信息安全风险管理概述

于 2023-03-08 21:35:27 发布
阅读量654 收藏 3
点赞数
分类专栏: 信息安全 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011332540/article/details/129410999
版权

风险管理

风险管理 是信息系统管理人员用于平衡其信息和信息系统保护措施的运营和经济成本, 用有效保护程序的使用带来能力收益和对组织任务支持的提高的过程.

风险管理是信息系统安全管理方法的新模式, 保证信息系统安全的最佳方法就是对信息系统进行风险管理.

风险管理是指识别和控制机构面临的风险的过程.

风险管理是(建立语境, 评估风险, 按风险处置计划)进行风险处置以实现相关建议和决策. 为将风险降低至可接受水平, 在决定做什么和什么时候做之前, 分析可能发生什么和可能的后果是什么.

风险管理的主要组成:

  1. 风险识别
  2. 风险评估
  3. 风险控制

风险管理核心标准

以下是传统风险管理有关的标准:

  • 国内:

    • GB/T 31722-2015: 信息技术 安全技术 信息安全风险管理

      此标准是对国际标准(ISO/IEC 27005-2008)的转化.

      包含了 (风险识别(语境建立), 风险评估, 风险处置, 风险接受, 风险沟通, 风险监视评审) 等内容, 采用此标准可以替代 GB/T 20984-2007 和 GB/T 24364-2009 标准.

    • GB/T 20984-2007: 信息安全技术 信息安全风险评估规范

    • GB/T 24364-2009: 信息安全技术 信息安全风险管理指南

    • GB/T 31509-2015: 信息安全技术 信息安全风险评估实施指南

    • GB/T 33132-2016: 信息安全技术 信息安全风险处置实施指南

    • GB/T 22080-2008: 信息技术 安全技术 信息安全管理体系要求

      对 ISO/IEC 27001-2005 的本地化.

    • GB/T 22081-2008: 信息技术 安全技术 信息安全管理使用规则

      对 ISO/IEC 27002-2005 的本地化.

    • GB/T 25067-2010: 信息技术 安全技术 信息安全管理体系认证机构认可要求

      对 ISO/IEC 27006-2007 的本地化.

  • 国际:
    • ISO/IEC 27005-2018: 信息技术-安全技术-信息安全风险管理
    • ISO/IEC 27001-2013: 信息技术-安全技术-信息安全管理系统-要求.
    • ISO 31000-2018: 风险管理-原则和指导
  • 美国:

    • NIST SP800-161: 联邦信息系统和组织供应链风险管理实践(2015). 沿用 NIST SP800-39.

    • NIST SP800-39: 管理信息系统风险: 组织, 任务, 信息系统视角(2013).

      分为 (组织, 任务/业务, 信息系统) 三个层次, 没有信息安全风险评估/管理过程(GB/T36637-2018 有). 参考了 NIST SP800-53 里的很多内容.

    • NIST SP800-53: 联邦信息系统和组织隐私与安全控制.

ISO 13335 系列标准

包含 13335-1 到 13335-5, 信息和通信技术的安全管理.

ISO 27000 信息安全管理体系标准族

信息安全管理体系 (Information security management systems, ISMS) 标准族是国际信息安全风险管理标准体系的重要组成部分.

ISO 标准里 27xxx 的文档都是属于信息安全的标准, ISO 27000 标准族的发展很快, 随着发展, 其中的内容有时会与 NIST 标准出现不兼容, 安全原则会不同. 在构建 IT 安全系统时需要注意.

NIST(美国国家标准与技术研究院) 信息安全标准

NIST 的文档主要用来服务于美国政府, 但其中一些内容可能也对其他一些组织有帮助, 比如 ISO 13335-x (信息安全管理指导, Guidelines for the Management of Information Technology Security, GMITS).

NIST 出版的关于信息安全的标准有好几个系列:

  • 联邦信息处理标准(Federal Information Processing Standards, FIPS): 安全标准.
  • NIST 特别出版物(NIST Special Publications, SPs): 安全指导和建议, 有两个子系列:
    • SP 800-系列, 有关于计算机安全.
    • SP 500-系列 的有关计算机安全部分.
  • NIST 机构间或因特网报告(NIST Interagency or Internal Report, NISTIRs).
  • 信息技术实验室(Information Technology Laboratory, ITL)简报.

