服务器存储网络安全设备项目实施方案(25页).docx

《服务器存储网络安全设备项目实施方案(25页).docx》由会员分享，可在线阅读，更多相关《服务器存储网络安全设备项目实施方案(25页).docx（25页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、-服务器存储网络安全设备项目实施方案-第 25 页1项目实施方案1.1项目实施计划考虑到xxx与数据库建设项目的工程量、质量与涉及面等因素，在此工程实施前必需有严密的进度控制和精心的组织安排。我们根据本方案确定的项目目标以及具体建设要求，对建设任务以及工程进度进行综合安排计划，具体各个部分的实施可以视工程情况相互协调、齐头并进。1.2项目任务分解 序号任务内容描述1方案调整与合同签订完成投标文件修改，确定本项目订购的硬件设备和软件。2项目组成立正式合同签订后，将成立工程项目组，任命项目经理，确定最终的项目组成员，并以书面形式正式通知用户。3设备采购按照项目建设合同中关于设备购货有关条款和议定的

2、日期，组织设备软、硬件的购置工作。4前期调研对用户安装现场的电源、地线、空间、照明等工程实施时必需的安装环境进行调查确认，并做好系统安装准备。5详细方案设计对项目建设最终确定的总体方案作实施等方案设计。6施工准备项目建设工程施工前，我公司项目组将进行一些必要的准备工作。7设备交货设备到货并发送到用户指定地点并进行设备验收，按照合同的软、硬件清单签收到货的设备。8设备安装与节点调试按照合同要求、技术方案和工程安装实施计划，完成项目建设合同内各系统的安装调试工作，包括全面实施准备、项目全面实施等内容。9系统联合调试项目建设系统安装完成后，对整个设备及系统在实际环境中进行整体调试。10系统试运行项目

3、建设系统在初步验收后投入试运行。11系统终验系统投入正常工作。1.3安装调试、系统集成1.3.1准备工作 查看软件版本1) 通过IE浏览器登陆到安全设备,查看当前安全设备的软件版本。2) 通过串口登陆到安全设备后台,查看软件版本。 产品信息记录记录下用户安全设备编号，作好记录工作1.3.2实施前注意事项 查看安全设备重启后能否正常启动 查看安全设备的console口是否可用1.3.3配置网络安全设备1.3.3.1边界防护系统配置1. 要求管理员分级，包括超级管理员、安全管理员、日志管理员等，并定义相应的职责，维护相应的文档和记录。2. 防火墙管理人员应定期接受培训。3. 对防火墙管理的限制，包

4、括，关闭telnet、http、ping、snmp等，以及使用SSH而不是telnet远程管理防火墙。4. 账号管理是否安全，设置了哪些口令和帐户策略，员工辞职，如何进行口令变更？ 5. 防火墙配置文件是否备份？如何进行配置同步？6. 改变防火墙缺省配置。7. 是否有适当的防火墙维护控制程序？8. 加固防火墙操作系统，并使用防火墙软件的最新稳定版本或补丁，确保补丁的来源可靠。9. 是否对防火墙进行脆弱性评估/测试？（随机和定期测试）10. 防火墙访问控制规则集是否和防火墙策略一致？应该确保访问控制规则集依从防火墙策略，如严格禁止某些服务、严格开放某些服务、缺省时禁止所有服务等，以满足用户安全需

5、求，实现安全目标。11. 防火墙访问控制规则是否有次序性？是否将常用的访问控制规则放在前面以增加防火墙的性能？评估防火墙规则次序的有效性。12. 防火墙访问控制规则集的一般次序为： 反电子欺骗的过滤（如，阻断私有地址、从外口出现的内部地址） 用户允许规则（如，允许HTTP到公网Web服务器） 管理允许规则 拒绝并报警（如，向管理员报警可疑通信） 拒绝并记录（如，记录用于分析的其它通信）防火墙是在第一次匹配的基础上运行，因此，按照上述的次序配置防火墙，对于确保排除可疑通信是很重要的。13. 防火墙访问控制规则中是否有保护防火墙自身安全的规则14. 防火墙是否配置成能抵抗DoS/DDoS攻击？15

