FUJITSU bietet mit der FUJITSU Server BS2000 SE Serie (SE Server) eine Server Infrastruktur, welche aus zwei Serverlinien besteht. 
Ein SE Server enthält je nach Anforderung alle erforderlichen Systemkomponenten für den Betrieb als Gesamtanwendung:

• Server Unit /390 für BS2000-Gastsysteme

• Server Unit x86 mit BS2000-Gastsystemen, SU300 optional auch mit Linux- oder Windows-Gastsystemen

• Application Units x86 für den Betrieb von Native bzw. Hypervisor Systemen (z.B. Linux, Windows, VMware, OVM, ...)

• gemeinsam nutzbare Band- und Plattenperipherie

• eine schnelle serverinterne Infrastruktur zur Verbindung der Komponenten untereinander und mit dem IP- und FC-Netzwerk des Kunden.

Der SE Server bietet folgende Vorteile:

• systemübergreifende Administration mit moderner browserbasierter GUI (SE Manager) als single point of operation

• zentrale Systemüberwachung aller Bestandteile

• durchgehendes Redundanzkonzept

• gemeinsames Service-Verfahren

• alle Möglichkeiten zur Konsolidierung durch Virtualisierung

• SE Komponenten und Infrastruktur werden vorkonfiguriert an Kunden ausgeliefert "ready to use"

SE Server ermöglichen daher eine flexible und anwendungsangepasste Implementierung, die durch die Verwendung von High-End-Komponenten und ein durchgehendes Redundanzkonzept hohe SLAs erfüllt und trotzdem durch ihre Einheitlichkeit einen kostengünstigen Betrieb des Gesamtsystems mit wenigen Ressourcen ermöglicht.

Dabei profitieren auch Intel x86-basierte Serversysteme mit ihren VMware-, Linux- oder Windows-Systemplattformen von den beim Mainframe erprobten Konzepten für einen stabilen Systembetrieb:

• Auswahl hochwertiger Server-Bestandteile

• Redundante Hardwarekomponenten

• Vorbereitete Betriebskonzepte, die auch Hochverfügbarkeit mit einschließen

• Umfangreiche Tests vor der Freigabe

• Umfassendes Servicekonzept.

Die für alle SE Server einheitliche Managementoberfläche, der SE Manager, ermöglicht den Blick auf alle beteiligten Systemkomponenten und erlaubt aus dieser übergeordneten Sichtweise die Optimierung der Ressourcen durch eine effiziente Verteilung der Anwendung auf die aktuell am wenigsten belasteten Systeme.

Mit der Möglichkeit, zwei SE Server in einem Management Cluster zu einer Management-Einheit zu verbinden, können die Vorteile des SE Managers für zwei SE Server gemeinsam genutzt werden. Da von jeder Management Unit des Clusters alle Komponenten des Clusters bedienbar sind, erhöht sich die Ausfallsicherheit. Innerhalb eines SU Clusters ermöglicht Live Migration die unterbrechungsfreie Verlagerung von BS2000-Systemen.

So ermöglichen SE Server einen besonders stabilen Systembetrieb, der nicht nur die schon bisher als besonders ausfallsicher bekannten Mainframe-Plattformen einschließt, sondern auch andere Server Units und die vom SE Server genutzte Infrastruktur und Peripherie umfasst. Dies kann mit geringeren Ressourcen bei der Administration und Systembedienung erfolgen als bei einem separaten Betrieb von verschiedenen IT-Systemen.

Die Basis-Systeme der Management Unit, des HNC und der Server Unit x86 (M2000, HNC und X2000) sind Systeme, die hohen Sicherheitsansprüchen genügen. Dabei handelt es sich um die statisch implementierte Sicherheit gehärteter Systeme, die durch Administrationsmaßnahmen nicht wesentlich beeinflusst wird.

Die auf SUSE Linux Enterprise Server (SLES) 11 basierenden Basis-Systeme dieser Units (M2000, HNC und X2000) können aus folgenden Gründen als gehärtet bezeichnet werden:

• Nur für den Betrieb zwingend erforderliche signierte Softwarekomponenten werden installiert.

• Für Administration und Operatorzugang werden unprivilegierte Kennungen genutzt. Diese sind im Rahmen eines differenzierten Rollenkonzepts mit klar definierten (und beschränkten) Funktionen und Zugriffsrechten ausgestattet. Außerhalb dieses Rollenkonzepts gibt es keinen Zugang zum System. Eine Rechteeskalation ist nicht möglich, der Zugang zur Kennung root ist gesperrt.

• Das Rollen- und Benutzerkonzept erlaubt es, personalisierte Kennungen einzurichten sowie Passwörter und Passworteigenschaften zu verwalten.

• Der Datenverkehr zwischen Administrations-PC und Management Unit, HNC und Server Unit x86 ist verschlüsselt.

• Alle nicht benutzten Ports sind geschlossen.
  Dienste werden nur dann gestartet, wenn sie wirklich benutzt werden.

Die Konfiguration der Basis-Systeme orientiert sich an den Empfehlungen des Center for Internet Security (CIS, http://www.cisecurity.org). Abweichungen von den Empfehlungen ergeben sich nur durch die für den Betrieb erforderlichen Funktionen. Diese Abweichungen führen aber nicht zu Sicherheitslücken.

Im vorliegenden Sicherheitshandbuch werden ausgehend von den Funktionen des Bedien- und Servicekonzepts im Wesentlichen die Sicherheits- und Härtungsmerkmale auf der Ebene des Basisbetriebssystems M2000 an der von außen zugänglichen Management Unit beschrieben. HNC und Server Unit x86 sind nach außen abgeschottet und werden deshalb nicht näher beschrieben. Gegebenenfalls wird auf Unterschiede, die bei Application Units zu beachten sind, eingegangen.

Sicherheitsrelevante Aspekte von BS2000 oder anderen Betriebssystemen und Anwendungen, die auf oder mittels der Systeme betrieben werden, werden nicht betrachtet.