前言:中文期刊网精心挑选了犬友笑传范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
犬友笑传范文1
保证人还有保证责任的。但另有约定的除外。
《担保法》第22条规定:“保证期间,债权人依法将主债权转让给第三人的,保证人在原保证担保的范围内继续承担保证责任。保证合同另有约定的,按照约定。”
也就是说,在保证期间,债权人依法将主债权转让给第三人的,保证债权也同时转让,保证人在原保证担保的范围内对受让人承担保证责任。但是保证人与债权人事先约定仅对特定的债权人承担保证责任或者禁止债权转让的,保证人不再承担保证责任。
(来源:文章屋网 )
犬友笑传范文2
1、一般的运动推荐每天二十到三十分钟,每天运动的次数不少于3次,转呼啦圈减肥的话也可以适用,以感觉舒适、不劳累为度。
2、呼啦圈属于相对较缓和的运动,对于减掉腰腹部多余的脂肪有较好的效果,呼啦圈最好选择重量适中的藤条包裹的,不要用过重的金属呼啦圈,以免对身体和内脏造成损害。
(来源:文章屋网 )
犬友笑传范文3
独特的市场定位确定专、业的产品策略
“问题肌肤的顾问”是宗茂产品的独特定位,这是宗茂一直以来坚持走的一条专业化的路线,这在中国的化妆品行业中也是独树一帜的。一个企业要有竞争力,产品首先要有卖点,宗茂产品独到的产品定位、过硬的产品质量、精美的产品包装、优良的售后服务,专门帮助问题性肌肤的消费者解决问题。专业是宗茂产品一贯以来秉承的宗旨,从研究开发、生产渠道,到经营管理、销售模式都追求“专业”。十年来宗茂一直坚持执行:非确实有效的产品是绝对不会推向市场的,而事实证明宗茂的决定是正确的,宗茂品牌能取得这样的品牌效应,也正是依靠这些坚持。
在营销策略方面,宗茂公司于2003年始斥巨资在中国中央电视台投放大量广告,提高公司知名度与美誉度,努力完善市场销售及售后服务的基础上建立了庞大的营销网络体系,并坚持以“优点经销制”的营销方针,在全国范围内推广“宗茂”品牌。另外,公司还设立了专业的销售服务部,通过全套信息网络服务跟踪体系、光纤通信等现代化营销方式,对宗茂产品的销售、品牌建立、售前售后服务进行全方位的跟踪维护。在多年建立的销售渠道基础之上,力保重点城市终端的销售,同时积极拓宽销售渠道,不断开发二三级市场,并不遗余力地以各种政策和手段解决分销渠道中的问题;或是紧跟市场发展趋势,适时调整营销策略:将多年的批发营销模式向扁平化发展,逐步过渡到终端市场,同时推进在各大中型城市的深度分销。
化妆品行业竞争的激烈大家是有目共睹的,如何把握自己产品的需求和定位,做好透彻的市场分析和研究,是化妆品企业的根本所在,也是创建品牌的基础所在。
创造真正的中国化妆品名牌
很多人都知道“理念”,并且常挂在嘴边,但是对“理念”的真正含义,知道的人却很少。其实,拆宇分析,“理”有道理、理想、理会等意思,“念”有念想、惦念、纪念等含义,总起来的意思是指,一个人精神世界里具有一定审美要求的观点、思考、演绎之叠加与提炼。
产品卖给谁,为哪些顾客服务,只有产品的市场定位准确,市场发展前景好,市场容量大,才有可能创出品牌。目前,化妆品主要有“高端、中端、低端”三种,“高端”是以它的品牌价值和产品质量取胜市场;“中端”则以合理的价格和广泛的受众赢取市场;而“低端”则是以低廉的价格和产品的多样化占据市场。企业应根据自身的实际情况和市场环境合理地制定产品计划。
