分类
安全播报

目标性攻击、黑客活动及数据泄露(简介、数据)

 简介
  美国国防部长 Leon Panetta 曾说过,“如果说核战争是工业时代的战略战争,那么网络战争便是信息时代的战略战争。”3 网络间谍和网络破坏已成为现实。企业间谍不断将魔爪伸向国家/地区及其代理范围以外,使用先进技术窃取公司机密或客户数据以谋取私利。怀有政治及反商业企图的黑客活动也频繁涌现。
本年度媒体对安全破坏事件一连串的揭露表明,商业世界一如既往的脆弱。

 数据
  2012 年每个月的目标性攻击

 

目标性攻击、黑客活动及数据泄露(简介、数据)-1

4 月,我们目睹了针对某个客户的一次大规模攻击,使得当月每天的攻击次数翻了一倍还多,由于类似此次的事件极为罕见,因此我们并未将它包括在本次计算中,以便更准确地反映现实情况。此事件将全球年度日均攻击次数从 116 提升至 143。
该客户是一家大型银行机构,之前不是赛门铁克的客户,此番向赛门铁克寻求帮助以清除现有的感染。感染清除了。不过,一大波目标性攻击随之而至,攻击者试图重新获得访问权,但最终以失败告终。

2012 年遭受攻击的前十大行业

 

目标性攻击、黑客活动及数据泄露(简介、数据)-1

2012 年遭攻击最多的行业是制造业,24% 的目标性攻击以该行业为目标,2011 年为 15%。针对政府和公共部门的攻击由 2011 年的 25% 下降到 2012 年的 12%,2011 年该行业曾是遭攻击最多的行业。很可能一线攻击正逐步转向供应链,尤其是中小型企业供应链。(行业类别源自标准行业分类代码。)

目标性攻击、黑客活动及数据泄露(简介、数据)-2

员工人数超过 2,501 名的企业受到的攻击最多,占目标性攻击的 50%,百分比与 2011 年几乎相同。
针对员工人数超过 2,501 名的企业的目标性攻击次数,与 2011 年相比翻了一番,不过总百分比仍保持在 50%。
针对小型企业(1 到 250 名员工)的目标性攻击占所有攻击的 31%,相比 2011 年的 18%增长了 13 个百分点。
针对中小型企业的攻击次数相比 2011 年增长了三倍,导致其百分比几乎翻番,由 18% 上升到 31%。

2012 年遭目标性攻击的职位

 

目标性攻击、黑客活动及数据泄露(简介、数据)-4

2012 年遭受攻击最频繁的职位是研发,占攻击的 27%(2011年为 9%)。增长幅度位列第二的职位是销售代表,可能是因为销售代表的联系信息在公共域中更容易获得,2012 年占攻击的 24%(2011 年的比例则为 12%)。2011 年公司首席高管遭攻击最多,占 25%,但 2012 年跌至 17%。

DDoS 用作分心手段
  2012 年 9 月,FBI 向金融机构发出警告,某些 DDoS 攻击实际上被用作“分心”手段。网络罪犯在进行未经授权的交易之前或之后发起此类攻击,目的是为了防止公司发觉并阻止其欺诈行为。
在这些情况中,攻击者向公司网站发起 DDoS 攻击。不论攻击会不会令网站崩溃,都不是此类攻击的主要目的,其真实意图是令公司IT 人员将注意力转到 DDoS 攻击上。而与此同时,黑客企图通过其他方法闯入公司网络,由于 DDoS 攻击仍在继续,公司可能不会察觉这些方法。
数据泄露
  根据诺顿网络犯罪指数,数据泄露总量下降了 26%,5 虽然全年有超过 9,300 万条身份信息遭暴露,不过比上一年减少了 60%。本年度遭窃的身份信息平均数量也有所降低:每次泄露 604,826 条,大幅低于 2011 年的每次泄露 110 万条。
那么,为什么 2012 年数据泄露次数和遭窃的身份信息数量会减少?首先,2011 年发生过五次身份信息遭窃超过一千万条的攻击,而 2012 年仅发生一起,因而最小规模数据泄露与最大规模数据泄露之间的差距要小得多。然而,2012 年每次泄露的中值(即数据集的中间点)由 2,400 增长到 8,350,提高了 3.5 倍。之所以采用中值,是由于中值忽略了极端值(即导致大量身份信息暴露的稀有事件),是一种有效的衡量方法,更能体现基本趋势。
2011 年与 2012 年数据泄露相差如此悬殊,部分原因很可能是由于2011 年臭名昭著的黑客组织 Anonymous 和 LulzSec 联手公开宣扬黑客行为,而 2012 年未观察到同样的现象。也有可能是公司更加注重客户数据库的保护,或者黑客发现了其他更有价值的目标,又或者他们仍在窃取数据只是未发现而已。
2012 年,在泄露的全部身份信息中,医疗、教育和政府占将近三分之二。这表明,公共部门应当投入更多资源来保护个人信息,尤其是鉴于这些部门往往被视为社会上最薄弱的信息保管机构。或者,这也可能表示私营机构可能未报告所有数据泄露事件,而公共部门依据法律必须报告数据泄露。

