以下文章小编为您整理的系统的安全检查Windows系统(共含8篇),供大家阅读。同时,但愿您也能像本文投稿人“潘洛斯”一样,积极向本站投稿分享好文章。
应该准备好系统策略编辑器―POLEDIT.EXE,在光驱中装入你的 Windows 98光盘,它位于Windows 98光盘的TOOLSRESKITNETAD MI NPOLEDIT目录下。策略编辑器的功能也可以通过修改注册表来实现。为了那些没有策略编辑器的朋友,本文将在策略编辑器修改法后给出相
应该准备好系统策略编辑器―POLEDIT.EXE。在光驱中装入你的Windows98光盘,它位于Windows 98光盘的TOOLSRESKITNETADMINPOLEDIT目录下。策略编辑器的功能也可以通过修改注册表来实现。为了那些没有策略编辑器的朋友,本文将在策略编辑器修改法后给出相应的用注册表编辑器来修改的方法。
首先,你应该根据你的具体情况来为系统使用者划分不同的等级。一般来说,可以将使用者划分为三个等级――超级用户、普通用户和非法用户。要为用户划分等级,必须先生成用户。进入控制面板,双击“用户”,点击“新用户”按钮,按照向导指示输入用户名和相应口令,然后在“个性化项目设置”将全部项目复选框选中,再单击“完成”按钮,至此,一个新用户就生成了。重复以上步骤,再生成一个用户。然后进入“控制面板”下“网络”下“选择主网络登录”项,选择“Windows 友好登录”,确定后重新启动系统,用你的超级用户名和相应口令登录。设置超级用户。大家都知道Windows 9x在退出系统时会自动保存当前工作状态,这是一个很好的功能。但在多用户环境下会给系统的安全带来问题,所以我们必须关闭这个功能。运行POLEDIT.EXE,在文件菜单中选择“打开注册表”,双击“本地用户”,打开“外壳”文件夹,选中“限制”下的“退出时不保存设置”复选框。(在HKEY_CURRENT_USERSoftWareMicrosoftWindows
CurrentVersionPolicies Explorer主键下建DWORD值NoSaveSettings,将其赋值为01,表示退出时不保存设置。)这样,你的超级用户就设置好了。(为方便起见,在下文中用****来代替HKEY_CURRENT_USERSoftWare MicrosoftWindowsCurrentVersion主键)
重新启动系统,用普通用户名和口令登录,运行系统策略编辑器,让我们接着设置普通用户的权限。对于普通用户来说,他可以正常的使用系统,但不允许更改系统的设置(如改变系统配置或改变系统策略),所以我们进行以下操作:
①进入“控制面板”文件夹,选中“显示器”下“限制‘显示器’控制面板”复选框,再选中其下的“禁用‘显示器’控制面板”复选框( 在****PoliciesSystem主键下建DWORD值NoDispCPL,将其赋值为01,表示禁用“显示器”控制面板)、“隐藏背景页”复选框( 在****PoliciesSystem主键下建DWORD值NoDispBackgroundPage,将其赋值为01,表示隐藏背景页)、“隐藏屏幕保护程序页”复选框( 在****PoliciesSystem主键下建DWORD值NoDispScrSavPage,将其赋值为01,表示隐藏屏幕保护程序页)、“隐藏外观页”复选框( 在****PoliciesSystem主键下建DWORD值NoDispAppearancePage,将其赋值为01,表示隐藏外观页)。
②在“控制面板”文件夹下选中“网络”下“限制‘网络’控制面板复选框,再选中其下的“禁用‘网络’控制面板”复选框(在****PoliciesNetwork主键下建DWORD值NoNetSetup,将其赋值为01,表示禁用“网络”控制面板)、“隐藏标识页”复选框(在****PoliciesNetwork主键下建DWORD值NoNetSetupIDPage,将其赋值为01,表示隐藏标识页)、“隐藏访问控制页”( 在****PoliciesNetwork主键下建DWORD值NoNetSetupSecurityPage,将其赋值为01,表示隐藏访问控制页)
③在“控制面板”文件夹下选中“口令”下“隐藏‘口令’控制面板”复选框,再选中其下的“禁用‘口令’控制面板”复选框(在****PoliciesSystem主键下建DWORD值NoSecCPL,将其赋值为01,表示禁用“口令”控制面板)、“隐藏更改口令页”复选框(在****PoliciesSystem主键下建DWORD值NoPwdPage,将其赋值为01,表示隐藏更改口令页)、“隐藏远程管理页”复选框( 在****PoliciesSystem主键下建DWORD值NoAdminPage,将其赋值为01,表示隐藏远程管理页)、“隐藏用户配置文件页”复选框(在****PoliciesSystem主键下建DWORD值NoProfilePage,将其赋值为01,表示隐藏用户配置文件页),
④在“控制面板”文件夹下选中“打印机”下“限制打印机设置”, 再选中其下的“隐藏常规和详细资料页”复选框(在****PoliciesExplorer主键下建DWORD值NoPrinterTabs,将其赋值为01,表示隐藏常规和详细资料页)、“禁止删除打印机”复选框(在****PoliciesExplorer主键下建DWORD值NoDeletePrinter,将其赋值为01,表示禁止删除打印机)、“禁止填加打印机”复选框(在****PoliciesExplorer主键下建DWORD值NoAddPrinter,将其赋值为01,表示禁止添加打印机)。
⑤在“控制面板”文件夹下选中“系统”下“限制‘系统’控制面板”,再选中其下的“隐藏设备管理页”复选框(在****PoliciesSyetem主键下建DWORD值NoDevMgrPage,将其赋值为01,表示隐藏设备管理页)、“隐藏硬件配置文件页”复选框(在****PoliciesSyetem主键下建DWORD值NoConfigPage,将其赋值为01,表示隐藏硬件配置文件页)、“隐藏‘文件系统’按钮”复选框(在****PoliciesSyetem主键下建DWORD值NoFileSysPage,将其赋值为01,表示隐藏“文件系统”按钮)、“隐藏‘虚拟内存’按钮”复选框(在****PoliciesSyetem主键下建DWORD值NoVirtMemPage,将其赋值为01,表示隐藏“虚拟内存”按钮)。
⑥在“外壳”文件夹下选中“自定义文件夹”下“自定义‘程序’文件夹”复选框,在“‘程序’项目所在的路径”中输入指定的路径(在****CurrentVersionExplorerUser Shell Folders主键下建串值Programs,赋值为一路径,即可自定义“程序”文件夹)。选中“自定义桌面图标”复选框,在“桌面图标所在的路径”中输入指定的路径(****CurrentVersionExplorerUser Shell Folders主键下建串值Desktop,赋值为一路径,即可自定义桌面图标)。选中“自定义‘启动’文件夹”复选框,在“‘启动’项目所在的路径”中输入指定的路径(****CurrentVersionExplorerUser Shell Folders主键下建串值Startup,赋值为一路径,即可自定义“启动”文件夹)。选中“自定义‘开始’菜单”复选框,在“‘开始’菜单项目所在的路径”中输入指定的路径(****CurrentVersionExplorerUser Shell Folders主键下建串值Start Menu,赋值为一路径,即可自定义“开始”菜单)。