这些系列中(NIST SP, NIST IR, NIST ITL 简报)只有少量关于风险管理的内容.

风险管理新标准

随着新技术的出现(大数据, 云计算, 物联网, 移动互联), 新的安全问题也不断出现, 相关标准不足以支撑当前网络安全要求, 各国各组织继而推出新的标准.

  • 国内:
    • GB/T 36637-2018: 信息安全技术 ICT 供应链安全风险管理指南
    • 个人信息安全风险评估指南(在研)
    • 大数据业务安全风险控制实施指南(在研)
    • 工业控制系统风险评估实施指南(在研)
    • 云计算安全风险评估实施指南(在研)
    • 区块链安全风险评估指南(在研)
  • 国际:
    • ISO/IEC 27036: 供应商关系中的信息安全

概念术语

  • 不可抵赖性(non-repudiation): 能够证明一个事件或动作来自原始实体.

  • 脆弱性(vulnerability): 对系统防护不足导致存在的潜在弱点.

  • 认证性(authenticity): 表示实体和他声称的信息一致的属性.

  • 可用性(availability): 表示已授权的实体对其可用和可访问的属性.

  • 机密性(confidentiality)

  • 完整性(integrity)

  • 目标(objective): 要实现的结果.

  • 组织(organization): 一个或一组要实现目标的人, 每个人有自己的职责, 权利, 联系.

  • 威胁(Threat): 可能对组织或资产造成不良后果的潜在事件.

  • 风险(risk): 威胁可能造成的损害和概率.

  • 信息安全管理体系 (Information security management systems, ISMS): ISMS 是由(策略, 过程步骤, 指南, 相关资源)部分组成的.

    • ISMS 用来(建立, 实现, 运营, 监控, 审查, 维护, 提高)一个组织的安全性.
    • 基于风险评估风险可接受等级有效的应对威胁管理风险.

  • 访问控制(access control): 确保进行的访问是授权的, 并由安全要求进行限制.

  • 要求(requirement): 必须或期望的声明.

  • 策略(policy): 组织的意图和指示. 通常由顶层管理制定.

  • 顶层管理(top management): 一个或一组作为最高级别指导和控制组织的人.

  • 攻击(attack): 试图进行(毁坏, 泄漏, 更改, 瘫痪, 窃取, 未授权访问)的行为.

  • 审计(audit): 系统的, 独立的, 留下记录的进程. 用来获得审计证据并通过客观评估判断当前程度满足哪个审计标准.

  • 进程(process): 将输入转化为输出的一组相互关联或相互作用的活动.

  • 审计作用域(audit scope): 进行审计的范围和深度.

  • 认证(authentication): 提供对一个实体的角色是正确的保证.

  • 遵从(conformity): 完全满足要求.

  • 监控(monitoring): 确定(系统 或 进程 或 活动)的状态.

  • 审查(review): 确定(合适性, 满足性, 有效性)等因素是否满足已经设立的目标.

  • ISMS 专家(ISMS professional): 懂得(建立, 实现, 维护, 持续改进)一个或多个 ISMS 进程的人.

  • 风险等级(level of risk): 表示风险的重要性.

  • 管理系统(management system): 相互关联或在组织中相互作用的部分, 建立策略, 目标进程 用以实现这些目标.

  • 残留风险(resiaul risk): 在风险处理后剩下的风险.

  • 风险管理(risk management): 用来指导和控制组织有关风险的协调活动.

  • 风险管理进程(risk management process): 管理策略的系统级应用程序, 对(通信, 查询, 建立)上下文的活动进行处理, 并(识别, 分析, 评估, 处理, 监控, 审查) 风险.

  • 风险判定(risk assessment): 关于(风险识别, 风险分析, 风险评估)的所有进程.

  • 风险识别(risk identification): 查找, 识别和描述风险进程.

  • 风险分析(risk analysis): 理解风险本质并决定风险等级进程.

  • 风险评估(risk evaluation): 使用风险标准比对风险分析结果判断风险的重要性是否可容忍或接受.

  • 风险标准(risk criteria): 给风险做评估的参考(可以是策略, 或要求).

