信息平安深切分析比较八个信息平安模型.docx
《信息平安深切分析比较八个信息平安模型.docx》由会员分享,可在线阅读,更多相关《信息平安深切分析比较八个信息平安模型.docx(19页珍藏版)》请在冰豆网上搜索。
信息平安深切分析比较八个信息平安模型
深切分析比较八个信息平安模型
信息平安部系结构的设计并无严格统一的标准,不同领域不同时期,人们对信息平安的熟悉都不尽相同,对解决信息平安问题的偏重也有所不同。
初期人们对信息平安部系的关注核心,即以防护技术为主的静态的信息平安部系。
随着人们对信息平安熟悉的深切,其动态性和进程性的进展要求愈显重要。
国际标准化组织(ISO)于1989年对OSI开放系统互联环境的平安性进行了深切研究,在此基础上提出了OSI平安部系结构:
ISO7498-2:
1989,该标准被我国等同采纳,即《信息处置系统-开放系统互连-大体参考模型-第二部份:
平安部系结构GB/T》。
ISO7498-2平安部系结构由5类平安效劳(认证、访问操纵、数据保密性、数据完整性和抗抵赖性)及用来支持平安效劳的8种平安机制(加密机制、数字签名、访问操纵机制、数据完整性机制、认证互换、业务流填充、路由操纵和公证)组成。
ISO7498-2平安部系结构针对的是基于OSI参考模型的网络通信系统,它所概念的平安效劳也只是解决网络通信平安性的技术方法,其他信息平安相关领域,包括系统平安、物理平安、人员平安等方面都没有涉及。
另外,ISO7498-2体系关注的是静态的防护技术,它并无考虑到信息平安动态性和生命周期性的进展特点,缺乏检测、响应和恢复这些重要的环节,因此无法知足更复杂更全面的信息保障的要求。
P2DR模型源自美国国际互联网平安系统公司(ISS)提出的自适应网络平安模型ANSM(AdaptiveNetworkSecurityModel)。
P2DR代表的别离是Policy(策略)、Protection(防护)、Detection(检测)和Response(响应)的首字母。
依照P2DR
的观点,一个良好的完整的动态平安部系,不仅需要适当的防护(比如操作系统访问操纵、防火墙、加密等),而且需要动态的检测机制(比如入侵检测、漏洞扫描等),在发觉问题时还需要及时做出响应,如此的一个体系需要在统一的平安策略指导下进行实施,由此形成一个完备的、闭环的动态自适应平安部系。
P2DR模型是成立在基于时刻的平安理论基础之上的。
该理论的大体思想是:
信息平安相关的所有活动,不管是解决行为、防护行为、检测行为仍是响应行为,都要消耗时刻,因此能够历时刻尺度来衡量一个体系的能力和平安性。
PDRR模型,或叫PPDRR(或P2DR2),与P2DR超级相似,唯一的区别就在于把恢复环节提到了和防护、检测、响应等环节一样的高度。
在PDRR模型中,平安策略、防护、检测、响应和恢复一起组成了完整的平安部系,利用如此的模型,任何信息平安问题都能得以描述和说明。
当信息平安进展到信息保障时期以后,人们越发以为,构建信息平安保障体系必需从平安的方方面面进行综合考虑,只有将技术、治理、策略、工程进程等方面紧密结合,平安保障体系才能真正成为指导平安方案设计和建设的有力依据。
信息保障技术框架(InformationAssuranceTechnicalFramework,IATF)确实是在这种背景下诞生的。
IATF是由美国国家平安局组织专家编写的一个全面描述信息平安保障体系的框架,它提出了信息保障时期信息基础设施的全套平安需求。
IATF制造性的地址在于,它第一次提出了信息保障依托于人、操作和技术来一起实现组织职能/业务运作的思想,对技术/信息基础设施的治理也离不开这3个要素。
IATF以为,稳健的信息保障状态意味着信息保障的策略、进程、技术和机制在整个组织的信息基础设施的所有层面上都能得以实施。
尽管IATF提出了以人为核心的思想,但整个体系的论述仍是以技术为偏重的,关于平安治理的内容那么很少涉及。
因此,与其说IATF
为咱们提供了全面的信息平安部系模型,如说为咱们指出了设计、构建和实施信息平安解决方案的一个技术框架信息平安部系建设与效劳进程(ISMG-002),它为咱们归纳了信息平安应该关注的领域和范围、途
