大型機系統(tǒng)-講授

大型機系統(tǒng)MainframeSystem劉玓教授2015年春課程說明一、主講教師劉玓教授大型主機教學團隊主任

大型主機與網絡安全工程系主任辦公室：沙河校區(qū)軟件學院大樓西106

電話：83206317/p>

郵箱：liudi@課程說明二、學時數/學分：

學時：20

學分：1三、考核類別（任選）：1、考查（建議）

2、考試四、考核方式：平時成績（考勤、問答交流）：20%

期末報告：80%課程說明五、參考資料：1、《大型機系統(tǒng)應用基礎》，劉玓主編，電子工業(yè)出版社，2013年2、《IntroductiontotheNewMainframe:z/OSBasics》，IBM資料六、國內主機教育情況1、大型機大學合作項目2、裝機地點東北：大連交通華東：上海同濟華南：華南理工華中：華中科大西南：電子科大3、合作學校第一批：8所第二批：5所…課程說明第一章大型機系統(tǒng)簡介1.1體系結構分類及基本特征大巨型機+MVS小中型機+UNIX微型機+Windows功能強大簡單易用第一層第二層第三層第一章大型機系統(tǒng)簡介第一層特征：

獨占式交互式簡單易用功能/性能低下第二層特征：

分時多用戶交互式資源共享靈活方便第三層特征：

批處理集中式并行式虛擬化運行效率高

第一章大型機系統(tǒng)簡介1.2、大型機(Mainframe)主要功能特征——“大”1、集中處理之數據量2、并發(fā)訪問之用戶數3、并行連接之設備數4、數據計算之復雜度5、安全穩(wěn)定之可靠性6、機電系統(tǒng)之工藝化量變到質變體系結構運行模式編程方法應用環(huán)境第一章大型機系統(tǒng)簡介1.3大型機的發(fā)展歷史第一章大型機系統(tǒng)簡介1.4IBMeServerzSerialzSerial900MainframeProcessor.upto16-way.upto15-LPARMemory.upto64GBI/O.upto256ESCON.upto96FICON.upto88parallelchannelsNetwork.OSAExpress第一章大型機系統(tǒng)簡介

大型主機的運行模式一般分為兩類：批處理和在線處理，其中包括基于網站的應用批處理（processingbatch）

基本運行模式在線處理（onlineprocessing）

聯(lián)機事務處理（OLTP）：多次交互的批處理命令終端（TSO）：無限時長批處理1.5大型機的運行模式第一章大型機系統(tǒng)簡介第一章大型機系統(tǒng)簡介批處理有如下特點：

.處理大量的輸入數據、記錄存儲訪問并產生大量輸出。

.對交互響應時間要求不高，但是批處理要求在用服務標準協(xié)議來描述批窗口中完成。這段時間在線活動不怎么多。

.產生大量的用戶信息。

.一個事先預定的批處理包括預先建立的一系列的執(zhí)行任務。1.5.1批處理第一章大型機系統(tǒng)簡介大型主機環(huán)境中運行的批處理作業(yè)第一章大型機系統(tǒng)簡介1.5.2在線處理

大型主機為大量的在線交易處理系統(tǒng)提供服務，這些是商業(yè)核心運作所依賴的極其關鍵的應用程序。使用在線系統(tǒng)的行業(yè)如下：銀行業(yè)-ATMs，客戶服務的出納員系統(tǒng)。保險業(yè)-政策管理和受理保險的代理系統(tǒng)。旅游和運輸業(yè)-航空、旅店、游船等訂票系統(tǒng)。制造業(yè)-庫存管理、生產進度安排。政府-稅收處理、執(zhí)照發(fā)配和管理。第一章大型機系統(tǒng)簡介大型主機的一般在線交易第一章大型機系統(tǒng)簡介1.6大型機操作系統(tǒng)

為充分利用大型機的硬件性能，并滿足不同的用途需求，大型機上可配備并同時運行多種操作系統(tǒng)：基本操作系統(tǒng)——z/OS其它操作系統(tǒng)——z/VM，VSE，z/TPF和LinuxforzSeries第一章大型機系統(tǒng)簡介1.6.1z/OS操作系統(tǒng)?z/OS是使用最廣泛的基于64位z體系結構大型機操作系統(tǒng)?z/OS的設計是為了給在大型機上應用程序員提供穩(wěn)定、安全和可持續(xù)運行的環(huán)境?z/OS能最大限度的發(fā)揮z系列大型機的功能和性能第一章大型機系統(tǒng)簡介1.6.2z/VM（VirtualMachine）操作系統(tǒng)?

控制程序CP?

一個單用戶的操作系統(tǒng)CMS?主要用于構建虛擬硬件平臺第一章大型機系統(tǒng)簡介1.6.3VSE（VirtualStorageExtended）操作系統(tǒng)

?早期大型機磁盤操作系統(tǒng)（DOS）的擴展版?結構簡單，占用資源少，操作簡易?適用于負荷較低的運行環(huán)境第一章大型機系統(tǒng)簡介1.6.4zLinux操作系統(tǒng)?

基于SuSeLinux,具有一般Linux的所有功能?不使用專用的3270終端，而使用ASCII或X終端?

在z/VM下一個Linux可有多個鏡像?

從多服務器向集中式系統(tǒng)過渡的橋梁第一章大型機系統(tǒng)簡介1.6.5z/TPF操作系統(tǒng)?專門用于事務處理環(huán)境

——信用卡公司、航空訂票、銀行?交易量巨大

——每秒上萬筆交易?適合松散耦合網絡環(huán)境

——特定網絡環(huán)境和特定網絡協(xié)議下的交易控制能力第一章大型機系統(tǒng)簡介1.7大型主機領域里的各種角色?系統(tǒng)程序員?系統(tǒng)管理員?應用程序設計人員和程序員?系統(tǒng)操作員?產品控制分析員第一章大型機系統(tǒng)簡介1.8本章小結?列出現在大型主機應對傳統(tǒng)思想的方法，這種傳統(tǒng)思想基于相對于分散式計算機的中心計算機。?解釋商業(yè)是如何利用大型主機的處理能力的，大型主機的典型使用以及大型主機的計算與其他形式的計算的不同。?勾畫出大型主機最適合的工作負荷。?舉出了大型主機計算相關的工作或義務。?舉出了大型主機常用的操作系統(tǒng)。第二章大型機系統(tǒng)技術基礎本章主要內容：1.并行復合系統(tǒng)的概念2.并行復合系統(tǒng)如何實現持續(xù)可用性3.動態(tài)負載平衡4.單一系統(tǒng)映像5.地理上分散的并行復合系統(tǒng)6.虛擬存儲器的概念7.虛擬存儲系統(tǒng)中的基本概念8.主機連接的概念9.邏輯通道子系統(tǒng)的概念10.通道類型描述第二章大型機系統(tǒng)技術基礎2.1復合系統(tǒng)概述復合系統(tǒng)(Sysplex)：

是一個使用了特定硬件和軟件產品的z/OS系統(tǒng)集合，這些操作系統(tǒng)可以協(xié)同完成某項任務。復合系統(tǒng)和傳統(tǒng)的巨型機系統(tǒng)之間最大的不同：在復合系統(tǒng)中，提高了升級潛力和可用性水平。復合系統(tǒng)增加了處理單元數和協(xié)作的z/OS操作系統(tǒng)數，從而提高了處理任務的能力。2.1.1復合系統(tǒng)硬件結構第二章大型機系統(tǒng)技術基礎2.1.2并行復合系統(tǒng)概述第二章大型機系統(tǒng)技術基礎并行復合系統(tǒng)：zSeries大型機的并行復合系統(tǒng)使用具有創(chuàng)新性的多系統(tǒng)數據共享技術。它允許直接、并行地讀／寫系統(tǒng)配置中所有處理節(jié)點(或服務器)的共享數據而不犧牲系統(tǒng)性能并保證數據的完整性。并行復合系統(tǒng)通過接近線性可擴展性連接32個服務器，構建行業(yè)中最強大的商業(yè)計算集群系統(tǒng)，從而建立并行復合系統(tǒng)并擴展zSeries服務器的能力。并行復合系統(tǒng)技術是一個使能技術，允許高可靠、冗余和健壯的zSeries技術,實現幾乎不間斷的可用性，一個配置合理的并行復合系統(tǒng)集群的設計目標是不出任何故障。2.1.3并行復合系統(tǒng)的優(yōu)點第二章大型機系統(tǒng)技術基礎1、持續(xù)可用性2、高性能3、動態(tài)負載平衡4、易用性5、單一系統(tǒng)映像6、非中斷方式擴展7、應用程序兼容性2.1.3并行復合系統(tǒng)的優(yōu)點第二章大型機系統(tǒng)技術基礎1、并行復合系統(tǒng)的的持續(xù)可用性在并行復合系統(tǒng)集群中，可以建立一個零故障的并行處理環(huán)境，因為并行復合系統(tǒng)中的所有系統(tǒng)都可以并行訪問所有的臨界應用和數據。

