某防火墙项目节点实施计划方案的模板

1、 .wd. .wd. .wd.XXX工程实施方案模板网御神州科技北京2009年 月目录TOC o 1-3 h z uHYPERLINK l _Toc2317251961概述 PAGEREF _Toc231725196 h 3HYPERLINK l _Toc2317251972工程实施安排 PAGEREF _Toc231725197 h 3HYPERLINK l _Toc2317251983工程总体要求 PAGEREF _Toc231725198 h 6HYPERLINK l _Toc2317251994工程实施步骤 PAGEREF _Toc231725199 h 7HYPERLINK l _T

2、oc2317252004.1前期准备工作 PAGEREF _Toc231725200 h 7HYPERLINK l _Toc2317252014.2安装实施前期 PAGEREF _Toc231725201 h 7HYPERLINK l _Toc2317252024.2.1资料采集 PAGEREF _Toc231725202 h 7HYPERLINK l _Toc2317252034.2.2分析调研 PAGEREF _Toc231725203 h 9HYPERLINK l _Toc2317252044.2.3规那么翻译 PAGEREF _Toc231725204 h 9HYPERLINK l _

3、Toc2317252054.2.4产品到货验收 PAGEREF _Toc231725205 h 10HYPERLINK l _Toc2317252064.2.5加电检测 PAGEREF _Toc231725206 h 10HYPERLINK l _Toc2317252074.2.6配置安全设备网御神州 PAGEREF _Toc231725207 h 11HYPERLINK l _Toc2317252084.2.7模拟环境测试 PAGEREF _Toc231725208 h 15HYPERLINK l _Toc2317252094.3安装实施中期 PAGEREF _Toc231725209 h

4、15HYPERLINK l _Toc2317252104.3.1设备上线 PAGEREF _Toc231725210 h 15HYPERLINK l _Toc2317252114.3.2应用系统验证性测试 PAGEREF _Toc231725211 h 16HYPERLINK l _Toc2317252124.3.3方案变更 PAGEREF _Toc231725212 h 17HYPERLINK l _Toc2317252134.4安装实施后期 PAGEREF _Toc231725213 h 17HYPERLINK l _Toc2317252144.4.1设备试运行 PAGEREF _Toc2

5、31725214 h 17HYPERLINK l _Toc2317252154.4.2现场培训 PAGEREF _Toc231725215 h 18HYPERLINK l _Toc2317252164.4.3节点初验 PAGEREF _Toc231725216 h 19HYPERLINK l _Toc2317252174.4.4文档整理 PAGEREF _Toc231725217 h 19HYPERLINK l _Toc2317252185风险控制 PAGEREF _Toc231725218 h 20HYPERLINK l _Toc2317252195.1实施现场的风险控制 PAGEREF _

6、Toc231725219 h 20HYPERLINK l _Toc2317252205.1.1业务全部中断情况的处理 PAGEREF _Toc231725220 h 20HYPERLINK l _Toc2317252215.1.2局部业务中断情况的处理 PAGEREF _Toc231725221 h 22HYPERLINK l _Toc2317252225.2运行期间的风险控制 PAGEREF _Toc231725222 h 23HYPERLINK l _Toc2317252236附件 PAGEREF _Toc231725223 h 24HYPERLINK l _Toc231725224“XX

7、X工程设备到货确认单 PAGEREF _Toc231725224 h 24概述XXX安全设备工程是2006年信息安全建设的一个重要工程，内容为更换副省级以上含机构XXX安全设备。此文档是XXX安全设备工程各节点的实施方案。工程实施安排此次工程实施以各节点技术力量为主，厂商技术人员在实施现场做技术支持。各节点工程实施时间安排约为8天，第一批安装单位的开场为1月22日，第二批安装单位的开场时间为1月29日，工程分为实施前期、实施中期、实施后期三个阶段，其中：周一至周五为实施前期，主要是进展相关前期的准备工作和模拟环境测试工作；周末为实施中期，主要是上线切换、应用验证等工作；后期安排一天时间，主要是

