某防火墙项目节点实施方案模板

1、XXX项目实施方案模板SECWORLDSECWORLD网御神州科技（北京）200弈月有限公司目录1概述.3.2工程实施安排.3.3工程总体要求.6.4工程实施步骤.7.4.1前期准备工作.74.2安装实施前期.74.2.1资料采集.74.2.2分析调研.94.2.3规则翻译.94.2.4产品到货验收.104.2.5力口电检测.104.2.6配置安全设备（网御神州） .114.2.7模拟环境测试 .154.3安装实施中期.154.3.1设备上线.154.3.2应用系统验证性测试 .164.3.3计划变更.174.4安装实施后期.184.4.1设备试运行 .184.4.2现场培训.184.4.3节

2、点初验.194.4.4文档整理.205风险控制.205.1实施现场的风险控制 .205.1.1业务全部中断情况的处理 .205.1.2部分业务中断情况的处理 .225.2运行期间的风险控制 .236附件.24“ XXX”项目设备到货确认单 .241 概述XXX 安全设备项目是 2006 年信息安全建设的一个重要项目，内容为更换副 省级以上（含）机构 XXX 安全设备。此文档是 XXX 安全设备项目各节点的实施方 案。2 工程实施安排此次工程实施以各节点技术力量为主，厂商技术人员在实施现场做技术支持。各节点工程实施时间安排约为 8 天，第一批安装单位的开始为 1 月 22 日， 第二批安装单位的

3、开始时间为 1 月 29 日，项目分为实施前期、实施中期、实施 后期三个阶段，其中：周一至周五为实施前期，主要是进行相关前期的准备工作 和模拟环境测试工作；周末为实施中期，主要是上线切换、应用验证等工作；后 期安排一天时间，主要是进行现场值守技术保障、 文档整理等工作。工程开始时 间和上线切换时间以总行通知为准。各节点工作内容详见下表：阶段工作内容工作细节第一批 时间第二批 时间职责分工内容输出实施前期前期准备环境准备（测试环 境和上线环境准 备）1 月 24日之前1 月 31日之前节点科技人员完成完成准备工作社会公告（以系统 升级的名义提前 公告）1 月 24日之前1 月 31日之前节点科技

4、人员完成完成社会公告通知相关业务部 门、商业银行作好安全设备上线测 试前的准备工作 和风险调查1 月 24日之前1 月 31日之前节点科技人员完成完成通知工作和准备工作资料采集配置表回执1 月 24日之前1 月 31日之前节点科技人员完成物理环境调查 表安全设备项目系 统配置手册（初 稿）原有安全设备配 置现场采集1 月 24日之前1 月 31日之前丿商技术人贝元成节点科技人员协助完成采集工作安全设备周边网 络设备配置现场 采集1 月 24日之前1 月 31日之前分析调研对采集信息进行汇总1 月 24日之前1 月 31日之前厂商技术人员元成节点科技人员协助安全设备项目系统配置手册与当地技术负责

5、人进行技术沟通1 月 24日之前1 月 31日之前节点科技人员完成丿商技术人员元成规则翻译与当地技术负责 人和原安全设备 厂商进仃技术沟 通1 月 24日之前1 月 31日之前节点科技人员完成丿商技术人员元成安全设备项目系统配置手册产品到货验收完成产品到货验收1 月 23日之前1 月 30日之前节点科技人员完成丿商技术人员元成设备到货验收 表加电检测完成产品加电检 测1 月 23日之前1 月 30日之前节点科技人员完成丿商技术人员元成设备加电测试 表安全设备配置整合并完成安全 设备配置1 月 24日之前1 月 31日之前节点科技人员完成丿商技术人员协助根据安全设备安 全设备项目系统配 置手册进

