n 密码中出现的数字的最少数量。n 口令不能重复的期限。n 密码中出现的特殊字符的最少数量。n 与以前密码之间至少有多少个字符不一样。n 创建的用户名至少与其他用户名有多少个字符的区别。n 利用口令字典限制某些特定词做口令。n 禁止使用的用户。3.5.4.4文件的访问控制S-NUMEN 允许已经通过认证的S-NUMEN 用户或该组访问由S-NUMEN保护的文件。S-NUMEN 可以控制多达17种的系统调用,S-NUMEN将对照相应的列表实现对用户的控制。UNIX本身用户对用户、组成员、其他用户拥有读、写、删除等控制权限,通过S-NUMEN 可以实现更强大的安全策略,由S-NUMEN 控制的文件,即使root用户也不能对其进行访问。提供有条件的访问控制列表的方式对资源保护:S-NUMEN 可根据用户的需求,依据用户、组、文件、任务、权限等配置安全策略,制定详细的访问控制,可管理23个以上的系统调用,对文件、系统、进程等系统资源进行保护。并可防止由攻击引起的对数据的篡改, 阻止非授权用户中断进程和守护进程,保障服务器的稳定运行。限制访问资产的方式。:按组、用户、操作等分类的多种访问控制功能。aS-NUMEN 可以建立基于用户的访问控制,可以根据业务及责任建立信息策略。bS-NUMEN 可以建立基于Group的访问控制。c多样的Operation Control 功能,控制17个以上的访问控制。注释:数据库中最基本的单位是文件,实现对文件访问权限控制即可达到对数据库的保护。3.5.4.5防止程序非法终止S-NUMEN 提供进程保护功能,通过防止进程的非法终止保证服务器的稳定运行。被S-NUMEN 保护的进程无法kill,即使是root用户不通过认证也无法终止被保护的进程。进程被S-NUMEN 保护后, 除通过电子签名认证过程并取得认证的安全管理员之外,任何人都无法停止相应程序的运行。该功能设置到需要持续提供服务的程序中,是非常有用的功能,可防止由于非法取得系统 root权限而引起中断服务的事故。S-NUMEN提供了对进程的保护,截取发向进程的sigkill、sigstop和sigterm信号。被保护的进程可以正常或异常推出,但是不能被非授权用户包括root杀死。传统的Unix没有对进程的保护措施。进程的属主和root可以用kill命令杀死正在运行的进程。实际上,一些关键的进程如数据库守护进程、应用程序进程等应该一直运行,不应该被杀死。S-NUMEN 提供了对进程的保护,他截取了发向进程的sigkill、sigstop和sigterm信号。被保护的进程可以正常或异常退出,但是不能被非授权的用户杀死。这就保护了误操作造成的关键进程的异常中止,保障了系统的可靠性,只有通过认证的超级用户可以结束进程。3.5.4.6程序自动权限设置由于S-NUMEN 会控制未经过电子签名认证过程的用户访问已设置了访问权限的文件,所以,未获得认证的用户无法访问设置了访问权限的文件。但是,如是在系统中不停运行的程序,它不是用户程序,所以无法经过认证过程。 如果对运行这种程序所需的文件设置了访问权限,程序无法被访问,因此会无常运行。在这种情况下,S-NUMEN 通过程序自动权限设置,设置为赋予相应程序以适当的权限,可保障在运行相应程序时,自动分配相应权限,程序即可正常运行。S-NUMEN 中对设置访问控制的文件通过证书进行认证,所以没有获得认证的用户不能访问受保护的文件。但作为在系统中运行的进程因不是用户不能进行认证过程.因这些进程无法访问不能正常运行。在这样的情况下通过自动权限文件设置对相应进程赋与适当权限,这样可以保障进程的正常运行。3.5.4.7Setuid 控制特权程序控制控制执行文件时UID变化的文件。例如象对系统的口令文件记录信息的 passwd 程序,为执行命令以root权限运行。SUID因临时对用户赋予更大的权限,所以对设置Setuid位的所有系统中的程序要监控它的变化。