2022年XXX防火墙项目节点实施方案模板 .pdf

《2022年XXX防火墙项目节点实施方案模板 .pdf》由会员分享，可在线阅读，更多相关《2022年XXX防火墙项目节点实施方案模板 .pdf（30页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、项目节点实施方案项目实施与管理文档1 XXX项目实施方案模板网御神州科技（北京）有限公司2009 年 月名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 30 页 - - - - - - - - - 项目节点实施方案项目实施与管理文档2 目录1概述. 32工程实施安排 . 33工程总体要求 . 64工程实施步骤 . 74.1 前期准备工作. 74.2 安装实施前期. 74.2.1 资料采集 . 74.2.2 分析调研 . 94.2.3 规则翻译 . 94.2.4 产品到货验

2、收 . 10 4.2.5 加电检测 . 10 4.2.6 配置安全设备（网御神州）. 11 4.2.7 模拟环境测试 . 15 4.3 安装实施中期. 15 4.3.1 设备上线 . 15 4.3.2 应用系统验证性测试. 16 4.3.3 计划变更 . 17 4.4安装实施后期. 18 4.4.1 设备试运行 . 18 4.4.2 现场培训 . 18 4.4.3 节点初验 . 19 4.4.4 文档整理 . 20 5风险控制 . 205.1 实施现场的风险控制. 20 5.1.1 业务全部中断情况的处理. 20 5.1.2 部分业务中断情况的处理. 22 5.2 运行期间的风险控制. 23

3、6附件. 24“ XXX”项目设备到货确认单. 24名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 30 页 - - - - - - - - - 项目节点实施方案项目实施与管理文档3 1概述XXX安全设备项目是2006 年信息安全建设的一个重要项目，内容为更换副省级以上（含）机构 XXX安全设备。 此文档是 XXX安全设备项目各节点的实施方案。2工程实施安排此次工程实施以各节点技术力量为主，厂商技术人员在实施现场做技术支持。各节点工程实施时间安排约为8 天，第一批安装单位

4、的开始为1 月 22 日，第二批安装单位的开始时间为1 月 29 日，项目分为实施前期、实施中期、实施后期三个阶段， 其中：周一至周五为实施前期， 主要是进行相关前期的准备工作和模拟环境测试工作；周末为实施中期，主要是上线切换、应用验证等工作；后期安排一天时间， 主要是进行现场值守技术保障、文档整理等工作。 工程开始时间和上线切换时间以总行通知为准。各节点工作内容详见下表：阶段工作内容工作细节第一批时间第二批时间职责分工内容输出实施前期前期准备环境准备（测试环境和上线环境准备）1 月 24日之前1 月 31日之前节点科技人员完成完成准备工作社会公告（以系统升级的名义提前公告）1 月 24日之前

5、1 月 31日之前节点科技人员完成完成社会公告通知相关业务部门、商业银行作好安全设备上线测试前的准备工作和风险调查1 月 24日之前1 月 31日之前节点科技人员完成完成通知工作和准备工作名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 30 页 - - - - - - - - - 项目节点实施方案项目实施与管理文档4 资料采集配置表回执1 月 24日之前1 月 31日之前节点科技人员完成物理环境调查表安全设备项目系统配置手册（初稿）原有安全设备配置现场采集1 月 24日之

6、前1 月 31日之前厂商技术人员完成节点科技人员协助完成采集工作安全设备周边网络设备配置现场采集1 月 24日之前1 月 31日之前分析调研对采集信息进行汇总1 月 24日之前1 月 31日之前厂商技术人员完成节点科技人员协助安全设备项目系统配置手册与当地技术负责人进行技术沟通1 月 24日之前1 月 31日之前节点科技人员完成厂商技术人员完成规则翻译与当地技术负责人和原安全设备厂商进行技术沟通1 月 24日之前1 月 31日之前节点科技人员完成厂商技术人员完成安全设备项目系统配置手册产品到货验收完成产品到货验收1 月 23日之前1 月 30日之前节点科技人员完成厂商技术人员完成设备到货验收表

