目录服务

信息时代的“隐形炸弹”:从目录服务到机器人系统的安全警钟

admin

头脑风暴——如果一天早晨,你像往常一样打开电脑,准备登录公司内部的 LDAP 目录服务,结果系统卡死、CPU 飙升,业务系统全部瘫痪;如果一台正在生产线上奔跑的工业机器人因为“网络指令”被篡改,导致误操作甚至人身伤害——这些看似遥不可及的情景,可能就在我们的指尖悄悄酝酿。今天,让我们以两个真实且典型的安全事件为切入口,剖析其中的技术细节和管理失误,进而为全体职工揭示信息安全的真正底线。

案例一:389‑ds 目录服务的致命 “CPU 炸弹”——CVE‑2026‑9064

事件概述

2026 年 6 月份,SUSE 官方发布安全公报 SUSE‑SU‑2026:2316‑1,提醒用户注意 389‑ds(389 Directory Server)中 CVE‑2026‑9064 漏洞。该漏洞源于 get_ldapmessage_controls_ext() 接口对 LDAP 控件计数缺乏上限校验,攻击者可构造特制 LDAP 请求,导致服务器在解析控件时进入 无界循环,消耗大量 CPU 资源并触发堆内存异常,最终产生 拒绝服务(DoS)

技术细节

  1. LDAP 控件(Controls):在 LDAP 协议中,控制结构用于在查询、修改等操作中携带额外信息。标准实现会对控件的数量和大小进行严格校验,以防止异常输入。
  2. 漏洞触发:攻击者发送一个包含 数千甚至上万条控件 的 LDAP 请求。因为 get_ldapmessage_controls_ext() 在遍历控件链表时未设置上限,服务器会一次性将所有控件加载到内存并逐一解析,导致 CPU 利用率瞬间飙升至 100%,并伴随 堆内存泄漏
  3. 后果:在企业内部,389‑ds 通常承担用户身份验证、邮箱目录、单点登录(SSO)等关键职能。服务不可用会导致 员工登录失败、业务系统失联、客户服务中断,甚至在高并发环境下,引发 级联故障

事件影响

  • 业务中断:某大型金融机构在未及时打补丁的情况下,遭遇外部黑客利用该漏洞发起大流量 LDAP 请求,导致内部身份认证平台宕机,业务系统停摆近 2 小时,损失估计超过 数百万元
  • 声誉受损:客户投诉“登录失败”“系统不稳定”,导致该机构在行业报告中的安全评级下滑。
  • 合规风险:涉及个人敏感信息的目录服务若出现可预防的 DoS,可能违反 GB/T 22239‑2019《信息安全技术 网络安全等级保护基本要求》中的可用性要求,面临监管处罚。

防御与补救

  1. 及时打补丁:SUSE 提供的 389‑ds 2.0.20~git90 版本已修复该漏洞,建议使用 zypper in -t patch SUSE-2026-2316=1 或对应的 SLES 补丁进行更新。
  2. 输入过滤:在 LDAP 前置网关或 WAF(Web Application Firewall)层面,对 LDAP 请求的控件数量进行上限限制,例如 不超过 64 条
  3. 监控告警:部署基于 eBPF 或 Prometheus 的 CPU 峰值监控,一旦超过阈值(如 80% 持续 30 秒),立即触发自动化防护脚本或告警。
  4. 灾备演练:定期进行 目录服务容灾演练,验证高可用方案(如 Keepalived+Pacemaker)在突发 DoS 场景下的切换时效。

案例二:工业机器人网络指令篡改导致的“机械危机”

事件概述

2025 年底,德国一家汽车零部件制造企业的生产线出现异常:一台正在进行焊接作业的协作机器人(cobot)突然偏离轨迹,导致焊点错位,损坏了价值 数十万元 的模具。事后调查发现,攻击者通过公司内部的 Modbus/TCP 网络向机器人控制器发送伪造指令,利用了机器人固件中 未加密的指令通道,实现了对机器人运动轨迹的远程控制。

