云安全中心管理控制臺

sidneyz1 2019-12-20

展開全文

應(yīng)保證網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力滿足業(yè)務(wù)高峰期需要。

安全通信網(wǎng)絡(luò) - 網(wǎng)絡(luò)架構(gòu)

是

您可以通過VPC控制臺，定期查看當(dāng)前資源配額使用情況。

應(yīng)保證網(wǎng)絡(luò)各個部分的帶寬滿足業(yè)務(wù)高峰期需要。

安全通信網(wǎng)絡(luò) - 網(wǎng)絡(luò)架構(gòu)

否

您可以根據(jù)業(yè)務(wù)實際情況在創(chuàng)建實例是申請帶寬，云監(jiān)控支持通過監(jiān)控彈性公網(wǎng)IP支持網(wǎng)絡(luò)帶寬監(jiān)控。另可以配置 DDoS 原生防護(hù)能力，保障業(yè)務(wù)高可用性

應(yīng)劃分不同的網(wǎng)絡(luò)區(qū)域，并按照方便管理和控制的原則為各網(wǎng)絡(luò)區(qū)域分配地址。

安全通信網(wǎng)絡(luò) - 網(wǎng)絡(luò)架構(gòu)

是

您可以基于業(yè)務(wù)需求劃分不同的安全域，配置IP地址范圍、配置路由表和網(wǎng)關(guān)等。

應(yīng)避免將重要網(wǎng)絡(luò)區(qū)域部署在邊界處，重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域之間應(yīng)采取可靠的技術(shù)隔離手段。

安全通信網(wǎng)絡(luò) - 網(wǎng)絡(luò)架構(gòu)

否

您需要配置ACL訪問控制策略，可配置云防火墻實現(xiàn)VPC內(nèi)部東西流量隔離，提升VPC安全性。

應(yīng)提供通信線路、關(guān)鍵網(wǎng)絡(luò)設(shè)備的硬件冗余，保證系統(tǒng)的可用性。

安全通信網(wǎng)絡(luò) - 網(wǎng)絡(luò)架構(gòu)

是

您需要配置負(fù)載均衡產(chǎn)品，保障在流量波動情況下不中斷對外服務(wù)。

應(yīng)采用密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性。

安全通信網(wǎng)絡(luò) - 通信傳輸

是

您需要設(shè)置TLS，保障互聯(lián)網(wǎng)通信的安全性和數(shù)據(jù)完整性。

應(yīng)采用密碼技術(shù)保證通信過程中數(shù)據(jù)的保密性。

安全通信網(wǎng)絡(luò) - 通信傳輸

是

您需要設(shè)置TLS，保障互聯(lián)網(wǎng)通信的安全性和數(shù)據(jù)完整性。

可基于可信根對通信設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和通信應(yīng)用程序等進(jìn)行可信驗證，并在應(yīng)用程序的所有執(zhí)行環(huán)節(jié)進(jìn)行動態(tài)可信驗證，在檢測到其可信性受到破壞后進(jìn)行報警，并將驗證結(jié)果形成審計記錄送至安全管理中心，并進(jìn)行動態(tài)關(guān)聯(lián)感知。

安全通信網(wǎng)絡(luò) - 可信驗證

是

您可以通過IPSEC VPN遠(yuǎn)程訪問，使業(yè)務(wù)數(shù)據(jù)可以在公網(wǎng)上通過IP加密信道進(jìn)行傳輸，同時訪問使用SSL VPN，保障通信鏈路中數(shù)據(jù)的保密性。

應(yīng)保證跨越邊界的訪問和數(shù)據(jù)流通過邊界設(shè)備提供的受控接口進(jìn)行通信。

安全區(qū)域邊界 - 邊界防護(hù)

否

因該指標(biāo)只要求“可”，不是強(qiáng)制要求項。

應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行限制或檢查。

安全區(qū)域邊界 - 邊界防護(hù)

否

您需要配置ACL訪問控制策略，訪問控制粒度為端口級?？梢酝ㄟ^云防火墻對VPC間的訪問流量進(jìn)行檢測和控制。

應(yīng)能夠?qū)?nèi)部用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行限制或檢查。

安全區(qū)域邊界 - 邊界防護(hù)

否

您需要部署第三方網(wǎng)絡(luò)接入控制系統(tǒng)，限制運(yùn)維終端等設(shè)備非法接入到內(nèi)部網(wǎng)絡(luò)，云防火墻支持云服務(wù)器從內(nèi)對外訪問控制策略配置。

應(yīng)限制無線網(wǎng)絡(luò)的使用，保證無線網(wǎng)絡(luò)通過受控的邊界設(shè)備接入內(nèi)部網(wǎng)絡(luò)。

安全區(qū)域邊界 - 邊界防護(hù)

是

部署云防火墻實現(xiàn)南北向和東西向訪問的網(wǎng)絡(luò)流量分析，全網(wǎng)流量可視化，對主動外聯(lián)行為的分析和阻斷，配置開通、變更白名單策略。
部署云安全中心實現(xiàn)非授權(quán)聯(lián)到外部惡意域名、IP地址的行為進(jìn)行檢查和攔截。
如果是IDC環(huán)境，您需要根據(jù)云下資產(chǎn)對象，獨(dú)立部署第三方網(wǎng)絡(luò)接入控制系統(tǒng)。

應(yīng)在網(wǎng)絡(luò)邊界或區(qū)域之間根據(jù)訪問控制策略設(shè)置訪問控制規(guī)則，默認(rèn)情況下除允許通信外受控接口拒絕所有通信。

安全區(qū)域邊界 - 訪問控制

否

您可以根據(jù)云下無線網(wǎng)絡(luò)環(huán)境，部署第三方網(wǎng)絡(luò)接入控制系統(tǒng)，配置禁用無線網(wǎng)卡的策略，無線網(wǎng)絡(luò)的使用按照客戶需求和具體應(yīng)用場景而定應(yīng)限制無線網(wǎng)絡(luò)的使用，保證無線網(wǎng)絡(luò)通過受控的邊界設(shè)備接入內(nèi)部網(wǎng)絡(luò)。

