渗透测试实施解决方案

渗透测试实施解决方案（精选11篇）

渗透测试实施解决方案 篇1

商业银行渗透测试解决方案

一、渗透测试背景

银行是网络信息技术应用最密集、应用水平最高的行业之一，基于计算机网络的各类银行信息系统已经成为银行产品的开发推广、银行业务的展开、银行日常管理和决策的所依赖的关键组成部分。这种依赖性使得银行面临着由于网络信息系统本身所带来的银行信息技术风险。

银行信息技术风险的主要挑战来自于基础网络信息技术的复杂性和变化，其中面对互联网主要有以下几个方面风险：

基于网络的电子银行，需要有完善的安全体系架构； 面向Internet的银行业务面临着各种各样的互联网威胁；

远程移动用户接入和内部用户接入Internet，都可能引入不同类型的威胁源；

钓鱼网站对于银行网上业务和企业信誉的损害。伴随银行业务的发展，原有的网上银行、门户网站等都进行了不同程度的功能更新和系统投产，同时，行内系统安全要求越来越高，可能受到的恶意攻击包括：信息篡改与重放、信息销毁、信息欺诈与抵赖、非授权访问、网络间谍、“黑客”入侵、病毒传播、特洛伊木马、蠕虫程序、逻辑炸弹等。这些攻击完全能造成信息系统瘫痪、重要信息流失。

二、渗透测试的目标

本项目通过渗透测试的方式，模拟黑客的攻击思路与技术手段，达到以下目标：

从攻击者角度，发现网银系统、信用卡网站、门户网站和中间业务等应用系统及网关入口设备存在的安全隐患；

检测对外提供服务的业务系统（如网银系统、信用卡网站、门户网站等）以及行内重要业务系统的威胁防御能力。

深度挖掘渗透测试范围内应用系统各个层面（应用层、网络层、系统层）的安全漏洞；

检验当前安全控制措施的有效性，针对发现的安全风险及时进行整改，增强系统自身防御能力，提升安全保障体系的整体健壮性。

三、渗透测试原则与风险控制原则 遵循规范 渗透测试通过可控的安全测试技术对限定范围内的应用系统进行渗透测试，同时结合以下业界著名的测试框架组合成最佳实践进行操作：

ISECOM制定的开源安全测试方法OSSTMM-v2.2 开放Web应用安全项目OWASP-v3 风险控制

渗透测试过程最大的风险在于测试过程中对业务产生影响，为此我们在实施渗透测试中采取以下措施来减小风险：

双方确认

进行每一阶段的渗透测试前，必须获得客户方的书面同意和授权。对于任何渗透测试的对象的变更和测试条件的变更也都必须获得双方的同意并达成一致意见，方可执行。

工具选择

为防止造成真正的攻击，在渗透性测试项目中，启明星辰会严格选择测试工具，杜绝因工具选择不当造成的将病毒和木马植入的情况发生。

时间选择 为减轻渗透性测试对用户网络和系统的影响，安排在不影响正常业务运作的时间段进行，具体时间主要限制双方协调和商定的时间范围内。

范围控制

启明星辰承诺不会对授权范围之外的网络设备、主机和系统进行漏洞检测、攻击测试，严格按照渗透测试范围内限定的应用系统进行测试。

策略选择

为防止渗透性测试造成用户网络和系统的服务中断，启明星辰在渗透性测试中不使用含有拒绝服务的测试策略，不使用未经许可的方式进行渗透测试。

操作过程审计

为保证测试过程可审计，启明星辰将在测试过程中开启测试工具的审计日志功能，阶段性测试目标测试结束后，会将审计日志提交用户，以便用户监控测试过程。

项目沟通

启明星辰建议：在项目实施过程中，除了确定不同阶段的测试人员以外，还要确定各阶段的客户方配合人员，建立双方直接沟通的渠道；项目实施过程中需要客户方人员同时在场配合工作，并保持及时、充分、合理的沟通。

系统备份和恢复措施

为避免实际渗透测试过程中可能会发生不可预知的风险，因此在渗透测试前相关管理人员应对系统或关键数据进行备份、确保相关的日志审计功能正常开启，一旦在出现问题时，可以及时的恢复运转。

四、渗透测试工作内容与方法 渗透测试方法

渗透测试完全模拟黑客的入侵思路与技术手段，黑客的攻击入侵需要利用目标网络的安全弱点，渗透测试也是同样的道理。以人工渗透为主，以攻击工具的使用为辅助，这样保证了整个渗透测试过程都在可以控制和调整的范围之内。

渗透测试流程

渗透测试流程严格依照下图执行，采用可控制的、非破坏性质的渗透测试，并在执行过程中把握好每一个步骤的信息输入/输出，控制好风险，确保对光大银行网络不造成破坏性的损害，保证渗透测试前后信息系统的可用性、可靠性保持一致。渗透测试内容

通过可控的安全测试技术对限定范围内的应用系统进行渗透测试，同时结合业界著名的OSSTMM与OWASP测试框架组合成最佳实践进行操作。

渗透测试实施解决方案 篇2

关键词：自动化测试,软件质量,测试管理

1. 前言

在大平台软件研制过程中, 存在研制周期长、需求不断变化的情况, 软件的每一次改动都要求进行相应的回归测试。因此, 对软件自动化测试的需求尤为明确, 除了人机界面, 接口、性能都可以纳入自动化测试的范畴。

2. 软件自动化测试的引入

除了由于需求的变化带来的软件改动导致测试工作量增加以外, 软件功能规模的不断扩大, 也是软件测试工作量不断增加的主要因素。如果采用手工测试, 则会存在测试部全面、测试花费时间长等种种弊端, 并且很难保障系统软件的质量。

相比与手工测试, 自动化测试的优势是明显的。首先自动化测试可以提高测试效率, 使测试人员更加专注于新的测试模块的建立和开发, 从而提高测试覆盖率;其次, 自动化测试使测试资产的管理数字化, 并使测试资产得以在整个测试生命周期内得到复用, 这个特点在功能测试和回归测试中尤其具有意义;此外, 通过测试流程的自动化管理使机构可以通过流程的关键绩效指标来衡量测试过程的有效性, 从而实现了软件质量保证向软件质量管理的进化。

3. 软件自动化测试的实施

实施软件自动化测试必须进行多方面的培训, 包括测试流程制定、缺陷管理、测试工具的选择和使用、人员安排以及掌握相关业务知识等。如果测试过程不合理, 引入自动化测试只会给软件组织或者项目团队带来更大的混乱。所以, 首先应该根据实际情况, 选择合适的测试工具;再次, 必须制定合理的、切实可行的测试计划。

3.1 制定测试管理流程

根据大平台软件研制的实际工作情况, 我们采用自动化测试的基本流程是:编写测试需求, 制定测试计划, 编写测试用例, 测试执行, 形成测试报告。测试实施过程中产生的所有文档都使用测试管理工具进行管理;使用自动化的测试工具录制测试脚本, 通过回放脚本, 实现功能以及性能测试的自动化;测试执行完毕后, 由测试工具自动生成测试报告。

