服务器存储网络项目方案安全设备项目方案实施组织.doc

/1 1 项目实施方案项目实施方案1.1 项目实施计划项目实施计划考虑到 xxxxxx 与数据库建设与数据库建设项目的工程量、质量与涉及面等因素，在此工程实施前必需有严密的进度控制和精心的组织安排。我们根据本方案确定的项目目标以及具体建设要求，对建设任务以及工程进度进行综合安排计划，具体各个部分的实施可以视工程情况相互协调、齐头并进。1.2 项目任务分解项目任务分解 序号序号任务任务内容描述内容描述1方案调整与合同签订完成投标文件修改，确定本项目订购的硬件设备和软件。2项目组成立正式合同签订后，将成立工程项目组，任命项目经理，确定最终的项目组成员，并以书面形式正式通知用户。3设备采购按照项目建设合同中关于设备购货有关条款和议定的日期，组织设备软、硬件的购置工作。4前期调研对用户安装现场的电源、地线、空间、照明等工程实施时必需的安装环境进行调查确认，并做好系统安装准备。5详细方案设计对项目建设最终确定的总体方案作实施等方案设计。6施工准备项目建设工程施工前，我公司项目组将进行一些必要的准备工作。7设备交货设备到货并发送到用户指定地点并进行设备验收，按照合同的软、硬件清单签收到货的设备。8设备安装与节点调试按照合同要求、技术方案和工程安装实施计划，完成项目建设合同内各系统的安装调试工作，包括全面实施准备、项目全面实施等内容。9系统联合调试项目建设系统安装完成后，对整个设备及系统在实际环境中进行整体调试。10系统试运行项目建设系统在初步验收后投入试运行。11系统终验系统投入正常工作。/1.3 安装调试、系统集成安装调试、系统集成1.3.1 准备工作准备工作查看软件版本1) 通过 IE 浏览器登陆到安全设备,查看当前安全设备的软件版本。2) 通过串口登陆到安全设备后台,查看软件版本。产品信息记录记录下用户安全设备编号，作好记录工作1.3.2 实施前注意事项实施前注意事项查看安全设备重启后能否正常启动查看安全设备的 console 口是否可用1.3.3 配置网络安全设备配置网络安全设备1.3.3.1 边界防护系统配置边界防护系统配置1. 要求管理员分级，包括超级管理员、安全管理员、日志管理员等，并定义相应的职责，维护相应的文档和记录。2. 防火墙管理人员应定期接受培训。3. 对防火墙管理的限制，包括，关闭 telnet、http、ping、snmp 等，以及使用SSH 而不是 telnet 远程管理防火墙。4. 账号管理是否安全，设置了哪些口令和帐户策略，员工辞职，如何进行口令变更？ 5. 防火墙配置文件是否备份？如何进行配置同步？6. 改变防火墙缺省配置。7. 是否有适当的防火墙维护控制程序？8. 加固防火墙操作系统，并使用防火墙软件的最新稳定版本或补丁，确保补丁/的来源可靠。9. 是否对防火墙进行脆弱性评估/测试？（随机和定期测试）10.防火墙访问控制规则集是否和防火墙策略一致？应该确保访问控制规则集依从防火墙策略，如严格禁止某些服务、严格开放某些服务、缺省时禁止所有服务等，以满足用户安全需求，实现安全目标。11.防火墙访问控制规则是否有次序性？是否将常用的访问控制规则放在前面以增加防火墙的性能？评估防火墙规则次序的有效性。12.防火墙访问控制规则集的一般次序为： 反电子欺骗的过滤（如，阻断私有地址、从外口出现的内部地址） 用户允许规则（如，允许 HTTP 到公网 Web 服务器） 管理允许规则 拒绝并报警（如，向管理员报警可疑通信） 拒绝并记录（如，记录用于分析的其它通信）防火墙是在第一次匹配的基础上运行，因此，按照上述的次序配置防火墙，对于确保排除可疑通信是很重要的。13.防火墙访问控制规则中是否有保护防火墙自身安全的规则14.防火墙是否配置成能抵抗 DoS/DDoS 攻击？15.防火墙是否阻断下述欺骗、私有（RFC1918）和非法的地址 标准的不可路由地址（255.255.255.255、127.0.0.0） 私有（RFC1918）地址（10.0.0.0 10.255.255.255、172.16.0.0 172.31.255.255、192.168.0.0 192.168.255.255） 保留地址（224.0.0.0） 非法地址（0.0.0.0）16.是否确保外出的过滤？17.确保有仅允许源 IP 是内部网的通信通过而源 IP 不是内部网的通信被丢弃的规则，并确保任何源 IP 不是内部网的通信被记录。18.