8、进展现场值守技术保障、文档整理等工作。工程开场时间和上线切换时间以总行通知为准。各节点工作内容详见下表：阶段工作内容工作细节第一批时间第二批时间职责分工内容输出实施前期前期准备环境准备测试环境和上线环境准备1月24日之前1月31日之前节点科技人员完成完成准备工作社会公告以系统升级的名义提前公告1月24日之前1月31日之前节点科技人员完成完成社会公告通知相关业务部门、商业银行作好安全设备上线测试前的准备工作和风险调查1月24日之前1月31日之前节点科技人员完成完成通知工作和准备工作资料采集配置表回执1月24日之前1月31日之前节点科技人员完成?物理环境调查表?安全设备工程系统配置手册?初稿原有安

9、全设备配置现场采集1月24日之前1月31日之前厂商技术人员完成节点科技人员协助完成采集工作安全设备周边网络设备配置现场采集1月24日之前1月31日之前分析调研对采集信息进展汇总1月24日之前1月31日之前厂商技术人员完成节点科技人员协助?安全设备工程系统配置手册?与当地技术负责人进展技术沟通1月24日之前1月31日之前节点科技人员完成厂商技术人员完成规那么翻译与当地技术负责人和原安全设备厂商进展技术沟通1月24日之前1月31日之前节点科技人员完成厂商技术人员完成?安全设备工程系统配置手册?产品到货验收完成产品到货验收1月23日之前1月30日之前节点科技人员完成厂商技术人员完成?设备到货验收表?

10、加电检测完成产品加电检测1月23日之前1月30日之前节点科技人员完成厂商技术人员完成?设备加电测试表?安全设备配置整合并完成安全设备配置1月24日之前1月31日之前节点科技人员完成厂商技术人员协助根据安全设备?安全设备工程系统配置手册?进展安全设备配置模拟环境测试搭建模拟测试环境安全设备测试1月24日-1月26日1月31日-2月2日节点科技人员完成厂商技术人员协助根据?测试方案?完成测试中期实施设备上线安全设备上线的准备工作完成确认1月25日2月1日节点科技人员完成完成安全设备上线前的准备工作设备上架加电安全设备上线切换网络连通性测试1月27日5:00-6:00(第一次上线)1月28日5:00

11、-6:00(第二次上线)2月3日5:00-6:00第二次上线时间2月4日5:00-6:00(第二次上线)节点科技人员完成厂商技术人员协助完成安全设备上线并根据?测试方案?完成网络连通性测试，如果出现问题 参见风险控制一章应用系统验证性测试业务系统应用测试1月27日6:00-8:00(第一次上线)1月28日6:00-8:00(第二次上线)2月3日6:00-8:00第一次上线2月4日6:00-8:00(第二次上线)节点业务人员完成完成业务系统测试，如果出现问题 参见风险控制一章方案变更安全设备配置变更实施方案变更1月27日-1月28日2月3日-2月4日节点科技人员完成厂商技术人员完成?方案变更单?

12、实施后期设备试运行现场职守1月29日2月5日厂商技术人员完成?设备运行报告单?运行情况记录1月27日-1月29日2月3日-2月5日节点科技人员完成厂商技术人员完成应急响应1月27日-1月29日2月3日-2月5日节点科技人员完成厂商技术人员完成?故障处理报告单?现场培训完成现场培训1月22日-1月29日1月29日-2月5日厂商技术人员完成完成现场培训工作节点初验完成节点初验1月29日2月5日节点科技人员完成厂商技术人员完成?节点初验报告单?文档整理移交工程资料1月29日2月5日节点科技人员完成厂商技术人员完成完成工程文档移交和整理工作工程总体要求前期节点技术人员与厂商技术人员应加强技术沟通。当地

13、技术人员对原有安全设备的配置进展逐条描述和确认，以保证当地技术人员和厂商技术人员沟通的一致性。前期进展规那么分析时，一定要认真填表。在节点技术人员与厂商技术人员确认达成一致后，才可进展安全设备设备的配置工作。安全设备在上线前必须按照?测试方案?经过模拟环境测试，才允许在生产环境中进展切换。由于此次安全设备上线是在生产环境中进展的切换，技术风险很高，各节点科技部门负责协调保证原安全设备厂商现场进展技术支持，在切换过程中出现问题时确保在较短的时间内切换回原有安全设备进展运行。切换时，原有安全设备含主、备机不能关机。待业务系统正常运行一周后才能撤下原安全设备设备。经与有关业务司局协商，本次安全设备工