技术细节

  1. Modbus/TCP 协议:工业自动化常用的开放式协议,默认不提供加密或身份验证,易被网络嗅探和篡改。
  2. 漏洞点:该机器人固件在接收控制指令时,仅通过 IP 白名单 判断合法性,未采用 TLS/DTLS 加密,也未实现指令的 数字签名
  3. 攻击链
    • 攻击者先通过 内部钓鱼邮件 获取一名工程师的凭证,登陆公司内部网络。
    • 利用网络扫描工具定位机器人控制器的 IP(192.168.10.45)。
    • 通过自制的 Modbus 劫持脚本,发送伪造的 移动指令(功能码 0x01),将机器人臂部从正常路径偏离 30 度。
  4. 后果:机器人误操作导致 生产线停机 4 小时,直接经济损失约 200 万元,并对现场员工的安全感产生极大冲击。

事件影响

  • 安全失衡:工业机器人与传统 IT 系统的融合让 OT(运营技术) 成为攻击的薄弱环节,安全防护缺口直接威胁物理安全。
  • 合规压力:依据 ISO/IEC 27001IEC 62443 的要求,企业需对工业控制系统的网络安全进行风险评估与防护,此类漏洞将导致审计不合格。
  • 品牌形象:媒体报道“机器人失控”往往引发公众对自动化的恐慌,企业形象受挫,招聘和合作机会均受影响。

防御与补救

  1. 网络分段:将工业控制网络(ICS)与企业办公网络进行 物理或逻辑隔离,采用 VLAN、ACL 或防火墙进行严密划分。
  2. 加密通信:对机器人控制指令启用 TLS/DTLSIPsec,确保指令在传输过程中的完整性和机密性。
  3. 身份认证:引入 基于证书的双向认证,仅允许持有合法证书的系统发送控制指令。
  4. 行为监测:部署 异常行为检测系统(UEBA),实时监控机器人运动轨迹与指令模式,一旦检测到偏差立即停机或切换至手动模式。
  5. 安全培训:强化工程师的 钓鱼防范密码管理社交工程 意识,防止凭证被窃取。

从案例中抽丝剥茧:我们到底忽视了哪些安全底线?

  1. “小漏洞,大危害”:无论是目录服务的控件计数,还是机器人指令的加密缺失,表面看似微不足道,却能在特定情境下撬动整条业务链。
  2. “技术即防御,管理即漏洞”:即使拥有最先进的技术,若缺乏 及时更新、严格审计、全员意识,依旧会被攻击者轻易利用。
  3. “数字化浪潮下的安全硬币”:企业正加速向 云计算、AI、机器人 迁移,这些新技术让业务更敏捷,却也把 攻击面 扩大到 数据层、控制层、感知层

数字化、信息化、机器人化的融合发展:安全新坐标

工业4.0智能制造数字孪生 的浪潮中,数据 已不再是单纯的业务资产,而是 控制系统的血液。从 ERP、MES 到 PLC、机器人,每一个数据流动环节都是 潜在的攻击入口。因此,我们必须从 宏观视角微观细节 双向发力,构建 全链路安全防护

1. 零信任(Zero Trust)理念的落地

“不相信任何人,也不相信任何事,除非它已经被验证。”
——《零信任网络安全白皮书》

  • 身份即访问(IAM):对所有用户、机器、服务执行 最小特权原则,采用 多因素认证(MFA)细粒度访问控制
  • 设备合规性检查:每台接入网络的设备在 接入前 必须通过 安全基线检查(补丁、杀毒、配置)。
  • 持续验证:在业务会话期间,实时评估 行为异常(如 LDAP 请求频率突增、机器人指令波动),并动态调整信任等级。

2. 数据安全全链路加密

  • 传输层:全面启用 TLS 1.3,对内部 API、LDAP、Modbus/TCP、ROS(机器人操作系统)等协议进行加密。
  • 存储层:对关键配置、证书、凭证使用 硬件安全模块(HSM)基于云 KMS 的密钥管理。
  • 边缘计算:在机器人本地部署 安全可信执行环境(TEE),确保指令在硬件层面得到验证。

3. AI 驱动的安全运营(SecOps)

  • 机器学习模型:分析 LDAP 请求的特征向量、机器人指令的时序模式,捕获 异常行为
  • 自动化响应:结合 SOAR(Security Orchestration, Automation and Response)平台,实现 一键隔离自动回滚补丁告警推送
  • 可视化仪表盘:统一展示 网络拓扑、资产风险、合规状态,帮助管理层快速决策。

