• <tr id="yyy80"></tr>
  • <sup id="yyy80"></sup>
  • <tfoot id="yyy80"><noscript id="yyy80"></noscript></tfoot>
  • 99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

    新版ISO 27000要求下的數(shù)字圖書館信息安全管理*

    2015-08-23 03:43:50黃水清南京農(nóng)業(yè)大學(xué)信息科學(xué)技術(shù)學(xué)院江蘇南京20095江蘇省農(nóng)業(yè)科學(xué)院農(nóng)業(yè)經(jīng)濟(jì)與信息研究所江蘇南京2004
    圖書與情報(bào) 2015年6期
    關(guān)鍵詞:信息安全要素核心

    任 妮 黃水清(.南京農(nóng)業(yè)大學(xué)信息科學(xué)技術(shù)學(xué)院江蘇南京20095)(2.江蘇省農(nóng)業(yè)科學(xué)院農(nóng)業(yè)經(jīng)濟(jì)與信息研究所江蘇南京2004)

    ·圖書館與圖書館事業(yè)·

    新版ISO 27000要求下的數(shù)字圖書館信息安全管理*

    任妮黃水清
    (1.南京農(nóng)業(yè)大學(xué)信息科學(xué)技術(shù)學(xué)院江蘇南京210095)
    (2.江蘇省農(nóng)業(yè)科學(xué)院農(nóng)業(yè)經(jīng)濟(jì)與信息研究所江蘇南京210014)

    文章對(duì)比了2013版與2005版ISO27 000標(biāo)準(zhǔn)族的差異,分析了新老標(biāo)準(zhǔn)變化對(duì)數(shù)字圖書館信息安全風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制的影響,指出數(shù)字圖書館信息安全的風(fēng)險(xiǎn)評(píng)估可延用2005版的方法與模型,并在對(duì)數(shù)字圖書館信息安全風(fēng)險(xiǎn)控制核心控制要素和參考控制要素逐一分析的基礎(chǔ)上,構(gòu)建了符合新版標(biāo)準(zhǔn)要求的數(shù)字圖書館信息安全風(fēng)險(xiǎn)控制方法。

    數(shù)字圖書館;信息安全;ISO 27000;ISO 27001;ISO 27002;風(fēng)險(xiǎn)管理

    1 引言

    ISO 27000標(biāo)準(zhǔn)族是目前國(guó)際上最為通行的信息安全管理體系指導(dǎo)標(biāo)準(zhǔn)和最佳實(shí)踐。在ISO網(wǎng)站能查到的最新統(tǒng)計(jì)數(shù)據(jù)截止到2013年底,全球通過ISO 27000認(rèn)證的機(jī)構(gòu)總共有22293個(gè),涉及100多個(gè)國(guó)家,且認(rèn)證數(shù)量保持每年兩位數(shù)的增長(zhǎng)速度。2008年,ISO 27000標(biāo)準(zhǔn)族的主標(biāo)準(zhǔn)ISO 27001:2005和ISO 27002:2005分別對(duì)應(yīng)轉(zhuǎn)化為中國(guó)國(guó)家標(biāo)準(zhǔn)GB/T 22080-2008和GB/T 22081-2008,用于國(guó)內(nèi)機(jī)構(gòu)的信息安全管理體系建設(shè)和認(rèn)證。綜合考慮數(shù)字圖書館的業(yè)務(wù)流程和信息安全管理要求,遵循ISO 27000是數(shù)字圖書館信息安全管理實(shí)踐包括落實(shí)信息安全等級(jí)保護(hù)條例的最佳選擇。按照ISO 27000的思想,數(shù)字圖書館信息安全管理應(yīng)該包括風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制兩大過程。其中,風(fēng)險(xiǎn)評(píng)估用于識(shí)別數(shù)字圖書館所面臨的安全風(fēng)險(xiǎn),并計(jì)算具體風(fēng)險(xiǎn)的等級(jí)值作為實(shí)施風(fēng)險(xiǎn)控制的依據(jù)。風(fēng)險(xiǎn)控制則根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果選擇和實(shí)施適合的安全控制措施,目的是將風(fēng)險(xiǎn)始終控制在數(shù)字圖書館可以接受的范圍內(nèi)。風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制在ISO 27000標(biāo)準(zhǔn)族中分別對(duì)應(yīng)于ISO 27001和ISO 27002兩個(gè)主標(biāo)準(zhǔn),在已發(fā)布的版本中有2005和2013兩個(gè)版本。此前,根據(jù)2005年發(fā)布的ISO 27001:2005與ISO 27002:2005的思想和原則,國(guó)內(nèi)已經(jīng)在數(shù)字圖書館信息安全風(fēng)險(xiǎn)管理的過程方法、風(fēng)險(xiǎn)評(píng)估方法模型以及核心控制要素等方面提出了一系列的解決方案。而在2013年發(fā)布的ISO 27001:2013和ISO 27002: 2013中,對(duì)信息安全風(fēng)險(xiǎn)管理又提出了新的要求。數(shù)字圖書館信息安全管理有必要適應(yīng)新版標(biāo)準(zhǔn)的變化,根據(jù)2013版ISO 27000標(biāo)準(zhǔn)族的要求對(duì)風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)控制過程進(jìn)行相應(yīng)的調(diào)整。

