信息安全

【守护数字正义】从“陪审桥梁”到“信息防线”——全员筑牢信息安全合规的共同底线

admin

案例一:审判庭的“隐形泄密”——法官与陪审员的暗流

2019 年春,北方某省的中级人民法院正在审理一起涉及高额网络诈骗的刑事案件。案件的被告人张某利用假冒银行客服的方式,骗取受害人近千万元,案件事实错综复杂,牵涉大量电子证据、聊天记录和银行转账流水。为体现“全过程人民民主”,法院按照《人民陪审员法》组建了“一名法官+两名人民陪审员”的合议庭。

法官李宏是一位中年严谨、对程序极度苛求的“法官铁面”。陪审员王林是本地社区的退休教师,性格温和、热心公益,被选为陪审员已有两年;另一名陪审员赵倩是一名独立媒体从业者,性格直率、敢言,常在公开场合发表看法。

庭审期间,王林因对被害人家庭的同情,屡次向法官提出“应从情感层面考虑从宽处罚”。赵倩则坚持“应以事实与法条为准绳”。两位陪审员的意见激烈碰撞,法官李宏在矛盾的压力下多次暂停庭审,甚至向书记员递交口头指示,要求“把对被告人的严惩意见写进裁判文书”。

然而,就在关键的证据对质阶段,法院的审判系统突然弹出一条“网络异常”的提示。原来,法院审计系统的内部服务器被一名不满法官裁量的技术员——刘某(另案的审计人员)悄悄植入了后门程序,利用系统的暂时停机,向外部泄露了部分关键证据的电子文件路径和密码。

泄密信息被张某的同伙在社交媒体上快速传播,导致案件的证据链被质疑,审判进度被迫中止。法院内部的紧急会议上,法官李宏怒斥“有人在内部挑拨离间”,随即点名了陪审员赵倩的“公开言论”。赵倩愤然回击:“我不过是说了实话,哪里有挑拨?”场面一度失控,王林更是情绪激动,甚至扬言要将庭审过程全程录像公开以“昭示正义”。

最终,法院在内部审计后决定启动信息安全专项检查,刘某被依法逮捕并处以拘役;赵倩因“泄露审判内部信息”被发出警告信;王林因“未按规定履职”被取消陪审员资格。案件最终重新开庭审理,因证据缺失被撤销,导致受害人再度受创。

违规违法点
1. 内部系统漏洞与后门植入——违反《网络安全法》关于信息系统安全的规定,构成非法获取、泄露国家机关重要信息。
2. 陪审员违规泄露审判信息——违反《人民陪审员法》第十五条对保密义务的要求,构成违纪。
3. 法官未能有效监管信息系统——未履行信息安全组织责任,违反司法行政部门对信息系统安全管理的监督职责。

此案宛如一场审判舞台的“黑幕剧”,从陪审员的“民主之声”到内部技术员的“暗箭伤人”,再到信息系统的脆弱,层层叠加的失误最终让正义的天平倾斜。案例警示我们:技术与制度的缺口,是信息安全风险的溢出口;权力与职责的错位,是合规失效的根源。

案例二:数字协同的“失控”——伴审团队的合规失误

2021 年秋,南方一线城市的“星河智能科技公司”(化名)在一次大型智慧城市项目投标中,因其先进的AI分析平台而倍受青睐。该项目涉及公共安全、交通监控、数据共享等九大系统,价值逾十亿元。为提升项目的公平性与透明度,市司法局组织了“企业参审小组”,由三名院外陪审员和两名法官共同审阅投标文件,进行合规评估。

陪审员之一的刘海(化名)是一位极具正义感的社工,性格刚直、敢于揭露不公;另一位陪审员陈柔是一名资深税务顾问,细致、注重细节;第三位陪审员赵亮是大学法学教授,学术派,喜欢引用案例。法官王强是市法院的资深审判官,务实、对技术细节不甚了解。

投标文件中包含了大量的技术方案、数据模型、以及公司内部的安全审计报告。审阅期间,刘海因对项目方的“技术垄断”产生怀疑,要求对“算法黑箱”进行公开审查;陈柔则指出投标文件的财务预算与实际成本不匹配,可能涉及“虚报费用”;赵亮则关注项目的法律合规性,尤其是数据跨境流动的风险。

