前言
作者:武天旭,注册信息安全专家,CSDN安全博客专家。
我本科毕业后的第一家公司是安全行业内非常有名的一家乙方公司,但入职后我才发现,乙方的工作并不是我想象的类型,同时它的离职率也非常高,原因就不多说了,仅仅两年后我也对它说了拜拜(其中一年还是实习)。2018年7月,我有幸来到我的前东家,一个后来在美股上市的公司。彼时公司整体规模已经接近600人,且业务处于疯狂膨胀发展中,但公司安全部才刚刚成立,安全工作处于一切都还没有开始的阶段,于是我非常幸运的从0参与了整个公司的安全体系建设。两年后的今天,我来到我现在的东家,负责公司的安全部,主导公司的安全架构设计和体系建设,因此开始分享自己的甲方安全体系建设思路与建设经验。
在第二家公司我整整干了两年,在这两年的职业生涯里,最大的收获就是练就了自己的全局观。要站在一个更高的角度看待甲方安全,首先要知道甲方安全有哪些方向以及每个安全方向都做什么,要知道安全的每个方向都做什么最好的办法就是动手去做,在这两年的职业生涯中,我撸过硕博论文落地,写过代码,做过合规,搞过渗透,填过问卷,玩过运营……在整个团队中属于做的最杂的,承接了许多无聊到别人不愿意做的工作,但是我却从中学习到了别人学习不到的东西,那就是甲方安全的整体画像。
两年后,公司已经有接近2000人的规模,而我选择了离开,去了一家年轻且富有前景的公司,做了安全部主管,顺利通过试用期并拿到了高绩效,在这里,我将带着我的团队,承载我的愿景,开启新的征程!
我设计的企业安全体系架构
经过一年的不懈努力,我和我的团队基本完成了公司信息安全体系的初步建设,虽然这其中还有些许不足,同时也还有很多更高级的东西需要安全团队未来有实力之后才能去做,但作为一个小团队,我认为我们是一支优秀的安全团队!
在公司信息安全体系初步建设完成的背景下,我决定将它分享出来与大家共同探讨学习,欢迎大家提出宝贵建议!
我设计的安全体系架构分为六大块:安全开发体系、安全防御体系、数据安全体系、隐私合规体系、资产管理体系、安全管理体系,六大体系共同构成了完整的信息安全体系。
安全架构
企业隐私合规体系建设总结
一
隐私合规体系介绍
隐私合规体系是以法律法规要求为指引来建设的,目前随着中国以及全球各地推出的隐私和数据保护法律法规不断增多,企业面临的合规压力也将不断增大,这些法律法规将要求各个公司采取多区域合规性战略来确保消费者隐私和个人数据安全,同时,企业已经无法忽视这些隐私法律法规的存在,从财务角度来看,GDPR的罚款上限为上年度营业额的4%或2000万欧元取其高,而国内的个人信息保护法的罚款上限为上年度营业额的5%或5000万人民币取其高。这对于中小型企业来说,一旦遭受最高罚款那将是致命的打击。
虽然这些巨额罚款是极端事件,但即便抛开罚款,被监管机构通报对企业来说也是具有很大杀伤力的,目前国家网信办和各省通管局已经通报了N款不合规APP了,这些通报除了会严重影响企业声誉,还可能让企业面临消费者的不信任危机,如果消费者不信任企业可以保护他们的隐私,企业的销售和营销能力将会受到影响,从而影响企业的业务拓展,进而影响企业的业务收入。
在实践中,出于人力资源限制考虑,这里的隐私合规体系主要是针对业务的,并非针对全公司的旮旯拐角。从体系划分上讲,一贯秉承先做好了再拿证这一思想,将其划分为合规基础、管理合规、技术合规、合规认证四大块;从合规落地上讲,实际在落地层面有很多内容是融合进安全开发体系与数据安全体系的,这个具体会在后面论述中讲到。
最后谈谈别的,博主是技术出身,又兼具隐私合规能力,做过安全负责人,站在更高的角度看,对一般企业来说,信息安全这一块是很难被老板重视的,而隐私合规这一块则是很难被信息安全团队重视的,这大概是因为它的非技术属性吧,那么隐私合规对于企业来说,就是不被重视的平方,超级边缘业务。但博主却更看好隐私合规这个行业的未来前景,同时也看好既精通技术又精通合规这种复合型人才的职业前景。
二
合规基础