目标性攻击、黑客活动及数据泄露(简介、数据)-2

在报告的数据泄露中,绝大多数 (88%) 是因为外部人员攻击所致。但可以肯定的是,未报告的数据泄露数量多于报告的数量。不论是丢失笔记本电脑、存储卡放错地方,还是员工有意或无意窃取数据,内部威胁情况同样很严重。根据英国信息委员会的数据,因内部人员疏忽而遭致处罚并起诉的企业数量超过外部人员攻击,这就是例证。大多数中小型企业在担心匿名黑客之余,对于内部人员也应当给予同样的重视。

数据泄露时间表
  2012 年,身份信息遭窃数量最多的事件发生在 1 月,一次数据泄露事件导致至少 2400万条身份信息暴露。至于本年度其他月份,每个月遭窃的身份信息数量大多在 100 万到1200 万条之间波动。
上半年月均泄露事件次数为11,下半年上升到 15 – 提高了 44%。

目标性攻击、黑客活动及数据泄露(简介、数据)-4

数据泄露人均损失

目标性攻击、黑客活动及数据泄露(简介、数据)-7

美国人均损失 194 美元,位列第一,丹麦以人均 191 美元紧居其后。

 2012 年导致数据泄露的几大原因

 

目标性攻击、黑客活动及数据泄露(简介、数据)-8

黑客仍然是导致数据泄露最主要的原因,占全部泄露的 40%

分类
知识中心

如何利用VeriSign SSL证书阻击网站欺诈

最近,国内两个著名互联网服务和产品提供商掐上了。作为这两家公司服务和产品的忠实用户,我想对他们说一声:和为贵!但我同时也注意到他们争论中的一个焦点是关于防止钓鱼、假冒网站的,并且多次提到VeriSign的网站认证和VeriSign服务器证书,而对于什么是服务器证书,服务器证书如何防止钓鱼网站、假冒网站,一般网民都不是太了解。当看到有关的争论多少会觉得云里雾里。

考虑到假冒网站、钓鱼网站给广大网民带来的巨大损失,安全网站认证技术在防止这种网络欺诈活动中起着极其重要的作用。作为对服务器证书有些了解的人,在此希望对什么是服务器证书及其如何防止假冒、欺诈网站方面的知识做个简单介绍。

服务器证书,也称为SSL证书 (Secure Socket Layer),是专门用于网站安全认证、防止网站被假冒的一种安全技术。SSL最初是由网景(Netscape)公司针对电子商务安全特别是网上支付安全而设计的互联网数据传输层协议,包括SSLv2.0和SSLv3.0。后来,因特网工程任务组织(Internet Engineering Task Force,IETF)在SSL基础上制定了TLS(Transport Layer Security)协议。TLS协议兼容SSL,因此,二者又合称为SSL/TLS。但是,习惯上,大家仍然统称为SSL。SSL功能主要包括:

1) 网站在线身份认证,在线验证网站的身份信息,确认其就是网站服务器证书中声称的网站;

2) 用户在线身份认证(可选),在线验证访问到网站的用户的身份信息,确认其就是声称的人;

3) 安全数据加密,在网站和用户之间建立安全的、加密的数据传输通道,保护用户的敏感和私密信息在传输过程中不被泄露(如你的银行账户信息,账户名、口令信息等)。

SSL是通过数字证书(Digital Certificate)来进行网站和用户的在线身份标识和认证的,这里数子证书相当于电子世界的身份证,它是基于一定的密码学原理而生成的一组电子身份数据。用于在线标识和鉴别网站的数字证书称为网站证书(Website Certificate)或服务器证书(Server Certificate)。