應(yīng)刪除多余或無效的訪問控制規(guī)則，優(yōu)化訪問控制列表，并保證訪問控制規(guī)則數(shù)量最小化。

安全區(qū)域邊界 - 訪問控制

否

云服務(wù)客戶配置ACL訪問控制策略，訪問控制粒度為端口級。
部署云防火墻實現(xiàn)統(tǒng)一管理互聯(lián)網(wǎng)到業(yè)務(wù)的南北向訪問策略和業(yè)務(wù)與業(yè)務(wù)之間的東西向微隔離策略，達(dá)到端口級訪問控制粒度。

應(yīng)對源地址、目的地址、源端口、目的端口和協(xié)議等進(jìn)行檢查，以允許/拒絕數(shù)據(jù)包進(jìn)出。

安全區(qū)域邊界 - 訪問控制

否

您需要根據(jù)業(yè)務(wù)需求優(yōu)化訪問控制列表。
部署云防火墻實現(xiàn)策略命中計數(shù)功能，確保沒有無效的冗余策略，云防火墻訪問控制策略可配置優(yōu)先級，優(yōu)化訪問控制列表。

應(yīng)能根據(jù)會話狀態(tài)信息為進(jìn)出數(shù)據(jù)流提供明確的允許/拒絕訪問的能力。

安全區(qū)域邊界 - 訪問控制

否

您需要根據(jù)業(yè)務(wù)需求配置恰當(dāng)?shù)脑L問控制策略表。
部署云防火墻實現(xiàn)對進(jìn)出訪問控制策略進(jìn)行嚴(yán)格設(shè)置，訪問控制策略包括源類型、訪問源、目的類型、目的、協(xié)議類型、目的端口、應(yīng)用協(xié)議、動作、描述和優(yōu)先級。

應(yīng)對進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流實現(xiàn)基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容的訪問控制。

安全區(qū)域邊界 - 訪問控制

否

部署云防火墻實現(xiàn)跨VPC數(shù)據(jù)流的應(yīng)用協(xié)議、內(nèi)容的訪問控制。
部署WEB應(yīng)用防火墻實現(xiàn)應(yīng)用級協(xié)議和內(nèi)容訪問控制。
部署DDoS高防實現(xiàn)所有業(yè)務(wù)流量進(jìn)行清洗，支持網(wǎng)絡(luò)四層和七層防護(hù)。

應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測、防止或限制從外部發(fā)起的網(wǎng)絡(luò)攻擊行為。

安全區(qū)域邊界 - 入侵防范

否

部署云安全中心實現(xiàn)網(wǎng)絡(luò)流量和主機(jī)中的入侵行為和文件樣本進(jìn)行實時檢測和防御。
部署云防火墻實現(xiàn)對互聯(lián)網(wǎng)上的惡意流量入侵活動和常規(guī)攻擊行為進(jìn)行實時阻斷和攔截。
部署Web應(yīng)用防火墻實現(xiàn)流量檢測、過濾、清洗后再代理轉(zhuǎn)發(fā)到應(yīng)用服務(wù)器。
部署DDoS高防實現(xiàn)抵御各類基于網(wǎng)絡(luò)層、傳輸層及應(yīng)用層的DDoS攻擊，秒級啟動流量清洗，過濾掉攻擊流量支持全自動檢測和攻擊策略匹配，實時防護(hù)，清洗服務(wù)可用性99.95%，可定制99.99%。

應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測、防止或限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為。

安全區(qū)域邊界 - 入侵防范

否

部署云安全中心實現(xiàn)主機(jī)系統(tǒng)層和應(yīng)用層的主動外聯(lián)和惡意攻擊行為，對進(jìn)程、網(wǎng)絡(luò)異常行為進(jìn)行預(yù)警。
部署云防火墻實現(xiàn)檢測東西向流量，配置相應(yīng)的安全策略，阻斷防止從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為。

應(yīng)采取技術(shù)措施對網(wǎng)絡(luò)行為進(jìn)行分析，實現(xiàn)對網(wǎng)絡(luò)攻擊特別是新型網(wǎng)絡(luò)攻擊行為的分析。

安全區(qū)域邊界 - 入侵防范

否

部署云安全中心實現(xiàn)挖礦、勒索、蠕蟲、DDoS木馬等基于新型網(wǎng)絡(luò)攻擊的攻擊預(yù)警。
云防火墻對云上進(jìn)出網(wǎng)絡(luò)的惡意流量進(jìn)行實時檢測與阻斷，支持防御挖礦蠕蟲等新型網(wǎng)絡(luò)攻擊，并通過積累大量惡意攻擊樣本，形成精準(zhǔn)防御規(guī)則；云防火墻入侵檢測功能支持發(fā)現(xiàn)挖礦蠕蟲感染事件。

當(dāng)檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發(fā)生嚴(yán)重入侵事件時應(yīng)提供報警。

安全區(qū)域邊界 - 入侵防范

否

部署云安全中心實現(xiàn)檢測到威脅時，記錄事件賬號/源地址、攻擊類型、攻擊時間、事件級別以及處置建議，同時支持自動化攻擊溯源，展示攻擊過程。
部署云防火墻實現(xiàn)檢測攻擊行為，提供網(wǎng)絡(luò)阻斷功能，記錄風(fēng)險級別、事件名稱、防御狀態(tài)、源IP、目的IP、方向、判斷來源、發(fā)生時間和動作。
部署Web應(yīng)用防火墻實現(xiàn)HTTP和HTTPS流量攻擊，記錄攻擊事件類型、攻擊URL、來源IP、目的Host、時間、Get請求內(nèi)容和攔截動作。
部署DDoS高防實現(xiàn)DDoS攻擊時，記錄攻擊類型、攻擊目標(biāo)、攻擊時間、攻擊流量峰值和清洗防護(hù)結(jié)果。