6、. 防火墙是否阻断下述欺骗、私有（RFC1918）和非法的地址 标准的不可路由地址（255.255.255.255、127.0.0.0） 私有（RFC1918）地址（10.0.0.0 10.255.255.255、172.16.0.0 172.31.255.255、192.168.0.0 192.168.255.255） 保留地址（224.0.0.0） 非法地址（0.0.0.0）16. 是否确保外出的过滤？17. 确保有仅允许源IP是内部网的通信通过而源IP不是内部网的通信被丢弃的规则，并确保任何源IP不是内部网的通信被记录。18. 是否执行NAT，配置是否适当？19. 任何和外网有信息交流的

7、机器都必须经过地址转换（NAT）才允许访问外网，同样外网的机器要访问内部机器，也只能是其经过NAT后的IP，以保证系统的内部地址、配置和有关的设计信息如拓扑结构等不能泄露到不可信的外网中去。20. 在适当的地方，防火墙是否有下面的控制？21. 如，URL过滤、端口阻断、防IP欺骗、过滤进入的Java或ActiveX、防病毒等。22. 防火墙是否支持“拒绝所有服务，除非明确允许”的策略？23. 根据xxx的需求，配置系统所需对外开放的端口映射。1.3.3.2审计监控1. 具有特权访问防火墙的人员的活动是否鉴别、监控和检查？对防火墙的管理人员的活动，防火墙应该有记录，并要求记录不能修改，以明确责任

8、，同时能检查对防火墙的变化。2. 通过防火墙的通信活动是否日志？在适当的地方，是否有监控和响应任何不适当的活动的程序？确保防火墙能够日志，并标识、配置日志主机，确保日志安全传输。管理员通过检查日志来识别可能显示攻击的任何潜在模式，使用审计日志可以监控破坏安全策略的进入服务、外出服务和尝试访问。3. 是否精确设置并维护防火墙时间？ 配置防火墙使得在日志记录中包括时间信息。精确设置防火墙的时间，使得管理员追踪网络攻击更准确。4. 是否按照策略检查、回顾及定期存档日志，并存储在安全介质上？确保对防火墙日志进行定期存储并检查，产生防火墙报告，为管理人员提供必需的信息以帮助分析防火墙的活动，并为管理部门

9、提供防火墙效率情况。5. 重大事件或活动是否设置报警？是否有对可以攻击的响应程序？6. 如适当设置入侵检测功能，或者配合使用IDS（入侵检测系统），以防止某些类型的攻击或预防未知的攻击。7. 是否有灾难恢复计划？恢复是否测试过？8. 评估备份和恢复程序（包括持续性）的适当性，考虑：对重要防火墙的热备份、备份多长时间做一次、执行备份是否加密、最近成功备份测试的结果等。1.3.3.3交换机1. 交换机配置文件是否离线保存、注释、保密、有限访问，并保持与运行配置同步2. 是否在交换机上运行最新的稳定的IOS版本3. 是否定期检查交换机的安全性？特别在改变重要配置之后。4. 是否限制交换机的物理访问？

10、仅允许授权人员才可以访问交换机。5. VLAN 1中不允许引入用户数据，只能用于交换机内部通讯。6. 考虑使用PVLANs，隔离一个VLAN中的主机。7. 考虑设置交换机的Security Banner，陈述“未授权的访问是被禁止的”。8. 是否关闭交换机上不必要的服务？包括：TCP和UDP小服务、CDP、finger等。9. 必需的服务打开，是否安全地配置这些服务？。10. 保护管理接口的安全11. shutdown所有不用的端口。并将所有未用端口设置为第3层连接的vlan。12. 加强con、aux、vty等端口的安全。13. 将密码加密，并使用用户的方式登陆。14. 使用SSH代替Tel

11、net，并设置强壮口令。无法避免Telnet时，是否为Telnet的使用设置了一些限制？15. 采用带外方式管理交换机。如果带外管理不可行，那么应该为带内管理指定一个独立的VLAN号。16. 设置会话超时，并配置特权等级。17. 使HTTP server失效，即，不使用Web浏览器配置和管理交换机。18. 如果使用SNMP，建议使用SNMPv2，并使用强壮的SNMP community strings。或者不使用时，使SNMP失效。19. 实现端口安全以限定基于MAC地址的访问。使端口的auto-trunking失效。20. 使用交换机的端口映像功能用于IDS的接入。21. 使不用的交换机端口