6、行安全 设备配置模拟环境测试搭建模拟测试环 境安全设备测试1 月 24日-1 月26 日1 月 31日-2 月2 日节点科技人员完成丿商技术人员协助根据测试方案完成测试中期实施的确线成备作为成完员J完冃ES试7 - ) 8 - ) 21线2线月日a(止月日a(止15500次15500次日：二戋日：二O O成助完协员员T一r仙|7完用完讥勿帖吋试应烬朴试7 - ) 8 -) 2 3线2$线月曰a(止月曰a(止16600次16600次日：一日：二力3 3 MM第燼4 4 MM第上月00X00X上月000(000(26:0026:00次26:O次成完员则题章顾SM变更置回设妙全J实安实2222月日讪

7、0-10-13030T T1 1成成完完员员Hry/实施后期越行9 92 2月日1日5 5月2 2成完员r设2222月日一TB-1*5 53 3月成成完完员员T一ry/应响1急应2222月日5 53 3月日成成完完员员T一ry/告报m二S肌单故完2222月日月-19-19一:一-一成完员r7完节点初验完成节点初验1 月 29日2 月 5 日节点科技人员完成 丿商技术人员元成节点初验报告 单文档整理移交项目资料1 月 29日2 月 5 日节点科技人员完成 丿商技术人员元成完成项目文档移交 和整理工作3 工程总体要求1、前期节点技术人员与厂商技术人员应加强技术沟通。当地技术人员对原有安 全设备的配

8、置进行逐条描述和确认，以保证当地技术人员和厂商技术人员沟 通的一致性。2、前期进行规则分析时，一定要认真填表。在节点技术人员与厂商技术人员确 认达成一致后，才可进行安全设备设备的配置工作。3、安全设备在上线前必须按照测试方案经过模拟环境测试，才允许在生产 环境中进行切换。4、由于此次安全设备上线是在生产环境中进行的切换，技术风险很高，各节点 科技部门负责协调保证原安全设备厂商现场进行技术支持，在切换过程中出 现问题时确保在较短的时间内切换回原有安全设备进行运行。切换时，原有 安全设备（含主、备机）不能关机。待业务系统正常运行一周后才能撤下原 安全设备设备。5、经与有关业务司局协商，本次安全设备

9、工程在生产环境切换调试和网络切换 时间严格安排在规定的 3 小时内进行，其中第一小时为切换和技术确认，其 余 2 小时为业务确认时间。如第一小时后技术人员确认此次切换不成功，经 当地科技处负责人确认后，应尽快切换回原安全设备并按原计划进行业务确认（或换回安全设备均需要业务测试）。确认恢复业务后，请科技人员在模拟 环境中继续查找问题，重新配置，按照原定计划安排进行第二次生产环境的 切换。6 实施期间如有新上系统或正在试点的业务系统，请各分支行予以高度关注。7、各分支行对于新上线安全设备的配置规则只允许开通总行规定的业务端口， 不允许扩大安全设备的规则范围。8、本项目安排的安全设备切换时间为周六临

10、晨 5-8 点和周日临晨 5-8 点两次,如两次切换均未成功，应及时向工程实施组报告4 工程实施步骤4.1 前期准备工作目标：完成设备实施前的准备工作。前提：制定实施详细时间。工作内容：作好前期准备工作，包括环境准备、系统调查、工作通知、发社会公告等详 细准备工作，为设备实施前作好详细的准备工作。输出：完成前期的准备工作，包括完成社会公告通知各个相关单位等工作。4.2 安装实施前期4.2.1 资料采集目标：完成网络环境的调查和安全设备实施工作需要的资料采集工作。前提：节点科技人员已经提交安全设备项目系统配置手册，作好资料采集前的 准备工作。工作内容：（1）实施前需确认的相关信息为保证工程实施的

