Windows Server 2008安全配置基础
一、及时打补丁
二、阻止恶意Ping攻击
我们知道,巧妙地利用Windows系统自带的ping命令,可以快速判断局域网中某台重要计算机的网络连通性;可是,ping命令在给我们带来实用的同时,也容易被一些恶意用户所利用,例如恶意用户要是借助专业工具不停地向重要计算机发送ping命令测试包时,重要计算机系统由于无法对所有测试包进行应答,从而容易出现瘫痪现象。为了保证Windows Server 2008服务器系统的运行稳定性,我们可以修改该系统的组策略参数,来禁止来自外网的非法ping攻击:
首先以特权身份登录进入Windows Server 2008服务器系统,依次点选该系统桌面上的“开始”/“运行”命令,在弹出的系统运行对话框中,输入字符串命令“gpedit.msc”,单击回车键后,进入对应系统的控制台窗口;
其次选中该控制台左侧列表中的“计算机配置”节点选项,并从目标节点下面逐一点选“Windows设置”、“安全设置”、“高级安全Windows防火墙”、“高级安全Windows 防火墙——本地组策略对象”选项,再用鼠标选中目标选项下面的“入站规则”项目;
接着在对应“入站规则”项目右侧的“操作”列表中,点选“新规则”选项,此时系统屏幕会自动弹出新建入站规则向导对话框,依照向导屏幕的提示,先将“自定义”选项选中,再将“所有程序”项目选中,之后从协议类型列表中选中“ICMPv4”,如图3所示;
协议类型列表中选中“ICMPv4”,
之后向导屏幕会提示我们选择什么类型的连接条件时,我们可以选中“阻止连接”选项,同时依照实际情况设置好对应入站规则的应用环境,最后为当前创建的入站规则设置一个适当的名称。完成上面的设置任务后,将Windows Server 2008服务器系统重新启动一下,这么一来Windows Server 2008服务器系统日后就不会轻易受到来自外网的非法ping 测试攻击了。
小提示:尽管通过Windows Server 2008服务器系统自带的高级安全防火墙功能,可以实现很多安全防范目的,不过稍微懂得一点技术的非法攻击者,可以想办法修改防火墙的安全规则,那样一来我们自行定义的各种安全规则可能会发挥不了任何作用。为了阻止非法攻击者随意修改Windows Server 2008服务器系统的防火墙安全规则,我们可以进行下面的设置操作:
首先打开Windows Server 2008服务器系统的“开始”菜单,点选“运行”命令,在弹出的系统运行文本框中执行“regedit”字符串命令,打开系统注册表控制台窗口;选中该窗口左侧显示区域处的HKEY_LOCAL_MACHINE节点选项,同时从目标分支下面选中SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallR ules注册表子项,该子项下面保存有很多安全规则;
其次打开注册表控制台窗口中的“编辑”下拉菜单,从中点选“权限”选项,打开权限设置对话框,单击该对话框中的“添加”按钮,从其后出现的帐号选择框中选中“Everyone”帐号,同时将其导入进来;再将对应该帐号的“完全控制”权限调整为“拒绝”,最后点击“确定”按钮执行设置保存操作,如此一来非法用户日后就不能随意修改Windows Server 2008服务器系统的各种安全控制规则了。
三、加强系统安全提示
为了防止在Windows Server 2008服务器系统中不小心进行了一些不安全操作,我们建议各位还是将该系统自带的UAC功能启用起来,并且该功能还能有效防范一些木马程序自动在系统后台进行安装操作,下面就是具体的启用步骤:
首先以系统管理员身份进入Windows Server 2008系统,在该系统桌面中依次点选"开始"、"运行"命令,在弹出的系统运行文本框中,输入"msconfig"字符串命令,单击"确定"按钮后,进入对应系统的实用程序配置界面;
其次在实用程序配置界面中单击"工具"标签,进入如图4所示的标签设置页面,从该设置页面的工具列表中找到"启用UAC"项目,再单击"启动"按钮,最后单击"确定"按钮并重新启动一下Windows Server 200 8系统,如此一来用户日后在Windows Server 2008服务器系统中不小心进行一些不安全操作时,系统就能及时弹出安全提示。
四、不让恶意插件偷袭
当我们使用Windows Server 2008系统自带的IE浏览器访问Internet网络中的站点内容时,经常会看到有一些恶意插件程序偷偷在系统后台进行安装操作,一旦安装完毕后,我们往往很难将它们从系统中清除干净,并且它们的存在直接影响着Windows Server 2008系统的工作状态以及运行安全。为了不让恶意插件程序偷袭Windows Server 2008系统,我们可以通过下面的设置操作,来阻止任何来自Internet网络中的下载文件安装保存到本地系统中:
首先以系统管理员身份进入Windows Server 2008系统,在该系统桌面中依次点选"开始"、"运行"命令,在弹出的系统运行文本框中,输入"gpedit.msc"字符串命令,单击"确定"按钮后,进入对应系统的组策略编辑窗口;
其次将鼠标定位于组策略编辑窗口左侧的"计算机配置"节点选项上,再从该节点选项下面依次点选"管理模板"、"Windows组件"、"Internet Explorer"、"安全功能"、"限制文件下载"组策略子项,在对应"限制文件下载"子项下面找到"Internet Explorer进程"目标组策略,并用鼠标双击该选项,进入如图5所示的属性设置界面;
在该属性设置界面中检查"已启用"选项是否处于选中状态,如果发现该选项还没有被选中时,我们应该将它重新选中,最后单击"确定"按钮保存上述设置操作,这样的话日后要是有恶意插件程序想偷偷下载保存到本地系统硬盘中时,我们就能看到对应的系统提示,单击提示窗口中的"取消"按钮就能阻止恶意插件程序下载安装到Windows Server 2008系统硬盘中了。
五、拒绝网络病毒藏于临时文件
现在Internet网络上的病毒疯狂肆虐,一些“狡猾”的网络病毒为了躲避杀毒软件的追杀,往往会想方设法地将自己隐藏于系统临时文件夹,那样一来杀毒软件即使找到了网络病毒,也对它无可奈何,因为杀毒软件对系统临时文件夹根本无权“指手划脚”。为了防止网络病毒隐藏在系统临时文件夹中,我们可以按照下面的操作设置Windows Server 2008系统的软件限制策略:
首先打开Windows Server 2008系统的“开始”菜单,从中点选“运行”命令,在弹出的系统运行对话框中,输入组策略编辑命令“gpedit.msc”,单击“确定”按钮后,进入对应系统的组策略控制台窗口;
图2 将“安全级别”参数设置为“不允许”
其次在该控制台窗口的左侧位置处,依次选中“计算机配置”/“Windows设置”/“安全设置”/“软件限制策略”/“其他规则”选项,同时用鼠标右键单击该选项,并执行快
捷菜单中的“新建路径规则”命令,打开如图2所示的设置对话框;单击其中的“浏览”按钮,从弹出的文件选择对话框中,选中并导入Windows Server 2008系统的临时文件夹,同时再将“安全级别”参数设置为“不允许”,最后单击“确定”按钮保存好上述设置操作,这样一来网络病毒日后就不能躲藏到系统的临时文件夹中了。
六、巧妙实时监控系统运行安全
为了能够在第一时间发现潜藏在本地系统中的安全威胁,相信很多人都安装了专业的监控工具,来对系统的运行状态进行全程监控。其实,Win2008系统也自带有实时监控程序Windows Defender,只是该程序并不像其他应用程序那样会在系统托盘区域处出现一个控制图标,不过该程序一旦看到Win2008系统遭遇间谍程序的攻击时,它往往会立即发挥作用来帮助用户解决问题。尽管Windows Defender程序平时并不显现出来,不过该程序实际上在系统后台启动了一个服务,通过该系统服务默默地保护Win2008系统的安全;我们可以按照下面的操作,确认Windows Defender程序的服务状态是否正常:
