网络攻击与防护复习题.docx
《网络攻击与防护复习题.docx》由会员分享,可在线阅读,更多相关《网络攻击与防护复习题.docx(26页珍藏版)》请在冰点文库上搜索。
网络攻击与防护复习题
1、防火墙的工作方式主要分为包过滤型、应用代理型和状态检测型
2、包过滤(Packetfiltering)防火墙是最简单的防火墙,通常只包括对源和目的的IP地址及端口的检查
3、包过滤防火墙的优缺点
包过滤防火墙逻辑简单、价格便宜、网络性能和透明性好。
它的不足之处也显而易见,包过滤防火墙配置困难,且无法满足各种安全要求,缺少审计和报警机制。
4、应用代理型
应用代理型防火墙(ApplicationProxy)工作在OSI的最高层,即应用层。
其特点是完全阻隔了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。
5、从防火墙结构分为单一主机防火墙、路由器集成式防火墙和分布式防火墙三种
6、数据备份就是将数据以某种方式加以保留,以便在系统需要时重新恢复和利用。
其作用主要体现在如下两个方面:
1.在数据遭到意外事件破坏时,通过数据恢复还原数据。
2.数据备份是历史数据保存归档的最佳方式。
备份的最基本问题是:
为保证能恢复全部系统,需要备份多少以及何时进行备份。
目前常用的备份方法备份策略有:
(1)全盘备份;
(2)增量备份;
(3)差异备份;(4)按需备份
7、加密是把信息从一个可理解的明文形式变换成一个错乱的、不可理解的密文形式的过程
8、鉴别包括报文鉴别和身份验证。
报文鉴别是为了确保数据的完整性和真实性,对报文的来源、时间性及目的地进行验证。
身份验证是验证进入网络系统者是否是合法用户,以防非法用户访问系统
报文鉴别和身份验证可采用数字签名技术来实现。
9、数字签名的功能:
●收方能够确认发方的签名,但不能伪造;
●发方发出签过名的信息后,不能再否认;
●收方对收到的签名信息也不能否认;
●一旦收发方出现争执,仲裁者可有充足的证据进行评判。
10、网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
11、网络安全的目标
1.可靠性
可靠性是网络信息系统能够在规定条件下和规定的时间内完成规定的功能的特性。
可靠性是系统安全的最基本要求之一,是所有网络信息系统的建设和运行目标。
2.可用性
可用性是网络信息可被授权实体访问并按需求使用的特性,即网络信息服务在需要时,允许授权用户或实体使用的特性,或者是网络部分受损或需要降级使用时,仍能为授权用户提供有效服务的特性。
3.保密性
保密性是网络信息不被泄露给非授权的用户、实体或过程,或供其利用的特性。
即,防止信息泄漏给非授权个人或实体,信息只为授权用户使用的特性。
4.完整性
完整性是网络信息XX不能进行改变的特性,即网络信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。
保障网络信息完整性的主要方法有:
•协议:
通过各种安全协议可以有效地检测出被复制的信息、被删除的字段、失效的字段和被修改的字段;
•纠错编码方法:
由此完成纠错和纠错功能。
最简单和常用的纠错编码方法是奇偶校验法;
•密码校验和方法:
它是抗篡改和传输失败的重要手段;
•数字签名:
保障信息的真实性;
•公证:
请求网络管理或中介机构证明信息的真实性。
5.不可抵赖性
不可抵赖性也称作不可否认性。
在网络信息系统的信息交互过程中,确信参与者的真实同一性,即,所有参与者都不可能否认或抵赖曾经完成的操作和承诺。
6.可控性
可控性是对网络信息的传播及内容具有控制能力的特性。
12、安全服务
1.对象认证安全服务
防止主动攻击的主要技术,认证就是识别和证实。
识别是辩明一个对象的身份的过程,证实是证明该对象的身份就是其声明的身份的过程。
