某防火墻項目節(jié)點實施方案模板

1、XXX項目實施方案模板SECWORLDSECWORLD網御神州科技（北京）200弈月有限公司目錄1概述.3.2工程實施安排.3.3工程總體要求.6.4工程實施步驟.7.4.1前期準備工作.74.2安裝實施前期.74.2.1資料采集.74.2.2分析調研.94.2.3規(guī)則翻譯.94.2.4產品到貨驗收.104.2.5力口電檢測.104.2.6配置安全設備（網御神州） .114.2.7模擬環(huán)境測試 .154.3安裝實施中期.154.3.1設備上線.154.3.2應用系統(tǒng)驗證性測試 .164.3.3計劃變更.174.4安裝實施后期.184.4.1設備試運行 .184.4.2現(xiàn)場培訓.184.4.3節(jié)

2、點初驗.194.4.4文檔整理.205風險控制.205.1實施現(xiàn)場的風險控制 .205.1.1業(yè)務全部中斷情況的處理 .205.1.2部分業(yè)務中斷情況的處理 .225.2運行期間的風險控制 .236附件.24“ XXX”項目設備到貨確認單 .241 概述XXX 安全設備項目是 2006 年信息安全建設的一個重要項目，內容為更換副 省級以上（含）機構 XXX 安全設備。此文檔是 XXX 安全設備項目各節(jié)點的實施方 案。2 工程實施安排此次工程實施以各節(jié)點技術力量為主，廠商技術人員在實施現(xiàn)場做技術支持。各節(jié)點工程實施時間安排約為 8 天，第一批安裝單位的開始為 1 月 22 日， 第二批安裝單位的

3、開始時間為 1 月 29 日，項目分為實施前期、實施中期、實施 后期三個階段，其中：周一至周五為實施前期，主要是進行相關前期的準備工作 和模擬環(huán)境測試工作；周末為實施中期，主要是上線切換、應用驗證等工作；后 期安排一天時間，主要是進行現(xiàn)場值守技術保障、 文檔整理等工作。工程開始時 間和上線切換時間以總行通知為準。各節(jié)點工作內容詳見下表：階段工作內容工作細節(jié)第一批 時間第二批 時間職責分工內容輸出實施前期前期準備環(huán)境準備（測試環(huán) 境和上線環(huán)境準 備）1 月 24日之前1 月 31日之前節(jié)點科技人員完成完成準備工作社會公告（以系統(tǒng) 升級的名義提前 公告）1 月 24日之前1 月 31日之前節(jié)點科技

4、人員完成完成社會公告通知相關業(yè)務部 門、商業(yè)銀行作好安全設備上線測 試前的準備工作 和風險調查1 月 24日之前1 月 31日之前節(jié)點科技人員完成完成通知工作和準備工作資料采集配置表回執(zhí)1 月 24日之前1 月 31日之前節(jié)點科技人員完成物理環(huán)境調查 表安全設備項目系 統(tǒng)配置手冊（初 稿）原有安全設備配 置現(xiàn)場采集1 月 24日之前1 月 31日之前丿商技術人貝元成節(jié)點科技人員協(xié)助完成采集工作安全設備周邊網 絡設備配置現(xiàn)場 采集1 月 24日之前1 月 31日之前分析調研對采集信息進行匯總1 月 24日之前1 月 31日之前廠商技術人員元成節(jié)點科技人員協(xié)助安全設備項目系統(tǒng)配置手冊與當?shù)丶夹g負責

5、人進行技術溝通1 月 24日之前1 月 31日之前節(jié)點科技人員完成丿商技術人員元成規(guī)則翻譯與當?shù)丶夹g負責 人和原安全設備 廠商進仃技術溝 通1 月 24日之前1 月 31日之前節(jié)點科技人員完成丿商技術人員元成安全設備項目系統(tǒng)配置手冊產品到貨驗收完成產品到貨驗收1 月 23日之前1 月 30日之前節(jié)點科技人員完成丿商技術人員元成設備到貨驗收 表加電檢測完成產品加電檢 測1 月 23日之前1 月 30日之前節(jié)點科技人員完成丿商技術人員元成設備加電測試 表安全設備配置整合并完成安全 設備配置1 月 24日之前1 月 31日之前節(jié)點科技人員完成丿商技術人員協(xié)助根據安全設備安 全設備項目系統(tǒng)配 置手冊進