⑦在“外壳”文件夹下选中“限制”下“删除‘运行’命令”复选框(在****PoliciesExplorer主键下建DWORD值NoRun,将其赋值为01,表示删除“运行”命令)。选中“删除‘查找’命令”复选框(在****PoliciesExplorer主键下建DWORD值NoFind,将其赋值为01,表示删除“查找”命令)。选中“在‘我的电脑’中隐藏驱动器”复选框(在****PoliciesExplorer主键下建DWORD值NoDrives,将其赋值为0x03ffffff,表示在“我的电脑”中隐藏驱动器)。
⑧在“系统”文件夹下选中“限制”下“禁用注册表编辑工具”复选框(在****PoliciesSyetem主键下建DWORD值DisableRegistryTools,将其赋值为01,表示禁用注册表编辑工具)。选中“禁用MS-DOS方式”复选框(在****Policies主键下建WinOldApp主键,再在其下建DWORD值Disabled,将其赋值为01,表示禁用MS-DOS方式)。选中“禁用单一模式的MS-DOS应用程序”复选框(在****PoliciesWinOldApp主键下建DWORD值NoRealMode,将其赋值为01,表示禁用单一模式的MS-DOS应用程序)。至此,普通用户的权限就设置好了。
重新启动系统,在登录菜单按“ESC”键或“取消”键,以非法用户身份登录入系统,运行策略编辑器,在“外壳”文件夹下选中“限制”下“隐藏桌面上的所有程序项”复选框(在****PoliciesExplorer主键下建DWORD值NoDesktop,将其赋值为01,表示隐藏桌面上的所有程序项且取消右键单击桌面菜单)。选中“从‘开始’菜单上的‘设置’中删除任务栏”复选框(在****PoliciesExplorer主键下建DWORD值NoSetTaskbar,将其赋值为01,表示从“开始”菜单上的“设置”中删除任务栏且取消右键单击任务栏菜单)。选中“禁用‘关闭系统’命令”复选框(在****PoliciesExplorer主键下建DWORD值NoClose,将其赋值为01,表示禁用“关闭系统”命令)。在“系统”文件夹下选中“限制”下的“只能运行允许的Windows应用程序”复选框(在****PoliciesSyetem主键下建DWORD值RestrictRun,将其赋值为01,表示只能运行允许的Windows应用程序)。
原文转自:www.ltesting.net
Unix系统的安全等级标准达到C2级,它具有以下安全特征: 1、访问控制 系统通过访问控制表ACL使得用户可以自行改变文件的安全级别和访问权限, 如:-rwxr-xr--1johntest4月9日17:50cm 上面的例子表示文件cm对于用户john来说可读、可写、可执行,对test这个组
Unix系统的安全等级标准达到C2级,它具有以下安全特征:
1、访问控制
系统通过访问控制表ACL使得用户可以自行改变文件的安全级别和访问权限 。
如: -rwxr-xr-- 1 john test 4月9日17:50 cm
上面的例子表示文件cm对于用户john来说可读、可写、可执行,对test这个组的其他用户只有读和执行的权限,而对除此以外的所有用户只有读的权限。系统管理员可用umask命令为每个用户设置默认的权限值,用户可用chmod命令来修改自己拥有的文件或目录的权限。
2、对象的可用性
当一个对象不再使用时,在它回到自由对象之前,TCB (Trusted Computing Base) 将要清除它,以备下次需要时使用。
3、个人身份标识与认证
其目的是为了确定用户的真实身份, 在用户登录时它采用扩展的DES算法对输入的口令进行加密,然后把口令的密文与存放在/etc/password中的数据进行比较,如果二者的值完全相同则允许用户登录到系统中,否则禁止用户的登录。
4、审计记录
Unix系统能够对很多事件进行记录,比如:文件的创建和修改以及系统管理的所有操作和其他有关的安全事件(登录失败,以root身份进行登录的情况),通过这些记录系统管理员就可以对安全问题进行跟踪。
5、操作的可靠性
操作的可靠性是指Unix系统用于保证系统的完整性的能力。Unix系统通过对用户的分级管理,通过对运行级别的划分,以及前面提到的访问控制加之自带的一些工具,能够很好地保证系统操作的可靠性。
Unix的安全体系结构
Unix的安全体系结构可以按照ISO/OSI网络模型的层次结构将它分成七层,如下表所示:
层次 名称 含义
7 Policy 安全策略定义、指导
6 Personnel 使用设备和数据的人员
5 LAN 计算机设备和数据
4 Internal Demark 内部区分
3 Gateway OSI中第7、6、5、4层的功能
2 Packet-Filter OSI中第3、2、1层的功能
1 External Demark 外部连接
1、Policy(策略层)
在这一层中,主要定义了一个组织的安全策略,包括安全策略的需求分析、安全方针的制定,也包括了高层次定义的允许的安全风险以及下层的如何配置设备及过程。
2、Personnel (用户层)
本层定义了Unix的安装、操作、维护和使用以及通过其他方法访问网络的人员。从广义上讲, 对Unix多用户环境下的应用进程也应算在其中。此层的安全策略应该反映出用户对总体系统安全的期望值。
3、LAN(局域网层)
它定义用户的安全程序要保护的设备和数据,包括计算机互联的设备。如:路由器、单一的Unix主机等。
4、Internal Demark (内部区分层)
这一层定义了用户如何将局域网连接到广域网以及如何将局域网连接到防火墙上。
5、Gateway (嵌入的Unix网关层)
本层定义了整体平台包括第四层的网络接口以及第三层的路由器。它用于为广域网提供防火墙服务。
6、Packet-Filter (包过滤层)
它对应于OSI的第一层到第三层,本层不仅提供第一层的物理连接,更主要的是根据安全策略, 通过用户层的进程和包过滤规则对网络层中的IP包进行过滤。一般的包过滤算法是采用查规则表来实现的,它根据“条件/动作”这样的规则序列来判断是前向路由还是扔包。
7、External Demark (外部连接层)
它定义用户系统如何与设备、电话线路或其他用户不能直接控制的媒介进行连接。完整的用户安全策略应包括这一部分,因线路本身可能允许非授权访问。
Unix系统不安全的因素
尽管Unix系统有比较完整的安全体系结构,但它仍然存在很多不安全的因素,主要表现在以下几个方面:
1、 特权软件的安全漏洞
程序员在编写特权代码或suid代码时,如果没能确保用户对程序执行环境的完全控制,或者对所有返回的错误状态没能给予适当的处理,导致入侵者控制程序的运行环境,使得用户的程序出现不可预期的结果,从而威胁系统的安全。
2、研究源代码的漏洞
由于一些程序本身存在着安全漏洞(如缓冲区溢出),入侵者往往通过这些漏洞来对系统进行攻击,
3、特洛伊木马
特洛伊木马与用户一般要执行的程序从表面上(如文件名等)看很相似,实际上却完成其他的操作,如删除文件、窃取密码和格式化磁盘等,到用户发现时,为时已晚。