首先依次点选Win2008系统桌面中的“开始”/“运行”命令,在弹出的系统运行对话框中,输入字符串命令“services.msc”,单击回车键后,打开系统服务列表窗口;
其次从系统服务列表窗口的左侧位置处,找到目标系统服务选项“Windows Defender”,并用鼠标右键单击该选项,从弹出的快捷菜单中执行“属性”命令,打开Windows Defender 服务的属性设置窗口,在该窗口的“常规”标签页面中,我们可以非常清楚地看到目标系统服务的运行状态是否正常,要是发现该服务已经被关闭运行时,我们必须及时单击“启动”按钮将它重新启动起来,同时将它的启动类型参数修改为“自动”,最后单击“确定”按钮保存好上述设置操作,这么一来我们就能确保Windows Defender服务时刻来保护Win2008系统的安全了。
为了让Windows Defender服务更有针对性地进行实时监控,我们还可以修改Win2008系统的组策略参数,让Windows Defender程序对已知文件或未知文件进行监测,同时对监测结果进行跟踪记录,下面就是具体的修改步骤:
首先在Win2008系统桌面中依次单击“开始”/“运行”命令,在弹出的系统运行对话框中,输入字符串命令“gpedit.msc”,单击回车键后,打开系统的组策略控制台窗口;
其次在该控制台窗口的左侧显示区域处,依次点选“计算机配置”/“管理模板”/“Windows 组件”/“Windows Defender”组策略子项,从目标子项下面找到“启用记录已知的正确检测”选项,并用鼠标右键单击该选项,从弹出的快捷菜单中执行“属性”命令,打开目标组策略的属性设置窗口,如图3所示;
在该设置窗口中,检查“已启用”选项是否处于选中状态,如果发现该选项还没有被选中时,我们必须及时将它重新选中,再单击“确定”按钮保存好上述设置操作。按照同样的操作步骤,我们再打开“启用记录未知检测”组策略的属性设置对话框,选中其中的“已启用”选项,这么一来Win2008系统日后就会对各种类型的文件进行自动检测、记录,我们只要定期查看记录内容就能知道本地系统是否存在安全威胁了。
七、及时监控系统账号恶意创建
有的时候,一些非法攻击者会利用木马程序偷偷在计算机系统中恶意创建登录帐号,以便日后可以利用该帐号来对本地系统实施非法攻击。为了及时监控本地系统中是否有新的账号被偷偷创建,我们可以巧妙利用Win2008系统的附加任务功能,针对系统帐号创建事件添加自动报警任务,确保系统中有新的登录帐号生成时,及时向系统管理员发出报警信息,确保系统管理员在第一时间判断出新创建的登录帐号是否合法,下面就是具体的实现步骤:
首先在Win2008系统桌面中,依次点选“开始”/“运行”命令,从弹出的系统运行框中执行“secpol.msc”命令,进入本地安全策略设置界面,从该界面的左侧位置处逐一展开“安全设置”、“本地策略”、“审核策略”节点选项,再从目标节点下面找到“审核帐户管理”组策略选项,
打开如图4所示的设置对话框,将该对话框中的“成功”、“失败”选项全部选中,再单击“确定”按钮保存好上述设置操作;
其次用鼠标右键单击Win2008系统桌面中的“计算机”图标,从弹出的快捷菜单中点选“管理”命令,打开对应系统的计算机管理对话框,在该对话框的左侧显示区域依次点选“服务器管理器”/“配置”/“本地用户和组”/“用户”选项,同时用鼠标右键单击该选项,并执行快捷菜单中的“新用户”命令,在其后出现的新用户创建对话框中,随意创建一个用户账号,一旦创建成功后,系统就会自动生成一个登录账号创建成功日志记录;
接着依次单击“开始”/“程序”/“管理工具”/“事件查看器”选项,打开事件查看器控制台窗口,从该控制台窗口的左侧位置处依次点选“Windows日志”/“系统”分支选项,并从目标分支下面找到刚刚生成的新用户账号创建成功的日志记录,再用鼠标右键单击该记录选项,同时执行右键菜单中的“将任务附加到此事件”命令,打开创建基本任务向导对话框;
按照向导提示将基本任务名称设置为“账号创建报警”,将该任务执行的操作设置为“显示消息”,之后设置消息标题为“谨防账号被恶意创建”,将消息内容设置为“有新用户账号刚刚被创建,请系统管理员立即验证其合法性”,最后单击“完成”按钮结束基本任务的附加操作,
如此一来日后本地Win2008系统中有新的用户账号被偷偷创建时,系统屏幕上会立即出现“有新用户账号刚刚被创建,请系统管理员立即验证其合法性”这样的提示信息,看到这样的提示系统管理员就能及时监控到有人在偷偷创建用户账号了,此时只要采用针对性措施进行应对就能保证本地Win2008系统的运行安全性了
八、限制数量,确保远程连接高效
很多人为了方便管理Windows Server 2008服务器系统,往往会将该系统的远程桌面连接数量设置得很大;殊不知,每一个远程桌面连接都需要耗费Windows Server 2008服务器系统资源,一旦同时建立的远程连接数量比较多时,那么Windows Server 2008服务器系统的反应就比较迟钝,这样一来每一个远程桌面连接的反应自然也就迟钝了,此时自然也就不能高效进行远程控制操作了。为了确保远程桌面连接始终高效,我们可以对Windows Server 2008服务器系统允许建立的远程连接数量进行适当限制,下面就是具体的限制步骤:
首先打开Windows Server 2008服务器系统的“开始”菜单,从中依次点选/“设
置”/“控制面板”命令,在弹出的系统控制面板窗口中,用鼠标双击“管理工具”图表,再从系统管理工具列表窗口中依次双击“终端服务”、“终端服务配置”选项,弹出系统终端服务配置界面;
其次在终端服务配置界面的左侧位置处单击“授权诊断”节点选项,选中在对应该分支选项的右侧显示区域中的“RDP-Tcp”选项,并用鼠标右键单击“RDP-Tcp”选项,再点选快捷菜单中的“属性”命令,进入到“RDP-Tcp”选项设置界面;
点选“RDP-Tcp”选项设置界面中的“网络适配器”选项卡,在对应的选项设置页面中,将最大连接数参数修改为适当的数值,该数值通常需要根据服务器系统的硬件性能来设置,一般情况下我们可以将该数值设置为“5”以下,最后单击“确定”按钮执行设置保存操作。
图2 修改注册表限制远程连接数量
要是我们对系统注册表比较熟悉的话,也可以通过修改系统相关键值的方法,来限制Windows Server 2008服务器系统的远程桌面连接数量;我们可以打开对应系统的“开始”菜单,从中点选“运行”命令,在弹出的系统运行对话框中输入字符串命令“regedit”,单击回车键后,进入系统注册表控制台窗口;展开该控制台窗口中的
“HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows
NT\Terminal Services”注册表子项(如图2所示),在目标注册表子项下面创建好“MaxInstanceCount”双字节值,同时将该键值数值调整为“10”,最后单击“确定”按钮保存好上述设置操作。
九、防止系统安全级别意外降低
在公共场合下,与他人共用一台电脑的事情是经常会出现的,当我们辛辛苦苦地将本地电脑的IE浏览器安全级别调整合适后,肯定不想让其他人再随意降低它的安全级别,毕竟随意降低IE浏览器的安全级别,容易引起本地电脑遭遇网络病毒或恶意木马的袭击,最终造成所有的人都不能正常使用电脑。为了防止系统安全级别意外降低,安装了Windows Server 2008系统的电脑可以允许用户进行下面的设置操作:
首先在Windows Server 2008系统桌面中逐一点选“开始”、“运行”命令,打开对应系统的运行文本框,在其中输入“gpedit.msc”字符串命令,单击“确定”按钮后进入对应系统的组策略控制台窗口;
其次将鼠标定位于该控制台窗口左侧子窗格中的“用户配置”节点选项,再从目标节点选项下面依次展开“管理模板”、“Windows组件”、“Internet Explorer”、“Internet控制模板”组策略子项,再用鼠标双击目标组策略子项下面的“禁用安全页”选项,打开如图4所示的目标组策略属性设置对话框;