應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對惡意代碼進(jìn)行檢測和清除，并維護(hù)惡意代碼防護(hù)機(jī)制的升級和更新。

安全區(qū)域邊界 - 惡意代碼和垃圾郵件防范

否

部署云安全中心實現(xiàn)蠕蟲病毒、勒索病毒、木馬、網(wǎng)站后門等惡意代碼的檢測和隔離清除，定期升級相關(guān)惡意代碼規(guī)則庫。
部署云防火墻實現(xiàn)入侵防護(hù)和惡意代碼防范。
部署Web應(yīng)用防火墻實現(xiàn)流量惡意代碼檢測提供惡意代碼檢測功能，惡意代碼規(guī)則庫定期更新。

應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對垃圾郵件進(jìn)行檢測和防護(hù)，并維護(hù)垃圾郵件防護(hù)機(jī)制的升級和更新。

安全區(qū)域邊界 - 惡意代碼和垃圾郵件防范

是

您需求加固自身郵件服務(wù)器具備防垃圾郵件功能或部署第三方郵件防護(hù)系統(tǒng)。

應(yīng)在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行安全審計，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進(jìn)行審計。

安全區(qū)域邊界 - 安全審計

否

部署云安全中心實現(xiàn)主機(jī)登錄日志、進(jìn)程啟動、網(wǎng)絡(luò)連接、端口快照、賬戶快照、暴力破解、網(wǎng)絡(luò)會話、DNS解析、WEB會話、安全告警、漏洞和基線日志進(jìn)行審計。
部署云防火墻實現(xiàn)日志審計模塊記錄所有流量日志、事件日志和操作日志。
部署Web應(yīng)用防火墻對攻擊日志支持日志實時查詢分析。
部署堡壘機(jī)實現(xiàn)對云端虛擬主機(jī)ECS資產(chǎn)進(jìn)行運(yùn)維權(quán)限管控及運(yùn)維審計。
部署數(shù)據(jù)庫審計實現(xiàn)對云上數(shù)據(jù)庫訪問行為進(jìn)行監(jiān)控，分析危險操作及可疑行為。

審計記錄應(yīng)包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息。

安全區(qū)域邊界 - 安全審計

否

部署云安全中心實現(xiàn)檢測到威脅時，記錄事件賬號/源地址、攻擊類型、攻擊時間、事件級別以及處置建議。
部署云防火墻實現(xiàn)日志記錄事件被掃描到的時間、威脅類型、出/入方向、源IP和目的IP、應(yīng)用類型、嚴(yán)重性等級以及動作狀態(tài)等信息；
部署Web應(yīng)用防火墻實現(xiàn)記錄攻擊事件類型、攻擊URL、來源IP、目的Host、時間、Get請求內(nèi)容和攔截動作。
部署DDoS高防實現(xiàn)檢測到DDoS攻擊時，記錄攻擊類型、攻擊目標(biāo)、攻擊時間、攻擊流量峰值和清洗防護(hù)結(jié)果。
部署堡壘機(jī)實現(xiàn)日志記錄，包括重要性、時間、日志類型、日志內(nèi)容、用戶、源IP地址和結(jié)果。

應(yīng)對審計記錄進(jìn)行保護(hù)，定期備份，避免受到未預(yù)期的刪除、修改或覆蓋等。

安全區(qū)域邊界 - 安全審計

否

部署云安全中心、云防火墻、Web應(yīng)用防火墻、DDoS高防、堡壘機(jī)和數(shù)據(jù)庫審計等安全產(chǎn)品實現(xiàn)日志分析功能，依托日志服務(wù)產(chǎn)品，可存儲6個月內(nèi)的日志數(shù)據(jù)提供實時日志分析能力。

應(yīng)能對遠(yuǎn)程訪問的用戶行為、訪問互聯(lián)網(wǎng)的用戶行為等單獨(dú)進(jìn)行行為審計和數(shù)據(jù)分析。

安全區(qū)域邊界 - 安全審計

否

可基于可信根對邊界設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和邊界防護(hù)應(yīng)用程序等進(jìn)行可信驗證，并在應(yīng)用程序的所有執(zhí)行環(huán)節(jié)進(jìn)行動態(tài)可信驗證，在檢測到其可信性受到破壞后進(jìn)行報警，并將驗證結(jié)果形成審計記錄送至安全管理中心，并進(jìn)行動態(tài)關(guān)聯(lián)感知。

安全區(qū)域邊界 - 可信驗證

是

部署云安全中心實現(xiàn)云上所有資產(chǎn)安全事件的綜合分析。

應(yīng)對登錄的用戶進(jìn)行身份標(biāo)識和鑒別，身份標(biāo)識具有唯一性，身份鑒別信息具有復(fù)雜度要求并定期更換。

安全計算環(huán)境 - 身份鑒別

否

因該指標(biāo)只要求“可”，不是強(qiáng)制要求項。

應(yīng)具有登錄失敗處理功能，應(yīng)配置并啟用結(jié)束會話、限制非法登錄次數(shù)和當(dāng)?shù)卿涍B接超時自動退出等相關(guān)措施。

安全計算環(huán)境 - 身份鑒別

否

部署云安全中心實現(xiàn)對云服務(wù)客戶登錄的配置和密碼復(fù)雜度進(jìn)行定期安全檢查，并提供安全建議并進(jìn)行預(yù)警。
部署堡壘機(jī)實現(xiàn)口令策略支持8個字符以上，必須包含大寫字母、小寫字母、數(shù)字及特殊符號，用戶身份有唯一標(biāo)識，口令90天定期跟換，新用戶強(qiáng)制更改口令。

當(dāng)進(jìn)行遠(yuǎn)程管理時，應(yīng)采取必要措施，防止鑒別信息在網(wǎng)絡(luò)傳輸過程中被竊聽。

安全計算環(huán)境 - 身份鑒別

否

部署堡壘機(jī)實現(xiàn)登錄失敗處理功能配置，建議配置云服務(wù)客戶最大登錄失敗5次，臨時鎖定30分鐘，登錄連接超時時間為30分鐘。
部署云安全中心實現(xiàn)登錄失敗防御配置，支持云服務(wù)客戶配置最大登錄失敗10次數(shù)，臨時阻斷連接1天、3天和7天。

