- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
H3C HDM2安全技术白皮书
Copyright © 2023 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
H3C服务器管理系统HDM2,作为H3C第二代服务器设备的重要管理软件,面向终端用户不仅提供基于浏览器的Web管理界面,同时也提供大量接口来方便对接用户的网管系统,满足多样的管理需求。
HDM2管理软件在设计时,不仅关注客户功能需求的满足,支持对外导出服务器硬件对安全的支持情况,同时也充分考虑自身的安全性,以满足用户在多种场景下对管理通道安全性的需求。
对硬件安全特性的支持上,主要是针对各个具体服务器支持的硬件安全特性提供对应的用户管理界面,方便用户查看支持情况、查看操作日志、功能使能等操作。
对于HDM2管理软件自身,则从接入方式、账号管理、传输链路加密、数据存储、操作审计等多个维度来保障服务器管理操作时的可靠性。
注:为描述方面,以下内容HDM均表示HDM2。
如图2-1所示,当服务器内的开箱检测模块触发了开箱的信号,软件接收到硬件GPIO管脚发送的信号,触发软件中断,进而判断当前发生了开箱信号还是关箱信号。当确认了开关箱信号时,HDM通过传感器将产生的开箱告警通过事件日志(SEL)上报。另外在AC下电时也能进行服务器的开箱检测,开箱信号由BIOS捕获,并在HDM完全启动后通过传感器将产生的开箱告警通过事件日志(SEL)上报。
用户可从Web页面可以看到当前是发生了开箱还是关箱动作。设备开箱或关箱后,在HDM界面上有对应的事件如图2-2所示。
病毒程序利用操作系统对执行代码不检查一致性的弱点,将病毒代码嵌入到执行代码程序,实现病毒传播;黑客利用被攻击系统的漏洞窃取超级用户权限,植入攻击程序,肆意进行破坏;更为严重的是,对合法的用户没有进行严格的访问控制,从而可以进行越权访问,造成不安全事故。
1999年10月,多家IT巨头联合发起成立可信赖运算平台联盟(Trusted Computing Platform Alliance,TCPA),后改组为可信赖计算组织(Trusted Computing Group,TCG),希望从跨平台和操作环境的硬件和软件两方面,制定可信赖电脑相关标准和规范。
可信平台模块自身必须是安全的,这是可信平台模块有效工作的基础;可信平台模块必须具备构建可信计算平台和远程证明所需的各类功能,这些功能是可信平台模块的核心。
可信计算的计算平台在系统中落地,需要芯片、固件、软件多个维度来支持。通常,在H3C服务器的设计上,支持选配TPM、TCM模块。软件上,当前支持对符合TPM或TCM标准芯片的信息查询。如图2-3所示,可通过HDM页面查询。
受安全政策的影响,不同地方的使用标准不同。
受兼容性的限制,有些功能模块依赖标准不同,如:Windows的BitLocker、虚拟智能卡(Virtual Smart Card)等功能依赖TPM才能使用。
固件对于系统的正常运行有至关重要的影响,一旦固件受到损坏,系统就会出现异常,甚至无法启动。当前,HDM在固件安全方面,做了以下措施:
· 存放BMC镜像的Flash区域,设计了双镜像方式,除了主分区镜像外还有Golden Image镜像。当主分区镜像损坏且无法恢复时,可以切换到Golden Image镜像运行。
· 对于关键固件,BMC、BIOS镜像都支持异常恢复机制。当HDM在BMC主分区运行过程中出现异常重启或无法完全启动时,HDM会主动切换到Golden Image 镜像对主分区镜像进行恢复并切换回主分区;当监测到BIOS在启动过程中出现上电超时或无法完全启动时,HDM会主动对BIOS固件镜像进行恢复并重新上电。
· 固件升级过程中支持异常重启升级任务恢复机制。该机制确保在通过HDM升级组件时,升级流程不会因为中途整机异常下电或HDM异常重启而中断,HDM重新启动后会继续执行重启前未完成的组件升级任务。
· 所有对外发布的HDM、BIOS固件版本都带有签名机制。固件打包时,通过SHA-384算法摘要,用RSA4096加密摘要,在固件升级时,通过签名校验方式来防止篡改,只有签名符合要求的固件才允许升级到设备上。