14、程在生产环境切换调试和网络切换时间严格安排在规定的3小时内进展，其中第一小时为切换和技术确认，其余2小时为业务确认时间。如第一小时后技术人员确认此次切换不成功，经当地科技处负责人确认后，应尽快切换回原安全设备并按原方案进展业务确认或换回安全设备均需要业务测试。确认恢复业务后，请科技人员在模拟环境中继续查找问题，重新配置，按照原定方案安排进展第二次生产环境的切换。实施期间如有新上系统或正在试点的业务系统，请各分支行予以高度关注。各分支行对于新上线安全设备的配置规那么只允许开通总行规定的业务端口，不允许扩大安全设备的规那么范围。本工程安排的安全设备切换时间为周六临晨58点和周日临晨58点两次，如两

15、次切换均未成功，应及时向工程实施组报告。工程实施步骤前期准备工作目标：完成设备实施前的准备工作。前提： 制定实施详细时间。工作内容：作好前期准备工作，包括环境准备、系统调查、工作通知、发社会公告等详细准备工作，为设备实施前作好详细的准备工作。输出：完成前期的准备工作，包括完成社会公告通知各个相关单位等工作。安装实施前期资料采集目标：完成网络环境的调查和安全设备实施工作需要的资料采集工作。前提：节点科技人员已经提交?安全设备工程系统配置手册?，作好资料采集前的准备工作。工作内容：1实施前需确认的相关信息为保证工程实施的顺利进展，防止出现因某环节缺失而造成整体工程延误的情况，实施节点应在工程实施前

16、完成 基本情况的调查和准备工作，由分行节点技术负责人完成填写。?物理环境需求表?需要节点科技人员进展填写并根据需求进展准备，安全设备测试环境所需要的设备情况请参照?安全设备测试方案?中的具体细则。物理环境需求表分行名称填写人填写时间物理环境说明共计备注机柜空间每个安全设备需要2U的机柜空间，两台安全设备共计需要4U空间4U可用穿插线用于安全设备与上联设备和下联设备进展网络连接8条可用直通线用于安全设备与上联设备和下联设备进展网络连接8条电源每个千兆安全设备均采用双链路供电方式，两台安全设备共需要4个电源接口4个设备接口原安全设备上联和下联设备接口数实施中为双机热备，各需要两个接口2个2业务系统

17、情况调查测试节点实施前，节点技术负责人应及时协调业务系统管理员详细描述所有外联业务应用，准确反映该外联业务系统的网络通信行为特征。掌握业务系统通信行为特征是提高安全设备安全规那么正确性的有效手段。输出：完成系统采集工作?物理环境调查表? ?安全设备安全设备工程系统配置手册?初稿分析调研目标：根据资料采集情况对网络分析，了解现有网络情况。前提：完成资料采集工作。工作内容：与节点系统管理员进展现场技术交流，了解网络拓扑构造。安全设备管理员应将原有安全设备设备策略和配置文件完整地导出为文本文件并进展中文说明，对各业务系统说明文件和原有设备策略进展分析。同时，节点安全设备管理员还应参照安全管理标准，根

18、据业务系统的具体运行情况，及时调整防护安全策略。分行技术负责人和厂商技术人员对已经填写完成的?安全设备工程系统配置手册?进展审核。输出：调查完成，输出?安全设备安全设备工程系统配置手册?。完成时间节点：规那么翻译目标：对原有安全设备的策略内容进展翻译，保证新上线安全设备策略的正确性。前提：节点科技人员对本行的网络构造及其业务系统应用了解，并能用自然语言进展说明。工作内容：节点科技人员将目前业务系统的正常运行情况和目前现有安全设备的设置进展整体了解和描述，并对此次实施的安全设备厂商人员进展策略和业务应用的交流，共同完成安全设备的配置规那么翻译工作。输出：调查完成，输出?安全设备安全设备工程系统配