7、加电检测完成产品加电检测1 月 23日之前1 月 30日之前节点科技人员完成厂商技术人员完成设备加电测试表安全设备配置整合并完成安全设备配置1 月 24日之前1 月 31日之前节点科技人员完成厂商技术人员协助根据安全设备安全设备项目系统配置手册进行安全设备配置模拟环境测试搭建模拟测试环境安全设备测试1 月 24日-1 月26 日1 月 31日-2 月2 日节点科技人员完成厂商技术人员协助根据测试方案完成测试名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 30 页 - -

8、- - - - - - - 项目节点实施方案项目实施与管理文档5 中期实施设备上线安全设备上线的准备工作完成确认1 月 25日2 月 1 日节点科技人员完成完成安全设备上线前的准备工作设备上架加电安全设备上线切换网络连通性测试1 月 27日5:00-6:00(第一次上线 ) 1 月 28日5:00-6:00(第二次上线 ) 2 月 3 日5:00-6:00 （第二次上线时间）2 月 4 日5:00-6:00(第二次上线) 节点科技人员完成厂商技术人员协助完成安全设备上线并根据测试方案完成网络连通性测试，如果出现问题参见风险控制一章应用系统验证性测试业务系统应用测试1 月 27日6:00-8:0

9、0(第一次上线 ) 1 月 28日6:00-8:00(第二次上线 )2 月 3 日6:00-8:00 （第一次上线）2 月 4 日6:00-8:00(第二次上线)节点业务人员完成完成业务系统测试，如果出现问题参见风险控制一章计划变更安全设备配置变更实施方案变更1 月 27日-1 月28 日2 月 3 日-2 月 4日节点科技人员完成厂商技术人员完成计划变更单实施后期设备试运行现场职守1 月 29日2 月 5 日厂商技术人员完成设备运行报告单运行情况记录1 月 27日-1 月29 日2 月 3 日-2 月 5日节点科技人员完成厂商技术人员完成应急响应1 月 27日-1 月29 日2 月 3 日-

10、2 月 5日节点科技人员完成厂商技术人员完成故障处理报告单现场培训完成现场培训1 月 22日-1 月29 日1 月 29日-2 月5 日厂商技术人员完成完成现场培训工作名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 30 页 - - - - - - - - - 项目节点实施方案项目实施与管理文档6 节点初验完成节点初验1 月 29日2 月 5 日节点科技人员完成厂商技术人员完成节点初验报告单文档整理移交项目资料1 月 29日2 月 5 日节点科技人员完成厂商技术人员完成完

11、成项目文档移交和整理工作3工程总体要求1、前期节点技术人员与厂商技术人员应加强技术沟通。当地技术人员对原有安全设备的配置进行逐条描述和确认，以保证当地技术人员和厂商技术人员沟通的一致性。2、前期进行规则分析时，一定要认真填表。在节点技术人员与厂商技术人员确认达成一致后，才可进行安全设备设备的配置工作。3、安全设备在上线前必须按照测试方案经过模拟环境测试，才允许在生产环境中进行切换。4、由于此次安全设备上线是在生产环境中进行的切换，技术风险很高，各节点科技部门负责协调保证原安全设备厂商现场进行技术支持，在切换过程中出现问题时确保在较短的时间内切换回原有安全设备进行运行。切换时，原有安全设备（含主

12、、备机）不能关机。待业务系统正常运行一周后才能撤下原安全设备设备。5、经与有关业务司局协商，本次安全设备工程在生产环境切换调试和网络切换时间严格安排在规定的3 小时内进行，其中第一小时为切换和技术确认，其余 2 小时为业务确认时间。如第一小时后技术人员确认此次切换不成功，经当地科技处负责人确认后，应尽快切换回原安全设备并按原计划进行业务确认（或换回安全设备均需要业务测试） 。确认恢复业务后， 请科技人员在模拟环境中继续查找问题，重新配置，按照原定计划安排进行第二次生产环境的切换。6、实施期间如有新上系统或正在试点的业务系统，请各分支行予以高度关注。7、各分支行对于新上线安全设备的配置规则只允许