當一個系統(tǒng)發(fā)生故障后，在其余正常的系統(tǒng)節(jié)點上運行的對等實例接管恢復職責，恢復該故障實例占有的資源。2.1.3并行復合系統(tǒng)的優(yōu)點第二章大型機系統(tǒng)技術基礎2、并行復合系統(tǒng)的高性能并行復合系統(tǒng)環(huán)境可以近似線性地擴大——從2個系統(tǒng)擴大到32個系統(tǒng),這個環(huán)境可以由支持并行復合系統(tǒng)技術的任何服務器混合組成。這種系統(tǒng)聚合后的能力可以滿足今天已知的任何業(yè)務處理要求。2.1.3并行復合系統(tǒng)的優(yōu)點第二章大型機系統(tǒng)技術基礎3、并行復合系統(tǒng)的動態(tài)負載平衡對于終端用戶和商業(yè)應用程序來說整個并行復合系統(tǒng)集群可以看作一個單一邏輯資源。任務也可以在并行復合系統(tǒng)集群中的任何可用節(jié)點之間分配。動態(tài)會話平衡都能提供高效的執(zhí)行和靈活性，使進入系統(tǒng)的事務請求獲得最佳處理以響應客戶的要求。平衡過程對用戶是透明的。2.1.3并行復合系統(tǒng)的優(yōu)點第二章大型機系統(tǒng)技術基礎4、并行復合系統(tǒng)的易用性并行復合系統(tǒng)方案能滿足大多數用戶一天24小時一周7天的可用性需求，同時提供與此需求一致的簡化系統(tǒng)管理的技術，意味著并行復合系統(tǒng)方案在增強可用性的同時將簡化系統(tǒng)管理的工作。并行復合系統(tǒng)在負載管理，故障恢復管理和自動重啟管理上提供簡單的操作管理。2.1.3并行復合系統(tǒng)的優(yōu)點第二章大型機系統(tǒng)技術基礎5、并行復合系統(tǒng)的單一系統(tǒng)映像在并行復合系統(tǒng)中可能存在多個服務器和z/OS系統(tǒng)映像以及不同技術混用，但并行復合系統(tǒng)中的系統(tǒng)集合是一個單一的實體。單一系統(tǒng)映像確保從操作和定義兩方面減少復雜性。不管系統(tǒng)中映像的數量和底層硬件的復雜性，并行復合系統(tǒng)解決方案從以下幾個方面提供單一系統(tǒng)映像：（1）數據訪問，動態(tài)負載平衡并改善可用性（2）動態(tài)交易路由，動態(tài)負載平衡并改善可用性（3）終端用戶接口，允許登錄一個邏輯網絡實體（4）操作接口，簡化系統(tǒng)管理2.1.3并行復合系統(tǒng)的優(yōu)點第二章大型機系統(tǒng)技術基礎6、并行復合系統(tǒng)的非中斷升級持續(xù)可用性是并行復合系統(tǒng)的主要目標之一，因此必須能夠非中斷地進行系統(tǒng)升級如新的應用程序，軟件或硬件改變等，同時這些更新的軟硬件必須和當前的版本共存。在支持兼容性方面，并行復合系統(tǒng)中的軟件和硬件構成部分允許兩級共存，即第Ｎ級可以和第Ｎ＋１級共存。這意味著不能被早先版本兼容的IBM軟件產品不能用于系統(tǒng)升級。2.1.3并行復合系統(tǒng)的優(yōu)點第二章大型機系統(tǒng)技術基礎7、并行復合系統(tǒng)的應用程序兼容性并行復合系統(tǒng)不需要改變現有的應用程序就可以使用這一技術。從應用程序設計者的角度來看，有三個重要的方面使得設計者決定在并行復合系統(tǒng)中運行應用程序：（1）技術優(yōu)勢：可擴展性、可用性和動態(tài)負載平衡（2）集成優(yōu)勢：新應用程序和現有應用相連時的便利。（3）基礎設施優(yōu)勢：在已有的并行復合系統(tǒng)上整合一個新的應用。2.2大型機的存儲系統(tǒng)第二章大型機系統(tǒng)技術基礎2.2.1大型機存儲系統(tǒng)的特點第二章大型機系統(tǒng)技術基礎1、智能化各存儲功能部件(內存、硬盤、磁帶等)都是獨立的、自動的、不依賴于處理器和操作系統(tǒng)地運行，包含專有的控制微碼和處理器等。

2、虛擬化各存儲功能部件只提供指標化的功能參數（如存儲空間大小等），屏蔽具體的操作細節(jié)。2.2.2虛擬存儲器的概念第二章大型機系統(tǒng)技術基礎z/OS使用兩種類型的物理存儲（實存和外存）來實現另外一種存儲—虛擬存儲器。在z/OS中，每個用戶都訪問虛擬存儲器，而不是物理存儲器。虛擬存儲器實際就是實存和輔助存儲器的結合，z/OS使用系統(tǒng)表和位設置來關聯(lián)輔助存儲空間和實存空間，并監(jiān)控對每個程序的認證和授權。

z/OS支持64位的地址，這允許一個程序尋址高達18,446,744,073,709,600,000字節(jié)（16EX）的存儲空間。在實際中，大型主機一般會裝配比這個少得多的實存。實存的大小取決于計算機的型號和系統(tǒng)配置。2.2.3地址空間的概念第二章大型機系統(tǒng)技術基礎操作系統(tǒng)分配給用戶或獨立運行程序的虛擬地址范圍稱為地址空間，地址空間是一組相鄰的虛擬存儲空間，用來執(zhí)行指令和存儲數據。地址空間的虛擬地址范圍從0開始，并可擴展到操作系統(tǒng)的體系結構允許的最高地址。z/OS為每個用戶提供獨立的地址空間，并維護屬于各個地址空間的程序和數據之間的差異。在每個地址空間中，用戶可以使用任務控制塊(簡稱TCBs)啟動多個任務，TCBs支持用戶的多道程序設計。2.2.4幀、頁、片第二章大型機系統(tǒng)技術基礎存儲空間被分成很多區(qū)域，每個區(qū)域大小相同并且擁有唯一的訪問地址：