隐私合规是一个和监管有着强关联的工作,企业要开展隐私合规建设,那首先应该要知道监管的要求是什么,其次公司应当认可隐私合规工作带来的价值,并在隐私合规上有一定的投入。鉴于此,在实践中我将合规基础划分为组织建设与监管需求两部分。
2.1、组织建设
我在隐私合规专栏中有多次提到过,公司一把手(董事长/CEO/总裁等)的明确支持是开展合规工作的必要条件,如果公司一把手不表态不过问,合规工作基本无法开展。例如有一项合规需求需要人力资源部配合,那你作为主导人,首先你要说服人力资源部总监配合,而不是直接找底下的一线人员,因为每个人手头都有各种工作,如果没有领导发派安排,他们没时间也不愿意支持你的需求,而这时候如果没有一把手的表态作为依靠,你就很难说服人力资源部总监接受你的需求,合规项目开展就会受阻。
同时,对于任何一家公司来说,它的第一目标永远是活下去,其次才会考虑去符合各种xx要求,而xx要求很可能会成为公司活下去的阻力,隐私合规就是xx要求之一。这时候要平衡好隐私合规与业务发展创新,既不能让隐私合规阻碍公司业务发展创新,又不能让公司业务毫无约束的野蛮生长,在适当的情况下,隐私合规与业务发展都要做出相应的让步,保证隐私合规和业务发展创新均衡向前。
对于隐私合规实施来说,需要有一个专业的团队来负责执行落地,在实践中,这个执行团队一般由安全部门和法务部门共同构成,同时这其中至少要有一个人非常熟悉隐私合规建设,另外,还需要团结产品设计、业务开发以及运维的力量,共同建设隐私合规体系。
2.2、监管需求
我们前面说到,隐私合规是以法律法规要求为指引来建设的,那么具体的法律法规要求是什么呢?这就需要隐私合规负责人去研究并解读相关的法律法规了,在解读法律法规时如果遇到两部不同的法律法规要求相悖的情况,应当遵循“高阶打败低阶,新法优于旧法”的原则去定夺,除此外,还应当将外部的法律法规要求转化成适配内部的合规要求,之后再参考这些转化后的合规要求进行合规体系建设,从而实现外规转内规,合规需求的问题就解决了。
相信做过隐私合规的同学们都知道,在很多合规层面的法律法规中都有这样一条要求:“和监管部门保持日常联系”。是的,但这里的和监管部门保持日常联系并不是指和监管部门的工作人员处成每天嘘寒问暖的兄弟,实际上也没有必要这样做。这里的和监管部门保持日常联系主要是为了跟踪、评估最新的监管要求,同时在发生合规相关事件时能和监管部门做好对接,举个例子,公司APP被监管机构通报了,要求15个工作日内完成整改,否则进行下架处理,此时你整改完后是不要将整改报告发给监管机构进行重新审计呢。
在实践中,和监管部门保持日常联系的方式有很多,例如关注监管部门公众号,了解最新监管动向;或者加入监管部门创建的微信群,执行监管部门通告的合规要求;再或者保留监管部门的电话或邮箱,在发生合规事件时能和监管部门取得联系;等等之类,这些都是和监管部门保持日常联系的方式。
三
管理合规
隐私合规要实现落地,除了需要技术来做支持外,也有很多内容是非技术层面的,在实践中,我将这些非技术层面的部分划分为合规支持和合规审计。
3.1、合规支持
首先是隐私合规意识培训,隐私合规意识培训的主要目的是为了增强员工对隐私合规的认知和提高员工的隐私保护观念,从而在开展工作的时候能优先将隐私合规考虑在内。它所面向的对象主要是产品、开发、市场和销售等。
面向产品做隐私合规培训主要是为了让产品设计人员在设计产品时就考虑到隐私合规约束,避免在设计时无所顾忌的收集和使用数据;面向开发人员的隐私合规培训主要是为了让开发人员在开发时不要随意申请相关权限,同时对采集的数据要做好安全保护措施;对市场人员进行隐私合规培训则是为了让市场人员在进行市场宣传时多宣传公司向好的部分,避免宣传与国家倡导的政策相违背的内容;对销售进行隐私合规培训则是为了让销售知晓公司在隐私合规方面所做的努力,从而在招投标时有更大的优势。
在实践中,隐私合规意识培训可以以公开课的方式进行,在开展培训时,积极做好前期宣传,从而让更多的人参与到培训中来。