一个企业可以没有资产,但决不可以没有品牌,品牌的创建成就了资产的巨大价值,因为它是涵盖了设计、态度、产品、质量、服务、知识、身份地位象征及价值在内的无形资产。随着WTO的逐渐深入。全球化进程的加快,企业对品牌的要求也已越来越重视。国外卖的是文化,中国卖的是产品。市场是变幻莫测、无法预料的,“身在其位,必谋其政”,在激烈的市场和行业竞争中,化妆品企业应时刻保持清醒头脑,以不变应万变,密切关注市场动态,随着时间的变化而不断地调整策略,以创新意识确保品牌的持续发展。
犬友笑传范文4
1、股权的概念
股权,又称为股东权,具有广义和狭义之分。 广义的股权,是指股东依据所有的股权向公司主张的各种权利的依据;狭义的股权,仅指股东基于股东资格而享有的经济利益和参与公司经营管理的权利。因此,从这一角度看,股权,是指股东依出资或者公司章程的所规定享有参与管理公司事务和取得财产利益的权利。我国《公司法》有“公司股东依法享有资产收益、参与重大决策和选择管理者等权利”的规定。这是我国公司法关于股权基本内容的规定。股权是公司股东所享有的最基本的权利。
2、股权的基本特征
(1)股权是社员性权利
股东与公司之间的关系不是普通合同关系,而是社员与团体之间的关系。因此,股东权不仅仅是个人利益的体现,而是全体股东的权利的集合,可见,股权更是一个集合在法律上所代表的权利。
(2)股权是复合型权利
股权的内容是多种多样的,通常从股权的内容上划分,股权分为管理权和财产权。管理权主要是指股东参与公司经营与决策的权利,以及阻止他人非法侵害参与公司决策与经营的权利;而财产权主要是指股东参与分配股息和优先购买股份的权利,我国《公司法》规定的财产收益权也属于财产权的一种。所以,股权从不同的角度看,其所代表的权利意义是不一样的,所以,股权又是一种复合型权利。
3、有限责任公司股权转让概念
目前,随着我国市场经济体制的确立,产生的公司法纠纷也逐渐增加,其中,合同的效力一直是理论界谈论的难点与热点问题。有限责任公司股权转让是指公司股东依法将自己的股份转让给他人,使他人成为公司股东的一种民事法律行为。股权转让是股东行使股权一种表现形式,我国《公司法》规定股东有权依法转让部分或全部股权。可是说,股权转让自由制度,是现代公司法的一个重要突破。
二、关于有限责任公司股权转让效力的几种观点
目前,有几种学说可以阐述有限责任公司的股权转让效力:
1、成立即生效。国有独资与外资企业有一定的特殊性,因此,在进行股权转让时需要办理行政审批手续。除此之外的其他公司组织应按照《合同法》第44条之规定进行股权转让,成立即生效。
2、成立不生效。根据《公司法》的规定,有限责任公司对外转让股权时,公司其他股东过半数同意。虽然股权转让合同可以依法成立,但若不能满足上述条件,则该合同依法不能生效。
3、效力待定。《公司法》的目的是在保障转让方可自由交易股权的前提下,保障其他股东的股权优先权。在有限责任公司的构架中,法律赋予了其他股东同意权和股权优先权,若其他股东没有主动放弃股权优先权,也没有过半数股东同意该股权转让,那么在结案之前股权转让合同应视为效力待定。
三、股权转让合同的效力认定
股权转让合同是实现股权转让的前提条件。股权转让在实质上是转让方与受让方双方当事人之间的民事法律行为。公司股权转让,无论是股东之间相互转让还是向股东以外的人转让,转让方与受让方双方当事人均须首先签订股权转让合同,然后才能履行股权转让合同,最终实现股权转让的目的。合同的成立与合同的生效是两个不同的法律问题。一般情况下,民事合同成立即生效,即在当事人意思表示签订合同的同时,合同即生效了。所以,股权转让合同的成立与生效完全可以适用合同法中关于合同成立与生效的规定,因为公司法并没有作出特别规定。因此根据合同法及公司法原理,笔者认为,股权转让合同的生效主要表现为以下两种情况:
1、股权转让合同成立时生效的一般情况
根据我国民法通则规定,行为人具有相应的民事行为能力且意思表示真实同时没有违反法律或者社会公共利益。此时的民事行为具备了一般生效要件,即民事行为有效。股权转让合同作为一种民事法律行为,其一般生效要件与上述生效要件是一致的,也就是说股权转让合同如果符合民事行为生效的要件就产生法律效力。
2、股权转让合同附条件生效或附期限生效的情况
股权转让合同生效附条件或附期限的目的在于转让合同的实施充分的满足当事人的意思表示和需要。当事人鉴于特殊的原因,不希望合同成立就立即产生效力,而是希望当一定条件或一定期限成就后才使产生法律效力。并且就股权转让来说,因为优先购买权的存在,如果其他股东并没有明确放弃优先购买权,而主张优先购买权,此时股东为了免于承担违约责任,可以订立一个附生效条件的合同。但是当事人所约定的条件或期限应该是合法的,不应该将合同本身履行后可能出现的结果作为约定的生效条件,否则合同将永远无法生效,因为该约定不具有合同法上的意义。
四、股东优先购买权与股权转让合同效力
1、股东优先购买权制度概述
股权优先权是指在公司进行股权交易的过程中,若交易条件相同,则公司内部的其他股东比非公司股东享有优先购买该部分股权的权利。行使股权优先权需要满足以下要素:首先,需要存在股权交易,股权交易的发生是判断享有股权优先权的先决条件。其次,股权交易应发生在股东与非股东之间,否则不存在优先权的问题。按公司法的规定“有限责任公司的股东之间可以相互转让其全部或者部分股权”,所以,股东之间发生股权交易时不受股权优先制度的制约,可以自由平等进行。优先购买权是优先购买者基于一定的优先购买的法律权益,为了尽可能维护已经形成的的法律关系,维护特定的经济秩序,确立了优先购买权制度。与此同时,由于公司经营权分离不够明显,许多股东都能间接参与管理公司事务,这种现象比较普遍,股东之间的信赖关系成为维护公司经营秩序的基础。公司法确立优先购买权,既是对公司运行秩序的维护的体现,也是维持股东之间信赖关系的重要手段。
犬友笑传范文5
[关键词]土地转让;承包
中图分类号:D92 文献标识码:A 文章编号:1006-0278(2014)01-140-01
1982年,原告张某金作为户主,在巫山县某村四组承包土地4.05亩。2008年5月4日,被告张某宣、陈某与被告巫山县某民用煤销售有限公司签订《土地转让协议》,将张某金农村土地承包经营户承包的的荒山转让给被告巫山县某民用煤销售有限公司。被告巫山县某民用煤销售有限公司一次性补偿被告张后宣、陈某208000元。该协议后经过了该村集体组织的认可。被告巫山县某民用煤销售有限公司在转让该荒山后,将其用作修建办公生产综合楼用地,并向行政部门申请了审批,相关审批手续得到了国土房管部门审批,用地许可证正在办理过程中。在被告巫山县某民用煤销售有限公司办理用地审批时,被告张某宣、社长张某林,村民委员会出具了土地转让情况的证明,证明土地转让情况属实,请相关部门按照相关政策办理相关手续。后该荒山划在新城改造范围内,土地升值,故原告以被告签订的土地转让协议没有经过原告允许,也违反国家法律法规规定,要求确认《土地转让协议》无效。
