园区信息安全管理体系文档信息安全事件应急预案.docx
《园区信息安全管理体系文档信息安全事件应急预案.docx》由会员分享,可在线阅读,更多相关《园区信息安全管理体系文档信息安全事件应急预案.docx(18页珍藏版)》请在冰豆网上搜索。
园区信息安全管理体系文档信息安全事件应急预案
园区信息安全管理体系文档
—信息安全事件应急预案
本文档版权由(单位名称)所有。
未经版权人书面许可,任何单位和个人不得以任何形式摘抄、复制本文档的部分或全部,并以任何形式传播。
文件编码:
单位名称-GFXY_3_18
版本:
发布日期:
2019年7月
文档信息
基本信息
文档名称
信息安全事件应急预案
保密级别
内部
文档编号
(单位名称)-GFXY_3_18
牵头处室
信息安全领导小组
分发范围
所有处室
版本修订
生效日期
版本号
版本说明
制作
复审
批准
V0.1
初稿
注:
文档基本信息记录本文档提交时的当前有效的基本控制信息,当前版本文档有效期将在新版本文档生效时自动结束。
文档版本小于1.0时,表示该版本文档为草案,仅可作为参照资料之目的。
1目的
为了完善(单位名称)的应急响应机制、提高自身的应急响应能力,保证业务的顺利进行,特制定本应急预案。
为及时了解目前信息系统所运行的相关的操作系统、数据库系统、应用系统、网络与安全设备等被新发现的漏洞;为及时了解当前主要的攻击手段和安全事件;使得组织将相关风险防范于未然。
2适用范围
本文档适用于(单位名称)所有可能发生信息安全事件的信息系统、主机及网络设备、其他系统。
3职责
由(单位名称)的信息安全领导小组负责信息安全事故的管理工作,通过信息安全工作主管领导协调各个系统,相关处室负责信息安全事故处理、指定安全管理员负责信息安全预警通报等具体工作。
安全管理员可以借助上级单位及第三方安全厂商开展日常信息安全预警工作。
4预警安全管理
4.1.预警信息获取
预警信息的来源主要有几种:
Ø公开信息:
操作系统厂商安全公告、产品厂商安全公告、国际安全组织安全公告等;
Ø非公开信息:
非公开研究组织研究的信息等;
Ø自行研发:
组织有自己的信息安全研究机构;
Ø第三方安全服务厂商提供:
由第三方安全服务厂商提供预警信息服务。
4.2.预警信息整理
预警信息整理主要从系统漏洞和系统攻击方法两个方面展开。
其中,系统漏洞预警信息的收集和发布,随(单位名称)信息系统所使用的各种软件操作和网络设备及安全设备内核变更而保持随时升级、更新。
安全管理员每月末前定期整理本月的系统漏洞、攻击预警信息,并向各个信息系统的系统管理员、下级单位接口人发布。
预警表的格式参见《系统漏洞预警表》(见附录1)和《系统攻击方法预警表》(见附录2)。
4.3.系统漏洞预警
注:
以下内容仅供参考,具体内容需要安全管理员结合(单位名称)所使用操作系统、数据库、网络和安全设备进行相应调整。
a)操作系统类
ØWindows
ØSunOS
ØHPUX
ØIBMAIX
ØBSD系列(主要是FreeBSD、OpenBSD、NetBSD)
ØLinux系列(Redhat、Slackware、Debian、SUSE、OpenLinux、TurboLinux)
b)数据库类
ØOracle
ØSQLServer
ØDB2
c)网络应用服务类
ØApache系列Web服务器
ØTomcat系列Web服务器
ØBind系列DNS服务器
ØSendmail系列邮件服务器
d)网络设备类
Ø思科switch/router/firewall
Øjuniperswitch/router/firewall
Ø华为switch/router
4.4.系统攻击方法预警
描述近段时间国际、国内发生的相关的信息安全事件、流行的攻击的手段和安全工具。
同时结合工作经验及业务最佳实际,提出针对性的安全防范建议。