当然,培训只是为了提高意识,它并不能解决所有问题,先不说有很多人可能不会来听培训课,即便是来听培训课的,也不一定能记住培训的所有内容,再加上实际中的业务复杂多样,培训真正能解决的问题其实少之又少。
那如何能解决好这些问题呢?主要是依靠业务合规咨询与技术支持,当受众员工有了隐私合规意识之后,他们在遇到业务问题时就可能会来咨询解决方案,此时才是解决隐私合规问题的开始,同时对于需要协助的问题做好技术支持,就能在业务开展前解决好这些隐私合规问题了。就如同SDL一样,在设计初期解决掉这些问题,耗费的成本才是最小的。
除了业务合规需要提供咨询与技术支持外,市场宣传同样需要合规来保驾护航,例如在国家大力倡导节约粮食的背景下,公司官网仍挂着拥有几百万粉丝的大胃王主播宣传海报,这用脚想都是不合理的。类似的,合规不仅仅是法律,还有道德以及政治正确,如果市场部门没有合规意识,认为只要不犯法都可以做宣传,那可能会宣传出很多政治错误的内容,这是极其危险的。
另外,在市场宣传涉及到专业内容时,应当做好话术支持,例如公司官网要宣传一些安全认证证书,那么证书的介绍就需要专业话术;或者公司要宣传自己做了哪些业务安全保障,此时也需要专业话术支持。这种情况下安全部门是理应要提供这些专业话术的。
合规支持的最后一部分是各种公开协议的合规,常见的需要重点关注的公开协议有《隐私政策》和《用户服务协议》等。在实践中,协议内容的合规与否一般需要和法务人员共同确认,同时,除了内容描述的合规性外,还有例如是否易于阅读、是否易于寻找、是否默认已读……等等之类的合规要求。这些协议的所有合规要求均满足后,该协议才能算是真正合规。
3.2、合规审计
合规审计主要分为两块,一块是面向自身业务的,用以确保自身业务符合合规要求;另一块是面向上下游生态合作伙伴的,用以确保合作方符合合规要求。
面向自身业务的合规审计主要分为三步,第一步是编写合规审计规范,第二步是依据合规审计规范对所有的业务需求做合规审计,第三步是对审计发现的合规问题做修复整改。实际上,合规审计规范编写在安全管理体系下的安全制度中有表述,业务需求合规审计与业务合规问题整改也已经融入进了安全开发体系和数据安全体系中,具体在这里就不再多说了。
这里单独说说对上下游生态合作伙伴的合规审计,既然是上下游生态合作伙伴,那必然存在数据的流转,对于上游合作伙伴,我们扮演的角色可能是数据处理者,对于下游合作伙伴,我们扮演的角色可能是数据控制者。由于各个厂商的隐私合规水平参差不齐,而这时候大家又都是同一根绳上的蚂蚱,如果发生数据泄露事件,难免会被牵连。因此,为了避免与猪队友合作,对上下游生态合作伙伴的合规审计就显得尤为必要。
在实践中,对合作伙伴进行合规审计的方式一般是合规问卷,在对合作伙伴进行合规审计时,将准备好的合规问卷提交给合作方填写,在对方填写完成后对问卷进行审计即可。实际上,在对合作方的合规审计中,数据控制者往往占据着主导权,大多数情况也是数据控制者来审计数据处理者。当然,任何合规审计都双向的,如果有必要的话,数据处理者也可以审计数据控制者。
四
技术合规
隐私合规工作主要是围绕数据来展开的,这就使得隐私合规的很多内容在落地时需要技术来做支持,因而技术和合规在实质上其实是不分家的,在实践中,这里将技术合规大类划分为数据合规和技术支持两个小类。
4.1、数据合规
数据合规对于隐私合规体系来讲至关重要,是隐私合规体系的核心部分,同时数据合规和数据安全体系虽然有着莫大的关联但又不完全等同,数据安全体系是保障数据生命周期中各个环节的安全,而数据合规则是保障对数据的各种操作符合法律法规要求,其操作包括数据的采集、存储、访问、使用、出境、委托处理、共享、转让、公开披露、主体权利、儿童信息等等。