6、行安全 設備配置模擬環(huán)境測試搭建模擬測試環(huán) 境安全設備測試1 月 24日-1 月26 日1 月 31日-2 月2 日節(jié)點科技人員完成丿商技術人員協(xié)助根據測試方案完成測試中期實施的確線成備作為成完員J完冃ES試7 - ) 8 - ) 21線2線月日a(止月日a(止15500次15500次日：二戔日：二O O成助完協(xié)員員T一r仙|7完用完譏勿帖吋試應燼樸試7 - ) 8 -) 2 3線2$線月曰a(止月曰a(止16600次16600次日：一日：二力3 3 MM第燼4 4 MM第上月00X00X上月000(000(26:0026:00次26:O次成完員則題章顧SM變更置回設妙全J實安實2222月日訕

7、0-10-13030T T1 1成成完完員員Hry/實施后期越行9 92 2月日1日5 5月2 2成完員r設2222月日一TB-1*5 53 3月成成完完員員T一ry/應響1急應2222月日5 53 3月日成成完完員員T一ry/告報m二S肌單故完2222月日月-19-19一:一-一成完員r7完節(jié)點初驗完成節(jié)點初驗1 月 29日2 月 5 日節(jié)點科技人員完成 丿商技術人員元成節(jié)點初驗報告 單文檔整理移交項目資料1 月 29日2 月 5 日節(jié)點科技人員完成 丿商技術人員元成完成項目文檔移交 和整理工作3 工程總體要求1、前期節(jié)點技術人員與廠商技術人員應加強技術溝通。當?shù)丶夹g人員對原有安 全設備的配

8、置進行逐條描述和確認，以保證當?shù)丶夹g人員和廠商技術人員溝 通的一致性。2、前期進行規(guī)則分析時，一定要認真填表。在節(jié)點技術人員與廠商技術人員確 認達成一致后，才可進行安全設備設備的配置工作。3、安全設備在上線前必須按照測試方案經過模擬環(huán)境測試，才允許在生產 環(huán)境中進行切換。4、由于此次安全設備上線是在生產環(huán)境中進行的切換，技術風險很高，各節(jié)點 科技部門負責協(xié)調保證原安全設備廠商現(xiàn)場進行技術支持，在切換過程中出 現(xiàn)問題時確保在較短的時間內切換回原有安全設備進行運行。切換時，原有 安全設備（含主、備機）不能關機。待業(yè)務系統(tǒng)正常運行一周后才能撤下原 安全設備設備。5、經與有關業(yè)務司局協(xié)商，本次安全設備

9、工程在生產環(huán)境切換調試和網絡切換 時間嚴格安排在規(guī)定的 3 小時內進行，其中第一小時為切換和技術確認，其 余 2 小時為業(yè)務確認時間。如第一小時后技術人員確認此次切換不成功，經 當?shù)乜萍继庁撠熑舜_認后，應盡快切換回原安全設備并按原計劃進行業(yè)務確認（或換回安全設備均需要業(yè)務測試）。確認恢復業(yè)務后，請科技人員在模擬 環(huán)境中繼續(xù)查找問題，重新配置，按照原定計劃安排進行第二次生產環(huán)境的 切換。6 實施期間如有新上系統(tǒng)或正在試點的業(yè)務系統(tǒng)，請各分支行予以高度關注。7、各分支行對于新上線安全設備的配置規(guī)則只允許開通總行規(guī)定的業(yè)務端口， 不允許擴大安全設備的規(guī)則范圍。8、本項目安排的安全設備切換時間為周六臨