4、网络监听及数据截取
计算机安全面临的另一个重要威胁是计算机之间传输的数据可以很容易地被截取。由于异种机的互连,敏感数据传输处于系统的控制之外,有许多现成的软件可以监视网络上传输的数据。
5、软件之间相互作用和设置
由于大型系统软件通常由很多人共同协作完成因此无法准确预测系统内每个部分之间的相互作用。例如/bin/login, 它可接收其他一些程序的非法参数,从而可使普通用户成为超级用户。另一方面,系统软件配置的复杂性,以至简单的配置错误可能导致不易觉察的安全问题。
安全管理
Unix系统安全包括物理安全和逻辑安全,因此与其相对应有物理安全的管理和逻辑安全的管理,下面只针对Unix逻辑安全的管理,从三个方面对此进行论述。
1、防止未授权存取
防止未授权的人进入系统,这是Unix安全管理最重要的问题。新版Unix提供了专门的鉴别系统,如SUN Solaris使用DES密码机构和公共关键字密码,该系统极大地提高了网络环境的安全性。要使Unix鉴别机制更充分地发挥作用,必需加强用户的安全意识和良好的口令管理,进行用户和网络活动的周期检查。
2、防止泄密
就是防止已授权或未授权用户间相互存取或交换对方的重要信息,如用户文件及各种日志文件(如各种log文件)。为此,必须加强对重要文件的访问控制和管理,对系统文件和其他重要文件(如用户root的文件)的属性一定要作安全设置。
3、防止用户拒绝系统的管理
Unix系统不应被一个有意试图使用过多资源的用户损坏。由于Unix不能很好地限制用户对资源的使用,因此,系统管理员需要用ps、df和du命令周期性地检查系统,以便能够查出过多占用CPU资源的进程和大量占用磁盘空间的文件和用户。
保障Unix安全的具体措施
针对比较突出的安全问题,提出了下面一些具体的措施。
1、防止缓冲区溢出
据统计,约100%的安全问题来自缓冲区溢出。攻击者通过写一个超过缓冲区长度的字符串,然后植入到缓冲区,可能会出现两个结果,一是过长的字符串覆盖了相邻的存储单元,引起程序运行失败,严重的可导致系统崩溃;另有一个结果就是利用这种漏洞可以执行任意指令,甚至可以取得系统root特级权限。一些版本的Unix系统(如Solaris 2.6和Solaris 7)具备把用户堆栈设成不可执行的功能,以使这种攻击不能得逞。以下是让这个功能生效的步骤:
1)变成root
2)对/etc/system文件做个拷贝 cp /etc/system /etc/system.BACKUP
3)用编辑器编辑/etc/system文件
4)到文件的最后,插入以下几行:
set noexec_user_stack=1
set noexec_user_stack_log=15
5)保存文件,退出编辑器后,重启机器,以使这些改变生效。可能有些合法使用可执行堆栈的程序在做如上改变后不能正常运行,不过这样的程序并不多。
2、在.netd.conf中关闭不用的服务
Unix系统中有许多用不着的服务自动处于激活状态。它们中可能存在的安全漏洞使攻击者甚至不需要账户就能控制机器。为了系统的安全,应把该关的功能关闭,该限制的文件限制访问权限。可以用如下方法来关闭:
1)变成root
2)备份inetd的配置文件/etc/inetd.conf
cp /etc/inetd.conf /etc/inetd.conf.BACKUP
3)编辑/etc/inetd.conf文件
以“#”符号注释掉不需要的服务,使其处于不激活的状态。在确实需要很高安全的机器上,最好注释掉telnet和ftp,即使要使用此两项服务,也要对使用情况进行限制,如用TCP Wrapper对使用telnet或ftp的IP地址进行限制。
4)在改变/etc/inetd.conf后,找到inetd进程的id号,用kill向它发送HUP信号来刷新它。一定要确保kill了inetd进程后,它还在运行。
3 、给系统打补丁
Unix系统被发现的漏洞,几乎都有了相应的补丁程序。因此,系统管理员需对系统漏洞做及时的修补。软件公司都会定期提供补丁。
4、重要主机单独设立网段
从安全角度考虑,经常做telnet、ftp等需要传送口令的重要机密信息应用的主机应该单独设立一个网段, 以避免某一台个人机被攻破,被攻击者装上sniffer, 造成整个网段通信全部暴露。
5、定期检查
定期检查系统日志文件,在备份设备上及时备份。定期检查关键配置文件(最长不超过一个月)。
重要用户的口令应该定期修改(不长于三个月),不同主机使用不同的口令。
[b:82f0f4736e][/b:82f0f4736e]
liugr3988 回复于:-05-16 19:49:18好文章,支持
纳兰婷 回复于:2004-05-16 20:35:06装上sniffer, 造成整个网段通信全部暴露。有这么可怕
原文转自:www.ltesting.net
像find和secure这样的程序称为检查程序,它们搜索文件系统,寻找出SUID/ SGID文件,设备文件,任何人可写的系统文件,设有口令的登录用户,具有相同UID /GID的用户等等. (1)记帐 UNIX记帐软件包可用作 安全 检查工具,除最后登录时间的记录外,记帐系 统还能保存全天
像find和secure这样的程序称为检查程序,它们搜索文件系统,寻找出SUID/ SGID文件,设备文件,任何人可写的系统文件,设有口令的登录用户,具有相同UID /GID的用户等等.
(1)记帐
UNIX记帐软件包可用作安全检查工具,除最后登录时间的记录外,记帐系 统还能保存全天运行的所有进程的完整记录,对于一个进程所存贮的信息包括 UID,命令名,进程开始执行与结束的时间,CPU时间和实际消耗的时间,该进程 是否是root进程,这将有助于系统管理员了解系统中的用户在干什么.acctcom 命令可以列出一天的帐目表.有明,系统中有多个记帐数据文件,记帐信息保存 在文件/usr/adm/pacct*中,/usr/adm/pacct是当前记录文件,/usr/adm/pacctn 是以前的记帐文件(n为整型数).若有若干个记帐文件要查看,可在acctcom命 令中指定文件名:
acctcom /usr/adm/pacct? /usr/adm/pacct
要检查的问题的其中之一是:在acctcom的输出中查找一个用户过多的登 录过程,若有,则说明可能有人一遍遍地尝试登录,猜测口令,企图非法进入系 统.此外,还应查看root进程,除了系统管理员用su命令从终端进入root,系统 启动,系统停止时间,以及由init(通常init只启动getty,login,登录shell), cron启动的进程和具有root SUID许可的命令外,不应当有任何root进程.
由记帐系统也可获得有关每个用户的CPU利用率,运行的进程数等统计数据.
(2)其它检查命令
*du:报告在层次目录结构(当前工作目录或指定目录起)中各目录占用的 磁盘块数.可用于检查用户对文件系统的使用情况.
*df:报告整个文件系统当前的空间使用情况.可用于合理调整磁盘空间的 使用和管理. *ps:检查当前系统中正在运行的所有进程.对于用了大量CPU时间的进程, 同时运行了许多进程的用户,运行了很长时间但用了很少CPU时间的 用户进程应当深入检查.还可以查出运行了一个无限制循环的后台进 程的用户,未注销户头就关终端的用户(一般发生在直接连线的终端).