在现实世界中,每个人都有自己的身份证,每个企业都有工商部门颁发的营业执照,它们分别用于标识一个人或企业的身份;人们可以通过面对面地出示和检验居民身份证,确认一个人就是他声称的人,或者实地访问一家公司,实地查看检验它的营业执照,从而确定同你打交道的公司是真实存在的,不是虚假的。而在虚拟的电子世界,人们无法面对地面验证、确认一个人或机构的身份(比如网站的身份),而且由于电子身份数据可以轻易复制的,因此,使用简单的电子身份证是无法实现安全可靠的在线身份认证的(包括身份鉴别标识和鉴别)。那么,数字证书是如何能在不面对面地情况下安全可靠地鉴别一个网站或用户的身份的呢?我们可用通过现实世界中的一个如下假想例子来加以说明。

假设A、B两个人可以相互传递信息但又相互看不到对方容貌,比如,A在房间内,B在房间外,没有窗,只有门,门也没有窗,但有门缝;在这种情况下,A需要能够通过居民身份证对房间外B的身份进行鉴别(即确认他就是B,然后打开门让B进来)。为此,B可以把他的身份证通过门缝递给A,但是,这时即便A拿到了B的身份证并确认了这个身份证是真实的,但A仍然不能确认门外的B就是身份证上的人,因为这个身份可能是B捡来或偷来的。但是,如果我们假设公安部门在给每个人颁发身份证时,同时在身份证上印有每个人的手写签名,那么这个问题通过如下过程就比较容易解决了:

(1) A要求B将身份证传递给他;

(2) B通过门缝将自己的身份证传递给A;

(3) A通过一定的方式验证确认这个身份证是真实和有效性(具体什么方式我们就不管了);

(4) 对B的身份证进行的验证通过后,A将一张白纸通过门缝传递给B,要求其在上面签上自己的名字;

(5) B接收到白纸后,在纸上签上自己的名,然后将签名后的纸通过门缝递给A;

(6) A将纸上的签名与身份证上的手写签名比对,如果二者一致,则说明门外的确实是身份证上所标识的人。

基于数字证书的身份认证的工作原理和过程与上面带有手写签名的居民身份证的工作原理和过程非常类似。这时,标识网站或用户身份的数字证书(身份凭证)不是由公安部门或工商部门签发,而是由一个专门从事电子身份认证服务的机构签发(该机构的称为Certification Authority,简称CA),国外的如VeriSign(现被赛门铁克收购)、国内的如北京天威诚信电子商务服务有限公司等,都是专门从事电子身份认证的机构。下面以网站证书的申请和使用过程来说明数字证书在在电子世界的用途和用法(用户证书是类似的)。

一个网站用一张完整证书来在线标识其身份,其运行机构必须向一个电子身份认证机构申请签发有关的证书。网站的运行机构在向电子身份认证机构申请一张数字证书时,需首先在网站计算机本地生成一对密钥数据,其中一个可用于对电子数据进行签名,另一个用于对被签名的数据进行签名验证;由于前一个密钥数据是用于签名的,因此,它必须安全保管在本地计算机或专门的密码设备中,不能公开,称为私钥(Private Key);后一个密钥数据是用于(其他人或实体)对被私钥签名的数据的有效性进行验证的,可以公开,称为公钥(Public Key)。网站的运行机构将用于签名验证的公钥数据连同运行机构自身及网站的信息(如机构名称、网站域名及其相关证明材料)一起提交给电子身份认证机构。电子身份认证机构接收到相关申请后,先要验证申请者身份的真实性(验证过程)并确认申请者就是其声称的机构、域名确实由其拥有(确认过程),验证、确认通过后再为网站运行机构签发数字证书(电子身份数据),证书中包含有网站的身份信息(如域名)及用于签名验证的公钥。网站运行机构在得到证书后,将证书安装在网站的Web服务器上。

当用户使用浏览器访问安装了数字证书的网站时,浏览器与网站之间进行如下交互过程:

(1) 浏览器要求基于数字证书对网站进行在线身份鉴别(身份认证);

(2) 网站(的Web服务器)将数字证书传递给用户浏览器;