10、晨 5-8 點和周日臨晨 5-8 點兩次,如兩次切換均未成功，應及時向工程實施組報告4 工程實施步驟4.1 前期準備工作目標：完成設備實施前的準備工作。前提：制定實施詳細時間。工作內容：作好前期準備工作，包括環(huán)境準備、系統(tǒng)調查、工作通知、發(fā)社會公告等詳 細準備工作，為設備實施前作好詳細的準備工作。輸出：完成前期的準備工作，包括完成社會公告通知各個相關單位等工作。4.2 安裝實施前期4.2.1 資料采集目標：完成網絡環(huán)境的調查和安全設備實施工作需要的資料采集工作。前提：節(jié)點科技人員已經提交安全設備項目系統(tǒng)配置手冊，作好資料采集前的 準備工作。工作內容：（1）實施前需確認的相關信息為保證工程實施的

11、順利進行，避免出現(xiàn)因某環(huán)節(jié)缺失而造成整體工程延誤的 情況，實施節(jié)點應在項目實施前完成基本情況的調查和準備工作，由分行節(jié)點技術負責人完成填寫。物理環(huán)境需求表需要節(jié)點科技人員進行填寫并根據需求進行準備，安全設備測試環(huán)境所需要的設備情況請參照安全設備測試方案中的具體細則。物理環(huán)境需求表分行名稱填寫人填寫時間物理環(huán)境說明共計備注機柜空間每個安全設備需要2U的機柜空間，兩臺安全 設備共計需要 4U 空間4U可用交叉線用于安全設備與上聯(lián)設 備和下聯(lián)設備進行網絡 連接8 條可用直通線用于安全設備與上聯(lián)設 備和下聯(lián)設備進行網絡 連接8 條電源每個千兆安全設備均采 用雙鏈路供電方式，兩 臺安全設備共需要 4 個

12、 電源接口4 個設備接口原安全設備上聯(lián)和下聯(lián) 設備接口數(shù)(實施中為 雙機熱備，各需要兩個 接口)2 個(2)業(yè)務系統(tǒng)情況調查測試節(jié)點實施前，節(jié)點技術負責人應及時協(xié)調業(yè)務系統(tǒng)管理員詳細描述所有 外聯(lián)業(yè)務應用，準確反映該外聯(lián)業(yè)務系統(tǒng)的網絡通信行為特征。掌握業(yè)務系統(tǒng)通 信行為特征是提高安全設備安全規(guī)則正確性的有效手段。輸出：完成系統(tǒng)采集工作物理環(huán)境調查表安全設備安全設備項目系統(tǒng)配置手冊（初稿）422 分析調研目標：根據資料采集情況對網絡分析，了解現(xiàn)有網絡情況。前提：完成資料米集工作。工作內容：與節(jié)點系統(tǒng)管理員進行現(xiàn)場技術交流，了解網絡拓撲結構。安全設備管理員 應將原有安全設備設備策略和配置文件完整地

13、導出為文本文件并進行中文說明， 對各業(yè)務系統(tǒng)說明文件和原有設備策略進行分析。同時，節(jié)點安全設備管理員還 應參照安全管理規(guī)范，根據業(yè)務系統(tǒng)的具體運行情況，及時調整防護安全策略。分行技術負責人和廠商技術人員對已經填寫完成的安全設備項目系統(tǒng)配置 手冊進行審核。輸出：調查完成，輸出安全設備安全設備項目系統(tǒng)配置手冊。完成時間節(jié)點：4.2.3 規(guī)則翻譯目標：對原有安全設備的策略內容進行翻譯，保證新上線安全設備策略的正確性。 前提：節(jié)點科技人員對本行的網絡結構及其業(yè)務系統(tǒng)應用了解，并能用自然語言進行說明。工作內容:節(jié)點科技人員將目前業(yè)務系統(tǒng)的正常運行情況和目前現(xiàn)有安全設備的設置 進行整體了解和描述，并對此次

14、實施的安全設備廠商人員進行策略和業(yè)務應用的 交流，共同完成安全設備的配置規(guī)則翻譯工作。輸出：調查完成，輸出安全設備安全設備項目系統(tǒng)配置手冊。4.2.4 產品到貨驗收目標：用戶和廠商技術人員共同完成現(xiàn)場驗貨。前提：貨物已經送到客戶現(xiàn)場，用戶和廠商技術人員共同在場。工作內容：廠商技術人員到達現(xiàn)場后，雙方共同進行產品的到貨驗收。設備到貨驗收步 驟如下：開箱前，檢查設備數(shù)量、發(fā)貨地、外包裝完整性；開箱后，檢查設備機箱外觀完整性；根據包裝內裝箱清單檢查產品型號/版本、設備數(shù)量、接口數(shù)量是否與合同供貨清單一致；根據包裝內裝箱清單檢查合格證、線纜等配件、隨機資料是否齊備。雙方人員應根據以上各項對設備進行檢驗