TestManager工作流程支持RUP定义的5个主要的测试活动, 它们是一个软件工程过程:

●测试的计划

●测试的设计

●测试的实施

●测试的执行

●测试的评估

这些活动的每一个都与测试资产有输入和输出的交互, 如下图图1所示:

3.2 测试工具以及测试管理工具的选择

测试工具的种类有很多种, 选择合适的测试工具是自动化测试工作顺利展开的关键。经过对比后, 该方案中我们选择了自动化测试工具Rational Robot。Rational Robot可以开发三种测试脚本:用于功能测试的GUI脚本、用于性能测试的VU以及VB脚本。它的主要作用包括以下几点:

(1) 执行完整的功能测试。记录和回放遍历应用程序的脚本, 以及测试在查证点 (verification points) 处的对象状态。

(2) 执行完整的性能测试。Robot和TestManager协作可以记录和回放脚本, 这些脚本有助于断定多客户系统在不同负载情况下是否能够按照用户定义标准运行。

(3) 在SQA Basic、VB、VU环境下创建并编辑脚本。Robot编辑器提供有色代码命令, 并且在强大的集成脚本开发阶段提供键盘帮助。

(4) 测试IDE下Visual Basic、Oracle Forms、Power Builder、HTML Java开发的应用程序。甚至可测试用户界面上不可见对象。

(5) 脚本回放阶段收集应用程序诊断信息, Robot同Rational Pruify、Quantify、Pure Coverage集成, 可以通过诊断工具回放脚本, 在日志中观察结果。

Robot使用面向对象记录技术, 记录对象内部名称, 而非屏幕坐标。若对象改变位置或者窗口文本发生变化, 仍然可以找到对象并回放。测试工具主要功能的比较见表1:

为了使测试工作规范化, 就要对其进行有效地管理, 因此测试管理工具的使用尤为重要。本方案中, 我们使用的管理工具是与Robot同一个公司的产品Rational TestManager, 它是一个开放的可扩展的架构, 统一了所有的工具、成品和数据, 而数据是由测试工作产生并与测试工作关联的。在这个唯一的“保护伞”下, 测试工作中的所有负责人和参与者能够定义和提炼他们将要达到的质量目标。测试工作中, 我们使用TestManager制定测试计划, 实现了对测试用例的管理和维护;根据实际工作需要, 对测试用例的相关属性进行不同的运行环境配置, 包括测试用例的运行环境、运行时间、以及对应的测试脚本等。最后结合使用Rational

SODA for Word生成相应的报告文档, 主要包括脚本详细信息报告、脚本摘要信息报告和运行结果报告等。可以根据实际需要对各种报告模板进行定制, 从而得到满足不同需求的报告样式。测试管理工具的比较见右表2:

在规范测试流程, 改善测试管理的同时, 严格控制软件版本对测试工作来说也同样重要。因此, 采用Rational ClearCase进行软件版本管理。

3.3 测试环境部署

测试环境采用资源共享, 协同工作的方式。测试环境部署以及时实施情况:一台测试服务器, 服务器上安装测试管理工具TestManager以及测试所需要的数据库, 在服务器上, 管理员设计并部署了测试工程、创建了测试小组, 并赋予了不同的测试人员相应的工程权限, 使每一个测试人员在负责各自的测试工作是, 也能够查看并使用其他测试人员录制编写完成的脚本, 实现脚本的共享和复用, 提高工作效率。一台版本控制服务器安装Rational ClearCase, 对被测进行版本控制;一台或多台测试机器, 主要运行被测软件和测试工具Rationa Robot。软件测试部署框图如图2所示:

3.4 测试实施实例

以在实际工程中的软件功能测试为例, 需要验证被测软件在某个频段内是否能够自动选择正确的滤波器, 利用测试工具Robot提供的数据池功能并按照频率设置规则准备频率数据库frequency, 然后使用Robot录制并编写如下脚本:

‘Initially Recorded:2006-8-11 11:52:10软件和文档、测试脚本和测试用例等

打开被测程序, 回放该脚本, 脚本会按照数据库中的频率一次进行参数设置, 并自动比较设置结果, 以验证被测程序滤波器选择的正确性。运行过程不需要人工干预, 运行结果自动保存在Robot的测试记录中, 以便测试结束后进行查看。

4. 总结

实践证明, 通过将该套自动化测试实施方案运用到软件测试工作中, 能够优化软件测试流程, 有效地提高测试效率, 对软件质量的提高起到事半功倍的效果。

参考文献

[1]郭荷清主编《现代软件工程——原理, 方法, 与管理》[M].广州:华南理工大学出版社, 2004.2 (2005.1)

[2]齐志昌等编著《软件工程》[M].北京:高等教育出版社, 2001.8 (2002重印)

[3]郑人杰等编著《基于软件能力成熟度模型 (CMM) 的软件过程改进——方法实施》[M].北京:清华大学出版社, 2003

[4]DUSTINE, RASHKAJ, PAULJ.Automated Software Tesin[M].Addison2Wesley, 1999.

[5]张海藩.软件工程导论[M].北京:清华大学出版社, 1998

网络渗透攻击测试技术的研究 篇3

关键词：渗透测试技术

中图分类号：TP393.08 文献标识码：A文章编号：1007-9599 (2010) 13-0000-01

Internet Penetration Against Testing Technology Research

Li Yanling

(Liaoning College of Communications,Shenyang110122,China)

Abstract:Networks and computers security has become the must face problems of security threats to the government,enterprises.one way to the infiltration methods of simulation testing hacker attack,from the macroscopic introduced into the test technology and implementation procedures for the future,and raised the idea.

Keywords:Penetration test technology

一、滲透测试的概念与目的

（一）渗透测试的概念

渗透测试（Penetration testing）是指渗透者完全模拟恶意黑客可能使用的攻击技术和漏洞发现技术，对被测系统的安全做深入的探测和评估，发现系统中最脆弱的环节。

（二）渗透测试的目的

渗透测试能够使网络管理人员直观的了解自己网络可能出现的问题，能够知道入侵者可能利用的途径以及了解系统和网络安全强度。

二、渗透测试的方法

根据不同的测试目标，分别采用不同的渗透测试方法：

（一）外部渗透测试

外部渗透测试是指在系统外部发起对被测系统的攻击，如Internet或Extranet。这种测试方法通常首先使用客户的公共访问信息，然后进行网络枚举，这是专门针对企业对外服务器或设备，如电子邮件服务器、域名服务器、Web服务器或防火墙等。

（二）内部渗透测试

内部测试是指在企业内部技术环境中执行的测试。这种测试是模拟企业内部雇员的越权操作，或者拥有授权的访问者发起的内部网络攻击。其目的是想了解网络再被入侵后会出现的状况，或了解授权访问者在网络内部能够获取哪些具体的信息资源。

