【www.scfx8.com--银行工作总结】

篇:防火墙实施方案

防火墙实施方案

一.项目背景

随着网络与信息化建设的飞速发展,人们的工作、生活方式发生了巨大变化。网上行政审批、网上报税、网上银行、网上炒股、网上填报志愿、网上购物等等网络应用不仅为使用者带来了便利,而且大大提高了服务提供者的工作效率。但在享受网络带来便利的同时,我们也不得不面对来自网络内外的各种安全问题。

不断发现的软件漏洞,以及在各种利益驱动下形成的地下黑色产业链,让网络随时可能遭受到来自外部的各种攻击。而网络内部的P2P下载、流媒体、IM即时消息、网络游戏等互联网应用不仅严重占用网络资源、降低企业工作效率,同时也成为蠕虫病毒、木马、后门传播的主要途径。

公司目前信息网络边界防护比较薄弱,只部署了一台硬件防火墙,属于很久前购买,但是,随着攻击者知识的日趋成熟,攻击工具与手法的日趋复杂多样,单纯的防火墙已经无法满足公司网络安全需要,即使部署了防火墙的安全保障体系仍需要进一步完善,需要对网络信息安全进行升级改造。

为提公司信息外网安全,充分考虑公司网络安全稳定运行,对公司网络信息安全进行升级改造,更换信息机房网络防火墙,以及附属设备,增加两台防火墙实现双机热备以实现网络信息安全稳定运行。

二.防火墙选型及价格

华为USG2210 价格8998元 配置参数

设备类型: 安全网关

网络端口: 2GE Combo

入侵检测: Dos,DDoS

管理:支持命令行、WEB方式、SNMP、TR069等配置和管理方式,这些方式提

供对设备的本地配置、远程维护、集中管理等多种手段,并提供完备的告警、测试等功能。

VPN支持: 支持

安全标准: CE,ROHS,CB,UL,VCCI 控制端口: Console 口

其他性能: UTM

三.防火墙架构 方案1.X86架构

最初的千兆防火墙是基于X86架构。X86架构采用通用CPU和PCI总线接口,具有很高的灵活性和可扩展性,过去一直是防火墙开发的主要平台。其产品功能主要由软件实现,可以根据用户的实际需要而做相应调整,增加或减少功能模块,产品比较灵活,功能十分丰富。但其性能发展却受到体系结构的制约,作为通用的计算平台,x86的结构层次较多,不易优化,且往往会受到PCI总线的带宽限制。

虽然PCI总线接口理论上能达到接近2Gbps的吞吐量,但是通用CPU的处理能力有限,尽管防火墙软件部分可以尽可能地优化,很难达到千兆速率。同时很多X86架构的防火墙是基于定制的通用操作系统,安全性很大程度上取决于通用操作系统自身的安全性,可能会存在安全漏洞。

方案2.ASIC架构

相比之下,ASIC防火墙通过专门设计的ASIC芯片逻辑进行硬件加速处理。ASIC通过把指令或计算逻辑固化到芯片中,获得了很高的处理能力,因而明显提升了防火墙的性能。新一代的高可编程ASIC采用了更灵活的设计,能够通过软件改变应用逻辑,具有更广泛的适应能力。

但是,ASIC的缺点也同样明显,它的灵活性和扩展性不够,开发费用高,开发周期太长,一般耗时接近2年。

虽然研发成本较高,灵活性受限制、无法支持太多的功能,但其性能具有先天的优势, 非常适合应用于模式简单、对吞吐量和时延指标要求较高的电信级大流量的处理。目前,NetScreen在ASIC防火墙领域占有优势地位,而我国的首信也推出了我国基于自主技术的ASIC千兆防火墙产品。

方案3.NP架构

NP可以说是介于两者之间的技术,NP是专门为网络设备处理网络流量而设计的处理器,其体系结构和指令集对于防火墙常用的包过滤、转发等算法和操作都进行了专门的优化,可以高效地完成TCP/IP栈的常用操作,并对网络流量进行快速的并发处理。硬件结构设计也大多采用高速的接口技术和总线规范,具有较高的I/O能力。它可以构建一种硬件加速的完全可编程的架构,这种架构的软硬件都易于升级,软件可以支持新的标准和协议,硬件设计支持更高网络速度,从而使产品的生命周期更长。由于防火墙处理的就是网络数据包,所以基于NP架构的防火墙与X86架构的防火墙相比,性能得到了很大的提高NP通过专门的指令集和配套的软件开发系统,提供强大的编程能力,因而便于开发应用,支持可扩展的服务,而且研制周期短,成本较低。

但是,相比于X86架构,由于应用开发、功能扩展受到NP的配套软件的限制,基于NP技术的防火墙的灵活性要差一些。由于依赖软件环境,所以在性能方面NP不如ASIC。NP开发的难度和灵活性都介于ASIC和x86构架之间,应该说,NP是X86架构和ASIC之间的一个折衷。目前NP的主要提供商是Intel和Motorola,国内基于NP技术开发千兆防火墙的厂商最多,联想、紫光比威等都有相关产品推出。

四.用户终端pc机安装哪些防火墙

现在防火墙的性能不像杀软那样差距很大,如果要装防火墙,加强电脑的安全性,推荐以下几款:

1、公司的网络是局域网,需要装一个ARP防火墙,用360卫士或金山卫士都行。然后如果要担心黑客入侵,需要装一个网络防火墙,比如瑞星防火墙、金山的网盾防火墙或国外的OP等。说实话,如果是不连接外网的公司,比起杀软,公司更需要安装防火墙。

2、如果你要在公司内部连接外面的网站,比如网易、百度,那么就需要安装杀毒软件了。但是360是不推荐的,因为360的绝大部分用户是家庭用户,而且它辨别病毒采纳了黑白名单制度,如果企业用户电脑里有一些冷门的专业软件或程序,360无法识别黑白,那么就有可能被误报。比较推荐的是诺顿、AVAST等防护好的杀软。实在不行,用金山毒霸也凑合。

3、风云防火墙 用户在网上随便找一个序列号就可以安装使用 ,效果也不错。 4、费尔防火墙 免费(费尔好像会跟卡巴发生冲突,有卡巴的话建议不要装)。

5、瑞星2008 (瑞星2008可以免费使用半年,各大网站都有,下来安装不用序列号, 直接升级) 。

6、卡巴套装,杀软加防火墙。

第2篇:防火墙工作实施方案

构筑消防安全“防火墙”工程实施方案 根据《全国消防安全大排查大整治大宣传大培训大练兵活动方案》、《贵州省构筑社会消防安全“防火墙”工程实施方案》的指示精神,以及《2011年度安顺市构筑社会消防安全“防火墙”工程工作计划》要求,以落实各系、室、部、处消防工作“四项责任”、提高我院消防安全“四个能力”为着力点,全面推进学院消防安全“防火墙”工程建设工作,为我院的科研、、生产、生活营造一个平安稳定的消防安全环境。

一、指导思想

以贯彻落实国家有关消防的法律法规为目的,按照“预防为主、防消结合”的方针,完善我院消防工作管理制度,推动学校消防安全工作不断上新水平。通过消防安全教育,增强师生消防安全意识,强化学校对消防安全工作的重视程度,促进学校不断加大消防设施设备建设投入,着力消除各种火灾隐患,有效预防火灾事故的发生,为全院师生营造一个良好的消防安全环境。

