互联网数据中心等保三级解决方案

互联网数据中心等保三级

解决方案

Word文档-可编辑

编制单位：XX科技服务有限公司

- I -

目录

一. 前言 ...................................................................................................................................................... 1 二. 项目背景 ............................................................................................................................................... 1 三. 安全风险分析 ....................................................................................................................................... 2 3.1 设备安全风险 ................................................................................................................................... 2 3.2 网络安全风险 ................................................................................................................................... 2 3.3 应用层安全风险 ............................................................................................................................... 3 3.4 数据安全风险 ................................................................................................................................... 3 四. 需求分析 ............................................................................................................................................... 4 4.1 技术需求分析 ................................................................................................................................... 4 4.2 管理需求分析 ................................................................................................................................... 4 五. 等级保护建设 ....................................................................................................................................... 5 5.1 参考标准与依据 ............................................................................................................................... 6 5.1.1 相关法规和政策 ....................................................................................................................... 6 5.1.2 国家标准及行业标准 ............................................................................................................... 6 5.2 整体部署拓扑图 ............................................................................................................................... 8 5.3 安全技术防护 ............................................................................................................................... - 9 - 5.3.1 边界访问控制 ....................................................................................................................... - 9 - 5.3.2 边界入侵防护 ..................................................................................................................... - 14 - 5.3.3 网站安全防护 ..................................................................................................................... - 28 - 5.3.4 安全审计 ............................................................................................................................. - 38 - 5.3.5 安全管理 ............................................................................................................................. - 47 - 5.4 等保建设咨询 ............................................................................................................................. - 69 - 5.4.1 技术层面差距分析 ............................................................................................................. - 69 - 5.4.2 管理层面差距分析 ............................................................................................................. - 71 - 5.4.3 安全评估及加固 ................................................................................................................. - 72 - 5.4.4 安全管理体系建设 ............................................................................................................. - 74 - 5.4.5 应急响应及演练 ................................................................................................................. - 74 - 5.4.6 安全培训 ............................................................................................................................. - 74 - 5.4.7 测评辅助 ............................................................................................................................. - 75 - 六. 等保建设清单 ................................................................................................................................. - 76 - 七. 为什么选择绿盟科技 ..................................................................................................................... - 77 - 7.1 典型优势 ..................................................................................................................................... - 78 - 7.1.1 拥有最高级别服务资质的专业安全公司.......................................................................... - 78 - 7.1.2 先进且全面的信息安全保障体系模型.............................................................................. - 78 - 7.1.3 可实现且已证明的体系建设内容 ..................................................................................... - 78 - 7.1.4 资深且经验丰富的项目团队 ............................................................................................. - 79 -

- II -

7.1.5 先进的辅助工具 ................................................................................................................. - 79 - 7.2 资质荣誉 ..................................................................................................................................... - 79 - 7.3 客户收益 ..................................................................................................................................... - 82 -

- III -

前言

经过多年的信息化推进建设，企事业和政府机构信息化应用水平正不断提高，信息化建设成效显著。作为信息化发展的重要组成部分，信息安全的状态直接制约着信息化发展的程度。

作为企事业和政府机构重要的公众平台APP及web应用系统，由于其公众性质，使其成为攻击和威胁的主要目标， WEB应用所面临的Web应用安全问题越来越复杂，安全威胁正在飞速增长，尤其混合威胁的风险，如黑客攻击、蠕虫病毒、DDoS攻击、SQL注入、跨站脚本、Web应用安全漏洞利用等，极大地困扰着政府和公众用户，给政府的政务形象、信息网络和核心业务造成严重的破坏。随着后“棱镜门”时代，国家对重要信息系统（包括网站）的安全问题越来越重视，相继发布了一系列的政策要求，例如：公安部、发改委和财政部联合印发的《关于加强国家级重要信息系统安全保障工作有关事项的通知》（公信安[2014]2182号）要求，加强对47个行业、276家单位、500个涉及国计民生的国家级重要信息系统的安全监管和保障。2014年12月，中办国办《关于加强社会治安防控体系建设的意见》要求：“完善国家网络安全监测预警和通报处置工作机制，推进完善信息安全等级保护制度”。