（三）盲式渗透测试

盲式渗透测试即完全模拟黑客的操作方法和流程，对被测网络发起攻击。渗透者在测试前只掌握少量的系统的信息，甚至对系统一无所知。只能够通过一些公开的信息（如企业网站、域名注册信息、Internet 论坛等）来提取对测试有用的相关信息来执行浸透。

（四）定向渗透测试

定向渗透测试是指在测试过程中对被测试目标及网络设计等相关信息掌握丰富，了解全面。当被测系统侧重于技术设置或网络设计，而不是该系统的意外事件响应和其它运营过程，那么定向渗透测试会显得更加经济有效。

三、渗透测试实施过程

渗透测试的具体实施，即模拟黑客攻击的手段，对被评估系统进行渗透。

（一）信息的收集

这一部分包括网络信息的收集、目标系统信息收集、端口/服务信息收集和应用信息收集，然后对收集到的信息进行整理和提炼，针对网络渗透相关的信息，制定一定的渗透策略，进行渗透测试。

（二）漏洞扫描

这一步主要针对具体系统目标进行。如通过第一步的信息收集，已经得到了目标系统的IP地址分布及对应的域名，并且我们已经通过一些分析过滤出少许的几个攻击目标，这时，就可以针对它们进行有针对性的漏洞扫描。

（三）权限提升

当想进行进一步的渗透测试的时候，会发现没有足够的权限打开一些密码存储文件、没有办法安装一个SNIFFER、甚至没有权限执行一些很基本的命令。这时候自然而然的就会想到权限提升这个途径了。

（四）密码破解

无数次的安全事故结果证明，往往破坏力最大的攻击起源于最小的弱点，例如弱口令、目录列表、 SQL注入绕过论证等等。所以说，对于一个ethical hacker来说，这一步骤是有必要而且绝大部分情况下是必须的。

（五）进一步渗透

如果想获取更多有用价值的信息，需要进行进一步的内网渗透。目前比较常用而且有效的方式是是Sniff抓包。同时也可以查询已渗透的机器上的一些文件，或者打开一些日志文件查看相关信息。

（六）痕迹清楚与撰写渗透测试报告

为了模拟整个攻击的过程和检验网络防护系统的日志报警强度，在渗透工作结束后进行痕迹清除；对信息收集的结果和漏洞测试的结果进行整理，生成网络渗透测试报告。

四、结束语

学科渗透法制教育方案实施 篇4

（2012年）

根据《贵州省教育厅关于在全省普通中小学实施学科教学渗透法制教育工作的通知》（黔教发[2011]152号）以及县教育局学对学校学科教学渗透法制教育的工作安排，根据我学区的实际情况，特制订本实施方案：

一、学科教学渗透法制教育工作领导小组。组 长：韦光明（校长）

副组长：李启发（副校长、学区支部书记）

陆正德（教导主任）

成 员：卢方顺（副教导主任）

林宜芬（共同小学负责人）

陆方军（深业希望小学负责人）孟锡生（摆九小学负责人）

陆方龙（高岩小学负责人）

二、实施步骤

第一阶段：启动仪式及全员培训。2012年2月下旬，组织全学区教师进行全员培训。

第二阶段：自学与上网学习(http://hi.baidu.com/zyb1881)。2012年3月中下旬后，按照《教师培训手册》的要求，认真研读《法制教育与学科教学》及配套的《教师法制常识分册》，通过网上下载

学习资料、网上互动和掌握学科渗透法制教育的相关知识与具体操作方法。

第三阶段：课堂教学渗透。2012年4月1日以后，教师通过课堂教学方式，开始实施学科教学渗透法制教育工作，教研组通过开展教研活动、集体备课等方法把法制教育知识渗透到各学科教学中。

第四阶段：检查评比与总结。每学期末，学校将对教导处、教研组、各教师落实这项工作情况进行检查评比，并对此项工作进行总结。

三、实施办法

1、教导处、教研组、科任教师在每一学期的学科教学工作计划中要有学科教学渗透法制教育的相关安排和具体要求。特别要在教学目标、教学过程中体现渗透法制知识。按照参考教案的模式来撰写教案。

2、各学科教师的教案中要有渗透法制知识的内容，特别是《法制教育与学科教学》规定的渗透点必须有法制知识的渗透内容。认真学习配套的《教师法制常识分册》及相关的法律法规知识，提高自己的法律素养。

3、教研组要通过教研活动将学科教学渗透法制教育作为一项重要内容来抓，采取集体备课、示范课、优质课、观摩课、知识竞赛等方式把学科教学渗透法制教育工作做好做实，有效扎实推进。

4、学校根据相应的考核办法对教师实施学科教学渗透法制教育情况进行检查评比。

四、相关要求

1、培训要求：学校将实施学科教学渗透法制教育纳入教师继续

教育计划，教师要做到学习有笔记，考核有成绩，成绩记入教师继续教育登记证中。培训记录装入教师的“十二五”继教档案中。

2、教案要求：教师从今年9月10日起要在课堂教学中渗透法制教育并体现在教案中。（原则上每周平均一次渗透）每期由教导处收集各科教案（单独复印）归档，含语文、数学、英语、品德与社会、科学、音乐、美术、体育与健康共8个学科。

3、考核要求：学校将实施学科教学渗透法制教育纳入对教师的绩效考核，培训记录、笔记未完成一次扣月考核5分。差一节教案一个渗透点未完成扣月考核10分。

4、评优要求：在学科教学渗透法制教育中做得好、有效果的教师，学校将进行表彰或推荐上报参与评优。

拉林中心小学

渗透测试实施解决方案 篇5

一．报名：

1）浙江大学“英语水平考试”分三个单项考试：听力阅读机考、写作机考和口语考试。第一次参加考试时，考生须按照听力阅读机考和写作机考的先后顺序依次完成。通过听力阅读机考和写作机考者方可参加口语考试，且必须确认当次的口语考试，弃考记为不合格。听力阅读机考、写作机考和口语考试均设单项及格线，即听力阅读机考36分，写作机考12分，口语考试12分。2）该考试每年举行两次，分别在4月和10月进行。考试前会提前通知，请大家注意教务处的网站。考生可从第三学期开始在教务处网上注册参加“浙江大学英语水平考试”。次数不限，合格为止，合格后不可再考。

二．考试的步骤

1）考生根据网上提供的考试日期、场次、和座位号进行注册。考生应首先注册听力阅读机考和写作机考。机考注册时间持续大约十天。一旦注册成功，错过考试责任由考生自负。

2）听力阅读机考结束后马上进行写作机考。错过考试责任自负。没有通过听力阅读机考或者写作机考的学生须重新注册，参加下一次举行的听力阅读机考或者写作机考。

3）通过听力阅读机考和写作机考的考生在写作机考后的数天内登入教务处系统，根据网上提供的口试日期、场次进行选择，参加口语考试。电脑按照报名顺序随机安排考生组成四人一组的口试小组。每组实际考试时间为20分钟, 每组间隔5分钟，供教师打分和考生进出。错过考试责任由考生自负。