  • 风险处理(risk treatment): 用于修复风险进程.

  • 风险接受(risk acceptance): 承认接受一个特定的风险. 被接受的风险将不受监控审查.

  • 系统开发生命周期(system development life cycle, SDLC).

国内风险管理框架

框架管理组成:

  1. 语境建立
  2. 风险评估
    • 风险分析
      • 风险识别
      • 风险估算
    • 风险评价
  3. 风险处置
  4. 风险接受
  5. 风险沟通
  6. 风险监视和评审
  7. 两个决策点: 评价是否满意 和 处置是否满意

与 ISMS 过程对照:

ISMS 过程信息安全风险管理过程
规划语境建立
风险评估
风险处置计划制定
风险接受
实施风险处置计划实施
检查持续的风险监视与评审
处置信息安全风险管理过程保持与改进

管理过程

风险沟通 风险监视与评审 语境建立 风险识别 风险估算 风险评价 风险处置 风险接受 风险分析 风险评估 风险决策点 1 评估是否满意 风险决策点 2 处置是否满意 第一次或后续迭代的终点
  • 首先建立语境, 然后进行风险评估. 如果风险评估提供了足够的信息, 能确定有效地让风险降低至可接受水平的行动. 则结束该风险评估, 进行风险处置. 如果提供的信息不够充分, 则对语境重新进行修订(决策点1 的 “否” 分支), 进行另一次迭代. 此次迭代可能是在整个范围的有限部分上进行.
  • 风险处置的有效性取决于风险评估的结果. 风险处置后的残余风险可能不会立即到达一个可接受的水平, 这种情况下必要时可以对语境进行重新修订(决策点2 的 “否” 分支), 进行另一次迭代.
  • 在任何阶段进行风险沟通是非常有价值的, 可以将风险和处置传达至适当的管理者和运行人员.
  • 风险监视和评审是从风险管理活动中获得所有风险信息, 监视和评审风险产生风险的因素(如资产价值, 影响, 威胁, 脆弱性, 发生概率), 在早期阶段识别出组织的语境中的变化, 保持对整个风险状况的总体了解.

影响语境的因素

  • 风险评价准则
  • 风险接受准则
  • 风险影响准则

关于风险接受

风险接受活动要保证残余风险组织管理者明确地接受, 在受其他因素如成本而省略或推迟实施措施的情况下, 这点尤为重要.

其他重点

  • 风险管理过期中, 要将风险及其处置传达到适当的管理和运行人员.
  • 即使是风险处置前已识别的风险信息, 也可能对管理事件非常有价值.
  • 管理者和员工的(风险意识, 现有的缓解风险的控制措施的性质)和组织关注的领域, 均有助于以最有效的方式处理事件和意外情况.
  • 风险管理过程的美国活动以及两个风险决策点的详细结果最好记录在案.

美国 NIST RMF 框架 (NIST SP800-37r2)

RMF 通过在信息系统中推广安全开发和隐私功能凸显出风险管理, 推广贯穿整个系统开发的生命周期.

RMF 步骤

预备阶段: 为组织管理安全和隐私风险做准备的基础活动.

  • 分类(Categorize): 对系统, (处理的, 储存的, 传输的)信息进行分类, 分类基于影响分析.
  • 选择(Select): 在 NISP SP 800-53 里选择一组基于风险评估的要用来保护系统的控制权.
  • 实现(Implement): 实现控制权系统并记录是如何部署的.
  • 评估(Assess): 对控制权是否适当, 运行是否按预期, 结果是否如愿等进行评估.
  • 授权(Authorize): 管理者基于风险做出的对系统授权的决定.
  • 监视(Monitor): 持续地对系统监视控制权的执行和风险.

风险评估细节

风险评估是运用科学的分析方法和手段, 系统地分析信息化业务和信息系统所面临的人为和自然的威胁以及脆弱性.

过程

  1. 资产识别: 资产是对组织有价值的信息资源, 是安全策略保护的对象.

    资产可分为: 数据, 软件, 硬件, 文档, 服务, 人员 等.

    根据资产的重要性可赋予不同等级, 并可指定资产(机密性, 完整性, 可用性)等属性. 对这些属性的赋值过程也就是分析过程.