为进一步企事业和政府机构单位依据国家等级保护相关标准和要求做好信息系统等级保护（三级）安全建设工作，绿盟科技作为国内具有一流技术优势和国际竞争力的信息安全厂商，结合自身多年的安全建设经验、业界领先的技术与产品，为政府单位等级保护安全建设提供本方案。

项目背景

2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过《中华人民共和国网络安全法》，并将于2017年6月1日施行。该法案明确规定:建设、运营网络或通过网络提供服务，须依照法律、法规和国家标准强制性要求，采取各种措施，落实网络安全等级保护制度，保障网络安全稳定运行。发生安全事件时还要向主管部门报告。对于不履行该法案规定的，由有关主管部门责令改正，给予警告；拒不改正或导致危害网络安全等后果的，处一万元以上十万元以下罚款，并对直接负责的主管人员处五千元以上五万元以下罚款。

- 1 -

上海市公安局、网信办、经信委、通管局联合发布的《沪公通字【2015】65号》文中，也对政府机构、事业单位、国企的信息系统等级保护建设提出了明确的要求。

xxx目前运营的网站类系统主要有官方网站、xxx系统等；数据中心建成后，除满足xxx自身需求外，还将为下属各子平台单位提供服务。

xxx信息系统网络架构为简单的互联互通架构，除入口处安装有防火墙外，其他安防手段、措施均缺失，距离等级保护三级要求有非常大的差距，安防状况堪忧。

不论是《中华人民共和国网络安全法》的规定，还是从自身信息系统安全角度考虑，xxx都需要建设自己的安全管理体系和技术体系的建设，提升整体信息系统及数据的安全性。

一. 安全风险分析

1.1 设备安全风险

信息系统网络设备的安全风险主要来自两个方面，一个是设备自身的安全风险，另外一个是外界环境的安全风险。具体的设备安全风险如下：

? 设备自身的安全缺陷或未能够及时修复的安全缺陷，导致的针对该设备的缺陷利用，

影响信息系统业务的连续性、可靠性和完整性； ? 承载业务系统硬件、网络环境等方面的威胁； ? 业务系统自身安全威胁。

1.2 网络安全风险

网络安全风险主要如下：

? 来自内部和外部可能的网络攻击，如DDOS攻击、利用系统漏洞进行的各类攻击等

等；

? 蠕虫病毒入侵，局域网内部病毒等恶意软件的传播，尤其是维护终端、磁盘介质使

用等导致的病毒扩散；

? 利用管理和技术漏洞，或者内部资源成为僵尸网络、木马的被控资源，信息系统资

源被用作攻击外部网络的工具

? WEB类应用被挂马，成为木马大范围传播的主要途径； ? 由于对信息系统网络进行维护不恰当，而导致的安全威胁。

- 2 -

3.2 整体部署拓扑图

灰色标注：已有红色标注：新增抗拒绝服务系统Internet抗DDOS安全管理平台防火墙外网防火墙运维审计系统堡垒机漏洞扫描系统漏洞扫描公众服务区IPS 入侵防御系统WAF网页防篡改软件安全管理区网络安全审计防病毒集中管理平台核心交换机数据库审计WEB应用防火墙WEB服务器群IPS 入侵防御系统数据库审计核心应用区核心数据库区办公区服务器群

- 8 -

3.3 安全技术防护

3.3.1 边界访问控制

3.3.1.1 防护需求

网络边界安全是网络安全保障的第一道防线，是信息网络系统上各业务网络必须优先建设的重点之一。在信息服务系统内部不同安全保护等级要求或不同信任域网络间互连时的边界接入安全，需设置与关键业务安全保护等级要求相对应的网络逻辑隔离，以重点保护关键业务系统的边界安全，作为信息服务系统中安全保护等级较高的网络，应适当与其他网络部分逻辑隔离。