*who:可以告诉系统管理员系统中工作的进展情况等等许多信息,检查用 户的登录时间,登录终端.
*su:每当用户试图使用su命令进入系统用户时,命令将在/usr/adm/sulog 文件中写一条信息,若该文件记录了大量试图用su进入root的无效操 作信息,则表明了可能有人企图破译root口令.
*login:在一些系统中,login程序记录了无效的登录企图(若本系统的 login程序不做这项工作而系统中有login源程序,则应修改login). 每天总有少量的无效登录,若无效登录的次数突然增加了两倍,则表 明可能有人企图通过猜测登录名和口令,非法进入系统.
这里最重要的一点是:系统管理没越熟悉自己的用户和用户的工作习惯, 就越能快速发现系统中任何不寻常的事件,而不寻常的事件意味着系统已被人 窃密.
(3)安全检查程序的问题
关于以上的检查方法的一个警告,若有诱骗,则这些方法中没有几个能防 诱骗.如find命令,如果碰到路径名长于256个字符的文件或含有多于200个文件的目录,将放弃处理该文件或目录,用户就有可能利用建立多层目录结构或 大目录隐藏SUID程序,使其逃避检查(但find命令会给出一个错误信息,系统管 理员应手工检查这些目录和文件).也可用ncheck命令搜索文件系统,但它没有 find命令指定搜索哪种文件的功能.
如果定期存取.profile文件,则检查久未登录用户的方法就不奏效了.而 用户用su命令时,除非用参数-,否则su不读用户的.profile. 有三种方法可寻找久未登录的帐户:
UNIX记帐系统在文件/usr/adm/acct/sum/login中为每个用户保留了最 后一次登录日期.用这个文件的好处是,该文件由系统维护,所以可完全 肯定登录日期是准确的.缺点是必须在系统上运行记帐程序以更新 loginlog文件,如果在清晨(午夜后)运行记帐程序,一天的登录日期可 能就被清除了.
. /etc/passwd文件中的口令时效域将能告诉系统管理员,用户的口令是 否过期了,若过期,则意味着自过期以来,户头再未被用过.这一方法的 好处在于系统记录了久未用的户头,检查过程简单,且不需要记帐系统所需要的磁盘资源,缺点是也许系统管理员不想在系统上设置口令时效, 而且这一方法仅在口令的最大有效期(只有几周)才是准确的.
系统管理员可以写一个程序,每天(和重新引导系统时)扫描/etc/wtmp, 自己保留下用户最后登录时间记录,这一方法的好处是不需要记帐程序, 并且时间准确,缺点是要自己写程序.
以上任何方法都可和/usr/adm/sulog文件结合起来,查出由login或su登录户头的最后登录时间 如果有人存心破坏系统安全,第一件要做的事就是寻找检查程序.破坏者 将修改检查程序,使其不能报告任何异常事件,也可能停止系统记帐,删除记帐 文件,使系统管理员不能发现破坏者干了些什么.
(4)系统泄密后怎么办?
发现有人已经破坏了系统安全的时候,这时系统管理员首先应做的是面对 肇事用户.如果该用户所做的事不是蓄意的,而且公司没有关于“破坏安全”的规章,也未造成损坏,则系统管理员只需清理系统,并留心该用户一段时间.如果该用户造成了某些损坏,则应当报告有关人士,并且应尽可能地将系统恢复 到原来的状态.
如果肇事者是非授权用户,那就得做最坏的假设了:肇事者已设法成为root 且本系统的文件和程序已经泄密了.系统管理员应当想法查出谁是肇事者,他 造成了什么损坏?还应当对整个文件做一次全面的检查,并不只是检查SUID和 SGID,设备文件.如果系统安全被一个敌对的用户破坏了,应当采用下面的步骤:
关系统,然后重新引导,不要进入多用户方式,进入单用户方式.
安装含有本系统原始UNIX版本的带和软盘.
将/bin,/usr/bin,/etc,/usr/lib中的文件拷贝到一个暂存目录中.
将暂存目录中所有文件的校验和(用原始版本的sum程序拷贝做校验和,不要用/bin中的suM程序做)与系统中所有对就的文件的校验和进行比 较,如果有任何差别,要查清差别产生的原因.如果两个校验和不同,是由于安装了新版本的程序,确认一相是否的确是安装了新版本程序.如 果不能找出校验和不同的原因,用暂存目录中的命令替换系统中的原有命令.
在确认系统中的命令还未被窜改之前,不要用系统中原命令.用暂存目录中的shell,并将PATH设置为仅在暂存目录中搜索命令.
根据暂存目录中所有系统命令的存取许可,检查系统中所有命令的存取 许可.
检查所有系统目录的存取许可,如果用了perms,检查permlist文件是否 被窜改过.
如果系统UNIX(/unix)的校验和不同于原版的校验和,并且系统管理员 从未修改过核心,则应当认为,一个非法者“很能干”,从暂存缓冲区重新 装入系统.系统管理员可以从逐步增加的文件系统备份中恢复用户的文件,但是在检查备份中的“有趣”文件之前,不能做文件恢复.
改变系统中的所有口令,通知用户他们的口令已改变,应找系统管理员 得到新口令当用户来要新口令时,告诉用户发生了一次安全事故,他们应查看自己 的文件和目录是否潜伏着危害(如SUID文件,特洛依木马,任何人可写的目录),并报告系统管理员任何异乎寻常的情况. 设法查清安全破坏是如何发生的?如果没有肇事者说明,这也许是不可能弄清的如果能发现肇事者如何进入系统,设法堵住这个安全漏洞.
第一次安装UNIX系统时,可以将shell,sum命令,所有文件的校验和存放在 安全的介质上(带,软盘,硬盘和任何可以卸下并锁焉起来的介质).于是不必再 从原版系统带上重新装入文件,可以安装备份介质,装入shell和sum,将存在带上的校验和与系统中文件的校验和进行比较.系统管理员也许想自己写一个计 算校验和的程序,破坏者将不能知道该程序的算法,如果将该程序及校验和保 存在带上,这一方法的保密问题就减小到一个物理的安全问题,即只需将带锁起来.