· 运行时,对镜像所在区域进行写保护。同时,每次启动时对镜像文件的完整性进行校验,必要时进行恢复。
所有的管理接口都是需要通过认证后才能访问相关的管理信息。
HDM兼容IPMI 1.5/IPMI 2.0规范,通过第三方工具(如:IPMItool)基于eSPI通道的KCS协议或LAN通道的UDP/IP协议实现对服务器的有效管理。
· 基于KCS时,IPMItool等工具必须运行在服务器本机的操作系统上。
· 基于LAN时,IPMItool等工具可以远程管理服务器,支持基于RMCP+协议认证。
SNMP(Simple Network Management Protocol,简单网络管理协议)广泛用于网络设备的远程管理和操作。SNMP允许管理员通过NMS对网络上不同厂商、不同物理特性、采用不同互联技术的设备进行管理,包括状态监控、数据采集和故障处理。
HDM支持设置SNMP的信息,包括选择SNMP版本,只读团体名和读写团体名。
SNMP v1/v2c团体名在Web端以密文形式呈现,并为了防止数据在链路上被监听,团体名数据基于AES128加密算法进行加密传输。SNMPv3版本支持鉴权算法与加密算法独立,可以基于用户视图进行访问控制,增强了安全性。SNMPv3版本鉴权算法支持SHA、MD5、SHA256、SHA384、SHA512,加密算法支持DES、AES、AES192、AES256,加密算法AES192、AES256需与鉴权算法SHA256、SHA384或SHA512搭配使用。
对基于Redfish接口进行带外访问时,均需在会话认证通过后才可进行,相关数据是基于SSL链路来传递。
HDM 对外提供的Web可视化管理接口,支持通过HTTPS访问,可以保证通过HDM 访问的数据无法被窥视。当前支持的TLSv1.0、TLSv1.1、TLSv1.2、TLSv1.3,支持的安全算法套件有:
RSA_WITH_AES_128_CBC_SHA256、RSA_WITH_AES_256_CBC_SHA256、RSA_WITH_CAMELLIA_256_CBC_SHA、RSA_WITH_AES_128_GCM_SHA256、RSA_WITH_AES_256_GCM_SHA384。
由于TLSv1.1及以下版本存在安全风险,HDM的HTTPS链路默认使用TLSv1.2安全传输协议。
虚拟KVM是指用户在客户端利用本地的视频、键盘、鼠标对远程的设备进行监视和控制,提供实时操作异地服务器的管理方式。
为了保障用户连接上的服务器信息不在链路上泄露,交互过程的信息不被监听,对启用安全端口的KVM链接通道传递的数据,采用加密方式进行通信。
同时,H5方式下,支持单一端口认证功能,虚拟KVM和虚拟媒体相关的功能是通过Web服务接口来统一导出,可减少对外开放的Web接口,以便减少安全风险。
虚拟媒体即通过网络在服务器上以虚拟USB 光盘驱动器和软盘驱动器的形式提供对本地媒体(光盘驱动器、软盘驱动器或光/软盘的镜像文件,硬盘文件夹)的远程访问方式。虚拟媒体的实现原理是将客户所在的本地主机的媒体设备通过网络虚拟为远端服务器主机的媒体设备。
支持的虚拟媒介有:
· DVD、CD光驱
· Floppy软驱
· ISO、IMG文件
· 虚拟文件夹
· USB key
为了保证对虚拟媒体进行访问时,防止数据在链路上被监听,数据可通过安全端口加密传输。
VNC(Virtual Network Console,虚拟网络控制台)用于传送服务端的原始图像到客户端,该协议提供一种不用登录HDM即可访问控制服务器的方法,即用本地主机的显示器、输入设备远程控制服务器。
VNC客户端与VNC服务端建立会话时,需要远程计算机的IP(IPv4/IPv6)和VNC密码(认证过程:服务器向客户端发送16字节随机码,客户端用VNC密码作为KEY采用DES加密该随机串发给服务端校验)。在访问持续过程中,可根据选择的连接类型来决定是否对链路中的数据进行加密。
部分版本可根据需要选择支持以下两种VNC安全连接类型:
· VNC over SSH(数据通过SSH通道传输)
· VNC over stunnel(数据通过stunnel程序建立的TLS/SSL通道传输)
告警邮件通过SMTP(Simple Mail Transfer Protocol,简单邮件传输协议)协议,实现将告警信息以邮件的形式发送到指定接收人。通过启用TLS加密传输功能,可保证数据传输的保密性和完整性。