对于企业而言,需要做的第一件事就是识别有哪些业务场景可以涉及到个人信息处理,并了解业务场景中数据处理的目的是什么,是来自于业务运营、监管要求、还是与客户签署的合同。在了解业务场景和数据处理的目的后,第二个重要的工作是了解公司在这个场景中扮演数据处理中的哪一个角色,是控制者、联合控制者还是处理者和分包商,明确角色后,还需要了解在相关标准和法律中应当承担什么责任。最后,结合数据安全体系,分析每一个阶段数据处理的控制要求以及需要建立的控制点。
数据的采集是数据生命周期的第一步,从法律法规要求的角度讲,采集数据需要满足合法性和必要性,同时需要征求被收集者的明示同意,另外,还要考虑到被收集者同意的例外情形,即无需征求被收集者同意即可采集数据的情形,除了以上的直接收集数据外,还应考虑到间接采集数据的合规情况,最后,隐私政策中的术语描述也是这一步需要去重点研究的内容。
对于数据的存储,从法律法规要求的角度讲,需要对数据进行分类分级,这个在前面有多次提到过了。除此外,还应当满足数据存储期限最小化、存储方式安全化等要求,即数据不能保存超出使用目的的期限,若要永久性保存则应当对数据做匿名化处理,同时,对于存储的数据应当有足够的安全措施保障其完整性、保密性和可用性。最后,在特定情况下,应当对数据做去标识化处理。
数据到手后,对数据的访问和使用是必不可少的,从法律法规要求的角度讲,对数据的访问需要做到最小授权、重要操作审批、岗位角色分离、离岗员工权限回收、外部人员访问限制等访问控制措施。对于数据的使用则需要做到限制数据的使用目的、限制数据的展示、限制用户画像的使用等安全限制措施。
对于跨国公司来说,数据出境应该是一块硬伤了。从国内法律法规要求的角度来看,数据出境首先要告知个人信息主体,征求个人信息主体的明示同意,其次应当评估数据出境的合法性,并与数据接收方签订合同以明确数据接收方承担的责任和义务,同时应当对数据出境记录做妥善保存。数据出入境是一个很复杂的事情,因此也建议参考安世加公众号内 学海无涯 | 安全合规系列教学文档下载!
在正常业务开展的过程中,数据对外提供的情况会经常发生,常见的数据对外提供的情形有委托处理、共享、转让和公开披露等,从法律法规要求的角度讲,要进行数据的对外提供,首先要告知个人信息主体,征求个人信息主体的同意,其次要对数据接收方进行有限尽调,即评估数据接收方的安全保障能力,同时与数据接收方签订合同以明确数据接收方承担的责任和义务,然后在对外提供数据时要做好安全措施以及保留对外提供数据的记录,最后,要对数据接收方做好长期的持续监督。而对于数据的公开披露,则应当在披露前评估该操作的合法性,在合法的基础上再进行公开披露。
一般情况下,企业所处理的数据都是用户个人数据,而用户相较于企业来讲通常属于弱势群体,因此,无论是国外法律法规还是国内法律法规,都赋予了用户一定的权利以保障用户个人数据不遭企业侵害。这些权利包括个人数据的查询权、更正权、删除权、撤回同意权、注销账户权、获取数据副本权、投诉举报权等。从法律法规要求的角度讲,企业应当保证用户真实有效的获得了这些权利,并能够正常无阻的施行这些权利。
儿童是国家发展的未来和希望,其认知能力、危险识别能力和自我保护能力都相对薄弱,因此,不同于一般的个人数据保护,儿童的个人数据保护属于比较特殊的一块。从法律法规要求的角度讲,对于处理儿童个人数据,首先要在隐私政策中单独明确如何处理儿童个人数据,其次在对儿童个人数据进行操作时,应当告知儿童监护人,征求监护人的同意,对于委托第三方处理儿童个人数据的,应当对第三方进行安全评估,同时与第三方签订委托协议以明确第三方承担的责任和义务。
最后,应当绘制一份所有数据的流转图,以清晰的呈现所有经过公司之手的数据的动向,流转图可以以数据类型为维度进行绘制,也可以以部门为维度进行绘制,具体根据实际方便程度来确定即可。其内容一般包括收集了哪些数据主体的哪些数据,这些数据先经过哪,被怎样处理过,又经过哪,又被怎样处理过,最后到了哪……等等之类。绘制数据流转图不仅可以清晰呈现数据的流转途径及沿途的处理方式,也非常便于进行合规审计。
4.2、技术支持