  2. 威胁识别: 威胁总是通过某种具体的途径作用到特定的信息资产之上, 并破坏资产的一个或多个安全属性.

    主要是识别被评估组织的关键资产的直接或间接威胁, 并进行分类和赋值.

  3. 脆弱性识别: 脆弱性是对一个或多个资产弱点的总称.

    脆弱性识别方法一: 根据每个资产分别识别其弱点, 然后综合评价该资产的脆弱性.

    脆弱性识别方法二: 按(物理, 网络, 系统, 应用)等层次进行识别, 然后与资产和威胁结合起来. 比如识别(物理环境, 服务器, 网络结构, 数据库, 应用系统, 技术管理, 组织管理)等的脆弱性.

  4. 已有安全措施的确认: 对已有的安全措施的有效性进行确认, 为后续的风险分析提供参考.

  5. 风险分析: 完成了前面的工作后, 进行风险分析, 主要工作是完成风险的分析和计算.

风险分析原始信息获取手段

  • 问卷调查表
  • 实地收集
  • 使用辅助工具: 如网络和系统检测, 扫描, 监控工具.
  • 文档审查

风险分析方法

  1. 基于知识的风险分析方法: 依据经验行事, 通常在管理层用的较多, 对技术涉及较少.
  2. 基于技术的风险分析方法: 对组织的技术基础结构和程序进行系统和及时的检查, 对组织内部计算环境的安全性和对内外攻击的脆弱性进行估计.
  3. 定量分析方法: 将资产价值和风险等量化为财务值进行计算.
  4. 定性分析方法: 根据企业本身历史事件, 社会同类型企业的类似安全事件的统计和专家经验, 并通过内部讨论确定资产的价值权重, 再通过计算得到某资产风险的近似大小.

风险计算方式

  • 结构化风险计算方式:

    • 线性相乘法

      R = A ⋅ T ⋅ V R = A\cdot T \cdot V R=ATV

      R 是风险, A 是资产, T 是威胁, V 是脆弱性. 首先对资产, 威胁, 脆弱性赋值, 然后线性相乘得到风险值, 最后量化为风险等级.

      优点是简单. 缺点是不全面, 缺乏客观性.