审查过程中,技术部门的项目负责人林浩(化名)被告知要在三天内提供完整的模型代码和安全防护细节,以满足陪审员的质询。林浩担心代码泄露后竞争对手抢占先机,便暗中在公司内部的协同平台上设置了“伪装文件”,并在提交的文档中加入了几段恶意注入的脚本——这些脚本在打开时会自动发送系统日志到外部邮箱。

陪审员陈柔在审阅时误点打开了带有恶意脚本的PDF文件,导致公司内部的系统日志被实时转发至项目方的竞争对手——另一家正处于投标竞争的“万通网络”。万通网络利用得到的日志,快速逆向了“星河智能”的核心算法,并在投标截止前提交了几乎相同的技术方案。

审查小组在发现投标文件“高度相似”后,立刻启动内部调查。刘海坚持要追究泄露责任,认为是“内部人员背叛”。赵亮引用《刑事诉讼法》有关“证据非法取得”条款,主张排除该证据。王法官因对技术细节不熟悉,一度犹豫是否继续审查,最终在同僚的建议下决定暂缓评审。

内部审计报告显示,林浩因“故意泄露企业商业秘密”被给予公司内部警告,且因使用公司内部协同平台的安全漏洞导致信息泄露,构成《网络安全法》第二十条规定的“未采取技术措施防止数据泄露”。更严重的是,投标文件的泄露导致项目方非法获得竞争优势,涉嫌《反不正当竞争法》中的“商业贿赂”。

违规违法点
1. 内部人员故意植入恶意代码——违反《网络安全法》第三十条关于信息系统安全管理的义务,构成故意泄露商业秘密。
2. 陪审员误操作导致信息外泄——未遵守《信息安全等级保护基本要求》关于安全操作的规定,属于安全意识缺失。
3. 法官未能及时识别技术风险——未履行对审查过程的全面风险评估,违背《司法行政监督条例》关于审查合规性监督的职责。

此案如同一出“技术惊悚剧”,从正义的审查平台到内部的暗箱操作,再到竞争对手的“偷天换日”,层层的失误让企业的商业机密瞬间成为公共资源。案例告诉我们,合规审查不只是制度的形式,更是每一位参与者对技术、法律与道德的共同守护。

深度剖析:从审判庭泄密到投标失控——信息安全合规的根本矛盾

1. 人为因素是信息安全的最大薄弱环节

两个案例的共同点在于“人”。不论是法官、陪审员,还是技术员、项目负责人,都是系统运转的关键节点。人性的弱点——权力欲、恐惧感、对规范的轻视——往往导致技术防线的崩塌。正如古语所云:“防不胜防,防人在先”。

2. 权责不对等导致监管失效

在审判庭案例中,法官的“程序至上”与陪审员的“情感诉求”形成张力,法官未能在权力行使时同步落实信息安全责任,导致系统漏洞被利用。投标案例中,法官对技术细节的缺乏了解,使得对技术团队的监督失位,最终酿成信息泄露。

3. 技术与制度的脱节

技术手段(后门、恶意脚本)在制度的盲区里蔓延。制度层面虽然规定了保密义务、信息安全等级保护,但缺乏对技术操作细节的硬性要求,导致“口号”与“实务”失配。

4. 合规文化缺失——“合规是装饰品”

两个案件的参与者普遍存在合规意识淡薄的共性。刘某与林浩对制度的敬畏仅停留在口头,未能自觉把合规当成日常工作的一部分。陪审员赵倩与王林的“情绪化表达”也显露出缺乏合规文化的土壤。

结论:信息安全合规不是单纯的技术升级或制度堆砌,而是必须在组织内部形成全员参与、全链条覆盖、全场景监管的合规文化。

信息化、数字化、智能化时代的合规新要求

  1. 全景风险感知:运用大数据分析、AI异常检测,实时监控系统访问、文件流转、网络流量,提前预警异常行为。
  2. 细粒度权限控制:基于角色、任务、数据敏感度实行最小权限原则(Least Privilege),并通过多因素认证(MFA)强化身份核验。
  3. 流程化合规审计:在每一次关键操作(如文件上传、代码提交、审判文书生成)前后嵌入合规检查点,形成不可篡改的审计链。
  4. 全员合规赋能:通过沉浸式、情景化的培训,让法官、陪审员、技术员、项目经理在“模拟法庭”或“虚拟投标”中体验信息泄露的后果,真正把合规观念内化为行为习惯。