4）口试通过后考试顺利结束。口试未通过者重新注册，参加下一次举行的口试。5）各单项考试通过后都不可再考。6）所有信息都由学校教务网发布。

三．成绩的记载

三个单项考试分别记载。听力阅读机考满分60分，写作机考满分20分，口语考试满分20分。三项都达到及格线视为通过该水平考试。如果没有通过所有三个单项的考试，成绩会记为不合格。考试过程中的各项成绩会暂时保留在考试系统中。只有三项成绩均通过的学生的成绩才会输入教务处系统。各项成绩只记录为合格与不合格，无论合格与不合格均不计入绩点。

渗透测试实施解决方案 篇6

库木库萨尔乡双语小学

2015.3

库木库萨尔乡双语小学反分裂反渗透斗争集中教育活动实施方案

根据县教育局“县教育系统开展意识形态领域反分裂反渗透斗争集中教育活动实施方案”的通知，深入持久地在学校开展反分裂、反渗透斗争，严防民族分裂主义和非法宗教向学校渗透和侵蚀，进一步巩固社会主义教育阵地，增强各族师生明辩是非的能力，提高政治鉴别力，制定实施方案如下：

一、指导思想

以邓小平理论和“三个代表”重要思想为指导，高举中国特色社会主义伟大旗帜，贯彻党的十七大精神和十八届四中全会精神，全面落实科学发展观，认真领会中央、自治区党委、县委关于维护稳定的一系列重要指示精神，坚持稳定压倒一切的思想不动摇，统一思想，深化认识，进一步增强政治意识、大局意识、责任意识和忧患意识，巩固社会主义办学阵地，筑牢反分裂反渗透防线，进一步宣传、教育、发动各族师生，自觉抵制民族分裂主义和非法宗教活动，牢固树立“三个离不开”的思想，坚决维护祖国统一，维护喀什社会稳定，促进喀什市教育的稳步、健康可持续发展。

二、学校成立领导小组

组 长：阿不来提·阿不力孜（校长）副组长：吐尔洪江·吐尔孙（党支部书记）西艾力·艾买提

（副校长）

成 员：阿依古丽·买买提（德育主任）

库尔班·努热克裴瑞（教务主任）艾米热古丽·吐尔孙（副教务主任）阿依古丽·阿不都克热木（少先队辅导员）

三、主要任务

1、政治觉悟明显提高。通过集中教育活动，使基层学校党支部组织维护稳定的作用进一步增强，战斗堡垒作用进一步发挥；使广大党员的政治觉悟进一步提高，政治立场更加坚定，政治鉴别力和政治敏锐性明显增强，在反分裂反渗透斗争中的先锋模范作用充分发挥。

2、民族分裂主义的思想渗透得到有效遏制。通过集中教育，坚决解决一些领导班子软弱涣散、政治立场不够坚定的问题，坚决纠正个别师生员工的错误观点和模糊认识，使广大师生员工对“三股势力”的反动本质以及非法宗教活动的危害性有更加全面深刻的认识，对“三股势力”时刻保持高度警惕；使那些不问政治、对反分裂反渗透斗争形势认识麻木的领导干部在认识上有明显提高，思想上有明显转变，行动上有明显进步。查摆影响学校政治稳定的隐患，有效解决存在的薄弱环节和问题，使“三股势力”的累累罪行阴谋被声讨，“三股势力”的分裂破坏和非法宗教活动的渗透得以有效遏制和打击，学校育人环境进一步净化。

3、工作机制不断完善。通过集中教育活动，使学校各项规章制度进一步健全，抓稳定的工作机制进一步完善，使各项管理工作实现法制化、制度化、规范化。

四、集中教育学习的主要内容

这次反分裂反渗透斗争集中教育活动学习的内容主要是：张春山同志在自治区干部大会上的讲话、在第33个民族团结教育月动员大会上的讲话、在自治区意识形态和政法系统稳定工作会议上的讲话，尔肯江.吐拉洪同志在自治区教育系统反分裂斗争再教育活动动员大会上的讲话，艾克拜尔.吾甫尔同志在地区干部大会上的讲话，曾着力加强对各族教职员工进行“五观”、“三史”、“四个认同”、“三个离不开”、“四爱”和“六好”教育。

四、工作要求

1、学校要加强集中教育活动工作的组织领导，成立以校长为第一责任人的组织机构，明确分工，责任到人，扎实抓好广大师生面对面的宣传教育工作，注重集中教育活动的层次性、多样性、针对性和实效性，加大对民族分裂主义和非法宗教活动的揭露批判力度，揭穿“三股势力”的真实面目。

2、学校教职工要以高度负责的态度积极投入到集中教育活动中去，学校领导和教职员工在学习文件提高认识的基础上，每个人都要联系学校实际和个人的思想实际认真总结和反思，检查自己对反分裂斗争长期性、复杂性、紧迫性和重要性认识足不足，政治意识和阵地意识强不强，对民族分裂主义在学校渗透、干扰、破坏的表现认识清不清，政治敏锐性、警觉性和鉴别力强不强，立场坚定不坚定等。

3、采取行之有效的措施，切实抓好青少年的培养教育。一是要充分发挥学生党、团组织的战斗堡垒作用，党、团员的先锋模范作用，充分发挥少先队组织的助手和后备军的作用，使他们在防范和抵御西方敌对势力和境内外“三股势力”渗透破坏斗争中更好地发挥积极作用。二是各学校要始终坚持把社会主义核心价值体系教育、“三爱”、“三个离不开”、“四个认同”、“六好”和民族团结教育、“五观三史”、民族宗教问题教育作为核心内容对学生进行集中教育，帮助学生正确认识国情、区情和社情，激发广大青少年的爱国热情。

4、学校开展意识形态领域反分裂反渗透斗争集中教育活动领导小组将定期不定期对各党小组、行政组工作开展情况进行指导、督促、检查，对组织不力、走过场、达不到预期效果、验收不合格的部门和个人，要重新补课，延期转段，并追究相关人员责任。

基于木马技术的网络渗透测试研究 篇7

随着因特网的迅速发展, 由病毒、木马等引起的网络攻击事件越来越多, 其中一个重要原因就是计算机网络系统的安全方面存在着可以被利用的薄弱环节。而渗透测试则是发现计算机系统脆弱性的主要手段。渗透测试站在攻击者的角度, 使用黑客攻击手段和漏洞发现技术, 对目标系统的安全进行全面深入的探测, 找出系统最脆弱的环节, 作出评估报告, 使系统管理员能够直观全面地了解系统所面临的安全问题。

目前, 渗透测试在国内外都处于起步阶段, 几乎没有标准化、自动化的技术工具能用来进行测试。在进行目标网络设备信息获取时, 存在耗时久、速度低、信息量小及信息描述不精确等问题, 致使漏洞的评估结果不完善, 并且, 整个渗透测试过程中, 由于测试流程缺乏统一标准, 测试的连贯性, 自动化水平受到了很大的影响。