    • 风险矩阵测量

    • 威胁分级法

  • 非结构化风险计算方式:
    • 威胁分析法
    • 调查问卷法

参考

黎哩吖
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
信息安全风险评估
Xing___wei的博客
03-08 9304
信息安全风险评估风险评估流程一.评估准备1.1确定评估目标1.2确定评估范围1.3组建评估团队1.4评估工作启动会议1.5系统调研1.6确定评估依据1.7确定评估工具1.8制定评估方案二.风险要素识别2.1实施流程2.2资产识别2.2.1资产调查2.2.2资产分类2.2.3资产赋值2.3威胁识别2.3.1威胁评估2.3.2威胁分类2.3.3威胁赋值2.4脆弱性识别2.4.1脆弱性评估2.4.2脆弱性赋值2.5已有安全措施确认三.风险分析3.1风险分析模型3.2风险计算方法3.2.1计算安全事件可能性3.2.
信息安全概述
weixin_45629738的博客
05-30 9755
一 、信息安全基本概念 1. 信息安全的含义 影响信息的正常存储、传输和使用,以及不良信息的散布问题属于信息安全问题。 ISO提出信息安全的定义是:为数据处理系统建立和采取的技术及管理保护,保护计算机硬件、软件、数据不因偶然及恶意的原因而遭到破坏、更改和泄漏。 2. 信息安全问题分为三个层次 (1)信息自身安全性; (2)信息系统安全性; (3)某些信息的传播对社会造成的不良影响 3. 信息安全的作用和地位 (1)关乎经济发展 (2)关乎社会稳定 (3)关乎国家稳定 (4)关乎公众权益 4. 商业组
ISO IEC 27005-2018 信息技术 安全技术 信息安全风险管理--中译本.pdf
12-10
ISO IEC 27005-2018 信息技术 安全技术 信息安全风险管理--中译本ISO IEC 27005-2018 信息技术 安全技术 信息安全风险管理--中译本
信息系统安全管理以及风险管理
weixin_34184561的博客
10-27 921
变更管理1、变更的工作程序;a. 提出与接受变更申请b. 对变更的初审c. 变更方案论证d. 项目变更控制委员会审查e. 发出变更通知并开始实施f. 变更实施的监控g. 变更效果的苹果h. 判断发生变更后的项目是否已纳入正常轨道2、变更初审的4条内容;a.对变更提出方施加影响,确认变更的必要性,确保变更是有价值的b.格...
网络信息安全安全风险管理
热门推荐
学而思(xiejava的blog)
04-19 1万+
在信息时代,信息已经成为第一战略资源,信息对组织使命的完成、组织目标的实现起着至关重要的作用,因此信息资产的安全是关系到该组织能否完成其使命的重大因素。资产与风险是对矛盾共同体,资产价值越高,面临的风险就越大。而对于目前的组织机构而言,由于组织的业务运营越来越依赖于信息资产,信息安全相关风险在组织整体风险中所占的比例也越来越高。信息安全风险管理的目的就是将风险控制到可接受的程度,保护信息及其相关资产,最终保障组织能够完成其使命,实现其目标。
NIST SP800-39.pdf
02-14
INTRODUCTION THE NEED FOR INTEGRATED ORGANIZATION-WIDE RISK MANAGEMENT nformation technology is widely recognized as the engine that drives the U.S. economy, giving industry a competitive advantage in global markets, enabling the federal government to provide better services to its citizens, and facilitating greater productivity as a nation. Organizations5 in the public and private sectors depend on technology-intensive information systems6 to successfully carry out their missions and business functions. Information systems can include diverse entities ranging from high-end supercomputers, workstations, personal computers, cellular telephones, and personal digital assistants to very specialized systems (e.g., weapons systems, telecommunications systems, industrial/process control systems, and environmental control systems). Information systems are subject to serious threats that can have adverse effects on organizational operations (i.e., missions, functions, image, or reputation), organizational assets, individuals, other organizations, and the Nation by exploiting both known and unknown vulnerabilities to compromise the confidentiality, integrity, or availability of the information being processed, stored, or transmitted by those systems. Threats to information and information systems can include purposeful attacks, environmental disruptions, and human/machine errors and result in great harm to the national and economic security interests of the United States. Therefore, it is imperative that leaders and managers at all levels understand their responsibilities and are held accountable for managing information security risk—that is, the risk associated with the operation and use of information systems that support the missions and business functions of their organizations.
信息安全风险评估南_NIST评估信息安全持续监控项目南:评估方法(一)...
weixin_39545895的博客
12-04 1115
为了有效地管理网络安全风险,组织需要持续了解自己的信息安全状况、漏洞和威胁。要获取这种信息以及更有效地管理风险,组织可以信息安全持续监控(ISCM)项目为导,实现信息安全持续监控能力。ISCM项目对ISCM进行定义,组建相关团队,全面实施并运营ISCM,为组织提供必要信息,促使组织各风险管理级别(组织级、任务/业务流程级和系统级)就安全状况做出基于风险的决策。《NIST评估信息安全持续监控(IS...
信息安全管理
sparename的博客
09-01 2989
信息安全管理一、信息安全管理概述二、信息安全风险管理1、信息安全风险2、风险管理三、信息安全事件与应急响应1、信息安全事件2、信息安全应急响应3、信息安全应急响应管理过程 一、信息安全管理概述 信息安全管理( Information Security Management ISM) ◆ISM是管理者为实现信息安全目标(如信息资产的CIA等特性、业务运行的持续性)而进行计划、组织挥、协调和控制的一系列活动。 ◆ISM管理对象是组织的信息及相关资产,包括信息人员、软件等,同时还包括信息安全目标、信息安全组织架
NISP-信息安全管理概述
CH_wu9的博客
09-18 642
文章目录NISP-信息安全管理概述1.信息安全管理定义2.管理对象3.管理的目的4.信息安全管理实现的因素 NISP-信息安全管理概述 1.信息安全管理定义 是管理者为实现信息安全目标(如信息资产的CIA等特性,业务运行的连续性)而进行的计划,组织,挥,协调和控制的一系列活动 2.管理对象 组织的信息及相关资产(包括信息,人员,软件等) 同时还包括信息安全目标,信息安全组织架构,信息安全策...