  5. 制度与技术协同:将《网络安全法》《信息安全等级保护》等制度性要求映射到具体的技术实现(如安全加固、日志审计、数据脱敏),形成“制度→技术→执行”的闭环。

行动号召:让每一位职员成为信息安全的“守门人”

  • 立即报名公司内部的“信息安全合规极速训练营”,48 小时完成,从入门到实战,掌握安全防护的全套工具箱
  • 加入“合规微课堂”,每周一次线上案例剖析,把最新的司法审判、企业投标、公众舆情三大热点案例转化为合规警示。
  • 签署个人合规承诺书,在系统登录时弹出合规提示,让“合规意识”伴随每一次操作。
  • 设立合规“志愿者”团队,在部门内部开展“合规检查日”,互相监督、互相提醒,形成正向激励。
  • 定期参与情景演练,如“网络攻击红蓝对抗”、 “审判信息泄露应急演练”,提升危机处理能力。

守土有责,防微杜渐”,从今天起,让我们以司法的公正精神为镜,以技术的锋芒为剑,筑起企业信息安全的铜墙铁壁。

让合规教育落地——与专业机构携手共筑防线

在信息安全合规的道路上,系统化、专业化、定制化的培训方案是提升组织防护能力的关键。昆明亭长朗然科技有限公司(以下简称“朗然科技”)多年专注于信息安全合规体系建设,已为百余家政府部门、国有企业、互联网公司提供了全链路的合规服务。

朗然科技的核心产品与服务

  1. 《合规韧性平台》
    • 全景风险仪表盘:实时展示组织的安全风险分布、合规监测指标、异常行为热图。
    • 智能合规引擎:基于自然语言处理,自动解析法律法规,将合规要求映射到业务系统的控制点。
  2. 《情景化合规课堂》
    • 案例库:收录国内外近千起信息泄露、审计违规、司法泄密等真实案例,配以交互式情境模拟。
    • AI 导师:通过对话式学习,帮助参训人员在短时间内掌握合规要点,提供即时反馈。
  3. 《全员合规赋能方案》
    • 微学习模块:每日 5 分钟,覆盖《网络安全法》《个人信息保护法》《司法保密规定》等重点章节。
    • 合规积分系统:学习、演练、实测均可获得积分,积分可兑换培训证书、企业内部荣誉,激励学习主动性。
  4. 《合规应急响应套件》
    • 快速定位工具:一键锁定泄露源头,提供可视化溯源报告。
    • 应急预案模板:依据不同场景(数据泄露、系统被篡改、内部违规),提供标准化处理流程。

为什么选择朗然科技?

  • 学科交叉、案例驱动:团队由法学专家、信息安全工程师、行为心理学家共同打造,案例既有司法审判的硬核,又有企业运营的软链。
  • 灵活定制、落地实施:根据企业业务规模、行业属性,量身定制合规矩阵,确保制度与技术的高度匹配。
  • 迭代升级、保持前沿:平台每日同步最新法律动态、漏洞情报,帮助组织始终走在合规前沿。

“合规不是口号,而是每一次点击、每一次对话背后的守护”。
为了让企业不再成为“案例”,而是 “合规标杆”,现在就联系朗然科技,开启全员合规新征程!

结语:从审判庭的“泄密风波”,到企业投标的“技术暗箱”,我们看见了信息安全的共性痛点——人、权、技术的交叉失效。只有把制度、技术、文化三位一体地嵌入日常工作,才能让“陪审员的民主之声”和“信息安全的防护之盾”同频共振。

在这条路上,每一位同事都是防线的第一枪。立足岗位,学习合规;守护数据,保护正义;让我们共同携手,筑起一道不可逾越的数字长城!