4.5.预警信息分析统计
在分析统计阶段主要是进行针对性、严重程度和紧急程度的分析,并进行总体描述、趋势分析和重点介绍。
应该根据实际情况选择是紧急发布还是日常发布。
针对性是根据预警信息内容判断其是否适合本组织的实际运行环境,如果是则存入数据库,如果已经没有什么适用性则可以保存到其他地方进行备用。
其中总体描述是对本次发布的所有预警信息的一个归纳性总结,趋势分析是对整个安全趋势的总结和预测,重点介绍是将预警信息中重要的、紧急的或容易忽略的进行说明。
当预警信息的级别为紧急时应选择紧急发布流程。
4.6.预警信息发布/反馈
发布方式为单位内部邮件系统或者办公系统。
预警信息的发布分为紧急发布、日常发布两种方式:
Ø其中紧急发布为获取漏洞的工作日当天进行发布;
Ø日常发布为每周一次预警信息发布。
反馈应在接收到预警信息的当天予以回复,回复以MAIL方式为主要依据。
当预警信息正常发布并正常反馈后,则可以认为一次预警信息发布成功。
4.7.预警管理合作交流
本组织可以和上级单位的信息安全预警发布组织、其他第三方信息安全服务商、CNCERT/CC、国家计算机病毒应急处理中心进行预警信息方面的合作和交流,根据情况进行信息的共享。
4.8.预警工作汇报
信息安全管理员负责日常信息安全预警工作的开展,并负责向主管领导进行预警工作的汇报。
一般情况下应每季度进行一次汇报,汇报的内容应包括以下一些内容,汇报的表格见附件《预警工作汇报表》(见附录3):
Ø漏洞数量及严重程度
Ø发送单位列表
Ø是否收到反馈
Ø目前流行的攻击工具、方法、事件等总结
Ø通过预警工作取得的效果
5应急预案管理
5.1.基本原则
(1)坚持预防为主
提高的信息安全防护意识和水平,加强信息系统安全体系建设,积极做好日常安全工作,开展安全教育和培训工作,建立完善的安全管理、监督和审查制度,提高应对突发信息安全事件的能力。
(2)提高快速反应能力
建立信息安全预警和事件快速反应机制,建立高效的事件汇报渠道,强化人力、物力、财力储备,增强应急处理能力。
保证对信息安全事件做到早发现、早报告、早处理、早恢复等环节的紧密衔接,一旦出现影响信息系统的安全事件,快速反应,及时准确处置。
(3)责任到人、制度保障
明确信息安全应急响应工作的角色和职责,保证各项工作责任到人,建立应急响应各项工作的处理流程,实现应急响应工作的规范化、制度化和流程化。
5.2.启动条件
信息安全领导小组接受安全事件报告后,对安全事件进行最终分级确认后,针对符合“一般事故”、“较大事故”以及“重大事故”级别的安全事件启动本应急预案。
5.3.演练及维护
为保证应急行动的能力,应每年至少组织一次应急行动演练,以提高处理应急事件的能力,检验物资器材的完好情况。
应急响应演练按如下步骤进行:
Ø首先,由信息安全工作主管领导确定应急响应演练的目标和应急响应演练的范围;
Ø按信息安全领导小组的要求,信息安全实施小组制定应急响应演练的方案,并调配应急响应演练所需的各项资源。
在必要时,由信息安全工作主管领导协调应急响应演练过程中涉及的处室和单位;
Ø信息安全工作主管领导组织相关处室和单位进行应急响应演练;
Ø信息安全工作主管领导对应急演练进行评估,并通报应急响应演练结果;
Ø信息安全工作主管领导总结经验,根据演练结果对应急预案的更新,并对本单位的应急工作进行整改;
在每次应急响应过程结束之后,信息安全工作主管领导应针对应急响应工作过程中遇到的问题,分析应急响应预案的科学性和合理性,针对预案中的问题向信息安全领导小组提出修改建议。
信息安全领导小组组织人员对修改意见进行评估,修改后的预案应经评估通过后,发布实施。
在上级应急计划或相关的法律标准修改后,本预案应进行调整与其保持一致。
5.4.保障措施
(1)人员保障
人力资源的保障是应急保障措施中的一项重要工作内容。