13、开通总行规定的业务端口，不允许扩大安全设备的规则范围。8、本项目安排的安全设备切换时间为周六临晨58点和周日临晨 58点两次，名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 30 页 - - - - - - - - - 项目节点实施方案项目实施与管理文档7 如两次切换均未成功，应及时向工程实施组报告。4工程实施步骤4.1 前期准备工作目标：完成设备实施前的准备工作。前提：制定实施详细时间。工作内容：作好前期准备工作，包括环境准备、系统调查、工作通知、发社会公告等详细准备工

14、作，为设备实施前作好详细的准备工作。输出：完成前期的准备工作，包括完成社会公告通知各个相关单位等工作。4.2 安装实施前期4.2.1 资料采集目标：完成网络环境的调查和安全设备实施工作需要的资料采集工作。前提：节点科技人员已经提交安全设备项目系统配置手册，作好资料采集前的准备工作。工作内容：（1）实施前需确认的相关信息为保证工程实施的顺利进行， 避免出现因某环节缺失而造成整体工程延误的情况，实施节点应在项目实施前完成基本情况的调查和准备工作，由分行节点技术负责人完成填写。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整

15、理 - - - - - - - 第 7 页，共 30 页 - - - - - - - - - 项目节点实施方案项目实施与管理文档8 物理环境需求表 需要节点科技人员进行填写并根据需求进行准备，安全设备测试环境所需要的设备情况请参照安全设备测试方案中的具体细则。物理环境需求表分行名称填写人填写时间物理环境说明共计备注机柜空间每个安全设备需要2U的机柜空间，两台安全设备共计需要 4U 空间4U 可用交叉线用于安全设备与上联设备和下联设备进行网络连接8 条可用直通线用于安全设备与上联设备和下联设备进行网络连接8 条电源每个千兆安全设备均采用双链路供电方式，两台安全设备共需要4 个电源接口4 个设备接

16、口原安全设备上联和下联设备接口数（实施中为双机热备，各需要两个接口）2 个（2）业务系统情况调查名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 30 页 - - - - - - - - - 项目节点实施方案项目实施与管理文档9 测试节点实施前，节点技术负责人应及时协调业务系统管理员详细描述所有外联业务应用， 准确反映该外联业务系统的网络通信行为特征。掌握业务系统通信行为特征是提高安全设备安全规则正确性的有效手段。输出：完成系统采集工作物理环境调查表安全设备安全设备项目系统

17、配置手册 （初稿）4.2.2 分析调研目标：根据资料采集情况对网络分析，了解现有网络情况。前提：完成资料采集工作。工作内容：与节点系统管理员进行现场技术交流，了解网络拓扑结构。 安全设备管理员应将原有安全设备设备策略和配置文件完整地导出为文本文件并进行中文说明，对各业务系统说明文件和原有设备策略进行分析。同时，节点安全设备管理员还应参照安全管理规范，根据业务系统的具体运行情况，及时调整防护安全策略。分行技术负责人和厂商技术人员对已经填写完成的安全设备项目系统配置手册进行审核。输出：调查完成，输出安全设备安全设备项目系统配置手册。完成时间节点：4.2.3 规则翻译目标：对原有安全设备的策略内容进

18、行翻译，保证新上线安全设备策略的正确性。前提：节点科技人员对本行的网络结构及其业务系统应用了解，并能用自然语言进名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 30 页 - - - - - - - - - 项目节点实施方案项目实施与管理文档10 行说明。工作内容：节点科技人员将目前业务系统的正常运行情况和目前现有安全设备的设置进行整体了解和描述， 并对此次实施的安全设备厂商人员进行策略和业务应用的交流，共同完成安全设备的配置规则翻译工作。输出：调查完成，输出安全设备安全设

19、备项目系统配置手册。4.2.4 产品到货验收目标：用户和厂商技术人员共同完成现场验货。前提：货物已经送到客户现场，用户和厂商技术人员共同在场。工作内容：厂商技术人员到达现场后， 双方共同进行产品的到货验收。 设备到货验收步骤如下：开箱前，检查设备数量、发货地、外包装完整性；开箱后，检查设备机箱外观完整性；根据包装内装箱清单检查产品型号/ 版本、设备数量、接口数量是否与合同供货清单一致；根据包装内装箱清单检查合格证、线缆等配件、随机资料是否齐备。双方人员应根据以上各项对设备进行检验。并根据实际验收情况共同签署附件中的设备到货验收表 。输出：设备到货验收表4.2.5 加电检测目标：用户和厂商技术人