15、。并根據實際驗收情況共同簽署附件中的設備到貨驗收表。輸出：設備到貨驗收表4.2.5 力口電檢測目標：用戶和廠商技術人員共同完成設備的加電測試。前提:用戶和廠商技術人員共同在場。工作內容：到貨驗收完成后，節(jié)點對設備進行加電檢測，并在廠商技術人員協(xié)助下檢查 系統(tǒng)工作狀態(tài)。加電檢測步驟如下：設備加電指示燈是否正常；設備是否正常啟動；管理終端能否順利連接安全設備系統(tǒng)；各接口板卡是否工作正常。節(jié)點技術負責人和廠商技術人員應共同對設備加電驗收過程的各個環(huán)節(jié)進 行確認，并根據實際驗收情況共同簽署附件中的設備加電測試表。輸出：設備加電測試表。4.2.6 配置安全設備（網御神州）目標：依照安全設備項目系統(tǒng)配置手

16、冊 節(jié)點技術工程師離線配置安全設備， 廠 商工程師指導并對安全設備的配置進行核查。前提：安全設備項目系統(tǒng)配置手冊 填寫完成，并與原有安全設備的配置逐條匹 配無誤后。工作內容：配置安全設備時，請按下列步驟進行。1. 開箱檢查配置清單，核對配件是否齊全，檢查機箱主機編號與包裝箱的是否一致。2. 開機插上電源，安全設備啟動后會有嘀嘀嘀三聲提示音， 冗余電源如果只插一個 電源會有長時間的蜂鳴報警。3. 登陸安全設備串口方式：用戶名 admin,密碼 firewall。Web 方式：安全設備默認的管理地址是 5,管理端口是 gel 口，默 認管理主機是4,登陸方式

17、是 5:8889,通過 web 管理 方式需要安裝證書，證書在隨機光盤中。4. 配置安全設備步驟4.1、網絡配置：在“網絡配置” 一“接口 ip”中點擊 添加 按鈕，輸入要 添加的 ip 和相應的接口，并設置網口 ip 是否允許管理，ping 等。注意，接口 ip 設置后就不能夠修改，只能刪除。4.2、網關設置：在“網絡配置” 一“策略路由”中點擊 添加 按鈕，如目 的地址/，下一跳 ，就是默認路由，目的地址 /255.255.255.Q 下一跳0,就是目的網段 10.1

18、0.10.0,下一 跳指向 (14.3、 添加地址對象：在“對象定義”一“地址”一“地址列表”中點擊 添 加按鈕，輸入名稱，地址范圍或者地址段即可，在添加界面有一個復選框，可 以選擇是添加地址段或地址范圍，如名稱 neiwa ng 地址 /255.255.255.Q 還可以添加一個地址范圍，如名稱 neiwang2地址 004.4、 添加地址組：在“對象定義” 一“地址組”中點擊 添加按鈕，輸入 名稱，并引用位于左邊的地址對象，如名稱 group,地址對象 neiwang, neiwang2, 就是 gro

19、up 這個地址組包含了neiwang 和 neiwang2 這兩個地址對象。定義完地址對象和地址組后就可以在安全規(guī)則中引用他們，這樣會簡化安全規(guī)則的設置步驟，方便許多。4.5、定義服務：自定義服務可以指定開放那些協(xié)議，那些端口，例如要開放 tcp 的 1436 端口，就在“對象定義”一“服務列表”中點擊 添加 按鈕，協(xié) 議選擇 tcp,目的端口輸入 1436,低端口和高端口都輸入 1436,就是只放開 1436 端口， 如果低端口輸入 1436,高端口輸入 1440,就是放開 tcp 的 14361440 的 所有端口。一條自定義服務可以放開多個端口。4.6、添加安全規(guī)則：包過濾規(guī)則：在“安全