应急响应工作需要的人员包括信息安全专职技术人员、信息安全管理员、系统信息管理员等。
为了提高应急工作小组的人员素质,应针对本单位的应急响应工作任务,制定并实施完善、高效、合理的人员培训和演练计划。
(2)设备保障
为保证在发生信息安全事件时应急工具及设备能够立即投入使用,有效地支持应急响应工作,日常应加强对这些工具及设备的维护调试,保证其随时处于可用状态。
应急工作中涉及的关键设备包括:
备用交换机、备用路由器、备用服务器等。
(3)技术资料保障
全面、准确的技术资料是高效的应急响应工作的前提和基础,应急技术资料,包括网络拓扑结构、重要系统或设备的型号及配置(操作系统及版本号、应用软件及版本号等)、关键文件的备份等。
这些信息必须及时更新,以保证与实际系统的一致性。
信息安全实施小组还应根据需要对系统进行风险评估,随时掌握系统安全状况和存在的残余风险。
5.5.应急事件记录
当发生安全应急事件时,由事故直接负责人填写《信息安全应急处理记录表》(见附录4),并上报给相应处室接口人进行事故分析和后续处理。
当安全应急事件处理完毕,处理结果需要由信息安全工作主管领导负责验收,并填写《信息安全应急处理记录表》。
当发生重大安全应急事件(例如:
社会暴力事件、网络瘫痪事件等)时,可以在安全事件得到遏制或消除后,补填《信息安全应急处理记录表》,处理结果需要信息安全工作主管领导进行验收。
信息安全工作主管领导负责人在验收安全事件处理结果后,将《信息安全应急处理记录表》交给制定安全管理员负责保存、归档。
6通用应急预案
当安全事件没有针对性的专项预案的情况下,应按照以下常规响应流程进行处理。
符合专项预案条件的,参照相关专项预案处理。
6.1.应急抑制
应急抑制的目的是限制安全事件对受保护信息系统造成影响的范围和程度。
应急抑制是信息安全应急响应工作中的重要环节,在信息安全事件发生的第一时间内对故障系统或区域实施有效的隔离和处理,或者根据所拥有的资源状况和事件的等级,采用临时切换到备份系统等措施降低事件损失、避免安全事件的扩散(例如蠕虫的大规模传播)和安全事件对受害系统的持续性破坏,有利于应急响应工作人员对安全事件做出迅速、准确的判断并采取正确的应对策略。
应急抑制过程中,重要的是确保业务连续性,应尽量保证在备份系统中完全运行原来的业务。
如果出现资源紧张,应尽可能保证重要资产优先运行,维持最基本的业务能力。
应急抑制分为物理抑制、网络抑制、主机抑制和应用抑制4个层次的工作内容,在发生信息安全事件时,应根据对事件定级的结果,综合利用多个层次的抑制措施,保证抑制工作的及时、有效。
(1)物理抑制
Ø关闭主机:
避免主机遭受外界的安全事件影响,或避免主机对外部环境产生影响。
Ø切断网络连接:
关闭网络设备或切断线路,避免安全事件在网络之间的扩散。
Ø提高物理安全级别:
实施更为严格的人员身份认证和物理访问控制机制。
Ø环境安全抑制:
主要针对环境安全的威胁因素,例如发生火灾时关闭防火门、启用消防设备和防火通道、启动排烟装置、切断电源,发生水灾时启用排水设备、关闭密封门,发生电力故障时启用UPS和备用发动机等。
(2)网络抑制
Ø网络边界过滤:
对路由器等网络边界设备的过滤规则进行动态配置,过滤包含恶意代码、攻击行为或有害信息的数据流,切断安全事件在网络之间的传播途径。
Ø网关过滤:
对防火墙等网关设备的过滤规则进行动态配置,阻断包含恶意代码、攻击行为或有害信息的数据流进入网关设备保护的网络区域,有效实施针对信息安全事件的网络隔离。
Ø网络延迟:
采用蠕虫延迟和识别技术,限制恶意代码在单位时间内的网络连接,有效降低蠕虫等恶意代码在网内和网间的传播速度,减少蠕虫事件对受保护网络系统的影响范围。
Ø网络监控:
提高网络入侵检测系统、专网安全监控系统的敏感程度和监控范围,收集更为细致的网络监控数据。
(3)主机抑制
Ø系统账号维护:
禁用或删除主机中被攻破的系统账号和攻击者生成的系统账号,避免攻击者利用这些账号登录主机系统,进行后续的破坏行为。
Ø提高主机安全级别:
实施更为严格的身份认证和访问控制机制,启用主机防火墙或提高防火墙的安全级别,过滤可疑的访问请求。
Ø提高主机监控级别:
提高主机入侵检测系统、主机监控系统的敏感程度和监控范围,收集更为细致的主机监控数据。
(4)应用抑制
Ø应用账号维护:
禁用或删除被攻破的应用账号和攻击者生成的应用账号,避免攻击者利用这些账号登录应用服务,进行后续的破坏行为。
Ø提高应用安全级别:
针对应用服务,实施更为严格的身份认证和访问控制机制,提高攻击者攻击应用服务的难度。
Ø提高应用监控级别:
提高应用入侵检测和监控系统的敏感程度和监控范围,收集更为细致的应用服务监控数据。
Ø关闭应用服务:
杜绝应用服务遭受来自网络的安全事件影响,或避免应用服务对外部网络环境产生影响。
6.2.应急根除
在信息安全事件被抑制之后,进一步分析信息安全事件,找出事件根源并将其彻底清除。
对于单机的事件,可以根据各种操作系统平台的具体检查和根除程序进行操作;针对大规模爆发的带有蠕虫性质的恶意程序,要根除各个主机上的恶意代码,则是一项艰巨的任务。
应急根除分为物理根除、单机根除和网络根除3个层次。
为了保证彻底从受保护网络系统中清除安全威胁,针对不同类型的安全事件,应综合采取不同层次的根除措施。
(1)物理根除
Ø统一采用严格的物理安全措施:
例如针对关键的物理区域,统一实施基于身份认证和物理访问控制机制,实现对身份的鉴别。
Ø环境安全保障:
主要针对环境安全的威胁因素,例如使用消防设施扑灭火灾,更换出现故障的电力设备并恢复正常的电力供应,修复网络通信线路,修复被水浸湿的服务器等。
Ø物理安全保障:
加强视频监控、人员排查等措施,最大限度减少对受保护信息系统可能造成威胁的人员和物理因素。
(2)单机根除(包括服务器、客户机、网络设备及其它计算设备)
Ø清除恶意代码:
清除感染计算设备的恶意代码,包括文件型病毒、引导型病毒、网络蠕虫、恶意脚本等,清除恶意代码在感染和发作过程中产生的数据。
Ø清除后门:
清除攻击者安装的后门,避免攻击者利用该后门登录受害计算设备。
Ø安装补丁和升级:
安装安全补丁和升级程序,但必须事先进行严格的审查和测试,并统一发布。
Ø系统修复:
修复由于黑客入侵、网络攻击、恶意代码等信息安全事件对计算设备的文件、数据、配置信息等造成的破坏,例如被非法篡改的系统注册表、信任主机列表、用户账号数据库、应用配置文件等。
Ø修复安全机制:
修复并重新启用计算设备原有的访问控制、日志、审计等安全机制。
(3)网络根除
Ø所有单机根除:
对受保护网络系统中所有的服务器、客户机、网络设备和其它计算设备进行上述单机根除工作。
Ø评估排查:
对受保护网络系统中所有计算设备进行评估排查,测试是否仍然存在被同种信息安全事件影响的单机。
Ø网络安全保障升级:
对网络中的安全设备、安全工具进行升级,使其具备对该安全事件的报警、过滤和自动清除功能,例如向防火墙增加新的过滤规则,向入侵检测系统增加新的检测规则等。
6.3.应急恢复
完成安全事件的根除工作后,需要完全恢复系统的运行过程,把受影响系统、设备、软件和应用服务还原到它们正常的工作状态。
如果在抑制过程中切换到了备份系统,则需要重新切换到已完成恢复工作的原系统。
恢复工作应该十分小心,避免出现误操作导致数据的丢失或损坏。
恢复工作中如果涉及到国家秘密信息,须遵守保密主管处室的有关要求。
恢复工作共分为五个阶段:
系统恢复阶段、网络恢复阶段、用户恢复阶段、抢救阶段和重新部署/重入阶段。
(1)系统恢复阶段
负责恢复关键业务需要的服务器及应用程序。
系统恢复过程完成的标志是数据库已经可用、用户的数据通讯链路已经重新建立、系统操作用户也已经开始工作。
网络和用户恢复任务与系统恢复是同步进行的。