20、员共同完成设备的加电测试。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页，共 30 页 - - - - - - - - - 项目节点实施方案项目实施与管理文档11 前提：用户和厂商技术人员共同在场。工作内容：到货验收完成后， 节点对设备进行加电检测， 并在厂商技术人员协助下检查系统工作状态。加电检测步骤如下：设备加电指示灯是否正常；设备是否正常启动；管理终端能否顺利连接安全设备系统；各接口板卡是否工作正常。节点技术负责人和厂商技术人员应共同对设备加电验收过程的各个环节进行确

21、认，并根据实际验收情况共同签署附件中的设备加电测试表。输出：设备加电测试表。4.2.6 配置安全设备（网御神州）目标：依照安全设备项目系统配置手册节点技术工程师离线配置安全设备，厂商工程师指导并对安全设备的配置进行核查。前提：安全设备项目系统配置手册 填写完成，并与原有安全设备的配置逐条匹配无误后。工作内容：配置安全设备时，请按下列步骤进行。1. 开箱检查配置清单，核对配件是否齐全， 检查机箱主机编号与包装箱的是否一致。2. 开机插上电源，安全设备启动后会有嘀嘀嘀三声提示音，冗余电源如果只插一个电源会有长时间的蜂鸣报警。名师资料总结 - - -精品资料欢迎下载 - - - - - - - -

22、- - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页，共 30 页 - - - - - - - - - 项目节点实施方案项目实施与管理文档12 3. 登陆安全设备串口方式：用户名admin，密码 firewall。Web方式：安全设备默认的管理地址是10.50.10.45，管理端口是 ge1口，默认管理主机是10.50.10.44 ，登陆方式是https:/10.50.10.45:8889 ，通过 web 管理方式需要安装证书，证书在随机光盘中。4. 配置安全设备步骤4.1、网络配置：在“网络配置”“接口 ip”中点击 添加 按钮，输入要添加的 ip

23、和相应的接口，并设置网口ip 是否允许管理， ping 等。注意，接口ip设置后就不能够修改，只能删除。4.2、网关设置：在“网络配置”“策略路由”中点击添加 按钮，如目的 地 址0.0.0.0/0.0.0.0， 下 一 跳202.99.8.1， 就 是 默 认 路 由 ， 目 的 地 址10.10.10.0/255.255.255.0 ，下一跳 192.168.1.10 ，就是目的网段10.10.10.0，下一跳指向 192.168.1.10 。4.3、添加地址对象：在“对象定义”“地址” “地址列表”中点击添加 按钮，输入名称，地址范围或者地址段即可，在添加界面有一个复选框，可以 选 择

24、是 添 加 地 址 段 或 地 址 范 围 ， 如 名 称neiwang 地 址192.168.1.0/255.255.255.0 ，还可以添加一个地址范围，如名称neiwang2 地址192.168.2.1192.168.2.100 。4.4、添加地址组：在“对象定义”“地址组”中点击添加 按钮，输入名称，并引用位于左边的地址对象， 如名称 group，地址对象 neiwang，neiwang2，就是 group 这个地址组包含了neiwang和 neiwang2这两个地址对象。定义完地址对象和地址组后就可以在安全规则中引用他们，这样会简化安全规则的设置步骤，方便许多。4.5、定义服务：自定

25、义服务可以指定开放那些协议，那些端口，例如要开放 tcp 的 1436 端口，就在“对象定义” “服务列表”中点击添加 按钮，协议选择 tcp，目的端口输入 1436，低端口和高端口都输入1436，就是只放开 1436端口，如果低端口输入1436，高端口输入 1440，就是放开 tcp 的 14361440的所有端口。一条自定义服务可以放开多个端口。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页，共 30 页 - - - - - - - - - 项目节点实施方案项目实施与管