争议焦点:本案涉及农村承包土地转让问题,归结到本案就是原被告之间签订的《土地转让协议》是否有效的问题。
本案在审理过程中,出现了以下几种不同的观点:
第一种观点认为:《中华人民共和国物权法》第一百二十八条规定,土地承包经营权人依照农村土地承包法的规定,有权将土地承包经营权采取转包、互换、转让等方式流转。本案中,虽然原告张某金为该农村承包经营户的户主,但被告张某宣、陈某作为该农村承包经营户的成员,其与被告巫山县某民用煤销售有限公司签订土地转让协议转让荒山土地的行为,实际上是一种农村土地承包经营户的代表行为,所签订的土地转让协议,对其他家庭成员具有约束力。同时双方签订的《土地转让协议》征得了发包方的同意,该合同没有违背法律、行政法规的规定,应属有效。
第二种观点认为:根据《中华人民共和国物权法》第一百四十条,建设用地使用权人应当合理利用土地,不得改变土地用途;需要改变土地用途的,应当依法经有关行政主管部门批准。《中华人民共和国土地管理法》第六十三条,农民集体所有的土地的使用权不得出让、转让或者出租用于非农业建设;但是,符合土地利用总体规划并依法取得建设用地的企业,因兼并、破产等情形致使土地使用权依法发生转移的除外。本案中二被告陈某、张某宣将该村集体所有的土地的使用权转让给被告某民用煤销售有限公司,用于建设企业生产、生活用房,改变了农村土地的用途,某公司使用该土地至今未取得国家有权机关的批准,其行为违反了国家土地管理法中的效力性强制性规定,应认定无效。
第三种观点认为:被告巫山县某民用煤销售有限公司在受让原告的荒山后,虽然计划用于修建企业生产生活综合楼,但并未进行违法建设,改变土地用途的行为也没有连续实施,被告巫山县某民用煤销售有限公司所购买的土地为荒山,并非耕地,所转让土地用于公司经营,并无违法。如果某民用煤销售有限公司在转让土地后改变了土地原先的规划性质,那么该土地承包经营权转让协议就应当无效。但现在某民用煤销售有限公司在转让土地后还没有改变土地用途,只是计划用于修建企业生产生活综合楼,因此该土地承包经营权转让协议应当是效力待定。
案件评议:
犬友笑传范文6
关键词:自主研学;第三方支付;客户端安全;浏览器劫持
我国的高等院校信息安全专业本科的建立和发展至今尚不足8年。这些年来,有关专业人士就如何发展和完善信息安全专业建设进行了广泛的研究和探讨,比如,如何结合学校特色加强信息安全专业的建设、信息安全专业人才培养存在的若干问题、信息安全专业人才培养模式的探讨、信息安全课程体系和实验体系的建设、信息安全专业应用型人才的培养,等等[1-2]。国外大学关于信息安全专业教育方面的研究也不少,特别在信息安全实验教学方面有许多很具体的研究和探索[3-4]。北京信息科技大学信息安全专业成立于2004年,近些年来,本专业特别注重结合学校具体情况,为培养信息安全应用型人才进行积极的探索,无论在专业建设和学科建设方面都取得了一定成效。笔者在“入侵检测技术”这门课程的实验教学方面进行过积极探索[5],采用课内实验与课外实验相结合的方式增加学生动手的机会,使学生在实践中学习,在实践中增强各种能力。但是无论从学校方面,还是从教师方面做再多的努力,都难以回避一个不争的事实:大多数学生玩游戏上瘾,自主研学的习惯和精神严重缺乏。因此,无论进行什么样的教学模式创新与改革,无论提供什么样的教学和实验环境,其效果都会大打折扣。这是我们必须要面对,同时也要尽快解决的现实问题。笔者从事多年的信息安全专业的教学,同时又长期兼任信息安全专业班级的班主任,即站在专业教学的第一线,也站在学生管理的第一线,有更多的时间和机会在如何引导学生自主研学方面进行广泛和深入的探索。