是否执行 NAT，配置是否适当？19.任何和外网有信息交流的机器都必须经过地址转换（NAT）才允许访问外网，同样外网的机器要访问内部机器，也只能是其经过 NAT 后的 IP，以保证系统的内部地址、配置和有关的设计信息如拓扑结构等不能泄露到不可信的外网中去。/20.在适当的地方，防火墙是否有下面的控制？21.如，URL 过滤、端口阻断、防 IP 欺骗、过滤进入的 Java 或 ActiveX、防病毒等。22.防火墙是否支持“拒绝所有服务，除非明确允许”的策略？23.根据 xxx 的需求，配置系统所需对外开放的端口映射。1.3.3.2 审计监控审计监控1. 具有特权访问防火墙的人员的活动是否鉴别、监控和检查？对防火墙的管理人员的活动，防火墙应该有记录，并要求记录不能修改，以明确责任，同时能检查对防火墙的变化。2. 通过防火墙的通信活动是否日志？在适当的地方，是否有监控和响应任何不适当的活动的程序？确保防火墙能够日志，并标识、配置日志主机，确保日志安全传输。管理员通过检查日志来识别可能显示攻击的任何潜在模式，使用审计日志可以监控破坏安全策略的进入服务、外出服务和尝试访问。3. 是否精确设置并维护防火墙时间？ 配置防火墙使得在日志记录中包括时间信息。精确设置防火墙的时间，使得管理员追踪网络攻击更准确。4. 是否按照策略检查、回顾及定期存档日志，并存储在安全介质上？确保对防火墙日志进行定期存储并检查，产生防火墙报告，为管理人员提供必需的信息以帮助分析防火墙的活动，并为管理部门提供防火墙效率情况。5. 重大事件或活动是否设置报警？是否有对可以攻击的响应程序？6. 如适当设置入侵检测功能，或者配合使用 IDS（入侵检测系统） ，以防止某些类型的攻击或预防未知的攻击。7. 是否有灾难恢复计划？恢复是否测试过？8. 评估备份和恢复程序（包括持续性）的适当性，考虑：对重要防火墙的热备份、备份多长时间做一次、执行备份是否加密、最近成功备份测试的结果等。/1.3.3.3 交换机交换机1. 交换机配置文件是否离线保存、注释、保密、有限访问，并保持与运行配置同步2. 是否在交换机上运行最新的稳定的 IOS 版本3. 是否定期检查交换机的安全性？特别在改变重要配置之后。4. 是否限制交换机的物理访问？仅允许授权人员才可以访问交换机。5. VLAN 1 中不允许引入用户数据，只能用于交换机内部通讯。6. 考虑使用 PVLANs，隔离一个 VLAN 中的主机。7. 考虑设置交换机的 Security Banner，陈述“未授权的访问是被禁止的” 。8. 是否关闭交换机上不必要的服务？包括：TCP 和 UDP 小服务、CDP、finger 等。9. 必需的服务打开，是否安全地配置这些服务？。10. 保护管理接口的安全11. shutdown 所有不用的端口。并将所有未用端口设置为第 3 层连接的 vlan。12. 加强 con、aux、vty 等端口的安全。13. 将密码加密，并使用用户的方式登陆。14. 使用 SSH 代替 Telnet，并设置强壮口令。无法避免 Telnet 时，是否为 Telnet 的使用设置了一些限制？15. 采用带外方式管理交换机。如果带外管理不可行，那么应该为带内管理指定一个独立的 VLAN 号。16. 设置会话超时，并配置特权等级。17. 使 HTTP server 失效，即，不使用 Web 浏览器配置和管理交换机。18. 如果使用 SNMP，建议使用 SNMPv2，并使用强壮的 SNMP community strings。或者不使用时，使 SNMP 失效。19. 实现端口安全以限定基于 MAC 地址的访问。使端口的 auto-trunking 失效。20. 使用交换机的端口映像功能用于 IDS 的接入。21. 使不用的交换机端口失效，并在不使用时为它们分配一个 VLAN 号。22. 为 TRUNK 端口分配一个没有被任何其他端口使用的 native VLAN 号。23. 限制 VLAN 能够通过 TRUNK 传输，除了那些确实是必需的。24. 使用静态 VLAN 配置。25. 如果可能，使 VTP 失效。否则，为 VTP 设置：管理域、口令和 pruning。然后设/置 VTP 为透明模式。26. 在适当的地方使用访问控制列表。27. 打开 logging 功能，并发送日志到专用的安全的日志主机。28. 配置 logging 使得包括准确的时间信息，使用 NTP 和时间戳。