20、策略”一一“安全規(guī)則”中點擊 添加 按鈕，類型 選擇包過濾，輸入源地址和目的地址，選擇相應的服務即可；例如，源地址輸入 0,掩碼 55目的地址 0,掩碼 55, 服務選擇 icmp 就是允許主機 0 ping0,關于這兩臺主機的其 他類型數(shù)據包都被禁止掉。在源地址和目的地址的下拉菜單里還可以選擇在地址 對象中定義好的地址對象和地址組，在服務里還可以選擇自定義服務，例如前面舉例的 tcp 1436 端口的服務NAT 規(guī)則：在添加安全規(guī)則時，類型選擇 nat，輸入源地

21、址，目的地址，服 務，和源地址轉換后的地址即可，nat 規(guī)則會把源地址轉換為安全設備的一個地 址，從而達到隱藏源地址的目的，例如，源地址0/55 目的地址 0/55 服務選擇前例定義好地 tcp_1436,源地址轉 換為選擇 這樣當 0 這臺主機訪問 0 的 tcp 1436 端 口時，安全設備會把源地址轉換成 ，這樣就隱藏了 0 的真實 地址。IP 映射規(guī)則：在安全規(guī)則中類型選擇 IP 映射，輸入源地址

22、，公開地址，和公開地址映射后的地址即可，公開地址是安全設備上的IP,公開地址映射后的地址是內部主機地址，這樣就可以通過訪問安全設備IP 的方式訪問內部主機，從而實現(xiàn)隱藏目的服務器地址的目的。 例如，源地址 0/55 公開地址,公開地址映射為 0,這樣 0 這臺主機只 能通過訪問 這個地址來訪問 0 這臺服務器。這樣就保護了 0 服務器的安全。還可以把源地址也隱藏，例如在源地址中選擇源地址 轉換為 ，這樣就實現(xiàn)

23、了源和目的地址雙轉換，同時隱藏了源地址和目 的地址。端口映射規(guī)則：在安全規(guī)則中類型選擇端口映射，輸入源地址，公開地址，公開地址映射后的地址，對外服務，對外服務映射后的服務，例如，源地址0/55 公開地址 ,公開地址映射為 0, 對外服務和對外服務映射為都選擇前例定義好的tcp_1436 端口，這樣 0這臺工作站就可以通過訪問 這個地址的tcp 1436 端口來訪問0 的 tcp 1436 端口，還可以把源地址也隱藏，例如在源地址中選擇源地 址轉換為2

24、，這樣就實現(xiàn)了源和目的地址雙轉換，同時隱藏了源地址和 目的地址。4.7、配置高可用性：配置 HA :在“高可用性” 一“HA 基本配置”中選擇 HA 同步網口和 IP, 注意，主墻和備墻的 IP 必須是在同一網段內的，而且只能有一臺墻是控制節(jié)點。 主墻和備墻都要選擇“自動配置同步”和“自動狀態(tài)同步”，啟用配置同步時，在安全策略中添加允許另一臺安全網關訪問本安全網關 secgate_ha_conf 服務 的包過濾規(guī)則。配置 VRRP:在“高可用性”一“路由模式 HA ” 一 “VRRP 實例”中點擊 添加按鈕，例如要添加一個 00 的虛擬 IP 地址，接口選

25、擇 GE2, VRID10,虛擬 IP 地址 00/ 名稱 MASTER，即可，注意 VRRP 實例可以添加多個，但是 VRID 不能有重復的，而且主備墻的 VRRP 實例除了名 稱可以不一樣之外，其他都要一致。配置 VRRP 關聯(lián)：在“高可用性”一“路由模式 HA” 一 “ VRRP 關聯(lián)”中 點擊添加 按鈕，輸入名稱，優(yōu)先級，并在 VRRP 列表中選擇要引用的 VRRP 實 例即可，注意主墻的優(yōu)先級必須比備墻的優(yōu)先級低。 添加完畢后，選中要啟動的 VRRP 實例，就可以激活 VRRP 實例中的虛擬 IP。注意使用 VRRP 功能的時候 需要添加