11、顺利进行，避免出现因某环节缺失而造成整体工程延误的 情况，实施节点应在项目实施前完成基本情况的调查和准备工作，由分行节点技术负责人完成填写。物理环境需求表需要节点科技人员进行填写并根据需求进行准备，安全设备测试环境所需要的设备情况请参照安全设备测试方案中的具体细则。物理环境需求表分行名称填写人填写时间物理环境说明共计备注机柜空间每个安全设备需要2U的机柜空间，两台安全 设备共计需要 4U 空间4U可用交叉线用于安全设备与上联设 备和下联设备进行网络 连接8 条可用直通线用于安全设备与上联设 备和下联设备进行网络 连接8 条电源每个千兆安全设备均采 用双链路供电方式，两 台安全设备共需要 4 个

12、 电源接口4 个设备接口原安全设备上联和下联 设备接口数(实施中为 双机热备，各需要两个 接口)2 个(2)业务系统情况调查测试节点实施前，节点技术负责人应及时协调业务系统管理员详细描述所有 外联业务应用，准确反映该外联业务系统的网络通信行为特征。掌握业务系统通 信行为特征是提高安全设备安全规则正确性的有效手段。输出：完成系统采集工作物理环境调查表安全设备安全设备项目系统配置手册（初稿）422 分析调研目标：根据资料采集情况对网络分析，了解现有网络情况。前提：完成资料米集工作。工作内容：与节点系统管理员进行现场技术交流，了解网络拓扑结构。安全设备管理员 应将原有安全设备设备策略和配置文件完整地

13、导出为文本文件并进行中文说明， 对各业务系统说明文件和原有设备策略进行分析。同时，节点安全设备管理员还 应参照安全管理规范，根据业务系统的具体运行情况，及时调整防护安全策略。分行技术负责人和厂商技术人员对已经填写完成的安全设备项目系统配置 手册进行审核。输出：调查完成，输出安全设备安全设备项目系统配置手册。完成时间节点：4.2.3 规则翻译目标：对原有安全设备的策略内容进行翻译，保证新上线安全设备策略的正确性。 前提：节点科技人员对本行的网络结构及其业务系统应用了解，并能用自然语言进行说明。工作内容:节点科技人员将目前业务系统的正常运行情况和目前现有安全设备的设置 进行整体了解和描述，并对此次

14、实施的安全设备厂商人员进行策略和业务应用的 交流，共同完成安全设备的配置规则翻译工作。输出：调查完成，输出安全设备安全设备项目系统配置手册。4.2.4 产品到货验收目标：用户和厂商技术人员共同完成现场验货。前提：货物已经送到客户现场，用户和厂商技术人员共同在场。工作内容：厂商技术人员到达现场后，双方共同进行产品的到货验收。设备到货验收步 骤如下：开箱前，检查设备数量、发货地、外包装完整性；开箱后，检查设备机箱外观完整性；根据包装内装箱清单检查产品型号/版本、设备数量、接口数量是否与合同供货清单一致；根据包装内装箱清单检查合格证、线缆等配件、随机资料是否齐备。双方人员应根据以上各项对设备进行检验

15、。并根据实际验收情况共同签署附件中的设备到货验收表。输出：设备到货验收表4.2.5 力口电检测目标：用户和厂商技术人员共同完成设备的加电测试。前提:用户和厂商技术人员共同在场。工作内容：到货验收完成后，节点对设备进行加电检测，并在厂商技术人员协助下检查 系统工作状态。加电检测步骤如下：设备加电指示灯是否正常；设备是否正常启动；管理终端能否顺利连接安全设备系统；各接口板卡是否工作正常。节点技术负责人和厂商技术人员应共同对设备加电验收过程的各个环节进 行确认，并根据实际验收情况共同签署附件中的设备加电测试表。输出：设备加电测试表。4.2.6 配置安全设备（网御神州）目标：依照安全设备项目系统配置手

16、册 节点技术工程师离线配置安全设备， 厂 商工程师指导并对安全设备的配置进行核查。前提：安全设备项目系统配置手册 填写完成，并与原有安全设备的配置逐条匹 配无误后。工作内容：配置安全设备时，请按下列步骤进行。1. 开箱检查配置清单，核对配件是否齐全，检查机箱主机编号与包装箱的是否一致。2. 开机插上电源，安全设备启动后会有嘀嘀嘀三声提示音， 冗余电源如果只插一个 电源会有长时间的蜂鸣报警。3. 登陆安全设备串口方式：用户名 admin,密码 firewall。Web 方式：安全设备默认的管理地址是 5,管理端口是 gel 口，默 认管理主机是4,登陆方式