二、工作目标

1、将学院消防安全教育培训工作纳入教学培训规划,并进行教育督导和工作考核。并将消防安全知识纳入教学内容,纳入学校管理人员和教师在职培训内容。

2、建立学校消防安全组织网络,健全消防安全制度,明确消防安全责任人、管理人职责,落实消防安全责任制。

3、学校灭火和应急疏散预案编制科学合理、可操作性强,并严格落实,定期组织应急疏散演练。

组织机构

1.成立学校消防安全工作指挥中心(以下简称指挥中心),由令狐荣涛院长担任总指挥;保卫处邓文红处长担任副总指挥,组员有保卫处消防科全体成员组成。

2、保卫处消防科统一领导指挥学院大学生义务消防队,负责日常消防排查。

根据消防安全工作要求,指挥中心办公室可以随时调集人员,调用物资及交通工具,各科室的每一位干部职工都有参加消防安全事故抢险的责任和义务。做到各司其职,各负其责,密切协作,处理到位。

四、工作内容

(一)落实各系、室、部、处消防工作“四项责任” 1.落实组织领导责任。

规定各系、室、部、处分管领导为各部门消防安全责任人。各部门消防安全责任人要组织领导消防安全小组针对本部实际情况制定、完善相关职责制度,组织员工惊醒消防安全培训,定期召开消防安全会议。针对本部突出问题制定相应的火灾、应急预案。 2.落实监管责任。

建立全面的监管网络,明确监管职责。由保卫处牵头,组织学院义务消防队对学院各部门的消防安全进行监管,定期上报各部门消防安全建设工作的进展及遇到的问题。并对相应的问题提出及时、有效地解决方案。 3.落实设施建设责任。

1.结合我校各类建筑实际情况,制定全面、立体的消防器材、设施档案。及时更换废旧、过期、损坏的消防器材设施。学校消防设施设置和管理符合有关消防安全要求。消防设施完好率达到80%。年底消防设施完好率达到100%。

2.根据新建八号学生公寓楼层特点,指定相应的消防器材、设施采购计划。 4.落实检查考评责任。

将消防安全检查纳入各部门年终考评。与各部门签订消防安全责任书,并组织义务消防队定期对各部门进行消防安全检查。检查汇总作为年终考评消防安全项的考评依据,考评分1-5等级,根据考评等级的高低对各部门进行奖惩。

(二)开展全院消防安全“四个能力建设”

1、在校内定期组织以展板、海报、板报、广播、横幅的宣传方式。确定11月为全院消防月,11月9日全国消防日在校内建立消防知识宣传站点,每个站点配一名讲解员,向过往师生宣传。

2、组织义务消防队员进寝室宣传。在12月1日前完成对全院学生的宣传教育。让他们学会使用消防栓、灭火器,明白“三懂三会”。

3、9月1日前完成对全院学生宿舍管理员进行消防安全培训。九月新生进校期间,利用展板、海报、板报、广播、横幅的方式向新生宣传。

4、五月中旬组织学院义务消防队开展大型消防演习。内容包括应急疏散、灭火器灭火、消防栓灭火。

5、防火巡查

学校的消防安全重点部位应组织进行每日防火巡查,学生宿舍夜间防火巡查1次,加强教室、实验室、图书馆、锅炉房等夜间防火巡查。巡查的内容包括:

(1)学生集体宿舍及公寓有无违章用火、用电情况;

(2)疏散通道、安全出口是否畅通;

(3)常闭式防火门是否处于关闭状态、防火卷帘下是否堆放物品等情况;

(4)消火栓、灭火器、消防安全标识完好情况;

(5)重点部位人员在岗在位情况。

6、防火检查

保卫处邓文红处长每月组织消防科进行一次全面的防火检查。检查的内容包括:

(1)落实消防安全制度、消防安全管理措施和消防安全操作规程等情况;

(2)用火、用电有无违章情况;

(3)新建、改建、扩建及装修工程有无违章;

(4)疏散通道、安全出口和消防车通道是否畅通;

(5)安全疏散指示标志、应急照明设置及完好情况;

(6)教学楼、图书馆、集体宿舍门窗上是否设置影响逃生和灭火救援的障碍物;

(7)消防水源情况,灭火器材配置及完好情况,室内外消火栓、水泵接合器有无损坏、埋压、遮挡、圈占等影响使用情况;仓库保管员岗位消防知识的掌握情况

(8)化学试剂、燃油、燃气等易燃易爆危险品的使用是否符合有关规定;

(9)食堂、灶间烟道清洗情况;

(10)员工本岗位消防知识的掌握情况;

(11)防火巡查、火灾隐患的整改以及防范措施落实情况;

(12)其他消防安全情况。

7、岗位防火检查

由教职员工每日实施岗位防火检查,检查的内容包括:

(1)用火、用电有无违章;

(2)疏散通道、安全出口是否畅通;

(3)常闭式防火门是否处于关闭状态、防火卷帘下是否堆放物品等情况;

(4)消火栓、灭火器、消防安全标识完好情况;

(5)场所有无遗留火种。

8、由保卫处领导组织学校的消防安全责任人、消防安全管理人及专(兼)职消防管理人员管理人员(包括职能部门负责人、基层单位负责人)接受消防安全专门培训。消防安全培训教育的主要内容有:

(1)国家消防工作方针及有关消防法律、法规和标准;

(2)学校消防安全规章制度及职责;

(3)消防安全管理、消防设施性能、灭火器材的使用方法等知识; (4)有关火灾事故案例及火灾事故应急处理等。力求达到懂法律、懂政策、懂规范、懂业务,会执法执勤、会管理服务、会宣传培训、会群众工作“四懂四会”的要求。

9、从业人员培训教育

组织教职员工五月份进行一次消防安全培训教育和基本功训练,保证其具备必要的消防安全知识和灭火逃生自救能力,具备组织、引导在场群众疏散的知识和技能,熟悉有关的消防安全规章制度和操作规程,掌握本岗位的火灾危险性和防火措施。

消防控制室的值班、操作人员必须经公安机关消防机构培训考核。

新上岗和进入新岗位的教职员工应当进行岗前消防安全培训教育。

教职员工消防安全培训教育内容主要有:

(1)有关消防法律、法规;

(2)本单位消防安全规章制度和本岗位安全操作规程;

(3)本单位、本岗位的火灾危险性及防火措施;

(4)报火警以及自救逃生等消防安全基本常识;

(5)有关消防设施的性能、灭火器材的使用方法;

(6)组织、引导人员疏散,扑救初起火灾的知识和技能;

10、火灾隐患整改

对发现的火灾隐患应当立即整改;不能立即整改的下达书面通知隐患整改。火灾隐患整改完成后消防科组织人员对整改情况进行验证

11、预案制定和演练

根据我校不同的楼层、场所、部位制定相应的灭火和应急疏散预案,预案应包括下列内容:

(1)组织机构,包括:灭火行动组、通讯联络组、疏散引导组、安全防护救护组和现场警戒组;

(2)报警和接警处置程序;