1发现和提出问题
随着互联网上各种应用和服务不断增多,信息安全问题越来越受到人们的关注。目前,网络银行和第三方支付系统在各种网上应用和服务中扮演极其重要的角色,而它的安全问题一直受到有关各方的重视,但没有得到根本上的解决,这将严重影响未来网上服务和应用的进一步发展。笔者通过一个真实的案例,吸引学生的兴趣,引导他们结合所学的知识去分析问题和解决问题。案例的具体内容涉及一个用户利用第三方支付系统还房贷而遭受较大的资金损失。笔者在这个事件发生后,亲历了此案例的调查,事件发生的过程如下:一个用户看到某第三方支付商提供的广告后,进行了信用卡还款操作。图1是用户在操作时输入的重要信息。
左窗口是要求用户输入接收方的信用卡卡号、用户名及还款金额;右窗口是付款方的借记卡所属银行、个人电子邮件和手机号码。完成各项填写后,按确认键,进入所选银行的付款页面,该页面显示商城名称、订单号、订单金额、商品名称等提示信息,并要求输入支付卡的卡号和口令,接下来用户只要插上自己的有效的安全U盾,输入正确的PIN码后就可以完成付款。本案例中的用户共进行了二次支付,共计支付了8万多元钱。过了几天,所支付的钱依然没有到达接收卡账户上。用户查询后发现,这二笔钱通过另一家支付系统分别转入了某地二个不同的账户,而他所选用的第三方支付商根本没有接受这二笔交易。
笔者将上述真实的案例告诉学生,首先是让他们了解该安全事件的具体表现。接下来给学生提出更多的问题,比如:通过第三方的支付过程涉及哪些主体?这些主体各自应该承担的安全责任和应当采取的安全机制是什么?上述案例中存在的安全漏洞到底在哪?这样的安全漏洞能够解决吗?采用什么安全机制能防范或制止这种安全漏洞?为了让学生更快地进入角色,笔者给他们提出一些建议:
1) 通过第三方支付系统完成一次网上的实际转账过程;
2) 上中国金融认证中心网站,了解网上支付过程及相关安全知识;
3) 了解客户端及IE浏览器存在的安全漏洞。
2描述和理解问题
学生们带着对上述案例的兴趣及若干问题去查找相关资料,经过一段时间的学习和讨论以后,他们能够与老师讨论这个案例,并能完成对相关问题的描述和理解。
首先,了解到第三方支付系统的支付过程,涉及支付用户、收款用户、第三方支付系统、网上银行、认证中心(CA),以及网上通信。若存在购物交易,还应包括商家。本案例中用户的在线支付,不是为了完成购物而是为了还款,实质上就是利用第三方支付系统进行转账。这种转账方式,是在网上银行与用户方之间增加了第三方支付商,增加了这样一个支付环节,很有可能会给用户带来了额外的风险。若从技术层面上来考虑,这种支付过程,涉及到客户端、第三方支付系统的服务器端、网银系统的服务器端、认证系统服务器、互联网通信等多个方面。一旦出现安全事件,每一个相关方面都有可能成为安全事件起因。当然,事件的确切原因需要具体问题具体分析。