17、是 5:8889,通过 web 管理 方式需要安装证书，证书在随机光盘中。4. 配置安全设备步骤4.1、网络配置：在“网络配置” 一“接口 ip”中点击 添加 按钮，输入要 添加的 ip 和相应的接口，并设置网口 ip 是否允许管理，ping 等。注意，接口 ip 设置后就不能够修改，只能删除。4.2、网关设置：在“网络配置” 一“策略路由”中点击 添加 按钮，如目 的地址/，下一跳 ，就是默认路由，目的地址 /255.255.255.Q 下一跳0,就是目的网段 10.1

18、0.10.0,下一 跳指向 (14.3、 添加地址对象：在“对象定义”一“地址”一“地址列表”中点击 添 加按钮，输入名称，地址范围或者地址段即可，在添加界面有一个复选框，可 以选择是添加地址段或地址范围，如名称 neiwa ng 地址 /255.255.255.Q 还可以添加一个地址范围，如名称 neiwang2地址 004.4、 添加地址组：在“对象定义” 一“地址组”中点击 添加按钮，输入 名称，并引用位于左边的地址对象，如名称 group,地址对象 neiwang, neiwang2, 就是 gro

19、up 这个地址组包含了neiwang 和 neiwang2 这两个地址对象。定义完地址对象和地址组后就可以在安全规则中引用他们，这样会简化安全规则的设置步骤，方便许多。4.5、定义服务：自定义服务可以指定开放那些协议，那些端口，例如要开放 tcp 的 1436 端口，就在“对象定义”一“服务列表”中点击 添加 按钮，协 议选择 tcp,目的端口输入 1436,低端口和高端口都输入 1436,就是只放开 1436 端口， 如果低端口输入 1436,高端口输入 1440,就是放开 tcp 的 14361440 的 所有端口。一条自定义服务可以放开多个端口。4.6、添加安全规则：包过滤规则：在“安全

20、策略”一一“安全规则”中点击 添加 按钮，类型 选择包过滤，输入源地址和目的地址，选择相应的服务即可；例如，源地址输入 0,掩码 55目的地址 0,掩码 55, 服务选择 icmp 就是允许主机 0 ping0,关于这两台主机的其 他类型数据包都被禁止掉。在源地址和目的地址的下拉菜单里还可以选择在地址 对象中定义好的地址对象和地址组，在服务里还可以选择自定义服务，例如前面举例的 tcp 1436 端口的服务NAT 规则：在添加安全规则时，类型选择 nat，输入源地

21、址，目的地址，服 务，和源地址转换后的地址即可，nat 规则会把源地址转换为安全设备的一个地 址，从而达到隐藏源地址的目的，例如，源地址0/55 目的地址 0/55 服务选择前例定义好地 tcp_1436,源地址转 换为选择 这样当 0 这台主机访问 0 的 tcp 1436 端 口时，安全设备会把源地址转换成 ，这样就隐藏了 0 的真实 地址。IP 映射规则：在安全规则中类型选择 IP 映射，输入源地址

22、，公开地址，和公开地址映射后的地址即可，公开地址是安全设备上的IP,公开地址映射后的地址是内部主机地址，这样就可以通过访问安全设备IP 的方式访问内部主机，从而实现隐藏目的服务器地址的目的。 例如，源地址 0/55 公开地址,公开地址映射为 0,这样 0 这台主机只 能通过访问 这个地址来访问 0 这台服务器。这样就保护了 0 服务器的安全。还可以把源地址也隐藏，例如在源地址中选择源地址 转换为 ，这样就实现