應(yīng)采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對用戶進(jìn)行身份鑒別，且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)來實現(xiàn)。

安全計算環(huán)境 - 身份鑒別

否

部署堡壘機(jī)實現(xiàn)遠(yuǎn)程連接至云服務(wù)器時，采用安全的SSH方式進(jìn)行遠(yuǎn)程登錄。
部署云安全中心實現(xiàn)對遠(yuǎn)程管理的配置進(jìn)行檢查，防止不安全的配置導(dǎo)致傳輸被竊聽。

應(yīng)對登錄的用戶分配賬戶和權(quán)限。

安全計算環(huán)境 - 訪問控制

否

部署堡壘機(jī)實現(xiàn)作為唯一入口管理服務(wù)器，支持包括虛擬MFA、短信驗證碼在內(nèi)的多因子認(rèn)證。
部署云安全中心實現(xiàn)對云平臺配置提供基線核查，能夠?qū)崟r發(fā)現(xiàn)主賬號雙因素認(rèn)證風(fēng)險。

應(yīng)重命名或刪除默認(rèn)賬戶，修改默認(rèn)賬戶的默認(rèn)口令。

安全計算環(huán)境 - 訪問控制

否

您需求根據(jù)業(yè)務(wù)應(yīng)用系統(tǒng)進(jìn)行安全配置。需基于RAM對云服務(wù)進(jìn)行合理授權(quán)。

應(yīng)及時刪除或停用多余的、過期的賬戶，避免共享賬戶的存在。

安全計算環(huán)境 - 訪問控制

否

您需要根據(jù)自身安全基線重命名或刪除多余過期賬戶，或增強(qiáng)其口令。
部署云安全中心實現(xiàn)安全基線的持續(xù)檢查，告警

應(yīng)授予管理用戶所需的最小權(quán)限，實現(xiàn)管理用戶的權(quán)限分離。

安全計算環(huán)境 - 訪問控制

否

部署堡壘機(jī)實現(xiàn)云服務(wù)客戶對無用、多余賬戶會鎖定或刪除管理。
部署云安全中心實現(xiàn)對平臺賬戶進(jìn)行安全配置檢查。

應(yīng)由授權(quán)主體配置訪問控制策略，訪問控制策略規(guī)定主體對客體的訪問規(guī)則。

安全計算環(huán)境 - 訪問控制

否

部署堡壘機(jī)實現(xiàn)基于用戶角色分配權(quán)限，實現(xiàn)三權(quán)分立，角色分為超級管理員、審計員和運(yùn)維員。
部署云安全中心實現(xiàn)對賬戶權(quán)限配置的安全檢查，云服務(wù)客戶權(quán)限分離的檢查。

訪問控制的粒度應(yīng)達(dá)到主體為用戶級或進(jìn)程級，客體為文件、數(shù)據(jù)庫表級。

安全計算環(huán)境 - 訪問控制

是

您需要基于云產(chǎn)品配置指南和業(yè)務(wù)應(yīng)用系統(tǒng)需求合理配置。

應(yīng)對主體、客體設(shè)置安全標(biāo)記，并依據(jù)安全標(biāo)記和強(qiáng)制訪問控制規(guī)則確定主體對客體的訪問。

安全計算環(huán)境 - 訪問控制

是

您需要基于云產(chǎn)品配置指南和業(yè)務(wù)應(yīng)用系統(tǒng)需求合理配置。

應(yīng)啟用安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進(jìn)行審計。

安全計算環(huán)境 - 安全審計

否

因現(xiàn)使用的操作系統(tǒng)安全級別無法達(dá)到B類強(qiáng)制保護(hù)級，操作系統(tǒng)側(cè)自身暫無法實現(xiàn)強(qiáng)制訪問控制。

審計記錄應(yīng)包括事件的日期、時間、類型、主體標(biāo)識、客體標(biāo)識和結(jié)果等。

安全計算環(huán)境 - 安全審計

否

部署堡壘機(jī)實現(xiàn)對所有云服務(wù)客戶的虛擬主機(jī)操作進(jìn)行審計，系統(tǒng)自身日志本地保存。
部署數(shù)據(jù)庫審計實現(xiàn)對數(shù)據(jù)庫風(fēng)險操作行為進(jìn)行記錄，提供細(xì)粒度審計數(shù)據(jù)庫訪問行為。
部署云安全中心實現(xiàn)對賬戶9登錄進(jìn)行記錄，提供細(xì)粒度審計登錄時間、登錄賬戶、登錄結(jié)果的記錄，并通過報表進(jìn)行實時監(jiān)控預(yù)警。

應(yīng)對審計記錄進(jìn)行保護(hù)，定期備份，避免受到未預(yù)期的刪除、修改或覆蓋等。

安全計算環(huán)境 - 安全審計

否

部署堡壘機(jī)實現(xiàn)日志記錄，包括重要性、時間、日志類型、日志內(nèi)容、用戶、源IP地址和結(jié)果。
部署數(shù)據(jù)庫審計實現(xiàn)多維度線索分析，包括會話行為、SQL行為、風(fēng)險行為和政策性報表。
部署云安全中心實現(xiàn)日志記錄，包括主機(jī)登錄日志、進(jìn)程啟動、網(wǎng)絡(luò)連接、賬戶快照、端口快照、DNS、Web訪問、網(wǎng)站會話、云平臺操作等日志結(jié)果。

應(yīng)對審計進(jìn)程進(jìn)行保護(hù)，防止未經(jīng)授權(quán)的中斷。

安全計算環(huán)境 - 安全審計

否

部署堡壘機(jī)、數(shù)據(jù)庫審計實現(xiàn)日志實時推送至日志服務(wù)，審計記錄可按需調(diào)整存儲空間，支持6個月以上保存期。
部署云安全中心實現(xiàn)日志記錄保存期為6個月，同時支持對操作審計日志配置進(jìn)行基線核查。