根据合规性要求，《GB/T 22239-2008信息系统安全等级保护基本要求》 7.1.2.2访问控制（G3）

a) 应在网络边界部署访问控制设备，启用访问控制功能；

b) 应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口

级；

c) 应对进出网络的信息内容进行过滤，实现对应用层HTTP、FTP、TELNET、SMTP、

POP3等协议命令级的控制；

d) 应在会话处于非活跃一定时间或会话结束后终止网络连接； e) 应限制网络最大流量数及网络连接数； f) 重要网段应采取技术手段防止地址欺骗；

g) 应按用户和系统之间的允许访问规则，决定允许或拒绝用户对受控系统进行资源访

问，控制粒度为单个用户；

h) 应限制具有拨号访问权限的用户数量。 7.1.2.1结构安全

a)应保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要 b)应保证网络各个部分的带宽满足业务高峰期需要

c)应在业务终端与业务服务器之间进行路由控制建立安全的访问路径

e)应根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的子网或网段，并按照方便管理和控制的原则为各子网、网段分配地址段

f)应避免将重要网段部署在网络边界处且直接连接外部信息系统，重要网段与其他网段之间采取可靠的技术隔离手段

g)按照对业务服务的重要次序来指定带宽分配优先级别，保证在网络发生拥堵的时候优先保护重要主机.

3.3.1.2 解决方案

根据以上需求，设计在网络边界部署下一代防火墙来实现。通过配置地址转换策略实现内外网的访问，通过配置访问控制策略内外网隔离。详见“整体部署拓扑图”。

【技术实现】

本方案推荐选用绿盟科技下一代防火墙部署方案。

图 3.1 策略框架

绿盟下一代防火墙具备以下功能： ? 智能化识别应用

通过智能化应用、用户身份识别技术，绿盟下一代防火墙可以将网络中单纯的IP/端口号（IP/Ports），以及流量信息，转换为更容易理解、更加智能化的应用程序信息和用户身份信息，为后续的基于应用程序的策略控制和安全扫描，提供了识别基础。 ? 精细化控制应用

绿盟下一代防火墙可以根据风险级别、应用类型、是否消耗带宽等多种方式对应用及应用动作进行细致分类，并且通过应用级访问控制，应用流量管理以及应用安全扫描等不同的策略对应用分别进行细粒度的控制和过滤。 ? 一体化安全扫描

在完成智能化识别和精细化控制以后，下一代防火墙对于允许使用且可能存在高安全风险的网络应用，可以进行漏洞，病毒，URL和内容等不同层次深度扫描，如果发现该应用中存在安全风险或攻击行为可以做进一步的阻断并且记录成为详细的安全日志和风险报表。 ? 资产风险识别和云端安全管理

绿盟科技下一代防火墙可以主动、先发性的对用户内网脆弱资产进行风险评估，并提出加固方案，是用户的内网安全管理专家，同时又可以通过接入云端，简化运维，对安全威胁在线分析和把控，是用户的云端安全管理专家。

【选型优势】

? 多核CPU和ASIC构建高速硬件平台

绿盟防火墙专用硬件平台采用多核CPU和ASIC加速芯片构建。ASIC芯片具有3-4层快速转发和流分类的特性，使得绿盟防火墙具有高速的网络处理性能；多核CPU的强大浮点计算能力，以及绿盟独有的多流并行分布式处理技术，使得绿盟防火墙的应用层数据处理能力大幅提高，真正做到从4层防护到7层防护的提升。 ? 智能协议识别（NIPR）智能内容识别（NICR）技术

智能协议识别技术——Nsfocus Intelligent Protocol Recognition（NIPR）和智能内容识别技术——Nsfocus Intelligent Content Recognition（NICR）是绿盟自主研发的网络威胁识别技术，是绿盟科技在网络攻防技术方面多年研究成果的结晶，也是绿盟防火墙产品的核心技术。

网络应用层防护的最大难度在于对复杂多变的应用协议、黑客复杂的攻击行为以及应用内容进行解析识别，从而进行针对性的防护。NIPR和NICR识别技术，它利用七个安全库（应用协议特征库、协议行为特征库、URL分类库、Web信誉库、病毒库、攻击规则库、垃圾邮件库），通过动态分析网络报文中包含的协议特征、行为特征以及非法内容，识别出非法信息，然后递交给相应的处理引擎进行防护。

具备了NIPR和NICR的绿盟防火墙，不再受动态端口或攻击工具变化的影响。对于P2P等运行在任意端口的应用层协议，或者绑定在任意端口的木马、后门，还有黑客的灵活多变的攻击方式，绿盟防火墙都能在不需要管理员参与的情况下高速准确的判断出来，并根据网关策略予以阻断或限制。