在實存中——幀

在輔存中——片

在虛存中——頁2.2.5頁面調度第二章大型機系統(tǒng)技術基礎

在查找程序的一個頁時，z/OS通過查頁表的方法來查找該頁的虛擬地址，然后z/OS根據需要將該頁調入到實存或者調出到輔助存儲器中。在輔助存儲器的片和實存的幀之間的這種頁面的移動稱為頁面調度，頁面調度是理解z/OS中虛擬存儲使用的關鍵。?頁面調度對于用戶來說是透明的?選擇替換頁面的算法是近期最少使用算法2.2.6存儲交換第二章大型機系統(tǒng)技術基礎1、頁面交換在實存和輔助存儲器之間進行一組頁面的交換技術，是z/OS進行系統(tǒng)負載平衡和維護一定的實存幀的方法之一。2、地址空間交換在實存和輔存之間交換的是程序的整個地址空間——整體換進換出。2.2.7虛擬存儲的工作流程第二章大型機系統(tǒng)技術基礎2.2.8z/OS操作系統(tǒng)中的地址空間第二章大型機系統(tǒng)技術基礎2.2.9z/OS系統(tǒng)中的地址空間類型第二章大型機系統(tǒng)技術基礎（1）系統(tǒng)：z/OS的系統(tǒng)地址空間在主調度程序初始化后創(chuàng)建，這些地址空間為z/OS上創(chuàng)建的所有其他類型的地址空間實現某些功能。（2）子系統(tǒng)：z/OS要使用各種各樣的子系統(tǒng)，如作業(yè)進入子系統(tǒng)。（3）TSO/E登錄：為每個登錄z/OS的用戶創(chuàng)建TSO/E地址空間。（4）批處理任務：為每個運行于z/OS上的批處理任務創(chuàng)建地址空間，由作業(yè)進入子系統(tǒng)創(chuàng)建。2.3大型主機的通道第二章大型機系統(tǒng)技術基礎通道是一種特殊處理器，能夠和I/O控制單元進行通訊并管理在中央存儲器和控制單元之間數據的移動。通道是一個數據管道，通過這個管道，兩個服務器之間或者服務器與外部設備之間可以交換數據。通道能夠從內存發(fā)送通道指令到CU；在讀寫操作時傳輸數據；在操作結束時接收狀態(tài)信息；從控制單元接收傳感信息，例如詳細的故障信息。通道只能用一種協(xié)議類型同控制器通信，zSeries中主要的通道協(xié)議有Parallel、ESCON、FICON、FICONExpress和FCP。2.3.1通道的連接方式第二章大型機系統(tǒng)技術基礎通道有如下幾種連接方式：（1）從服務器到外部I/O控制單元如磁盤、磁帶等；通過ESCON、FICON、FICONExpress或FCP通道訪問；（2）從服務器到集成內置控制單元，OSA在多供應商網絡基礎設施中提供直接的、符合行業(yè)標準的LAN和ATM網絡連接/通信；PCIXCA和PCICC提供外部加密。

（3）從服務器到服務器，如：z/OS與CouplingFacility(耦合設備)間的連接，有ISC通道，ICB通道和IC通道三種形式；操作系統(tǒng)到操作系統(tǒng)的連接，z/OS和z/OS的連接是通過CTC實現的，Linux和Linux的連接是通過HiperSockets實現的。第二章大型機系統(tǒng)技術基礎2.3.2多映像系統(tǒng)通道第二章大型機系統(tǒng)技術基礎多重映像系統(tǒng)允許在邏輯分區(qū)之間、單個邏輯通道子系統(tǒng)內或多個邏輯通道子系統(tǒng)之間共享資源。通道從運行在邏輯分區(qū)上的操作系統(tǒng)接收執(zhí)行I/O操作的命令(通過一條SSCH指令完成)。一個專用通道只為一個邏輯分區(qū)服務；而一個共享通道可以為多個邏輯分區(qū)服務，此時一個I/O為LP1服務，下一個I/O可能為LP2服務。多重邏輯通道子系統(tǒng)的結構是早先z/體系結構服務器提供的邏輯通道子系統(tǒng)的擴展，它以一種對程序透明的方式為多個邏輯分區(qū)提供通道連接。2.3.3ESCON體系結構第二章大型機系統(tǒng)技術基礎企業(yè)系統(tǒng)連接結構（ESCON）定義了一套規(guī)則，使存儲器子系統(tǒng)、控制部件、通訊控制部件等I/O設備都通過這套規(guī)則與處理器相連接。ESCON使用光纜通訊，而不再使用以前在S/370上使用的電信號。使用光纖通信后，不僅大大提高了I/O設備和通道之間的信號傳輸速度，而且還可以把I/O設備放置在遠離處理器幾十公里以外的地方。第二章大型機系統(tǒng)技術基礎2.3.4FICON通道第二章大型機系統(tǒng)技術基礎FICON通道協(xié)議是基于來自ANSI的行業(yè)標準光纜通道體系結構，FICON解除了ESCON體系結構的一些限制，同時可以和它共存，這個協(xié)議減少了如下限制：（1）ESCON在帶寬和設備及控制單元數量上的限制；（2）S/390體系結構限制每個CEC有256個通道，而在z990主機中，這個限制是每個邏輯通道子系統(tǒng)(LCSS)上有512個通道。FICON放寬限制是因為在相同的I/O負載下，FICON比ESCON需要更少的通道。（3）FICON并沒有取代ESCON而是作為它的補充，FICON通道和ESCON通道使用相同的光纖光纜。2.3.5FICON和ESCON的比較第二章大型機系統(tǒng)技術基礎與ESCON相比，FICON在以下方面具有數量上的優(yōu)勢：（1）每個物理控制單元的控制單元映像數；（2）每個通道的單元地址數；（3）每個端口的邏輯路徑數；（4）并行I/O操作數；（5）鏈接數據率；（6）通道數據幀傳輸緩存數；（7）最大通信距離。2.4本章小結第二章大型機系統(tǒng)技術基礎本章主要介紹了以下這些內容：1、并行復合系統(tǒng)的概念；2、并行復合系統(tǒng)的特點；3、虛擬存儲系統(tǒng)的概念；4、虛擬存儲系統(tǒng)的工作流程；5、連接和通道的基本概念；6、通道類型描述。第三章硬件系統(tǒng)與邏輯分區(qū)本章內容提要

?主機系統(tǒng)設計

?系統(tǒng)處理單元

?輸入/輸出系統(tǒng)

?輔助存儲設備第三章硬件系統(tǒng)與邏輯分區(qū)3.1主機系統(tǒng)結構的發(fā)展3.1.1早期的系統(tǒng)設計——S/360結構圖第三章硬件系統(tǒng)與邏輯分區(qū)3.1.2早期的系統(tǒng)設計——系統(tǒng)組件?中央處理器盒(CentralProcessorBox)包含處理器、內存、控制電路和通道接口?通道（Channel）可以在I/O設備和內存之間提供一個獨立數據和控制的路徑。早期的系統(tǒng)最多可以有16個通道，目前的z系列大型主機最多可以支持1000多個通道?通道是連接在控制單元（ControlUnit/CU）上的，而控制單元具有一定的邏輯功能來控制特定類型的I/O設備。?并行通道最多可以連接8個控制單元，而大部分的控制單元可以連接多個設備，連接的最大數量將取決于特定的控制單元，但是一般來說是16個第三章硬件系統(tǒng)與邏輯分區(qū)3.1.3早期的系統(tǒng)設計——設備地址?每一個通道、控制單元和設備都有一個十六進制的地址

例如：某磁盤驅動器的地址為132?由于一個設備可以使用多個通道，所以一個設備可以同時具有多個地址，但約定該設備的地址取最小的那一個

例如：某設備使用1、5、6號通道；控制單元為7；設備編號為1。那么設備地址取171，但操作系統(tǒng)可以用三個地址中任何一個訪問該設備第三章硬件系統(tǒng)與邏輯分區(qū)3.1.4早期的系統(tǒng)設計——與目前系統(tǒng)的差異?最新的大型機上不能使用并行通道，而是被ESCON（企業(yè)系統(tǒng)連接）和FICON（光纖連接）通道所取代，這些通道只能連接在一個控制單元上，更確切的說這些通道都使用光纖，并連接在一個導向器（director）或交換機（switch）上。?

目前的大型機有16個以上的通道，并用兩位十六進制數來作為地址的通道部分。?

在新的系統(tǒng)中，通道通常被認為是CHPID（通道路徑標識符）或者PCHIDs（物理通道標識符），所有的通道都被集成到了主處理器盒里面。第三章硬件系統(tǒng)與邏輯分區(qū)3.2目前系統(tǒng)的設計目前CEC的設計比早期的S/360要復雜得多，其主要體現如下幾個方面：?I/O連接和配置?I/O操作?

系統(tǒng)分區(qū)第三章硬件系統(tǒng)與邏輯分區(qū)3.2.1目前系統(tǒng)的設計——I/O連接第三章硬件系統(tǒng)與邏輯分區(qū)3.2.2目前系統(tǒng)的設計——I/O連接的關鍵概念第三章硬件系統(tǒng)與邏輯分區(qū)?ESCON和FICON通道僅連接一個設備或者一個交換機上的一個端口?大部分的現代大型機在通道和控制單元間使用了交換機,交換機可以連接到多個系統(tǒng)上，共享所有系統(tǒng)中的控制單元和I/O設備。?CHPID地址用兩位十六進制數表示。多個分區(qū)可以共享CHPIDs，能否這樣做取決于CHPID所連接的控制單元的狀態(tài)?？偟膩碚f，用于磁盤的CHPID是可以共享?