径和方式、可选的技术性方法,但并无指出信息平安最终的表现形态,这和P2DR、PDRR等模型有专门大区别。
BS7799是英国标准协会(BritishStandardsInstitute,BSI)制定的关于信息平安治理方面的标准,它包括两个部份:
第一部份是被采纳为ISO/IEC17799:
2000标准的信息平安治理实施细那么(CodeofPracticeforInformationSecurityManagement),它在10个题目框架以下举概念127项作为平安操纵的老例,供信息平安实践者选择利用;BS7799的第二部份是成立信息平安治理体系(ISMS)的一套标准(SpecificationforInformationSecurityManagementSystems),其中详细说明了成立、实施和保护信息平安治理体系的要求,指出实施机构应该遵循的风险评估标准。
作为一套治理标准,BS7799-2指导相关人员如何去应用ISO/IEC17799,其最终目的还在于成立适合企业需要的信息平安治理体系(ISMS)。
单从平安部系作为信息平安建设指导蓝图和目标的作用来看,之前的几种体系或模型都或多或少存在一些不足,ISO7498-2就不多说,即便是目前较为流行的P2DR和PDRR模型,偏重的也只是平安部系的技术环节,并无论述组成信息平安的几个关键要素。
至于IATF,尽管明确指出信息平安的组成要素,但它只是提供了一个用来选择技术方法的框架并无勾画出一个平安部系的目标形态。
一样的,BS7799标准尽管完全偏重于信息平安治理,但它所要求的信息平安治理体系(ISMS
)也没有明确的目标形态。
那个地址,咱们提出了一种新的平安部系模型,即P2OTPDR2模型。
事实上这是一个将IATF核心思想与PDRR大体形态结合在一路的平安部系模型,符合咱们对信息平安部系设计的大体要求。
P2OTPDR2,即Policy(策略)、People(人)、Operation(操作)、Technology(技术)、Protection(爱惜)、Detection(检测)、Response(响应)和Recovery(恢复)的首字母缩写。
P2OTPDR2分为3个层次,最核心的部份是平安策略,平安策略在整个平安部系的设计、实施、保护和改良进程中都起着重要的指导作用,是一切信息平安实践活动的方针和指南。
模型的中间层次表现了信息平安的3个大体要素:
人员、技术和操作,这组成了整个平安部系的骨架,从本质上讲,平安策略的全数内容确实是对这3个要素的论述,固然,3个要素中,人是唯一具有能动性的,是第一名的。
在模型的外围,是组成信息平安完整功能的PDRR模型的4个环节,信息平安3要素在这4个环节中都有渗透,并最终表现出信息平安完整的目标形态。
归纳来讲,在策略核心的指导下,3个要素(人、技术、操作)紧密结合协同作用,最终实现信息平安的4项功能(防护、检测、响应、恢复),组成完整的信息平安部系。
P2OTPDR2模型的核心思想在于:
通过人员组织、平安技术和运行操作3个支撑体系的综合作用,组成一个完整的信息平安治理体系。
尽管只是简单的演绎归纳,但新的平安部系模型能够较好地表现信息平安的各个特点,因此具有更强的目标指导作用。
从全面性来看,P2OTPDR2模型对平安本质和功能的论述是完整的、全面的;模型的层次关系也很清楚;外围的PDRR模型的4个环节本身确实是对动态性专门好的诠释;不管是人员治理、技术治理仍是操作治理,都表现了信息平安可治理性的特点。
就防护来讲,ISO7498-2
所概念的传统的平安技术能够成立起信息平安的第一道防线,包括物理平安方法、操作系统平安、身份认证、访问操纵、数据加密、完整性爱惜等技术;在检测环节,病毒检测、漏洞扫描、入侵检测、平安审计都是典型的技术和操作手腕;在响应环节,包括突发事件处置、应急响应、犯法辨析等技术和操作;而在恢复环节,备份和恢复那么是最重要的内容。
固然,在这4个环节中,不管是采纳如何的方法,都能够通过人、操作和技术三者的结合来一起表现平安策略的思想,最终实现信息平安的目标和要求。