應(yīng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序。

安全計算環(huán)境 - 入侵防范

否

部署堡壘機(jī)、數(shù)據(jù)庫審計實現(xiàn)日志實時推送至日志服務(wù)。
部署云安全中心實現(xiàn)對操作審計日志配置進(jìn)行基線核查。

應(yīng)關(guān)閉不需要的系統(tǒng)服務(wù)、默認(rèn)共享和高危端口。

安全計算環(huán)境 - 入侵防范

否

云安全中心客戶端在上線前，均經(jīng)過內(nèi)部的安全審核，并進(jìn)行安全加固，遵循最小化安裝原則。

應(yīng)通過設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍對通過網(wǎng)絡(luò)進(jìn)行管理的管理終端進(jìn)行限制。

安全計算環(huán)境 - 入侵防范

否

部署云安全中心實現(xiàn)對主機(jī)、SLB、RDS、OSS等云產(chǎn)品進(jìn)行高危配置、端口的基線檢查。

應(yīng)提供數(shù)據(jù)有效性檢驗功能，保證通過人機(jī)接口輸入或通過通信接口輸入的內(nèi)容符合系統(tǒng)設(shè)定要求。

安全計算環(huán)境 - 入侵防范

是

部署云安全中心實現(xiàn)聯(lián)動云平臺IP白名單、安全組的能力，對網(wǎng)絡(luò)IP、端口、協(xié)議進(jìn)行管理和限制。

應(yīng)能發(fā)現(xiàn)可能存在的已知漏洞，并在經(jīng)過充分測試評估后，及時修補(bǔ)漏洞。

安全計算環(huán)境 - 入侵防范

否

您需對業(yè)務(wù)系統(tǒng)對輸入數(shù)據(jù)的有效性進(jìn)行驗證，過濾特殊字符。

應(yīng)能夠檢測到對重要節(jié)點(diǎn)進(jìn)行入侵的行為，并在發(fā)生嚴(yán)重入侵事件時提供報警。

安全計算環(huán)境 - 入侵防范

否

部署云安全中心實現(xiàn)漏洞修復(fù)，組件支持Linux漏洞、Windows漏洞、Web-CMS漏洞、應(yīng)用漏洞和應(yīng)急漏洞的一鍵修復(fù)功能，支持安全基線檢測策略，支持平臺安全配置等檢查，能夠?qū)崟r檢測已知漏洞。
部署漏洞掃描實現(xiàn)資產(chǎn)威脅檢測，發(fā)現(xiàn)云服務(wù)客戶業(yè)務(wù)系統(tǒng)關(guān)聯(lián)資產(chǎn)，實現(xiàn)自動化漏洞滲透測試和敏感內(nèi)容監(jiān)測。
進(jìn)行滲透測試服務(wù)實現(xiàn)模擬黑客對云服務(wù)客戶業(yè)務(wù)系統(tǒng)進(jìn)行安全測試，發(fā)現(xiàn)安全缺陷和漏洞，并提出修復(fù)建議。

應(yīng)采用免受惡意代碼攻擊的技術(shù)措施或主動免疫可信驗證機(jī)制及時識別入侵和病毒行為，并將其有效阻斷。

安全計算環(huán)境 - 惡意代碼和垃圾郵件防范

否

部署云安全中心實現(xiàn)檢測到對重要節(jié)點(diǎn)入侵行為并進(jìn)行告警，主要包括異常登錄檢測、網(wǎng)站后門查殺（Webshell）、主機(jī)異常行為檢測（進(jìn)程異常行為和異常網(wǎng)絡(luò)連接檢測）、主機(jī)系統(tǒng)及應(yīng)用的關(guān)鍵文件篡改檢測和異常賬號檢測等。
部署Web應(yīng)用防火墻實現(xiàn)將Web流量引流到WAF上，由WAF將流量進(jìn)行檢測、過濾、清洗后再代理轉(zhuǎn)發(fā)到應(yīng)用服務(wù)器。

可基于可信根對計算設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和應(yīng)用程序等進(jìn)行可信驗證，并在應(yīng)用程序的所有執(zhí)行環(huán)節(jié)進(jìn)行動態(tài)可信驗證，在檢測到其可信性受到破壞后進(jìn)行報警，并將驗證結(jié)果形成審計記錄送至安全管理中心，并進(jìn)行動態(tài)關(guān)聯(lián)感知。

安全計算環(huán)境 - 可信驗證

是

部署云安全中心通過安全加固鏡像部署代理，實現(xiàn)對惡意的代碼實時攔截功能，在系統(tǒng)內(nèi)核層面，識別惡意代碼，并進(jìn)行主動攔截。

應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在傳輸過程中的完整性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個人信息等。

安全計算環(huán)境 - 數(shù)據(jù)完整性

是

您需要在使用云產(chǎn)品支持常用產(chǎn)品開啟加密鏈路功能。

應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在存儲過程中的完整性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個人信息等。

安全計算環(huán)境 - 數(shù)據(jù)完整性

是

您需要在使用阿里云產(chǎn)品時，啟用各云產(chǎn)品自帶的完整性校驗功能。

應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在傳輸過程中的保密性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要個人信息等。

安全計算環(huán)境 - 數(shù)據(jù)保密性

是

您需要在使用阿里云產(chǎn)品時，如SLB、CDN、OSS、RDS等常用產(chǎn)品時開啟加密鏈路功能。
證書服務(wù)支持云上簽發(fā)第三方CA證書頒發(fā)機(jī)構(gòu)的SSL證書，實現(xiàn)Https。

應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在存儲過程中的保密性，包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)和重要個人信息等。