23、了源和目的地址双转换，同时隐藏了源地址和目 的地址。端口映射规则：在安全规则中类型选择端口映射，输入源地址，公开地址，公开地址映射后的地址，对外服务，对外服务映射后的服务，例如，源地址0/55 公开地址 ,公开地址映射为 0, 对外服务和对外服务映射为都选择前例定义好的tcp_1436 端口，这样 0这台工作站就可以通过访问 这个地址的tcp 1436 端口来访问0 的 tcp 1436 端口，还可以把源地址也隐藏，例如在源地址中选择源地 址转换为2

24、，这样就实现了源和目的地址双转换，同时隐藏了源地址和 目的地址。4.7、配置高可用性：配置 HA :在“高可用性” 一“HA 基本配置”中选择 HA 同步网口和 IP, 注意，主墙和备墙的 IP 必须是在同一网段内的，而且只能有一台墙是控制节点。 主墙和备墙都要选择“自动配置同步”和“自动状态同步”，启用配置同步时，在安全策略中添加允许另一台安全网关访问本安全网关 secgate_ha_conf 服务 的包过滤规则。配置 VRRP:在“高可用性”一“路由模式 HA ” 一 “VRRP 实例”中点击 添加按钮，例如要添加一个 00 的虚拟 IP 地址，接口选

25、择 GE2, VRID10,虚拟 IP 地址 00/ 名称 MASTER，即可，注意 VRRP 实例可以添加多个，但是 VRID 不能有重复的，而且主备墙的 VRRP 实例除了名 称可以不一样之外，其他都要一致。配置 VRRP 关联：在“高可用性”一“路由模式 HA” 一 “ VRRP 关联”中 点击添加 按钮，输入名称，优先级，并在 VRRP 列表中选择要引用的 VRRP 实 例即可，注意主墙的优先级必须比备墙的优先级低。 添加完毕后，选中要启动的 VRRP 实例，就可以激活 VRRP 实例中的虚拟 IP。注意使用 VRRP 功能的时候 需要添加

26、一条目的地址时 /255.0.0.Q 服务 VRRP 的规则。注意！为了避免冲突，需要把 VRRP 的规则和 secgate_ha_con 服务的包过滤规则。放在最前面。配置安全设备的详细步骤和方法请参考 网御神州 SecGate 3600 安全网关WEB 界面手册。输出：安全设备的配置文件427 模拟环境测试目标：客户和厂商技术人员共同搭建模拟测试环境对进行模拟测试。 前提：客户和厂商技术人员已经进行完交流，模拟环境已经准备完毕。 工作内容：搭建模拟实验环境，将安全设备放置在搭建的模拟实验环境中，进行连通性 测试，并测试安全设备上线前的可靠性，测试安全设备的双机热备切换是否

27、正常。 节点技术负责人和厂商技术人员应根据测试方案共同对设备进行模拟环境测 试，并根据实际情况填写测试方案中的结果 输出：根据测试方案和安全设备配置方案模板完成安全设备上线前的配置 和离线测试工作。4.3 安装实施中期4.3.1 设备上线目标：厂商实施人员在用户现场完成实施。 前提：前期准备工作已经完毕，上线条件已经具备。 工作内容：节点工程实施组在厂商技术人员的配合下，进行设备的现场调试与安装。安装过程中，需要注意以下几点：1）保持主、备安全设备安全策略相同；2）检查原有网络通讯是否正常；3）安全设备安装切换可能会在短时间内影响到业务系统的正常运行，各节 点应选择业务空闲时间进行割接；4）安

28、全设备双机热备部署方式各不相同，应由厂商技术人员协助完成；5）节点技术负责人和厂商技术人员应根据测试方案共同对设备进行测试， 并根据实际情况填写测试方案中的结果，填写设备安装实施报告6）切换完成后对上线设备和连线打标签说明：1、生产环境切换调试时，网络切换时间计划进行 3 小时，其中 1 小时为切换和 技术确认，其余 2小时为业务确认时间。如在 1 小时后技术确认不成功，经当地 科技处负责人确认后，尽快切换回原安全设备并按原计划进行业务确认。 在模拟 环境中查找问题重新配置后按照计划进行第二次生产环境切换。2、由于此次安全设备上线，是在生产环境中切换，风险性很高，当地科技部门 负责协调保证原安