2.访问控制安全服务
防止超权使用资源。
访问控制大体可分为自主访问控制和强制访问控制。
3.数据机密性安全服务
防止信息泄漏。
这组安全服务又细分为:
信息机密性、选择段机密性、业务流机密性。
4.数据完整性安全服务
防止非法地篡改信息、文件和业务流。
这组安全服务又分为:
联接完整性(有恢复或无恢复)、选择段有联接完整性、选择段无联接完整性。
5.防抵赖安全服务
证实己发生的操作。
它包括对发送防抵赖、对递交防抵赖和公证。
13、物理隔离。
物理隔离是指在任一时间和地点,计算机网络之间均不存在直接的物理连接,而且没有任何公用的存储信息,保证系统内的数据在网际间不被重用,在某种程度上切断信息的流动途径。
通常使用电源切换方法,隔离区域始终处于互不同时通电的状态,被隔离的网络端始终无法通过隔离部件交互信息。
14、逻辑隔离。
逻辑隔离是指公共网络和专网之间物理连接,通过信息安全技术手段确保隔离网络之间不存在数据通道,即逻辑上隔离。
通常采用VLAN、访问控制、VPN、防火墙、身份识别、端口绑定等技术,通过使用协议转换、数据格式剥离和数据流控制等方法,在逻辑隔离区域之间实现单向数据传输,杜绝隔离网络之间直接的数据交换。
15、安全检测与评估。
安全检测与评估是指通过配置网络安全漏洞扫描系统,定期或不定期对一些关键设备和系统进行漏洞扫描和安全评估,发现并报告系统存在的弱点和漏洞,评估安全风险,建议补救措施。
安全监控与入侵防范包括入侵监测系统和安全审计。
入侵监测系统主要安装在易受到攻击的服务器或防火墙附近,通过检查操作系统的审计数据或网络数据包信息,监测系统中违背安全策略或危及系统安全的行为或活动。
安全审计是对网络上发生的事件进行记载、分析和报告的操作。
16、防火墙。
防火墙是由软件和硬件组合而成,在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。
通过监测、限制、更改跨越防火墙的数据流,尽最大可能对外部屏蔽网络内部的信息、结构和运行状况,最大限度地阻止黑客的访问,防止重要信息被更改、拷贝或毁坏,以此来实现网络的安全保护。
17、入侵检测
入侵检测系统IDS(IntrusionDetectionSystem)指的是一种硬件或者软件系统,该系统对系统资源的非授权使用能够做出及时的判断、记录和报警。
18、入侵检测的方法
入侵检测方法有三种分类依据:
•根据物理位置进行分类。
•根据建模方法进行分类。
•根据时间分析进行分类。
常用的方法有三种:
•静态配置分析
•异常性检测方法
•基于行为的检测方法。
19、控制与审计是当前信息安全技术支撑平台的两大主流技术
20、安全=最少服务最小权限
•公理:
所有的程序都有缺陷(摩菲定理)
•大程序定律:
大程序的缺陷甚至比它包含的内容还多
•推理:
一个安全相关程序有安全性缺陷
•定理:
只要不运行这个程序,那么这个程序有缺陷,也无关紧要
•推理:
只要不运行这个程序,那么这个程序有安全性漏洞,也无关紧要
•定理:
对外暴露的计算机,应尽可能少地运行程序,且运行的程序也尽可能地小
•推论:
防火墙基本法则:
防火墙必须配置得尽可能地小,才能降低风险。
21、防火墙应用失败原因
•未制定完整的企业安全策略
•没有及时升级系统和安全漏洞库
•安全策略更新缓慢
•合作伙伴选择失败
•缺少有效的管理手段
22、VPN(VirtualPrivateNetwork)它指的是以公用开放的网络(如Internet)作为基本传输媒体,通过加密和验证网络流量来保护在公共网络上传输的私有信息不会被窃取和篡改,从而向最终用户提供类似于私有网络(PrivateNetwork)性能的网络服务技术。
23、VPN作用
•数据机密性保护
•数据完整性保护
•数据源身份认证
24、病毒的种类
1、系统病毒:
感染windows操作系统的*.exe和*.dll文件
2、蠕虫病毒:
通过网络或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞网络的特性
3、木马病毒
4、脚本病毒:
使用脚本语言编写,通过网页进行的传播的病毒
5、宏病毒:
让计算机感染传统型的病毒。
删除硬盘上的文件或文档。
6、后门病毒:
后门就是辅助木马进一步入侵的小程序,通常会开启若干端口或服务
25、木马
v木马是指通过一段特定的程序(木马程序)来控制另一台计算机。
v木马通常有两个可执行程序:
一个是客户端,即控制端,另一个是服务端,即被控制端。
v木马的服务一旦运行并被控制端连接,其控制端将享有服务端的大部分操作权限,例如给计算机增加口令,进行各种文件操作,修改注册表,更改计算机配置等。
v木马的防治措施:
▪安装杀毒软件和个人防火墙,并及时升级。
▪把个人防火墙设置好安全等级,防止未知程序向外传送数据。
▪可以考虑使用安全性比较好的浏览器和电子邮件客户端工具。
▪如果使用IE浏览器,应该安装卡卡安全助手,防止恶意网站在自己电脑上安装不明软件和浏览器插件,以免被木马趁机侵入。
26、恶意脚本是指一切以制造危害或者损害系统功能为目的而从软件系统中增加、改变或删除的任何脚本
27、浏览器劫持。
使用户浏览器出现访问正常网站时被转向到恶意网页、IE浏览器主页/搜索页等被修改为劫持软件指定的网站地址等异常
28、我国信息安全隐患原因
1.互联网自身的安全隐患
互联网在设计之初就缺乏安全构架的总体规划,网络底层协议TCP/IP协议族是假定于可信环境,首先考虑的是网络互相联结,强调的是Internet开发性和便利性,欠缺网络安全的整体架构和设计,TCP/IP协议族存在安全漏洞和安全检测缺陷,黑客利用某些安全漏洞或安全缺陷作为攻击系统的手段。
开放性和共享性是互联网的优点,但这同时也成为导致网络安全威胁的主要原因。
2.缺乏国家信息安全战略和规划的统一指导
目前我国入网用户每年都以较大幅度增长,中国互联网络信息中心(CNNIC)发布的《第29次中国互联网络发展状况统计报告》显示,截止2011年12月底,我国网民总数已达5.13亿,全球第一。
但总体上讲,我国网络信息化程度较发达国家水平还有相当大的差距,不论是国家还是民众,对于信息网络安全的意识还没有上升到国民经济和国家安全的高度。
目前,我国还没有发布国家信息安全战略和规划的纲领性文件,缺乏全国统一的信息安全战略统筹和综合协调。
3.基础薄弱,安全防护能力不强
目前,我国还不拥有信息安全技术的核心软件和硬件,信息安全基础薄弱,在核心芯片和系统内核方面缺乏自主研发,信息网络安全防护能力整体较弱,核心技术受制于人。
当前,我国急需加快技术攻关和产业发展,加强信息安全防护技能和管理措施,提升网络与信息安全的监管能力和保障水平,确保重要信息系统和基础信息网络安全。
4.信息安全人才不足
我国目前在信息安全体系结构、技术研发等方面尚处于初级阶段,信息安全产业在研发、运用等方面人才匮乏。
信息安全行业普遍缺乏高素质的信息安全技术人员,高层次的信息安全人才尤其稀缺。
由于人才匮乏,信息安全解决方案只能采用安全产品的简单集成,安全防护效果不尽人意。
29、防火墙是位于两个网络之间的一组构件或一个系统,具有以下属性:
●防火墙是不同网络或者安全域之间信息流的唯一通道,所有双向数据流必须经过防火墙。
●只有经过授权的合法数据,即防火墙安全策略允许的数据才可以通过防火墙。
●防火墙系统应该具有很高的抗攻击能力,其自身可以不受各种攻击的影响。
30、传统的加密算法主要为
v置换:
按照规则改变内容的排列顺序
v移位:
打乱字母的排列顺序
31、数字加密的安全性取决于加密算法的强度和密钥的保密性
32、加密算法分类
对称密钥加密算法(又称私钥加密算法)