原文转自:www.ltesting.net
由于Win2000操作系统良好的 网络 功能,因此在因特网中有部分网站 服务器 开始使用的Win2000作为主操作系统的,但由于该操作系统是一个多用户操作系统, 们为了在攻击中隐藏自己,往往会选择Win2000作为首先攻击的对象。那么,作为一名Win2000用户,我们
由于Win2000操作系统良好的网络功能,因此在因特网中有部分网站服务器开始使用的Win2000作为主操作系统的。但由于该操作系统是一个多用户操作系统, 们为了在攻击中隐藏自己,往往会选择Win2000作为首先攻击的对象。那么,作为一名Win2000用户,我们该如何通过合理的方法来防范Win2000的安全呢?下面笔者搜集和整理了一些防范Win2000安全的几则措施,现在把它们贡献出来,恳请各位网友能不断补充和完善。
1、及时备份系统
为了防止系统在使用的过程中发生以外情况而难以正常运行,我们应该对Win2000完好的系统进行备份,最好是在一完成Win2000系统的安装任务后就对整个系统进行备份,以后可以根据这个备份来验证系统的完整性,这样就可以发现系统文件是否被非法修改过。如果发生系统文件已经被破坏的情况,也可以使用系统备份来恢复到正常的状态。备份信息时,我们可以把完好的系统信息备份在CD-ROM光盘上,以后可以定期将系统与光盘内容进行比较以验证系统的完整性是否遭到破坏。如果对安全级别的要求特别高,那么可以将光盘设置为可启动的并且将验证工作作为系统启动过程的一部分。这样只要可以通过光盘启动,就说明系统尚未被破坏过。
2、设置系统格式为NTFS
安装Win2000时,应选择自定义安装,仅选择个人或单位必需的系统组件和服务,取消不用的网络服务和协议,因为协议和服务安装越多,入侵者入侵的途径越多,潜在的系统安全隐患也越大。选择Win2000文件系统时,应选择NTFS文件系统,充分利用NTFS文件系统的安全性。NTFS文件系统可以将每个用户允许读写的文件限制在磁盘目录下的任何一个文件夹内,而且Win2000新增的磁盘限额服务还可以控制每个用户允许使用的磁盘空间大小。
3、加密文件或文件夹
为了防别人偷看系统中的文件,我们可以利用Win2000系统提供的加密工具,来保护文件和文件夹。其具体操作步骤是,在“Win 资源管理器”中,用鼠标右键单击想要加密的文件或文件夹,然后单击“属性”。单击“常规”选项卡上的“高级”,然后选定“加密内容以保证数据安全”复选框。
4、取消共享目录的EveryOne组
默认情况下,在Win2000中新增一个共享目录时,操作系统会自动将EveryOne这个用户组添加到权限模块当中,由于这个组的默认权限是完全控制,结果使得任何人都可以对共享目录进行读写。因此,在新建共享目录之后,要立刻删除EveryOne组或者将该组的权限调整为读取。
5、创建紧急修复盘
如果系统一不小心被破坏而不能正常启动时,就需要专用的Win2000系统启动盘,为此我们一定要记得在Win2000安装完好后创建一个紧急修复磁盘。在创建该启动盘时,我们可以利用Win2000的一个名为NTBACKUP.EXE的工具来实现。运行NTBACKUP.EXE,从工具栏中选择“创建紧急修复盘Create an Emergency Repair Disk”在A:驱动器中插入一张空白格式化的软盘,并点击“确定”,点击“确定”到达完成信息,再点击“确定”。修复盘不再可以用来恢复用户帐号信息等,而且您必须备份/恢复Active Directory,在备份中将被覆盖。
6、改进登录服务器
将系统的登录服务器移到一个单独的机器中会增加系统的安全级别,使用一个更安全的登录服务器来取代Win2000自身的登录工具也可以进一步提高安全,
在大的Win2000网络中,最好使用一个单独的登录服务器用于登录服务。它必须是一个能够满足所有系统登录需求并且拥有足够的磁盘空间的服务器系统,在这个系统上应该没有其它的服务运行。更安全的登录服务器会大大削弱入侵者透过登录系统窜改日志文件的能力。
7、使用好安全机制
严格设计管理好Win2000系统的安全规则,其内容主要包括“密码规则”、“账号锁定规则”、“用户权限分配规则”、“审核规则”以及“IP安全规则”。对全部用户都应按工作需要进行分组,合理对用户分组是进行系统安全设计的最重要的基础。利用安全规则可以限定用户口令的有效期、口令长度。设置登录多少次失败后锁定工作站,并对用户备份文件和目录、关机、网络访问等各项行为进行有效控制。
8、对系统进行跟踪记录
为了能密切地监视 的攻击活动,我们应该启动Win2000的日志文件,来记录系统的运行情况,当 在攻击系统时,它的蛛丝马迹都会被记录在日志文件中的,因此有许多 在开始攻击系统时,往往首先通过修改系统的日志文件,来隐藏自己的行踪,为此我们必须限制对日志文件的访问,禁止一般权限的用户去查看日志文件。当然,系统中内置的日志管理程序功能可能不是太强,我们应该采用专门的日志程序,来观察那些可疑的多次连接尝试。另外,我们还要小心保护好具有根权限的密码和用户,因为 一旦知道了这些具有根权限的帐号后,他们就可以修改日志文件来隐藏其踪迹了。
9、使用好登录脚本
制定系统策略和用户登录脚本,对网络用户的行为进行适当的限制。我们可以利用系统策略编辑器和用户登录脚本为用户设定工作环境,控制用户在桌面上进行的操作,控制用户执行的程序,控制用户登录的时间和地点(如只允许用户在上班时间、在自己办公室的机器上登录,除此以外一律禁止访问),采取以上措施可以进一步增强系统的安全性。
10、经常检查系统信息
如果在工作的过程中突然觉得计算机工作不对劲时,仿佛感觉有人在遥远的地方遥控你。这时,你必须及时停止手中的工作,立即按Ctrl+Alt+Del复合键来查看一下系统是否运行了什么其他的程序,一旦发现有莫名其妙的程序在运行,你马上停止它,以免对整个计算机系统有更大的威胁。但是并不是所有的程序运行时出现在程序列表中,有些程序例如Back Orifice(一种 的后门程序)并不显示在Ctrl+Alt+Del复合键的进程列表中,最好运行“附件”/“系统工具”/“系统信息”,然后双击“软件环境”,选择“正在运行任务”,在任务列表中寻找自己不熟悉的或者自己并没有运行的程序,一旦找到程序后应立即终止它,以防后患。
11、对病毒的袭击要警惕
如今病毒在因特网上传播的速度越来越快,为防止主动感染病毒,我们最好不要在Win2000中上网访问非法网站,不要贸然下载和运行不名真相的程序。例如如果你收到一封带有附件的电子邮件,且附件是扩展名为EXE一类的文件,这时千万不能随意运行它,因为这个不明真相的程序,就有可能是一个系统破坏程序。攻击者常把系统破坏程序换一个名字用电子邮件发给你,并带有一些欺骗性主题,骗你说一些:“这个东西将给您带来惊喜”,“帮我测试一下程序”之类的话。你一定要警惕了!对待这些表面上很友好、跟善意的邮件附件,我们应该做的是立即删除这些来历不明的文件。
12、设置好系统的安全参数
充分利用NTFS文件系统的本地安全性能,设计好NTFS文件系统中文件和目录的读写、访问权限,对用户进行分组。对不同组的用户分别授予拒绝访问、读取和更改权限,一般只赋予所需要的最小的目录和文件的权限。值得注意的是对完全控制权限的授予应特别小心。对于网络资源共享,更要设计好文件系统的网络共享权限,对不应共享的文件和目录决不能授予共享权限。对能够共享的文件和目录,应对不同的组和用户分别授予拒绝访问、读、更改和完全控制等权限。
原文转自:www.ltesting.net
Windows系统安全模式妙用!