第二,所涉及到的各方都会采用相应安全机制来保证系统的安全,其中认证中心、银行采用的安全机制最强、在安全方面投入也更高;第三方支付系统相对弱一些;用户端存在的安全隐患相对更多一些。目前,国内银行的认证还是由各银行自行完成,以后这方面的工作应该由中国金融认证中心来完成。到目前为止有关网银安全事件的发生原因,都与网银的服务器端没有直接原因,主要由于客户端存在病毒、或用户操作不当造成的。相比较而言,第三方支付系统存在的安全隐患更大,其中包括监管和技术二方面的原因。但是就目前所发生的有关安全事件来看,第三方支付系统的服务器端出现技术或人为安全问题的可能性不大,因为若是服务器端出现问题,其造成资金的损失,一定会是以亿计,而且会涉及大量的用户。与其他主体相比,客户端存在的安全问题相对比较多,比如,操作系统和IE没有及时升级、没有安装杀毒软件或没有对杀毒软件的病毒库及时更新,等等。本案例中用户所用的Window系统版本较早且未及时打补丁,所用IE版本较低。笔者用诺顿杀毒软件对案中用户所用U盘进行过检测,出现了Spyware.Keylogger报警。经查询,这是一个间谍软件,在2007年2月升级,可以截屏,可以记录击键信息。该软件可能来自网站、电子邮件、即时消息及直接文件共享连接,此外用户在接受某个软件程序的最终用户许可协议时,可能会在毫无察觉的情况下收到该间谍软件。
第三,在网络通信方面,目前网上交易大都采用SSL、SET等安全协议,所用安全协议的安全功能包括身份认证服务、机密性保护服务、数据完整、不可否认等,从这些年的实践上来看,SSL和SET二个安全协议尚未有明显易攻击的安全漏洞 [6]。
最终,通过认真分析交易环节、上网查询相似案例的报道、以及检查用户交易所用的笔计本电脑,确认这是一起典型的发生在客户端的中间人攻击事件,利用了客户端与第三方交易系统存在的漏洞。这里所说的第三方交易系统存在安全漏洞,主要是指三方面的内容,其一,如图1所示,当用户在左窗口中输入账户信息时,所输数据极易被键盘截获木马所截获;其二,没有采用适当的安全控件,防范一些常见攻击;其三,第三方支付系统存在更易被利用的弱点。下面重点分析本案例中的客户端的安全问题,这是目前最常见的,也是难于解决的问题。
图2是客户端的涉及IE浏览器、键盘和安全U盾三个实体的数据流图。
就本文所提案例而言,用户进入第三方支付系统A网站后,首先在图1左端窗口输入接收卡信息,在右端窗口选择支付银行及个人Email和手机信息,正常情况下,这些信息通过IE内置SSL模块,建立SSL连接,将信息安全传送至第三方支付系统A服务器端;然后再依据用户所选择的支付银行,链接银行支付页面进行支付,支付时要求输入用户银行卡号、用户银行卡密码及付款金额,提示用户插入安全U盾,输入PIN码。该过程用户所输入的信息通过IE传递给安全U盾,进行签名和加密运算以后,再返回IE传送至网银支付网关,网银系统的服务器端对数据进行认证和解密后,将资金从用户支付卡上转至第三方支付系统。延迟一段时间后,资金才由第三方支付系统转入用户所输入的接收卡中。
在本文的案例中,用户的资金通过另一个第三支付系统B转入非用户指定的接收卡账户。这显然是一种浏览器劫持行为,此行为发生在调用网银支付页面以前,它更改了接收卡信息,同时由另一第三方支付系统B,代替了用户所选择的第三方支付系统A,因此网银支付页面是由第三方支付系统B提供的链接。在接下来的支付过程中,无论是用户方、第三方支付系统A、第三方支付系统B,还是银行方均不会发现任何异常情况。
分析了整个入侵过程以后,教师自然引入以下几个问题:
1) 非法者为何要选择在此操作环节进行IE劫持?这种IE劫持是如何实现的?
2) 非法者为何要选择第三方支付系统B作为他们的支付平台?该平台是否有漏洞更容易被利用?
3) 若该用户直接进入网银界面进行类似的转账操作会有资金会发生资金损失吗?
4) 能否防范此类IE劫持行为?如何防范?