Syslog告警功能可以配置服务器以Syslog报文方式发送操作日志、事件日志、安全日志、传感器日志和串口日志到目的服务器。
为了确保设备和Syslog服务器之间的流量是安全和可信的,在数据传输时支持TLS单向认证和TLS双向认证。这为登录到Syslog组织网络或应用程序的用户提供了一个额外的安全层。它还可以验证不遵循登录过程的设备连接。
对设备的操作相关信息,均记录到操作日志中,包括:审计日志、配置日志、固件更新日志和硬件更新日志。
· 审计日志:记录访问HDM的操作信息,包括:通过浏览器登录HDM、启动远程控制台等信息。
· 配置日志:记录用户的配置操作及操作结果。
· 固件更新日志:记录固件更新的操作信息及操作结果。
· 硬件更新日志:记录硬件更新的操作信息及操作结果。
通过操作日志,可了解到用户登陆情况、硬件更换情况、配置变更情况。通过这些信息可以对设备的操作情况进行审计跟踪处理。
SDS(Smart Diagnosis System,智能诊断系统)日志包括HDM事件日志、HDM操作日志、设备信息、运行参数、内部诊断信息。为防止部分敏感信息泄漏,因此对如故障诊断日志、boot启动日志、周期性采集数据(温感、功率等)、内部调试日志等内容进行加密处理,需配合安装HDM License 的SDSViewer工具才能查看。
基于安全考虑,HDM 提供防火墙特性以实现基于场景的登录管理。HDM可以从时间、IP地址和IP协议版本(IPv4/IPv6)、MAC、端口、协议(TCP/UDP)五个维度将服务器管理接口访问控制在最小范围;目前该特性适用于WEB、SSH、SNMP v1/v2c/v3、IPMI LAN、Redfish接口的登录限制。
由用户根据需要设置登录规则的白名单,登录时只要匹配上任意一条登录规则,即可登录,否则拒绝登录;登录规则可应用于所有本地用户和域用户组。
用户可以将所有被管理服务器加入一个统一的管理域并使用域名来访问被管服务器的HDM。域管理可以更方便、集中地管理用户账户信息,安全性更高,有利于企业的一些保密资料的管理,大大地提高用户管理效率。域为用户提供了单一的登录过程来访问网络资源,用户只要具有对资源的合法权限,域通过对用户权限的合理划分,确定了对特定资源有合法权限的用户才能使用该资源,从而保障了资源使用的合法性和安全性。当前HDM支持域用户包括LDAP用户、AD用户和Kerberos用户。
LDAP(Lightweight Directory Access Protocol)是一个访问在线目录服务的协议。LDAP目录中可以存储例如电子邮件地址、邮件路由信息等各种类型的数据,为用户提供更集中、更便捷的查询。
按照如图3-1所示原理,启用LDAP目录服务,可以将所有HDM的用户管理,权限分配,有效期管理都集中到目录服务器上,避免大量的重复性用户配置任务,提高管理效率。另外将用户集中到目录服务器上,也能大大提高HDM智能管理系统的安全性。
我司服务器HDM上的LDAP功能可以在角色组中自定义访问HDM用户的各种权限,结合域控制器的域用户管理功能,可以配置不同用户具有不同的访问权限,提高了HDM使用的安全性。
图3-1 LDAP服务器原理图
LDAP 标准优点:
· 可扩展性:可以在所有HDM上同时动态支持LDAP服务器上新增账户的管理。
· 安全性:用户密码策略都在LDAP服务器上实施,数据交互可基于SSL来完成。
· 实时性:LDAP服务器上账户的任何更新都将立即应用到所有的HDM。
· 高效性:可以将所有HDM智能管理系统的用户管理,权限分配,有效期管理都集中到目录服务器上,避免大量的重复性用户配置任务,提高管理效率。
AD(Active Directory、活动目录)是指Windows服务器操作系统中的目录服务;它提供了集中组织管理和访问网络资源的目录服务功能,使网络拓扑和协议对用户变得透明。
AD被划分成区域进行管理,基于这种结构,可以随着企业的成长而进行扩展。
HDM支持AD用户认证功能。启用AD认证并制定访问策略,配置完成后,用户可以使用AD目录服务器中设置的用户名和密码直接访问HDM。其权限由用户所在角色组的权限决定。