? 超强的网络攻击检测/防护能力

绿盟防火墙集成了绿盟科技专业的入侵检测/防护模块，可实现基于IP地址/网段、规则（组、集）、时间、动作等对象的虚拟IPS。绿盟防火墙采用虚拟补丁技术，可防护远程扫描、暴力破解、缓存区溢出、蠕虫病毒、木马后门、SQL注入、跨站脚本等各种攻击。 ? 首创的内网资产风险管理

绿盟科技下一代防火墙，除了具备国际权威咨询机构Gartner所定义的下一代防火墙全部特性，不仅在新一代网络中保障用户的边界网络安全，防范“外敌”入侵，更首创性的提供内网资产风险识别功能，让用户对内网易受攻击资产进行风险提前评估和预警，双向安全，双向保障。即作为事中安全拦截设备，又作为事前风险防范设备，为用户在安全投资不变的情况下提供一举两得的加强安全效应。 ? 先进的云端安全管理模式

业界首创的云端安全管理模式，对传统防火墙及业界其它下一代防火墙产品，在运维服

务模式上迈出了崭新的一步。绿盟科技凭借多年对用户安全攻防服务经验的积累，分析沉淀国际及国内市场的用户需求趋势，深刻把脉真正下一代安全的未来走向，通过构造云端安全管理平台，让用户在便捷、高效安全管理上有了全新的体验，极大减免了用户的安全运维投入，从而有能力在应对不断增长变化的威胁攻击中百战不殆，游刃有余。 ? 全面支持IPv6

绿盟防火墙使用双协议栈(dual stack)架构，支持IPv6/IPv4双协议栈功能，能同时辨识IPv4和IPv6通讯流量。多种隧道模式的支持，确保IPv6过渡时代的网络通畅。IPv6环境下攻击检测技术和基于IPv6地址格式的安全控制策略，为IPv6环境提供了完善的安全防护。 ? 细致的应用层控制手段

图 3.2 应用控制

传统防火墙的访问控制或流量管理粒度粗放，只能基于IP/端口号对数据流量进行一刀切式的禁止或允许。NF基于卓越的应用和用户识别能力，对数据流量和访问来源进行精细化辨

识和分类，使得用户可以轻易从同一个端口协议的数据流量中辨识出任意多种不同的应用，或从无意无序的IP地址中辨识出有意义的用户身份信息，从而针对识别出的应用和用户施加细粒度、有区别的访问控制策略、流量管理策略和安全扫描策略，保障了用户最直接、准确、精细的管理愿望和控制诉求。

例如，允许HTTP网页访问顺利进行，并且保证高访问带宽，但是不允许同样基于HTTP协议的视频流量通过；允许通过QQ进行即时通信，但是不允许通过QQ传输文件；允许邮件传输，但需要进行防病毒扫描或敏感信息过滤，如发现有病毒入侵或泄密事件马上阻断，等等。

? 卓越的应用层安全处理性能

CPUL2/L3解码核 #1数通路由/NATCPU核 #1入侵防御Web安全病毒防护内容安全引擎VPN/HA安全引擎用户识别CPUL2/L3解码核 #2数通路由/NATCPU核 #2应用识别入侵防御Web安全病毒防护内容安全高速数据包处理平台引擎VPN/HA安全引擎用户识别CPUL2/L3解码核 #3数通路由/NATCPU核 #3应用识别安全引擎入侵防御Web安全病毒防护内容安全引擎VPN/HA用户识别CPUL2/L3解码核 #n数通路由/NATCPU核 #n应用识别安全引擎入侵防御Web安全病毒防护内容安全引擎VPN/HA用户识别应用识别 图 3.3 双引擎多核并发

NF构筑在新一代64位多核并发，高速硬件平台之上，拥有业界独有的数通、安全双引擎设计模式。双引擎多核并发的高速运行在多个CPU核心之上，各司其职，不仅保证了基础网络数据包的高速转发，更加确保了应用层安全处理的高性能。