检查该设置对话框中的“已启用”选项是否处于选中状态,如果发现它还没有被选中时,我们应该及时将它重新选中,再单击“确定”按钮保存好设置操作,这样的话其他人日后即使进入到Windows Server 2008系统的Internet选项设置窗口,也不能进入其中的安全设置页面,因为该页面已经被自动隐藏起来了,如此一来其他人自然就不能随意在安全设置页面中改动本地电脑的安全访问级
别了,这时Windows Server 2008系统的访问安全性也就有保证了。
此外,我们也能通过合适设置将本地电脑IE浏览器窗口中的“Internet选项”命令隐藏起来,让其他人无法打开IE浏览器的选项设置窗口,这样也能阻止恶意用户随意降低本地电脑的安全访问级别。在隐藏“Internet选项”选项命令时,我们可以先进入Windows Server 2008系统的组策略控制台窗口,依次展开其中的“用户配置”、“管理模板”、“Windows组件”、“Internet Explorer”、“浏览器菜单”分支选项,再在目标分支选项的右侧子窗格中双击“禁用
Internet选项”项目,在其后出现的组策略属性界面中,选中“已启用”项目,再单击“确定”按钮就OK了。
十、巧妙备份系统所有账号信息
通常情况下,Windows Server 2008系统中往往会同时保存有不少用户的系统登录账号信息,这些登录账号信息在服务器系统突然遭遇崩溃故障时,很可能会永远丢失掉,日后网络管理员可能很难通过大脑记忆的方法将所有丢失的用户账号逐一恢复成功。为了防止重要用户的账号信息发生丢失,我们应该及时在Windows Server 2008系统工作正常的时候,对用户账号信息进行巧妙备份,然后将备份文件保存到其他安全的地方,日后Windows Server 2008系统要是发生故障而不能正常启动运行时,用户账号信息也不会受到任何损坏,因为到时候将备份好的用户帐号恢复一下就可以了,下面就是备份用户账号的具体步骤:
首先打开Windows Server 2008系统桌面的“开始”菜单,从中点选“运行”命令,在其后出现的系统运行对话框中,输入“credwiz”字符串命令,单击“确定”按钮后,打开如图5所示的备份还原设置对话框;
其次将其中的“备份存储的用户名和密码”项目选中,同时根据向导提示单击“下一步”按钮,在其后界面中单击“浏览”按钮,打开文件选择对话框,在这里我们需要指定好保存用户帐号的文件名称以及保存位置,之后再单击对应对
话框中的“保存”按钮,如此一来在Windows Server 2008系统环境下创建的所有用户账号信息都将被自动保存到特定的文件中了,只是该文件默认会使用crd 扩展名;
日后一旦发现Windows Server 2008系统的用户账号意外丢失时,我们只要将之前备份好的用户账号文件复制到Windows Server 2008系统环境下,之后再依次单击“开始”/“运行”命令,从其后出现的系统运行框中执行字符串命令“credwiz”,进入用户帐号还原向导设置窗口,选中其中的“还原存储的用户名和密码”功能选项,然后将目标用户帐号备份文件选择并加入进来,最后单击“还原”按钮,这样一来发生丢失或受到损坏的用户账号信息就能被成功恢复好了。
XXXX农商银行 信息系统安全配置基线规范 1范围 本规范适用于XXXX农商银行所有信息系统相关主流支撑平台设备。 2规范性引用文件 下列文件对于本规范的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本规范。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本规范。 ——中华人民共和国计算机信息系统安全保护条例 ——中华人民共和国国家安全法 ——中华人民共和国保守国家秘密法 ——计算机信息系统国际联网保密管理规定 ——中华人民共和国计算机信息网络国际联网管理暂行规定 ——ISO27001标准/ISO27002指南 ——公通字[2007]43号信息安全等级保护管理办法 ——GB/T 21028-2007 信息安全技术服务器安全技术要求 ——GB/T 20269-2006 信息安全技术信息系统安全管理要求 ——GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求 ——GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南 3术语和定义 安全基线:指针对IT设备的安全特性,选择合适的安全控制措施,定义不同IT设备的最低安全配置要求,则该最低安全配置要求就称为安全基线。 管理信息大区:发电企业、电网企业、供电企业内部基于计算机和网络技术的业务系统,原则上划分为生产控制大区和管理信息大区。生产控制大区可以分为控制区(安全区I)和非控制区(安全区Ⅱ);管理信息大区内部在不影响生产控制大区安全的前提下,可以根据各企业不同安全要求划分安全区。根据应用系统实际情况,在满足总体安全要求的前提下,可以简化安全区的设置,但是应当避免通过广域网形成不同安全区的纵向交叉连接。 4总则 4.1指导思想 围绕公司打造经营型、服务型、一体化、现代化的国内领先、国际著名企业的战略总体目标,为切实践行南网方略,保障信息化建设,提高信息安全防护能力,通过规范IT主流设备安全基线,建立公司管理信息大区IT主流设备安全防护的最低标准,实现公司IT主流设备整体防护的技术措施标准化、规范化、指标化。 4.2目标
无线控制器(WLC)配置 1.无线控制器WLC的初始配置 连接到WLC的console口,启动超级终端或其它终端软件,把com口属性设置还原为默认值(如下图),点确定应用配置 回车进入命令行管理界面 选择“5. Clear Configuration”,(注意:不同版本的选项顺序不同,要注意查看,而且该处停留时间较短,请及时选择操作序号),清除原有设置,并进行初始设置。 随后根据系统提示完成以下配置: Welcome to the Cisco Wizard Configuration Tool
Use the '-' character to backup System Name [Cisco_40:4a:03]: Enter Administrative User Name (24 characters max): admin //管理员帐号和密码 Enter Administrative Password (24 characters max): ***** Re-enter Administrative Password: ***** Management Interface IP Address: 10.10.11.100 //通过网络远程管理的IP Management Interface Netmask: 255.255.255.0 //掩码 Management Interface Default Router: 10.10.11.1 //管理地址默认路由地址Management Interface VLAN Identifier (0 = untagged): 0 //指定vlan号,0表示WLC工作在vlan 0网段,该vlan 0网段相当于交换机的默认vlan网段,即相当于vlan 1网段。 Management Interface DHCP Server IP Address: 10.10.11.1 //指向DHCP服务器地址,服务器负责DHCP服务功能。 