29. 依照安全策略的要求对日志进行检查以发现可能的事件并进行存档。30. 为本地的和远程的访问交换机使用 AAA 特性。1.3.3.4 入侵检测入侵检测1. 配置 IDS 产品安全策略策略包括需要保护对象的优先顺序、规定谁可以对 IDS 产品进行配置管理、以及根据操作系统、应用服务或部署位置等来制定的 IDS 检测策略。2. 定期维护 IDS 安全策略IDS 的安全策略应该是活动的，当环境发生变化时，安全策略应该改变，并应该通知相关人员。3. 将 IDS 产品（传感器和管理器）放置在一个环境安全且可控的区域，以保证IDS 产品的物理安全4. 安全地配置装有 IDS 的主机系统5. IDS 配置文件离线保存、注释、有限访问，并保持与运行配置同步。6. 使用 IDS 产品的最新稳定版本或补丁。7. 保持 IDS 产品的最新的签名数据库。8. 定期检查 IDS 产品自身的安全性，特别在改变重要配置之后。9. 对管理用户进行权限分级，并对用户进行鉴别。要求不同权限级别的用户应该具有相应的技术能力（掌握信息安全知识）及非技术能力（责任心、管理能力、分析能力等） 。10.口令配置安全例如，使用难以猜测的口令、限制知晓范围、重要员工辞职时更换口令。11.精确设置并维护 IDS 时间（生产系统变更窗口） 。12.在发生报警时，能进行快速响应对于报警事件，应该首先进行分析，判断事件是攻击事件还是正常事件，然后对/攻击事件进行处理。13.当非法入侵行为时，有相应的处理措施1.3.3.5 安全隔离与信息交换系统安全隔离与信息交换系统1 1、控制台安装硬件环境、控制台安装硬件环境 586 或更高型号的 PC 计算机或其兼容机； 128M 或更高容量的内存； 光盘驱动器； 100M 以上剩余硬盘空间。2 2、控制台安装软件环境、控制台安装软件环境管理控制台安装包支持以下操作系统：Windows XP、Windows 2003 Server 、Windows7；推荐使用 Windows XP。3 3、控制台软件安装、控制台软件安装运行安装光盘下的安装包文件，依默认配置即可安装控制台软件。4 4、启动启动在正确安装天融信安全隔离与信息交换系统并确保各种线缆正确连接之后，开始使用天融信安全隔离与信息交换系统。本系统的所有管理、配置、监控工作均在控制台完成，双击桌面“TopRules-控制台”图标即可运行控制台程序，您也可通过点击“开始/程序/天融信安全隔离与信息交换系统控制台/TopRules-控制台”运行控制台程序。5、设置设备工作模式安全隔离与信息交换系统设备的工作模式可设置为三种：透明模式、代理模式、路由模式。下面以常用的代理模式进行调试：当设备工作为代理模式时，客户端比较容易理解隔离设备的工作原理，即代理。这时的客户端需要将与服务器通信的内容全部改由隔离设备的 IP 来进行通信，在客户端看来，服务器的 IP 已经不可见，客户端只需要把隔离设备的内、外端机的 IP 作为其目标服务器即可。比如，允许内网客户端 192.168.1.1 访问外网服务器 10.10.10.1，这时需要给隔离设备分配两个可以与该网段通信的 IP，如在内端机分配 192.168.1.2，外端机分配10.10.10.2。这时内网客户端需要访问外网服务器的 WEB 应用时，只需要访问http:/192.168.1.2，即可。因为在代理模式时，隔离设备会非常形象的代理客户端与服务器进行会话。/客户端是 192.168.0.18，服务端有两个，分别为 192.168.1.100 和 192.168.1.101，两个服务器均提供 WEB 服务，并且端口均为 80。当源地址与目标地址处于不同段网络时，之前客户端与服务端从未进行过通信或数据交换，将设备设置为代理模式，以更好表现形式来完成网络的隔离性。定制访问策略，步骤如下：定制访问策略，步骤如下： 其他步骤与上一案例一致，除了以下几个步骤。1.增加对象“WEB 服务器 100” ，地址为 192.168.1.100。2.将新增的服务器归到服务器组。/3.将服务中的 WEB 服务的映射端口修改为 80。4.删除当前所有系统规则，再应用所有系统规则。/1.为设备分配 IP 地址由于要求客户端访问两个服务器时都要用 80 端口进行访问，并且不允许访问直接的真实 IP，因此需要在网络接口界面中，分别为内端机的 INT0 接口设置两个 IP 用来对应两个服务器的真实 IP。