在分區(qū)的操作系統(tǒng)和CHPID之間存在著一個I/O子系統(tǒng)層。3.2.3目前系統(tǒng)的設計——I/O連接的主要技術第三章硬件系統(tǒng)與邏輯分區(qū)?ESCON導向器和FICON交換機都是支持多連接高速數據傳送的設備?I/O控制層使用一個叫做IOCDS（I/OControlDataSet）的控制文件，來將由CHPID號、交換機端口號、控制單元地址和單元地址構成的物理I/O地址轉換成操作系統(tǒng)軟件訪問設備所使用的設備號，它在系統(tǒng)加電時被加載到硬件存儲區(qū)（HardwareSaveArea，HAS），并可被動態(tài)修改?

設備號相當于我們前面所提到的早期S/360架構中的地址，但它可以包含3個或4個十六進制數?現代控制單元，特別是磁盤的控制單元，經常有多個通道或者交換機連接到其相關的設備上，它們可以在同一時間在多個通道中傳輸多批數據3.2.4目前系統(tǒng)的設計——系統(tǒng)控制和分區(qū)第三章硬件系統(tǒng)與邏輯分區(qū)3.2.4目前系統(tǒng)的設計——系統(tǒng)控制和分區(qū)第三章硬件系統(tǒng)與邏輯分區(qū)?系統(tǒng)控制的功能之一就是可以把系統(tǒng)劃分為若干個邏輯分區(qū)（LPARs）。長久以來，系統(tǒng)的邏輯分區(qū)數被限制在15個內，而新的大型機可以有30個或更多的邏輯分區(qū)?

提供分區(qū)功能的硬件和固件稱作PR/SM（ProcessorResource/SystemManager)。PR/SM負責創(chuàng)建和運行邏輯分區(qū)。?

系統(tǒng)管理員為每個LPAR分配內存，不同的LPAR之間不能共享內存?？梢越o特定LPAR分配處理器，或者讓系統(tǒng)控制器用內部負載均衡算法來給所有LPAR分配處理器。也可以給特定LPAR分配通道，或者根據每個通道的設備的狀態(tài)來使它在多個LPAR間進行共享。3.2.5目前系統(tǒng)的設計——LPAR的特性第三章硬件系統(tǒng)與邏輯分區(qū)?從某種意義上說，LPAR是獨立于主機的，每個LPAR都運行著各自的操作系統(tǒng)。這些操作系統(tǒng)可以是任何大型機操作系統(tǒng)，而并不一定是z/OS，多個LPAR間也允許共享I/O設備?系統(tǒng)管理員可以分配一個或多個處理器給一個LPAR專用，系統(tǒng)控制功能（通常是微碼和固件）提供了分配器來在所選的LPAR間共享處理器。管理員可以指定每個LPAR能同時使用的最大處理器數量，也可以為不同LPAR提供權重?每個LPAR的操作系統(tǒng)都有獨立的初始裝入程序IPLed，都有各自操作系統(tǒng)的備份，有各自的操作控制臺等，如果一個LPAR上的系統(tǒng)崩潰，并不會影響到其它LPAR3.2.6目前系統(tǒng)的設計——系統(tǒng)組件第三章硬件系統(tǒng)與邏輯分區(qū)3.2.7目前系統(tǒng)的設計——多處理器第三章硬件系統(tǒng)與邏輯分區(qū)?

目前，從PC機到大型機的所有操作系統(tǒng)，都支持多處理器環(huán)境，但是集成多處理器的程度有很大區(qū)別?大型機系統(tǒng)或LPAR中的每個處理器都有一塊很小的唯一私有內存區(qū)，即PrefixStorageArea（PSA），它用于中斷處理和錯誤處理。一個處理器可以通過專用程序訪問另一個處理器的PSA，但這一般只用于錯誤恢復的情況。處理器可以使用特殊指令（SIGP，forSignalProcessor）來中斷其它處理器3.2.8目前系統(tǒng)的設計——磁盤設備第三章硬件系統(tǒng)與邏輯分區(qū)3.3系統(tǒng)處理單元第三章硬件系統(tǒng)與邏輯分區(qū)3.3.1系統(tǒng)處理單元——CPs第三章硬件系統(tǒng)與邏輯分區(qū)?中央處理器（CP）就是一個處理器單元PU，它支持z/Architecture和ESA/390的指令集，它可以運行z/Architecture、ESA/390、Linux、TPF操作系統(tǒng)和耦合設備控制編碼。?z990處理器只能以LPAR模式運行，因此，所有的CPs都只用于一個分區(qū)或在兩個分區(qū)之間共享，保留的CsP可以被定義給一個邏輯分區(qū)，從而允許不中斷的映象升級（non-disruptiveimageupgrade）。3.3.2系統(tǒng)處理單元——IFLs第三章硬件系統(tǒng)與邏輯分區(qū)?IFL工作激活的處理單元（PU）被看作是一個IFL引擎。?IFL處理單元或引擎有如下一些特性：它可以用于一個或多個邏輯分區(qū)LPARs

它只能運行Linux

一些PUs可以作為IFL的處理器。

IFLPUs可以以任何需要的方式在邏輯分區(qū)LPARs之間來為Linux使用不能在同一個邏輯分區(qū)中同時使用標準S/390PUs和IFLPUs。3.3.3系統(tǒng)處理單元——ICFs第三章硬件系統(tǒng)與邏輯分區(qū)?

內部耦合設備（ICF）為耦合設備控制編碼在CF邏輯分區(qū)中的執(zhí)行提供了額外的處理能力，由于有了IFLs，傳統(tǒng)的z/OS軟件的負載并沒有受額外的ICF處理能力的影響。為ICF工作而激活的處理單元通常被看作是一個ICF引擎。?

從功能上看，ICF就是一個PU引擎，它需要進行配置之后在CF邏輯分區(qū)中來執(zhí)行，特定PR/SMTM的微碼不包括定義好的、來自正在執(zhí)行的non-CFCC編碼的ICFs，這會導致軟件許可的負載超出ICFPUs的能力。3.3.4系統(tǒng)處理單元——SAPs第三章硬件系統(tǒng)與邏輯分區(qū)?

系統(tǒng)輔助處理器（SAP）也是一個處理單元（PU），它運行通道子系統(tǒng)允許的內部編目來控制I/O操作，在z990結構中所有的SAPs都是作為主SAPs來執(zhí)行的。?

可以通過定制可選的SAPs、或分配一些CPs作為SAPs來向結構中增加額外的SAPs，在這里，首選的是定制SAPs，因為它們不會招致軟件負載。反之，如果分配CPs作為SAPs，則會產生軟件負擔的問題。3.4輸入/輸出系統(tǒng)第三章硬件系統(tǒng)與邏輯分區(qū)3.4.1輸入/輸出系統(tǒng)——I/O操作流程（1）第三章硬件系統(tǒng)與邏輯分區(qū)1.用戶程序通過發(fā)布一個OPEN宏來允許訪問數據集，這個OPEN宏會通過一個SVC指令來調用Open程序，隨后，請求輸入或輸出數據，這就使用一個I/O宏，例如GET、PUT、READ、或WRITE，并指定一個目標I/O設備。這些宏將會產生一個指令流，從而調用一個訪問方法2.訪問方法有許多種，例如VSAM、BSAM和BPAM，它們每一個都為用戶程序提供了不同的功能，選擇一個訪問方法就取決于程序計劃如何去訪問數據（例如隨機的、或順序的）3.為了請求轉移數據，訪問方法會用EXCP宏來給出關于一個I/O驅動器程序（通常是EXCP驅動器）的操作信息，這個EXCP宏可以擴展成一個SVC0指令3.4.1輸入/輸出系統(tǒng)——I/O操作流程（2）第三章硬件系統(tǒng)與邏輯分區(qū)4.如果對于請求的設備來說不存在掛起的I/O操作，那么IOS將會向通道子系統(tǒng)發(fā)布StartSubchannel（SSCH）指令，然后CPU繼續(xù)處理其他工作（執(zhí)行訪問方法的任務可能被置為等待狀態(tài)），直到通道子系統(tǒng)用I/O中斷指出I/O操作已經完成為止。如果設備忙，請求就會在UCB控制塊中排成隊列5.SAP會選擇一個通道路徑來開始I/O操作，這個通道將執(zhí)行通道程序來控制數據在設備、控制單元和中央存儲器之間的轉移。6.當I/O操作完成之后，SAP會通過向所有I/O激活的CPU產生一個I/O中斷來表示操作完成。3.4.1輸入/輸出系統(tǒng)——I/O操作流程（3）第三章硬件系統(tǒng)與邏輯分區(qū)7.IOS通過決定來自通道子系統(tǒng)的I/O操作的狀態(tài)（成功或失?。﹣硖幚碇袛啵琁OS通過發(fā)布TSCH指令來向內存中讀取IRB，IOS會通過發(fā)布等待中的I/O任務和訪問分派器來指出I/O已完成。8.在適當的時候，分派器會分發(fā)任務以返回訪問方法的代碼。9.訪問方法將控制權返回給用戶程序，這樣用戶程序可以繼續(xù)執(zhí)行3.5輔助存儲設備第三章硬件系統(tǒng)與邏輯分區(qū)?