基于此, 本文提出了一种利用木马进行网络渗透测试的设计思想, 以提高网络渗透测试的自动化水平和效率。

1 总体设计

Trojan horse, 简称木马, 来源于古希腊神话。它通过网页挂马、下载传播、电子邮件传播、漏洞入侵等多种途径, 植入目标机器, 通过网络与外界通信, 将搜集到的各种敏感信息发回给控制端, 进而接受控制端指令, 完成其他操作, 如格式化硬盘、键盘记录、非授权访问系统等。

由于木马具有窃取数据、远程控制、远程文件管理及打开未授权的服务等功能, 并在攻击过程中具有隐蔽性、自启动性、自动恢复性和易植入性, 因此利用木马进行网络渗透测试可以大大提高网络渗透测试的自动化水平和效率。

利用木马进行网络渗透测试, 总体设计主要有两个部分:

(1) 渗透测试客户端

渗透测试客户端是用来实现监听渗透测试服务器端发送来的连接请求, 验证服务器端的身份信息, 如果通过验证, 与服务器端建立连接, 把测试人员的输入信息转换成相应的控制信息并发送给服务器端, 或根据服务器端发送过来的信息反馈回相应的控制信息, 如果没有通过验证, 则渗透测试客户端始终处于监听状态。渗透测试客户端的工作流程如图1所示。

(2) 渗透测试服务器端

渗透测试服务器端是用来实现主动向渗透测试客户端发出连接请求, 如果通过渗透测试客户端的验证, 与客户端建立连接, 建立连接后, 自启动服务器端的各项基本服务功能, 一旦接收到客户端发送过来的控制命令, 就根据客户端的指令进行各项操作, 如进程控制、服务控制、键盘控制、鼠标控制、屏幕监控等。根据客户端的指令完成各项操作后, 将执行结果返回给客户端。渗透测试服务器端的工作流程如图2所示。

2 系统实现所采用的关键技术

2.1 植入技术

本植入技术采用基于Winsock 2 SPI技术的木马植入技术, Winsock 2允许开发者编写服务提供者接口 (SPI) 程序。SPI以动态链接库 (DLL) 的形式存在于应用层, 是负责核心层驱动程序和高层应用程序的连接, 当上层API调用时, 负责提供接口函数。Winsock 2只是一个用来发现和利用底层的传输协议完成通信的接口, 它不是一个协议。

创建植入程序, 并运行木马程序完成预定任务, 首先要做的是将木马DLL植入目标系统。由于植入程序本身是一个控制端程序, 一旦运行, 便会产生独立的进程。因此, 植入程序在一定程度上是会在目标主机中显示的。但是, 木马植入只是一个短暂的实施过程, 当木马DLL被成功植入后, 植入程序的进程就可结束, 从而销声匿迹于目标主机中, 同时系统中已经隐蔽地安装了木马DLL。因此, 将植入程序和木马程序相分离后, 在木马运行过程中传统木马程序需要将木马进程隐藏的问题得到了成功的解决, 同时也便于植入程序统一管理整个木马入侵行为, 对木马DLL的功能扩充更为有利。

木马植入主要分为4个步骤:得到当前程序所在路径;安装分层服务提供者;构造描述协议链的结构;安装协议链。

第一步

由于木马DLL和植入程序要被投放到系统中相同的目录下, 因此, 木马DLL和植入程序的路径信息一致, 即当前植入程序所在路径就是木马DLL的路径。要得到当前程序所在路径需要调用GetCurrentDirectory API函数:

参数nBufferLength是一个输入参数, 用来存放路径信息的缓冲区长度。参数lpBuffer是一个输出参数, 它指定一个预定义字串, 用于装载当前目录。

第二步

利用由Ws2_32.dll分配的唯一标志符可以构造并安装协议链, 而为了得到这一标志符, 需安装分层服务提供者, 安装分层服务提供者需调用WSCInstallProvider API函数:

这是系统提供的一个可以把基础服务提供者、分层服务提供者和协议链安装到系统中的函数。参数lpProviderId是一个输入参数, 它指定一个全球唯一的可以自定义生成的标识符给将要安装的服务提供者。参数lpszProviderDllPath是一个UNI-CODE字符串, 指示了分层服务提供者DLL的路径信息, 它可以包含%SYSTEMROOT%之类的环境变量。参数lpProtocolInfoList是WSAPRTOCOL_INFOW结构的一个数组, 将要安装的服务提供者的WSAPRTOCOL_INFOW结构作为数组元素。参数dwNumberOfEntries表示数组中元素的数目, 当数目大于1时, 表示需一次性安装多个服务提供者到系统中。

第三步

由WS2_32.DLL为分层服务提供者分配唯一的标识符dwCatalogEntryId, 用以下代码找出dwCatalogEntryId, 并保存在变量LayeredCatalogId中。

找出dwCatalogEntryId后, 构造描述协议链的WSAPRTO-COL_INFOW结构。其中ChainLen值为2, ChainEntries数组中第1个值为分层服务提供者的dwCatalogEntryId, 第2个值为系统服务提供者的dwCatalogEntryId。

第四步

构造完描述协议链的WSAPRTOCOL_INFOW结构后, 通过调用WSCInstallProvider API函数在系统中安装协议链。这样, 目标主机中被成功的植入木马。

2.2 隐藏技术

隐藏技术是决定木马生存能力的关键技术。基于端口复用的隐蔽技术不仅隐蔽性更强, 还可以更轻易地穿透防火墙。由于应用程序和端口相关联, 如果一个合法进程打开了一个不属于它的端口, 那么可以断定该进程感染了木马。为达到隐藏的目的, 木马程序不去打开新的端口, 而是直接利用合法进程已经打开的端口与外界进行通信。

当网络应用程序准备进行通信, 用WSASocket/socket创建套接字时, Ws2_32.dll就会按顺序搜索服务提供者数据库中和WSAStartup/socket提供的3个参数相匹配的服务提供者, 若在服务提供者数据库中搜索到两个相同类型的服务提供者, 系统将调用顺序在前的那个服务提供者。因此, 被植入系统服务提供者数据库的木马服务提供者信息必须排在所有服务提供者的最前面。这时系统中只需留下木马的服务提供者 (DLL) , 销毁安装程序, 加强了木马的隐藏性。

3 系统测试

为了评估设计好的渗透测试系统, 我们通过对某网络机房进行了传统的渗透测试和基于木马技术的渗透测试, 通过二者表现的差异来对该系统进行评估。

测试环境模拟如图3所示。在被测网络外部部署基于木马技术的渗透测试系统, 由两台服务器和若干台PC机组成了被测网络系统, 在两台服务器上分别装有SQL Server 2000服务和Apache服务, 在PC机上则装的是Windows XP和Linux 5操作系统。为所有设备分配218.234.24.2-218.234.24.86的公网IP地址。