12、失效，并在不使用时为它们分配一个VLAN号。22. 为TRUNK端口分配一个没有被任何其他端口使用的native VLAN号。23. 限制VLAN能够通过TRUNK传输，除了那些确实是必需的。24. 使用静态VLAN配置。25. 如果可能，使VTP失效。否则，为VTP设置：管理域、口令和pruning。然后设置VTP为透明模式。26. 在适当的地方使用访问控制列表。27. 打开logging功能，并发送日志到专用的安全的日志主机。28. 配置logging使得包括准确的时间信息，使用NTP和时间戳。29. 依照安全策略的要求对日志进行检查以发现可能的事件并进行存档。30. 为本地的和远程的访问

13、交换机使用AAA特性。1.3.3.4入侵检测1. 配置IDS产品安全策略策略包括需要保护对象的优先顺序、规定谁可以对IDS产品进行配置管理、以及根据操作系统、应用服务或部署位置等来制定的IDS检测策略。2. 定期维护IDS安全策略IDS的安全策略应该是活动的，当环境发生变化时，安全策略应该改变，并应该通知相关人员。3. 将IDS产品（传感器和管理器）放置在一个环境安全且可控的区域，以保证IDS产品的物理安全4. 安全地配置装有IDS的主机系统5. IDS配置文件离线保存、注释、有限访问，并保持与运行配置同步。6. 使用IDS产品的最新稳定版本或补丁。7. 保持IDS产品的最新的签名数据库。8.

14、 定期检查IDS产品自身的安全性，特别在改变重要配置之后。9. 对管理用户进行权限分级，并对用户进行鉴别。要求不同权限级别的用户应该具有相应的技术能力（掌握信息安全知识）及非技术能力（责任心、管理能力、分析能力等）。10. 口令配置安全例如，使用难以猜测的口令、限制知晓范围、重要员工辞职时更换口令。11. 精确设置并维护IDS时间（生产系统变更窗口）。12. 在发生报警时，能进行快速响应对于报警事件，应该首先进行分析，判断事件是攻击事件还是正常事件，然后对攻击事件进行处理。13. 当非法入侵行为时，有相应的处理措施1.3.3.5安全隔离与信息交换系统1、控制台安装硬件环境l 586或更高型号的

15、PC计算机或其兼容机；l 128M或更高容量的内存；l 光盘驱动器；l 100M以上剩余硬盘空间。2、控制台安装软件环境管理控制台安装包支持以下操作系统：Windows XP、Windows 2003 Server 、Windows7；推荐使用Windows XP。3、控制台软件安装运行安装光盘下的安装包文件，依默认配置即可安装控制台软件。4、启动在正确安装天融信安全隔离与信息交换系统并确保各种线缆正确连接之后，开始使用天融信安全隔离与信息交换系统。本系统的所有管理、配置、监控工作均在控制台完成，双击桌面“TopRules-控制台”图标即可运行控制台程序，您也可通过点击“开始/程序/天融信安全

16、隔离与信息交换系统控制台/TopRules-控制台”运行控制台程序。5、 设置设备工作模式安全隔离与信息交换系统设备的工作模式可设置为三种：透明模式、代理模式、路由模式。下面以常用的代理模式进行调试：当设备工作为代理模式时，客户端比较容易理解隔离设备的工作原理，即代理。这时的客户端需要将与服务器通信的内容全部改由隔离设备的IP来进行通信，在客户端看来，服务器的IP已经不可见，客户端只需要把隔离设备的内、外端机的IP作为其目标服务器即可。比如，允许内网客户端192.168.1.1访问外网服务器10.10.10.1，这时需要给隔离设备分配两个可以与该网段通信的IP，如在内端机分配192.168.1

17、.2，外端机分配10.10.10.2。这时内网客户端需要访问外网服务器的WEB应用时，只需要访问http:/192.168.1.2，即可。因为在代理模式时，隔离设备会非常形象的代理客户端与服务器进行会话。客户端是192.168.0.18，服务端有两个，分别为192.168.1.100和192.168.1.101，两个服务器均提供WEB服务，并且端口均为80。当源地址与目标地址处于不同段网络时，之前客户端与服务端从未进行过通信或数据交换，将设备设置为代理模式，以更好表现形式来完成网络的隔离性。定制访问策略，步骤如下： 其他步骤与上一案例一致，除了以下几个步骤。1. 增加对象“WEB服务器100”