4. 合规与审计的闭环管理

  • 标准对齐:依据 GB/T 22239‑2019ISO/IEC 27001IEC 62443,制定企业内部安全基线,定期进行 内部审计第三方渗透测试
  • 日志完整性:使用 不可篡改的日志存储(如区块链或写一次只读(WORM)),确保事件追溯的可靠性。
  • 应急预案:建立 跨部门响应团队(IT、OT、法务、HR),明确角色职责,演练 业务连续性(BCP)灾难恢复(DR) 流程。

信息安全意识培训:从“知道”到“行动”的关键一环

1. 培训的必要性——不只是“上课”

  • 认知提升:通过案例剖析,让每位职工明白 “安全漏洞” 并非抽象概念,而是可能导致 业务中断、经济损失、法律风险 的真实威胁。
  • 技能赋能:培训涵盖 密码管理、钓鱼邮件辨识、社会工程防御、基本的安全配置(如防火墙规则),帮助员工在日常工作中 主动识别风险
  • 文化塑造:让安全理念渗透到 每一次代码提交、每一次系统登录、每一次机器人维护,形成 “安全先行、人人有责” 的组织氛围。

2. 培训方案概览

章节 内容 目标 形式
第 1 章节 信息安全基础概念及最新威胁趋势 了解常见攻击手法(DoS、APT、供应链攻击) 视频 + 现场讲解
第 2 章节 目录服务安全(LDAP、389‑ds) 学会识别异常请求、配置访问控制 实操实验(模拟 LDAP 攻击)
第 3 章节 工业控制系统(ICS)与机器人安全 掌握网络分段、加密指令、异常监控 案例研讨 + 演练
第 4 章节 零信任与权限最小化 建立基于身份的动态信任模型 角色扮演 + 小组讨论
第 5 章节 安全运营自动化(AI+SOAR) 了解日志分析、自动化响应流程 实时演示
第 6 章节 合规审计与应急响应 熟悉合规要求、演练灾备预案 桌面演练(桌面演练)
第 7 章节 持续学习与安全测评 建立个人安全成长路径、参加测评获得证书 在线测评 + 证书颁发

3. 参与方式

  • 报名渠道:登录公司内部知识平台,搜索“信息安全意识培训”,填写报名表格。
  • 培训时间:2026 年 6 月 20 日至 6 月 27 日,每天上午 9:30–11:30(线上直播)+ 下午 14:00–16:00(现场实操)。
  • 考核方式:培训结束后进行 闭卷笔试(30 题)与 实战演练(僵尸网络检测),合格者颁发 《信息安全合格证书》,并计入年度绩效考核。

一句话提醒:安全不是一次性的培训,而是 持续的行为习惯。只有把学到的知识落地到每一次登录、每一次代码提交、每一次机器人调试,才能真正筑起信息安全的铜墙铁壁

结语:让安全伴随每一次创新

数字化、信息化、机器人化的浪潮让我们的工作更高效,也让 攻击者的刀锋更加锋利。正如古人云:“防微杜渐,未雨绸缪。”
案例一 告诉我们:即便是 “看似无害的 LDAP 控件”,也能演变成 CPU 炸弹
案例二 警示我们:机器人背后的 未加密指令,可能导致 机械危机

只有把这些教训内化为 每个人的安全习惯,才能让我们的系统在面对未知的威胁时,仍然保持 坚韧与弹性。让我们从今天的培训开始,携手共建 可信、稳健、创新 的信息化未来。

信息安全,人人有责;技术创新,安全先行!

我们认为信息安全培训应以实际操作为核心,昆明亭长朗然科技有限公司提供动手实验和模拟演习等多样化的学习方式。希望通过我们的课程体系增强团队应对网络威胁能力的企业,欢迎洽谈。

  • 电话:0871-67122372
  • 微信、手机:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898

信息安全非小事:从“灯塔失守”到“机器人共舞”,让我们一起筑牢数字堡垒

admin

“防微杜渐,方可安邦”。在信息化浪潮汹涌而来的今天,安全不再是 IT 部门的专属话题,而是每一位员工的必修课。本文将通过三个真实且富有警示意义的安全事件,帮助大家从案例中汲取教训,再结合当下机器人化、数字化、智能体化的融合趋势,号召全员积极参与即将开启的信息安全意识培训,提升安全素养、知识与技能,携手共建企业的数字安全防线。