(3)应急疏散的组织程序和措施;

(4)扑救初起火灾的程序和措施;

(5)通讯联络、安全防护救护及现场警戒的程序和措施。

实验室应将涉及到的易燃易爆危险品种类、性质、数量、危险性和应对措施等报学院保卫处备案。

按照灭火和应急疏散预案,2011年10月新生军训期间进行一次大型消防安全演练,并根据演练情况不断完善预案。各部门指定的相关灭火和应急疏散预案报保卫处备案。

第3篇:消防安全防火墙工程实施方案

乡构筑社会消防安全“防火墙” 工程

实 施 方 案

为认真贯彻《中华人民共和国消防法》,《关于印发〈全省构筑社会消防安全“防火墙”工程实施方案〉的通知》(浙消联〔2010〕4号)文件要求和县会议精神,进一步加强我乡消防工作,着力构筑社会消防安全“防火墙”,结合我乡实际,制定以下工作方案:

一、工作目标

以落实政府部门消防工作“四项责任”、提高社会单位消防安全“四个能力”、夯实农村社区火灾防控“四个基础”、提高公安机关消防监督管理“四个水平”为着力点,力争通过三年努力,使消防安全工作社会化水平明显提升,消防安全环境明显改善,杜绝各类火灾事故的发生,全乡火灾形势持续稳定。

二、工作任务

(一)落实政府部门消防工作“四项责任”

1.落实组织领导责任。乡组织成立乡消防安全工作领导小组,并要求每季度组织召开一次例会,沟通信息,研究解决消防工作中的重大问题,部署阶段性消防工作。特别是针对每年度的政府挂牌重大火灾隐患单位整改工作,及时组织召开专题协调会,明确督办人员,制定整改计划,落实整改资金和措施,确保按时完成整改工作。组织开展以人员密集场所、“多合一”场所等为重点的消防安全整治“十大行动”,深入开展全乡建筑消防设施和电气消防安全整治,有效消除社会面上的突出火灾隐患。

2.落实监督管理责任。加强全乡整治工作的督查指导。要严格依法审批,将单位(场所)的消防安全状况作为行政许可的重要审查内容,严把“审批关”。同时,各村要根据自身职责,督促指导本村落实消防安全“四个能力”标准化建设,乡安全分管领导小组负责消防安全重点单位,并负责协调、指导开展全乡构筑消防安全“防火墙”工程工作。

3.落实设施建设责任。严格落实消防相关法律制度,根据有关规定和实际需要,将消防设备建设纳入年度投资计划和财政项目,确保消防装备建设任务按时保质保量地完成。

4.落实检查考评责任。将消防工作纳入各村各部门综合目标管理体系,作为平安建设考评、领导干部政绩考核的重要内容,建立消防工作目标责任书管理体系,年终进行考核。加大对各村开展消防工作情况的督查力度,每半年不少于1次。推行消防

工作村书记、主任问责制,对消防工作履职不到位或辖区发生亡人火灾事故的,追究相关负责人的责任。

(二)提高社会单位消防安全“四个能力”

1.提高社会单位检查消除火灾隐患的能力。督促单位确定消防安全责任人和消防安全管理人,并组织进行消防安全培训,督促单位定期组织开展防火检查巡查,及时消除单位内部火灾隐患。

2.提高社会单位组织扑救初起火灾的能力。各单位要结合自身实际,制定灭火和应急疏散预案并定期组织演练。督促单位加强消防控制室标准化管理,严格落实值班操作人员持证上岗制度,熟悉消防设施设备的操作程序和方法。

3.提高社会单位组织人员疏散逃生的能力。进一步大力推广疏散逃生引导员制度,确保一旦发生火灾,单位内部人员能够得到及时安全的疏散。

4.提高社会单位消防宣传教育培训的能力。督促单位落实消防教育培训制度,使内部员工普遍达到“三懂三会”即“懂基本消防常识、懂消防设施器材使用方法、懂逃生自救技能,会查改火灾隐患、会扑救初起火灾、会组织人员疏散”的要求。

根据《浙江省社会单位消防安全“四个能力”建设标准(试行)》以及《磐安县构筑社会消防安全“防火墙”工程实施方案》的要求,消防安全重点单位要全面落实消防安全“四个能力”建设标准,各村、单位可结合实际,有重点地落实消防安全“四个能力”建设要求,同时,要将公众聚集场所“三提示”主题宣传活动紧密结合其中。2010年起,结合县相关部门建立互联网公共消防服务平台。

(三)夯实农村、社区火灾防控“四个基础”

1.夯实组织建设基础。各村要设立一名消防工作安全员,消防工作日常的工作职责主要围绕“排查、督改、抄告、督查、宣传”的十字原则,做好本村的消防安全工作。

2.夯实设施建设基础。结合“多合一”场所和居住出租房消防安全综合整治工作,各村要督促居住出租房房东和企业主为外来务工人员配备手电筒、逃生绳或逃生梯、灭火器等消防设备,提高外来务工人员扑救初起火灾和火场自救逃生的能力。2010年底前,建立长效监管机制。

3.夯实群防群治工作基础。充分利用社会治安综合治理“网格化管理”机制,将消防安全隐患排查整治和消防宣传纳入其中,细化乡干部的“网格”责任,发动基层站(所)和村(居)委会等基层力量,分片包段,拉网检查,形成全民围剿隐患的强大攻势,坚决防止失控漏管。

4.夯实队伍建设基础。做好义务消防队伍的保障力度工作,确保消防员必需的经费。同时,加强对消防队伍的管理和指导,督促其加强理论知识学习和执勤备战训练,

切实发挥“灭火战斗队、抢险突击队、隐患排查队、消防宣传队、治安维稳队”的作用。

三、工作要求

(一)加强领导,统一部署。成立以乡长为组长,综治办主任为副组长,综治办为成员的全乡构筑社会消防安全“防火墙”工程工作领导小组,领导小组办公室设在乡综治办。在党委、政府的领导下,各村将其作为当前和今后一个时期全乡消防工作的一个中心任务,推动村将构筑社会消防安全“防火墙”工程纳入日常管理内容,建立和完善联动工作机制,形成“政府牵头、部门联动、单位落实、群众参与”的工作格局。

(二)加强培训,广泛宣传。加强对消防监督人员和公安派出所民警的业务培训。乡工作领导小组每年请县消防大队对单位的消防安全责任人、消防安全管理人进行专门培训,确保每个单位有1至2名消防安全“四个能力”建设的“明白人”和责任人。利用各种媒体,采取多种形式,大力宣传构筑消防安全“防火墙”工程的重要意义和内容标准,在全社会形成浓厚的舆论氛围。

(三)典型示范,整体推进。要发挥典型的示范带头作用,及时推广好经验、好做法,指导和推动构筑社会消防安全“防火墙”工程扎实开展。

(四)落实责任,严格奖惩。乡政府与各村签订目标责任书,一级抓一级、层层抓落实。加强工作检查和督导,对工作薄弱、进展缓慢的地区和单位要蹲点帮扶,确保取得实效;要将构筑社会消防安全“防火墙”工程纳入各部门的绩效考核,对成绩突出的先进单位和个人给予表彰,对工作进展迟缓、成绩不明显的给予通报批评,对重视不够、组织不力、工作不到位,导致发生亡人火灾事故的,实行“一票否决”,并依法依规追究有关人员的责任。