Virtual Gateway IP Address: 1.1.1.1 //cisco推荐的虚拟地址 Mobility/RF Group Name: wuxian Network Name (SSID):wuxian //设置初始wlan Allow Static IP Addresses [YES][no]: yes //允许手工配置IP地址 Configure a RADIUS Server now? [YES][no]: no Enter Country Code list (enter 'help' for a list of countries) [US]: CN //选择中国区域CN Enable 802.11b Network [YES][no]: yes Enable 802.11a Network [YES][no]: yes Enable 802.11g Network [YES][no]: yes //开启802.11a,802.11b,802.11g协议Enable Auto-RF [YES][no]: yes //开启无线射频 Configure a NTP server now? [YES][no]: no Configure the system time now? [YES][no]: yes Enter the date in MM/DD/YY format: //月/日/年,时间设置 ...... Configuration saved! Resetting system with new configuration...
1 Windows 2000 操作系统安全检查表(草案) 中国教育和科研计算机网紧急响应组(CCERT) 2003年3月 前言 步 骤 1 建议 2 安装过程中的建议 3 安装最新的系统补丁(Service Pack)与更新(Hotfix)程序 4 为管理员(Administrator )账号指定安全的口令 5 把Administrator 帐号重新命名 6 禁用或删除不必要的帐号 7 关闭不必要的服务 8 安装防病毒软件 9 给所有必要的文件共享设置适当的访问控制权限 10 激活系统的审计功能 11 关于应用软件方面的建议 附录一、网络上的参考资源 附录二、windows 2000 服务配置参考 1 建议 2 安装过程中的建议
2 3 安装最新的系统补丁(Service Pack)与更新(Hotfix)程序 大量系统入侵事件是因为用户没有及时的安装系统的补丁,管理员重要的任务之一是更新系统,保证系统安装了最新的补丁。 建议用户及时下载并安装补丁包,修补系统漏洞。Microsoft 公司提供两种类型的补丁:Service Pack 和Hotfix 。 Service Pack 是一系列系统漏洞的补丁程序包,最新版本的Service Pack 包括了以前发布的所有的hotfix 。微软公司建议用户安装最新版本的Service Pack , 现在最新的补丁包是Service Pack 3(推荐安装)。 您可以在下面的网址下载到最新的补丁包: ● https://www.doczj.com/doc/6f16632878.html,/windows2000/downloads/servicepacks/sp3/ ● https://www.doczj.com/doc/6f16632878.html,/china/windows2000/downloads/ ● https://www.doczj.com/doc/6f16632878.html,/patch/ Service Pack 3 此补丁包包括了Automatic Updates (自动升级)服务,该服务能够在重要的Windows 2000修补程序发布之时向您发出通知。Automatic Updates 是一种有预见性的“拉”服务,可以自动下载和安装Windows 升级补丁,例如重要的操作系统修补和Windows 安全性升级补丁。 Hotfix 通常用于修补某个特定的安全问题,一般比Service Pack 发布更为频繁。微软用过安全通知服务来发布安全公告。你可以订阅微软免费的安全通知服务: https://www.doczj.com/doc/6f16632878.html,/technet/treeview/default.asp?url=/technet/security/bulletin/notify.asp 在发布新的安全补丁时,可以通过电子邮件通知你。如果公告建议你安装 hotfix ,你应该尽快下载并安装这些hotfix 。 你也可以在下面的网址下载最新的Hotfix 程序: https://www.doczj.com/doc/6f16632878.html,/technet/treeview/default.asp?url=/technet/security/current.asp 4 为管理员(Administrator )账号指定安全的口令 Windows 2000 允许127个字符的口令。一般来说,强壮的口令应该满足以下条件: 1. 口令应该不少于8个字符; 2. 不包含字典里的单词、不包括姓氏的汉语拼音; 3. 同时包含多种类型的字符,比如 o 大写字母(A,B,C,..Z) o 小写字母(a,b,c..z) o 数字(0,1,2,…9) o 标点符号(@,#,!,$,%,& …) 4. 不要在不同的计算机上使用相同的口令。 5 把Administrator 帐号重新命名 由于Windows2000的默认管理员帐号Administrator 已众所周知,该帐号通常称为攻击者猜
消防安全检查基础知识 第一节单位的消防安全检查 单位消防安全检查是指单位内部结合自身情况,适时组织的督促、查看、了解本单位内部消防安全工作情况以及存在的问题和隐患的一项消防安全管理活动。单位消防安全检查是依据《消防法》和《机关、团体、企业、事业单位消防安全管理规定》等有关法律法规对单位提出的具体要求,并作为二项制度确定下来的。 一、单位消防安全检查的目的和形式 (一)消防安全检查的目的 单位通过消防安全检查,对本单位消防安全制度、安全操作规程的落实和遵守情况进行检查,以督促规章制度、措施的贯彻落实,这是单位自我管理、自我约束的一种重要手段,是及时发现和消除火灾隐患、预防火灾发生的重要措施。 (二)消防安全检查的形式 消防安全检查是一项长期的、经常性的工作,在组织形式上应采取经常性检查和定期性检查相结合、重点检查和普遍检查相结合的方式方法。具体检查形式主要有以下几种: 1.一般日常性检查。这种检查是按照岗位消防责任制的要求,以班组长、安全员、义务消防员为主对所处的岗位和
环境的消防安全情况进行检查,通常以班前、班后和交接班时为检查的重点。 一般日常性检查能及时发现不安全因素,及时消除安全隐患,它是消防安全检查的重要形式之一。 2.防火巡查。防火巡查是单位保证消防安全的严格管理措施之一,它是消防安全重点单位常用的一种消防检查形式。 3.定期防火检查。这种检查是按规定的频次进行,或者按照不同的季节特点,或者结合重大节日进行检查。这种检查通常由单位领导组织,或由有关职能部门组织,除了对所有部位进行检查外,还要对重点部门进行重点检查。 4.专项检查。根据单位实际情况以及当前主要任务和消防安全薄弱环节开展的检查,如用电检查、用火检查、疏散检查、消防设施检查、危险品储存与使用检查等,专项检查应有专业技术人员参加。 5.夜间检查。夜间检查是预防度间发生大火的有效措施,检查主要依靠夜间值班干部、警卫和专、兼职消防管理人员。重点是检查火源电源以及其他异常情况,及时堵塞漏洞,消除隐患。 6.其他形式的检查。根据需要进行的其他形式检查,如
系统安全配置技术规范—Cisco防火墙
文档说明(一)变更信息 (二)文档审核人