26、理文档13 4.6、添加安全规则：包过滤规则：在“安全策略”“安全规则”中点击添加按钮，类型选择包过滤，输入源地址和目的地址，选择相应的服务即可；例如，源地址输入10.10.10.10，掩码 255.255.255.255 ，目的地址 20.20.20.20，掩码 255.255.255.255 ，服务选择 icmp 就是允许主机 10.10.10.10 ping 20.20.20.20 ，关于这两台主机的其他类型数据包都被禁止掉。 在源地址和目的地址的下拉菜单里还可以选择在地址对象中定义好的地址对象和地址组，在服务里还可以选择自定义服务，例如前面举例的 tcp 1436端口的服务NAT 规则

27、：在添加安全规则时，类型选择nat，输入源地址，目的地址，服务，和源地址转换后的地址即可，nat 规则会把源地址转换为安全设备的一个地址，从而达到隐藏源地址的目的，例如，源地址10.10.10.10/255.255.255.255 ，目的地址 20.20.20.20/255.255.255.255 ，服务选择前例定义好地tcp_1436，源地址转换为选择 20.20.20.1这样当 10.10.10.10这台主机访问 20.20.20.20的 tcp 1436端口时，安全设备会把源地址转换成20.20.20.1，这样就隐藏了 10.10.10.10的真实地址。IP 映射规则：在安全规则中类型选

28、择IP 映射，输入源地址，公开地址，和公开地址映射后的地址即可，公开地址是安全设备上的IP，公开地址映射后的地址是内部主机地址，这样就可以通过访问安全设备IP 的方式访问内部主机，从而实现隐藏目的服务器地址的目的。 例如， 源地址 10.10.10.10/255.255.255.255 ，公开地址 10.10.10.1，公开地址映射为 20.20.20.20 ，这样 10.10.10.10这台主机只能通过访问 10.10.10.1 这个地址来访问20.20.20.20 这台服务器。这样就保护了20.20.20.20服务器的安全。 还可以把源地址也隐藏， 例如在源地址中选择源地址转换为 20.2

29、0.20.1，这样就实现了源和目的地址双转换，同时隐藏了源地址和目的地址。端口映射规则：在安全规则中类型选择端口映射，输入源地址，公开地址，公开地址映射后的地址，对外服务，对外服务映射后的服务，例如，源地址名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页，共 30 页 - - - - - - - - - 项目节点实施方案项目实施与管理文档14 10.10.10.10/255.255.255.255 ，公开地址 10.10.10.1 ，公开地址映射为 20.20.20.20，对

30、外服务和对外服务映射为都选择前例定义好的tcp_1436端口， 这样 10.10.10.10这台工作站就可以通过访问10.10.10.1 这个地址的tcp 1436 端口来访问20.20.20.20的 tcp 1436端口，还可以把源地址也隐藏， 例如在源地址中选择源地址转换为 20.20.20.1，这样就实现了源和目的地址双转换，同时隐藏了源地址和目的地址。4.7、配置高可用性：配置 HA：在“高可用性” “HA 基本配置”中选择HA 同步网口和 IP，注意，主墙和备墙的 IP 必须是在同一网段内的， 而且只能有一台墙是控制节点。主墙和备墙都要选择“自动配置同步”和“自动状态同步”，启用配置

31、同步时 ,在安全策略中添加 允许另一台安全网关访问本安全网关secgate_ha_conf服务的包过滤规则。配置 VRRP：在“高可用性” “路由模式 HA”“VRRP 实例”中点击添加按钮，例如要添加一个10.10.10.100的虚拟 IP 地址，接口选择 GE2，VRID 10，虚拟 IP 地址 10.10.10.100/255.255.255.0, 名称 MASTER，即可，注意 VRRP实例可以添加多个， 但是 VRID 不能有重复的， 而且主备墙的 VRRP 实例除了名称可以不一样之外，其他都要一致。配置 VRRP 关联：在“高可用性” “路由模式 HA”“VRRP 关联”中点击添加