3分析和实践
前面描述了如何引导学生去发现和理解问题。接下来是组织学生进一步分析问题,并着手寻找解决问题的方法和途径。笔者通过与学生们讨论,将接下来所要进行的工作分成四大部分。第一、明确和掌握文中所提案例的攻击原理;第二、通过分析和模拟攻击行为,进一步理解和掌握相关攻击原理和实现方法;第三、设计并实现新的安全机制,防范相关攻击;第四、验证新的安全防范机制的有效性。
3.1浏览器劫持技术的原理
从目前的资料来看,“浏览器劫持”攻击的渗透途径有很多,其中最常见的方式有通过BHO DLL插件、Hook技术达到对用户的浏览器进行篡改的目的。这些载体可以直接寄生于浏览器的模块里,成为浏览器的一部分,进而直接操纵浏览器的行为。
什么是BHO DLL插件、Hook技术?它们的作用是什么?它们是如何被合法和不法利用的?“浏览器劫持”攻击是如何利用这些技术从事了非法或非授权行为的?
首先了解BHO技术[7]。BHO是微软早在1999年推出的作为浏览器对第三方程序员开放交互接口的业界标准。BHO可以获知和实现浏览器的大部分事件和功能,也就是说,它可以利用少量的代码控制浏览器行为。程序员可以设计出一个BHO控制浏览器跳转到他想让用户去的页面,这就所谓的“浏览器劫持”――BHO劫持。
其次,引入Hook(钩子)技术。Hook[8]是Windows消息处理机制的一个平台,应用程序可以在上面设置子程序以监视指定窗口的某种消息,并且当消息到达后,在目标窗口处理函数之前处理它。Hook机制允许应用程序截获处理Window消息或特定事件。把Hook技术应用到浏览器上面,就成了另一种控制浏览器行为的方法,称为IE钩子。IE钩子程序载入进程后便能获知所有的消息类型、API和内容,一旦发现某个符合要求的消息,如IE执行了某个事件,或者用户输入了特定内容,钩子的处理代码就开始工作了,它先拦截系统发送给IE的消息,然后分析消息内容,根据不同消息内容作出修改后再发给IE,就完成了一次Hook篡改过程。
接下来的问题就是:案例中的攻击者是如何使攻击得逞的呢?攻击者能够得逞需要具备哪些条件?
3.2第三方支付系统的弱点
本案例有一个值得关注的地方,就是诈骗者利用了另一家B支付系统将客户资金进行了非法转移。这个B支付系统有什么更易被利用的弱点吗?笔者对B支付系统进行考察后发现,该支付系统给商家提供了信用支付功能,通过该功能,商家可以通过一个链接让买家通过网银进行支付。该支付系统为注册商家和非注册商家都提供了一个这样的功能,也就是说任意一个人,都可以不经任何审查过程,实现这样一个功能。
如图3所示,要完成信用支付,任何一个注册或非注册用户第一步要做的是输入工行的信用卡号及其它相关信息。输入完成后,再进行确认。最后生成一个支付链接。
如图4所示。所生成的支付链接中的最后二项,一个是“money=xxxxx”,另一个是“payUrl=xxxx”等号后面的内容。前者是支付金额,后者是商品链接。等号后面的内容允许商户根据需要进行修改。正是这个链接为网上开店的商户完成商品的支付功能,提供了很大方便,但同时,也为攻击者进行网上诈骗大开方便之门。
3.3模拟运行环境及攻击行为
通过对攻击行为的模拟,可以使学生更好地理解攻击行为的原理、作用及局限,同时也能够大大增强学生的编程能力。
第一,利用钩子技术实现对键盘的记录[9]。由于键盘记录器需要监控键盘的所有输入,因此必须安装为全局的钩子,该钩子函数应当写入一个DLL文件内。该DLL由VC编写,相应参考资料很多。
第二,利用BHO技术实现URL的拦截[10]。该BHO插件在VC6.0下开发。基本实现过程:①ATL Object到该项目中。②实现IObjectWithSite的接口方法。③实现IDispatch接口方法。④修改注册表文件,追加BHO的注册信息。
第三,网上支付系统[11]保证客户端资金安全的最核心的机制是采用安全U盾。为了使学生充分掌握和了解安全U盾的应用,给学生提供了坚石诚信科技公司的安全U盾产品ET199,能够使用MS CryptoAPI接口开发ET199的应用。
3.4建立新的安全防范机制
分析和模拟的目的是为了能够有更好的思路和手段来实现新的安全防范机制,避免类似的攻击案例的发生。
从对文中案例的分析情况来看,第三方支付系统显然存在弱点,需要企业本身和相关监管部门进一步完善业务流程和监管手段。作为用户一方,如何保证客户端不被非法程序所侵害,也应引起足够的重视。目前,所能采取的技术手段是利用系统监控技术,监控文件目录的变动、注册表的修改、进程的创建等[9]。