传统渗透测试系统和该系统在信息探测、漏洞评估、测试用时等方面的运行表现如表1所示。

通过分析该测试结果, 可见该系统比传统渗透测试系统在对网络系统进行检测时, 可以在更短的时间内检测出更多的系统信息, 说明该系统渗透测试的效率更高, 测试结果更完善。

4 结语

本文通过分析木马理论, 研究木马攻击中的植入和隐蔽等关键技术, 与渗透测试相结合, 提出了利用木马进行网络渗透测试的设计思想, 在此基础上, 设计并实现了渗透测试系统。结果证明, 该系统可以更全面、主动、隐蔽地获取目标系统网络信息, 并具有自启动、自恢复等自动化特点, 还可由测试人员通过渗透测试客户端控制服务器端来实现特定目标网络信息的获取, 不仅提高了渗透测试的效率, 还大大提高了渗透测试的深度和广度。

摘要：目前, 国内网络渗透测试的自动化程度不高, 效率较低, 鉴于此, 结合木马的隐蔽性、自启动性、自动恢复性以及易植入性的特点, 提出一种利用木马进行网络渗透测试的设计思想。对测试系统的总体框架进行研究和设计, 并对实现过程中的关键技术进行探讨与研究。

关键词：木马技术,渗透测试,系统设计

参考文献

[1]邢斌, 高岭, 孙骞, 等.一种自动化的渗透测试系统的设计与实现[J].计算机应用研究, 2010, 27 (4) :1384-1387.

[2]崔颖, 章丽娟, 吴灏.基于攻击图的渗透测试方案自动生成方法[J].计算机应用, 2010, 30 (8) :2146-2150.

[3]闫天杰, 彭新光, 王玲.DoS渗透测试平台的设计与实现[J].太原理工大学学报, 2007, 38 (4) :290-293.

[4]文豪, 周安民, 孙捷.对基于Winsock 2 SPI技术的木马研究与防范[J].四川大学学报, 2007, 44 (1) :81-85.

[5]汪玉美, 刘萍, 李云, 等.基于Web Services的木马通信模型研究[J].计算机工程与设计, 2010, 31 (19) :4182-4185.

[6]罗改龙, 程胜利.基于端口复用技术的木马研究[J].计算机工程, 2007, 33 (15) :165-169.

[7]田磊, 李振海, 陈琳, 等.基于局域网渗透的木马技术研究与实现[J].计算机应用与软件, 2007, 24 (10) :195-204.

[8]钟足峰.利用木马技术实现高校计算机实验室的监控和教学[J].实验技术与管理, 2010, 27 (8) :101-115.

渗透测试实施解决方案 篇8

一、目的意义

通过《国家学生体质健康标准》(以下简称《标准》)方案的实施,促使学生积极锻炼,不断纠正和改变学生体质健康状况中出现的问题,从而使学生有健康端庄秀美的体魄姿态和健全的人格。将“健康第一”的指导思想落到实处，充分发挥学校体育在育人中的独特作用。

二、组织机构

为了落实上级教育部门的部署与安排,使我校达标测试工作能尽快步入轨道,并顺利完成所有的测试工作，特成立中学《国家学生体质健康标准》达标测试领导小组，具体成员组成如下： 组长：刘美英

成员：张福贵 王晓东 张晓波 丁大伟 各班班主任

三、宣传工作

1、学校政教处、教务处与总务处相关人员组成宣传小组，通过学习和宣传，使全校师生达成共识，认识到实施达标测试是贯彻“健康第一”的指导思想，是全面推进素质教育，加强学校体育工作的有效途径，使学校体育走上规范化管理，促进学生体质健康发展，激励学生养成经常性锻炼良好习惯的必要举措。

2、体育教研组负责以班级为单位，建立学生体质健康水平电子档案与数据分析处理系统,为学生体质健康提供决策依据。

3、利用全校教职工会议和学生会传达有关文件精神，进行全校师生总动员。

4、利用班会 体育课宣传《国家学生体质健康标准》实施方案。

四、锻炼时间

1、充分利用三课两操和大课间等课外体育活动,保证学生在校至少有1小时的体育锻炼时间。由班主任组织学生利用体育活动时间进行锻炼，体育教师负责指导。

2、每学期由政教处、体育教研组主持举行一次相关项目的测试工作。

五、测试项目及各阶段工作安排

1、教育部规定的测试项目原则上要求利用体育课组织测试，政教处和体育教研组做好必要的指导、服务工作。

2、宣传启动阶段:2016年9月

3、达标测试阶段:2016年10月至11月

4、数据合成上报:2016年12月

5、未达标的学生，进行一次补测。

六、测试成绩的运用及特殊情况的处理

1、测试成绩按评定等级记入《标准登记表》,并列入学生素质评价内容。

2、测试成绩达到良好及以上者,方可参加各级“三好学生”的评选.3、当年因病两个月以上免修体育课,确实不能参加《标准》测试的学生,应持市级以上医院出具的病历证明材料,由家长或监护人向学校提交免于执行《标准》测试的申请。

4、对确因疾患丧失运动能力而免于执行《标准》测试的学生,仍可参加各级“三好学生”的评定。

七、数据资料处理

1、数据的收集和整理，通过测试取得的原始数据以班级为单位建立起学生健康体质水平电子档案,该数据的电子形式录入由体育教研组负责组织。

2、数据资料的合成、分析和保存，原始数据初录完成后,体育教研组上报政教处合成,并由学校进行电子备份、保存。

3、《国家学生体质健康标准》测试数据要及时逐级上报到国家教育部“国家学生体质健康标准数据管理系统”。系统处理后的分析数据由学校负责反馈给任课教师和班主任。

八、安全措施的落实

1、对学生日常的体育锻炼提出要求,预防伤害事故的发生。2、2016年10月至11月测试期间,有病或身体状况不好的学生事先摸底,不参加测试。

3、测试前检查场地器材,确保安全使用。

渗透测试实施解决方案 篇9

实施方案

为贯彻育人为本，推进素质教育，提高我乡中小学法制教育的针对性和实效性，根据国家和省中长期教育规划纲要、国家《中小学法制教育指导纲要》有关要求，根据省教育厅《省教育厅关于在全省普通中小学实施学科教学渗透法制教育工作的通知》文件（黔教法发〔2011〕152号）和《兴义市中小学学科教学渗透法制教育工作实施方案》等文件要求，进一步加强我乡中小学法制教育工作，通过课堂教学方式，认真开展学科教学渗透法制教育工作，提高教师认识、更新观念，增强学生法制意识，提高学生法律素质，使学生树立社会主义民主法制、公平正义理念；树立爱国意识、守法意识、自我保护意识和正确的人生观、价值观、是非观、荣辱观；帮助学生养成遵纪守法的行为习惯，提高学生学法、知法、守法、用法的能力。因此，制定实施方案如下：