非对称密钥加密算法(又称公钥加密算法)
33、对称加密算法:
密钥的管理是最大的问题
34、加密技术
v加密技术分:
对称加密算法(私钥加密)、非对称加密算法(公钥加密)
v对称加密:
加密密钥和解密密钥是相等的,如:
DES算法
v优点:
加密速度快
v缺点:
安全性不高,密钥管理难
v非对称加密算法:
私钥和公钥不相等,如:
RSA算法
v优点:
安全、密码管理简单
v缺点:
加密速度慢
v非对称加密的算法、公钥都是公开的。
私钥自行保存。
v非对称加密算法的私钥用于解密和签名,公钥用于加密和验证。
35、数字签名方法是把整个明文都进行加密,在实际应用中由于加密很慢,所以经常希望能够发送签名的明文文件而不要求加密整个报文。
现在经常使用一种叫做“报文摘要”的数字签名方法。
36、网络中存在的威胁:
目前网络中存在的威胁主要表现在以下几个方面。
1.非授权访问
没有预先经过同意就使用网络或计算机资源被看作是非授权访问,如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息。
非授权访问主要包括以下几种形式:
假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。
2.泄漏或丢失信息
泄漏或丢失信息指敏感数据被有意泄漏出去或丢失,通常包括:
信息在传输中丢失或泄漏(如“黑客”们利用电磁泄漏或搭线窃听等方式可截获机密信息,或通过对信息流向、流量、通信频度和长度等参数的分析,得到用户密码、账号等重要信息),信息在存储介质中丢失或泄漏,敏感信息被隐蔽隧道窃取等
3.破环数据完整性
指以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的响应;恶意添加,修改数据,以干扰用户的正常使用等。
4.拒绝服务攻击
通过不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序响应来减慢甚至使网络服务瘫痪,影响正常的使用,导致合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务等。
5.利用网络传播病毒
通过网络传播计算机病毒,其破坏性大大高于单机,而且用户很难防范。
37、如何保证信息安全
•高水平的人才是保证网络安全的基础
•先进的技术是网络安全的根本保证
•严格的安全管理是网络安全的关键
•法律法规的制定是网络安全的依靠
38、黑客攻击的手段:
•网络监听
•密码破解
•漏洞攻击
•扫描攻击
•拒绝服务攻击
•缓冲区溢出
•恶意代码攻击
•IP欺骗
39、主动防御技术:
数据加密
身份验证
存取控制
授权
虚拟网络
40、被动防御技术
•防火墙技术
•安全扫描技术
•路由过滤技术
•审记服务
•物理及管理安全
41、应用程序服务的安全漏洞
•Web服务器:
–错误的Web目录结构
–CGI脚本缺陷
–Web服务器应用程序缺陷
–私人Web站点
–未索引的Web页
•数据库:
–危险的数据库读取删除操作,缓冲区溢出
•路由器:
–源端口/源路由
•其他应用程序:
–Oracle,SAP,Peoplesoft缺省帐户
–有缺陷的浏览器
42、P2DR动态安全模型
随着网络的蓬勃发展,人们已经意识到网络安全是最迫切需要解决的问题之一。
由于传统的计算机安全理论不能适应动态变化的与多维互联的网络环境,于是可适应网络安全理论体系逐渐形成。
可适应网络安全理论(或称动态信息安全理论)的主要模型是P2DR模型。
P2DR模型给网络安全管理提供了方法。
所有的安全问题都可以在统一的策略指导下,采取防护、检测、响应等不断循环的动态过程。
1.P2DR动态安全模型的概念