目录 1适用范围 (4) 2账号管理与授权 (4) 2.1【基本】设置非特权模式密码 (4) 2.2【基本】ENABLE PASSWORD的使用 (4) 2.3【基本】设置与认证系统联动 (5) 2.4【基本】设置登录失败处理功能 (5) 2.5认证授权最小化 (6) 3日志配置要求 (7) 3.1【基本】设置日志服务器 (7) 4IP协议安全要求 (7) 4.1【基本】设置SSH方式访问系统 (7) 4.2【基本】远程访问源地址限制 (8) 4.3【基本】设置F AILOVER KEY (8) 4.4【基本】关闭不使用的SNMP服务或更正不当权限设置 (9) 4.5【基本】SNMP服务的共同体字符串设置 (9) 4.6【基本】SNMP服务的访问控制设置 (9) 4.7【基本】防火墙策略修订 (10) 4.8常见攻击防护 (10) 4.9VPN安全加固 (10) 5服务配置要求 (11) 5.1【基本】启用NTP服务 (11) 5.2禁用HTTP配置方式 (11) 5.3禁用DHCP服务 (12) 5.4启用SERVICE RESETOUTSIDE (12) 5.5启用F LOODGUARD (12) 5.6启用F RAGMENT CHAIN保护 (13) 5.7启用RPF保护 (13) 6其他配置要求 (13) 6.1【基本】系统漏洞检测 (13) 6.2【基本】设置登录超时时间 (14) 6.3【基本】检查地址转换超时时间 (14) 6.4信息内容过滤 (14)
系统安全配置技术规范—Windows
212211文档说明(一)变更信息 (二)文档审核人
目录 1.适用范围.................................................. 错误!未定义书签。 2.帐号管理与授权............................................ 错误!未定义书签。 1 ........................................................... 错误!未定义书签。 2 ........................................................... 错误!未定义书签。 【基本】删除或锁定可能无用的帐户 ..................... 错误!未定义书签。 【基本】按照用户角色分配不同权限的帐号................ 错误!未定义书签。 【基本】口令策略设置不符合复杂度要求 ................. 错误!未定义书签。 【基本】设定不能重复使用口令 ......................... 错误!未定义书签。 不使用系统默认用户名 ................................. 错误!未定义书签。 口令生存期不得长于90天 .............................. 错误!未定义书签。 设定连续认证失败次数 ................................. 错误!未定义书签。 远端系统强制关机的权限设置 ........................... 错误!未定义书签。 关闭系统的权限设置 ................................... 错误!未定义书签。 取得文件或其它对象的所有权设置 ....................... 错误!未定义书签。 将从本地登录设置为指定授权用户 ....................... 错误!未定义书签。 将从网络访问设置为指定授权用户 ....................... 错误!未定义书签。 3.日志配置要求.............................................. 错误!未定义书签。 3 ........................................................... 错误!未定义书签。 【基本】审核策略设置中成功失败都要审核................ 错误!未定义书签。 【基本】设置日志查看器大小 ........................... 错误!未定义书签。 4.IP协议安全要求 ........................................... 错误!未定义书签。 4 ........................................................... 错误!未定义书签。 开启TCP/IP筛选 ...................................... 错误!未定义书签。 启用防火墙 ........................................... 错误!未定义书签。 启用SYN攻击保护 ..................................... 错误!未定义书签。
上海市社区文化活动中心基本配置要求上海市社区文化活动中心基本配置要求(2007年修改版) 社区文化活动中心是由政府主办的,以街道、乡镇为依托,以现代信息技术为支撑,以不断满足人民群众基本的精神文化需求为目标,体现和谐文化的要求,促进市区与郊区农村文化建设的优势互补和良性互动,为社区居民提供文化、体育、教育、科普、信息等服务的公益性、多功能设施。现根据市政府《关于加强社区公共服务设施规划和管理意见》(沪府发[2006]2号文件)和2006年新颁布的上海市工程建设规范《城市居住地区和居住区公共服务设施设置标准》(DG-55-2006),结合本市社区文化活动中心建设的实际情况,对《配置要求》(2004年版)进行修改,制定新的《配置要求》。 一、功能定位 1、社区文化活动中心是社区居民集中活动的场所。应坚持以人为本,向社区居民提供书报阅读、展示展览、团队活动、党员服务、健身锻炼、科普教育、心理辅导、娱乐休闲、网络信息、慈善互助等各类公共文化服务,尤其应注重设置适合社区老年人、青少年、残疾人、妇女儿童和外来建设者等群体的服务项目。 2、社区文化活动中心是基层宣传思想教育的重要阵地。应围绕党和国家的中心工作,开展社区宣传思想教育工作,弘扬先进文化,支持健康有益文化,建设和谐文化,促进社区精神文明建设。 3、社区文化活动中心是本市社区文化信息化综合服务建设的基础设施。应将社区信息苑、文化信息共享工程基层服务点和社区图书馆电子阅览室整合在一起,提供“一站式”服务,成为以运用计算机网络等高科技为特征的社区文化新阵地,让先进、健康科学的文化服务
进入社区,使社区居民真正享受到科学、文化、信息化成果,不断提高生活质量。 4、社区文化活动中心是非物质文化遗产保护的重要基地。应承担民族、民间、民俗文化艺术的收集、整理和保护工作。 二、配置要求 1、社区文化活动中心的配置原则。社区文化活动中心实行科学规划、因地制宜、差别配置的原则,按照社区公共服务设施规划(控制性详细规划),社区人口规模5—10万人配置一个社区文化活动中心,设区人口超过10万的街道或乡镇,可增设1个社区文化活动中心。 2、社区文化活动中心的建设规模。社区文化活动中心建设,应遵循上海市《城市居住地区和居住区公共服务设施设置标准》规定,社 2区文化活动中心一般规模的建筑面积为4500m,使用面积应不低于 23500m;中心城区(浦西内环线以内地区)可适当降低使用面积标准, 2但不得低于2500m。 3、社区文化活动中心的规划调整。社区公共文化活动中心建设按照节约用地原则,通过新建、改建、扩建和调整、共享、租赁、收购等多种形式,推进社区文化活动中心建设。达不到配置标准,建设用地不足的,需要调整规划建设用地的,首先要调整规划,并经区县人民政府同意后,依照相关法律、法规规定,报市或区县规划等相关部门办理手续。 4、社区文化活动中心的布局构建。社区文化活动中心布局构建按照合理布局、形式多样、资源共享的要求,注意动态文化活动与静态文化活动区域合理分割、避免干扰,办公用房和辅助用房应尽量节省, 让更多的设施面积用于公益性文体活动。按配置标准建成的社区文化活动中心内各个功能部分不得轻易改变性质、功能,已挪作他用的,应恢复原有功能。
AIX安全配置程序
1 账号认证 编号:安全要求-设备-通用-配置-1 编号:安全要求-设备-通用-配置-2
2密码策略 编号:安全要求-设备-通用-配置-3
编号:安全要求-设备-通用-配置-4 编号:安全要求-设备-通用-配置-5