安全計算環(huán)境 - 數(shù)據(jù)保密性

是

您需選擇、配置恰當(dāng)?shù)拇鎯用芊绞健?/div>

應(yīng)提供重要數(shù)據(jù)的本地數(shù)據(jù)備份與恢復(fù)功能。

安全計算環(huán)境 - 數(shù)據(jù)備份恢復(fù)

是

您需對重要的數(shù)據(jù)進(jìn)行本地備份。

應(yīng)提供異地實時備份功能，利用通信網(wǎng)絡(luò)將重要數(shù)據(jù)實時備份至備份場地。

安全計算環(huán)境 - 數(shù)據(jù)備份恢復(fù)

是

您需根據(jù)自身重要數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)配置恰當(dāng)備份策略，實現(xiàn)實時備份。

應(yīng)提供重要數(shù)據(jù)處理系統(tǒng)的熱冗余，保證系統(tǒng)的高可用性。

安全計算環(huán)境 - 數(shù)據(jù)備份恢復(fù)

是

云產(chǎn)品基于飛天分布式操作系統(tǒng)高可用架構(gòu)，存儲產(chǎn)品支持高可用性，支持用于基于業(yè)務(wù)處理能力，按照需求動態(tài)調(diào)整資源，保證系統(tǒng)高可用。

應(yīng)保證鑒別信息所在的存儲空間被釋放或重新分配前得到完全清除。

安全計算環(huán)境 - 剩余信息保護(hù)

是

阿里云對存儲過云服務(wù)客戶數(shù)據(jù)的內(nèi)存和磁盤，一旦釋放和回收，其上的殘留信息將被自動進(jìn)行零值覆蓋，對于重用或報廢的物理設(shè)備，對存儲介質(zhì)進(jìn)行覆寫、消磁或折彎等數(shù)據(jù)清除處理。

應(yīng)保證存有敏感數(shù)據(jù)的存儲空間被釋放或重新分配前得到完全清除。

安全計算環(huán)境 - 剩余信息保護(hù)

是

阿里云支持不同云服務(wù)客戶內(nèi)存和持久化存儲空間相對獨(dú)立，當(dāng)資源釋放時，云服務(wù)客戶空間會被釋放和清除。

應(yīng)僅采集和保存業(yè)務(wù)必需的用戶個人信息。

安全計算環(huán)境 - 個人信息保護(hù)

否

您需根據(jù)部署的應(yīng)用系統(tǒng)功能建設(shè)相應(yīng)的個人信息清除機(jī)制。
部署敏感數(shù)據(jù)保護(hù)實現(xiàn)對個人信息進(jìn)行發(fā)現(xiàn)、分類和保護(hù)。

應(yīng)禁止未授權(quán)訪問和非法使用用戶個人信息。

安全計算環(huán)境 - 個人信息保護(hù)

是

由您根據(jù)部署的應(yīng)用系統(tǒng)功能建設(shè)相應(yīng)的個人信息保護(hù)機(jī)制。

應(yīng)對系統(tǒng)管理員進(jìn)行身份鑒別，只允許其通過特定的命令或操作界面進(jìn)行系統(tǒng)管理操作，并對這些操作進(jìn)行審計。

安全管理中心 - 系統(tǒng)管理

否

您需基于用戶角色進(jìn)行配置，實現(xiàn)用戶三權(quán)分立。

應(yīng)通過系統(tǒng)管理員對系統(tǒng)的資源和運(yùn)行進(jìn)行配置、控制和管理，包括用戶身份、系統(tǒng)資源配置、系統(tǒng)加載和啟動、系統(tǒng)運(yùn)行的異常處理、數(shù)據(jù)和設(shè)備的備份與恢復(fù)等。

安全管理中心 - 系統(tǒng)管理

否

您需基于云產(chǎn)品配置指南根據(jù)業(yè)務(wù)需求合理配置系統(tǒng)資源。
部署云安全中心實現(xiàn)對系統(tǒng)異常進(jìn)行處理。

應(yīng)對審計管理員進(jìn)行身份鑒別，只允許其通過特定的命令或操作界面進(jìn)行安全審計操作，并對這些操作進(jìn)行審計。

安全管理中心 - 審計管理

否

您需基于用戶角色進(jìn)行配置，實現(xiàn)用戶三權(quán)分立。
部署堡壘機(jī)實現(xiàn)對審計管理操作進(jìn)行審計。
部署數(shù)據(jù)庫，實現(xiàn)對數(shù)據(jù)庫操作進(jìn)行審計。

應(yīng)通過審計管理員對審計記錄應(yīng)進(jìn)行分析，并根據(jù)分析結(jié)果進(jìn)行處理，包括根據(jù)安全審計策略對審計記錄進(jìn)行存儲、管理和查詢等。

安全管理中心 - 審計管理

否

您需基于云產(chǎn)品配置指南根據(jù)業(yè)務(wù)需求合理配置。
部署堡壘機(jī)實現(xiàn)對審計記錄進(jìn)行查詢、分析和管理，審計記錄支持轉(zhuǎn)存到日志服務(wù)中。
部署數(shù)據(jù)庫實現(xiàn)對審計記錄進(jìn)行查詢、分析和管理，審計記錄存儲在日志服務(wù)中。

應(yīng)對安全管理員進(jìn)行身份鑒別，只允許其通過特定的命令或操作界面進(jìn)行安全管理操作，并對這些操作進(jìn)行審計。

安全管理中心 - 安全管理

是

您需基于用戶角色，實現(xiàn)用戶三權(quán)分立。安全管理員基于安全控制臺通過安全產(chǎn)品對云資源進(jìn)行安全管理操作。

應(yīng)通過安全管理員對系統(tǒng)中的安全策略進(jìn)行配置，包括安全參數(shù)的設(shè)置，主體、客體進(jìn)行統(tǒng)一安全標(biāo)記，對主體進(jìn)行授權(quán)，配置可信驗證策略等。

安全管理中心 - 安全管理

否

您需基于用戶角色，實現(xiàn)用戶三權(quán)分立。
部署云安全中心實現(xiàn)基線核查、安全策略、訪問控制策略統(tǒng)一配置。

應(yīng)劃分出特定的管理區(qū)域，對分布在網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)行管控。