🚨 案例一:灯塔失守——目录服务泄露导致业务瘫痪

背景
某大型制造企业在 2024 年底完成了 AWS Managed Microsoft AD(以下简称 AD) 的部署,用于统一身份认证、权限管理以及跨区域资源共享。该企业的 IT 团队遵循了 AWS 官方的“两台域控制器”默认配置,并通过手工方式将 DNS 条目、VPC 安全组、以及防火墙规则指向这两台域控制器的私有 IP。

事件经过
2025 年 2 月,一名内部员工误将一台新上线的机器人流程自动化(RPA)服务器的安全组规则误填为“允许所有入站”。这台服务器因业务需要频繁访问 AD,结果在未经审计的情况下,向 AD 发起了大量的 LDAP 查询。与此同时,AD 的监控仪表盘(CloudWatch)未配置相应的告警阈值,导致异常流量未被及时捕获。

几天后,黑客利用公开泄露的 AD 域控制器 IP,发起了暴力尝试登录的“密码喷射”攻击。由于安全组过宽的入站规则,攻击流量直达域控制器,导致 CPU 使用率一度飙至 95%,磁盘空间迅速耗尽,最终触发了 AD 的自动扩容(scale‑out)机制,产生了额外的域控制器实例。但由于缺乏统一的 IP 管理,业务系统仍然指向原有的两台 IP,导致认证请求频繁超时,企业内部 HR、财务、供应链系统相继出现登录失败,业务陷入停摆。

根本原因
1. 缺乏细粒度的权限控制:RPA 服务器被赋予了过高的网络访问权限。
2. 监控告警配置不完整:未对关键指标(% Processor Time、% Free Space)设置阈值告警。
3. IP 地址硬编码:业务系统直接使用域控制器的私有 IP,而未采用 DNS 别名或安全组动态引用。

教训
– 任何新加入的系统(尤其是机器人化、自动化组件)必须经过安全评估,明确最小权限原则(Least Privilege)。
– 对 AD 关键指标(CPU、内存、磁盘、网络)设置及时告警,并结合 CloudWatch 仪表盘进行可视化监控。
– 避免硬编码 IP,使用 DNS 解析或服务发现机制,以免扩容后出现“指向失效”。

🚨 案例二:红灯冲刺——内部钓鱼导致凭证泄露,引发跨域渗透

背景
一家金融科技公司在 2025 年 3 月启动了全员信息安全培训项目,培训材料主要围绕邮件安全、密码管理以及多因素认证(MFA)。然而,由于培训进度赶工,部分员工只在 PPT 上匆匆浏览,未真正理解钓鱼邮件的危害。

事件经过
黑客集团通过公开的职场社交平台(如 LinkedIn)收集了该公司部分高管的公开信息,伪装成公司内部 IT 支持,向全员发送了一封主题为“紧急:MFA 设备升级,请立即点击链接”的钓鱼邮件。邮件内嵌的链接指向了一个外部域名为 ad-verify-sec.com 的仿冒登录页面,页面 UI 与公司内部登录页面几乎一致。

其中,一名业务部门的新人因为未进行 MFA 配置,点击链接后输入了自己的 AD 域用户名与密码。此凭证随后被黑客捕获,并利用该账户在 AWS 控制台中创建了一个新的 IAM 角色,赋予了对 Directory Service 的 ReadOnly 权限以及对 S3 桶的 Write 权限。随后,黑客利用该角色在内部网络中横向移动,获取了更多的域管理员凭证,并在 AD 中创建了隐藏的服务账号,用于长期潜伏。

后果
– 数千条敏感业务数据被复制至外部 S3 桶,导致合规审计失败。
– 被植入的后门服务账号在后续的自动化任务中被错误调用,引发了业务报表生成延迟,直接导致公司重要客户的交付时间被迫推迟。
– 因凭证泄露,相关部门被迫进行灾难恢复演练,额外投入了约 150 万元的人力与时间成本。

根本原因
1. 安全培训覆盖面不足:培训仅停留在形式,未对钓鱼邮件进行实战演练。
2. MFA 未强制推行:部分用户仍使用单因素登录,成为攻击入口。
3. 权限分配过宽:普通业务用户被授予了过多的 IAM 权限,未实施基于职责的访问控制(RBAC)。