32、按钮，输入名称，优先级，并在VRRP 列表中选择要引用的VRRP 实例即可，注意主墙的优先级必须比备墙的优先级低。添加完毕后， 选中要启动的VRRP 实例，就可以激活VRRP 实例中的虚拟 IP。注意使用 VRRP 功能的时候需要添加一条目的地址时224.0.0.0/255.0.0.0 ，服务 VRRP 的规则。注意！为了避免冲突，需要把VRRP 的规则和 secgate_ha_conf服务的包过滤规则。放在最前面。配置安全设备的详细步骤和方法请参考网御神州 SecGate 3600 安全网关名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - -

33、- - - 名师精心整理 - - - - - - - 第 14 页，共 30 页 - - - - - - - - - 项目节点实施方案项目实施与管理文档15 WEB 界面手册。输出：安全设备的配置文件4.2.7 模拟环境测试目标：客户和厂商技术人员共同搭建模拟测试环境对进行模拟测试。前提：客户和厂商技术人员已经进行完交流，模拟环境已经准备完毕。工作内容：搭建模拟实验环境， 将安全设备放置在搭建的模拟实验环境中，进行连通性测试， 并测试安全设备上线前的可靠性， 测试安全设备的双机热备切换是否正常。节点技术负责人和厂商技术人员应根据测试方案 共同对设备进行模拟环境测试，并根据实际情况填写测试方案中

34、的结果输出：根据测试方案和安全设备配置方案模板完成安全设备上线前的配置和离线测试工作。4.3 安装实施中期4.3.1 设备上线目标：厂商实施人员在用户现场完成实施。前提：前期准备工作已经完毕，上线条件已经具备。工作内容：节点工程实施组在厂商技术人员的配合下，进行设备的现场调试与安装。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 15 页，共 30 页 - - - - - - - - - 项目节点实施方案项目实施与管理文档16 安装过程中，需要注意以下几点：1) 保持主、备安全设备安

35、全策略相同；2) 检查原有网络通讯是否正常；3) 安全设备安装切换可能会在短时间内影响到业务系统的正常运行，各节点应选择业务空闲时间进行割接；4) 安全设备双机热备部署方式各不相同，应由厂商技术人员协助完成；5)节点技术负责人和厂商技术人员应根据 测试方案共同对设备进行测试，并根据实际情况填写测试方案中的结果，填写设备安装实施报告6)切换完成后对上线设备和连线打标签说明：1、生产环境切换调试时，网络切换时间计划进行3 小时，其中 1 小时为切换和技术确认， 其余 2 小时为业务确认时间。 如在 1 小时后技术确认不成功， 经当地科技处负责人确认后， 尽快切换回原安全设备并按原计划进行业务确认。

36、在模拟环境中查找问题重新配置后按照计划进行第二次生产环境切换。2、由于此次安全设备上线，是在生产环境中切换，风险性很高，当地科技部门负责协调保证原安全设备厂商的技术支持必须到位，在切换过程中出现问题时，切换回原有安全设备应在较短的时间内完成。切换时，原（主、备）安全设备不能关机，并持续到业务系统正常运行一周后才能撤下原安全设备设备。输出：完成安全设备的上线和网络测试，填写设备安装实施报告4.3.2 应用系统验证性测试目标：完成应用系统联调测试前提：节点科技人员和节点业务人员已经完成了业务系统验证性测试的前期准备工作。工作内容：名师资料总结 - - -精品资料欢迎下载 - - - - - - -

37、 - - - - - - - - - - - 名师精心整理 - - - - - - - 第 16 页，共 30 页 - - - - - - - - - 项目节点实施方案项目实施与管理文档17 完成安全设备上线安装后， 节点工程实施人员和业务部门人员应共同对设备和业务应用进行持续监控和业务应用验证，进行节点本地测试， 包括访问控制测试、系统功能测试、系统性能观测等；节点技术负责人和厂商技术人员应根据测试方案共同对设备进行测试，并根据实际情况填写测试方案中的结果输出：由当地业务负责人协调，完成业务验证性测试。4.3.3 计划变更目标：由于厂商或客户任何一方的原因引起的项目不能按照实施计划进行实施的