Kerberos是一种计算机网络认证协议,它能够为网络中通信的双方提供严格的身份验证服务,确保通信双方身份的真实性和安全性。该协议的认证过程实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意地读取、修改和插入数据。Kerberos作为一种可信任的第三方认证服务,是通过传统的密码技术(如:共享密钥)执行认证服务。
HDM的Kerberos用户认证功能受HDM License授权状态控制。启用Kerberos功能认证并制定访问策略后,可以通过Kerberos目录服务器中设置的用户名和密码直接访问HDM;通过在加域的PC进行配置后,可以通过单点登录直接访问HDM,无需输入用户名和密码。其权限由用户所在角色组的权限决定。
按照如图3-2所示认证流程,Kerberos认证过程中客户端会向KDC请求获取想要访问的目标服务的服务授予票据(Ticket),并拿着从KDC获取的服务授予票据(Ticket)访问相应的网络服务。Kerberos协议中存在三个角色,分别是
· 客户端(Client):发送请求的一方。
· 服务端(Server):接收请求的一方。
· 密钥分发中心(Key Distribution Center,KDC),而密钥分发中心一般又分为两部分,分别是:
¡ AS(Authentication Server):认证服务器,专门用来认证客户端的身份并发放客户用于访问TGS的TGT(票据授予票据);
¡ TGS(Ticket Granting Ticket):票据授予服务器,用来发放整个认证过程以及客户端访问服务端时所需的服务授予票据(Ticket)。
图3-2 kerberos认证流程
Kerberos认证的每次通信都使用了密钥,且密钥的种类一直在变化,并且为了防止网络拦截密钥,这些密钥都是临时生成的Session Key,即他们只在一次Session会话中起作用,这为整个过程保证了较高的安全性。
账号安全包括:密码复杂度检查、密码有效期、禁用历史密码、登录失败锁定、登录失败锁定时长、提示修改初始密码以及弱口令检测。
· 密码复杂度检查:开启该功能时,所有用户的密码设置需符合以下要求,否则密码设置无法通过检查。
¡ 密码长度为8~40个字符,仅支持字母、数字、空格和特殊字符`~!@#$%^&*()_+-=[]\{}|;':",./<>?,区分大小写。
¡ 至少包含大写字母、小写字母和数字中的两种字符。
¡ 至少包含一个空格或特殊字符。
¡ 不能与用户名或用户名的倒序相同。
¡ 需符合“禁用历史密码”要求。
· 密码有效期:用户密码的使用期限,临近使用期限前,HDM会提醒用户更换密码。
· 禁用历史密码:用户修改密码时,禁止使用设置次数内的历史密码。
· 登录失败锁定:用户登录失败的次数达到设定的次数后,系统会锁定该用户的登录。
· 登录失败锁定时长:用户由于登录失败达到登录失败锁定次数后,被系统锁定的时长。用户被锁定后,在失败锁定时长内不能登录HDM。
· 提示修改初始密码:用户密码为默认密码,在用户登录HDM成功时会提醒用户更换初始密码。
· 弱口令检测:用户修改密码时,禁止使用和密码字典单词完全匹配的密码。
部分配置项可在“用户&安全->用户管理->本地用户”的“高级设置”里配置,如图3-3所示。
随着客户对安全的重视,不同客户对管理权限的需求各异,不仅需要支持管理员、操作员和普通用户三个角色,还需要定义不同功能的权限。为此,HDM还提供了面向用户的权限管理功能,可通过IPMI/Redfish/WEB禁用用户或用户的部分权限,比如KVM、VMedia、WEB、IPMI和SNMP这些功能的权限。
在用户访问配置页面可以配置本地用户和域用户(包括LDAP和AD用户),通过这些用户可以访问HDM Web界面。
用户所拥有的访问权限由属于的角色组决定,不同角色组分配符合其特征的模块权限,使其能够操作对应HDM功能模块。HDM支持的角色组有:
· Administrator:管理员,对所有功能具有读取和写入权限。
· Operator:操作员,对所有功能具有读取权限,对部分功能具有写入权限,能执行日常的基础操作。
· User:用户,具有只读访问权限,无法修改HDM配置。
· CustomRole1~CustomRole5:自定义权限组用户,管理员可以配置用户所拥有的权限。为了实现用户权限的统一管理,HDM对功能权限进行符合用户体验的模块划分。划分后的权限模块有:
¡ 用户配置:包括本地用户配置、LDAP用户配置、AD用户配置、OTP认证、证书认证、SSH密钥管理、License管理、安全擦除、导入/导出配置和HDM联合管理的操作权限。
¡ 常规配置:包括设置资产标签、网络配置、设置LLDP、无线管理、NTP配置、SNMP配置、告警设置(SMTP、Trap和Syslog)、事件日志策略设置、清除操作日志、录像回放和安全面板的操作权限。
¡ 安全配置:包括服务配置、防火墙、SSL证书、PFR固件保护、登录安全性信息配置的操作权限。
¡ 远程控制:包括存储信息管理、系统资源监控设置、BIOS设置、KVM(电源控制、镜像挂载除外)、H5 KVM(电源控制、镜像挂载除外)、VNC密码管理、系统启动项、UID灯控制、SOL串口设置、MCA策略的操作权限。
¡ 远程媒体:包括虚拟媒体配置、KVM镜像挂载、H5 KVM镜像挂载的操作权限。
¡ 电源控制:包括电源管理、NMI控制、物理电源按钮控制、风扇配置和智能节能的操作权限。
¡ 维护诊断:包括清除事件日志、安装包管理、固件更新、固件库管理、定时任务管理、恢复HDM配置、重启HDM、重启CPLD和服务U盘设置的操作权限。
¡ 系统审计:包括查看或保存事件日志、操作日志和一键收集下载SDS日志的操作权限。
¡ 查询:包括查看HDM主要信息的权限,但不包括查看事件日志、操作日志及通过一键收集下载SDS日志的权限。查询权限中的查看其他用户信息的权限仅适用于Administrator权限用户。
¡ 配置自身:可以配置用户(仅限本地用户)自身的密码。
自定义权限配置如图3-4所示。
传统平台登录只需要输入用户名和密码,用户密码是系统唯一的保护屏障,安全管理显得比较薄弱。在双因素认证方案的框架下,用户输入用户名密码的同时,还需要满足另一个因素才能正常登录管理系统,避免因HDM用户信息泄露引发安全问题,增强了系统管理的安全性。
HDM支持证书认证和OTP认证两种双因素认证,且它们不能同时启用。开启双因素之后,系统会关闭TSSH、VNC、IPMI、Redfish等接口或服务,用户需谨慎开启双因素认证模式。
HDM提供证书认证功能。启用证书认证功能后,用户登录HDM需要同时拥有客户端证书和客户端私钥证书才能通过认证并登录成功。设置界面如图3-5所示。
用户从正式的CA认证机构申请根证书和客户端证书文件后,可以通过证书认证功能上传到HDM,再为每个客户端证书绑定一个HDM本地用户。绑定成功后,用户打开浏览器上传客户端私钥证书。上传成功后,用户进入HDM登录页面根据提示信息选择客户端证书,就能以客户端证书绑定的本地用户的身份登录HDM。认证流程如图3-6所示。
启用证书功能前HDM必须导入根证书和客户端证书,并绑定已启用HDM Web访问权限的HDM本地用户,否则在后续登录时会出现无法认证的情况。
HDM采用宁盾OTP(One Time Password,一次性密码)动态令牌方案,支持国密算法,取得了国密资质认证,并且启用标准RADIUS协议(RFC2865,RFC2866),可以对接任意的双因素认证平台。打开OTP认证之后,用户在登录HDM WEB输入用户名密码时,还需要输入一个动态密码,这个动态密码可由硬件令牌或者手机令牌产生,且需要在OTP服务器上认证通过,才能够登录HDM系统,其组网方案如图3-7所示。
图3-7 OTP认证组网方案
开启OTP认证后,HDM的登录界面会新增一个动态密码输入框,如图3-8所示。
图3-8 OTP认证登录
HDM支持OTP认证的接口有WEB和Telnet。HDM2启用标准RADIUS协议(RFC2865,RFC2866),可以对接任意的双因素认证平台。因此HDM2可以无缝对接企业已有的双因素认证平台。
HDM支持上传SSH(Secure Shell,安全外壳协议)密钥文件,并为SSH密钥绑定本地用户。SSH密钥由登录HDM命令行的客户端工具生成,生成密钥时用户可以选择是否设置密码。如果选择设置密码,上传SSH密钥后,该用户登录HDM命令行时无需输入用户密码,只需要输入设置的密码;如果选择不设置密码,上传SSH密钥后,该用户可以免密登录HDM命令行。HDM当前支持RSA、ECDSA和ED25519格式的密钥,SSH密钥上传设置界面如图3-9所示。