P2DR模型是在整体安全策略的控制和指导下,在综合运用防护工具(如防火墙、操作系统身份认证、加密等手段)的同时,利用检测工具(如漏洞评估、入侵检测等系统)了解和评估系统的安全状态,将系统调整到“最安全”和“风险最低”的状态。
防护、检测和响应组成了一个完整的、动态的安全循环,P2DR模型是一个动态模型,其中引进了时间的概念,而且对如何实现系统的安全,如何评估安全的状态,给出了可操作性的描述。
P2DR模型是对传统安全模型的重大改进。
动态安全模型最基本原理是:
信息安全相关的所有活动,不管是攻击行为、防护行为、检测行为和响应行为等都要消耗时间。
因此可以用时间来衡量一个体系的安全性和安全能力。
作为一个防护体系,当入侵者要发起攻击时,每一步都需要花费时间。
攻击成功花费的时间就是安全体系提供的防护时间;在入侵发生的同时,检测系统也在发挥作用,检测到入侵行为也要花费时间-检测时间;在检测到入侵后,系统会做出相应的响应动作,这也要花费时间-响应时间。
P2DR模型要求满足防护时间大于检测时间加上响应时间,也就是在入侵者危害安全目标之前就能被检测到并及时处理。
P2DR模型赋予信息安全新的内涵:
即“及时的检测和响应就是安全”,“及时的检测和恢复就是安全”。
同时为信息安全问题解决给出了明确的方向:
提高系统的防护时间,降低检测时间和响应时间。
P2DR模型包含4个主要部分,如图所示。
●安全策略(Policy)
●防护(Protection)
●检测(Detection)
●响应(Response)
43、DNS域名劫持及重定向
域名劫持通常是指,通过采用黑客手段控制了域名管理密码和域名管理邮箱,然后将该域名的NS纪录指向到黑客可以控制的DNS服务器,然后通过在该DNS服务器上添加相应域名纪录,从而使访问该域名时,进入了黑客所指向的内容。
域名重定向攻击:
将域名重新定向到其他的错误的IP,攻击方式出现了很长时间。
近几年来,出现了利用此的新的攻击手段。
44、“云安全(CloudSecurity)”计划是网络时代信息安全的最新体现,它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,推送到Server端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。
45、安全是一种能够识别和消除不安全因素的能力,安全是一个持续的过程
46、网络安全是网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断
47、入侵检测的作用
⏹监视、分析用户和系统的运行状况,查找非法用户和合法用户的越权操作
⏹检测系统配置的正确性和安全漏洞,并提示管理员修补漏洞
⏹对用户非正常活动的统计分析,发现攻击行为的规律
⏹检查系统程序和数据的一致性和正确性
⏹能够实时地对检测到的攻击行为进行响应
48、入侵检测的意义
⏹单纯的防护技术容易导致系统的盲目建设,一方面是不了解安全威胁的严峻和当前的安全现状;另一方面是安全投入过大而又没有真正抓住安全的关键环节,导致资源浪费
⏹防火墙策略有明显的局限性
⏹静态安全措施不足以保护安全对象属性。
⏹而入侵检测系统在动态安全模型中占有重要的地位
49、网络安全行政管理的内容
(1)鉴别管理
(2)访问控制管理
(3)密钥管理
(4)信息网络的安全管理
50、安全世界的基本世界观:
三分技术七分管理
51、网络安全风险来源:
•外部的攻击
•内部的安全隐患
•动态的网络环境
•有限的防御措施
•安全策略和实际执行之间的巨大差异
52、网络攻击技术中网络探测包括:
▪主机扫描
▪网络结构发现
▪端口和服务扫描
▪操作系统识别
▪资源和用户信息扫描
53、网络攻击技术中欺骗技术包括:
▪欺骗技术
-IP欺骗
•假冒他人的IP地址发送信息
-邮件欺骗
•假冒他人的邮件地址发送信息
-Web欺骗
•你连到的网站是真的吗?