使用數據設備存儲管理子系統(tǒng)(DFSMS)時需要直接訪問存儲設備(DASD)和磁帶設備。本節(jié)我們將對存儲設備的類型和RAID技術做一個簡要的介紹?DASD有如下幾種類型：傳統(tǒng)的DASD(例如3380和3390)RAMAC虛擬陣列(RVA)

企業(yè)存儲服務器(ESS)3.5.1輔助存儲設備——DASD類型概述第三章硬件系統(tǒng)與邏輯分區(qū)?傳統(tǒng)DASD3380modelJ,E,K3390model1，2，3，9?基于RAID技術的DASDRAMAC陣列

RAMAC虛擬陣列(RVA)

企業(yè)存儲服務器(ESS)3.5.2輔助存儲設備——傳統(tǒng)DASD第三章硬件系統(tǒng)與邏輯分區(qū)?

在傳統(tǒng)DASD的時代，硬件設備是由諸如3880和3990之類的控制器組成的，這些控制器可以對存儲子系統(tǒng)進行操作，控制器通過并行（parallel）或ESCON通道連接到S/390系統(tǒng)中?

一個控制器包含著若干個具有磁盤驅動器的3390模塊組。有了這些模塊之后，這些磁盤驅動器對于每個設備就具有了不同的容量，在每個模塊組中，不同的模塊提供了4個、8個或12個設備，所有這些具有4個控制器的單元總共提供了4條訪問3990存儲控制的路徑

?

此時，你不能對給定DASD設備的特性進行修改3.5.3輔助存儲設備——基于RAID技術的DASD第三章硬件系統(tǒng)與邏輯分區(qū)?

隨著1994年RAMAC陣列的引入，IBM公司針對S/390系統(tǒng)率先引入了基于RAID技術的存儲子系統(tǒng)。?IBM公司最近的一些DASD產品，例如RAMACs，RVA，和企業(yè)存儲服務器(ESS)，以及其他廠商提供的DASD，在規(guī)格參數、磁道容量和每個柱面上的磁道數量等方面仿真了IBM公司的3380和3390卷，這使得其他的所有部件都認為它們是在處理真正的3380或3390，這樣做的好處是，它允許DASD廠商在不影響組件與DASD的交互方式的情況下，對磁盤上的磁道和柱面等規(guī)格參數進行修改，但是從操作系統(tǒng)的角度來看，設備的類型一直都是3390。3.5.4輔助存儲設備——ESS技術第三章硬件系統(tǒng)與邏輯分區(qū)?IBM的企業(yè)存儲服務器(ESS)是IBM最強大的磁盤存儲服務器，它是用IBM的Seascape架構來開發(fā)的，ESS為電子商務服務器家族、以及非IBM家族的服務器(例如，基于intel和基于UNIX)提高了無可匹敵的功能性?

在所有的這些環(huán)境中，ESS的特點是它對可以最大限度地滿足性能、容量、以及商業(yè)計算所要求的數據可用性方面的要求3.5.5輔助存儲設備——企業(yè)存儲服務器(ESS)第三章硬件系統(tǒng)與邏輯分區(qū)IBM的企業(yè)存儲服務器(ESS)是一個高性能、高可用性的存儲子系統(tǒng)?

兩個6路RISC處理器（668MHZ）?4.8GB/秒的總帶寬?

最多32個ESCON/SCSI/混合?

最多16個FICON和FCP通道?

最大64GB的高速緩存?2GB的NVS高速緩存?18.2/36.4/72.8/145.6GB的磁盤容量?

最大55.9TB的容量?8x160MB/秒的SSA環(huán)?10000轉/秒和15000轉/秒的磁盤?

到SAN的連接?RAID-5或RAID-103.6本章小結第三章硬件系統(tǒng)與邏輯分區(qū)

?

主機系統(tǒng)設計

?

系統(tǒng)處理單元

?

輸入/輸出系統(tǒng)

?

輔助存儲設備第四章數據集的處理本章主要內容

1.數據集的概念

2.數據集的命名規(guī)則

3.數據集的類型

4.數據集的記錄格式

5.訪問方法

6.VTOC的概念

7.編目的概念

8.z/OSUnix文件系統(tǒng)

9.數據集的操作方法第四章數據集的處理4.1數據集的定義z/OS數據集是存儲在一個磁盤卷或者多個磁盤卷上的邏輯相關的數據記錄的集合。一個數據集可以是一個源程序，一個宏庫或一個能夠被應用程序使用的數據記錄。用戶可以在終端上打印或顯示數據集。邏輯記錄是應用程序使用的基本信息單元。數據可以存儲在直接訪問存儲設備上（DASD），磁帶卷或者光媒體上。第四章數據集的處理4.2數據集的命名

系統(tǒng)中每個數據集必須有一個唯一的名字。一個數據集名可能是一個名字段,或一系列聯(lián)合的名字段。每個名字段描述了一個限定標準，例如,數據集名TE001.COBOL.DATA是由三個名字段組成。左邊的第一個名字段被稱為高級限定詞(HLQ)，右邊的最后一個名字段是最低級的限定詞(LLQ)。第四章數據集的處理4.2數據集的命名

每個名字段的長度可以是一到八個字符，名字段的第一個字母必須是字母(A到Z)或符號(#，@，$)，剩下的七個字符是任一字母、數字(0-9)、national符號或一個連接符號(-)。名字段之間用句點(.)相隔。包括所有的名字段和句點,數據集名的長度不能超過44個字符。因此，一個數據集名最多可以由22個名字段組成。第四章數據集的處理4.3數據集的類型z/OS系統(tǒng)支持許多類型的數據集，并且使用不同的方法來管理它們，通常有三種類型的數據集：（1）順序數據集（2）分區(qū)數據集(PDS)和擴展的分區(qū)數據集(PDSE)（3）VSAM數據集第四章數據集的處理4.3.1順序數據集順序數據集中的記錄按照物理順序存放，新記錄在數據集的尾部增加。順序數據集可以存放在任何類型的存儲設備上，也是唯一可以存放在磁帶上的數據集。第四章數據集的處理4.3.2分區(qū)數據集(PDS)和擴展的分區(qū)數據集(PDSE)分區(qū)數據集是順序數據集的集合，在PDS中，這些順序數據集被稱為成員，每個成員都有一個名字。PDS中還包含目錄，用來在分區(qū)數據集中對成員定位。通常分區(qū)數據集被看作一個庫。擴展的分區(qū)數據集包括一個索引的連續(xù)組織成員的擴展的目錄，每一個成員可能包括一個程序或數據。第四章數據集的處理4.3.3VSAM數據集VSAM數據集是以存取方法命名的數據集，是在虛擬存儲器和樹型數據結構的基礎上，為了滿足數據量大，存取速度快和維護方便等要求建立的一種數據組織形式。VSAM數據集的類型：（1）KSDS－索引順序數據集（2）ESDS－進入順序數據集（3）RRDS－相對記錄數據集（4）LDS－線性數據集第四章數據集的處理4.3.3VSAM數據集（1）KSDS－索引順序數據集(KeySequenceDataSet)KSDS是VSAM最常見的應用格式，每個記錄有一個或多個索引，在KSDS內記錄均按記錄關鍵字(RecordKey)的升序來儲存；