(3) 浏览器验证网站数字证书的有效性和可信性,包括验证网站证书是否由可信的电子认证机构签发,证书上的域名是否与用户要访问的网站域名一致,证书是否在有效期内等;

(4) 证书有效性和可信性验证通过后,浏览器将一串随机生成的数据(相当予白纸)传递到网站,要求网站对此进行数字签名

(5) 网站用私钥对接收到随机数据进行数字签名(相当于在白纸上签上自己的名字),然后将签名后的数据传送到到用户浏览器;

(6) 用户浏览器使用网站证书上的公钥对数字签名后的数据进行验证(相当于用身份证上的手写签名对白纸上的签名进行验证),验证通过则说明用户要访问的网站确实是证书上所标识的网站。

以上过程都是在浏览器和Web服务器之间自动完成的(目前的浏览器都支持SSL协议,以及通过数字证书对网站进行在线身份认证),以上验证过程只要一个环节不通过,比如数字证书不是由一个受信任的认证机构签发,或者证书上的域名与用户要访问的网站的域名不一致,或者证书过了有效期,那么浏览器或者弹出一个单独的警告窗口,或者显示一个警告页面,提示关于网站所用数字证书的错误警告信息。

基于数字证书的在线身份认证是通过密码学原理(公开密钥加密算法)实现的,具有很高的安全性,很难破解或假冒,是当前最经济高效、最安全的在线身份认证技术。

那么,通过网站证书(SSL证书)如何能有效实现防止假冒、钓鱼网站呢?这是由于,网站运行机构在申请网站证书时,需向电子认证机构提交如下信息:

(1) 证明运行机构身份的基本信息及相关证明材料(如营业执照或组织机构代码证的复印件等);

(2) 拥有网站域名的证明文件;

(3) 用于签名验证的密钥数据,即公钥。

电子身份认证机构在收到以上信息后要进行如下鉴别、验证和确认:

(1) 证书申请机构提交的身份信息及相关证明材料是真实的,不是伪造的,这可以通过鉴别营业执照或组织机构代码证复印件初步判断,然后再进一步通过工商部门或组织机构代码证部门的数据库进一步验证有关证件和信息的真伪;

(2) 通过一定的方式,包括现场访问或通过电话黄页中得到的电话联系运行机构的有关负责人,确定确实是该运行机构在申请网站证书(而不是窃取了该机构证件复印件的假冒者);

(3) 通过申请者提交的网站域名证明文件,鉴别该文件的真伪,并确认申请者确实是相关域名的真正拥有者。

在完成了以上鉴别、验证和确认工作后,再为证书申请者签发网站数字证书。

以上过程实际上就是我们通常所说的电子身份认证中的“认证”(签发证书前的证书持有者的身份认证)。有了数字证书和以上严格的网站服务器证书签发流程,通过为网站安装一个由可信电子身份认证机构签发的网站证书,将能有效地防止假冒、欺诈网站,试想,一个假冒网站、钓鱼网站敢去申请一个数字证书吗?这相当于自投罗网,执法者可以很容易地通过证书申请时提供的真实信息抓到欺诈者。一个假冒网站、钓鱼网站可以劫持另一个网站域名,或注册假冒近似域名,甚至可以复制另一个网站的数字证书,但却无法得到被劫持网站的数字证书私钥。这样在进行在线身份认证的过程中,假冒网站、钓鱼网站也就无法伪造相应的数字签名,用户浏览器对网站的在线身份鉴别也就无法通过。因此,当你访问一个安装了可信电子认证机构签发的数字证书的网站时,你可以放心的相信这个网站是真实,可信的。那么,一个用户如何知道他要访问的网站是安装有可信电子认证机构颁发的可信数字证书呢?可以通过如下两点判断:

(1) 通过访问网站时所使用的传输协议

我们访问一个网站时所使用的网站地址通常是由三部分组成:传输协议、网站地址(域名)和页面路径,如http://en.wikipedia.org/wiki/Uniform_resource_locator中http:表明使用的是HyperText Transfer Protocol(HTTP)传输协议,网站的域名是en.wikipedia.org,而页面在网站的具体路径是:/wiki/Uniform_resource_locator。HTTP协议是普通的、非安全的传输协议。若访问网站所用的地址是https://example.com/paygate.jsp,则其中的https:说明采用的是HyperText Transfer Protocol over SSL传输协议(或称为Secure HTTP),它使用SSL协议和数字证书对网站进行在线身份鉴别(可选地,对用户进行身份鉴别)。