-其他欺骗
•DNS欺骗
•非技术性欺骗
54、会话劫持分两种:
被动劫持
•监听网络流量,发现密码或者其他敏感信息
主动劫持
•找到当前会话并接管过来,迫使一方下线,由劫持者取而代之
•攻击者接管了一个合法会话后,可以做更多危害性更大的事情
55、DDoS攻击由三部分组成:
Ø客户端程序(黑客主机)
Ø控制点(Master)
Ø代理程序(Zombie),或者称为攻击点(daemon)
56、黑客和入侵者
黑客一词,源于英文Hacker,原指热心于计算机技术,水平高超的电脑专家,尤其是程序设计人员。
黑客是那些检查(网络)系统完整性和安全性的人,他们通常非常精通计算机硬件和软件知识,并有能力通过创新的方法剖析系统。
黑客通常会去寻找网络中漏洞,但是往往并不去破坏计算机系统。
正是因为黑客的存在,人们才会不断了解计算机系统中存在的安全问题
入侵者(Cracker,有人翻译成“骇客”)是那些利用网络漏洞破坏系统的人,他们往往会通过计算机系统漏洞来入侵。
他们也具备广泛的电脑知识,但与黑客不同的是他们以破坏为目的。
真正的黑客应该是一个负责任的人,他们认为破坏计算机系统是不正当的。
但是现在Hacker和Cracker已经混为一谈,人们通常将入侵计算机系统的人统称为“黑客”。
57、网络攻击可以分为主动攻击和被动攻击两大类型
❑主动攻击包含攻击者访问他所需信息的故意行为。
攻击者是在主动地做一些不利于他人系统的事情。
正因为如此,找到他们是较容易的。
主动攻击包括拒绝服务攻击、信息篡改、资源使用以及欺骗等攻击方法。
❑被动攻击主要是收集信息而不是进行访问,数据的合法用户对这种活动一点也不会觉察。
被动攻击包括嗅探以及信息收集等攻击方法。
58、字典攻击:
攻击者预先将可能性较大的密钥计算的加密值,通过与被攻击的加密值进行比较,以此来对加密消息进行解密的一种攻击。
59、动态密码的特点:
❑密码卡每一分钟都产生一个新的密码,不可预测,并只能使用一次;
❑密钥存放在服务器和密码卡中,不在网络中传输。
❑所以,动态密码不怕被人偷看,不怕“黑客”的网络窃听,不怕“重放攻击”,不能猜测,不易破解,具有较高的安全性和使用方便性。
60、图片附加码方法能有效的防止“机器人暴力破解法”——攻击者使用特定的程序企图遍历所有可能的密码并模拟登录过程。
因为附加图片是非标准化的,只能由人的大脑来识别,识别的过程虽然只需要几秒钟,但却有效的防止了机器人暴力破解。
61、远程网络攻击基本步骤:
一是确定目标;二是信息收集;三是确定攻击方法;四是做好善后工作。
62、根据应用环境不同,网络安全可分为运行系统安全、网络信息安全、信息传输安全和信息内容安全。
63、数据完整性机制有三种重要的类型:
连接完整性机制、无连接完整性机制和选域完整性机制
64、数字签名机制包括两个过程:
对数据单元签名和验证签过名的数据单元
65、网络安全的基本威胁包括:
信息泄露、完整性破坏、业务拒绝和非法使用
66、目前网络存在的安全问题主要包括计算机系统安全、数据库系统安全、计算机病毒的防治和网络站点的安全
67、安全策略是指在某个安全区域内,用于所有与安全相关活动的一套规则
68、制定安全策略的原则包括:
适应性原则、动态性原则、简单性原则和系统性原则
69、物理安全主要包括:
环境安全、设备安全和媒体安全
70、网络信息的安全管理包括三类活动:
系统安全管理、安全服务管理和安全机制管理
71、哈希函数(散列函数或散列算法,HashFunction)在信息安全中扮演着极其重要的角色,在保障信息的完整性(未被篡改)、数字签名、验证等有关协议中有着重要应用。
Hash函数是一个将任意长度的比特串压缩映射到固定长度的函数,输出的结果称为Hash值。
Hash函数的安全性质如下:
散列性:
对于任意输入x,输出的哈希值
应当和区间[0,2n]中均匀分布的二进制串在计算上是不可区分的。
单向性:
已知一个哈希值y,找出一个输入串x,使得
,在计算上是不可行的。
碰撞性:
找出两个不同的输入值,即
,使得
在计算上是不可行的。
72、一个完善的公钥基础设施应该具备以下功能:
证书管理、密钥历史记录的管理、密钥的自动更新、数字签名的不可否认性和交叉认证。
升级会员 