下面简单给出八种平安模型的比较:
(1)状态机模型:
不管处于什么样的状态,系统始终是平安的,一旦有不平安的事件发生,系统应该会爱惜自己,而不是是自己变得容易受到解决。
(2)Bell-LaPadula模型:
多级平安策略的算术模型,用于定于平安状态机的概念、访问模式和访问规那么。
要紧用于避免XX的方式访问到保密信息。
系统中的用户具有不同的访问级(clearance),而且系统处置的数据也有不同的类别(classification)。
信息分类决定了应该利用的处置步骤。
这些分类合起来组成格(lattice)。
BLP是一种状态机模型,模型顶用到主体、客体、访问操作(读、写和读/写)和平安品级。
也是一种信息流平安模型,BLP的规那么,Simplesecurityrule,一个位于给定平安品级内的主体不能读取位于较高平安品级内的数据。
(-propertyrule)为不能往下写。
Strongstarpropertyrule,一个主体只能在同一平安记录内读写。
图1-1Bell-Lapodupa平安模型解析图
大体平安定理,若是一个系统初始处于一个平安状态,而且所有的状态转换都是平安的,那么不管输入是什么,每一个后续状态都是平安的。
不足的地方:
只能处置机密性问题,不能解决访问操纵的治理问题,因为没有修改访问权限的机制;那个模型不能避免或解决隐蔽通道问题;不能解决文件共享问题。
(3)Biba模型:
状态机模型,利用规那么为,不能向上写:
一个主体不能把数据写入位于较高完整性级别的客体。
不能向下读:
一个主体不能从较低的完整性级别读取数据。
要紧用于商业活动中的信息完整性问题。
图1-2Biba平安模型解析图
(4)Clark-Wilson模型:
要紧用于避免授权用户可不能在商业应用内对数据进行XX的修改,欺骗和错误来爱惜信息的完整性。
在该模型中,用户不能直接访问和操纵客体,而是必需通过一个代理程序来访问客体。
从而爱惜了客体的完整性。
利用职责分割来幸免授权用户对数据执行XX的修改,再次爱惜数据的完整性。
在那个模型中还需要利用审计功能来跟踪系统外部进入系统的信息。
完整性的目标,避免未授权的用户进行修改,避免授权用户进行不正确的修改,保护内部和外部的一致性。
Biba只能够确认第一个目标。
(5)信息流模型:
Bell-LaPadula模型所关注的是能够从高平安级别流到低平安级别的信息。
Biba模型关注的是从高完整性级别流到低完整性级别的信息。
都利用了信息流模型,信息流模型能够处置任何类型的信息流,而不仅是流的方向。
(6)非干与模型:
模型自身不关注数据流,而是关注主体对系统的状态有什么样的了解,以幸免较高平安品级内的一个实体所引发的一种活动,被低品级的实体感觉到。
(7)Brewer和Nash模型:
是一个访问操纵模型,那个模型能够依照用户以往的动作而动态地改变。
模型的要紧功能确实是避免用户访问被以为是利益冲突的数据。
(8)Graham-Denning平安模型:
创建许诺主体在客体上操作的相关权限;
Harrison-Ruzzo-Ullman模型:
许诺修改访问权和如何创建和删除主体和客体。
软件平安性的10原那么和彼此作用
原那么1:
爱惜最薄弱的环节
平安性社区中最多见的比喻之一是:
平安性是根链条;系统的平安程度只与最脆弱的环节一样。
结论是系统最薄弱部份确实是最易受解决阻碍的部份。
解决者往往设法解决最易解决的环节,这关于您来讲可能并非奇怪。
若是他们不管因什么缘故缘故将您的系统作为解决目标,那么他们将沿阻力最小的线路采取行动。
这意味着他们将试图解决系统中看起来最薄弱的部份,而不是看起来牢固的部份。
即便他们在您系统各部份上花费相同的精力,他们也更可能在系统最需要改良的部份中发觉问题。
这一直觉是普遍适用的。
银行里的钱通常比便利店里的钱多,可是它们哪个更易受到抢劫呢?
固然是便利店。
什么缘故?
因为银行往往有更壮大的平安性防范方法;便利店那么是一个容易患多的目标。
让咱们假定您拥有一家一般的银行和一家一般的便利店。
是为保险库添加额外的门并将平安人员的数量翻倍,仍是为便利店花费一样数量的钱雇佣平安官员更划算呢?