18、，地址为192.168.1.100。2. 将新增的服务器归到服务器组。3. 将服务中的WEB服务的映射端口修改为80。4. 删除当前所有系统规则，再应用所有系统规则。1. 为设备分配IP地址由于要求客户端访问两个服务器时都要用80端口进行访问，并且不允许访问直接的真实IP，因此需要在网络接口界面中，分别为内端机的INT0接口设置两个IP用来对应两个服务器的真实IP。这里我们举例为192.168.0.19对应192.168.1.100和192.168.0.20对应192.168.1.101；2. 按下网络接口界面的“应用设置”按钮，配置生效。至此，隔离设备规则设置完成，此时隔离设备仅允许“测试工

19、程师”在9：00-17：30访问“WEB服务器”和“WEB服务器100”的TCP80端口的HTTP服务，且在HTTP协议内容上仅允许GET动作发生，同时过滤DLL、EXE文件。访问192.168.1.100的方式为Http:/192.168.0.19192.168.0.19会自动对应到服务器192.168.1.100。访问192.168.1.101的方式为Http:/192.168.0.20192.168.0.20会自动对应到服务器192.168.1.101。1.3.3.6运维审计系统配置管理主要包括策略配置、服务配置、系统配置3部分组成。运维管理审计系统支持多种部署方式，在本项目中，考虑到x

20、xx与数据库建设项目的实际需求，我们将采用旁路部署方式。部署示意图如下所示：部署时，谐润运维管理审计系统旁路接入网络，只需要1个独立的IP即可，保证堡垒主机能够通过网络连接被管理资源提供远程运维服务的端口，应用托管中心与堡垒主机做直连，通过堡垒主机NAT转换技术使应用托管中心能够访问网络中的资源。若堡垒主机和被管理资源之间存在防火墙，则需要在增加或修改防火墙的策略，防火墙的策略增加或修改如下：源地址：堡垒主机IP，源端口：any，目标地址：被管理资源IP，目标端口：提供运维服务的监听端口。如堡垒主机需要连接被管理的Linux服务器，Linux服务提提供ssh运维服务，则需要在防火墙上增加或修改

21、策略如下：源地址：堡垒主机IP，源端口：any，目标地址：被管理资源IP，目标端口：22。维护人员只要登录运维管理系统即可访问到所有服务器，无须进行二次登录。若运维人员与运维管理系统之间存在防火墙，则防火墙需要开放如下端口：22（ssh、telnet协议代理模块），443（堡垒主机提供web服务），3389（rdp协议代理模块）等。有关实施时防火墙开放策略，日志服务器旁路接入网络，并开发SMB共享服务，为堡垒主机提供日志存储服务，堡垒主机通过页面配置，将数据文件存储至日志服务器。1.3.4服务器虚拟化配置在本期项目中，将遵照规划和架构设计进行项目实施。本实施方案不涉及具体操作步骤和细节配置，而

22、主要针对项目实施的过程进行控制。预计的实施步骤如下：1.3.4.1准备阶段准备阶段是为项目的实施搜集各方面资料和必要的工具，同时也包括双方参与实施人员的确定。准备阶段主要内容如下；软件介质准备，包含项目涉及的所有软件产品介质，如果是项目内采购则由卖方准备，如采用用户现有的软件则由用户方提供，主要的介质包含：（1） FusionCloud产品介质（2） 各虚拟机的操作系统介质（3） 在应用服务器上运行的所有应用软件介质（4） 服务器硬件驱动程序介质如涉及到License则需要提供方确保在提供软件介质时同时提供有效的License授权。如Windows操作系统需要S/N号码等。在准备阶段还需要确定

23、实施需要的人员名单，每个步骤的参与人员要事先确定下来。为了确保应用迁移时的现场技术支持，要求在应用迁移或服务器迁移时确保应用软件的管理员或厂家技术人员能够现场支持。1.3.4.2FusionSphere虚拟架构实施在实施过程中，主要的工作包括虚拟环境搭建和系统迁移两部分，本节主要针对FusionSphere虚拟化架构搭建的过程进行描述。针对本期项目的情况，需要按照下列步骤进行FusionSphere架构建设。在此，只对实施的过程列表并进行简要说明，详细地安装和配置技术实现步骤将在安装过程中为用户进行现场培训，并在项目实施后的安装报告中将具体参数设置等进行汇总和记录，安装报告将在总结与交付阶段与