19、置手册?。产品到货验收目标：用户和厂商技术人员共同完成现场验货。前提： 货物已经送到客户现场，用户和厂商技术人员共同在场。工作内容：厂商技术人员到达现场后，双方共同进展产品的到货验收。设备到货验收步骤如下：开箱前，检查设备数量、发货地、外包装完整性；开箱后，检查设备机箱外观完整性；根据包装内装箱清单检查产品型号/版本、设备数量、接口数量是否与合同供货清单一致；根据包装内装箱清单检查合格证、线缆等配件、随机资料是否齐备。双方人员应根据以上各项对设备进展检验。并根据实际验收情况共同签署附件中的?设备到货验收表?。输出：?设备到货验收表?加电检测目标：用户和厂商技术人员共同完成设备的加电测试。前提：

20、 用户和厂商技术人员共同在场。工作内容：到货验收完成后，节点对设备进展加电检测，并在厂商技术人员协助下检查系统工作状态。加电检测步骤如下：设备加电指示灯是否正常；设备是否正常启动；管理终端能否顺利连接安全设备系统；各接口板卡是否工作正常。节点技术负责人和厂商技术人员应共同对设备加电验收过程的各个环节进展确认，并根据实际验收情况共同签署附件中的?设备加电测试表?。输出：?设备加电测试表?。配置安全设备网御神州目标：依照?安全设备工程系统配置手册?节点技术工程师离线配置安全设备，厂商工程师指导并对安全设备的配置进展核查。前提：?安全设备工程系统配置手册?填写完成，并与原有安全设备的配置逐条匹配无误

21、后。工作内容：配置安全设备时，请按以下步骤进展。开箱检查配置清单，核对配件是否齐全，检查机箱主机编号与包装箱的是否一致。开机插上电源，安全设备启动后会有嘀嘀嘀三声提示音，冗余电源如果只插一个电源会有长时间的蜂鸣报警。登陆安全设备串口方式：用户名admin，密码firewall。Web方式：安全设备默认的管理地址是10.50.10.45，管理端口是ge1口，默认管理主机是10.50.10.44，登陆方式是 HYPERLINK s:/10.50.10.45:8889 s:/10.50.10.45:8889，通过web管理方式需要安装证书，证书在随机光盘中。配置安全设备步骤4.1、网络配置：在“网络

22、配置“接口ip中点击 添加 按钮，输入要添加的ip和相应的接口，并设置网口ip是否允许管理，ping等。注意，接口ip设置后就不能够修改，只能删除。4.2、网关设置：在“网络配置“策略路由中点击 添加 按钮，如目的地址 0.0.0.0/0.0.0.0，下一跳202.99.8.1，就是默认路由，目的地址10.10.10.0/255.255.255.0，下一跳192.168.1.10，就是目的网段10.10.10.0，下一跳指向192.168.1.10。4.3、添加地址对象：在“对象定义“地址“地址列表中点击 添加 按钮，输入名称，地址范围或者地址段即可，在添加界面有一个复选框，可以选择是添加地址

23、段或地址范围，如名称neiwang 地址192.168.1.0/255.255.255.0，还可以添加一个地址范围，如名称neiwang2 地址192.168.2.1192.168.2.100。4.4、添加地址组：在“对象定义“地址组中点击 添加 按钮，输入名称，并引用位于左边的地址对象，如名称group，地址对象neiwang，neiwang2，就是group这个地址组包含了neiwang和neiwang2这两个地址对象。定义完地址对象和地址组后就可以在安全规那么中引用他们，这样会简化安全规那么的设置步骤，方便许多。4.5、定义服务：自定义服务可以指定开放那些协议，那些端口，例如要开放tcp

24、的1436端口，就在“对象定义“服务列表中点击 添加 按钮，协议选择tcp，目的端口输入1436，低端口和高端口都输入1436，就是只放开1436端口，如果低端口输入1436，高端口输入1440，就是放开tcp的14361440的所有端口。一条自定义服务可以放开多个端口。4.6、添加安全规那么：包过滤规那么：在“安全策略“安全规那么中点击添加按钮，类型选择包过滤，输入源地址和目的地址，选择相应的服务即可；例如，源地址输入10.10.10.10，掩码255.255.255.255，目的地址20.20.20.20，掩码255.255.255.255，服务选择icmp就是允许主机10.10.10.1