这里我们举例为 192.168.0.19 对应 192.168.1.100 和 192.168.0.20 对应192.168.1.101；2.按下网络接口界面的“应用设置”按钮，配置生效。至此，隔离设备规则设置完成，此时隔离设备仅允许“测试工程师”在 9：00-17：30访问“WEB 服务器”和“WEB 服务器 100”的 TCP80 端口的 HTTP 服务，且在 HTTP 协/议内容上仅允许 GET 动作发生，同时过滤 DLL、EXE 文件。访问 192.168.1.100 的方式为 Http:/192.168.0.19192.168.0.19 会自动对应到服务器 192.168.1.100。访问 192.168.1.101 的方式为 Http:/192.168.0.20192.168.0.20 会自动对应到服务器 192.168.1.101。1.3.3.6 运维审计系统运维审计系统配置管理主要包括策略配置、服务配置、系统配置 3 部分组成。运维管理审计系统支持多种部署方式，在本项目中，考虑到 xxx 与数据库建设项目的实际需求，我们将采用旁路部署方式。部署示意图如下所示：部署时，谐润运维管理审计系统旁路接入网络，只需要 1 个独立的 IP 即可，保证堡垒主机能够通过网络连接被管理资源提供远程运维服务的端口，应用托管中心与堡垒主机做直连，通过堡垒主机NAT 转换技术使应用托管中心能够访问网络中的资源。 若堡垒主机和被管理资源之间存在防火墙，则需要在增加或修改防火墙的策略，防火墙的策略增加或修改如下： 源地址：堡垒主机 IP，源端口：any，目标地址：被管理资源 IP，目标端口：提供运维服务的监听端口。 如堡垒主机需要连接被管理的 Linux 服务器，Linux 服务提提供 ssh 运维服务，则需要在防火墙上/增加或修改策略如下： 源地址：堡垒主机 IP，源端口：any，目标地址：被管理资源 IP，目标端口：22。 维护人员只要登录运维管理系统即可访问到所有服务器，无须进行二次登录。 若运维人员与运维管理系统之间存在防火墙，则防火墙需要开放如下端口： 22（ssh、telnet 协议代理模块） ，443（堡垒主机提供 web 服务） ，3389（rdp 协议代理模块）等。 有关实施时防火墙开放策略， 日志服务器旁路接入网络，并开发 SMB 共享服务，为堡垒主机提供日志存储服务，堡垒主机通过页面配置，将数据文件存储至日志服务器。1.3.4 服务器虚拟化配置服务器虚拟化配置在本期项目中，将遵照规划和架构设计进行项目实施。本实施方案不涉及具体操作步骤和细节配置，而主要针对项目实施的过程进行控制。预计的实施步骤如下：1.3.4.1 准备阶段准备阶段准备阶段是为项目的实施搜集各方面资料和必要的工具，同时也包括双方参与实施人员的确定。准备阶段主要内容如下；软件介质准备，包含项目涉及的所有软件产品介质，如果是项目内采购则由卖方准备，如采用用户现有的软件则由用户方提供，主要的介质包含：（1）FusionCloud 产品介质（2）各虚拟机的操作系统介质（3）在应用服务器上运行的所有应用软件介质（4）服务器硬件驱动程序介质如涉及到 License 则需要提供方确保在提供软件介质时同时提供有效的 License 授权。如 Windows操作系统需要 S/N 号码等。在准备阶段还需要确定实施需要的人员名单，每个步骤的参与人员要事先确定下来。为了确保应用迁移时的现场技术支持，要求在应用迁移或服务器迁移时确保应用软件的管理员或厂家技术人员能够现场支持。1.3.4.2FusionSphere 虚拟架构实施虚拟架构实施在实施过程中，主要的工作包括虚拟环境搭建和系统迁移两部分，本节主要针对 FusionSphere 虚拟化架构搭建的过程进行描述。针对本期项目的情况，需要按照下列步骤进行 FusionSphere 架构建设。在此，只对实施的过程列/表并进行简要说明，详细地安装和配置技术实现步骤将在安装过程中为用户进行现场培训，并在项目实施后的安装报告中将具体参数设置等进行汇总和记录，安装报告将在总结与交付阶段与项目的其他文档共同转移给用户的管理团队。项目实施内容任务描述 服务器硬件预先安装 和配置确认1.服务器硬件安装；2.服务器硬件机架安装位置标示；3.服务器内部硬件配置确认；网络交换机安装和物 理环境确认1.交换机端口预留；2.网络线缆连接；3.交换机内部配置。