安全管理中心 - 集中管控

是

您需制定安全策略，劃分特定的管理區(qū)域。

應(yīng)能夠建立一條安全的信息傳輸路徑，對網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)行管理。

安全管理中心 - 集中管控

是

您需基于云產(chǎn)品配置指南根據(jù)業(yè)務(wù)需求合理配置。阿里云支持全鏈路通信進(jìn)行SSL/TLS安全加密處理，通過Https進(jìn)行管理。

應(yīng)對網(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務(wù)器等的運(yùn)行狀況進(jìn)行集中監(jiān)測。

安全管理中心 - 集中管控

是

您需基于云產(chǎn)品配置指南根據(jù)業(yè)務(wù)需求合理配置。云監(jiān)控支持針對負(fù)載均衡、彈性IP地址、DDoS高防、云服務(wù)器等運(yùn)行狀態(tài)創(chuàng)建監(jiān)測規(guī)則，并進(jìn)行集中監(jiān)測和報警。

應(yīng)對分散在各個設(shè)備上的審計數(shù)據(jù)進(jìn)行收集匯總和集中分析，并保證審計記錄的留存時間符合法律法規(guī)要求。

安全管理中心 - 集中管控

是

您需基于云產(chǎn)品配置指南根據(jù)業(yè)務(wù)需求合理配置。云安全產(chǎn)品支持將自身采集安全審計記錄在安全控制臺上展示，并支持將審計記錄統(tǒng)一保存到云服務(wù)客戶指定的日志服務(wù)或存儲空間，日志留存時間滿足6個月。

應(yīng)對安全策略、惡意代碼、補(bǔ)丁升級等安全相關(guān)事項進(jìn)行集中管理。

安全管理中心 - 集中管控

是

您需基于云產(chǎn)品配置指南根據(jù)業(yè)務(wù)需求合理配置。
部署云安全中心實現(xiàn)云平臺配置核查、漏洞檢測和修復(fù)、基線核查、云安全補(bǔ)丁修復(fù)，并對安全相關(guān)事件進(jìn)行集中管理。

應(yīng)能對網(wǎng)絡(luò)中發(fā)生的各類安全事件進(jìn)行識別、報警和分析。

安全管理中心 - 集中管控

否

您需基于云產(chǎn)品配置指南根據(jù)業(yè)務(wù)需求合理配置。
部署云安全中心實現(xiàn)自動采集計算、數(shù)據(jù)庫、負(fù)載均衡等等多種資產(chǎn)，收集多種日志數(shù)據(jù)，對重點(diǎn)安全威脅時管控，對各類安全事件進(jìn)行識別、分析和告警，告警方式包括短信、郵件、釘釘?shù)取?br>部署云防火墻實現(xiàn)對互聯(lián)網(wǎng)上的惡意流量入侵活動和常規(guī)攻擊行為進(jìn)行實時阻斷和攔截。
部署Web應(yīng)用防火墻實現(xiàn)將Web流量引流到WAF上，由WAF將流量進(jìn)行檢測、過濾、清洗后再代理轉(zhuǎn)發(fā)到應(yīng)用服務(wù)器。
部署DDoS高防實現(xiàn)所有業(yè)務(wù)流量進(jìn)行清洗，支持網(wǎng)絡(luò)四層和七層防護(hù)。

應(yīng)在虛擬化網(wǎng)絡(luò)邊界部署訪問控制機(jī)制，并設(shè)置訪問控制規(guī)則。

安全區(qū)域邊界 - 訪問控制

否

您需配置恰當(dāng)訪問控制策略。
部署云防火墻互聯(lián)網(wǎng)邊界防火墻實現(xiàn)統(tǒng)一管理互聯(lián)網(wǎng)到業(yè)務(wù)的南北向訪問策略和業(yè)務(wù)與業(yè)務(wù)之間的東西向微隔離策略，訪問控制粒度可達(dá)端口級。

應(yīng)在不同等級的網(wǎng)絡(luò)區(qū)域邊界部署訪問控制機(jī)制，設(shè)置訪問控制規(guī)則。

安全區(qū)域邊界 - 訪問控制

否

您需配置恰當(dāng)訪問控制策略。
部署云防火墻實現(xiàn)對VPC邊界防火墻、互聯(lián)網(wǎng)邊界防火墻以及主機(jī)邊界防火墻的訪問控制，用于檢測和控制兩個VPC間的通信流量、限制主機(jī)對內(nèi)、外雙向的未授權(quán)訪問和ECS實例間的未授權(quán)訪問。

應(yīng)對云服務(wù)商和云服務(wù)客戶在遠(yuǎn)程管理時執(zhí)行的特權(quán)命令進(jìn)行審計，至少包括虛擬機(jī)刪除、虛擬機(jī)重啟。

安全區(qū)域邊界 - 安全審計

否

您需基于云產(chǎn)品配置指南根據(jù)業(yè)務(wù)需求合理配置。
部署堡壘機(jī)實現(xiàn)操作審計、職權(quán)管控、安全認(rèn)證功能，記錄所有運(yùn)維操作記錄、Linux命令審計、Windows操作錄像。
部署云安全中心實現(xiàn)云服務(wù)客戶所有資產(chǎn)安全事件的綜合分析。

應(yīng)保證云服務(wù)商對云服務(wù)客戶系統(tǒng)和數(shù)據(jù)的操作可被云服務(wù)客戶審計。

安全區(qū)域邊界 - 安全審計

是

您需基于云產(chǎn)品配置指南根據(jù)業(yè)務(wù)需求合理配置?？赏ㄟ^阿里云RAM授權(quán)和AccessKey，實現(xiàn)密鑰訪問阿里云API，如果雙方均為合法證書則建立雙向加密通道。