(五)考核验收,整体达标。将构筑社会消防安全“防火墙”工程纳入政府工作考评机制,每年进行考核验收。社会单位消防安全“四个能力”建设由单位自我评价,各部门组织考核验收合格后,再向乡工作领导小组申报验收;政府部门落实消防工作责任制、夯实农村社区火灾防控基础工作情况,由乡人民政府于2010年底进行考核验收并总结表彰。

***乡人民政府

二○年月日

第4篇:某防火墙项目节点实施方案

项目节点实施方案

XXX项目实施方案模板

项目实施与管理文档 网御神州科技(北京)有限公司

2009年 月

1

项目节点实施方案

目录

1 2 3 4

4.1 4.2

概述 工程实施安排 .......工程总体要求 .......工程实施步骤 .......3 3 6 7

前期准备工作 .......7 安装实施前期 .......7 4.2.1 4.2.2 4.2.3 4.2.4 4.2.5 4.2.6 4.2.7

资料采集 ...7 分析调研 ...9 规则翻译 ...9 产品到货验收 ......10 加电检测 .10 配置安全设备(网御神州) ........

11

模拟环境测试 ......15 设备上线 .15 应用系统验证性测试 .......16 计划变更 .17 设备试运行 18 现场培训 .18 节点初验 .19 文档整理 .20 4.3

安装实施中期 .....15 4.3.1 4.3.2 4.3.3

4.4

安装实施后期 .....18 4.4.1 4.4.2 4.4.3 4.4.4

5

5.1

风险控制 20

实施现场的风险控制 ......20 5.1.1 5.1.2

5.2

业务全部中断情况的处理 ..部分业务中断情况的处理 ..

20 22

运行期间的风险控制 ......23

6

附件 ........24

“ XXX”项目设备到货确认单 ...24

项目实施与管理文档 2

项目节点实施方案

1 概述

XXX安全设备项目是 2006 年信息安全建设的一个重要项目,内容为更换副

省级以上(含)机构 XXX安全设备。 此文档是 XXX安全设备项目各节点的实施方

案。

2 工程实施安排

此次工程实施以各节点技术力量为主,厂商技术人员在实施现场做技术支

持。各节点工程实施时间安排约为 8 天,第一批安装单位的开始为 1 月 22 日,第二批安装单位的开始时间为 1 月 29 日,项目分为实施前期、实施中期、实施后期三个阶段, 其中:周一至周五为实施前期, 主要是进行相关前期的准备工作和模拟环境测试工作;周末为实施中期,主要是上线切换、应用验证等工作;后

期安排一天时间, 主要是进行现场值守技术保障、文档整理等工作。 工程开始时

间和上线切换时间以总行通知为准。各节点工作内容详见下表:

阶段

工作内容

工作细节

第一批 第二批

时间 时间

职责分工

内容输出

环境准备(测试环

境和上线环境准

备)

1月 24

1月 31

节点科技人员完成

日之前 日之前

1月 31

完成准备工作

实 施 前 期 社会公告(以系统 升级的名义提前

前期准备 公告)

通知相关业务部

门、商业银行作好

1月 24

节点科技人员完成

日之前 日之前

1月 31

完成社会公告

1月 24

安全设备上线测 试前的准备工作

和风险调查

日之前 日之前

完成通知工作和准

节点科技人员完成

备工作

项目实施与管理文档 3

项目节点实施方案

1月 24

1月 31 日之前

《物理环境调查

日之前

配置表回执

表》

节点科技人员完成 《安全设备项目系

资料采集

统配置手册》(初

稿)

原有安全设备配置现场采集

1月 24

1月 31 日之前 1月 31 日之前

日之前

安全设备周边网络设备配置现场

采集

1月 24

厂商技术人员完成节点科技人员协助

完成采集工作

日之前

对采集信息进行

1月 24 日之前

1月 31 日之前 1月 31 日之前 1月 31 日之前

厂商技术人员完成节点科技人员协助

汇总

分析调研

《安全设备项目系

与当地技术负责

1月 24 日之前

节点科技人员完成厂商技术人员完成

统配置手册》

人进行技术沟通

与当地技术负责

1月 24 日之前

人和原安全设备

规则翻译

节点科技人员完成厂商技术人员完成

《安全设备项目系

厂商进行技术沟

统配置手册》

产品到货

完成产品到货验

1月 23 日之前

1月 30 日之前 1月 30 日之前 1月 31 日之前 1月 31 验收

完成产品加电检

节点科技人员完成厂商技术人员完成

《设备到货验

收表》

加电检测

1月 23

日之前

节点科技人员完成厂商技术人员完成

《设备加电测

试表》 根据安全设备《安全设备项目系统配置手册》进行安全

设备配置

安全设备

1月 24

配置

整合并完成安

全设备配置

节点科技人员完成

日之前

厂商技术人员协助

模拟环境

搭建模拟测试环

1月 24

测试

安全设备测试

日 -1月日-2月 26日

2日

节点科技人员完成厂商技术人员协助

根据《测试方案》

完成测试

项目实施与管理文档 4

项目节点实施方案

期 实 施

安全设备上线的 准备工作完成确

1月 25 2月1日 日

节点科技人员完成

完成安全设备上线前的准备工作

1月 27 2月3日 日

5:00-6:

5:00-6: 00(第二

设备上架加电 安全设备上线切 换网络连通性测

00( 第一

次上线

设备上线

次上线 ) 时间) 1月 28 2月4日

节点科技人员完成

厂商技术人员协助

日 5:00-6:

5:00-6: 00( 第二

完成安全设备上线并根据《测试方案》完成网络连通性测试,如果出现问题参见风险控制一章

00( 第二 次上线 ) 次上线 )

1月 27 2月3日 日 6:00-8: 6:00-8: 00(第一 00( 第一 次上线) 次上线 ) 2月4日 1月 28 6:00-8:

00( 第二 日

6:00-8: 次上线 ) 00( 第二

次上线 )

1月 27 2月3日 日-1 月 -2月4 28 日 日

1月 29 2月5日

1月 27 日-1 月

29 日 1月 27 日-1 月

29 日 1月 22 日-1 月

29 日

2月3日 -2月5 日

2月3日 -2月5 日

1月 29 日-2 月 5 日 应用系统

验证性测

业务系统应用测

节点业务人员完成

完成业务系统测

试,如果出现问题参见风险控制一章

计划变更

安全设备配置变

实施方案变更

现场职守

节点科技人员完成 厂商技术人员完成

《计划变更单》

厂商技术人员完成

设备试运

实 施 后 期

《设备运行报告

单》

运行情况记录

节点科技人员完成厂商技术人员完成

应急响应

节点科技人员完成厂商技术人员完成

《故障处理报

告单》

现场培训

完成现场培训

厂商技术人员完成 完成现场培训工作

项目实施与管理文档 5

项目节点实施方案

节点初验

完成节点初验

1月 29

日 1月 29

2月5日

节点科技人员完成 厂商技术人员完成 节点科技人员完成 厂商技术人员完成

《节点初验报告

单》

完成项目文档移交

和整理工作

文档整理

移交项目资料

2月5日

3 工程总体要求

1、前期节点技术人员与厂商技术人员应加强技术沟通。当地技术人员对原有安全设备的配置进行逐条描述和确认,以保证当地技术人员和厂商技术人员沟通的一致性。

2、前期进行规则分析时,一定要认真填表。在节点技术人员与厂商技术人员确

认达成一致后,才可进行安全设备设备的配置工作。

3、安全设备在上线前必须按照《测试方案》经过模拟环境测试,才允许在生产

环境中进行切换。

4、由于此次安全设备上线是在生产环境中进行的切换,技术风险很高,各节点

科技部门负责协调保证原安全设备厂商现场进行技术支持,在切换过程中出现问题时确保在较短的时间内切换回原有安全设备进行运行。切换时,原有安全设备(含主、备机)不能关机。待业务系统正常运行一周后才能撤下原安全设备设备。