除了数据合规外,还有很多需要技术来支撑的合规内容,例如敏感权限合规、加解密算法合规、数据爬虫合规、数据安全应急等等,这些技术支持作为技术合规的补充部分,有力的完善了技术合规的边界版图。
首先是敏感权限合规,这里的敏感权限有多重含义,它既可以是操作敏感数据时赋予操作人员的敏感权限,也可以是在收集数据时从用户手中获取的敏感权限。对于前者,需要使用技术手段做好各链路的权限控制,主要包括最小化权限赋予和最短必要时间赋予。对于后者,则需要在开发产品时做好最小必要权限获取,避免贪图懒惰一揽子超额获取权限,同时应当在隐私政策中声明这些敏感权限的使用场景以及对应采集的数据信息。
其次,在数据安全与数据合规的很多场景下,都会对数据进行各种加解密操作,那么在选用加解密算法时也应当注意加解密算法的安全性。通常情况下,应当采用国际上通用的安全的加解密算法,不应使用过时和不安全的加解密算法以及自研的加解密算法。同时对于不同敏感级别的数据,可以采用不同的密钥长度,并充分保障密钥的安全性,防止窃取者伪造密钥持有人的签名。
数据爬虫是当下互联网时代高效采集数据的一个主要方式,但爬虫使用不当会带来极大的法律风险。一般情况下,合规使用爬虫的方式是在使用爬虫爬取个人信息时要征求用户同意,在用户同意后方可进行爬取;在爬取商业数据时,不应存在搭便车等行为,也不可分流被爬网站的用户、降低被爬网站的竞争优势,否则会被认定构成不正当竞争,染上法律风险。
最后,在发生数据安全事件时,需要做好事件的应急处置,这里的数据安全事件主要是数据泄露,但数据泄露有很多场景,除了常见的自身数据库被拖库外,还有内部人员泄露数据、合作方泄露数据、供应链某一环节泄露数据等等之类,溯源数据泄露源头是一个很蛋疼的事情,如果全链路的安全机制不够完善,隐藏较深的数据泄露源基本溯源不到,而做好全链路的安全机制,则需要非常大的人力物力财力投入。在实践中,发生数据泄露事件后,安全部门能把自己公司排查清楚就很不错了。
五
合规认证
资质认证是对合规工作的成果验收,虽然在实际中有很多公司秉持不做合规只为拿证的态度,但作为一个安全人员或合规人员,应当具备良好的职业操守,摒弃这种不正确的思想。在实践中,通用的安全合规认证一般是等级保护和ISO 27001信息安全管理体系认证,除此外的合规认证基本都具备独特性,企业需要根据自身业务情况选择适合自己的合规资质认证。
5.1、等级保护
随着国家网络安全法的出台,等级保护成为了每个企业必须要做的工作,最新的等级保护2.0于2019年12月1日正式实施,也就是说,从2019年12月1日起,原先的等级保护1.0将成为历史,无论此前企业是否做过等级保护认证,在新一年开展认证时,都应当以等级保护2.0的要求为准。对于一般的互联网企业,开展等级保护是都是定级为三级,因为一级二级没有价值凸显,四级五级又会标准超纲。对于三级等保,按照要求是需要每年审计一次。
开展等级保护认证的第一步是选择咨询方,找咨询方主要是因为没有相关人员负责或图省事等,因此,找咨询方的企业主要是传统企业或国企,对于互联网公司来说,一般是跳过咨询直接找审计方的。在准备充分之后,就可以联系审计方了,和其他非国家认证不同,等级保护是国家认证,因此和审计方是谁关系不大,通常以价格优先进行选择就可以。
之后,就是正常的现场审计流程了,现场审计一般会持续一周左右,另外,等保一般会附赠漏洞扫描和渗透测试礼包,可以顺道评估一下系统的安全性。
最后,对等保审计中发现的不合规问题进行修复整改即可,需要注意的是,等级保护是计分制,按照要求等级保护2.0达到70分就算及格,也就意味着除了高危不合规项外,并不是所有的不合规项都需要修复整改,一般情况下,挑简单的进行整改以达到期望的分值即可。
开展等级保护的完整流程一般是:等保准备工作 --> 选择审计方 --> 起草合同 --> 签订合同 --> 首付款 --> 现场审计 --> 问题修复 --> 问题复审 --> 获取证书 --> 尾付款。