银行可能已经将出纳员置于防弹玻璃以后,并安装了摄像机、配备了平安捍卫、装备了上锁的保险库和具有电子密码的门。
相较之下,便利店可能装备了没那么复杂的摄像机系统和很少的其它设备。
若是您将对您的金融帝国的任何一部份进行平安性投资,那么便利店将是最正确选择,因为它的风险要大得多。
这一原那么显然也适用于软件世界,但大多数人并无给予任何重视。
专门地,密码术不太会是系统最薄弱的部份。
即便利用具有512位RSA密钥和40位RC4密钥的SSL-1,这种被以为是难以置信的薄弱的密码术,解决者仍有可能找到容易患多的方式进入。
的确,它是可攻破的,可是攻破它仍然需要大量的计算工作。
若是解决者想访问通过网络传输的数据,那么他们可能将其中一个端点作为目标,试图找到诸如缓冲区溢出之类的缺点,然后在数据加密之前或在数据解密以后查看数据。
若是存在可利用的缓冲区溢出,那么世界上所有的密码术都帮不了您―而且缓冲区溢出大量出此刻C代码中。
因为这一缘故,尽管加密密钥长度的确对系统的平安性有阻碍,但在大多数系统中它们并非是如此的重要,在这些系统中更重要的情形都有错。
一样地,解决者通常并非解决防火墙本身,除非防火墙上有众所周知的弱点。
事实上,他们将试图冲破通过防火墙可见的应用程序,因为这些应用程序一般是更易的目标。
若是执行一个好的风险分析,那么标识出您感觉是系统最薄弱的组件应该超级容易。
您应该第一排除看起来好象是最严峻的风险,而不是看起来最容易减轻的风险。
一旦一些其它组件很明显是更大的风险时,您就应该将精力集中到别的地址。
固然,能够永久利用这一策略,因为平安性从来就不是一个保证。
您需要某些停止点。
依照您在软件工程进程中概念的任何量度,在所有组件都似乎在可同意的风险阈值之内时,您应该停下来。
原那么2:
纵深防御
纵深防御背后的思想是:
利用多重防御策略来治理风险,以便在一层防御不够时,在理想情形下,另一层防御将会阻止完全的破坏。
即即是在平安性社区之外,这一原那么也是众所周知的;例如,这是编程语言设计的着名原那么:
纵深防御:
采取一系列防御,以便在一层防御不能抓住错误时,另一层防御将可能抓住它。
让咱们回到为银行提供平安性的例如。
什么缘故典型的银行比典型的便利店更平安?
因为有许多冗余的平安性方法爱惜银行―方法越多,它就越平安。
单单平安摄像机通常就足以成为一种威慑。
但如果是解决者并非在意这些摄像机,那么平安捍卫就将在那儿实际爱惜银行。
两名平安捍卫乃至将提供更多的爱惜。
但如果是两名捍卫都被蒙面匪徒枪杀,那么至少还有一层防弹玻璃和电子门锁来爱惜银行出纳员。
若是强盗可巧砸开了这些门或猜出了PIN,最少强盗将只能容易抢劫现金出纳机,因为咱们有保险库来爱惜余下部份。
理想情形下,保险库由几个锁爱惜,没有两个很少同时在银行的人在场是不能被打开的。
至于现金出纳机,能够为其装备使钞票留下印记的喷色装置。
固然,配备所有这些平安性方法并非能确保银行永久可不能受到成功的抢劫。
即便在具有这么多平安性的银行,也确实会发生银行抢劫。
但是,很清楚,所有这些防御方法加起来会形成一个比任何单一防御方法有效得多的平安性系统。
这好象同先前的原那么有些矛盾,因为咱们实质上是在说:
多重防御比最牢固的环节还要牢固。
但是,这并非矛盾;“爱惜最薄弱环节”的原那么适用于组件具有不重叠的平安性功能的时候。
但当涉及到冗余的平安性方法时,所提供的整体爱惜比任意单个组件提供的爱惜要强得多,确实是可能的。
一个好的现实例如是爱惜在企业系统不同效劳器组件间传递的数据,其中纵深防御会超级有效,但却很少应用。
大部份公司成立企业级的防火墙来阻止入侵者侵入。
然后这些公司假定防火墙已经足够,而且让其应用程序效劳器不受阻碍地同数据库“交谈”
。
若是数据超级重要,那么若是解决者设法穿透了防火墙会发生什么呢?