5、经与有关业务司局协商,本次安全设备工程在生产环境切换调试和网络切换时间严格安排在规定的 3 小时内进行,其中第一小时为切换和技术确认,其

余 2 小时为业务确认时间。如第一小时后技术人员确认此次切换不成功,经当地科技处负责人确认后,应尽快切换回原安全设备并按原计划进行业务确

认(或换回安全设备均需要业务测试) 。确认恢复业务后, 请科技人员在模拟环境中继续查找问题,重新配置,按照原定计划安排进行第二次生产环境的

切换。

6、实施期间如有新上系统或正在试点的业务系统,请各分支行予以高度关注。

7、各分支行对于新上线安全设备的配置规则只允许开通总行规定的业务端口,

不允许扩大安全设备的规则范围。

8、本项目安排的安全设备切换时间为周六临晨

5-8 点和周日临晨 5-8 点两次,

6 项目实施与管理文档

项目节点实施方案

如两次切换均未成功,应及时向工程实施组报告。

4 工程实施步骤

4.1 前期准备工作

目标:

完成设备实施前的准备工作。

前提:

制定实施详细时间。

工作内容:

作好前期准备工作,包括环境准备、系统调查、工作通知、发社会公告等详

细准备工作,为设备实施前作好详细的准备工作。

输出:

完成前期的准备工作,包括完成社会公告通知各个相关单位等工作。

4.2 安装实施前期

4.2.1 资料采集

目标:

完成网络环境的调查和安全设备实施工作需要的资料采集工作。

前提:

节点科技人员已经提交《安全设备项目系统配置手册》 ,作好资料采集前的

准备工作。

工作内容:

( 1)实施前需确认的相关信息

为保证工程实施的顺利进行, 避免出现因某环节缺失而造成整体工程延误的情况,实施节点应在项目实施前完成基本情况的调查和准备工作, 由分行节点技术负责人完成填写。

项目实施与管理文档 7

项目节点实施方案

《物理环境需求表》 需要节点科技人员进行填写并根据需求进行准备,

安全

设备测试环境所需要的设备情况请参照《安全设备测试方案》中的具体细则。

物理环境需求表

分行名称

填写人

填写时间

物理环境

说明

每个安全设备需要

2U

共计

4U

备注

机柜空间

的机柜空间,两台安全 设备共计需要 4U 空间

用于安全设备与上联设可用交叉线

备和下联设备进行网络

8 条

连接

用于安全设备与上联设可用直通线

备和下联设备进行网络

8 条

连接

每个千兆安全设备均采

电源

用双链路供电方式,两

4 个

台安全设备共需要 4 个 电源接口

原安全设备上联和下联 设备接口数(实施中为

设备接口

双机热备,各需要两个

2 个

接口)

( 2)业务系统情况调查

项目实施与管理文档 8

项目节点实施方案

测试节点实施前,节点技术负责人应及时协调业务系统管理员详细描述所有

外联业务应用, 准确反映该外联业务系统的网络通信行为特征。 掌握业务系统通

信行为特征是提高安全设备安全规则正确性的有效手段。

输出:

完成系统采集工作《物理环境调查表》

《安全设备安全设备项目系统配置

手册》(初稿)

4.2.2 分析调研

目标:

根据资料采集情况对网络分析,了解现有网络情况。

前提:

完成资料采集工作。

工作内容:

与节点系统管理员进行现场技术交流, 了解网络拓扑结构。 安全设备管理员应将原有安全设备设备策略和配置文件完整地导出为文本文件并进行中文说明,对各业务系统说明文件和原有设备策略进行分析。 同时,节点安全设备管理员还应参照安全管理规范,根据业务系统的具体运行情况,及时调整防护安全策略。

分行技术负责人和厂商技术人员对已经填写完成的 《安全设备项目系统配置

手册》进行审核。

输出:

调查完成,输出《安全设备安全设备项目系统配置手册》 。

完成时间节点:

4.2.3 规则翻译

目标:

对原有安全设备的策略内容进行翻译,保证新上线安全设备策略的正确性。

前提:

节点科技人员对本行的网络结构及其业务系统应用了解,

并能用自然语言进

项目实施与管理文档 9

项目节点实施方案

行说明。

工作内容:

节点科技人员将目前业务系统的正常运行情况和目前现有安全设备的设置进行整体了解和描述, 并对此次实施的安全设备厂商人员进行策略和业务应用的交流,共同完成安全设备的配置规则翻译工作。

输出:

调查完成,输出《安全设备安全设备项目系统配置手册》 。

4.2.4 产品到货验收

目标:

用户和厂商技术人员共同完成现场验货。

前提:

货物已经送到客户现场,用户和厂商技术人员共同在场。

工作内容:

厂商技术人员到达现场后, 双方共同进行产品的到货验收。 设备到货验收步骤如下:

开箱前,检查设备数量、发货地、外包装完整性;

开箱后,检查设备机箱外观完整性;

根据包装内装箱清单检查产品型号 / 版本、设备数量、接口数量是否与合同供货清单一致;

根据包装内装箱清单检查合格证、线缆等配件、随机资料是否齐备。双方人员应根据以上各项对设备进行检验。并根据实际验收情况共同签署附件中的《设备到货验收表》 。

输出:

《设备到货验收表》

4.2.5 加电检测

目标:

用户和厂商技术人员共同完成设备的加电测试。

项目实施与管理文档 10

项目节点实施方案

前提:

用户和厂商技术人员共同在场。

工作内容:

到货验收完成后, 节点对设备进行加电检测, 并在厂商技术人员协助下检查系统工作状态。

加电检测步骤如下:

设备加电指示灯是否正常;

设备是否正常启动;

管理终端能否顺利连接安全设备系统;

各接口板卡是否工作正常。

节点技术负责人和厂商技术人员应共同对设备加电验收过程的各个环节进行确认,并根据实际验收情况共同签署附件中的《设备加电测试表》 。输出:

《设备加电测试表》。

4.2.6 配置安全设备(网御神州)

目标:

依照《安全设备项目系统配置手册》 节点技术工程师离线配置安全设备, 厂商工程师指导并对安全设备的配置进行核查。前提:

《安全设备项目系统配置手册》 填写完成,并与原有安全设备的配置逐条匹配无误后。

工作内容:

配置安全设备时,请按下列步骤进行。

1.开箱

检查配置清单,核对配件是否齐全,检查机箱主机编号与包装箱的是否一致。

2.开机

插上电源,安全设备启动后会有嘀嘀嘀三声提示音, 冗余电源如果只插一个电源会有长时间的蜂鸣报警。

项目实施与管理文档 11

项目节点实施方案

3.登陆安全设备

串口方式:用户名 admin,密码 firewall 。

Web 方式:安全设备默认的管理地址是 10.50.10.45,管理端口是 ge1 口,默认管理主机是 10.50.10.44,登陆方式是 https://10.50.10.45:8889,通过 web 管理方式需要安装证书,证书在随机光盘中。

4.配置安全设备步骤

4.1、网络配置:在“网络配置” —“接口 ip”中点击 添加 按钮,输入要

添加的 ip 和相应的接口,并设置网口

ip 是否允许管理, ping 等。注意,接口 ip

设置后就不能够修改,只能删除。

4.2、网关设置:在“网络配置” —“策略路由”中点击 添加 按钮,如目的 地 址 0.0.0.0/0.0.0.0, 下 一 跳 202.99.8.1, 就 是 默 认 路 由 , 目 的 地 址10.10.10.0/255.255.255.0,下一跳 192.168.1.10,就是目的网段 10.10.10.0,下一

跳指向 192.168.1.10。

4.3、添加地址对象:在“对象定义” —“地址” —“地址列表”中点击 添

加 按钮,输入名称,地址范围或者地址段即可,在添加界面有一个复选框,可

以 选 择 是 添 加 地 址 段 或 地 址 范 围 , 如 名 称

neiwang 地 址

neiwang2 地址 192.168.1.0/255.255.255.0,还可以添加一个地址范围,如名称

192.168.2.1—192.168.2.100。

4.4、添加地址组:在“对象定义” —“地址组”中点击 添加 按钮,输入名称,并引用位于左边的地址对象, 如名称 group,地址对象 neiwang,neiwang2,就是 group 这个地址组包含了 neiwang 和 neiwang2 这两个地址对象。

定义完地址对象和地址组后就可以在安全规则中引用他们, 这样会简化安全规则的设置步骤,方便许多。

4.5、定义服务:自定义服务可以指定开放那些协议,那些端口,例如要开

放 tcp 的 1436 端口,就在“对象定义” — “服务列表”中点击 添加 按钮,协议选择 tcp,目的端口输入 1436,低端口和高端口都输入 1436,就是只放开 1436

端口,如果低端口输入 1436,高端口输入 1440,就是放开 tcp 的 1436—1440 的

所有端口。一条自定义服务可以放开多个端口。

项目实施与管理文档 12

项目节点实施方案

4.6、添加安全规则:

包过滤规则:在“安全策略”――“安全规则”中点击

添加 按钮,类型

选择包过滤,输入源地址和目的地址,选择相应的服务即可;例如,源地址输入

10.10.10.10,掩码 255.255.255.255,目的地址 20.20.20.20,掩码 255.255.255.255,

服务选择 icmp 就是允许主机 10.10.10.10 ping 20.20.20.20,关于这两台主机的其

他类型数据包都被禁止掉。 在源地址和目的地址的下拉菜单里还可以选择在地址

对象中定义好的地址对象和地址组, 在服务里还可以选择自定义服务, 例如前面

举例的 tcp 1436 端口的服务

NAT 规则:在添加安全规则时,类型选择

nat,输入源地址,目的地址,服

务,和源地址转换后的地址即可, nat 规则会把源地址转换为安全设备的一个地 址,从而达到隐藏源地址的目的,例如,源地址 10.10.10.10/255.255.255.255,目

的地址 20.20.20.20/255.255.255.255,服务选择前例定义好地 tcp_1436,源地址转换为选择 20.20.20.1 这样当 10.10.10.10 这台主机访问 20.20.20.20的 tcp 1436 端口时,安全设备会把源地址转换成 20.20.20.1,这样就隐藏了 10.10.10.10 的真实地址。

IP 映射规则:在安全规则中类型选择 IP 映射,输入源地址,公开地址,和

公开地址映射后的地址即可,公开地址是安全设备上的

IP,公开地址映射后的 IP 的方式访问内部主机, 地址是内部主机地址,这样就可以通过访问安全设备

从而实现隐藏目的服务器地址的目的。 例如,源地址 10.10.10.10/255.255.255.255,

公开地址 10.10.10.1,公开地址映射为 20.20.20.20,这样 10.10.10.10这台主机只

能通过访问 10.10.10.1 这个地址来访问 20.20.20.20 这台服务器。这样就保护了

20.20.20.20 服务器的安全。 还可以把源地址也隐藏, 例如在源地址中选择源地址

转换为 20.20.20.1,这样就实现了源和目的地址双转换,同时隐藏了源地址和目的地址。

端口映射规则:在安全规则中类型选择端口映射,输入源地址,公开地址,公开地址映射后的地址,对外服务,对外服务映射后的服务,例如,源地址

项目实施与管理文档 13

项目节点实施方案

10.10.10.10/255.255.255.255,公开地址 10.10.10.1,公开地址映射为 20.20.20.20,

对外服务和对外服务映射为都选择前例定义好的

tcp_1436 端口,这样 10.10.10.10

这台工作站就可以通过访问

10.10.10.1 这个地址的 tcp 1436 端口来访问

20.20.20.20 的 tcp 1436 端口,还可以把源地址也隐藏, 例如在源地址中选择源地 址转换为 20.20.20.1,这样就实现了源和目的地址双转换,同时隐藏了源地址和目的地址。

4.7、配置高可用性:

配置 HA :在“高可用性” — “HA 基本配置”中选择 HA 同步网口和 IP,注意,主墙和备墙的 IP 必须是在同一网段内的, 而且只能有一台墙是控制节点。

主墙和备墙都要选择“自动配置同步”和“自动状态同步” ,启用配置同步时 , 在安全策略中添加 \"允许另一台安全网关访问本安全网关 secgate_ha_conf服务 \" 的包过滤规则。

配置 VRRP:在“高可用性” —“路由模式 HA ”— “VRRP 实例”中点击添加按钮,例如要添加一个 10.10.10.100 的虚拟 IP 地址,接口选择 GE2,VRID 10,虚拟 IP 地址 10.10.10.100/255.255.255.0,名称 MASTER ,即可,注意 VRRP 实例可以添加多个, 但是 VRID 不能有重复的, 而且主备墙的 VRRP 实例除了名称可以不一样之外,其他都要一致。

配置 VRRP 关联:在“高可用性” —“路由模式 HA ”—“ VRRP 关联”中点击添加 按钮,输入名称,优先级,并在 VRRP 列表中选择要引用的 VRRP 实例即可,注意主墙的优先级必须比备墙的优先级低。 添加完毕后, 选中要启动的 VRRP 实例,就可以激活 VRRP 实例中的虚拟 IP。注意使用 VRRP 功能的时候需要添加一条目的地址时 224.0.0.0/255.0.0.0,服务 VRRP 的规则。