一、成立学科教学渗透法制教育工作领导小组。组 长：董顺贤（乡教辅站站长）副组长：蔡发晶（乡教辅站工作员）成 员：张志刚（乡教育工会主席）

刘朝寿（乡教辅站会计）邓美逸（教辅站工作员）李应勇（乡中学校长）明宽胜（乡中心小学校长）陈应能（田湾小学校长）张官明（丫口寨小学校长）

李光祥（龙滩小学校长）王忠勇（丫溪田小学校长）张光荣（长湾小学校长）吕天立（石笋小学校长）

领导小组下设办公室在教辅站，张志刚兼任办公室主任，成员有刘朝寿、邓美逸。

二、实施步骤

第一阶段：全员培训。2011年8月，组织全乡教师分片区全员培训。第二阶段：自学。2011年8月至9月，教师通过网上下载学习资料、网上互动和《法制教育与学科教学》及配套的《教师法制常识》进行学习，掌握学科渗透法制教育的相关知识与具体操作方法。

第三阶段：课堂教学渗透。2011年9月开始，教师通过课堂教学方式，开始实施学科教学渗透法制教育工作，各学校通过教研组开展教研活动、集体备课及教师个人备课等方式把法制教育知识渗透到各学科教学中。

第四阶段：检查与总结。每学期末，各学校将对教务（导）处、教研组、各教师落实这项工作情况进行检查，并对此项工作进行总结。

三、实施办法

1、各学校教务（导）处、教研组、科任教师在每一学期的学科教学工作计划中要有学科教学渗透法制教育的相关安排和具体要求。

2、各学科教师的教案中要有渗透法制知识的内容，特别是规定的渗透点必须有法制知识的渗透内容。

3、各学校要通过教研活动将学科教学渗透法制教育作为一项重要内容来

抓，采取集体备课、示范课、优质课、观摩课、知识竞赛等方式把学科教学渗透法制教育工作做好做实，有效扎实推进。

4、学校根据相应的考核办法对教师实施学科教学渗透法制教育情况进行检查评比。

四、相关要求

1、培训要求：学校将实施学科教学渗透法制教育纳入“十二五”教师继续教育计划，教师要做到学习有笔记，考核有成绩，成绩记入教师继续教育登记证中。

2、教案要求：教师从今年正式上课起要在课堂教学中渗透法制教育并体现在教案中。

3、考核要求：学校将实施学科教学渗透法制教育纳入对教师的绩效考核，按有关规定兑现奖惩。

4、评优要求：在学科教学渗透法制教育中做得好、有效果的教师，将进行表彰或推荐上报参与评优。

猪场坪乡教育辅导站

渗透测试实施解决方案 篇10

1 网络渗透测试思想

网络渗透测试技术是国际上提出的一种引用了医学上计算机CT扫描技术思想的新的测试理论,它弥补了传统网络测边缘测量技术来获取网络中一些不能直接观察到的信息,通过发送多种探测包给指定的接收器,观测并分析接收器所获得的信息,最后通过统计和推断来获得多种网络信息。

目前,网络渗透技术的应用研究通过两方面进行:一方面,基于网络边界上进行端到端的测量的链路级参数估计。通过测量端到端的通信行为来推断网络内部的性能,无需内部网络的任何协作,从而降低测量所带来的网络负载。另一方面,通过对自治系统内部网络设备的密切协作来对网络元素的丢包率、延迟等特性进行测量。链路级测量是利用统计分析模型推算在网络边界上测量接收的报文数量丢失率和报文延迟时间。在网络渗透测试中使用链路和路径概念来描述网络内部节点之间的内在联系[3]。

由于源节点发送数据包经过共享路径上若干个节点的传送而到达目的节点,链路级和路径级的测量中就存在随机性。于是统计学原理就广泛的应用于网络渗透测试技术中,网络渗透测试问题可近似为一种线性模型[1],即

其中,Y为测量向量;A为路由矩阵;θ为待估计的数据包的参数向量;ε为误差向量。

网络推断问题就是在获得网络测量向量Y的情况下对网络参数θ的估计问题。

2 网路渗透测试的关键技术

2.1 数据的采集与测量

网络渗透测试技术中最重要的部分就是数据的采集与测量。因为所有统计推断都建立在测量值的基础上,测量的方法不同会直接影响推断的结果。根据数据采集的方式,目前测量方法有主动测量与被动测量,而且主动测量有多播测量与单播测量。

1)单播测量。基本原理是通过将每个单个报文发送到一个固定接收点,以测量端到端的特性,即根据所发送的报文总数与接收节点接收的报文数量来推算报文的丢失率[4,5],或根据所用的时间推算路径延时,这样就能得到每条路径参数的简单数学期望值。如果在单播测量中路径参数与链路参数之间无严格的一一映射,那么在单播测量中推算链路参数就相对比较困难。为解决这一难题,研究人员提出了一种背靠背报文对(back-to-back)的测量方法。报文对就是指从根节点0连续发送2个报文到不同的叶子节点,也就是接受节点,报文对经过一部分相同的链路。如果其中一个报文能成功通过链路,那么另一个报文也能成功通过该链路。在主动队列策略中,每组报文对的两个报文经过相同链路后延迟性基本相同。另外,单播测量的缺点是每次只能将报文发送到一个接收点,无法估计所有内部链路的参数。为此,通过发送一组报文在网络中模拟多播技术,将报文对以纳秒级的间隔一个接一个地发送到多个接收点,然后利用类似多播的方法统计分析数据。

2)多播测量。原理是通过多播树发送多播探测包到一组预先设定的接受节点,然后从接受节点获取极强相关性的数据经行统计分析推断。相对图1来说,即以根节点0发送报文到叶节点,在叶节点采集测量值。在统计推断时利用多播的特性以及叶节点之间的相关性,如果图1中节点4接收到了报文而节点5没有接收到报文,就可以判断报文在链路L5上发生了丢失;如果节点4,5均未收到探测报文,其原因可能是探测报文未到达父节点2,也可能是丢失于节点4或节点5这两条链路上。这种不确定性情况就需要获取相关的数据进行统计、分析来推断探测报文的丢失位置。

2.2 统计推断分析理论及方法

统计推断技术在网络渗透测试技术中扮演着不可忽视的地位。由于网络中报文丢失或者时延具有随机性,根据所采集的数据直接作为网络性能参数并不可靠。所以,需要根据统计推断分析理论应用测量得到的数据推断网络内部的信息和规律。其中极大似然方法、概似然方法和期望最大值算法是常用的统计学方法。

1)极大似然法。参数估计方法中常用的估计方法中之一就是极大似然估计。其实质是寻找最大概率密度函数f(Y=y;θ)在测量值为,{y1,y2,…,yn}的估计值,并且每次测量之间相互独立,分布相同。由模型Y=Ax构造出Y的分布函数Y=(y;θ),其似然函数可表示为。极大似然估计就是寻找一个θ,使得L(θ)最大,即,但由于极大似然固有的特性,即无偏性、有效性、一致性,使得在实际问题中找到可解析的函数比较困难。