(2) 通过浏览器上的相关提示

对于采用了普通SSL证书的网站,使用浏览器并通过HTTPS协议访问该网站时,在浏览器的地址栏会出现一个黄色的小锁(如图???所述);而对于使用EV SSL证书的网站,浏览器的地址栏会变成绿色,且点击绿色地址栏锁型标示还能查看该网站服务器证书的颁发机构(第三方认证机构)。

采用SSL证书除了可以对网站身份的真实性进行鉴别外,还可以在用户浏览器和网站之间建立加密的数据传输通道,从而保证用户的敏感信息在通过互联网的传输过程中不被泄露、窃取,而这是其他网站认证技术无法做到的。

访问一个安装了由可信电子身份认证机构签发的网站证书就可以100%地确定它是一个可信网站吗?这也不尽然。从前面的描述可以看到,通过SSL证书保证网站真实可信、防止网站欺诈的一个重要环节是在SSL证书的申请、签发过程中,由电子身份认证机构对证书申请者进行严格的身份认证(即鉴别申请者提交的信息的真实性,确认申请者是其声称的人等),在这个过程一旦出现差错或者没有严格执行相关要求或过程,那么,一个数字证书就有可能被签发给一个假冒者。在实际应用中,不同的电子身份认证机构在签发证书过程中所执行的认证过程或者所遵循认证过程的严格程度不一定是完全相同的,有些面临较大商业压力电子身份认证机构为了降低成本,增加收入,在签发证书的过程中会采用简化的、降低了强度的验证、确认过程,这样就增加数字证书被签发给了假冒网站的风险。为了解决这一问题,国际上的一些大的电子身份认证机构和主流浏览器开发商(如VeriSig)成立了一个CA/Browser Forum(电子身份认证机构、浏览器论坛),以指南的形式制定了一个严格的网站数字证书申请、签发过程规范(称为扩展的验证确认,Extended Validation,简称EV);通过第三方审计机构认证、确认其证书签发过程符合该证书签发指南的电子认证机构可以签发一种称为扩展验证确认的网站数字证书(EV 证书或EV SSL证书);支持EV证书的浏览器能正确识别由这些机构签发的EV网站证书(没有通过相关认证的电子身份认证机构签发的EV证书不被这些浏览球识别),并以区别于普通网站证书的方式展现当前网站正在使用EV证书(如地址栏变为绿色)。

有了以上知识,当你访问一个网站进行电子商务、网上支付时,不妨看看你所访问的网站是否使用了SSL数字证书,特别是EV SSL证书,如果是,那么,你可以放心地进行网上交易等操作了

分类
网络新闻

VeriSign SSL认证保障网民上网安全

作为普通用户,对于什么是SSL认证可能并不了解,本文将深入浅出的阐述VeriSign网站认证服务是怎样帮助用户防止受到网络欺诈的?为何业界对于VeriSign认证高度认可?

SSL是一种加密传输协议,能够在用户上网时保护用户免受钓鱼网站、木马和病毒的侵害。SSL协议提供的服务主要包括认证用户和服务器,确保数据发送到正确的客户端和服务器;加密数据,防止数据在传输中被窃取;确保数据在传输中不被改变。也就是说,通过SSL认证之后,数据信息在网民和服务器之间的加密传输就得以保证,数据信息得以保护。这不仅是信息传递的安全性所必须的,用户也可以通过服务器证书验证自己访问的网站是否真实可靠。金融机构、电子商务等网站都采用SSL认证的方式来确保用户的网络安全,高安全的加密技术以及严格的身份验证机制是确保部署SSL证书的网站安全可靠的主要因素。

那么怎样辨识网站是否部署SSL证书呢?当登录安全链接页面时,浏览器将会自动显示金色安全锁型标记。此时用户在线输入的信用卡号、交易密码、个人隐私信息等机密数据在网络传输过程中将不会被随意查看、窃取和修改。不同版本的浏览器“金色安全锁”放置位置不尽相同,但看到金色小锁标记,我们在线提交信息安全上就有了保障。当有SSL证书保护的加密页面时,地址栏网址也会由“http”自动变成“https”。如同金色安全锁标记一样,我们此时提交的信息得到了安全加密保护。如地址栏变成了绿色那么就标识该网站部署了EV SSL证书