· 当密钥格式为RSA时,支持上传长度为1024位、2048位、4096位的密钥。
· 当密钥格式为ECDSA时,支持上传长度为256位、384位、521位的密钥。
· 当密钥格式为ED25519时,支持上传长度为256位的密钥。
图3-9 SSH密钥上传设置界面
对于重要的管理操作,如用户配置、权限配置、公钥导入会对已登录用户进行二次认证,认证通过后才能执行重要操作,防止用户登录后没有断开链接,被其它非法用户执行恶意操作或误操作。
SSL(Secure Sockets Layer,安全套接字层)是一个安全协议,为基于TCP的应用层协议(如HTTP)提供安全连接。使用SSL传输数据,会在客户端和Web服务器之间建立一条安全通道,可以保证数据传输的机密性,验证数据源的身份,并保证数据的完整性。
对于SSL证书管理,HDM支持以下几个操作:
· 查看当前SSL证书的详细信息,包括使用者、颁布者、有效时间、序列号等信息。
· 上传SSL证书。
· 生成SSL证书。
HDM自带SSL证书,为提高安全性,建议替换成用户自己的证书和公钥。
为了满足客户的业务和安全需要,HDM提供开关来控制是否提供服务端口。HDM支持修改的服务
为:ASD(Remote_XDP)、CD-Media、FD-Media、HD-Media、HTTP、HTTPS、IPMI、KVM、SNMP、SSDP、SSH、Telnet和VNC,如图3-10所示。
图3-10 HDM服务配置
安全仪表功能可以查看HDM当前重要安全特性的状态,评估用户HDM静态安全配置是否存在潜在风险。当检测到风险时,用户可以查看详细信息和建议,以提高系统的安全性。如图 15 所示,HDM从账户认证安全和应用服务安全两大方面综合评估当前系统的安全性并进行相应的风险等级提示。
当前安全仪表有4个风险等级,分别如下:
· 安全配置无风险:没有检测到存在风险的安全配置。
· 安全检测功能未开启:安全检测功能处于关闭状态。
· 整体安全状态已忽略:所有存在风险的安全配置设置为忽略。
· 安全配置存在风险:检测到一个或多个安全配置状态存为风险。
图3-11 安全仪表界面
当服务器因生命周期终止或其他原因停止运行时,可以通过“安全擦除”功能擦除服务器的HDM、BIOS和存储数据,避免用户数据泄露。安全擦除功能受HDM License授权状态控制,功能界面如图3-12所示。
擦除完成后对各部件的影响如下:
· HDM:恢复至HDM出厂配置,SDS日志被擦除,Flash卡中的数据会被擦除。
· BIOS:恢复至BIOS默认配置;BIOS侧的Administrator和User用户的密码被擦除,被擦除密码的用户在服务器下次重启时无需输入密码,直接进入BIOS Setup;BIOS侧的开机密码被擦除。
· NVDIMM(非易失性内存,No-volatile DRAM):非内存模式的数据都会被擦除,然后NVDIMM会变成完全内存模式。
· 存储控制卡:所有RSTe和VROC下的逻辑盘都会被删除;RAID-P460-B2存储控制卡下的逻辑盘都会被删除。
· 硬盘:所有硬盘中的数据都会被擦除。
· SD卡:所有SD卡中的数据都会被擦除。
对存储数据进行擦除前,请确保服务器配套的iFIST软件版本不低于iFIST-1.38版本,以便用户能成功擦除数据。
系统锁定功能可以确保特定的服务器固件和配置避免在各原因下无意或恶意的改动,增强服务器的稳定性和安全性。系统锁定功能受HDM License授权状态控制,功能界面如图3-13所示。
AST2600芯片支持硬件安全加速模块,用来加强HDM的安全相关功能。主要应用在认证、数据加解密等安全应用中。当前实现了对AES、DES、3DES、RC4、MD5、SHA1、SHA224、SHA256、HMAC-MD5、HMAC-SHA1、HMAC-SHA224和HMAC-SHA256算法的硬件支持。
H3C服务器的HDM2管理软件,不仅对用户展现了当前服务器对安全特性的支持情况。同时也关注自身的安全性,对外提供了多种安全保障手段,可应对来自多方面的安全威胁,可有效保障用户的服务器数据资产的安全。
本站点使用Cookies,继续浏览表示您同意我们使用Cookies。 Cookies和隐私政策>
支持