25、0 ping 20.20.20.20，关于这两台主机的其他类型数据包都被制止掉。在源地址和目的地址的下拉菜单里还可以选择在地址对象中定义好的地址对象和地址组，在服务里还可以选择自定义服务，例如前面举例的tcp 1436端口的服务NAT规那么：在添加安全规那么时，类型选择nat，输入源地址，目的地址，服务，和源地址转换后的地址即可，nat规那么会把源地址转换为安全设备的一个地址，从而到达隐藏源地址的目的，例如，源地址10.10.10.10/255.255.255.255，目的地址20.20.20.20/255.255.255.255，服务选择前例定义好地tcp_1436，源地址转换为选择20.2

26、0.20.1这样当10.10.10.10这台主机访问20.20.20.20的tcp 1436端口时，安全设备会把源地址转换成20.20.20.1，这样就隐藏了10.10.10.10的真实地址。IP映射规那么：在安全规那么中类型选择IP 映射，输入源地址，公开地址，和公开地址映射后的地址即可，公开地址是安全设备上的IP，公开地址映射后的地址是内部主机地址，这样就可以通过访问安全设备IP的方式访问内部主机，从而实现隐藏目的服务器地址的目的。例如，源地址10.10.10.10/255.255.255.255，公开地址10.10.10.1，公开地址映射为20.20.20.20，这样10.10.10.1

27、0这台主机只能通过访问10.10.10.1这个地址来访问20.20.20.20这台服务器。这样就保护了20.20.20.20服务器的安全。还可以把源地址也隐藏，例如在源地址中选择源地址转换为20.20.20.1，这样就实现了源和目的地址双转换，同时隐藏了源地址和目的地址。端口映射规那么：在安全规那么中类型选择端口映射，输入源地址，公开地址，公开地址映射后的地址，对外服务，对外服务映射后的服务，例如，源地址10.10.10.10/255.255.255.255，公开地址10.10.10.1，公开地址映射为20.20.20.20，对外服务和对外服务映射为都选择前例定义好的tcp_1436端口，这样

28、10.10.10.10这台工作站就可以通过访问10.10.10.1这个地址的tcp 1436端口来访问20.20.20.20的tcp 1436端口，还可以把源地址也隐藏，例如在源地址中选择源地址转换为20.20.20.1，这样就实现了源和目的地址双转换，同时隐藏了源地址和目的地址。4.7、配置高可用性：配置HA：在“高可用性“HA 基本配置中选择HA同步网口和IP，注意，主墙和备墙的IP必须是在同一网段内的，而且只能有一台墙是控制节点。主墙和备墙都要选择“自动配置同步和“自动状态同步，启用配置同步时,在安全策略中添加允许另一台安全网关访问本安全网关secgate_ha_conf服务的包过滤规那

29、么。配置VRRP：在“高可用性“路由模式HA“VRRP实例中点击添加按钮，例如要添加一个10.10.10.100的虚拟IP地址，接口选择GE2，VRID 10，虚拟IP地址10.10.10.100/255.255.255.0,名称MASTER，即可，注意VRRP实例可以添加多个，但是VRID不能有重复的，而且主备墙的VRRP实例除了名称可以不一样之外，其他都要一致。配置VRRP关联：在“高可用性“路由模式HA“VRRP关联中点击添加 按钮，输入名称，优先级，并在VRRP列表中选择要引用的VRRP实例即可，注意主墙的优先级必须比备墙的优先级低。添加完毕后，选中要启动的VRRP实例，就可以激活VR

30、RP实例中的虚拟IP。注意使用VRRP功能的时候需要添加一条目的地址时224.0.0.0/255.0.0.0，服务VRRP的规那么。注意！为了防止冲突，需要把VRRP的规那么和secgate_ha_conf服务的包过滤规那么。放在最前面。配置安全设备的详细步骤和方法请参考?网御神州SecGate 3600安全网关WEB界面手册?。输出：安全设备的配置文件模拟环境测试目标：客户和厂商技术人员共同搭建模拟测试环境对进展模拟测试。前提： 客户和厂商技术人员已经进展完交流，模拟环境已经准备完毕。工作内容：搭建模拟实验环境，将安全设备放置在搭建的模拟实验环境中，进展连通性测试，并测试安全设备上线前的可靠