5.2、ISO 27001
ISO 27001是一个国际标准,最新版本是2013版的,即ISO/IEC 27001:2013,与此对应的国家标准是GB/T22080-2016。不同于等级保护,ISO-27001信息安全管理体系认证并不是法律强制的,它一般用于招投标以及市场宣传。
在我个人认为,ISO 27001如果要做到完全落地的合规,非常困难,对于互联网公司来说基本是不可能实现的。因此在实施ISO 27001时,只能对易于下手的问题进行合规化处理,从而实现部分合规落地。同时鉴于目前国内ISO 27001认证的现状,在实施认证时审计方通常都会或多或少的放水,因此只落地部分合规项是实际可行的。
ISO 27001的核心思想是文档化,因此它在实施起来会有一个很庞大的文档体系,这些文档又分为四个阶层,一阶为顶层管理制度、二阶为程序文件、三阶为作业规范、四阶为对应二阶程序的记录文件。这些文档与文档之间有很多地方存在关联,并且文档的内容中也有很多门道技巧,因此在企业没有人了解ISO 27001的情况下,若要开展ISO 27001认证非常建议先找一个咨询方来协助开展,否则基本会认证不通过。当然对于公司内有人了解ISO 27001实施的情况下,可以跳过咨询方自行准备前期工作,做好前期工作后直接找审计方进行审计。
不同于等级保护,ISO 27001的发证方是各认证公司,不是任何官方机构,因此在选择审计方时,应当根据公司的具体情况适当选择。看重证书影响力的,可以选择国际上知名的审计机构,对证书影响力没有要求的,则选择国内的打野机构就可以了。同时,ISO 27001有认证范围这一概念,认证范围越大,范围内人数越多,所需的成本就越高,一般情况下,只将公司的核心业务纳入认证范围即可。
之后,就是正常的现场审计流程了,初次审计会根据公司具体情况排期,一般在5-10天不等,初次审计通过之后,每年会进行一次监审,监审时间一般为初次审计时间的三分之一。
最后,对ISO 27001审计过程中发现的不符合项进行整改,并编写整改说明,在审计方确认通过后,审计工作就算完成了。
开展ISO 27001审计的完整流程是:选择咨询方(可选) --> 签订咨询合同 --> 咨询首付款 --> 咨询方协助支持或自行实施内审 --> 内审不符合项整改 --> 咨询尾付款。选择审计方(必须) --> 签订审计合同 --> 审计首付款 --> 现场审计 --> 审计不符合项整改 --> 审计不符合项确认 --> 获取证书 --> 审计尾付款。
5.3、其他认证
其他合规认证一般是根据公司自身业务情况来决定的,比如公司在欧洲开展业务,就需要做GDPR合规;在加州开展业务,则需要做CCPA合规……等等之类,如果不在这些地域开展业务,那自然也就不用管它了。
对于其他认证,我在前公司负责过GDPR、CCPA、ISO-27017、ISO-27018,除此外,常见的隐私合规认证还有ISO 27701、C-STAR、SOC-2,这些内容的具体细节可以参考博主的隐私合规专栏,在此就不再多赘述了。合规认证在实施起来都是有一些共性的,很多内容也是通用的,因此只有在初次建设时所耗费的精力及成本比较大,此后就会好很多了。
六
总结
隐私合规体系建设是一个很有意思的工作,它围绕的核心是法律法规要求,由于在实践中有很多内容需要技术来支撑,因此它和安全开发体系、数据安全体系都是有很强关联的。对于不同的公司,由于业务需求与市场需求不同,隐私合规建设的方向与建设力度也不同,对于强监管的公司,隐私合规投入的成本自然就多,建设力度自然就大。实际中不必强求太多,选择适合自己的就好,本文只论述了适配我司业务的隐私合规体系建设,在此抛砖引玉供大家参考。
未完待续
原文始发于微信公众号(安世加):技术干货 | 企业安全体系架构实践之道(七)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论