2)概似然方法。概似然方法[5]的基本思想是假设Y=Ax中所有的X分量相互独立,将NT问题分解成若干简单的子问题并忽略它们之间的相关性,然后把子问题边缘似然函数相乘得到概似然函数。该函数的最大表示参数θ的MPLE[2,6],PLE把对全局参数的分析转换成一些边缘概率的分析。显然MPLE可以产生许多子期望值。

3)期望最大值算法。期望最大值算法主要应用于非完全数据参数估计的两种情况,一是由于观察的缺陷所造成的观察数据不完全;二是似然函数的表达方式过于复杂而导致传统的估计方法失灵。期望最大值算法通过两种方式的迭代,一是给定观察和当前参数估计计算完全对数似然函数关于未知数据的期望;二是最大化期望值等使每一步迭代都能保证似然函数值增加直到估计值收敛。

3 结束语

网络渗透技术是一种以通信网络、统计学原理相结合的全新的网络链路级参数推理技术。研究的重点是测量方法和统计分析方法,但目前还存在许多问题有待于进一步研究。一是现有的测量方法和分析算法都是针对小规模网络和有线网络,如何将其移植于大规模的网络和无线网络中是目前面临的关键问题;二是目前在NT推断过程中都假设路由矩阵已知且测量的时间和空间相互独立的情况下推断,而这种假设的前提是违背了实际网络环境中链路和路径相互依赖的现实。因此,如何寻找更具有弹性和更容易处理建模和统计推测方法是今后需要解决的问题。

摘要：介绍了推断分析理论方法,并对网络渗透测试技术做了进一步的论述,最后指出了网络渗透测试技术需研究的方向。

关键词：网络渗透,网络测量,统计推断

参考文献

[1]Mark C,Hero IIIA O,Robert N,et al.Internet Tomogra-phy[J].IEEE Signaol Processing Magazine,2002,19(3):2219-2228.

[2]Castro R,Coates M,Liang G,et al.Network Tomography:Recent Developments[J].Statistical Science,2004,19(3):499-517.

[3]林宇,程时端,邬海涛,等.I P网端到端性能测量技术研究的进展[J].电子学报,2003,31(8):1227-4233.

[4]Duffield N G,Horowitz J,PrestiF Lo,et al.Multicast Topol-ogy Inference from Measured End-to-End Loss[J].IEEE Trans Info Theory,2002,48(1):2-45.

[5]Liang G,Yu B.Maximum Pseudo Likelihood estimation in Network Tomography[J].IEEE Transactions on Signal Pro-cessing,2003,51(8):2043-2053.

渗透测试实施解决方案 篇11

工 作 实 施 方 案

为了能够及时了解学生的体质健康水平，督促学生积极参加体育锻炼，认真上好体育课，养成良好的体育锻炼习惯，进而全面增进学生的体质健康水平。根据绥教发[2013]39号文件精神，为做好我校2013年学生体质健康状况数据测试上报工作，结合我校的实际情况制定测试及上报数据工作实施方案。

一、组织机构

1、领导小组

组长：胡廷艳（负责总体工作）

副组长：张先伟（负责协调、检查、督促）

成员：邓明智、葛长萍（负责各种表格的设计及数据的分析）各班班主任及体育老师（负责测试、器材准备工作、安全工作）领导小组职责是负责安排学校按要求开设的体育课，督促体育课规范教学，结合测试标准加强学生体质训练，组织人员开展学生体质达标测试和上报工作，督查实施《国家学生体质健康标准》情况。

2、测试小组

组长：葛长萍

成员：各班体育教师和班主任

测试小组职责是负责按照方案的要求对学生进行测试和指导锻炼，负责成绩的收集、整理并对照《国家学生体质健康标准》及评分

标准如实填写表册，及时上报录入小组。

3、录入小组

组长：张先伟

成员：邓明智和体育教师

录入小组职责是负责成绩的录入及上报测试数据。

二、实施时间

2013年7月1日至10月31日，完成《国家学生体质健康标准》数据的测试、统计和上报工作。

三、测试对象

测试对象为我校在校学生。

四、工作安排1、7月，学校召开全校教师会安排部署测试和上报工作，在全校宣传发动，让学生了解测试的重要性。

2、8月聘请相关人员对学校体育教师、班主任和录入人员进行测试和数据上报以及测试准备及安全防范措施的培训，采取多种形式，有计划、分层次地做好体育教师和测试人员的全员培训工作，使他们尽快掌握测试标准的要求，培养一批业务熟练、技术过硬的测试人员。

3、9月1日至10月31日为测试和上报时间。各班体育教师及班主任组织学生进行测试，在测试工作结束后，按年级、班级、性别等不同类别在校内公示测试结果，并将有关情况向学生家长通报。并通过学生体质健康网把测试数据依据其设置的上报方法和程序上报

至“国家学生体质健康标准数据管理系统”。

4、11月对测试工作进行全面自查和总结，迎接各级的督导检查。

五、测试项目

严格执行2013年《国家学生体育健康标准》测试项目表。

六、测试工作具体要求

1、测试前要做好充分准备，提高测试时间的利用率，保证测试效果。

2、身体形态、身体机能和身体素质的测试，按《国家学生体质健康标准解读》中的有关要求进行。

3、测试一般采用流水作业方式，测试过程中必须保证秩序正常，测试数据和记录要准确无误，测试、记录、监督检查人员必须在测试结果上签字。具体测试工作在实施《标准》工作领导小组统一安排下，由体育组负责组织测试；各班主任负责组织教育、督促检查。

4、测试的原始数据和统计资料由体育组妥善保存，专人负责收集、保存成绩登记表和统计资料，并归入学校的学生体质健康档案。测试项目成绩，由体育组汇总，并按照要求评定成绩，确定等级。

5、学生测试项目的测试值记录、得分、评定等级确因客观有误需修改时，应由学生向体育组书面申请，经相关测试教师、测试组总负责人、主管领导核实签字后予以修改。

6、测试成绩、评定结果应及时反馈给学生和家长，以便指导学生科学、合理的锻炼。

七、条件保障

1、学校后勤处与体育组要对“体育达标”训练的场地、器材进行清理、维护，缺损的器材及时申报采购与制作，并尽快投入使用。

2、学校成立相应工作领导小组，制定测试及上报工作方案，并给予人力、财力、物力上的保障，确保《标准》的顺利实施。

3、具体实施工作在校长的领导下，由学校有关部门协同配合共同组织实施。

八、测试数据核查和分析

各班体育教师及班主任负责对本班的测试数据、评定等级进行核查和统计分析，认真填写有关报表，并及时将学生测试结果向家长公布。

九、安全防范措施

1、学校在实施《标准》时树立“安全第一”的指导思想，健全各项安全保障制度，落实安全责任制，加强对场地、器材、设备的安全检查和学生安全教育，确保测试工作安全有序进行。

2、测试前要检查和了解学生身体健康情况，对生病学生实行缓测或免测。坚决杜绝平时不锻炼，测试时搞突击的现象，谨防意外伤害事故发生。

3、体育教师和班主任要在测试前对学生进行安全教育，充分保障学生的安全，防止因测试产生安全事故。

育红小学