26、一條目的地址時 /255.0.0.Q 服務 VRRP 的規(guī)則。注意！為了避免沖突，需要把 VRRP 的規(guī)則和 secgate_ha_con 服務的包過濾規(guī)則。放在最前面。配置安全設備的詳細步驟和方法請參考 網御神州 SecGate 3600 安全網關WEB 界面手冊。輸出：安全設備的配置文件427 模擬環(huán)境測試目標：客戶和廠商技術人員共同搭建模擬測試環(huán)境對進行模擬測試。 前提：客戶和廠商技術人員已經進行完交流，模擬環(huán)境已經準備完畢。 工作內容：搭建模擬實驗環(huán)境，將安全設備放置在搭建的模擬實驗環(huán)境中，進行連通性 測試，并測試安全設備上線前的可靠性，測試安全設備的雙機熱備切換是否

27、正常。 節(jié)點技術負責人和廠商技術人員應根據測試方案共同對設備進行模擬環(huán)境測 試，并根據實際情況填寫測試方案中的結果 輸出：根據測試方案和安全設備配置方案模板完成安全設備上線前的配置 和離線測試工作。4.3 安裝實施中期4.3.1 設備上線目標：廠商實施人員在用戶現(xiàn)場完成實施。 前提：前期準備工作已經完畢，上線條件已經具備。 工作內容：節(jié)點工程實施組在廠商技術人員的配合下，進行設備的現(xiàn)場調試與安裝。安裝過程中，需要注意以下幾點：1）保持主、備安全設備安全策略相同；2）檢查原有網絡通訊是否正常；3）安全設備安裝切換可能會在短時間內影響到業(yè)務系統(tǒng)的正常運行，各節(jié) 點應選擇業(yè)務空閑時間進行割接；4）安

28、全設備雙機熱備部署方式各不相同，應由廠商技術人員協(xié)助完成；5）節(jié)點技術負責人和廠商技術人員應根據測試方案共同對設備進行測試， 并根據實際情況填寫測試方案中的結果，填寫設備安裝實施報告6）切換完成后對上線設備和連線打標簽說明：1、生產環(huán)境切換調試時，網絡切換時間計劃進行 3 小時，其中 1 小時為切換和 技術確認，其余 2小時為業(yè)務確認時間。如在 1 小時后技術確認不成功，經當?shù)?科技處負責人確認后，盡快切換回原安全設備并按原計劃進行業(yè)務確認。 在模擬 環(huán)境中查找問題重新配置后按照計劃進行第二次生產環(huán)境切換。2、由于此次安全設備上線，是在生產環(huán)境中切換，風險性很高，當?shù)乜萍疾块T 負責協(xié)調保證原安

29、全設備廠商的技術支持必須到位，在切換過程中出現(xiàn)問題時， 切換回原有安全設備應在較短的時間內完成。切換時，原（主、備）安全設備不 能關機，并持續(xù)到業(yè)務系統(tǒng)正常運行一周后才能撤下原安全設備設備。輸出：完成安全設備的上線和網絡測試，填寫設備安裝實施報告4.3.2 應用系統(tǒng)驗證性測試目標：完成應用系統(tǒng)聯(lián)調測試前提：節(jié)點科技人員和節(jié)點業(yè)務人員已經完成了業(yè)務系統(tǒng)驗證性測試的前期準備 工作。工作內容：完成安全設備上線安裝后，節(jié)點工程實施人員和業(yè)務部門人員應共同對設備 和業(yè)務應用進行持續(xù)監(jiān)控和業(yè)務應用驗證， 進行節(jié)點本地測試，包括訪問控制測 試、系統(tǒng)功能測試、系統(tǒng)性能觀測等；節(jié)點技術負責人和廠商技術人員應根據