(2)网络恢复阶段
负责安装通信设备和网络软件,配置路由及远程访问系统,恢复数据通信,部署设置网络管理软件和网络安全软件等,恢复受灾系统的网络通信能力。
(3)用户恢复阶段
用户恢复任务与系统恢复任务和网络恢复任务同步进行。
当系统和网络就绪之后,使用抢救出来的记录和备份存储的数据和信息,尽快恢复数据库。
(4)抢救阶段
抢救行动与其它灾难恢复工作同步进行,包括收集和保存证据,评估数据中心和用户操作区环境的恢复可行性和花费,抢救数据、信息和设备并转移到备份区域。
(5)重新部署/重入阶段
根据灾难恢复计划中定义的工作职能,使系统、网络和用户重新部署到原有的或新的设施中,并把应急状态下的服务级别逐步切换回正常服务级别。
7专项应急预案
当发生的下列信息安全事件时,可分别依据各专项预案进行处理:
Ø防火墙设备不可用
Ø主机感染蠕虫
Ø网站瘫痪
Ø异常来访
Ø暴力突发事件
7.1.防火墙设备不可用
当边界防火墙不可用时,可采取本专项预案进行处理。
该预案的应急响应流程主要分为分析确认、调整本机策略、撤离设备、更换备件、调整路于策略、恢复运行等几个阶段:
(1)分析确认
本预案启用后,应对故障原因进行分析,并根据分析结果采取不同的处理流程。
(2)调整本机策略
当确认为策略配置问题所引起的通信异常,应首先对比当前配置信息和备份配置信息,确认没经篡改后根据实际情况,对配置信息进行调整,最终解决问题。
(3)撤离设备
当确认为硬件故障或软件异常,以至不能完成基本通信功能且无法现场修复时,应撤离该设备,并通知该设备厂商或集成商进行维修。
(4)更换备件
撤离防火墙设备后,应立即更换备件,并参照事先备份的防火墙配置信息对该备件进行配置,在最短时间内实现防火墙的基本通讯、地址转换以及访问控制功能,保护内部网络和DMZ区的安全。
(5)调整路由策略
当备件无法使用情况下,应首先备份边界路由器配置信息,并添加必要的地址转换策略和访问控制列表条目,以保证对外提供服务的关键业务得以正常、安全的进行,同时,应保证内网用户对业务的访问需求。
对于内网用户访问外网的需求可在防火墙功能正常恢复前不予考虑。
(6)恢复运行
当防火墙功能正常后,应根据保存的配置信息对其进行配置,检查无误后,恢复在应急预案实施期间可能在其他设备的进行的配置修改,全网通信正常后本预案结束。
7.2.主机感染蠕虫
当信息系统中发生蠕虫爆发时,可采取本专项预案进行处理。
蠕虫应急响应流程主要分为分析确认、隔离主机、杀毒清理、恢复运行等四个阶段:
(1)分析确认
启动本预案以后首先应该判断确认是否感染蠕虫病毒,包括分析网络流量,是否存在系统异常等等。
(2)隔离主机
在确认有主机感染蠕虫之后,应将各个被感染主机进行隔离,以免其进一步扩散。
如果数据库服务器感染蠕虫,应将数据库服务器进行隔离杀毒,启动备用数据库服务器。
在启用备用数据库服务器之前,应对备用服务器进行安全加固,确保其不会被蠕虫感染。
(3)杀毒清理
在对主机隔离之后,即开始杀毒工作。
杀毒工作完成之后,应升级各主机病毒库,并对各主机进行加固。
进行一次全面的评估,确认蠕虫被彻底清除,并完成各个主机的加固工作,保证不会再次感染。
(4)恢复运行
在确认蠕虫被彻底根除之后,可恢复系统运行,如果启动了备用数据库服务器,应将服务器切换到原来的数据库服务器。
7.3.网站瘫痪
当网站的发生部分或全部瘫痪时,特别是服务器硬件、操作系统或应用系统出现严重问题导致网站瘫痪时,可采取本专项预案进行处理。
该预案的应急响应流程主要分为分析确认、初步分析、启用备份、详细分析原因、解决问题、恢复网站等几个阶段:
(1)分析确认
启动本预案后应首先确认网站是否确实出现了严重问题,导致基本不能对外提供服务。
(2)初步分析
在确认网站瘫痪后,系统管理员应立即对原因进行初步分析并估计解决时间,然后向上级主管领导汇报,由上级主管领导进行恢复工作的临时指挥。