编号:安全要求-设备-通用-配置-6 3审核授权策略 编号:安全要求-设备-通用-配置-7 (1)设置全局审核事件
配置/etc/security/audit/config文件,审核特权帐号和应用管理员帐号登录、注销,用户帐号增删,密码修改,执行任务更改,组更改,文件属主、模式更改,TCP连接等事件。 classes: custom = USER_Login,USER_Logout,USER_SU,PASSWORD_Change,USER_Create, USER_Change,USER_Remove,USER_Chpass,GROUP_Create,GROUP_Change,GROUP_Remove,CRON_J obAdd,CRON_JobRemove,TCPIP_config,TCPIP_host_id,TCPIP_connect,TCPIP_access,TCPIP_route,USER _Reboot,USER_SetGroups,INSTALLP_Inst,INSTALLP_Exec,FS_Rmdir,FS_Chroot,PORT_Locked,PORT_ Change,PROC_kill,PROC_Reboot,FS_Mount,FS_Umount,PROC_Settimer,PROC_Adjtime (2)审核系统安全文件修改 配置/etc/security/audit/objects文件,审核如下系统安全相关文件的修改。 /etc/security/environ: w = "S_ENVIRON_WRITE" /etc/security/group: w = "S_GROUP_WRITE" /etc/security/limits: w = "S_LIMITS_WRITE" /etc/security/login.cfg: w = "S_LOGIN_WRITE" /etc/security/passwd: r = "S_PASSWD_READ" w = "S_PASSWD_WRITE" /etc/security/user: w = "S_USER_WRITE" /etc/security/audit/config: w = "AUD_CONFIG_WR" 编号:安全要求-设备-通用-配置-8
无线控制器W L C配置 WTD standardization office【WTD 5AB- WTDK 08- WTD 2C】
无线控制器(W L C)配置无线控制器WLC的初始配置 ?连接到WLC的console口,启动超级终端或其它终端软件,把com口属性设置还原为默认值(如下图),点确定应用配置 ?回车进入命令行管理界面 选择“5. Clear Configuration”,(注意:不同版本的选项顺序不同,要注意查看,而且该处停留时间较短,请及时选择操作序号),清除原有设置,并进行初始设置。 ?随后根据系统提示完成以下配置: Welcome to the Cisco Wizard Configuration Tool Use the '-' character to backupSystem Name [Cisco_40:4a:03]: Enter Administrative User Name (24 characters max): admin .... Configuration saved! Resetting system with new configuration... WLC的WEB网管设置 1.1.登录WEB网管界面 ?通过浏览器地址栏,点击login键,出现登录会话框。 输入用户名和密码:User: admin;Password:****** ?Monitor 页面中的摘要信息,可以看到AP的数量和传输所使用的带宽状态,AP 的管理地址以及WLC的名字,显示如下: 1.2.添加接口Interfaces ?controller页面,左侧点击Interfaces选项,点击右边的new按钮,添加一个新的业务接口地址,相当于建立一个vlan ?填入业务网段的名称vlan 号,点击右上角Apply
安全状况调查表 —徐刚 1. 安全管理机构 安全组织体系是否健全,管理职责是否明确,安全管理机构岗位设置、人员配备是否充分合理。 序号检查项结果备注 1. 信息安全管理机构 设置□ 以下发公文方式正式设置了信息安全管理工作的专门职能机构。 □ 设立了信息安全管理工作的职能机构,但还不是专门的职能机构。 □ 其它。 2. 信息安全管理职责 分工情况□ 信息安全管理的各个方面职责有正式的书面分工,并明确具体的责任人。 □ 有明确的职责分工,但责任人不明确。 □ 其它。 3. 人员配备□ 配备一定数量的系统管理人员、网络管理人 员、安全管理人员等; 安全管理人员不能兼任网 络管理员、系统管理员、数据库管理员等。 □ 配备一定数量的系统管理人员、网络管理人 员、安全管理人员等,但安全管理人员兼任网络 管理员、系统管理员、数据库管理员等。 □ 其它。 4. 关键安全管理活动 的授权和审批□ 定义关键安全管理活动的列表,并有正式成文的审批程序,审批活动有完整的记录。 □ 有正式成文的审批程序,但审批活动没有完整的记录。 □ 其它。 5. 与外部组织沟通合 作□ 与外部组织建立沟通合作机制,并形成正式文件和程序。 □ 与外部组织仅进行了沟通合作的口头承诺。□ 其它。 6. 与组织机构内部沟 通合作□ 各部门之间建立沟通合作机制,并形成正式文件和程序。 □ 各部门之间的沟通合作基于惯例,未形成正式文件和程序。 □ 其它。
2. 安全管理制度 安全策略及管理规章制度的完善性、可行性和科学性的有关规章制度的制定、发布、修订及执行情况。 检查项结果备注 1 信息安全策略□ 明确信息安全策略,包括总体目标、范围、原则和 安全框架等内容。 □ 包括相关文件,但内容覆盖不全面。 □ 其它 2 安全管理制度□ 安全管理制度覆盖物理、网络、主机系统、数据、 应用、建设和管理等层面的重要管理内容。 □ 有安全管理制度,但不全而面。 □ 其它。 3 操作规程□ 应对安全管理人员或操作人员执行的重要管理操作 建立操作规程。 □ 有操作规程,但不全面。 □ 其它。 4 安全管理制度 的论证和审定□ 组织相关人员进行正式的论证和审定,具备论证或审定结论。 □ 其它。 5 安全管理制度 的发布□ 文件发布具备明确的流程、方式和对象范围。□ 部分文件的发布不明确。 □ 其它。 6 安全管理制度 的维护□ 有正式的文件进行授权专门的部门或人员负责安全管理制度的制定、保存、销毁、版本控制,并定期评审与修订。 □ 安全管理制度分散管理,缺乏定期修订。 □ 其它。 7 执行情况□ 所有操作规程的执行都具备详细的记录文档。 □部分操作规程的执行都具备详细的记录文档。 □ 其它。 3. 人员安全管理 人员的安全和保密意识教育、安全技能培训情况,重点、敏感岗