24、项目的其他文档共同转移给用户的管理团队。项目实施内容任务描述物理环境准备服务器硬件预先安装和配置确认1. 服务器硬件安装；2. 服务器硬件机架安装位置标示；3. 服务器内部硬件配置确认；网络交换机安装和物理环境确认1. 交换机端口预留；2. 网络线缆连接；3. 交换机内部配置。存储系统安装和环境确认1. SAN交换机安装以及端口预留；2. SAN交换机配置确认（Zoning等）；3. FC光纤跳线的连接确认;4. 磁盘阵列存储配置确认。FusionSphere虚拟化实施安装FusionCompute主机1. 确认硬件驱动的预先准备；2. 按照一般的FusionCompute主机安装过程进行，通

25、过FusionSpheree安装光盘进行裸机安装；3. 安装过程中的参数填写按照系统规划相关表格内的内容填写，避免临时变更。安装和配置FusionManager1. 安装操作系统；2. 安装SQL Server数据库（如果采用本地数据库）；3. 安装FusionManager和相关组件，连接到SQL Server数据库；4. 安装License服务器（如果采用与FusionCloud 集成在一台服务器上）；5. 输入FusionSphere License；6. 打开管理控制台并确认可用。1. 安装Update Manager；2. 配置Update Manager：l 配置网络连接参数l 配

26、置Patch下载等基础参数配置数据中心（Data Centers）1. 根据规划方案配置FusionCloud数据中心（Date Center）2. 创建Cluster3. 配置HA和DRS4. 配置电源管理5. 配置各项监控策略参数和虚拟机默认参数6. 开启VMotion等基础功能7. 建立Swap file策略8. 其他需要设置的内容添加FusionCompute主机到FusionCloud FusionManager1. 将已经安装完成的FusionCompute服务器添加到FusionManager内进行管理2. 察看FusionCompute服务器的软硬件系统资源，确认FusionC

27、ompute的运行正常配置存储1. 根据规划方案将存储与FusionCompute服务器进行连接2. 确定HBA卡与存储的连接状态，搜索新的磁盘设备3. 添加存储，选择磁盘/LUN4. 配置存储的基础参数创建VMkernel Network使用的vSwitch（或dvSwitch）1. 创建vSwitch2. 创建Port Group（端口组）3. 设置kernel网络的其他功能或附加功能4. 增加kernel的网络连接到vSwitch创建虚拟机网络使用的vSwitch（或dvSwitch）1. 添加新的vSwitch用于虚拟机网络连接2. 为vSwitch增加网卡3. 配置VLAN等网络设置

28、4. 创建端口组5. 增加虚拟机网络连接到vSwitch配置时间（如需要）1. 配置时间参数，指定NTP服务器设置2. 设置NTP参数配置SNMP相关设定将FusionCompute主机添加至Cluster1. 将添加到FusionManager管理的FusionCompute加入相应的Cluster2. 确认FusionCompute添加到Cluster正确。配置VM部署模板1. 配置Windows部署模板2. 配置Linux部署模板1.3.4.3 FusionSphere虚拟架构实施步骤在实施过程中，主要的工作包括虚拟环境搭建和系统迁移两部分，本节主要针对FusionSphere虚拟化架构

29、搭建的过程进行描述。针对本期项目的情况，需要按照下列步骤进行FusionSphere架构建设。在此，只对实施的过程列表并进行简要说明，详细地安装和配置技术实现步骤将在安装过程中为用户进行现场培训，并在项目实施后的安装报告中将具体参数设置等进行汇总和记录，安装报告将在总结与交付阶段与项目的其他文档共同转移给用户的管理团队。(一) 物理环境准备1. 服务器硬件预先安装和配置确认a) 服务器硬件安装b) 服务器硬件机架安装位置标示c) 服务器内部硬件配置确认d) 服务器KVM管理方式确认2. 网络交换机安装和物理环境确认a) 交换机端口预留b) 网络线缆连接c) 交换机内部配置3. 存储系统安装和环