如果需要恢复的时间超出了启用备份的时间,则必须先启用备份;如果恢复时间很短(少于启用备份的时间),则可以先进行问题解决。
(3)启用备份
如上步所述但需要启用备份时,应立即启用备份。
如果有热备则启用热备,如果没有热备则尽快将冷备的数据进行恢复。
(4)详细分析原因
待网站能暂时正常运行后,相关负责人应立即组织人员进行原因分析,避免下次出现相同的事件。
在分析的过程中可能会涉及到第三方的软件、硬件提供商、专业的安全服务公司等,应及时与其联系争取其现场或电话支持,直到确定事件原因。
(5)解决问题
找到原因后应立即起草解决方案,解决方案可以根据事件的性质和组织的实际情况分为立即执行、近期计划、远期规划等不同的阶段。
(6)恢复网站
当问题得到解决后,可以防止此类安全事件再次发生时,可以将网站恢复到正常的运行状态。
同时,应将整个处理过程进行记录存档。
7.4.暴力事件
当发生恐吓、抢劫、枪击、纵火、爆炸等暴力性突发事件,为加强本组织的安全保卫工作,进行快速处置,并最大限度地减轻突发事件所造成的损害,保障分组织人员和财产安全,制定本预案。
(1)分析确认
本预案所称暴力性突发事件是指:
在单位办公场地发生的恐吓、抢劫、枪击、纵火、爆炸等暴力性突发事件,对单位发生直接影响的恐吓、抢劫、枪击、纵火、爆炸等暴力性突发事件,对单位信息系统、数据和档案发生直接影响的恐吓、抢劫、枪击、纵火、爆炸等暴力性突发事件。
(2)事件处理
立刻召集单位信息安全领导小组成员,并且由单位最高领导担任应急事件现场总指挥,信息安全领导小组组长任副总指挥,负责突发事件现场的指挥工作;各处室负责人为小组成员。
信息安全实施小组负责突发事件应急处置的具体工作;各处室负责人负责突发事件现场的配合协调工作。
以确保组织人员和财产的安全为前提,统一领导、统一指挥、分工协作、快速反应、讲究策略、依法办事,积极采取及时、稳妥、果断的处置措施,最大限度减少人员伤亡和财产损失,防止事态扩大,缩小社会影响面。
发生突发事件时,单位全体员工的所有人员都必须无条件服从应急处置领导小组的统一指挥,各处室员工必须服从本处室负责人的安排与指挥。
处置程序如下:
a)报告和通报
Ø在工作时间发生暴力性突发事件时,现场目击者(单位员工或驻单位保安)应立即拨打“110”电话报警,然后立即报单位值班室,值班人员按以下顺序立即进行报告:
单位保安负责人、信息安全实施小组负责人、单位最高领导。
信息安全实施小组负责人根据掌握的事发现场情况及时向上级领导、当地公安局报告情况。
Ø在非工作时间发生暴力性突发事件时,现场目击者(单位员工或驻单位保安)应立即拨打“110”电话报警,然后按以下顺序立即进行报告:
单位保安负责人、信息安全实施小组负责人、单位最高领导。
信息安全实施小组负责人根据掌握的事发现场情况及时向上级单位、当地公安局报告情况。
b)现场指挥与协调
Ø信息安全工作主管领导负责人配合单位领导工作,由信息安全工作主管领导负责人第一时间通知各个处室负责人尽快赶到现场。
现场成立应急处置领导小组,由单位最高领导担任组长负责现场指挥。
Ø应急处置领导小组立即展开处置暴力性突发事件的组织和协调工作,根据现场实际情况配合警方下达救人、疏散、保卫、警戒等指令,组织和调配自有力量最大限度地保护人员和单位财产。
Ø在警员未到达之前,组织保安和单位保卫人员疏散事发现场、周边人员,隔离事发现场。
Ø配合警方与救护人员将伤员及时送到就近医院进行救治,划定安全区,将应疏散的人员集结到安全区域,清点人数,做好稳定情绪工作。
Ø配合警方设置警戒线,禁止无关人员进入,保护现场,为调查取证创造有利条件。
(3)应急情况处理
Ø组织人员接到恐吓电话时,应冷静应答,避免语言刺激,尽量了解来电者的意图,并记下来电号码,随后立即报告信息安全
升级会员 