38、，经双方同意签定计划变更表。前提：由节点科技人员核实并确认，确实需要进行计划变更。工作内容：测试工作原则上按测试方案顺序进行， 但也可根据实际准备情况作相应调整，已经测试过的内容在相应系统未做变动的情况下，一般不需重新测试。由于到货或技术原因使测试方案中部分测试不具备条件时，在协议各方的同意下， 可暂时不对该部分进行测试， 待条件具备后再对该部分进行补测。在测试过程中发现未包含在测试项目中但有必要通过测试的单项功能，经统一协商考虑后， 可以备忘录的形式体现， 并在集中测试时执行备忘录所列项目的测试。节点技术负责人和厂商技术人员共同签署计划变更单输出：计划变更单名师资料总结 - - -精品资料欢

39、迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 17 页，共 30 页 - - - - - - - - - 项目节点实施方案项目实施与管理文档18 4.4 安装实施后期4.4.1 设备试运行目标：通过试运行阶段对上线的设备进行实际环境运行监控。前提：设备上线和业务系统验证性测试已经按照实施方案 和测试方案完成。工作内容：节点初验完成之日起，该节点进入试运行期。节点对安全设备设备日常管理维护中所发现的问题进行详细记录，并在试运行结束后形成附件中的设备运行报告单节点试运行报告主要包括以下内容：新增设备是否运行正常；运行期

40、间发生的问题。说明：1、业务系统在测试完全正常后，进行安全设备同步配置和保存配置的操作。2、安全设备的日志收集服务器需要安装SQL数据库（天融信安全设备需求）输出：设备运行报告单4.4.2 现场培训目标：现场完成现场培训服务前提：厂商技术人员向节点科技人员确定培训时间。工作内容：按照合同要求，安全设备厂商在实施现场进行现场培训服务（每单位15 人名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 18 页，共 30 页 - - - - - - - - - 项目节点实施方案项目实施与管理文

41、档19 以内） 。培训目标：培养节点技术人员独立完成设备安装配置、日常运行维护和简单故障排除能力。培训地点：设备安装地点。培训对象：节点网络安全运行维护相关人员。培训方式：在节点实施过程中，安全设备制造厂商技术人员现场培训。培训内容：产品的安装调试、维护管理和故障排错等。输出：完成现场培训4.4.3 节点初验目标：完成节点初验工作。前提：所有的安全设备开箱检查、加电测试、模拟环境测试、设备上线、业务系统验证性测试、等工作全部完成。工作内容：以上各环节完毕后， 对各个环节中填写的文档进行整理，实施节点技术负责人根据安全设备安装运行和系统验证情况形成节点验收报告。节点验收的前提条件如下：到货验收和

42、加电检测完成安装实施完毕系统验证通过现场培训完成节点技术负责人应与厂商技术人员共同签署附件中的设备初验报告单输出：设备初验报告单名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 19 页，共 30 页 - - - - - - - - - 项目节点实施方案项目实施与管理文档20 4.4.4 文档整理目标：整理项目的所有文档。前提：所有项目前期、中期、后期需要填写的文档已经填写完毕。工作内容：整理所有文档节点技术负责人和厂商技术人员进行签字确认，并移交客户。输出：完成所有文档的整理并交付用

43、户。5风险控制5.1 实施现场的风险控制在本项目各节点进行网络割接的过程中，可能会对业务系统的正常运行造成影响，以下分别针对出现业务全部中断和某些业务中断两种情况，给出具体的处理建议。此风险控制只适用于此次上线的安全设备设备，如果业务出现问题， 请节点科技人员对影响的业务范围进行统计，并判断是否由于安全设备原因造成，在明确了是由于安全设备的原因造成后，根据现场实际情况采取以下风险控制流程。5.1.1 业务全部中断情况的处理业务全部中断表现为所有业务的客户端与服务器之间无法建立连接。该故障在经节点技术负责人确认后可按以下步骤进行处理。业务全部中断情况处理流程如下图所示：名师资料总结 - - -精