不仅于此，NF采用的高速数据包处理技术专门针对I/O密集型网络设计。它为上层安全服务和底层硬件平台提供了一个高速通信隧道，极大提升了平台安全处理性能和吞吐率，使下一代防火墙设备在安全处理性能上有了一个质的飞跃。

3.3.1.3 方案价值

内网和互联网区之间部署下一代防火墙可发挥如下作用：基于应用/用户识别的访问控制、流量控制、上网行为管理、SNAT转发、ISP链路负载均衡、安全威胁阻断等；在互联网与DMZ区之间可发挥如下作用：访问控制、DNAT、服务器负载均衡、基于应用/户识别的流量

控制、安全威胁阻断等。在内网区的用户与服务器群之间可发挥如下作用：访问控制、基于应用和用户识别的流量控制、访问行为记录审计等功能。部署在边界的下一代防火墙可根据用户稳定性需求，提供网络容灾备份方案，保证用户网络安全访问无中断。

下一代防火墙具有带宽管理及控制能力、连接完整性检测能力、重要网段保护能力。包含有内容过滤、访问控制等功能，满足信息安全等级保护保护技术要求。

3.3.2 边界入侵防护

3.3.2.1 边界抗拒绝服务

3.3.2.1.1 防护需求

日益猖獗的DDOS攻击、越来越简单的僵尸网络攻击工具、日渐成熟的灰色地下交易链条，给互联网信息系统带来了沉重的危害，常见的DDOS攻击影响有：

? ?

网络遭受DDOS攻击导致网络出口或内网互联通信链路的带宽达到饱和； 内网设备（如交换机、路由器、服务器、防火墙等）遭受DDoS攻击，攻击流量超

出目标设备承受能力，导致它们无法提供合法流量； ? 务。 ?

对网络中没有直接遭受攻击的部分造成间接破坏。

服务器或主机遭受应用层DDOS攻击，导致CPU处理能力饱和，无法对外提供服

根据对来自广域网边界的风险分析，主要存在以下几个方面的需求：

? 需对流入广域网网络的流量进行分析，识别其中的各类攻击流量；

? 对流量型DDoS攻击（如SYN Flood、UDP Flood、ICMP Flood、ACK Flood等）

进行有效过滤，保护通信链路带宽及内网设备不受攻击影响；

? 对应用层的DoS攻击（如Http Get Flood、连接耗尽、CC等）进行有效过滤，保证

服务器或主机性能不受攻击影响。

【相关规范要求】

《GB/T 22239-2008信息系统安全等级保护基本要求》 7.1.2.2访问控制（G3）

本项要求包括：

e)应限制网络最大流量数及网络连接数；

7.1.2.5 网络安全-入侵防范（G3）

本项要求包括：

a) 应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等；

b) 当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目的、攻击时间，在发生严重入侵事件时应提供报警。

7.1.3.5主机安全-入侵防范（G3）

本项要求包括：

应能够检测到对重要服务器进行入侵的行为，能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警；

3.3.2.1.2 解决方案

根据以上需求，设计在外网出口边界部署一台抗拒绝服务系统（ADS）来实现。针对目前流行的DDoS攻击以及未知的攻击形式，通过ADS及时发现背景流量中的攻击行为，迅速对攻击流量进行过滤，确保正常业务的可用性。详见“整体部署拓扑图”。

【技术实现】

本方案推荐选用绿盟科技抗拒绝服务系统（ADS）来部署实现。

绿盟抗拒绝服务产品基于嵌入式系统设计，在系统核心实现了防御拒绝服务攻击的算法，创造性地将算法实现在协议栈的最底层，避免了TCP/UDP/IP等高层系统网络堆栈的处理，使整个运算代价大大降低，并结合特有硬件加速运算，因此系统效率极高。该方案的核心技术架构如下图所示。

绿盟抗拒绝服务系统核心架构

绿盟抗拒绝服务系统具有以下功能亮点

? 反欺骗——绿盟Anti-DDoS技术将会对数据包源地址和端口的正确性进行验证，同

时还对流量在统计和分析的基础上提供针对性的反向探测。

?

协议栈行为模式分析——根据协议包类型判断其是否符合RFC规定，若发现异常，

则立即启动统计分析机制；随后针对不同的协议，采用绿盟专有的协议栈行为模式分析算法决定是否对数据包进行过滤、限制或放行。

?