KSDS允許插入數據、刪除數據以及更新數據；記錄可以通過索引值讀取（或插入）。

KSDS提供對數據的隨機訪問。

KSDS記錄可是定長也可以是變長的。第四章數據集的處理4.3.3VSAM數據集（2）ESDS－進入順序數據集(EntrySequenceDataSet)ESDS按記錄的寫入順序保存記錄，每一記錄的存放位置不得變更，因此欲新增記錄，只能加在原數據集的最后。

ESDS支持順序讀取和隨機讀取。

ESDS的記錄可以是定長的，也可以是變長的。第四章數據集的處理4.3.3VSAM數據集（3）RRDS－相對記錄數據集(RelativeRecordDataSet)

RRDS將整個存儲體分成許多固定長度的Slot，并分別加以編號，即所謂的相對資料記錄編號。

RRDS通過RRN來讀取數據記錄，提供隨機讀取和順序讀取。

RRDS的記錄長度是定長的，VRRDS的記錄長度允許變長。第四章數據集的處理4.3.3VSAM數據集（4）LDS－線性數據集(LinearDataSet)

LDS實際上是一個字節(jié)流的數據集，它是傳統(tǒng)MVS中唯一的字節(jié)流數據集格式。許多z/OS的系統(tǒng)函數使用這種格式，但是它很少被應用程序使用。

LDS中沒有控制信息，只包含數據記錄。第四章數據集的處理4.4數據集的存儲方式直接訪問存儲設備（DASD），也稱為磁盤；在磁盤上利用VTOC管理磁盤數據，它記錄了存儲設備上所有數據集的屬性，如數據集名，定位信息，長度，記錄格式，使用情況，建立日期等。磁帶設備；通過HDR1(Header1)管理磁帶數據，文件頭標號所含內容有標號標示（LabelID）和數據集名、記錄格式、記錄大小及塊大小等等信息。第四章數據集的處理4.5分區(qū)的概念分區(qū)（Extent），是一段連續(xù)的磁盤空間。數據集能夠通過增加分區(qū)而追加存儲空間。舊類型的數據集在同一個卷里可以有不超過16個的分區(qū)。較新類型的數據集可以有128或255個分區(qū)。第四章數據集的處理4.6數據集的記錄存儲格式數據集記錄的存儲格式包含如下五種類型：（1）定長不組塊記錄格式（F–Fixed）（2）定長組塊記錄格式（FB-FixedBlocked）（3）變長不組塊記錄格式（V-Variable）（4）變長組塊記錄格式（VB–VariableBlocked）（5）無定義格式（U–Undefined）第四章數據集的處理4.6數據集的記錄存儲格式第四章數據集的處理4.7卷表（VTOC—VolumeTableOfContents）VTOC是一個單個Extent的順序的數據集，它記錄了存儲設備上所有數據集的屬性，如數據集名，定位信息，長度，記錄格式，使用情況，建立日期等。VTOC由DSCB(DataSetControlBlock)組成。對應于數據集的DSCB和反映VSAM數據集在該卷上的空間占用情況的DSCB描述了數據集的特性，而描述未分配空間的DSCB則指出了未分配磁道的位置。第四章數據集的處理4.7卷表（VTOC—VolumeTableOfContents）第四章數據集的處理4.8編目機制——CATALOG

系統(tǒng)使用編目機制來管理整個系統(tǒng)中的數據集。編目根據數據集名來存儲信息，數據集名必須是唯一的。磁盤和磁帶的數據集都可以被編目。定位數據集的三要素：數據集名，卷名和設備單元。一個主編目（MasterCatalog）和若干個用戶編目（UserCatalog）。第四章數據集的處理4.8編目機制——CATALOG第四章數據集的處理4.9z/OS的UNIX文件系統(tǒng)z/OS系統(tǒng)的UNIX系統(tǒng)服務(z/OSUSS)允許z/OS訪問UNIX的文件，UNIX應用程序也可以訪問z/OS的數據集。z/OS的UNIX文件系統(tǒng)是分級的，并且是面向字節(jié)的。在文件系統(tǒng)中查找文件是通過查找目錄來完成的。第四章數據集的處理4.9z/OS的UNIX文件系統(tǒng)分級文件系統(tǒng)結構第四章數據集的處理4.9z/OS的UNIX文件系統(tǒng)分級文件系統(tǒng)結構第四章數據集的處理4.10z/OS的數據集VSUNIX的文件

z/OS中的用戶編目與文件中的用戶主目錄是相似的。在z/OS系統(tǒng)中，用戶給z/OS數據集分配的前綴指向了一個用戶編目，用戶擁有所有的以其名字作為前綴開頭的數據集。

在UNIX文件系統(tǒng)中，每個用戶有一個指定的用戶主目錄。在主目錄下，可以有若干個子目錄。在z/OS數據集的所有類型中，分區(qū)數據集(PDS)和文件系統(tǒng)中的用戶目錄相似。第四章數據集的處理4.11本章小結本章主要介紹了以下這些內容：數據集的概念；數據集的類型；數據集的訪問方法；數據集的編目；數據集的記錄存儲格式。第五章大型主機系統(tǒng)的安全概述本章主要內容z/OS安全服務器RACFRACF功能操作員控制臺安全完整性第五章大型主機系統(tǒng)的安全5.1大型主機系統(tǒng)安全概述5.1.1大型機的安全領域①實體安全。

主要是大型主機系統(tǒng)及其附屬設備的安全，是大型計算機安全的基礎。包括設施的安全位置，防火、防水、防震、防雷、防靜電、防電磁干擾、防盜、防塵等。②軟件安全。

主要是保證大型主機軟件的完整性，堵塞軟件中存在的漏洞，防止軟件的非法復制、泄漏和修改。第五章大型主機系統(tǒng)的安全5.1大型主機系統(tǒng)安全概述③數據安全。

主要是保證存儲在大型計算機系統(tǒng)中或在大型主機系統(tǒng)間或大型主機與其他計算機系統(tǒng)間傳輸的數據不受非法刪改或意外事件的破壞，保證敏感信息的機密性。?④運行安全。有效的安全組織管理機構，嚴格可操作的管理制度，人的安全意識、職業(yè)道德和維護技巧，對大型計算機安全有重大作用。第五章大型主機系統(tǒng)的安全5.1大型主機系統(tǒng)安全概述5.1.2安全機制加密機制。

加密可提供數據保護和信息保密，也可作為其他安全機制的補充，同時必須有密鑰管理機制。?②數字簽名機制。

對網絡傳遞的信息簽名，防止發(fā)送者或接收者否認、偽造、篡改和冒充。?③訪問控制機制。

按照事先確定的規(guī)則判斷主體對客體的訪問是否合法。第五章大型主機系統(tǒng)的安全5.1大型主機系統(tǒng)安全概述④數據完整性機制。

發(fā)送實體在數據單元上增加經過加密的標記，接收實體產生對應的標記，與接收到的標記相比較，以確定在傳輸過程數據是否被修改。⑤鑒別交換機制。

利用口令等鑒別信息，由發(fā)送方根據密碼技術或實體的特征和所有權對接收方進行檢測。⑥路由控制機制。

可使信息發(fā)送者選擇特殊的路由申請，以保證數據安全。第五章大型主機系統(tǒng)的安全5.1大型主機系統(tǒng)安全概述5.1.3大型主機面臨的主要威脅（1）惡意訪問：

隨著大型主機系統(tǒng)開放性的增強，由于大型主機系統(tǒng)大多是處理大型企業(yè)核心業(yè)務，黑客和內部惡意用戶訪問大型主機核心數據的途徑越來越多，破壞的也可能性越來越大。保護數據完整性和防止核心信息不被非法訪問對大型主機系統(tǒng)十分重要。第五章大型主機系統(tǒng)的安全5.1大型主機系統(tǒng)安全概述5.1.3大型主機面臨的主要威脅（2）人為錯誤：