30、境确认a) SAN交换机安装（如需）以及端口预留主机端口交换机端口存储1端口存储2端口A控B控A控B控b) SAN交换机配置确认（Zoning等）zone名称含端口描述c) FC光纤跳线的连接确认d) 磁盘阵列存储配置确认(二) 安装FusionCompute主机1. 确认硬件驱动的预先准备2. 配置主机BIOS，HBA卡参数。3. 按照一般的FusionCompute主机安装过程进行，通过FusionSphere安装光盘进行裸机安装4. 安装过程中的参数填写按照系统规划相关表格内的内容填写，避免临时变更(三) 安装FusionCloud FusionManager服务器1. 安装Fusion

31、Cloud FusionManager的操作系统2. 安装SQL Server数据库（如果采用本地数据库）3. 安装FusionCloud FusionManager和相关组件，连接到SQL Server数据库4. 安装License服务器（如果采用与FusionCloud 集成在一台服务器上）5. 输入FusionSphere License6. 打开管理控制台并确认可用7. 安装升级工具包(四) 安装和配置FusionCloud FusionManager Update Manager1. 安装Update Manager2. 配置Update Managera) 配置网络连接参数b) 配

32、置Patch下载等基础参数(五) 安装FusionCloud FusionManager Converter1. 在FusionManager服务器上部署Converter服务器端2. 配置数据库连接3. 确认功能可用(六) 配置Data Centers1. 根据规划方案配置FusionCloud Date Center2. 创建Cluster3. 配置HA和DRS4. 配置电源管理5. 配置各项监控策略参数和虚拟机默认参数6. 开启VMotion等基础功能7. 建立Swap file策略8. 其他需要设置的内容(七) 添加FusionCloud FusionCompute主机到FusionC

33、loud FusionManager1. 将已经安装完成的2台FusionCompute服务器添加到FusionManager内进行管理2. 察看FusionCompute服务器的软硬件系统资源，确认FusionCompute的运行正常(八) 配置存储1. 根据规划方案将存储与FusionCompute服务器进行连接2. 确定HBA卡与存储的连接状态，搜索新的磁盘设备3. 添加存储，选择磁盘/LUN4. 配置存储的基础参数(九) 创建VMkernel Network使用的vSwitch（或dvSwitch）1. 创建vSwitch2. 创建Port Group（端口组）3. 设置VMkerne

34、l网络的其他功能或附加功能4. 增加VMkernel的网络连接到vSwitch(十) 创建虚拟机网络使用的vSwitch（或dvSwitch）1. 添加新的vSwitch用于虚拟机网络连接2. 为vSwitch增加网卡3. 配置VLAN等网络设置4. 创建端口组5. 增加虚拟机网络连接到vSwitch(十一) 配置虚拟交换机端口的负载均衡和安全(十二) 配置NTP1. 配置时间参数，指定NTP服务器设置2. 设置NTP参数(十三) 配置SNMP相关设定(十四) 配置网络USB HUB参数(十五) 将FusionCompute主机添加至Cluster(十六) 配置虚拟机部署模板1. 配置Wind

35、ows Server 2008部署模板（Sysprep）和其他需要的Windows模板2. 配置Linux模板1.3.4.4 应用系统部署协助软件开发方部署数据交换平台软件、应用软件、数据库软件，根据开发方的需求分配硬件资源和存储资源池。1.3.5 LED拼接大屏显示系统调试1.3.5.1系统概况 显示屏安装结构框架为轻质钢架，在相应的梁柱部分采用化学铆栓铆固钢板作为承托结构，显示屏钢制框架与铆固定钢板连接： 电源经配电室由电缆传输至显示屏配电柜；显示屏配电柜安装在屏体框架内，由远程开关，PLC 程序控制器，空气开关，交流接触器，固态继电器和其他控制显示部件等组成。显示屏体与控制室之间采用 C

36、AT5 作为视频信号和各种控制信号传输的媒介；显示屏的控制计算机，视频设备等所有外部设备均安装在控制机房。 全过程包含以下环节： 显示屏深化设计与研发 显示屏设备的生产制造 金属框架的制作和安装就位 电源和通讯线缆的布设 显示屏和控制室设备安装 框架铝板包边及软包装饰 系统调试、试运行和验收 1.3.5.2施工工艺1、电源施工： 敷设电源线：不在同室取电时须布设线管。室外布线由承包施工方负责隐蔽工程布 管布线及开挖恢复等施工。施工中须避让其他管线并尽量减少施工面积。正在敷设的线路不得连接电源。安装负责人进行督导。 电源连接：首先确认供电端处于“分断”状态，必须自用电端开始连接(如设备开关或设备