若是对数据也进行了加密,那么解决者在不破解加密,或(更可能是)侵入存储未加密形式的数据的效劳器之一的情形下,将不能获取数据。
若是咱们正好在应用程序周围成立另一道防火墙,咱们就能够够爱惜咱们免遭穿透了企业防火墙的人解决。
那么他们就不能不在应用程序网络显式输出的一些效劳中寻觅缺点;咱们要牢牢把握那些信息。
原那么3:
爱惜故障
任何十分复杂的系统都会有故障方式。
这是很难幸免的。
能够幸免的是同故障有关的平安性问题。
问题是:
许多系统以各类形式显现故障时,它们都归结为不平安行为。
在如此的系统中,解决者只需造成适当类型的故障,或等待适当类型的故障发生。
咱们听说过的最好的现实例如是将现实世界同电子世界连接起来的例如―信誉卡认证。
诸如Visa和MasterCard如此的大型信誉卡公司在认证技术上花费巨资以避免信誉卡讹诈。
最明显地,不管您何时去商店购物,供给商都会在连接到信誉卡公司的设备上刷您的卡。
信誉卡公司检查以确信该卡是不是属被盗。
更令人惊讶的是,信誉卡公司在您最近购物的环境下分析您的购物请求,并将该模式同您消费适应的整体趋势进行比较。
若是其引擎发觉到任何十分值得疑心的情形,它就会拒绝这笔交易。
从平安性观点来看,这一方案给人的印象十分深刻―直到您注意到某些情形犯错时所发生的情形。
若是信誉卡的磁条被去磁会如何呢?
供给商会不能不说:
“抱歉,因为磁条破了,您的卡无效。
”吗?
不。
信誉卡公司还向供给商提供了创建您卡的标记的手工机械,供给商能够将其送给信誉卡公司以便结帐。
若是您有一张偷来的卡,那么可能全然可不能进行认证。
店主乃至可能可不能向您要您的ID。
在手工系统中一直有某些平安性所示,但此刻没了。
在运算机网络显现以前,可能会要您的ID以确保该卡同您的驾驶证相匹配。
另外需要注意的是,若是您的号码出此刻本地按期更新的坏卡列表之内,那么该卡将被没收。
而且供给商还将可能核查您的签名。
电子系统一投入利用,这些技术事实上就再也不是必需的了。
若是电子系统显现故障,那么在极少见的情形下,会从头利用这些技术。
但是,实际可不能利用这些技术。
信誉卡公司感觉:
故障是信誉卡系统中十分少见的情形,以致于不要求供给商在发生故障时记住复杂的进程。
系统显现故障时,系统的行为没有通常的行为平安。
遗憾的是,系统故障很容易引发。
例如,很容易通过将偷来的信誉卡在一块大的磁铁上扫一下来损坏其磁条。
这么做,只要小偷将卡用于小额购买(大额购买常常要求更好的验证),他们就或多或少地生出了任意数量的金钱。
从小偷的角度看,这一方案的优势是:
故障很少会致使他们被抓获。
有人能够长期用这种方式利用同一张卡,几乎没有什么风险。
什么缘故信誉卡公司利用这种愚蠢掉队的方案呢?
答案是:
这些公司擅长风险治理。
只要他们能够不断地大把赚钱,他们就能够够经受相当大数量的讹诈。
他们也明白阻止这种讹诈的本钱是不值得的,因为实际发生的讹诈的数量相对较低。
(包括本钱和公关问题在内的许多因素阻碍这一决定。
)
大量的其它例子出此刻数字世界。
常常因为需要支持不平安的旧版软件而显现问题。
例如,例如说,您软件的原始版本十分“天真”,完全没有利用加密。
此刻您想修正这一问题,但您已成立了广大的用户基础。
另外,您已部署了许多或许在长时刻内都可不能升级的效劳器。
更新更伶俐的客户机和效劳器需要同未利用新协议更新的较旧的客户机进行互操作。
您希望强迫老用户升级,但您尚未为此做预备。
没有指望老用户会占用户基础中如此大的一部份,以致于不管如何这将真的很麻烦。
如何办呢?