目前有些浏览器屏蔽了VeriSign服务器证书的地址栏,将其换为自建认证,致使用户账户存在风险。这种自建认证可随时被DNS攻击方式篡改并且不具备权威性,而世界通用的VeriSignSSL认证则具有加密和所有浏览器的兼容性,更能够保证用户浏览Web网页的安全性。目前包括 IE(7及以上所有后续版本)、Chrome、Firefox、Safari、Opera浏览都支持VeriSign证书的绿色地址栏。这种绿色地址栏显示从2006年全球开始执行EV证书标准以来,目前还从没有被攻击和冒用的情况发生。因此其安全性和权威性得到了全球浏览器厂商和用户的认可。

靠数字证书起家的VeriSign是国际权威的SSL认证服务提供商。从成立之初,VeriSign严格遵循业内最为严格的身份鉴证机制,不提供单一域名鉴证产品,确保每张签发证书身份真实有效,可以最大程度上提升网站的可靠和信任度。当客户访问网站时,可通过点击金色安全锁或站点签章标志,便可检验网站真实身份。目前,VeriSign的SSL 证书被 93% 的全球 500 强企业、97%的全球前100大银行和全球50大电子商务网站中的47个网站所选用。

正是由于在SSL认证领域的领军地位和核心技术过硬,VeriSign于2010年被赛门铁克收入麾下,其在认证领域的安全产品和服务也融入赛门铁克的安全产品和服务体系中,并在原有的优质服务基础上新增了每周网站漏洞扫描增值服务,从而更全面的保护用户安全。同时,借助赛门铁克在中国的白金合作伙伴—天威诚信在中国市场的过硬渠道资源,VeriSign近两年在中国市场发力,并且逐步赢得了国内互联网企业的广泛认可

分类
网络新闻

网络骗子爱上二维码,刷码前需验明正身

 

二维码是黑白相间的矩形方阵图形,只要有专门生成软件便可随意生成,但必须使用专用扫码软件才能解码。只要有二维码生成软件,犯罪分子便可将病毒、木马程序或手机吸费软件等的网址链接生成为二维码形式的图形,几乎没有制作门槛。

当下二维码在人们的日常生活中已随处可见,打折、优惠等等大量信息都存在这个四四方方的二维码里。相信很多人通过二维码真正得过到实惠,并不真正的了解它,故二维码可能成为继微信之后犯罪分子选择和利用的新工具。

 

市民王小姐就遇到了这种事情。她扫描一下网上的二维码,本想得到一张优惠的电影券,结果出来的是一个软件。她当时只想着得到电影票,谁知几天过后,电影票没得到,手机话费却扣光了。经查,原来她的手机话费已经全部变成上网流量消耗怠尽。

 

无独有偶,一位叫萤火虫的网友也反映:最近在网上看到一个半价的旅游团购的二维码信息,于是对二维码进行了扫描,扫描后跳出一个软件安装的界面,于是随手就点击了安装,到了月底缴费时,才发现话费比平时超出了一倍,查询后才得知手机被绑定了扣费软件。

 

刷码前须“验明正身”

 

二维码本身真假难辨,但刷码网站却可分别真假,当在网站上看见二维码时,不要急着去刷,建议大家要做到以下几点:

 

第一,到官方应用商店、论坛下载二维码扫描软件;

 

第二,不要见“码”就刷,在扫码前一定要确认该二维码是否出自正规知名的网站,一些发布在来路不明的网站上的二维码最好不要扫描,更不要点开链接或下载安装。

 

现在网站都很流行提供二维码扫描,一定要在确认网站是安全可信的,才能扫描二维码。辨识安全可信的网站就成了关键,在这里教大家几个辨识真网站的方法

 

1、登录安全网站时,浏览器将会自动显示金色安全锁型标记。

网络骗子爱上二维码,刷码前需验明正身-1

 

2、网站显示Symantec norton安全签章logo

网络骗子爱上二维码,刷码前需验明正身-2

 

3、地址栏变成了绿色。

网络骗子爱上二维码,刷码前需验明正身-3

 

如网站拥有以上特征,证明该网站正被VeriSign ssl证书保护着,是安全可信的。大家到这样的网站上就可以尽情的“刷码”啦!