熟悉大型主機技術的技術人才正在迅速減少，沒有資格或缺少經驗的技術人員可能會無意間改動大型主機設置，從而無意間打開進入系統(tǒng)的漏洞或者給予非法訪問者進入系統(tǒng)的授權和機會。第五章大型主機系統(tǒng)的安全5.1大型主機系統(tǒng)安全概述5.1.3大型主機面臨的主要威脅（3）軟件老化：

繼續(xù)運行可靠的老軟件，而不需進行太多維護一向是大型主機系統(tǒng)的優(yōu)點，然而即使如此，大型主機軟件仍然需要及時進行檢查、修補和升級，以減少漏洞和改進安全性。第五章大型主機系統(tǒng)的安全5.1大型主機系統(tǒng)安全概述5.1.4改進大型主機安全性的方法（1）創(chuàng)建安全狀態(tài)表：

在專業(yè)技術人員越來越少，安全威脅越來越多的情況下，大型主機用戶必須創(chuàng)建大型主機安全狀態(tài)表，以顯示安全計劃的進展，安全狀態(tài)表的內容包括顯示訪問大型主機的人員概要，哪些數據被訪問得最多，訪問是否違反了企業(yè)的安全政策？添加和刪除的用戶的數量、掛起賬戶的規(guī)則等。第五章大型主機系統(tǒng)的安全5.1大型主機系統(tǒng)安全概述5.1.4改進大型主機安全性的方法（2）適當的集中：

用戶必須通過集中大型主機的某些安全功能(尤其是管理和審計功能)，以更好地利用已有的知識庫。第五章大型主機系統(tǒng)的安全5.1大型主機系統(tǒng)安全概述5.1.4改進大型主機安全性的方法（3）審計新內容：

重視配置那些登錄大型主機的操作，以確保管理員員可以跟蹤訪問者接觸了哪些數據，系統(tǒng)地分析關鍵文件(數據集合)的安全狀態(tài)，尤其是那些涉及公司機密的文件，保證安全政策得到貫徹執(zhí)行。第五章大型主機系統(tǒng)的安全5.1大型主機系統(tǒng)安全概述5.1.4改進大型主機安全性的方法（4）強化控制：

對大型主機系統(tǒng)加強安全控制，需要考慮在大型主機系統(tǒng)中加入實時報警功能，這樣可以及時發(fā)現非法訪問和配置錯誤。第五章大型主機系統(tǒng)的安全5.2大型主機系統(tǒng)安全性策略5.2.1用戶標識和認證

資源訪問控制設施（RACF）仍然是所有提供內部和外部訪問的系統(tǒng)的關鍵組成部分。RACF提供集中化安全性功能，包括用戶標識和認證、資源訪問控制以及對于操作系統(tǒng)和系統(tǒng)上運行的應用程序的審計。第五章大型主機系統(tǒng)的安全5.2大型主機系統(tǒng)安全性策略5.2.1用戶標識和認證1、資源訪問控制設施（RACF）RACF仍然是所有提供內部和外部訪問的系統(tǒng)的關鍵組成部分。RACF提供集中化安全性功能，包括用戶標識和認證、資源訪問控制以及對于操作系統(tǒng)和系統(tǒng)上運行的應用程序的審計。第五章大型主機系統(tǒng)的安全5.2大型主機系統(tǒng)安全性策略5.2.1用戶標識和認證2、數字證書

可以用于向用戶或服務器識別和認證另一用戶或資源，并生成密鑰用于與受信任的第三方進行安全通信。X.509v3數字證書和Kerberos是現今普遍使用的受信任第三方識別和認證技術的兩個代表實例。第五章大型主機系統(tǒng)的安全5.2大型主機系統(tǒng)安全性策略5.2.1用戶標識和認證3、安全套接字層（SSL）

SSL是TCP/IP套接字接口的公用密鑰密碼術擴展。SSL代表當前安全的電子商務應用程序領域中最重要的密碼術應用，并且將繼續(xù)成為支持安全電子商務的關鍵技術。第五章大型主機系統(tǒng)的安全5.2大型主機系統(tǒng)安全性策略5.2.2審計和記錄

RACF為審計者提供了一些實用程序，這些實用程序處理數據分析并確保用戶遵守安全策略。RACF使用多種方法指定在審計流中需要記錄哪些安全性相關事件以及如何整理和分析這些信息。第五章大型主機系統(tǒng)的安全5.2大型主機系統(tǒng)安全性策略5.2.3數字證書托管

現已通過Identrus認證的PKI服務使用戶能夠建立公用密鑰基礎結構，以作為內部和外部用戶的認證中心（CA），發(fā)布和管理符合企業(yè)定義的安全性策略的數字證書。

對于利用第三方認證中心來發(fā)布和管理數字證書的企業(yè)，PKI服務意味著巨大的開支節(jié)省.第五章大型主機系統(tǒng)的安全5.2大型主機系統(tǒng)安全性策略5.2.4目錄服務LDAP協(xié)議提供業(yè)界標準的訪問機制，通過LDAP服務器將RACF提供的本機安全性服務擴展到跨平臺應用程序和服務所提供的分布式安全性能力。RACF注冊表是RACF用戶和組的目錄。LDAP的z/OS實現旨在與RACF形成互補，支持將通常由RACF支持的集中式計算模型集成到新出現的分布式計算模型（例如通過WebSphere由EJB環(huán)境提供的模型）中。第五章大型主機系統(tǒng)的安全5.2大型主機系統(tǒng)安全性策略5.2.5網絡和通信安全性

CommunicationsServer旨在提供以下保護：網絡中的數據使用基于密碼術的安全協(xié)議（例如，IP安全性，SSL以及SNA會話等級加密）；使用標準的RACF服務保護系統(tǒng)資源和數據不受未經授權的訪問；網絡系統(tǒng)（例如，拒絕服務攻擊）。通過連接不同網絡并整合通信工作負載，實現了獨立于協(xié)議的網絡。第五章大型主機系統(tǒng)的安全5.2大型主機系統(tǒng)安全性策略5.2.6認證

CommonCriteriaSecurityCertification普遍被IT專業(yè)人員、政府機構和客戶認為是任務關鍵型硬件和軟件的認可標志。CommonCriteria（CC）是一個國際公認的ISO標準（ISO/IEC15408），美國聯(lián)邦政府和其它組織使用它來評估技術產品的安全性和可靠性。第五章大型主機系統(tǒng)的安全5.2大型主機系統(tǒng)安全性策略5.2.7符合Identrusz/OSV1R5的PKI服務已由CA軟件Identruscompliant認證為Identrus3.1規(guī)范級別。IdentrusCompliant程序確認PKI服務滿足Identrus規(guī)格和互操作性需求，從而為金融機構與客戶之間建立信任關系打下牢固的基礎。Identrus系統(tǒng)是一個全球信任網絡，它旨在提供技術條件和支持有關幫助跨行業(yè)轉移電子商務風險的信任和支付所需的標準。第五章大型主機系統(tǒng)的安全5.3大型主機的加密設施5.3.1軟件加密系統(tǒng)z/OS的加密設施旨在利用現有集中的密鑰管理和由ICSF

提供的訪問認證能力。z/OS的加密設施包含兩個可選的功能部件：（1）加密服務功能部件支持對z/OS上某些文件格式的加密和解密。這允許大型主機用戶將數據文件傳遞到企業(yè)中的各遠程站點，將數據文件傳遞給合作伙伴和供應商，以及將數據文件歸檔。該功能部件支持加密前的硬件加速壓縮；第五章大型主機系統(tǒng)的安全5.3大型主機的加密設施5.3.1軟件加密系統(tǒng)（2）DFSMSdss加密功能部件支持DFSMSdss轉儲數據集的加密。該功能部件支持加密到磁帶前的硬件加速壓縮。第五章大型主機系統(tǒng)的安全5.3大型主機的加密設施5.3.2硬件加密系統(tǒng)1、對需要安全密鑰加密支持的客戶，在z系列大型主機上可以使用CryptoExpress2功能部件。