让客户机和效劳器检查它从对方收到的第一条消息,然后从中确信发生了什么情形。
若是咱们在同一段旧的软件“交谈”,那么咱们就不执行加密。
遗憾的是,老谋深算的黑客能够在数据通过网络时,通过窜改数据来迫使两台新客户机都以为对方是旧客户机。
更糟的是,在有了支持完全(双向)向后兼容性的同时仍无法排除该问题。
对这一问题的一种较好解决方案是从开始就采纳强制升级方案进行设计;使客户机检测到效劳器再也不支持它。
若是客户性能够平安地检索到补丁,它就升级。
不然,它告知用户他们必需手工取得一个新的副本。
很遗憾,重要的是从一开始就应预备利用这一解决方案,除非您不在意得罪您的初期用户。
远程方式挪用(RemoteMethodinvocation(RMI))的大多数实现都有类似的问题。
当客户机和效劳器想通过RMI通信,但效劳器想利用SSL
或一些其它加密协议时,客户机可能不支持效劳器想用的协议。
假设是如此,客户机通常会在运行时从效劳器下载适当的套接字实现。
这形成了一个大的平安漏洞,因为下载加密接口时,尚未对效劳器进行认证。
解决者能够假装成效劳器,在每台客户机上安装他自己的套接字实现,即便是在客户机已经安装了正确的SSL类的情形下。
问题是:
若是客户机未能成立与缺省库的平安连接(故障),它将利用一个不可信实体给它的任何协议成立连接,因此也就扩展了信任范围。
原那么4:
最小特权
最小特权原那么规定:
只授予执行操作所必需的最少访问权,而且关于该访问权只准予利用所需的最少时刻。
当您给出了对系统某些部份的访问权时,一样会显现滥用与那个访问权相关的特权的风险。
例如,咱们假设您出去度假并把您家的钥匙给了您的朋友,好让他来喂养您的宠物、搜集邮件等等。
尽管您可能信任那位朋友,但老是存在如此的可能:
您的朋友未经您同意就在您的屋子里开派对或发生其它您不喜爱的情形。
不管您是不是信任您的朋友,一样没必要冒险给予其必要的访问权之外的权利。
例如,若是您没养宠物,只需要一名朋友偶然收取您的邮件,那么您应当只给他邮箱钥匙。
即便您的朋友可能找到滥用那个特权的好方式,但至少您没必要担忧显现其它滥用的可能性。
若是您没必要腹地给出了房门钥匙,那么所有一切都可能发生。
一样,若是您在度假时确实雇佣了一名屋子看管人,那么您不可能在没有度假时还让他保留您的钥匙。
若是您如此做了,那么您使自己陷入额外的风险当中。
只要当您的房门钥匙不受您的操纵,就存在钥匙被复制的风险。
若是有一把钥匙不受您的操纵,而且您不在家,那么就存在有人利用钥匙进入您屋子的风险。
当有人拿了您的钥匙,而您又没有留意他们,那么任何如此的一段时刻都会组成一个时刻漏洞,在此段时刻内您就很容易受到解决。
为了将您的风险降到最低,您要使这段易受解决的时刻漏洞尽可能的短。
现实生活中的另一个好的例如是美国政府的忠诚调查系统―“需要明白”政策。
即便您有权查看任何机密文档,您仍不能看到您明白其存在的任何机密文档。
若是能够的话,就很容易滥用该忠诚调查级别。
事实上,人们只被许诺访问与那些交给他们的任务相关的文档。
UNIX系统中显现过一些违背最小特权原那么的最闻名情形。
例如,在UNIX系统上,您一样需要root特权才能在小于1024的端口号上运行效劳。
因此,要在端口25(传统的SMTP端口)上运行邮件效劳器,程序需要root
用户的特权。
只是,一旦程序在端口25上运行了,就没有强制性要求再对它利用root特权了。
具有平安性意识的程序会舍弃root特权并让操作系统明白它不该再需要那些特权(至少在程序下一次运行之前)。
某些电子邮件效劳器中存在的一个大问题是它们在获取邮件端口以后没有舍弃它们的root权限(Sendmail是个经典例如)。
因此,若是有人找到某种方式来欺骗如此一个邮件效劳器去完成某些歹意任务时,它会成功。
例如,若是一名怀有歹意的解决者要在Sendmail中找到适合的栈溢出,那么那个溢出能够用来欺骗程序去运行任意
升级会员 