注意! 为了避免冲突,需要把 VRRP 的规则和 secgate_ha_conf服务 \"的包

过滤规则。放在最前面。

配置安全设备的详细步骤和方法请参考 《网御神州 SecGate 3600 安全网关

项目实施与管理文档 14

项目节点实施方案

WEB 界面手册》。

输出:

安全设备的配置文件

4.2.7 模拟环境测试

目标:

客户和厂商技术人员共同搭建模拟测试环境对进行模拟测试。

前提:

客户和厂商技术人员已经进行完交流,模拟环境已经准备完毕。

工作内容:

搭建模拟实验环境, 将安全设备放置在搭建的模拟实验环境中, 进行连通性测试,并测试安全设备上线前的可靠性, 测试安全设备的双机热备切换是否正常。节点技术负责人和厂商技术人员应根据 《测试方案》共同对设备进行模拟环境测试,并根据实际情况填写《测试方案》中的结果

输出:

根据《测试方案》和《安全设备配置方案模板》完成安全设备上线前的配置和离线测试工作。

4.3 安装实施中期

4.3.1 设备上线

目标:

厂商实施人员在用户现场完成实施。

前提:

前期准备工作已经完毕,上线条件已经具备。

工作内容:

节点工程实施组在厂商技术人员的配合下,进行设备的现场调试与安装。

安装过程中,需要注意以下几点:

项目实施与管理文档 15

项目节点实施方案

1) 保持主、备安全设备安全策略相同; 2) 检查原有网络通讯是否正常;

3) 安全设备安装切换可能会在短时间内影响到业务系统的正常运行,各节点应选择业务空闲时间进行割接;

4) 安全设备双机热备部署方式各不相同,应由厂商技术人员协助完成; 5) 节点技术负责人和厂商技术人员应根据 《测试方案》共同对设备进行测试,并根据实际情况填写《测试方案》中的结果,填写《设备安装实施报告》

6) 切换完成后对上线设备和连线打标签

说明:

1、生产环境切换调试时,网络切换时间计划进行 3 小时,其中 1 小时为切换和

技术确认,其余 2 小时为业务确认时间。 如在 1 小时后技术确认不成功, 经当地

科技处负责人确认后, 尽快切换回原安全设备并按原计划进行业务确认。

在模拟

环境中查找问题重新配置后按照计划进行第二次生产环境切换。

2、由于此次安全设备上线,是在生产环境中切换,风险性很高,当地科技部门负责协调保证原安全设备厂商的技术支持必须到位,在切换过程中出现问题时,切换回原有安全设备应在较短的时间内完成。切换时,原(主、备)安全设备不能关机,并持续到业务系统正常运行一周后才能撤下原安全设备设备。

输出:

完成安全设备的上线和网络测试,填写《设备安装实施报告》

4.3.2 应用系统验证性测试

目标:

完成应用系统联调测试

前提:

节点科技人员和节点业务人员已经完成了业务系统验证性测试的前期准备

工作。

工作内容:

完成安全设备上线安装后, 节点工程实施人员和业务部门人员应共同对设备

项目实施与管理文档 16

项目节点实施方案

和业务应用进行持续监控和业务应用验证, 进行节点本地测试, 包括访问控制测

试、系统功能测试、系统性能观测等;

节点技术负责人和厂商技术人员应根据《测试方案》共同对设备进行测试,

并根据实际情况填写《测试方案》中的结果

输出:

由当地业务负责人协调,完成业务验证性测试。

4.3.3 计划变更

目标:

由于厂商或客户任何一方的原因引起的项目不能按照实施计划进行实施的,

经双方同意签定计划变更表。

前提:

由节点科技人员核实并确认,确实需要进行计划变更。

工作内容:

测试工作原则上按测试方案顺序进行, 但也可根据实际准备情况作相应调整,已经测试过的内容在相应系统未做变动的情况下, 一般不需重新测试。由于到货或技术原因使测试方案中部分测试不具备条件时, 在协议各方的同意下, 可暂时不对该部分进行测试, 待条件具备后再对该部分进行补测。

在测试过程中发现未包含在测试项目中但有必要通过测试的单项功能,经统一协商考虑后, 可以备忘录的形式体现, 并在集中测试时执行备忘录所列项目的测试。

节点技术负责人和厂商技术人员共同签署《计划变更单》输出:

《计划变更单》

项目实施与管理文档 17

项目节点实施方案

4.4 安装实施后期

4.4.1 设备试运行

目标:

通过试运行阶段对上线的设备进行实际环境运行监控。

前提:

设备上线和业务系统验证性测试已经按照 《实施方案》和《测试方案》完成。

工作内容:

节点初验完成之日起,该节点进入试运行期。

节点对安全设备设备日常管理维护中所发现的问题进行详细记录,

并在试运行结

束后形成附件中的《设备运行报告单》

节点试运行报告主要包括以下内容:

新增设备是否运行正常;

运行期间发生的问题。

说明:

1、业务系统在测试完全正常后,进行安全设备同步配置和保存配置的操作。

2、安全设备的日志收集服务器需要安装

SQL数据库(天融信安全设备需求)

输出:

《设备运行报告单》

4.4.2 现场培训

目标:

现场完成现场培训服务

前提:

厂商技术人员向节点科技人员确定培训时间。

工作内容:

按照合同要求,安全设备厂商在实施现场进行现场培训服务(每单位

15 人

以内)。

项目实施与管理文档 18

项目节点实施方案

培训目标:培养节点技术人员独立完成设备安装配置、

日常运行维护和简单

故障排除能力。

培训地点:设备安装地点。

培训对象:节点网络安全运行维护相关人员。

培训方式:在节点实施过程中,安全设备制造厂商技术人员现场培训。

培训内容:产品的安装调试、维护管理和故障排错等。

输出:

完成现场培训

4.4.3 节点初验

目标:

完成节点初验工作。

前提:

所有的安全设备开箱检查、加电测试、模拟环境测试、设备上线、业务系统

验证性测试、等工作全部完成。

工作内容:

以上各环节完毕后, 对各个环节中填写的文档进行整理, 实施节点技术负责

人根据安全设备安装运行和系统验证情况形成节点验收报告。

节点验收的前提条

件如下:

到货验收和加电检测完成

安装实施完毕

系统验证通过

现场培训完成

节点技术负责人应与厂商技术人员共同签署附件中的《设备初验报告单》

输出:

《设备初验报告单》

项目实施与管理文档 19

项目节点实施方案

4.4.4 文档整理

目标:

整理项目的所有文档。

前提:

所有项目前期、中期、后期需要填写的文档已经填写完毕。

工作内容:

整理所有文档节点技术负责人和厂商技术人员进行签字确认,并移交客户。

输出:

完成所有文档的整理并交付用户。

5 风险控制

5.1 实施现场的风险控制

在本项目各节点进行网络割接的过程中, 可能会对业务系统的正常运行造成影响,以下分别针对出现业务全部中断和某些业务中断两种情况, 给出具体的处理建议。

此风险控制只适用于此次上线的安全设备设备, 如果业务出现问题, 请节点科技人员对影响的业务范围进行统计, 并判断是否由于安全设备原因造成, 在明确了是由于安全设备的原因造成后,根据现场实际情况采取以下风险控制流程。