NIST SP800-181 NICE 网络空间安全人才框架(NCWF)-中文
05-10
NIST SP800-181 网络空间安全人才框架 NCWF,National Initiative for CybersecurityEducation (NICE)中文译本
NIST SP 800-193(中文)
12-07
这个出版已经由NIST依照法定职责根据联邦信息安全现代化法案》(FISMA) 2014年44事项§3551节。,公法(P.L.) 113-283。NIST负责制定信息安全标准和南,包括对联邦信息系统的最低要求,但这些标准和南不应适用于国家安全系统,除非获得对这些系统行使政策权力的适当联邦官员的明确批准。该准则符合管理和预算厅(管理和预算厅)通告A-130的要求
信息安全测试评估技术南NIST SP 800-115
08-26
NIST SP 800-115,这是2008年更新的版本,用于取代老版本NIST SP 800-42,目前尚有一些书籍仍推荐的800-42,略微显得过时
NIST SP800-37.pdf
02-14
T • Enabling more consistent, comparable, and repeatable assessments of security controls in federal information systems; • Promoting a better understanding of agency-related mission risks resulting from the operation of information systems; and • Creating more complete, reliable, and trustworthy information for authorizing officials—to facilitate more informed security accreditation decisions. Security certification and accreditation are important activities that support a risk management process and are an integral part of an agency’s information security program. Security accreditation is the official management decision given by a senior agency official to authorize operation of an information system and to explicitly accept the risk to agency operations, agency assets, or individuals based on the implementation of an agreed-upon set of security controls. Required by OMB Circular A-130, Appendix III, security accreditation provides a form of quality control and challenges managers and technical staffs at all levels to implement the most effective security controls possible in an information system, given mission requirements, technical constraints, operational constraints, and cost/schedule constraints. By accrediting an information system, an agency official accepts responsibility for the security of the system and is fully accountable for any adverse impacts to the agency if a breach of security occurs. Thus, responsibility and accountability are core principles that characterize security accreditation. It is essential that agency officials have the most complete, accurate, and trustworthy information possible on the security status of their information systems in order to make timely, credible, risk-based decisions on whether to authorize operation of those systems. The information and supporting evidence needed for security accreditation is developed during a detailed security review of an information system, typically referred to as security certification. Security certification is a comprehensive assessment of the management, operational, and technical security controls in an information system, made in support of security accreditation, to determine the extent to which the controls are implemented correctly, operating as intended, and producing the desired outcome with respect to meeting the security requirements for the system. The results of a security certification are used to reassess the risks and update the system security plan, thus providing the factual basis for an authorizing official to render a security accreditation decision.
安全风险管理.pdf
08-25
C、风险管理概述和重要性 D、风险管理策略和团队、职责 E、风险管理框架和步骤 • A、GRC概述 • B、知识产权和许可 • C、隐私相关法律 • D、(ISC)2 道德规范 • A、风险评估定义 • B、风险评估团队 • C、风险...
网络安全风险管理分析报告模板.doc
06-02
网络安全风险管理分析报告是企业信息安全管理中的一项重要组成部分,旨在帮助企业识别、评估和缓解网络安全风险。下面是基于提供的文件内容,总结出的相关知识点: 一、网络安全风险管理的重要性 网络安全风险管理...
信息安全风险评估报告.pdf
04-11
3.1.1 信息资产识别概述 ............................................................................................................ 6 3.1.2 信息资产识别 .................................................
信息安全风险评估报告(模板).pdf
04-11
1. 风险评估项目概述 ................................................................ 错误!未定义书签。 1.1. 建设项目基本信息 .......................................................... 错误!未定义...
信息安全技术公司风险评估概述.ppt
09-21
信息安全技术公司风险评估概述.ppt
高等院校信息安全保密管理体系文件样例pdf
最新发布
11-15
它不仅规定了具体的管理要求和程序,还为高等院校提供了一套完整的信息安全管理体系文件样例,使其能够更好地制定和执行信息安全保密管理计划,提高信息资产的保护能力,有效防范和处置各类信息安全风险和事件,保障...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值