37、配电箱等) 。检查用电端连接无误后方可连接供电端，首先连接保护接地，其次连接零线，最后连接相线。 电源连接后：检查用电端开关或设备配电箱电压，确认无误后“分断”电源。电源线须 依颜色区分地线，零线及 A，B，C 等相线。无条件以颜色区分时，须在线端挂(套)固定标识区分。 2、通讯线缆施工： 屏体和控制系统不在同室时须布设线管。室内布线，隐蔽工程，及开挖恢复等施工中须避让其他管线并尽量减少开挖面积，安装负责人进行督导。 3、基础施工： 按照图纸要求施工。基础施工须与管线施工相互配合，安装负责人进行督导。 4、钢结构施工。按照图纸要求施工，安装负责人进行督导。 5、装饰及封闭，包边施工。按照图纸要

38、求及客户确认的材料(含颜色)施工。安装负责人进行督导。 6、吸音板施工测量墙面实际尺寸，确认安装位置，确定水平线和垂直线，确定电线插口、管子等物体的切空预留尺寸。沿边龙骨安装：沿墙面安装沿边龙骨。安装承载（主）龙骨，使用膨胀螺丝与墙面固定。为配合岩棉和石膏板的安装，按照1200mm宽横向固定。相连两根龙骨的接头部位，错开排列，错开距离60mm。调整其水平度与垂直度。安放玻璃丝棉，沿主龙骨方向安放玻璃丝棉。安装覆面（副）龙骨，直接通过主龙骨卡钩卡入覆面龙骨，覆面龙骨间距400mm。相连两根龙骨相连两根龙骨的接头部位，错开排列，错开距离60mm，提高系统手里的均匀性。封板。从靠墙一侧开始安装石膏板

39、，石膏板的长边方向平行于承载龙骨，与覆面龙骨垂直。石膏板错缝安装，不形成通缝。用自攻螺丝将石膏板固定，螺钉尾部深入石膏板纸面0.5mm。螺钉距离板边大于10mm，距离切割边大于15mm。并对接缝进行处理。7、设备安装 散热设备安装：空调安装由供应商负责，要求安装通电即开机制冷运行，室外机稳 固可靠，冷凝水排放符合环保要求。 箱体安装：设备搬运。须配备充足人力，确保安全。注意保护设备，不得磕碰造成 设备外观损坏。 逐行就位：拆开箱体包装，利用吊装设施将箱体提升至钢架，按照箱体编号逐行就位， 就位后的箱体立即进行预紧固，确保箱体稳定。经过调整后完成紧固，再进行上一行箱体就位。 调整：调整箱体发光面

40、不平整度1mm，矫正箱体顶部水平面，侧面垂直面，调整箱体模组之间缝隙1mm。每行箱体调整前，须拉好水平线，按照水平线对箱体进行调整， 调整后完成紧固。 8、 配电箱安装。配电箱安装须牢固可靠，保护接地可靠。 9、设备暂时存放须保证安全，确保放置稳固，并防止水，灰，坠落物和其它外力侵害。 1.3.5.3 LED拼接大屏显示系统调试第一步：检查发送卡的绿灯是否有规律闪烁，闪烁转第三步，如果不闪烁，重新启动，没进win98/2k/xp之前检查绿灯是否有规律闪烁, 如闪烁转第二步操作，请检查DVI线连线是否连接好，如果问题没解决为发送卡、显卡和DVI线三者之一有故障，请分别更换后重复第一步。 第二步：

41、按说明书进行设置或重新安装后再设置，直到发送卡绿灯闪烁，否则重复第一步。 第三步：检查接收卡绿灯（数据灯）是否与发送卡绿灯同步闪烁，如果闪烁转第五步，检查红灯（电源）是否亮，如果亮转第四步，不亮检查黄灯（电源保护）是否亮，如不亮检查电源是否接反或电源无输出，如亮检查电源电压是否为5V，如是关掉电源，去掉转接卡及50P排线在试，如问题没解决为接收卡故障，更换接收卡，重复第三步。 第四步：检查网线是否连接良好或太长，检查网线是否按标准制作，按国标压法制作网线，如问题没解决为接收卡故障，更换接收卡，重复第三步。 第五步：检查大屏电源灯是否亮，如不亮转第四步，检查转接卡接口定义线是否与单元板匹配。第六