44、品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 20 页，共 30 页 - - - - - - - - - 项目节点实施方案项目实施与管理文档21 具体处理细节说明如下：1) 如果网络中断，所有业务无法正常运行，厂商技术人员必须快速检测设备及网络，检测结束后立刻使用原安全设备，恢复原有网络，保持网络畅通。2) 网络恢复后，某些业务仍无法正常运行，则需要将出现异常的业务系统客户端重新启动（可能由于某些长连接应用无断线自动重连机制造成），一旦确定是由于业务系统的原因造成的问题，则重新检查新安全设备的配置， 确定没

45、有问题并经节点负责人同意后，重新进行网络割接。3) 使用原有安全设备后，所有业务恢复正常，则检查新安全设备：是否具有合法 license授权；规则是否加载成功；硬件是否正常运行；当确认新安全设备能够正常工作并经节点负责人同意后，可再次进行网络割接。处理结束后，节点应形成问题处理报告并报总行项目实施组。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 21 页，共 30 页 - - - - - - - - - 项目节点实施方案项目实施与管理文档22 5.1.2 部分业务中断情况的处理部分

46、业务中断表现为某些业务的客户端与服务器之间无法建立连接。该故障在经节点技术负责人确认后可按以下步骤进行处理。部分业务中断处理流程如下图所示：具体处理细节说明如下：1) 如果网络中断，所有业务无法正常运行，厂商技术人员必须快速检测设备及网络，检测结束后立刻使用原安全设备，恢复原有网络，保持网络畅通。2) 如果网络恢复后，部分业务仍无法正常运行，则需要将出现异常的业务系统客户端重新启动（可能由于某些长连接应用无断线自动重连机制造成），一旦确定是由于业务系统的原因造成的问题，则重新检查新安全设备的配置， 确定没有问题并经节点负责人同意后，重新进行网络割接。3) 如果网络恢复后，所有业务恢复正常，则需

47、要检查新安全设备中增添和删除相关规则的合理性， 重新修改新安全设备上的安全策略，确定没有问题并经名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 22 页，共 30 页 - - - - - - - - - 项目节点实施方案项目实施与管理文档23 节点负责人同意后，重新进行网络割接。4) 如果通过步骤“ 3） ”操作后，网络中相关业务仍然无法正常工作，则需要再次恢复原有网络。 厂商技术人员继续查找问题产生的原因，直至查明原因并解决问题。5.2 运行期间的风险控制运行期间风险控制的原则是以

48、快速恢复为主。出现所有业务或部分业务中断的情况，必须由节点技术负责人确认后按照售后服务条款要求厂商进行快速响应，同时报总行科技司。在运行期间， 网络故障一经确认是由于安全设备造成的，则可能是由以下原因造成：安全设备系统稳定性差；安全设备设备硬件故障；线路接触不良；大规模的蠕虫病毒扩散耗费网络资源；误操作导致的规则失效、设备休眠、关机。针对上述原因，可以由厂商工程师到现场排查问题。在厂商工程师到达前，节点技术人员可以先进行相关检查，基本步骤如下：检测安全设备设备电源是否正常、风扇是否正常、网卡是否正常；网线与安全设备接口处是否松动；通过监控工具检测网络带宽是否异常、是否存在DDos攻击。名师资料

49、总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 23 页，共 30 页 - - - - - - - - - 项目节点实施方案项目实施与管理文档24 6附件“XXX ”项目设备到货确认单网御神州科技 （北京）有限公司， 已于 200X 年月日从网御神州科技（北京）有限公司向贵单位发送“XXX ”项目所使用的台安全设备 ,共计箱。请贵单位依据实际到货情况填写下表，并通过传真回传至北京海淀区上地开拓路7 号先锋大厦二段 1 层。货物名称发货数量设备到货日期数量是否齐全外包装是否完整XXX 台年月日

50、是 否是否本签收单一式四份最终用户单位：最终用户代表签字/ 盖章：电话：_ 日期：_ 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 24 页，共 30 页 - - - - - - - - - 项目节点实施方案项目实施与管理文档25 XXX安全设备加电测试表请根据实际情况进行填写用户单位设备产品序列号名称及版本号规格型号加电测试序号检查项目现象描述1 加电能否正常启动是否简要描述不能启动的现象：2 管理器联接是否正常是否简要描述不能正常连接的现象：3 检查 license 请求文件是