物理环境 准备存储系统安装和环境 确认1.SAN 交换机安装以及端口预留；2.SAN 交换机配置确认（Zoning 等） ；3.FC 光纤跳线的连接确认;4.磁盘阵列存储配置确认。安装 FusionCompute 主机1.确认硬件驱动的预先准备；2.按照一般的 FusionCompute 主机安装过程进行，通过FusionSpheree 安装光盘进行裸机安装；3.安装过程中的参数填写按照系统规划相关表格内的内容填写，避免临时变更。1.安装操作系统；2.安装 SQL Server 数据库（如果采用本地数据库） ；3.安装 FusionManager 和相关组件，连接到 SQL Server 数据库；4.安装 License 服务器（如果采用与 FusionCloud 集成在一台服务器上） ；5.输入 FusionSphere License；6.打开管理控制台并确认可用。安装和配置 FusionManager1.安装 Update Manager；2.配置 Update Manager：配置网络连接参数配置 Patch 下载等基础参数FusionSp here 虚拟 化实施配置数据中心（Data Centers）1.根据规划方案配置 FusionCloud 数据中心（Date Center）2.创建 Cluster/3.配置 HA 和 DRS4.配置电源管理5.配置各项监控策略参数和虚拟机默认参数6.开启 VMotion 等基础功能7.建立 Swap file 策略8.其他需要设置的内容添加 FusionCompute 主机到 FusionCloud FusionManager1.将已经安装完成的 FusionCompute 服务器添加到FusionManager 内进行管理2.察看 FusionCompute 服务器的软硬件系统资源，确认FusionCompute 的运行正常配置存储1.根据规划方案将存储与 FusionCompute 服务器进行连接2.确定 HBA 卡与存储的连接状态，搜索新的磁盘设备3.添加存储，选择磁盘/LUN4.配置存储的基础参数创建 VMkernel Network 使用的 vSwitch（或 dvSwitch）1.创建 vSwitch2.创建 Port Group（端口组）3.设置 kernel 网络的其他功能或附加功能4.增加 kernel 的网络连接到 vSwitch创建虚拟机网络使用 的 vSwitch（或 dvSwitch）1.添加新的 vSwitch 用于虚拟机网络连接2.为 vSwitch 增加网卡3.配置 VLAN 等网络设置4.创建端口组5.增加虚拟机网络连接到 vSwitch配置时间（如需要）1.配置时间参数，指定 NTP 服务器设置2.设置 NTP 参数配置 SNMP 相关设 定 将 FusionCompute 主 机添加至 Cluster1.将添加到 FusionManager 管理的 FusionCompute 加入相应的 Cluster 2.确认 FusionCompute 添加到 Cluster 正确。 配置 VM 部署模板1.配置 Windows 部署模板 2.配置 Linux 部署模板/1.3.4.3 FusionSphere 虚拟架构实施虚拟架构实施步骤步骤在实施过程中，主要的工作包括虚拟环境搭建和系统迁移两部分，本节主要针对 FusionSphere 虚拟化架构搭建的过程进行描述。针对本期项目的情况，需要按照下列步骤进行 FusionSphere 架构建设。在此，只对实施的过程列表并进行简要说明，详细地安装和配置技术实现步骤将在安装过程中为用户进行现场培训，并在项目实施后的安装报告中将具体参数设置等进行汇总和记录，安装报告将在总结与交付阶段与项目的其他文档共同转移给用户的管理团队。(一) 物理环境准备1.服务器硬件预先安装和配置确认a)服务器硬件安装b)服务器硬件机架安装位置标示c)服务器内部硬件配置确认d)服务器 KVM 管理方式确认2.网络交换机安装和物理环境确认a)交换机端口预留b)网络线缆连接c)交换机内部配置3.存储系统安装和环境确认a)SAN 交换机安装（如需）以及端口预留存储 1 端口存储 2 端口主机端口交换机端口A 控B 控A 控B 控b)SAN 交换机配置确认（Zoning 等）zone 名称含端口描述c)FC 光纤跳线的连接确认d)磁盘阵列存储配置确认(二) 安装 FusionCompute 主机/1.确认硬件驱动的预先准备2.