42、步：将承载国土资源一张图地质环境数据应用子系统客户端计算机接入图像处理器，检查GIS地图显示是否正常。1.3.6连通性测试 安全设备可被内网管理主机管理 内部网络可以访问外部网络，外部网络可以访问内部指定服务1.3.6系统设备的成套供应运输针对本项目，我公司将在规定时间准备好所有相关货物，货物一次性供应完毕。并及时进行安装、配置、培训。本项目的项目组成员积极实施，公司专车进行配送，确保货物能够及时送到用户手中。1.3.7安装调试、系统集成1、投标文件中所列的所有产品严格按签约合同中有关时间、地点等条款规定全部交货，并确保包装、标识等外观完好无损，经各方现场开箱验收合格，并共同签署产品到货验收表

43、。2、投标人负责合同供货设备的现场安装调试，以及整个系统总体集成安装调试，安装调试时所有电缆、接头及通用测试工具均由投标人提供。3、合同签订后的规定时间内，投标人应向招标方提交安装调试方案，各种测试步骤、手段、方法、计划必须在安装调试方案中反映。对安装调试方案内容应至少包括：（1）工期进度安排（2）设备安装方式（3）产品性能测试（4）产品稳定性测试（5）故障测试（6）安全性测试（7）与本次工程其他相关单位（如应用软件开发商）的联合调试等。安装调试工作应在招标方代表在场时进行。4、安装调试过程中，由于投标人原因造成的缺损由投标人负责补充、更换。5、安装调试完成后，投标人应向招标方提供安装调试报告

44、，安装调试报告至少应包括以下内容：网络系统安装调试结果；安装调试中出现的问题及解决办法环境要求：参数实测值合格参考范围备注温度045湿度10%90%空气纯净度漂浮0.2mg/m3；沉降2.5 mg/m3电压22020V接地电阻单独设备接地体，接地电阻小于4联合接地，接地电阻小于0.51.3.8现场项目实施实施小组工程师将负责相关硬件产品及相关系统软件的安装及配置；硬件验收按照装箱单内容对所到产品进行检验并加电测试，若各项指标正常工作，则视硬件通过验收，由用户签署装机报告单。验收将按相关之工作说明书所表述的工作内容及交付项目进行验收，验收通过后，由用户签署专业服务完工报告；1.3.9工程实施小节

45、安全产品实施工程结束后，技术支持小组论证项目效果，向用户提交项目验收报告经负责人确认后上报项目领导小组备案。1.3.10项目质量管理（1）严格按照ISO9001质量管理体系进行过程的考察和数据的搜集；（2）相关过程文档处理，问题汇报及纠偏；（3）及时将信息向项目经理反馈；本项目质量管理与控制是项目成功的保证，是达到系统设计目标的必要手段。质量管理与控制是现代生产发展的必然结果和市场竞争的客观要求。没有严格的质量管理与控制，任何系统和项目都无法正常进行，甚至对整个项目造成不良后果。质量管理就是项目中确定质量方针、目标和职责并在质量体系中，实施质量策划、质量控制和质量保证全部管理职能的所有活动。质

46、量控制是为达到质量要求所采取的作业、技术和活动。质量管理是项目性能的保证，因此，质量管理与控制就是应用先进的质量管理手段对项目的实施进行管理，以保证项目达到预定的质量要求。 值得一提的是，整个过程并落实于项目实施管理的每个方面。质量管理的宗旨是对项目的质量问题进行事先防范，严格进行过程控制，而非事后补救。为求达到中华人民共和国国家现行的有关设计和施工标准、规范或规程要求。我公司按照ISO9001模式建立了文件化的质量体系，它包括质量手册、17个程序文件、操作层次的质量体系文件以及质量体系运行中的各种质量记录。质量手册对质量体系各要素进行了全面的描述，阐明了公司的质量方针和质量目标，确定了公司的质量体系组