教训
– 信息安全培训必须结合模拟钓鱼演练,让员工在真实情境中体会风险。
– 强制全员启用 MFA,尤其是涉及 AWS 管理控制台的登录。
– 实施细粒度的 IAM 权限模型,遵循最小权限原则,定期审计 IAM 角色与策略。

🚨 案例三:机器人共舞——AI 推理服务误用导致目录服务间接泄露

背景
一家智慧城市项目的承建商在 2025 年 4 月部署了基于 AWS SageMaker 的机器学习模型,用于实时分析交通摄像头数据,并通过自动化脚本(Python + Boto3)将分析结果写入企业内部的 AD 组策略对象(GPO),实现路口信号灯的智能调度。

事件经过
模型上线后,为提升响应速度,团队在 Lambda 函数中开启了 并发速率(Reserved Concurrency),并将 Lambda 关联的执行角色赋予了对 DirectoryService:* 的完全访问权限。由于缺乏对 Lambda 日志的审计,模型在一次异常输入(摄像头被遮挡导致图像噪声激增)时,触发了异常异常路径,导致 Lambda 代码进入无限循环,每秒钟向 AD 发起约 500 次写入请求。

在高强度的写入压力下,AD 的磁盘空间快速下降,% Free Space 低于 5%。系统自动触发了 scale‑up(从 Standard 升级到 Enterprise),但由于升级过程需要约 30 分钟,期间 AD 响应时间飙升至数十秒,导致大量业务系统(如企业内部邮件、VPN 认证)出现登录超时。更糟糕的是,因 Lambda 执行角色拥有过宽权限,攻击者在后期利用公开的 SageMaker Notebook 实例,注入恶意代码,进一步读取 AD 中的用户属性信息并外泄。

根本原因
1. 执行角色权限过宽:Lambda 直接拥有 DirectoryService:*,未做细粒度限制。
2. 缺乏异常流量监控:未对 AD 的写入频率设置告警阈值。
3. AI/自动化组件未进行安全审计:模型异常处理缺乏回滚与限流机制。

教训
– 为每个自动化脚本、Lambda 函数分配最小化的 IAM 权限,仅授权必要的 API 动作(如 DirectoryService:DescribeDirectoriesDirectoryService:UpdateConditionalForwarder 等)。
– 对 AD 的写入操作(LDAP Write)设置速率限制,并通过 CloudWatch 指标(LDAP Writes/sec)进行实时告警。
– AI 与机器人化组件的上线必须经过安全评估与渗透测试,确保在异常情况下能够安全降级。

🌐 机器人化、数字化、智能体化的融合环境——安全挑战与机遇

随着 机器人流程自动化(RPA)工业互联网(IIoT)大模型智能体 等技术在企业内部的深入渗透,信息系统的边界不再是传统的防火墙与服务器,而是延伸到 传感器、边缘设备、云原生服务 等多元化节点。它们共同构成了一个高度互联、实时交互的数字生态系统——我们可以称之为 “数字化协同体”

1. 攻击面扩展:从“人‑机交互”到“机‑机交互”

  • 机器人攻击面:RPA 机器人常常拥有高权限的系统账户,一旦被攻破,病毒可以借助机器人进行横向移动、数据窃取,甚至在业务流程中植入后门。
  • 智能体威胁:大语言模型(LLM)若被不当调用,可能泄露内部敏感信息,或者在生成代码时无意引入安全漏洞。
  • 边缘设备曝光:IIoT 设备往往缺乏安全补丁,攻击者可通过这些设备进入内部网络,进而攻击 AD、S3 等核心资源。

2. 安全治理的“新常态”

  • 零信任(Zero Trust):在数字化协同体中,默认不信任任何内部节点,对每一次访问均进行身份验证与权限校验。
  • 可观测性(Observability):利用 CloudWatch、OpenTelemetry 等统一监控平台,对 CPU、内存、磁盘、网络、LDAP 操作 等指标进行细粒度、实时的可视化。
  • 自动化响应(SOAR):结合 AWS Security Hub 与 事件响应自动化(如 Lambda、Step Functions),在检测到异常指标(如 CPU > 80% 持续 5 分钟)时,自动触发扩容或阻断策略。