配置主机 BIOS，HBA 卡参数。3.按照一般的 FusionCompute 主机安装过程进行，通过 FusionSphere 安装光盘进行裸机安装4.安装过程中的参数填写按照系统规划相关表格内的内容填写，避免临时变更(三) 安装 FusionCloud FusionManager 服务器1.安装 FusionCloud FusionManager 的操作系统2.安装 SQL Server 数据库（如果采用本地数据库）3.安装 FusionCloud FusionManager 和相关组件，连接到 SQL Server 数据库4.安装 License 服务器（如果采用与 FusionCloud 集成在一台服务器上）5.输入 FusionSphere License6.打开管理控制台并确认可用7.安装升级工具包(四) 安装和配置 FusionCloud FusionManager Update Manager1.安装 Update Manager2.配置 Update Managera)配置网络连接参数b)配置 Patch 下载等基础参数(五) 安装 FusionCloud FusionManager Converter1.在 FusionManager 服务器上部署 Converter 服务器端2.配置数据库连接3.确认功能可用(六) 配置 Data Centers1.根据规划方案配置 FusionCloud Date Center2.创建 Cluster3.配置 HA 和 DRS4.配置电源管理5.配置各项监控策略参数和虚拟机默认参数6.开启 VMotion 等基础功能7.建立 Swap file 策略/8.其他需要设置的内容(七) 添加 FusionCloud FusionCompute 主机到 FusionCloud FusionManager1.将已经安装完成的 2 台 FusionCompute 服务器添加到 FusionManager 内进行管理2.察看 FusionCompute 服务器的软硬件系统资源，确认 FusionCompute 的运行正常(八) 配置存储1.根据规划方案将存储与 FusionCompute 服务器进行连接2.确定 HBA 卡与存储的连接状态，搜索新的磁盘设备3.添加存储，选择磁盘/LUN4.配置存储的基础参数(九) 创建 VMkernel Network 使用的 vSwitch（或 dvSwitch）1.创建 vSwitch2.创建 Port Group（端口组）3.设置 VMkernel 网络的其他功能或附加功能4.增加 VMkernel 的网络连接到 vSwitch(十) 创建虚拟机网络使用的 vSwitch（或 dvSwitch）1.添加新的 vSwitch 用于虚拟机网络连接2.为 vSwitch 增加网卡3.配置 VLAN 等网络设置4.创建端口组5.增加虚拟机网络连接到 vSwitch(十一)配置虚拟交换机端口的负载均衡和安全(十二)配置 NTP1.配置时间参数，指定 NTP 服务器设置2.设置 NTP 参数(十三)配置 SNMP 相关设定(十四)配置网络 USB HUB 参数(十五)将 FusionCompute 主机添加至 Cluster(十六)配置虚拟机部署模板/1.配置 Windows Server 2008 部署模板（Sysprep）和其他需要的 Windows 模板2.配置 Linux 模板1.3.4.4 应用系统部署应用系统部署协助软件开发方部署数据交换平台软件、应用软件、数据库软件，根据开发方的需求分配硬件资源和存储资源池。1.3.51.3.5 LEDLED 拼接大屏显示系统调试拼接大屏显示系统调试1.3.5.1 系统概况系统概况 显示屏安装结构框架为轻质钢架，在相应的梁柱部分采用化学铆栓铆固钢板作为承托结构，显示屏钢制框架与铆固定钢板连接： 电源经配电室由电缆传输至显示屏配电柜；显示屏配电柜安装在屏体框架内，由远程开关，PLC 程序控制器，空气开关，交流接触器，固态继电器和其他控制显示部件等组成。显示屏体与控制室之间采用 CAT5 作为视频信号和各种控制信号传输的媒介；显示屏的控制计算机，视频设备等所有外部设备均安装在控制机房。 全过程包含以下环节： 显示屏深化设计与研发 显示屏设备的生产制造 金属框架的制作和安装就位 电源和通讯线缆的布设 显示屏和控制室设备安装 框架铝板包边及软包装饰 系统调试、试运行和验收 1.3.5.2 施工工艺施工工艺1、电源施工： 敷设电源线：不在同室取电时须布设线管。