29、全设备厂商的技术支持必须到位，在切换过程中出现问题时， 切换回原有安全设备应在较短的时间内完成。切换时，原（主、备）安全设备不 能关机，并持续到业务系统正常运行一周后才能撤下原安全设备设备。输出：完成安全设备的上线和网络测试，填写设备安装实施报告4.3.2 应用系统验证性测试目标：完成应用系统联调测试前提：节点科技人员和节点业务人员已经完成了业务系统验证性测试的前期准备 工作。工作内容：完成安全设备上线安装后，节点工程实施人员和业务部门人员应共同对设备 和业务应用进行持续监控和业务应用验证， 进行节点本地测试，包括访问控制测 试、系统功能测试、系统性能观测等；节点技术负责人和厂商技术人员应根据

30、测试方案共同对设备进行测试， 并根据实际情况填写测试方案中的结果输出：由当地业务负责人协调，完成业务验证性测试。4.3.3 计划变更目标：由于厂商或客户任何一方的原因引起的项目不能按照实施计划进行实施的， 经双方同意签定计划变更表。前提：由节点科技人员核实并确认，确实需要进行计划变更。工作内容：测试工作原则上按测试方案顺序进行，但也可根据实际准备情况作相应 调整，已经测试过的内容在相应系统未做变动的情况下，一般不需重新测试。由于到货或技术原因使测试方案中部分测试不具备条件时，在协议各方的同意下，可暂时不对该部分进行测试，待条件具备后再对该部 分进行补测。在测试过程中发现未包含在测试项目中但有必

31、要通过测试的单项功能， 经统一协商考虑后，可以备忘录的形式体现，并在集中测试时执行备忘 录所列项目的测试。节点技术负责人和厂商技术人员共同签署计划变更单 输出：计划变更单4.4 安装实施后期4.4.1 设备试运行目标：通过试运行阶段对上线的设备进行实际环境运行监控。前提：设备上线和业务系统验证性测试已经按照实施方案和测试方案完成。 工作内容：节点初验完成之日起，该节点进入试运行期。节点对安全设备设备日常管理维护中所发现的问题进行详细记录，并在试运行结束后形成附件中的设备运行报告单节点试运行报告主要包括以下内容：新增设备是否运行正常；运行期间发生的问题。说明：1、业务系统在测试完全正常后，进行安

32、全设备同步配置和保存配置的操作。2、安全设备的日志收集服务器需要安装 SQL 数据库（天融信安全设备需求） 输出：设备运行报告单4.4.2 现场培训目标：现场完成现场培训服务前提：厂商技术人员向节点科技人员确定培训时间。工作内容：按照合同要求，安全设备厂商在实施现场进行现场培训服务（每单位15 人以内）培训目标：培养节点技术人员独立完成设备安装配置、 日常运行维护和简单 故障排除能力。培训地点：设备安装地点。培训对象：节点网络安全运行维护相关人员。培训方式：在节点实施过程中，安全设备制造厂商技术人员现场培训。培训内容：产品的安装调试、维护管理和故障排错等。输出：完成现场培训4.4.3 节点初验

33、目标：完成节点初验工作。前提：所有的安全设备开箱检查、加电测试、模拟环境测试、设备上线、业务系统 验证性测试、等工作全部完成。工作内容：以上各环节完毕后，对各个环节中填写的文档进行整理，实施节点技术负责 人根据安全设备安装运行和系统验证情况形成节点验收报告。节点验收的前提条 件如下：到货验收和加电检测完成安装实施完毕系统验证通过现场培训完成节点技术负责人应与厂商技术人员共同签署附件中的设备初验报告单 输出：设备初验报告单4.4.4 文档整理目标：整理项目的所有文档。前提：所有项目前期、中期、后期需要填写的文档已经填写完毕。工作内容：整理所有文档节点技术负责人和厂商技术人员进行签字确认，并移交客