S-NUMEN在安装时会自动检测系统中的特权程序,将这些特权程序加入S-NUMEN资源列表中,安全管理员可以通过配置,限制特权程序的使用,如果没有S-NUMEN的授权,即使root用户也不能使用特权程序,这样就可以进一步加强系统的安全性。通过S-NUMEN向用户颁发的数字签名证书,只有通过数字签名证书认证的用户可以使用特权程序。3.5.4.8网络控制服务S-NUMEN网络控制具备了系统防火墙功能,该功能控制远程对服务器IP或服务的访问。通过功能强大的网络服务及IP地址控制,可以很好的限制用户访问系统资源。S-NUMEN 提供的系统防火墙功能允许对TCP、UDP以及ICMP等数据包进行外访问的控制,并且可以对以用户为主体进行网络访问控制。3.5.4.9登录服务控制S-NUMEN 提供对登录服务的限制,这些服务包括 telnet、 ftp、 rlogin、dtlogin。 S-NUMEN 具备了识别不同登录过程中使用的系统调用序列来拦截用户登录过程,在S-NUMEN中添加相应的策略,可以限制用户使用telnet、ftp、rlogin、dtlogin、ssh等多种登录系统的方式。a过识别不同登录过程中使用的系统调用序列来拦截用户登录过程S-NUMEN具备了识别不同登录过程中使用的系统调用序列来拦截用户登录过程,在S-NUMEN中添加相应的策略,可以限制用户使用telnet、ftp、rlogin、dtlogin、ssh等多种登录系统的方式。b限制用户登录的终端S-NUMEN具备用户登录访问控制功能,可以很好的实现限制用户登录终端的目的,通过S-NUMEN管理控制台,安全管理员可以设置系统用户允许登录的终端IP地址,该用户只有使用策略中允许的终端才可以登录到系统中。c限制用户的登录段S-NUMEN可以对用户的登录时间段进行限制,这些策略包括用户在一周中的哪天可以登录,一天中的某个时间段可以登录,以及某个特定的时间段可以登录。d控制用户登录时可以输入错误口令的次数通过S-NUMEN 控制台用户认证管理,可以设置用户登录输入错误口令的次数。并且当某种登录连接例如:telnet、ftp在一段时间没有任何操作时,S-NUMEN可以自动断开连接。3.5.4.10入侵响应系统IPS当系统发生入侵行为或者违反安全策略的操作时,S-NUMEN利用自身功能对用户程序在网络层和系统部对该用户程序 进行阻断,并且由系统向管理员进行报警。在报警条件中添加相应的报警规则,S-NUMEN可对入侵行为和违反安全策略的用户程序进行阻断。当有违反安全规则的情况出现时,S-NUMEN 服务器端会向特定的系统发送报警信息,S-NUMEN监控程序会以多种方式进行报警。S-NUMEN IPS功能特点:1不同于网络级IPS产品,S-NUMEN IPS功能不存在误报率问题。网络级IPS可以对试图入侵的行为做出报警和主动响应,然而入侵者可以利用伪造IP地址发送数以万计的攻击数据包,从而造成大量的误报。同时,如果网络IPS规则应对不好,还会造成大量的合法IP地址被屏蔽。S-NUMEN IPS会主动攻击已经发生的入侵或者破坏行为,而不是攻击那些试图入侵行为,这从根本上避免了误报问题。2如果破坏者拥有合法身份,只要他违反了S-NUMEN IPS制定的规则,S-NUMEN IPS仍然会第一时间对这种入侵行为进行主动攻击。系统管理员拥有服务器最高操作权限,当一个用户通过某种方法获得该,那么他都可以正常登录这台服务器。这时,网络级IPS不会对这个用户的任何操作做出响应,因为他是正常登录。然而只要这个用户做出具有破坏行为的操作,S-NUMEN IPS就会对这个用户做出主动
展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 办公文档 > 工作计划


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!