昆明亭长朗然科技有限公司致力于提升企业信息安全意识。通过定制化的培训课程,我们帮助客户有效提高员工的安全操作能力和知识水平。对于想要加强内部安全防护的公司来说,欢迎您了解更多细节并联系我们。

  • 电话:0871-67122372
  • 微信、手机:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898

信息安全“悬壶济世”——从真实攻击看防御之道,携手智能时代共筑防线

admin

头脑风暴·想象演练
1️⃣ 案例一:保险巨头“Aflac”遭“星云蜘蛛”潜入,社工钓鱼一次性夺走数千条健康记录

2️⃣ 案例二:跨国零售巨头“维多利亚的秘密”因供应链供应商的无人仓库系统漏洞,被植入后门,导致上万笔信用卡信息泄露

这两桩看似不相关的事件,却在同一条隐形的网络链上相互映射:社会工程 → 自动化渗透 → 数据泄露 → 监管惩罚 → 声誉损失。如果不把这条链条拆解清楚,任何组织都可能在不经意间成为下一个倒下的“多米诺”。下面,我们将从攻击路径、技术手段、业务影响以及防御失误四个维度,细致剖析这两起事件的来龙去脉,并在此基础上抽丝剥茧,提炼出对我们日常工作最具指导意义的安全要点。

一、案例一:Aflac 保险公司——社工钓鱼的“隐形刀锋”

1. 事件概述

2025年6月12日,Aflac(美国总部位于佐治亚州的财产与健康保险巨头)在其安全监测中心捕捉到异常网络流量。经过初步取证,安全团队确认一次由Scattered Spider(星云蜘蛛)组织发起的社工钓鱼攻击成功获取了内部员工的登录凭证,随后利用这些凭证横向渗透至核心业务系统。虽然事件在数小时内被遏制,未形成勒索软件的敲诈,但据内部披露,攻击者已窃取了包括理赔数据、健康信息、社保号码在内的近2.3万条敏感记录

2. 攻击链条拆解

阶段 关键手段 典型工具/技术
前期侦察 通过 LinkedIn、公司公开的招聘信息收集目标人员名单 Maltego、Recon-ng
社会工程 伪装为内部 IT 支持,向目标发送含有伪造登录页面的邮件 “Office 365 伪装登录”钓鱼模板
凭证获取 受害者输入真实凭证,信息被实时转发至攻击者控制的服务器 公开的 Phishery 服务器
横向移动 利用已获得的凭证登录内部 VPN,利用Pass-the-Hash技巧访问文件服务器 Mimikatz、RDP 暴力登录
持久化 部署Spectre RAT(改进版远控木马),植入计划任务保持长期控制 Cron、Windows 任务计划
数据外泄 将敏感文件压缩、加密后通过暗网域名混淆渠道上传 7z + AES 加密 + TOR 上传

3. 业务影响

  1. 监管层面:SEC 于 6 月 20 日要求公司披露网络安全事件,导致股价短线跌幅 4.7%。
  2. 法律责任:依据《加州消费者隐私法案(CCPA)》和《健康保险可携性与责任法案(HIPAA)》,Aflac 将面临潜在的巨额罚款与集体诉讼。
  3. 声誉受损:客户对保险公司本应具备严密保密义务的信任出现裂痕,续保率下降 2%。
  4. 运营成本:事件响应、取证、通报、对外危机公关及后续系统加固的预算累计超 1500 万美元

4. 防御失误点

失误 说明 对策
缺乏多因素认证(MFA) 仅依赖用户名+密码,社工钓鱼即可突破。 强制全员使用 MFA,尤其对远程 VPN、云服务入口。
邮件网关规则陈旧 未及时更新针对新型钓鱼模板的检测规则。 引入 AI 驱动的邮件安全网关,实时对比已知钓鱼特征。
内部培训频率低 员工对钓鱼邮件的辨识能力不足。 每月一次模拟钓鱼演练,并结合案例复盘。
缺少细粒度访问控制 业务系统对同一凭证赋予过宽权限。 实施基于角色的访问控制(RBAC),并引入零信任(Zero Trust)模型。
未对远程会话进行行为分析 横向移动时未触发异常行为警报。 部署 UEBA(User and Entity Behavior Analytics)平台,实时监控异常行为。

二、案例二:维多利亚的秘密(Victoria’s Secret)——供应链“无人仓”漏洞引发的数据泄露

1. 事件概述

2025 年 5 月底,维多利亚的秘密在美国东部地区的一座高度自动化、无人值守的仓储中心(全程由 AGV(自动导引车)机器人拣选系统IoT 传感网络 管理)被攻击者利用 未打补丁的容器镜像,植入后门并获取了仓库内部的 POS(销售点)系统 访问权限。攻击者随后通过 API 调用盗取了 1.2 万笔信用卡交易记录,并在暗网以每条约 15 美元 的价格出售。