31、性，测试安全设备的双机热备切换是否正常。节点技术负责人和厂商技术人员应根据?测试方案?共同对设备进展模拟环境测试，并根据实际情况填写?测试方案?中的结果输出：根据?测试方案?和?安全设备配置方案模板?完成安全设备上线前的配置和离线测试工作。安装实施中期设备上线目标：厂商实施人员在用户现场完成实施。前提：前期准备工作已经完毕，上线条件已经具备。工作内容：节点工程实施组在厂商技术人员的配合下，进展设备的现场调试与安装。安装过程中，需要注意以下几点：1)保持主、备安全设备安全策略一样；2)检查原有网络通讯是否正常；3)安全设备安装切换可能会在短时间内影响到业务系统的正常运行，各节点应选择业务空闲时间

32、进展割接；4)安全设备双机热备部署方式各不一样，应由厂商技术人员协助完成；5)节点技术负责人和厂商技术人员应根据?测试方案?共同对设备进展测试，并根据实际情况填写?测试方案?中的结果，填写?设备安装实施报告?6)切换完成后对上线设备和连线打标签说明：1、生产环境切换调试时，网络切换时间方案进展3小时，其中1小时为切换和技术确认，其余2小时为业务确认时间。如在1小时后技术确认不成功，经当地科技处负责人确认后，尽快切换回原安全设备并按原方案进展业务确认。在模拟环境中查找问题重新配置后按照方案进展第二次生产环境切换。2、由于此次安全设备上线，是在生产环境中切换，风险性很高，当地科技部门负责协调保证原

33、安全设备厂商的技术支持必须到位，在切换过程中出现问题时，切换回原有安全设备应在较短的时间内完成。切换时，原主、备安全设备不能关机，并持续到业务系统正常运行一周后才能撤下原安全设备设备。输出：完成安全设备的上线和网络测试，填写?设备安装实施报告?应用系统验证性测试目标：完成应用系统联调测试前提： 节点科技人员和节点业务人员已经完成了业务系统验证性测试的前期准备工作。工作内容：完成安全设备上线安装后，节点工程实施人员和业务部门人员应共同对设备和业务应用进展持续监控和业务应用验证，进展节点本地测试，包括访问控制测试、系统功能测试、系统性能观测等；节点技术负责人和厂商技术人员应根据?测试方案?共同对设

34、备进展测试，并根据实际情况填写?测试方案?中的结果输出：由当地业务负责人协调，完成业务验证性测试。方案变更目标：由于厂商或客户任何一方的原因引起的工程不能按照实施方案进展实施的，经双方同意签定方案变更表。前提：由节点科技人员核实并确认，确实需要进展方案变更。工作内容：测试工作原那么上按测试方案顺序进展，但也可根据实际准备情况作相应调整，已经测试过的内容在相应系统未做变动的情况下，一般不需重新测试。由于到货或技术原因使测试方案中局部测试不具备条件时，在协议各方的同意下，可暂时不对该局部进展测试，待条件具备后再对该局部进展补测。在测试过程中发现未包含在测试工程中但有必要通过测试的单项功能，经统一协

35、商考虑后，可以备忘录的形式表达，并在集中测试时执行备忘录所列工程的测试。节点技术负责人和厂商技术人员共同签署?方案变更单?输出：?方案变更单?安装实施后期设备试运行目标：通过试运行阶段对上线的设备进展实际环境运行监控。前提：设备上线和业务系统验证性测试已经按照?实施方案?和?测试方案?完成。工作内容：节点初验完成之日起，该节点进入试运行期。节点对安全设备设备日常管理维护中所发现的问题进展详细记录，并在试运行完毕后形成附件中的?设备运行报告单?节点试运行报告主要包括以下内容：新增设备是否运行正常；运行期间发生的问题。说明：1、业务系统在测试完全正常后，进展安全设备同步配置和保存配置的操作。2、安