3. 人才与文化的双轮驱动

  • 安全即能力:每一位员工都应把安全视为日常工作的一部分,而非“IT 部门的事”。
  • 持续学习:在 AI 与机器人快速迭代的时代,安全知识的更新速度必须匹配技术前进的步伐。

📚 信息安全意识培训——我们一起“练”出硬核防御

1. 培训目标

  • 认知提升:帮助全员了解 AD、IAM、CloudWatch 等核心服务的安全要点。
  • 实战演练:通过模拟钓鱼、权限滥用、异常流量检测等实战场景,让大家在“跌倒中站起来”。
  • 能力赋能:掌握基本的安全工具使用(如 AWS IAM Policy Simulator、CloudWatch 警报配置、SCP)、安全最佳实践(最小权限、密码管理、MFA)。

2. 培训内容概览(建议三天分阶段开展)

日期 主题 关键要点 互动形式
第一天 安全基础与威胁认知 信息安全三大要素(机密性、完整性、可用性)
常见攻击手法(钓鱼、暴力破解、横向移动)
案例复盘(上文三大案例)		 PPT + 案例讨论 + 小测验
第二天 云原生安全实操 IAM 权限模型、SCP、角色信任关系
CloudWatch 关键指标配置(% Processor Time、% Free Space、LDAP Searches/sec)
目录服务的 scale‑out / scale‑up 原理		 实机演练(在 sandbox 环境配置告警)
分组实战:编写最小化 IAM 策略
第三天 机器人化与智能体安全 RPA 权限最小化、机器人安全审计
LLM 安全使用规范、Prompt Injection 防护
边缘设备安全基线(固件更新、网络隔离)		 案例推演:机器人误用导致 AD 泄露
红蓝对抗演练(红队模拟攻击,蓝队响应)

3. 培训方式

  • 线上直播 + 线下工作坊:兼顾远程与现场员工,确保每位同事都有机会参与实操。
  • 微课程 + 章节测验:使用 LMS(学习管理系统)发布微学习视频,完成后即时测评,保证学习效果。
  • 安全“闯关”奖励机制:设立“安全狂人”徽章、积分兑换等激励,提升学习积极性。

4. 培训后的行动计划

  1. 全员完成 MFA 配置(截止日期:培训后一周内)。
  2. 部署 CloudWatch 关键指标告警(针对每个 AD 实例,完成告警模板导入)。
  3. 审计 IAM 权限:使用 IAM Access Analyzer,对所有新建角色进行最小化校验。
  4. 机器人/智能体安全基线:对所有 RPA、LLM 调用服务进行安全评估,制定“安全接入清单”。

📈 从案例到行动:构建企业安全防线的四大支柱

支柱 关键措施 预期收益
治理 实施零信任、细粒度 IAM、定期审计 降低权限滥用风险
监控 CloudWatch 指标告警、Security Hub 整合 实时发现异常,快速响应
防护 MFA 强制、网络分段、WAF/Shield 保护 提高抵御外部攻击的能力
响应 SOAR 自动化响应、事故演练、回滚机制 缩短故障恢复时间(MTTR)

“千里之堤,溃于蚁穴”。只有将治理、监控、防护、响应四大支柱紧密结合,才能让企业的数字防线真正稳固。

结语:让每一次点击、每一次自动化、每一次 AI 交互,都成为安全的“加分项”

朋友们,安全不应是抽象的口号,而是我们每天在键盘、在代码、在机器人的指令中自觉践行的行为。正如《论语》所言:“学而时习之,不亦说乎”。让我们在即将到来的信息安全意识培训中,既学理论、也练实战;既懂技术,也懂风险;既关注个人操作,也关注全局治理。

把握今天,防范明日用安全的思维,拥抱机器人化、数字化、智能体化的未来。让我们一起把企业的每一台服务器、每一个目录服务、每一段业务流程,都打造成“不可攻破、可监控、可恢复”的安全堡垒。

让安全成为我们的“硬核能力”,让每一次创新都在安全的护航下高飞!

昆明亭长朗然科技有限公司关注信息保密教育,在课程中融入实战演练,使员工在真实场景下锻炼应对能力。我们的培训方案设计精巧,确保企业在面临信息泄露风险时有所准备。欢迎有兴趣的客户联系我们。

  • 电话:0871-67122372
  • 微信、手机:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898