室外布线由承包施工方负责隐蔽工程布 管布线及开挖恢复等施工。施工中须避让其他管线并尽量减少施工面积。正在敷设的线路不得连接电源。安装负责人进行督导。 电源连接：首先确认供电端处于“分断”状态，必须自用电端开始连接(如设备开关或设备配电箱等) 。检查用电端连接无误后方可连接供电端，首先连接保护接地，其次连接零线，最后连接相线。 /电源连接后：检查用电端开关或设备配电箱电压，确认无误后“分断”电源。电源线须 依颜色区分地线，零线及 A，B，C 等相线。无条件以颜色区分时，须在线端挂(套)固定标识区分。 2、通讯线缆施工： 屏体和控制系统不在同室时须布设线管。室内布线，隐蔽工程，及开挖恢复等施工中须避让其他管线并尽量减少开挖面积，安装负责人进行督导。 3、基础施工： 按照图纸要求施工。基础施工须与管线施工相互配合，安装负责人进行督导。 4、钢结构施工。按照图纸要求施工，安装负责人进行督导。 5、装饰及封闭，包边施工。按照图纸要求及客户确认的材料(含颜色)施工。安装负责人进行督导。6、吸音板施工测量墙面实际尺寸，确认安装位置，确定水平线和垂直线，确定电线插口、管子等物体的切空预留尺寸。 沿边龙骨安装：沿墙面安装沿边龙骨。 安装承载（主）龙骨，使用膨胀螺丝与墙面固定。为配合岩棉和石膏板的安装，按照 1200mm 宽横向固定。相连两根龙骨的接头部位，错开排列，错开距离60mm。调整其水平度与垂直度。 安放玻璃丝棉，沿主龙骨方向安放玻璃丝棉。 安装覆面（副）龙骨，直接通过主龙骨卡钩卡入覆面龙骨，覆面龙骨间距 400mm。相连两根龙骨相连两根龙骨的接头部位，错开排列，错开距离60mm，提高系统手里的均匀性。 封板。从靠墙一侧开始安装石膏板，石膏板的长边方向平行于承载龙骨，与覆面龙骨垂直。石膏板错缝安装，不形成通缝。用自攻螺丝将石膏板固定，螺钉尾部深入石膏板纸面 0.5mm。螺钉距离板边大于 10mm，距离切割边大于 15mm。并对接缝进行处理。7、设备安装 散热设备安装：空调安装由供应商负责，要求安装通电即开机制冷运行，室外机稳 固可靠，冷凝水排放符合环保要求。 箱体安装：设备搬运。须配备充足人力，确保安全。注意保护设备，不得磕碰造成 设备外观损坏。逐行就位：拆开箱体包装，利用吊装设施将箱体提升至钢架，按照箱体编号逐行就位， 就位后的箱体立即进行预紧固，确保箱体稳定。经过调整后完成紧固，再进行上一行箱体就位。 调整：调整箱体发光面不平整度1mm，矫正箱体顶部水平面，侧面垂直面，调整箱体模组之间缝隙1mm。每行箱体调整前，须拉好水平线，按照水平线对箱体进行调整， 调整后完成紧固。 8、 配电箱安装。配电箱安装须牢固可靠，保护接地可靠。 9、设备暂时存放须保证安全，确保放置稳固，并防止水，灰，坠落物和其它外力侵害。 /1.3.5.3 LED 拼接大屏显示系统调试拼接大屏显示系统调试第一步：检查发送卡的绿灯是否有规律闪烁，闪烁转第三步，如果不闪烁，重新启动，没进win98/2k/xp 之前检查绿灯是否有规律闪烁, 如闪烁转第二步操作，请检查 DVI 线连线是否连接好，如果问题没解决为发送卡、显卡和 DVI 线三者之一有故障，请分别更换后重复第一步。 第二步：按说明书进行设置或重新安装后再设置，直到发送卡绿灯闪烁，否则重复第一步。 第三步：检查接收卡绿灯（数据灯）是否与发送卡绿灯同步闪烁，如果闪烁转第五步，检查红灯（电源）是否亮，如果亮转第四步，不亮检查黄灯（电源保护）是否亮，如不亮检查电源是否接反或电源无输出，如亮检查电源电压是否为 5V，如是关掉电源，去掉转接卡及 50P 排线在试，如问题没解决为接收卡故障，更换接收卡，重复第三步。 第四步：检查网线是否连接良好或太长，检查网线是否按标准制作，按国标压法制作网线，如问题没解决为接收卡故障，更换接收卡，重复第三步。 第五步：检查大屏电源灯是否亮，如不亮转第四步，检查转接卡接口定义线是否与单元板匹配。第六步：将承载国土资源一张图地质环境数据应用子系统客户端计算机接入图像处理器，检查GIS 地图显示是否正常。1.3.61.3.6 连通性测试连通性测试安全设备可被内网管理主机管理内部网络可以访问外部网络，外部网络可以访问内部指定服务1.3.61.3.6 系统设备的成套供应运输系统设备的成套供应运输针对本项目，我公司将在规定时间准备好所有相关货物，货物一次性供应完毕。