30、測試方案共同對設備進行測試， 并根據實際情況填寫測試方案中的結果輸出：由當?shù)貥I(yè)務負責人協(xié)調，完成業(yè)務驗證性測試。4.3.3 計劃變更目標：由于廠商或客戶任何一方的原因引起的項目不能按照實施計劃進行實施的， 經雙方同意簽定計劃變更表。前提：由節(jié)點科技人員核實并確認，確實需要進行計劃變更。工作內容：測試工作原則上按測試方案順序進行，但也可根據實際準備情況作相應 調整，已經測試過的內容在相應系統(tǒng)未做變動的情況下，一般不需重新測試。由于到貨或技術原因使測試方案中部分測試不具備條件時，在協(xié)議各方的同意下，可暫時不對該部分進行測試，待條件具備后再對該部 分進行補測。在測試過程中發(fā)現(xiàn)未包含在測試項目中但有必

31、要通過測試的單項功能， 經統(tǒng)一協(xié)商考慮后，可以備忘錄的形式體現(xiàn)，并在集中測試時執(zhí)行備忘 錄所列項目的測試。節(jié)點技術負責人和廠商技術人員共同簽署計劃變更單 輸出：計劃變更單4.4 安裝實施后期4.4.1 設備試運行目標：通過試運行階段對上線的設備進行實際環(huán)境運行監(jiān)控。前提：設備上線和業(yè)務系統(tǒng)驗證性測試已經按照實施方案和測試方案完成。 工作內容：節(jié)點初驗完成之日起，該節(jié)點進入試運行期。節(jié)點對安全設備設備日常管理維護中所發(fā)現(xiàn)的問題進行詳細記錄，并在試運行結束后形成附件中的設備運行報告單節(jié)點試運行報告主要包括以下內容：新增設備是否運行正常；運行期間發(fā)生的問題。說明：1、業(yè)務系統(tǒng)在測試完全正常后，進行安

32、全設備同步配置和保存配置的操作。2、安全設備的日志收集服務器需要安裝 SQL 數(shù)據庫（天融信安全設備需求） 輸出：設備運行報告單4.4.2 現(xiàn)場培訓目標：現(xiàn)場完成現(xiàn)場培訓服務前提：廠商技術人員向節(jié)點科技人員確定培訓時間。工作內容：按照合同要求，安全設備廠商在實施現(xiàn)場進行現(xiàn)場培訓服務（每單位15 人以內）培訓目標：培養(yǎng)節(jié)點技術人員獨立完成設備安裝配置、 日常運行維護和簡單 故障排除能力。培訓地點：設備安裝地點。培訓對象：節(jié)點網絡安全運行維護相關人員。培訓方式：在節(jié)點實施過程中，安全設備制造廠商技術人員現(xiàn)場培訓。培訓內容：產品的安裝調試、維護管理和故障排錯等。輸出：完成現(xiàn)場培訓4.4.3 節(jié)點初驗

33、目標：完成節(jié)點初驗工作。前提：所有的安全設備開箱檢查、加電測試、模擬環(huán)境測試、設備上線、業(yè)務系統(tǒng) 驗證性測試、等工作全部完成。工作內容：以上各環(huán)節(jié)完畢后，對各個環(huán)節(jié)中填寫的文檔進行整理，實施節(jié)點技術負責 人根據安全設備安裝運行和系統(tǒng)驗證情況形成節(jié)點驗收報告。節(jié)點驗收的前提條 件如下：到貨驗收和加電檢測完成安裝實施完畢系統(tǒng)驗證通過現(xiàn)場培訓完成節(jié)點技術負責人應與廠商技術人員共同簽署附件中的設備初驗報告單 輸出：設備初驗報告單4.4.4 文檔整理目標：整理項目的所有文檔。前提：所有項目前期、中期、后期需要填寫的文檔已經填寫完畢。工作內容：整理所有文檔節(jié)點技術負責人和廠商技術人員進行簽字確認，并移交客