34、户。 输出：完成所有文档的整理并交付用户。5 风险控制5.1 实施现场的风险控制在本项目各节点进行网络割接的过程中，可能会对业务系统的正常运行造成 影响，以下分别针对出现业务全部中断和某些业务中断两种情况，给出具体的处理建议。此风险控制只适用于此次上线的安全设备设备， 如果业务出现问题，请节点 科技人员对影响的业务范围进行统计， 并判断是否由于安全设备原因造成， 在明 确了是由于安全设备的原因造成后，根据现场实际情况采取以下风险控制流程。5.1.1 业务全部中断情况的处理业务全部中断表现为所有业务的客户端与服务器之间无法建立连接。该故障在经节点技术负责人确认后可按以下步骤进行处理。业务全部中断

35、情况处理流程如下图所示：暂停割接査找原因具体处理细节说明如下：1） 如果网络中断，所有业务无法正常运行，厂商技术人员必须快速检测设 备及网络，检测结束后立刻使用原安全设备，恢复原有网络，保持网络畅通。2）网络恢复后，某些业务仍无法正常运行，则需要将出现异常的业务系统客户端重新启动（可能由于某些长连接应用无断线自动重连机制造成） ，一旦确 定是由于业务系统的原因造成的问题， 则重新检查新安全设备的配置，确定没有 问题并经节点负责人同意后，重新进行网络割接。3）使用原有安全设备后，所有业务恢复正常，则检查新安全设备：是否具有合法 license 授权；规则是否加载成功；硬件是否正常运行；当确认新安

36、全设备能够正常工作并经节点负责人同意后，可再次进行网络割 接。处理结束后，节点应形成问题处理报告并报总行项目实施组甘时无注解5.1.2 部分业务中断情况的处理部分业务中断表现为某些业务的客户端与服务器之间无法建立连接。该故障在经节点技术负责人确认后可按以下步骤进行处理。部分业务中断处理流程如下图所示：暂暫劃接查找诃题具体处理细节说明如下：1）如果网络中断，所有业务无法正常运行，厂商技术人员必须快速检测设 备及网络，检测结束后立刻使用原安全设备，恢复原有网络，保持网络畅通。2）如果网络恢复后，部分业务仍无法正常运行，则需要将出现异常的业务系统客户端重新启动（可能由于某些长连接应用无断线自动重连机

37、制造成），一旦确定是由于业务系统的原因造成的问题， 则重新检查新安全设备的配置，确定 没有问题并经节点负责人同意后，重新进行网络割接。3）如果网络恢复后，所有业务恢复正常，则需要检查新安全设备中增添和 删除暂时无法解决确认问题解决相关规则的合理性，重新修改新安全设备上的安全策略，确定没有问题并经节点负责人同意后，重新进行网络割接4)如果通过步骤“ 3)”操作后，网络中相关业务仍然无法正常工作，则需 要再次恢复原有网络。厂商技术人员继续查找问题产生的原因， 直至查明原因并 解决问题。5.2 运行期间的风险控制运行期间风险控制的原则是以快速恢复为主。 出现所有业务或部分业务中断 的情况，必须由节点技术负责人确认后按照售后服务条款要求厂商进行快速响 应，同时报总行科技司。在运行期间，网络故障一经确认是由于安全设备造成的， 则可能是由以下原 因造成：安全设备系统稳定性差；安全设备设备硬件故障；线路接触不良；大规模的蠕虫病毒扩散耗费网络资源；误操作导致的规则失效、设备休眠、关机。针对上述原因，可以由厂商工程师到现场排查问题。在厂商工程师到达前， 节点技术人员可以先进行相关检查，基本步骤如下：检测安全设备设备电源是否正