经常使用电脑的人可能都听说过,当电脑出了故障时,Windows会提供一个名为安全模式的平台,在这里用户能解决很多问题--不管是硬件(驱动)还是软件的,然而你会使用这个安全模式么?今天我们就来带您认识一下它的真面目。
初识安全模式
要进入安全模式,只要在启动时不停地按F8,就会出现选项菜单,再用键盘上的上下光标键进行选择即可进入不同的启动模式。选项菜单包括了以下几个:
1.安全模式
只使用基本文件和驱动程序。如鼠标(USB串行鼠标除外)、监视器、键盘、硬盘、基本视频、默认系统服务等,但无网络连接。
如果采用安全模式也不能成功启动计算机,则可能需要使用恢复控制台功能来修复系统。
2.带网络连接的安全模式
在普通安全模式的基础上增加了网络连接。但有些网络程序可能无法正常运行,如MSN等,还有很多自启动的应用程序不会自动加载,如防火墙、杀毒软件等。所以在这种模式下一定不要忘记手动加载,否则恶意程序等可能会入侵在你修复电脑的过程中。
3.带命令行提示符的安全模式
只使用基本的文件和驱动程序来启动,在登录之后,屏幕上显示命令提示符,而非Windows图形界面。
说明:在这种模式下,如果你不小心关闭了命令提示符窗口,屏幕会全黑。可按下组合键Ctrl+Alt+Del,调出任务管理器,单击新任务,再在弹出对话框的运行后输入C:WINDOWSexplorer.exe,可马上启动Windows XP的图形界面,与上述三种安全模式下的界面完全相同。如果输入c:windowssystem32cmd也能再次打开命令提示符窗口。事实上,在其它的安全模式甚至正常启动时也可通过这种方法来启动命令提示符窗口。
4.启用启动日志
以普通的安全模式启动,同时将由系统加载(或没有加载)的所有驱动程序和服务记录到一个文本文件中。该文件称为 ntbtlog.txt,它位于 %windir% (默认为c:windows)目录中。启动日志对于确定系统启动问题的准确原因很有用。
5.启用VGA模式
利用基本VGA驱动程序启动。当安装了使Windows不能正常启动的新视频卡驱动程序时,这种模式十分有用。事实上,不管以哪种形式的安全模式启动,它总是使用基本的视频驱动程序,
因此,在这些模式下,屏幕的分辨率为640480且不能改动。但可重新安装驱动程序。
6.最后一次正确的配置
使用Windows上一次关闭时所保存的注册表信息和驱动程序来启动 。最后一次成功启动以来所作的任何更改将丢失。因此一般只在配置不对(主要是软件配置)的情况下,才使用最后一次正确的配置。但是它不能解决由于驱动程序或文件被损坏或丢失所导致的问题。
7.目录服务恢复模式
这是针对服务器操作系统的,并只用于恢复域控制器上的SYSVOL目录和Active Directory目录服务。
8.调试模式
启动时通过串行电缆将调试信息发送到另一台计算机。
如果正在或已经使用远程安装服务在您的计算机上安装 Windows,则您可以看到与使用远程安装服务还原或恢复系统相关的附加选项。
现实应用
1.笔者过去用的是一款旧显示器,又是初学者,初学者最爱干的是什么,换点墙纸,设一下分辨率也觉得很有成就感,没想到误将分辨率和刷新率调得太高,下次启动时屏幕花屏,害得的重新安装了操作系统才算了事。
现在想起来那时也真的傻瓜可爱,只要将其重启到安全模式(前四种模式都行)下,删除显卡驱动程序,再重启电脑即可,重启(正常启动)时,系统会自动扫描显卡并安装驱动程序,屏幕即可恢复正常显示。
还有些问题也可用这种方法来处理,比如Windows XP会自动识别硬件并安装驱动程序,但有时总是老眼昏花,而且在设备管理器下不会显示出错信息。但就是工作不正常,如上不了网(网卡驱动有错)、屏幕显示不对(显卡驱动有错)等,也可在安全模式重新安装驱动程序。
2.揪出恶意的自启动程序或服务
如果电脑出现一些莫明其妙的错误,比如上不了网,按常规思路又查不出问题,可启动到带网络连接的安全模式下看看,如果在这里能上,则说明是某些自启动程序或服务影响了网络的正常连接。
可在带网络连接的安全模式下,用带重定向的命令提示符工具TaskList d:Anquan.txt将当时的进程记录到D:盘根目录下的文本文件 Anquan.txt中。接着,以正常的方式启动电脑,将Anquan.txt中记录到的进程与此时的进程进行比较,你会发现此时的进程要多得多,请逐个结束多出来的进程,并检查网络连接是否正常。如果结束到某一进程时网络连接正常了,则说明就是刚结束的进程就是罪魁祸首。查出后,可删除与进程相关的可执行文件。但还要注意的是,由于它是自动运行的,强行删除后,可能会引起启动时报找不到某文件的错误,还得将其与自启动有关的设置全部清除,包括系统配置实用程序的启动、Win.ini下的内容、注册表下的内容、启动脚本下的内容、开始菜单启动下的内容等。
按照市人社局职建科工作要求,我校于****年***月3日到5日由***校长领导的安全领导小组对学校的安全工作展开了全面、认真的自检自查,现将自查情况报告如下:
一、认真贯彻落实安全管理制度
学校严格按照上级有关规定的文件精神,花大力气加强学校安全管理工作,建立健全各项安全管理制度,落实责任制,做到职责明确、责任到人、坚守岗位、认真负责、严格考评,建立健全了校园安全应急预案。
二、加强安全教育
1、安全工作不可一日不提,更不可一时不防。我校高度重视安全教育工作,有计划地对学员进行安全预防及养成教育。充分利用活动课、学科教学的渗透形式,开展安全教育活动,增强师生的安全防范意识和自护自救能力,要求全体教师根据相关内容渗透安全教育。学校利用主题班队、黑板报、开小会等多种形式加强宣传教育。
2、利用班主任安全教育培训手册针对不同时间段组织学员开展防雷、防震、防汛、防溺水、防火、防盗、防毒、防触电等进行疏散逃离演练教育。
3、聘请校外法制副校长为学生进行安全法制教育。
三、开展安全工作情况
安全工作,责任重于泰山。我校本着“安全第一”的思想,严格落实各项安全工作、措施,学校安全领导小组每月对校园进行一次全面的检查,每月至少召开一次安全工作专题会议,安全员随时对校园进行检查,把安全隐患消灭在萌芽状态之中。认真落实《食品卫生法》和《传染病防治法》,加强饮食卫生管理,教室内尽量不向学员提供饮用水。加强学校周边环境的安全治理,校园周边200米内无网吧、游戏厅。
四、存在隐患
目前,学校存在的安全隐患如下:
1、消防设备不全,需要加大投入,增添设备,多购买几个灭火器。