34、戶。 輸出：完成所有文檔的整理并交付用戶。5 風險控制5.1 實施現(xiàn)場的風險控制在本項目各節(jié)點進行網絡割接的過程中，可能會對業(yè)務系統(tǒng)的正常運行造成 影響，以下分別針對出現(xiàn)業(yè)務全部中斷和某些業(yè)務中斷兩種情況，給出具體的處理建議。此風險控制只適用于此次上線的安全設備設備， 如果業(yè)務出現(xiàn)問題，請節(jié)點 科技人員對影響的業(yè)務范圍進行統(tǒng)計， 并判斷是否由于安全設備原因造成， 在明 確了是由于安全設備的原因造成后，根據現(xiàn)場實際情況采取以下風險控制流程。5.1.1 業(yè)務全部中斷情況的處理業(yè)務全部中斷表現(xiàn)為所有業(yè)務的客戶端與服務器之間無法建立連接。該故障在經節(jié)點技術負責人確認后可按以下步驟進行處理。業(yè)務全部中斷

35、情況處理流程如下圖所示：暫停割接査找原因具體處理細節(jié)說明如下：1） 如果網絡中斷，所有業(yè)務無法正常運行，廠商技術人員必須快速檢測設 備及網絡，檢測結束后立刻使用原安全設備，恢復原有網絡，保持網絡暢通。2）網絡恢復后，某些業(yè)務仍無法正常運行，則需要將出現(xiàn)異常的業(yè)務系統(tǒng)客戶端重新啟動（可能由于某些長連接應用無斷線自動重連機制造成） ，一旦確 定是由于業(yè)務系統(tǒng)的原因造成的問題， 則重新檢查新安全設備的配置，確定沒有 問題并經節(jié)點負責人同意后，重新進行網絡割接。3）使用原有安全設備后，所有業(yè)務恢復正常，則檢查新安全設備：是否具有合法 license 授權；規(guī)則是否加載成功；硬件是否正常運行；當確認新安

36、全設備能夠正常工作并經節(jié)點負責人同意后，可再次進行網絡割 接。處理結束后，節(jié)點應形成問題處理報告并報總行項目實施組甘時無注解5.1.2 部分業(yè)務中斷情況的處理部分業(yè)務中斷表現(xiàn)為某些業(yè)務的客戶端與服務器之間無法建立連接。該故障在經節(jié)點技術負責人確認后可按以下步驟進行處理。部分業(yè)務中斷處理流程如下圖所示：暫暫劃接查找訶題具體處理細節(jié)說明如下：1）如果網絡中斷，所有業(yè)務無法正常運行，廠商技術人員必須快速檢測設 備及網絡，檢測結束后立刻使用原安全設備，恢復原有網絡，保持網絡暢通。2）如果網絡恢復后，部分業(yè)務仍無法正常運行，則需要將出現(xiàn)異常的業(yè)務系統(tǒng)客戶端重新啟動（可能由于某些長連接應用無斷線自動重連機

37、制造成），一旦確定是由于業(yè)務系統(tǒng)的原因造成的問題， 則重新檢查新安全設備的配置，確定 沒有問題并經節(jié)點負責人同意后，重新進行網絡割接。3）如果網絡恢復后，所有業(yè)務恢復正常，則需要檢查新安全設備中增添和 刪除暫時無法解決確認問題解決相關規(guī)則的合理性，重新修改新安全設備上的安全策略，確定沒有問題并經節(jié)點負責人同意后，重新進行網絡割接4)如果通過步驟“ 3)”操作后，網絡中相關業(yè)務仍然無法正常工作，則需 要再次恢復原有網絡。廠商技術人員繼續(xù)查找問題產生的原因， 直至查明原因并 解決問題。5.2 運行期間的風險控制運行期間風險控制的原則是以快速恢復為主。 出現(xiàn)所有業(yè)務或部分業(yè)務中斷 的情況，必須由節(jié)點技術負責人確認后按照售后服務條款要求廠商進行快速響 應，同時報總行科技司。在運行期間，網絡故障一經確認是由于安全設備造成的， 則可能是由以下原 因造成：安全設備系統(tǒng)穩(wěn)定性差；安全設備設備硬件故障；線路接觸不良；大規(guī)模的蠕蟲病毒擴散耗費網絡資源；誤操作導致的規(guī)則失效、設備休眠、關機。針對上述原因，可以由廠商工程師到現(xiàn)場排查問題。在廠商工程師到達前， 節(jié)點技術人員可以先進行相關檢查，基本步驟如下：檢測安全設備設備電源是否正