該功能部件現在提供兩個PCI-X適配器，這兩個適配器可靈活地配置成協(xié)處理器、加速器、或者是一個協(xié)處理器和一個加速器的組合。第五章大型主機系統(tǒng)的安全5.3大型主機的加密設施5.3.2硬件加密系統(tǒng)2、可靠密鑰輸入（TKE）工作站是zSeries的可選功能部件，它提供了安全性要求較高的密碼管理系統(tǒng)。密鑰管理系統(tǒng)為獲得授權的人員提供一種密碼鑒定、交換、分離、更新和管理的方法.加密服務功能部件允許加密要寫入磁帶和其他可移動介質的數據。這有助于與合作伙伴、供應商和客戶跨平臺共享機密數據。第五章大型主機系統(tǒng)的安全5.3大型主機的加密設施5.3.2硬件加密系統(tǒng)3、DFSMSdss加密支持使用TDES三倍長度的密鑰或128位AES密鑰，進行數據加密。像加密服務功能部件一樣，該功能部件支持使用RSA公／私鑰來打包和解包用于加密文件的AES和TDES數據密鑰，并使用專門的密碼生成AES和TDES密鑰。用戶還可以指定DFSMSdss在加密數據之前壓縮數據。DFSMSdss加密功能部件包含兩個功能，一個是在處理DUMP命令時加密數據，另一個是在處理RESTORE命令時解密數據。第五章大型主機系統(tǒng)的安全5.3大型主機的加密設施5.3.2硬件加密系統(tǒng)4、安全套接層（SSL）或傳輸層安全性（TLS）協(xié)議是在公開密鑰加密方法的基礎上對TCP/IP網絡進行的擴展。SSL/TLS能夠確保Internet上的各方進行私有性的通訊而不會被中途盜取，尤其適合于像信用卡號這樣的信息在從客戶傳遞給市場應用過程中的安全保證。z系列服務器提供處理高度安全的Web交易所需的性能和擴展能力。第五章大型主機系統(tǒng)的安全5.4z/OS的基本安全工具RACF

資源訪問控制工具（RACF）是一個附加軟件產品，用來向主機系統(tǒng)提供基本的安全。RACF通過允許授權用戶訪問相應的資源來保護系統(tǒng)。

在RACF的數據庫中有一個專門的裝置叫做預置文件(profile)，其中保存了用戶、資源和訪問授權等信息，當需要決定允許哪些用戶訪問哪些受保護的系統(tǒng)資源時，可以查閱這些profiles。第五章大型主機系統(tǒng)的安全5.4z/OS的基本安全工具RACF5.4.1RACF功能為了完成安全管理的目標，RACF為用戶提供以下功能：1、識別和鑒定用戶2、批準用戶訪問受保護

的資源3、對各種未授權用戶訪

問受保護資源的企圖

進行日志和報告4、控制訪問資源的方式第五章大型主機系統(tǒng)的安全5.4z/OS的基本安全工具RACF5.4.2訪問控制權限分級RACF將訪問控制權限分為五個級別，每一個級別都包含所有較低級別的權力：（1）ALLOC分配權限（2）CONTROL修改權限（3）WRITE寫權限（4）READ讀權限（5）NONE無任何權限第五章大型主機系統(tǒng)的安全5.4z/OS的基本安全工具RACF5.4.3RACF和操作系統(tǒng)

為了使RACF的工作過程形象化，將RACF描述為操作系統(tǒng)的一層，它用來檢驗用戶的身份和授權用戶所需的資源。第五章大型主機系統(tǒng)的安全5.4z/OS的基本安全工具RACF操作系統(tǒng)和RACF交互的工作流程：1、用戶使用資源管理器（如TSO/E）請求訪問某資源。2、資源管理器向RACF發(fā)出請求來判斷用戶是否可以訪問資源。3、RACF查詢RACF數據庫或存儲器的數據。4、檢查相應的資源預置文件。5、基于預置文件中的信息。6、RACF將請求的狀態(tài)傳送給資源管理器。7、資源管理器允許（或拒絕）請求。第五章大型主機系統(tǒng)的安全5.4z/OS的基本安全工具RACF5.4.4預置文件預置文件（profile）是一條由安全管理員定義的RACF信息的記錄。包括用戶、用戶組和資源配置第五章大型主機系統(tǒng)的安全5.4z/OS的基本安全工具RACF5.4.5用戶身份鑒定和授權檢查當用戶請求訪問具有安全級別的資源時，RACF會執(zhí)行兩步檢查：（1）RACF將比較用戶和資源預置文件中的安全級別。（2）RACF比較用戶預置文件中的分類表和資源預置文件中的分類表。第五章大型主機系統(tǒng)的安全5.4z/OS的基本安全工具RACFRACF檢驗預置文件的流程第五章大型主機系統(tǒng)的安全5.4z/OS的基本安全工具RACF5.4.6日志和報告RACF維護了一些統(tǒng)計信息，如日期、時間、用戶登陸系統(tǒng)的次數和特定的資源被訪問的次數。在以下情況下，RACF也會寫安全日志記錄：（1）未授權用戶企圖登陸系統(tǒng)（2）授權或未授權用戶企圖訪問RACF保護的資源（3）授權或未授權用戶企圖運行RACF命令第五章大型主機系統(tǒng)的安全5.4z/OS的基本安全工具RACF5.4.7日志和報告RACF維護了一些統(tǒng)計信息，如日期、時間、用戶登陸系統(tǒng)的次數和特定的資源被訪問的次數。在以下情況下，RACF也會寫安全日志記錄：（1）未授權用戶企圖登陸系統(tǒng)（2）授權或未授權用戶企圖訪問RACF保護的資源（3）授權或未授權用戶企圖運行RACF命令第五章大型主機系統(tǒng)的安全5.4z/OS的基本安全工具RACF5.4.8安全管理

（1）確定要使用的RACF功能函數

選擇何種RACF功能函數——安全目標、安全措施和目標評估

（2）確定RACF保護級別

對資源指定不同的保護級別，動態(tài)增加RACF的保護級別。

（3）確定需要保護的數據

保護最大多數的資源，簡單而有效的保護資源方式，對終端用戶影響最小。第五章大型主機系統(tǒng)的安全5.5本章小結1、大型主機系統(tǒng)所有面臨的主要安全威脅2、大型主機安全策略與加密設施3、大型主機安全服務器4、資源訪問控制系統(tǒng)（RACF）第六章軟件系統(tǒng)與軟件開發(fā)本章主要內容：1.了解應用程序設計員和應用程序程序開發(fā)員的任務。2.列出應用程序開發(fā)生命周期的不同階段。3.描述批處理程序和在線程序的相同點和不同點。4.了解幾種常用的大型主機編程語言。5.說明編譯型語言和解釋型語言之間的差別。6.解釋一個程序中的數據集名、DD名和文件名三者之間的關系。7.說明目標模塊和加載模塊的區(qū)別。8.執(zhí)行加載模塊。第六章軟件系統(tǒng)與軟件開發(fā)本章的關鍵詞?應用程序設計員?應用程序開發(fā)員?應用程序開發(fā)周期?軟件測試?編程語言的分類?語言環(huán)境?編譯、連接和執(zhí)行第六章軟件系統(tǒng)與軟件開發(fā)6.1應用程序設計員

應用軟件設計是對軟件程序的整體結構、程序結構、數據結構、文件結構和接口定義等的設計,是宏觀上的設計。應用程序設計員必須對整個項目有一個全局的觀點。作為設計過程的一部分，設計員需要收集來自商業(yè)分析員和終端用戶的需求，并可能會需要其他專家的協(xié)助。第六章軟件系統(tǒng)與軟件開發(fā)6.2應用程序開發(fā)員根據應用程序設計員制定的規(guī)范，程序開發(fā)員要為終端用戶構建/建立，測試并發(fā)布在大型主機上運行的應用程序。應用程序開發(fā)員將用各種工具來構建應用程序，應用程序的構建過程是一個反復的代碼修改、編譯、應用程序構建和單元測試的過程。程序開發(fā)員除了要編寫新的應用程序代碼之外，還要負責維護和改進