200条基础安全常识 1、各单位安全网络图、岗位责任、安全技术操作规程必须上墙。并要悬挂整齐醒目。 2、层层签定安全生产责任书,建立健全各种安全记录,内容清楚、详细、齐全、属实。 3、公司所有员工必须积极参加各种安全活动、安全考试、知识竞赛等。 4、努力推行现代安全管理方法,普及完善标准化作业,建立并执行各项安全生产规章制度,班组成员能熟练掌握本岗位的安全技术规程和作业标准,做到会讲会用。 5、新工人和转岗工人必须经过三级安全教育。 6、安全档案要严格按标准建立,妥善保管;车间每半年、各班组每季度组织一次安全培训并考试,成绩不合格不准上岗。 7、班长为班组教育的责任人,必须及时为每位员工建立每三级班组安全教育档案,制定和实现班组安全目标,做到个人无违章,岗位无隐患,班组无事故,岗位尘毒浓度不超标,安全文明生产好。8、各班班长为兼职班组安全员,负责本班组员工的安全工作。负责员工的安全教育,监督班组员工《岗位安全操作规程》的执行情况,检查工作现场设备、人员、环境的可靠性,符合安全条件后方可开始工作。 9、各班长每天班前会必须对员工进行安全教育,布置安全工作注意事项,检查场地、设备、机械、工具和防护措施,确认处于安全状态时,方可开展工作。 10、班组长要经安全培训考试合格,具备辨识危险、控制事故的能力,班组各成员要职责清、责任明。 11、班组成员要有“安全第一”的意识,“我要安全”的觉悟,“我会安全”的技能,“我管安全”的义务,“我保安全”的责任,做到自我防护,自主管理、自我教育。 12、每周生产调度会布置的安全工作要全面落实。 13、严格落实班前、班后会、安全日活动、安全检查、安全例会制度,做到有布置、有检查、有考核、有记录,由安全员监督检查。 14、危险场所及危险设施应采取防范措施,设立标志,要害岗位、重要设施要人人清楚。 15、火药库、油库、化验室、氰化钠库、发配电室、信号室、锅炉房、污水处理厂等要害部门必须做到出入记录齐全,物资支领手续齐全,标志悬挂醒目。 16、工作前要充分休息,班中不准打闹,不准带小孩及无关人员到生产作业场所,杜绝带病上岗。 17、上岗人员必须持有上岗证,上岗证由安全部门每半年考核一次,特种作业人员必须持特种作业证上岗。 18、各种大型安装、维修、检修等重点工程,各单位必须研究制定安全防范措施,并经安全环保部同意,方可施工。在重点项目检修过程中,单位必须设立监督岗,3米以上高空作业须系上安全带。19、接班时或工作期间,认真检查本岗位的设备、安全设施以及使用的工具是否处于良好状态,发现问题立即修理、更换,不许带病运转和勉强使用。 20、各种防尘、防护设施必须安全可靠,操作岗位工人及班组长上班和生产管理人员进入车间、工段,必须按要求穿戴劳保用品。 21、氧气瓶、乙炔瓶的存放和使用必须符合安全规定。 22、在禁止烟火的场所不准出现烟头,各种防火器材配备齐全,会正确保管使用。
系统安全配置技术规范- W i n d o w s -标准化文件发布号:(9456-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII
系统安全配置技术规范—Windows
212211文档说明(一)变更信息 (二)文档审核人
目录 1. 适用范围 ..................................................................................................... 错误!未定义书签。 2. 帐号管理与授权 ......................................................................................... 错误!未定义书签。 【基本】删除或锁定可能无用的帐户 ................................................. 错误!未定义书签。 【基本】按照用户角色分配不同权限的帐号 ..................................... 错误!未定义书签。 【基本】口令策略设置不符合复杂度要求 ......................................... 错误!未定义书签。 【基本】设定不能重复使用口令......................................................... 错误!未定义书签。 不使用系统默认用户名 .................................................................... 错误!未定义书签。 口令生存期不得长于90天 .............................................................. 错误!未定义书签。 设定连续认证失败次数 .................................................................... 错误!未定义书签。 远端系统强制关机的权限设置 ........................................................ 错误!未定义书签。 关闭系统的权限设置 ........................................................................ 错误!未定义书签。 取得文件或其它对象的所有权设置 ................................................ 错误!未定义书签。 将从本地登录设置为指定授权用户 ................................................ 错误!未定义书签。 将从网络访问设置为指定授权用户 ................................................ 错误!未定义书签。 3. 日志配置要求 ............................................................................................. 错误!未定义书签。 【基本】审核策略设置中成功失败都要审核 ..................................... 错误!未定义书签。 【基本】设置日志查看器大小............................................................. 错误!未定义书签。 4. IP协议安全要求 ......................................................................................... 错误!未定义书签。 开启TCP/IP筛选................................................................................ 错误!未定义书签。 启用防火墙 ........................................................................................ 错误!未定义书签。 启用SYN攻击保护............................................................................ 错误!未定义书签。 5. 服务配置要求 ............................................................................................. 错误!未定义书签。 【基本】启用NTP服务 ........................................................................ 错误!未定义书签。 【基本】关闭不必要的服务................................................................. 错误!未定义书签。 【基本】关闭不必要的启动项............................................................. 错误!未定义书签。 【基本】关闭自动播放功能................................................................. 错误!未定义书签。 【基本】审核HOST文件的可疑条目 .................................................. 错误!未定义书签。 【基本】存在未知或无用的应用程序 ................................................. 