特定应用防护——ADS产品还会根据某些特殊协议类型，诸如DNS、HTTP、VOIP

SIP等，启用分析模式算法机制，进一步对不同协议类型的DDoS攻击进行防护。

?

用户行为模式分析——网络上的真实业务流量往往含有大量的背景噪声，这体现了

网络流量的随机性；而攻击者或攻击程序，为了提高攻击的效率，往往采用较为固定的负载进行攻击。ADS产品对用户的行为模式进行统计、跟踪和分析，分辨出真实业务浏览，并对攻击流量进行带宽限制和信誉惩罚。

?

动态指纹识别——作为一种通用算法，指纹识别和协议无关，绿盟Anti-DDoS技术

采用滑动窗口对数据包负载的特定字节范围进行统计，采用模式识别算法计算攻击包的特征。对匹配指纹特征的攻击包进行带宽限制和信誉惩罚。

? ?

带宽控制——对经过系统净化的流量进行整形输出，减轻对下游网络系统的压力。 地理位置过滤——攻击者虽然可以利用全球的肉鸡发起DDoS攻击，但是企业和防

护的客户对可以根据自身业务的情况明确业务流量来源，从而根据源IP地理位置过滤攻击，实现快速有效的保护。

?

云信誉——绿盟云信誉平台通过集合全系列安全产品的发现与验证，从获取的全球

流量中进行信誉等级的评定。ADS产品通过与云信誉平台联动可以及时掌握肉鸡数据并进行拦截防护。

【选型优势】 1. ?

产品技术最好，防护效果好

最早研究DDoS攻击&防护（2000年）的企业，2001年推出首款“黑洞”产品，

至今积累时间最长，防护水平代表全球最高水平。

? 护。

?

支持抓包取证，通过抓包分析进行深度防范，为电子取证提供依据，对DDoS攻击防护技术算法最丰富。如针对CC攻击提供7种防护算法，满足各种攻击特点的防

产生威慑。

?

根据DDoS防护需求不同的特点，能够提供防护群组功能，对用户加以区分，并对

不同的用户组提供细粒度的防护策略。

2.

产品应用最广泛，成熟度高：

在中国国内市场占有率第一，唯一覆盖全行业应用。产品在国家骨干网、国干互联互通口、城域网、各类IDC、金融、政府、科研网、互联网服务器前等都有大量设备部署应用，产品稳定性好，业内口碑好。

3. ?

最专业的服务，产品支撑好：

专业安全公司，具有独立攻防研究团队和安全支持人员，安全持续投入有保障。

? 全国各地的本地化安全支持：响应快，服务态度好。

3.3.2.1.3 方案价值

通过在广域网边界部署流量清洗系统，能够发现流入单位网络流量中各种类型的DDOS攻击，迅速对攻击流量进行过滤或旁路，保证正常流量的通过，提高用户网络的安全性和业务的稳定性。该方案解决的问题包括：

? 通过流量清洗系统的异常流量分析功能，实现对流入单位内部网络的流量分析，能

够识别其中的各类攻击流量；

? 通过流量清洗系统的攻击防护功能，实现对流量型DDoS攻击（如SYN Flood、UDP

Flood、ICMP Flood、ACK Flood等）的有效过滤，保护通信链路带宽及内网设备不受攻击影响；

? 通过流量清洗系统的攻击防护功能，实现对应用层的DoS攻击（如Http Get Flood、

连接耗尽、CC等）的有效过滤，保证服务器或主机性能不受攻击影响。

3.3.2.2 边界黑客入侵防护

3.3.2.2.1 防护需求

随着越来越多的系统本身漏洞以及应用系统的漏洞被发现，以及攻击者的入侵方式更加隐蔽，新的攻击方式层出不穷，所以单纯的依靠防火墙已经无法完全防御不断变化的入侵攻击的发生。

传统的防火墙主要有以下的不足：

? 防火墙作为访问控制设备，无法检测或拦截嵌入到普通流量中的恶意攻击代码，比

如针对具体应用或系统的攻击等。 ? 防火墙无法发现内部网络中的攻击行为。

本文来源：https://www.bwwdw.com/article/ghb7.html