并及时进行安装、配置、培训。本项目的项目组成员积极实施，公司专车进行配送，确保货物能够及时送到用户手中。1.3.71.3.7 安装调试、系统集成安装调试、系统集成1、投标文件中所列的所有产品严格按签约合同中有关时间、地点等条款规定全部交货，并确保包装、标识等外观完好无损，经各方现场开箱验收合格，并共同签署产品到货验收表。2、投标人负责合同供货设备的现场安装调试，以及整个系统总体集成安装调试，安装调试时所有电缆、接头及通用测试工具均由投标人提供。/3、合同签订后的规定时间内，投标人应向招标方提交安装调试方案，各种测试步骤、手段、方法、计划必须在安装调试方案中反映。对安装调试方案内容应至少包括：（1）工期进度安排（2）设备安装方式（3）产品性能测试（4）产品稳定性测试（5）故障测试（6）安全性测试（7）与本次工程其他相关单位（如应用软件开发商）的联合调试等。安装调试工作应在招标方代表在场时进行。4、安装调试过程中，由于投标人原因造成的缺损由投标人负责补充、更换。5、安装调试完成后，投标人应向招标方提供安装调试报告，安装调试报告至少应包括以下内容：网络系统安装调试结果；安装调试中出现的问题及解决办法环境要求：参数参数实测值实测值合格参考范围合格参考范围备注备注温度045湿度10%90%空气纯净度漂浮<0.2mg/m3；沉降<2.5 mg/m3电压220±20V接地电阻单独设备接地体，接地电阻小于4/联合接地，接地电阻小于 0.51.3.81.3.8 现场项目实施现场项目实施实施小组工程师将负责相关硬件产品及相关系统软件的安装及配置；硬件验收按照装箱单内容对所到产品进行检验并加电测试，若各项指标正常工作，则视硬件通过验收，由用户签署装机报告单。验收将按相关之工作说明书所表述的工作内容及交付项目进行验收，验收通过后，由用户签署专业服务完工报告；1.3.91.3.9 工程实施小节工程实施小节安全产品实施工程结束后，技术支持小组论证项目效果，向用户提交项目验收报告经负责人确认后上报项目领导小组备案。1.3.101.3.10 项目质量管理项目质量管理（1）严格按照 ISO9001 质量管理体系进行过程的考察和数据的搜集；（2）相关过程文档处理，问题汇报及纠偏；（3）及时将信息向项目经理反馈；本项目质量管理与控制是项目成功的保证，是达到系统设计目标的必要手段。质量管理与控制是现代生产发展的必然结果和市场竞争的客观要求。没有严格的质量管理与控制，任何系统和项目都无法正常进行，甚至对整个项目造成不良后果。质量管理就是项目中确定质量方针、目标和职责并在质量体系中，实施质量策划、质量控制和质量保证全部管理职能的所有活动。质量控制是为达到质量要求所采取的作业、技术和活动。质量管理是项目性能的保证，因此，质量管理与控制就是应用先进的质量管理手段对项目的实施进行管理，以保证项目达到预定的质量要求。 值得一提的是，整个过程并落实于项目实施管理的每个方面。质量管理的宗旨是对项目的质量问题进行事先防范，严格进行过程控制，而非事后补救。为求达到中华人民共和国国家现行的有关设计和施工标准、规范或规程要求。我公司按照 ISO9001ISO9001 模式建立了文件化的质量体系，它包括质量手册 、17 个程序文件、操作/层次的质量体系文件以及质量体系运行中的各种质量记录。 质量手册对质量体系各要素进行了全面的描述，阐明了公司的质量方针和质量目标，确定了公司的质量体系组织结构，明晰了有关人员的质量职责，是指导公司各项工作的一个纲领性文件，保证项目质量的一个有效凭证。1.3.111.3.11 安全管理措施安全管理措施安全管理是为施工项目实现安全生产开展的管理活动。施工现场的安全管理，重点是进行人的不安全行为与物的不安全状态的控制，落实安全管理决策与目标。以消除一切事故，避免事故伤害，减少事故损失为管理目的。控制是对某种具体的因素的约束与限制。是管理范围内的重要部分。安全管理措施是安全管理的方法与手段，管理的重点是对生产各因素状态的约束与控制。根据施工生产的特点，安全管理措施带有鲜明的行业特色。落实安全责任、实施贡任管理落实安全责任、实施贡任管理施工项目承担控制、管理施工生产进度、成本、质量、安全等目标的责任。因此，必须同时承担进行安全管理、实现安全生产的责任。安全教育与训练安全教育与训练进行安全教育与训练，能增强人的安全生产意识，提高安全生产知识，有效的防止人的不安全行为，减少人失误。安全教育、训