错误!未定义书签。 【基本】关闭默认共享......................................................................... 错误!未定义书签。 【基本】非EVERYONE的授权共享 ......................................................... 错误!未定义书签。 【基本】SNMP C OMMUNITY S TRING设置................................................. 错误!未定义书签。 【基本】删除可匿名访问共享 ........................................................ 错误!未定义书签。 关闭远程注册表 ................................................................................ 错误!未定义书签。 对于远程登陆的帐号,设置不活动断开时间为1小时................. 错误!未定义书签。 IIS服务补丁更新 ............................................................................... 错误!未定义书签。 6. 其它配置要求 ............................................................................................. 错误!未定义书签。 【基本】安装防病毒软件..................................................................... 错误!未定义书签。 【基本】配置WSUS补丁更新服务器 ................................................. 错误!未定义书签。 【基本】S ERVICE P ACK补丁更新 ............................................................. 错误!未定义书签。 【基本】H OTFIX补丁更新...................................................................... 错误!未定义书签。 设置带密码的屏幕保护 .................................................................... 错误!未定义书签。
编号:SY-AQ-00574 ( 安全管理) 单位:_____________________ 审批:_____________________ 日期:_____________________ WORD文档/ A4打印/ 可编辑 安全检查表(SCL)基本知识 Basic knowledge of Safety Checklist (SCL)
安全检查表(SCL)基本知识 导语:进行安全管理的目的是预防、消灭事故,防止或消除事故伤害,保护劳动者的安全与健康。在安全管 理的四项主要内容中,虽然都是为了达到安全管理的目的,但是对生产因素状态的控制,与安全管理目的关 系更直接,显得更为突出。 一、安全检查表(SCL) (一)定义 为检查某一系统(工程、装置等)中的不安全因素,把系统加以剖析,、查出各层次的不安全囚素,事先将要检查的项目以提问方式编制成表,以便进行系统检查,这种表叫做安全检查表。编制安全检查表的主要依据是: 1.有关标准、规程、规范及规定; 2.同类企业安全管理经验及国内外事故案例; 3.通过系统安全分析确定的危险部位及防范措施; 4.有关技术资料。 (二)安全检查表的优点 1.能够事先编制,故可有充分的时间组织有经验的人员来编写,做到系统化、完整化,不致于漏掉能导致危险的关键因素。’
2.可以根据规定的标准、规范和法规检查遵守的情况,提出准确的评价。 3.表的应用方式是有问有答,给人的印象深刻,能起到安全教育的作用。表内还可注明改进措施的要求,隔一段时间后重新检查改进情况。 4.简明易懂,容易掌握。 (三)安全检查表的分类 安全检查表的分类方法可以有许多种,如可按基本类型分类,可按检查内容分类,也可按使用场合分类。 目前,安全检查表有3种类型:定性检查表、半定量检查表和否决型检查表。定性安全检查表是列出检查要点逐项检查,检查结果以“对”“否”表示,检查结果不能量化。半定量检查表是给每个检查要点赋以分值,检查结果以总分表示,有了量的概念,这样,不同的检查对象也可以相互比较;但缺点是检查要点的准确赋值比较困难,我国原化工部1990、1991、1992年安全检查表以及《中国石油化工总公司石化企业安全性综合评价办法》中的检查表即为
中小学、幼儿园安全技术防范系统要求 1 范围 本标准规定了中小学校和幼儿园安全技术防范系统基本要求、重点部位和区域及其防护要求、系统技术要求、保障措施等。 本标准适用于各类中小学、幼儿园(以下统称学校),其他未成年人集中教育培训机构或场所参照执行。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T 7401 彩色电视图像质量主观评价方法 GB/T 15408-2011 安全防范系统供电技术要求 GB 50348 安全防范工程技术规范 GB 50394 入侵报警系统工程设计规范 GB 50395 视频安防监控系统工程设计规范 GB 50396 出入口控制系统工程设计规范 GA/T 644 电子巡查系统技术要求 GA/T 678 联网型可视对讲系统技术要求 3 术语和定义 GB 50348、GB 50394、GB 50395、GB 50396中界定的术语和定义适用于本文件。 4 基本要求 4.1 学校安全技术防范系统建设,应符合国家现行相关法律、法规的规定。 4.2 安全技术防范系统建设应统筹规划,坚持人防、物防、技防相结合的原则,以保障学生和教职员工的人身安全为重点。 4.3 学校安全技术防范系统中使用的产品应符合国家现行相关标准的要求,经检验或认证合格,并防止造成对人员的伤害。 4.4 学校安全技术防范系统应留有联网接口。 5 防护要求
5.1 重点部位和区域 5.1.1 下列部位和区域确定为学校安全技术防范系统的重点部位和区域: a)学校大门外一定区域; b)学校周界; c)学校大门口; d)门卫室(传达室); e)室外人员集中活动区域; f)教学区域主要通道和出入口; g)学生宿舍楼(区)主要出入口和值班室; h)食堂操作间和储藏室及其出入口、就餐区域; i)易燃易爆等危险品储存室、实验室; j)贵重物品存放处; k)水电气热等设备间; l)安防监控室。 注:学校大门外一定区域是指学生上下学时段,校门外人员密集集中的区域。 5.2 防护要求 5.2.1 学校大门外一定区域应设置视频监控装置,监视及回放图像应能清晰显示监视区域内学生出入校园、人员活动和治安秩序情况。 5.2.2 学校周界应设置实体屏障,宜设置周界入侵报警装置。 5.2.3 学校大门口应设置视频监控装置,监视及回放图像应能清楚辨别进出人员的体貌特征和进出车辆的车型及车牌号。 5.2.4 学校大门口宜配置隔离装置,用于在学生上学、放学的人流高峰时段,大门内外一定区域内通过隔离装置设置临时隔离区,作为学生接送区。 5.2.5 学校大门口宜设置对学生、教职员工、访客等人员进行身份识别的出入口控制通道装置。 5.2.6 幼儿园大门口宜安装访客可视对讲装置。 5.2.7 学校门卫室(传达室)应设置紧急报警装置。 5.2.8 室外人员集中活动区域(操场等)宜设置视频监控装置,监视及回放图像应能清晰显示监视区域内人员活动情况。 5.2.9 教学区域内学生集中出入的主要通道和出入口宜设置视频监控装置。