當(dāng)遠(yuǎn)程管理云計算平臺中設(shè)備時，管理終端和云計算平臺之間應(yīng)建立雙向身份驗證機(jī)制。

安全計算環(huán)境 - 身份鑒別

是

您需基于云產(chǎn)品配置指南根據(jù)業(yè)務(wù)需求合理配置。云服務(wù)商對云服務(wù)客戶系統(tǒng)的操作需提交工單，通過云服務(wù)客戶授權(quán)后進(jìn)行操作，相關(guān)操作行為通過云服務(wù)客戶的管理平臺進(jìn)行審計。

應(yīng)確保云服務(wù)客戶數(shù)據(jù)、用戶個人信息等存儲于中國境內(nèi)，如需出境應(yīng)遵循國家相關(guān)規(guī)定。

安全計算環(huán)境 - 數(shù)據(jù)完整性

是

您需遵守業(yè)務(wù)數(shù)據(jù)不出境的規(guī)定，若出境遵循國家相關(guān)規(guī)定。

云服務(wù)客戶應(yīng)在本地保存其業(yè)務(wù)數(shù)據(jù)的備份。

安全計算環(huán)境 - 數(shù)據(jù)備份恢復(fù)

是

您需進(jìn)行本地備份業(yè)務(wù)數(shù)據(jù)。

應(yīng)根據(jù)云服務(wù)商和云服務(wù)客戶的職責(zé)劃分，收集各自控制部分的審計數(shù)據(jù)并實現(xiàn)各自的集中審計。

安全建設(shè)管理 - 集中管控

否

您需基于云產(chǎn)品配置指南根據(jù)業(yè)務(wù)需求合理配置。
部署堡壘機(jī)實現(xiàn)對所有云服務(wù)客戶的操作進(jìn)行審計，操作系統(tǒng)自身日志本地保存。
部署數(shù)據(jù)庫審計實現(xiàn)對數(shù)據(jù)庫風(fēng)險操作行為進(jìn)行記錄，提供細(xì)粒度審計數(shù)據(jù)庫訪問行為。云客戶安全能力

應(yīng)根據(jù)云服務(wù)商和云服務(wù)客戶的職責(zé)劃分，實現(xiàn)各自控制部分，包括虛擬化網(wǎng)絡(luò)、虛擬機(jī)、虛擬化安全設(shè)備等的運(yùn)行狀況的集中監(jiān)測。

安全建設(shè)管理 - 集中管控

是

應(yīng)選擇安全合規(guī)的云服務(wù)商，其所提供的云計算平臺應(yīng)為其所承載的業(yè)務(wù)應(yīng)用系統(tǒng)提供相應(yīng)等級的安全保護(hù)能力。

安全建設(shè)管理 - 云服務(wù)商選擇

是

您可以根據(jù)業(yè)務(wù)需求選擇合規(guī)的云服務(wù)商。阿里云提供的公共云平臺安全保護(hù)等級為第三級，并通過公安部指定測評機(jī)構(gòu)等保測評。

應(yīng)在服務(wù)水平協(xié)議中規(guī)定云服務(wù)的各項服務(wù)內(nèi)容和具體技術(shù)指標(biāo)。

安全建設(shè)管理 - 云服務(wù)商選擇

是

您在選定云服務(wù)商后，需簽訂相關(guān)服務(wù)等級協(xié)議。阿里云各安全產(chǎn)品均提供服務(wù)等級協(xié)議。

應(yīng)在服務(wù)水平協(xié)議中規(guī)定云服務(wù)商的權(quán)限與責(zé)任，包括管理范圍、職責(zé)劃分、訪問授權(quán)、隱私保護(hù)、行為準(zhǔn)則、違約責(zé)任等。

安全建設(shè)管理 - 云服務(wù)商選擇

是

您在選定云服務(wù)商后，需簽訂相關(guān)服務(wù)等級協(xié)議。阿里云各安全產(chǎn)品均提供服務(wù)等級協(xié)議。

應(yīng)在服務(wù)水平協(xié)議中規(guī)定服務(wù)合約到期時，完整提供云服務(wù)客戶數(shù)據(jù)，并承諾相關(guān)數(shù)據(jù)在云計算平臺上清除。

安全建設(shè)管理 - 云服務(wù)商選擇

是

您在選定云服務(wù)商后，需簽訂相關(guān)服務(wù)等級協(xié)議。阿里云各安全產(chǎn)品均提供服務(wù)等級協(xié)議。

應(yīng)與選定的云服務(wù)商簽署保密協(xié)議，要求其不得泄露云服務(wù)客戶數(shù)據(jù)。

安全建設(shè)管理 - 云服務(wù)商選擇

是

您在選定云服務(wù)商后，需簽訂相關(guān)服務(wù)等級協(xié)議。阿里云各安全產(chǎn)品均提供服務(wù)等級協(xié)議。

應(yīng)確保供應(yīng)商的選擇符合國家有關(guān)規(guī)定。

安全建設(shè)管理 - 供應(yīng)鏈管理

是

您在選擇第三方安全產(chǎn)品接入時，應(yīng)明確供應(yīng)商是否滿足國家相關(guān)規(guī)定。阿里公共云平臺基礎(chǔ)設(shè)施供應(yīng)商選擇均按照國家相關(guān)規(guī)定，對供應(yīng)商資質(zhì)、誠信以及產(chǎn)品情況進(jìn)行審核篩選，阿里云提供云服務(wù)均按照國家相關(guān)規(guī)定對外售賣。

本站是提供個人知識管理的網(wǎng)絡(luò)存儲空間，所有內(nèi)容均由用戶發(fā)布，不代表本站觀點(diǎn)。請注意甄別內(nèi)容中的聯(lián)系方式、誘導(dǎo)購買等信息，謹(jǐn)防詐騙。如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請點(diǎn)擊一鍵舉報。

轉(zhuǎn)藏 分享

QQ空間 QQ好友新浪微博微信

獻(xiàn)花（0） +1

來自： sidneyz1 > 《IT》

舉報/認(rèn)領(lǐng)