1) 文件监控技术。Windows SDK提供了两种API进行文件监控。FindChange- Notification系列函数和ReadDirectory- ChangesW()函数。
2) 注册表监控技术。Windows SDK提供了一个函数:RegNotifyChangeKeyValue(),可以完成对指定注册表路径项的监视。
3) 进程监控技术。进程监控的有多种方法。最好的方法是采用API Hook。API Hook的主要思路是拦截基于操作系统提供的API函数,使其在执行这些函数前首先运行自己的代码,可以使用这种方法来记录系统中的一些关键操作。
4结语
当前,学生自主研学能力的缺乏具有一定的普遍
性,特别是在与我校同档次的高校中,情况更为普遍。因此,无论从学校层面还是从专业教学层面上都在积极采取办法提高学生自主研学能力,如鼓励成立学生社团、举办课外专业竞赛、提供学校学生基金项目、创新理论教学和实验教学,等等。本文探讨了一种新的方法和途径:以学生感兴趣的应用型项目为依托,积极引导学生自主研学。只有当学生提高了自主研学的能力和兴趣以后,他们才能够在大学所提供的各种教育活动中,更有效地提高自身的实践能力、沟通能力、团队合作能力和知识应用能力。
参考文献:
[1] 李晖,马建峰. 结合学校特色加强信息安全专业建设的几点体会[J]. 北京电子科技学院学报,2006(3):3-4.
[2] 谭云松,王海晖,伍庆华,等. 信息安全专业实践教学体系研究[J]. 高教论坛,2006(5):82-84.
[3] Du Wenliang,Teng Zhouxuan,Wang Ronghua. SEED:a suite of instructional laboratories for computer security education[C]. SIGCSE’07 Proceedings of the 38th SIGCSE technical symposium on computer science education, March,2007:486-490.
[4] Hu J,Meinel C,Schmitt M.Tele-Lab IT Security: An Architecture for Interactive Lessons for Security Education[C]. SIGCSE’04 Proceedings of the 35th SIGCSE technical symposium on computer science education,March,2004:412-416.
[5] 刘凯. 入侵检测技术实验教学的设计与研究[J]. 计算机教育,2009(4):139-142.
[6] Rolf Oppliger,Ruedi Rytz,Thomas Holderegger. Internet Banking: Client-Side Attacks and Protection Mechanisms [J]. IEEE Computer,2009,42(6):27-33.
[7] Microsoft Corporation. IObjectWithSite Interface [EB/OL]. [2010-11-16]. /en-us/
library/Aa768220.aspx.
[8] Microsoft Corporation. Hooks [EB/OL]. [2010-11-16]. /en-us/library/ms632589(VS.85).
aspx.
[9] 裴要强,孟波. Windows 黑客技术揭密与攻防1:C语言篇[M]. 北京:中国铁道出版社,2010:243-252.
[10] Scott Pobert. Intertnet Explore 5程序设计[M]. 北京博彦科技发展有限责任公司,译. 北京:清华大学出版社,2001:429-440.
[11] 坚实诚信科技有限公司. ET199超级多功能锁资料下载[EB/OL]. [2010-11-16]. .cn/et199/download_
authentication.php.
Effective Case of Guiding Undergraduate on Information Security Speciality in Independent Study
LIU Kai, CHEN Xin
(Department of Information Security, Beijing Information Sci. &Tech Univ., Beijing 100101,China)