5.1.1 业务全部中断情况的处理

业务全部中断表现为所有业务的客户端与服务器之间无法建立连接。

该故障

在经节点技术负责人确认后可按以下步骤进行处理。

业务全部中断情况处理流程如下图所示:

项目实施与管理文档 20

项目节点实施方案

具体处理细节说明如下:

1) 如果网络中断,所有业务无法正常运行,厂商技术人员必须快速检测设备及网络,检测结束后立刻使用原安全设备,恢复原有网络,保持网络畅通。

2) 网络恢复后,某些业务仍无法正常运行,则需要将出现异常的业务系统 客户端重新启动(可能由于某些长连接应用无断线自动重连机制造成) ,一旦确定是由于业务系统的原因造成的问题, 则重新检查新安全设备的配置, 确定没有问题并经节点负责人同意后,重新进行网络割接。

3) 使用原有安全设备后,所有业务恢复正常,则检查新安全设备:是否具有合法 license 授权;

规则是否加载成功;硬件是否正常运行;

当确认新安全设备能够正常工作并经节点负责人同意后, 可再次进行网络割

接。处理结束后,节点应形成问题处理报告并报总行项目实施组。

项目实施与管理文档 21

项目节点实施方案

5.1.2 部分业务中断情况的处理

部分业务中断表现为某些业务的客户端与服务器之间无法建立连接。 该故障在经节点技术负责人确认后可按以下步骤进行处理。

部分业务中断处理流程如下图所示:

具体处理细节说明如下:

1) 如果网络中断,所有业务无法正常运行,厂商技术人员必须快速检测设备及网络,检测结束后立刻使用原安全设备,恢复原有网络,保持网络畅通。

2) 如果网络恢复后,部分业务仍无法正常运行,则需要将出现异常的业务 系统客户端重新启动(可能由于某些长连接应用无断线自动重连机制造成) ,一旦确定是由于业务系统的原因造成的问题, 则重新检查新安全设备的配置, 确定没有问题并经节点负责人同意后,重新进行网络割接。

3) 如果网络恢复后,所有业务恢复正常,则需要检查新安全设备中增添和删除相关规则的合理性, 重新修改新安全设备上的安全策略, 确定没有问题并经

项目实施与管理文档 22

项目节点实施方案

节点负责人同意后,重新进行网络割接。

4) 如果通过步骤“ 3)”操作后,网络中相关业务仍然无法正常工作,则需要再次恢复原有网络。 厂商技术人员继续查找问题产生的原因, 直至查明原因并解决问题。

5.2 运行期间的风险控制

运行期间风险控制的原则是以快速恢复为主。 出现所有业务或部分业务中断的情况,必须由节点技术负责人确认后按照售后服务条款要求厂商进行快速响应,同时报总行科技司。

在运行期间,网络故障一经确认是由于安全设备造成的, 则可能是由以下原因造成:

安全设备系统稳定性差;

安全设备设备硬件故障;

线路接触不良;

大规模的蠕虫病毒扩散耗费网络资源;

误操作导致的规则失效、设备休眠、关机。

针对上述原因,可以由厂商工程师到现场排查问题。在厂商工程师到达前,节点技术人员可以先进行相关检查,基本步骤如下:

检测安全设备设备电源是否正常、风扇是否正常、网卡是否正常;网线与安全设备接口处是否松动;

通过监控工具检测网络带宽是否异常、是否存在

DDos攻击。

项目实施与管理文档 2

3项目节点实施方案

6 附件

“ XXX ”项目设备到货确认单

网御神州科技 (北京)有限公司,已于 200X 年 月 日从网御神州科技(北京)有限公司向贵单位发送“ XXX ”项目所使用的 台安全设备 , 共计 箱。请贵单位依据实际到货情况填写下表,并通过传真回传至北京海淀区上地开拓路 7 号先锋大厦二段 1 层。

货物名称

发货数量

设备到货日期 数量是否齐全 外包装是否完整

年 月 日 □是□否

□是 □否 XXX

本签收单一式四份

最终用户单位:

最终用户代表签字 / 盖章:

电话: ____________________

日期: ________________

项目实施与管理文档 24

项目节点实施方案

XXX 安全设备加电测试表

请根据实际情况进行填写

用户单位

设备

产品序列号 名称及版本号 规格型号

加电测试

序号

检查项目

现象描述

加电能否正常启动

简要描述不能启动的现象:

1

管理器联接是否正常 是

简要描述不能正常连接的现象:

2

检查 license 请求文件是否上载成功 是

“系统配置”菜单的“升级许可”选项 中的 LICENSE 加载不成功的现象:

3

检查版本号是否与产品清单一致 是

如果不一致,登录看到的版本号:

4

检查端口数量是否与产品清单的规格型号 一致

如果不一致,登录看到的端口数量:

5

是 否

其他:

用户代表签字 /日期

厂商代表签字 /日期

项目实施与管理文档 25

项目节点实施方案

主要设备

XXX 安全设备安装实施报告

设备安装实施报告

客户名称

项目名称 客户负责人

客户联系电话 安装工程师

服务联系电话 到达时间

离开时间

序号

设备型号

设备编号或描述

数量

1

2

信息

3

4 5

安装过程 内容

备注

用户代表签字

安装工程师签字

日期

日期

项目实施与管理文档 26

项目节点实施方案

XXX 安全设备初验报告单

验收单位名称 验收行负责人

项目名称 验收单位联系 电话

供货方验收工 程师联系电话 产品序列号

供货方验收 工程师 序号 1 2 序号 1 2 3

验收项目

说明 结论 是 是 是

网神安全设备到货验收

网神安全设备模拟测试结果验收 网神安全设备上线测试结果验收 正常

现象描述:

设备 整 体验 收 结 论

不正常 现象描述:

验收单位负责人签字

供货方验收工程师 签字

期 日 期

项目实施与管理文档 27

项目节点实施方案

XXX 安全设备设备运行报告单

验收单位名 称

项目名称

验收单位负 责人

验收单位联 系

电话

供货方验收

工程师

供货方验收 工程师联系 电话

产品序列号

序号 1 2 3 序号 1 2 3 4 5

验收项目

说明 结论 是 是 是 是 是

正常

现象描述:

设 备 整 体 验 收 结 论

不正常 现象描述:

验收行负责人签字 供货方验收工程师签字

期 日 期

项目实施与管理文档 28

项目节点实施方案

XXX 安全设备故障处理报告单

编号: 基本信息 厂商负责人: 联系电话: 产品名称:

节点名称: Email 地址: 版本号:

产品型号:

问题描述

问题描述(包括问题现象、拓朴结构、应用软件等)

问题处理

问题产生原因及解决方法描述:

实际处理时间: 用户代表签字

月日至 年 月日

厂商代表签字

日期

日期

项目实施与管理文档 29

项目节点实施方案

XXX 安全项目计划变更单

项目名称

待变更项目计划名称 客户单位名称 施工单位名称

/版本

负责人 负责人

变更的内容及其理由、变更后的计划

评估计划变更将对项目造成的影响

用户单位审批意见

用户单位(章) :

施工单位(章)

日 期

日期

项目实施与管理文档

30

本文来源:http://www.scfx8.com/gongzuozongjie/79523.html