2、我们将进一步加强安全管理工作,防止安全事故发生,为了学员的'人身安全,我们将不懈努力地去工作,把一切安全隐患消灭在萌芽之中。
根据麦政办[20xx]3号“关于开展春节期间安全生产大检查的通知”文件精神,教育系统党委狠抓落实,认真开展自查整改工作,现将有关情况汇报如下:
一、领导重视,认真部署
为做好春节期间安全生产工作,教育系统党委及时召开专题会议,要求各学校要保持高度警惕,坚持“安全第一,预防为主,综合治理”的方针,加强组织领导,狠抓安全生产责任制的落实,确保学校安全工作扎实有效。
二、加强自查整改力度,及时消除安全隐患
为确保学校春节期间安全生产工作,各学校严格按照县人民政府和教育系统党委的要求,积极做好本单位安全生产的自查工作,重点对学校的教室、学生宿舍、实验室、计算机室、食堂、楼道、住房进行了检查。从检查情况看:一是各学校安全措施落实到位,各学校的消防安全工作均专人负责,并经常督促有关人员定期对学校所有电路和消防设施进行检修,做到规范用电,加强了危险化学品和食堂卫生的管理,消除了安全隐患,各学校在宿舍、教室、楼道、实验室等重要部位都置了灭火器。二是各学校都有较完善的《应急突发事件应急预案》,都认真制定了节日期间值班表,每天都有一名领导带班。三是有施工场地的学校,用围墙把施工场地和学生活动场所隔开,学校并对师生进行不进入施工现场的安全教育。
三、强化宣传教育,营造良好的安全生产氛围
全县各校通过黑板报、广播、标语、警示牌等宣传媒体,广泛宣传安全生产法律法规,普及安全生产知识,用大家身边发生的安全事故来警示学生,向学生传授自救常识。
四、存在的问题
检查中发现:有个别学校有乱拉电线现象,没有及时将电源开关关好,有废弃电线没有及时清理等。要求学校立即整改。
××中学现有学生××人,住宿生××人。随着“以人为本”的教育思想和“服务育人”的管理理念的逐步确立,做好安全工作,保障师生身体健康,成了学校工作的重中之重。我校坚持“安全第一,预防为主”的方针,以“查找隐患,堵塞漏洞”为主要内容,认真学习上级下发的各类有关安全方面的文件精神和学校安全方面的各类规范,立足防范,强化监督,落实责任,加强管理,学校安全工作已实现了常规化、规范化、制度化、科学化,以确保全体师生的平安健康。根据区教育局安排和上级领导的要求,我校再次对学校周边治安环境进行了自查。现报告如下:
一、安全检查情况:
(一)、安全保卫方面:
学校实行封闭式管理。在校门处设置值班室或警务室。聘请了专职门卫并切实履行门卫职责。在校园出入口及门前两侧、学生宿舍楼(区)、办公楼、教学楼、学校食堂、操场、停车场所主要出入口和主要通行区等重点部位安装视频监控系统。器械按标准配齐,使用功能正常。校外人员及危险物品入校执行了严格的登记制度。做到未经允许,禁止任何人进入校(园)区。在学校视频监控报警室、财务室、电教室、实验室以及保密、危险物品存放点等重要部位出入口安装防盗安全门。学生上、下学时段,公安机关落实“见警察、见警车、见警灯”。每学期开学报名日、寒暑假放假日,公安机关、教育行政主管部门派员巡视督导。建立了2人以上由年轻教职员工或志愿者组成的护校队,在上、下学时段在大门口、学生宿舍门口及校(园)区巡逻守护。
(二)、校园周边与环境方面:
学校周边道路交通不存在安全隐患;学校附近有学校标志,学校门前设置有禁停、警示、限速标志线。周边商业网点无经营有毒、有害、放射性、噪音污染环境等影响学生身体健康和具有火灾隐患的经营项目;学校周边无设立电子游戏场所,200米内无网吧、文化娱乐设施符合规定,无非法经营的报刊点、音像店、小卖部、饮食摊点等。校园周边区域的山体、水流对学校建筑物、活动场所,通道等不存在安全隐患。学校周边无不良团伙敲诈、勒索学生现象及其他违法行为。校内及周边人员 无心理、精神异常情况,无因家庭和社会矛盾等问题报复社会的倾向。学校周边无恶犬、马蜂、毒蛇等出没。
(三)、校舍与设施安全方面:
学校无D级危房。校舍门窗(玻璃)门锁安装是牢固,建筑面砖粘结牢固,扶手、栏杆牢固。楼房天面、外墙、阳台、楼梯围栏无裂缝、变形,屋顶抹灰无空鼓等不安全情况。有围墙,围墙安全可靠;墙上悬挂物、广告牌等牢固安全。对楼梯、高地(高坎)、水池、堰塘、看台、围栏等易发生危险的地方有警示与防护。运动场、娱乐活动设施如旗杆、球架是牢固,按要求正常维护,符合安全要求。安全疏散通道畅通,安全出口有明显的指示标志;中小学教室后门做到早开晚锁。 学校场地未出租给他人从事易燃、易爆、有毒、有害等危险品的生产、经营活动。
(四)、学生宿舍安全方面:
宿舍安全通道通畅。学校教学楼、宿舍楼过道有应急照明灯等安全应急管理措施。学生提前离校,有班主任和学校指定领导签字。学校配备教师或管理人员专门负责管理学生宿舍,落实夜间值班、巡查制度,坚持对寄宿学生实行晚点名和定时查铺。宿舍铁架床护栏有20厘米高,不存在不牢固等隐患。配备专人负责住宿学生的生活管理和安全保卫。有实验室管理制度、实验员工作职责、实验安全工作领导小组及责任人,并置于实验室显著位置。教学用的辐射材料、危险化学药品有标识,有指定安全存放地点,有专人保管,有专项管理制度。建立了危险化学品,放射物质的购买、保管、使用、登记、注销等制度,保证将危险化学品、放射物质存放在安全地点,并有专人保管。定期对实验室的照明灯具、大功率电器插头插座进行全面检查,发现问题及时解决。
(五)、消防安全方面:
消防设施、应急照明、指示标志、疏散通道、安全出口符合国家有关标准, 做到了防“燃头”,不堵道,查开关,查线路。各类场所按规定要求配置消防器材,消防器材能正常使用。消防设施与消防器材的日常维护、添置落实,有消防水管、消防栓状态检查、维修保养档案。学校的教学、实验、餐厅、宿舍等各类用房按规定设置防火隔离门和疏散通道;安全出口和消防车通道保持畅通。食堂的锅炉达到技术监督部门的要求。
(六)、交通安全方面:
学校无校车。学校有专人对学生上学、放学时的交通状况进行检查、督促、管理。对接送学生车辆进行了登记、检查、督促其规范运营。接送学生的车辆检验合格,并定期维护和检测;驾驶员资质符合交管部门的规定。接送学生上下学车辆按要求与家长签订了安全管理目标责任书;接送学生上下学车辆具有合格资质,配备有灭火器。接送学生的车辆有明确规定的线路和停放地点;学生无骑自行车、电动车上学的情况。学生集体乘车外出活动履行报批手续,有足够教师全程陪护和管理。
(七)、用电安全方面:
学校高压电设施符合国家规定的要求。学校各类场所电线无老化、护套破损、电脑室、多媒体教室等场所强、弱电分开,电器连接科学合理。空调机(室内外)、照明灯吊悬挂挂牢固,能正常使用。教室、实验室等各功能室线路无裸露、老化;照明设备处于正常状态。教室、实验室等各功能室的电线、插座等用电设施设备安全,电器设施完善,接地可靠。校内电网铺设及电器设符合国家有关标准,电线规格与电器容量相匹配,楼梯走道有照明设施。
(八)、食品卫生安全与疾病预防方面:
学校严格执行《学校食堂与学生集体用餐卫生管理规定》、《传染病防治法》、《学校卫生工作条例》,严格遵守卫生操作规范。食堂“三证”(检验检疫证、质量合格证、餐饮许可证)按时办理,学生食堂食品的购买、运输、储存、加工符合卫生标准和有关要求;坚持食品留样制度。食堂工作人员“两证”齐全,工作时坚持穿戴工作衣帽。生熟食品分开存放,无过期变质食品。食堂建筑、设施符合卫生标准及安全要求;锅炉房、蒸气管道、蒸柜等厨房设施设备做到定期检查,防止泄漏措施完善。食堂的清洗、消毒有标记、有灭蝇灭鼠设施。学校超市、小卖部进货渠道正规,环境整洁、卫生,不存在“三无”食品和过期霉变食品。饮用水符合国家饮用水标准的安全。晨检的登记(时间、内容,因病缺勤、病因追查)落实。 对经常接触的物体(门把手、课桌椅、餐桌、婴儿床栏杆、楼梯把手、玩具、游乐设施、寝具及书本等)按时进行消毒。学校结合生命教育课程,对流行感冒、H7N9乙肝、脑炎、艾滋病等疾病进行预防常识的教育。
(九)、教学活动安全方面:
实验课、体育课严格按上级教育部门制定的教学安全操作规程进行,向学生说明注意事项,并把规程张贴在显著位置。学校体育设施和器械符合标准、牢固无安全隐患。学生上下楼道合理安排了学生疏散时间和顺序,安排了人员在关键位置巡查。放学时,安排了教师值班,楼道备应急照明,防止发生停电拥挤踩踏事故有预案。实行严格的接送的交接制度。因故调整上课时间造成学生非正常节假日放假,学校以校讯通形式提前通知家长。教职员工无体罚与变相体罚学的现象。
(十)、生命安全教育与心理健康教育方面:
中小学生命安全教育落实每周一课时,心理健康教育落实每二周一课时。有兼职心理健康教育教师。学校按要求组织心理健康教育教师和生命安全教育参加研训活动。配备心理健康教育咨询室和生命安全教育设备设施。
(十一)、校外活动安全方面:
学校组织文艺大型活动,有安全防护措施,进出场有专人维持秩序和进出场活动安排。组织学生参加校外活动先制定预案,配备救护药品器材,每班有2名以上教师全程陪护和管理。学校无组织学生参加参加商业性和抢险性质的违规活动。学校建有特定疾病,特异休质,心理异常的学生档案,在教育教学活动中能采取相应防护措施,必要时通知监护人。
二、存在问题:
(一)、学校配备的安保人员由老师担任,不是从当地保安服务公司或复员退伍军人中聘请。
(二)、门卫室(传达室)、监控室及每栋教学楼、学生宿舍楼未安装与派出所一键式报警装置。
(三)学校前过街公路人行上未划横道线。
三、问题整改情况:
(一)、加强安保人员培训,做到持证上岗。
(二)与派出所联系,在教学楼、宿舍楼安装与派出所一键式报警装置。在过街公路上划人行横道。
四、主要做法:
(一)、健全组织,层层落实目标责任制
第一,学校成立了安全领导小组。组长为×××校长,副组长×××,成员有×××、×××、×××、×××、×××及各班班主任。还成立安全工作办公室,负责各项活动的协调和落实工作,其次,制定了切实可行的计划,把活动要做的工作列清楚,把规章制度订好,以便按部就班、有章可循,把可能出现的问题估计足,以便早做工作,在全校安全工作上做到同布置、同实施、同检查、同评比。第三,层层签订目标责任状,使每一级都有明确的任务和要求,班主任、任课教师分别与领导小组签订目标责任状。由于组织健全、网络畅通,为学校安全工作的有效运行提供了强有力的保证。
(二)、广泛宣传,加强全体师生安全防范意识
充分利用各种渠道对全体师生进行安全生产意识教育,是我校安全工作的重要内容。为此,我校利用全体教师会、全体学生会进行安全活动总动员,并做了大量耐心细致的工作,充分发挥青年广播站、课堂、班会主渠道的作用,进行安全意识的渗透。每周班会课都有计划、有步骤地安排,收到了很好的效果。其次,充分利用宣传工具如广播、黑板报、悬挂标语、散发安全小常识材料等形式,对学生安全意识的培养起到了良好的辅助作用。这些渗透潜移默化,给学生留下了深刻的印象。
(三)、规范管理,促进完善教育教学的正常运作
机构的建立和宣传活动只是为安全工作提供了保证,而规范的管理和科学动作才是其关键所在。学校领导意识到“安全”工作关系到每个人的利益,“安全工作,人人有责”。
(四)、加强学生的思想道德建设
我们重点抓了学生的常规管理和中学生日常行为规范的教育,让学生学会自己管理自己,从而养成良好的文明习惯,促进了学校的周边环境建设;同时还加强了文明监督岗管理工作。我们采取了定班、定员、定岗和择优的方法,让值周人员加强课间检查,放学时站在校门口进行进出人员的管理,严防非法人员的进入,保证了正常的教学秩序,维护了师生人身安全。
(五)、高度重视校舍安全管理工作
校舍安全是学校安全的重要内容,是涉及师生生命财产安全的大事,我校站在落实科学发展观的高度,进一步树立生命至上、安全第一的思想,充分认识到校舍安全的重要性和紧迫性,将消除校舍安全隐患,作为当前保护广大师生员工的生命和财产安全,稳定学校和社会大局的重要工作,放在突出位置来抓,要杜绝侥幸心理,开展经常性安全教育活动,建立建全安全检查制度,建立建全校舍安全预警体系并制定防险救灾应急预案,确保师生生命安全。
(六)、重视和加强学校周边环境管理工作
教育环境的好坏,对教育教学质量的提高起着至关重要的作用,为了治理好学校周边环境,学校成立了治理周边环境工作领导小组,由校长主要负责领导工作,把治理学校周边环境纳入了学校工作议事日程,建立了领导责任制,切实担负起治理周边环境的职责。围绕这一主题,我们主要做好了以下几个方面的工作:(1)着重治理了校内小环境,加强校园管理与学生管理工作,对学生进行了思想教育和遵守纪律教育,使他们养成良好的习惯;(2)做好宣传工作,使全体师生明确治理周边环境的重要意义,让他们积极参与此项工作:(3)制定切实可行的治理措施,净化了校园周边环境,促进了学生的健康成长。
我校接到文件通知,领导非常重视,立刻召开领导班子会议,按照文件有关要求,立即在校内开展安全自查工作。学校主要领导亲自挂帅,分工负责,层层落实。我们将继续努力加强管理,深入贯彻上级有关精神,积极开创学校卫生安全工作的新局面,为全体师生的身心健康保驾护航。