2. 攻击链条拆解

阶段 关键手段 典型工具/技术
供应链渗透 攻击者在第三方物流软件供应商的 CI/CD 流水线注入恶意代码 GitHub Actions 供应链攻击
容器后门 在容器镜像中植入 shinyBackdoor,可在容器启动时自动建立反向 Shell Docker Hub 镜像篡改
无人系统控制 通过后门登陆 Kubernetes 集群,控制 AGV 机器人调度系统 kubectl + Privilege Escalation
API 劫持 拦截并篡改 POS 系统与支付网关的 API 报文,实现卡号与 CVV 的抓取 API Gateway 解析漏洞
数据外泄 采用 分片加密 方式,将数据分批上传至攻击者的 S3 兼容存储 AES-GCM + multipart upload
隐蔽清除 删除攻击痕迹,伪造容器镜像签名,以防安全团队追踪 Notary 签名伪造

3. 业务影响

  1. 金融损失:每条信用卡信息的泄露平均导致 300 美元 的欺诈成本,累计约 360 万美元
  2. 合规风险:违反 PCI DSS 第 12 条要求(监控和测试安全系统),将面临 最高 500 万美元 的罚款。
  3. 供应链连锁:因信任危机,部分关键供应商暂停合作,导致产品上架延迟 2 周,直接业务收入下降约 5%
  4. 品牌形象:在社交媒体上形成“#NoMoreRobots”话题,负面舆情指数飙升 30%。

4. 防御失误点

失误 说明 对策
供应链安全缺失 未对第三方镜像进行签名校验和完整性检查。 引入 SBOM(Software Bill of Materials)签名验证,并对供应链进行持续监测。
容器运行时权限过宽 容器以 root 权限运行,导致一旦被攻破即能提升至主机层级。 使用 Pod Security Standards,限制容器为非特权模式,采用 gVisorKata Containers 隔离。
API 鉴权薄弱 POS 系统对内部调用未实现强身份校验。 实施 OAuth 2.0 + Mutual TLS,并对关键 API 进行签名校验。
无人系统日志缺乏集中化 机器人调度日志分散在边缘设备,检测延迟。 部署 边缘日志聚合,统一送往 SIEM 进行关联分析。
缺乏蓝绿部署 更新容器镜像时缺少回滚机制,导致漏洞长期未被发现。 采用 蓝绿/金丝雀部署,并配合 自动化漏洞扫描

三、从案例中提炼的四大安全金律

  1. “人是最薄的环节,技术是最强的盾牌”——社工钓鱼再高明,也抵不过严苛的多因素认证与持续的安全意识培训。
  2. “供应链犹如血脉,任何一处凝血都可能导致全身感染”——容器镜像、CI/CD 流水线、第三方库必须全程可追溯、加密签名,并进行动态检测。
  3. “零信任不是口号,而是结构化的防御体系”——每一次访问、每一次会话,都需在最小权限原则下进行身份验证与行为审计。
  4. “AI 与自动化是双刃剑,必须让它们站在防御一边”——利用机器学习进行异常检测、自动化响应与威胁情报共享,才能在攻击者脚步尚未踏入之前先行一步。

四、智能化、自动化、无人化时代的安全挑战与机遇

1. 具身智能(Embodied AI)与人机协同

具身智能指的是 机器人、无人机、自动化装配线等具备感知、决策、执行能力的实体系统。在企业内部,这类系统往往直接接触业务数据(如订单、客户信息),一旦被攻破,后果不堪设想。我们需要:

  • 行为指纹:为每台机器人生成唯一的行为模型,任何偏离都触发告警。
  • 安全沙箱:在部署新算法或模型前,先在隔离环境中进行渗透测试。
  • 持续学习:让 AI 通过 联邦学习(Federated Learning) 与全行业的安全模型共享威胁特征,降低单点盲区。

2. 自动化安全运维(Security Automation)

传统的手工日志分析、补丁管理已经无法满足 24/7 的攻击节奏。我们应当:

  • SOAR(Security Orchestration, Automation and Response):预设响应剧本,如发现凭证泄露自动禁用账户、发送通知、触发 MFA 重置。
  • IaC(Infrastructure as Code)安全:在 Terraform、Ansible 等代码提交阶段即进行安全合规检查(如 Checkov、tfsec),防止配置漂移。
  • 自动化红队:利用 Attack Range 平台进行持续的模拟攻击,验证防御效果。

3. 无人化运作的风险治理

无人仓库、无人机配送等场景下,软件即硬件,安全缺口直接映射为物理风险。治理要点包括:

  • 硬件根信任(Hardware Root of Trust):在芯片层面植入安全启动(Secure Boot)与加密存储。
  • 实时监控与数字孪生:通过数字孪生技术实时映射物理设备的运行状态,一旦出现异常行为即可回滚或隔离。
  • 合规审计:依据 ISO/IEC 27001NIST CSF,对无人系统进行定期审计,确保符合行业安全基线。

五、号召:共同开启信息安全意识培训的大门

“学而不思则罔,思而不学则殆。”——孔子

在信息安全的战场上,知识 是最坚固的防线,思考 是最锐利的武器。为此,昆明亭长朗然科技有限公司 将在本月启动 “全员安全素养提升计划(SecureMind 2025)”,内容包括:

  1. 线上微课(共 12 章节):从密码管理、钓鱼防范、云安全到 AI 时代的隐私保护,每节 15 分钟,碎片化学习,随时随地。
  2. 实战演练:每周一次的模拟钓鱼、红队渗透、漏洞修复赛,采用 CTF(Capture The Flag) 形式,获胜者将获得公司内部荣誉徽章与纪念奖品。
  3. 案例复盘工作坊:邀请行业资深安全专家(如 Silent Push、Google Threat Intelligence)现场讲解 Scattered Spider 攻击细节,解读最新 TTP(技巧、技术、流程)
  4. AI 辅助学习平台:基于大模型的安全知识问答机器人,提供即时解答,帮助大家快速定位安全问题根源。
  5. 安全文化推广:每月发布内部安全新闻简报,鼓励员工提交“安全小贴士”,优秀稿件将列入公司官方博客,提升个人影响力。

培训的价值何在?

  • 提升个人防护能力:从根本上降低因“人因失误”导致的安全事件发生率。
  • 增强组织韧性:全员掌握基本防御技能,能够在攻击初期快速发现、上报、响应。
  • 符合合规要求:依据 《网络安全法》《个人信息保护法》,做好内部培训记录,防止监管处罚。
  • 塑造安全品牌:对外展示公司对信息安全的高度重视,提升客户信任度与市场竞争力。

“安全不是一次性任务,而是一场马拉松。”——正如我们在跑步时需要规律的训练、合适的装备以及持久的毅力,信息安全同样要求我们持续投入、不断迭代。只要每一位同事都把“安全第一”内化为日常的思考方式,企业的数字基石便能坚不可摧。

六、结语:从“防火墙”到“防火星”,从“补丁”到“自愈”,从“技术”到“文化”

当我们站在 AI、机器人、无人化 的交叉路口,回望过去的 Scattered Spider供应链攻击,不难发现:技术的进步从未削弱攻击者的创造力,反而为他们提供了更广阔的作战空间。唯一不变的是人类对安全的需求——这是一场技术与文化、制度与行为的协同进化。

因此,让我们在即将开启的 SecureMind 2025 培训中,以案例为镜、以技术为剑、以文化为盾,携手共筑安全防线。无论是面对潜伏的社工钓鱼,还是潜入的容器后门,亦或是未来可能出现的 量子密码攻击,只要我们保持学习的热情、警觉的敏锐、协作的精神,就能在数字化浪潮中立于不败之地。

行稳致远,安全为帆;
技进乎道,智护无疆。

让我们从今天做起,从每一次登录、每一封邮件、每一次系统升级,点亮信息安全的星光,照亮企业的未来。

信息安全意识提升计划——邀请您一起加入!

安全不是口号,而是行动。
——董志军

昆明亭长朗然科技有限公司 信息安全意识培训专员

我们提供包括网络安全、物理安全及人员培训等多方面的信息保护服务。昆明亭长朗然科技有限公司的专业团队将为您的企业打造个性化的安全解决方案,欢迎咨询我们如何提升整体防护能力。

  • 电话:0871-67122372
  • 微信、手机:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898