36、全设备的日志收集服务器需要安装SQL数据库天融信安全设备需求输出：?设备运行报告单?现场培训目标：现场完成现场培训服务前提： 厂商技术人员向节点科技人员确定培训时间。工作内容：按照合同要求，安全设备厂商在实施现场进展现场培训服务每单位15人以内。培训目标：培养节点技术人员独立完成设备安装配置、日常运行维护和简单故障排除能力。培训地点：设备安装地点。培训对象：节点网络安全运行维护相关人员。培训方式：在节点实施过程中，安全设备制造厂商技术人员现场培训。培训内容：产品的安装调试、维护管理和故障排错等。输出：完成现场培训节点初验目标：完成节点初验工作。前提：所有的安全设备开箱检查、加电测试、模拟环境测

37、试、设备上线、业务系统验证性测试、等工作全部完成。工作内容：以上各环节完毕后，对各个环节中填写的文档进展整理，实施节点技术负责人根据安全设备安装运行和系统验证情况形成节点验收报告。节点验收的前提条件如下：到货验收和加电检测完成安装实施完毕系统验证通过现场培训完成节点技术负责人应与厂商技术人员共同签署附件中的?设备初验报告单?输出：?设备初验报告单?文档整理目标：整理工程的所有文档。前提：所有工程前期、中期、后期需要填写的文档已经填写完毕。工作内容：整理所有文档节点技术负责人和厂商技术人员进展签字确认，并移交客户。输出：完成所有文档的整理并交付用户。风险控制实施现场的风险控制在本工程各节点进展网

38、络割接的过程中，可能会对业务系统的正常运行造成影响，以下分别针对出现业务全部中断和某些业务中断两种情况，给出具体的处理建议。此风险控制只适用于此次上线的安全设备设备，如果业务出现问题，请节点科技人员对影响的业务范围进展统计，并判断是否由于安全设备原因造成，在明确了是由于安全设备的原因造成后，根据现场实际情况采取以下风险控制流程。业务全部中断情况的处理业务全部中断表现为所有业务的客户端与服务器之间无法建设连接。该故障在经节点技术负责人确认后可按以下步骤进展处理。业务全部中断情况处理流程如以下列图所示：具体处理细节说明如下：1)如果网络中断，所有业务无法正常运行，厂商技术人员必须快速检测设备及网络

39、，检测完毕后立刻使用原安全设备，恢复原有网络，保持网络畅通。2)网络恢复后，某些业务仍无法正常运行，那么需要将出现异常的业务系统客户端重新启动可能由于某些长连接应用无断线自动重连机制造成，一旦确定是由于业务系统的原因造成的问题，那么重新检查新安全设备的配置，确定没有问题并经节点负责人同意后，重新进展网络割接。3)使用原有安全设备后，所有业务恢复正常，那么检查新安全设备：是否具有合法license授权；规那么是否加载成功；硬件是否正常运行；当确认新安全设备能够正常工作并经节点负责人同意后，可再次进展网络割接。处理完毕后，节点应形成问题处理报告并报总行工程实施组。局部业务中断情况的处理局部业务中断

40、表现为某些业务的客户端与服务器之间无法建设连接。该故障在经节点技术负责人确认后可按以下步骤进展处理。局部业务中断处理流程如以下列图所示：具体处理细节说明如下：1)如果网络中断，所有业务无法正常运行，厂商技术人员必须快速检测设备及网络，检测完毕后立刻使用原安全设备，恢复原有网络，保持网络畅通。2)如果网络恢复后，局部业务仍无法正常运行，那么需要将出现异常的业务系统客户端重新启动可能由于某些长连接应用无断线自动重连机制造成，一旦确定是由于业务系统的原因造成的问题，那么重新检查新安全设备的配置，确定没有问题并经节点负责人同意后，重新进展网络割接。3)如果网络恢复后，所有业务恢复正常，那么需要检查新安全设备中增添和删除相关规那么的合理性，重新修改新安全设备上的安全策略，确定没有问题并经节点负责人同意后，重新进展网络割接。4)如果通过步骤“3操作后，网络中相关业务仍然无法正常工作，那么需要再次恢复原有网络。厂商技术人员继续查找问题产生的原因，直至查明原因并解决问题。运行期间的风险控制运行期间风险控制的原那么是以快速恢复为主。出现所有业务或局部业务中断的情况，必须由节点技术负责人确认后按照售后服务条款要求厂商进展快速响应，