    本文的研究目的在于對(duì)比2013版與2005版ISO 27000標(biāo)準(zhǔn)族的差異,分析2013版ISO 27000的思想、特點(diǎn)、框架、內(nèi)容等方面的變化及對(duì)數(shù)字圖書館信息安全風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制的影響,進(jìn)而指導(dǎo)新版國(guó)際標(biāo)準(zhǔn)下的數(shù)字圖書館信息安全風(fēng)險(xiǎn)管理的具體實(shí)踐。

    2 2013版ISO27000標(biāo)準(zhǔn)族的特點(diǎn)

    2013年10月19日,在ISO 27001:2005使用了8年后,業(yè)界期待已久的新版信息安全管理體系ISO 27001:2013正式發(fā)布,ISO 27002:2005也隨后同步更新為ISO 27002:2013,ISO 27000標(biāo)準(zhǔn)族的兩個(gè)主標(biāo)準(zhǔn)都更新到位。ISO 27003、27004、27005等相關(guān)標(biāo)準(zhǔn)亦正在修訂之中。較之2005版,ISO 27001:2013和ISO 27002:2013標(biāo)準(zhǔn)從框架、結(jié)構(gòu)、內(nèi)容、邏輯、要求等方面均有大幅改進(jìn),為指導(dǎo)組織建立、實(shí)施、保持和持續(xù)改進(jìn)信息安全管理體系規(guī)定了要求,并提供了更加靈活的實(shí)施空間。相比之下,新標(biāo)準(zhǔn)更貼合實(shí)際,具備更強(qiáng)的可操作性,其主要特點(diǎn)有:

    (1)結(jié)構(gòu)上有重大變動(dòng)。新版ISO 27001:2013采用了標(biāo)準(zhǔn)化的ISO Annex SL通用架構(gòu)——ISO導(dǎo)則83作為整個(gè)標(biāo)準(zhǔn)的結(jié)構(gòu)性要求(同ISO 22301)。ISO 27001從2008版的8章拓展到2013版的10章,并且對(duì)于PDCA過程方法的展開從章節(jié)架構(gòu)上進(jìn)行了調(diào)整。在ISO 27001:2013中,除了前三章節(jié)(范圍、規(guī)范性引用文件、術(shù)語(yǔ)和定義)沒有大的變化外,其它章節(jié)都進(jìn)行了調(diào)整,包括完整的Plan(計(jì)劃)、Do(運(yùn)行)、Check(檢查)、Act(改進(jìn))四個(gè)環(huán)節(jié)。經(jīng)過上述調(diào)整,ISO 27001:2013的結(jié)構(gòu)更為清晰、嚴(yán)謹(jǐn),在管理體系間的兼容性方面得到加強(qiáng),有利于不同管理體系間的接軌與整合。ISO 27002:2013則刪除了ISO 27002:2005中的第4章“風(fēng)險(xiǎn)評(píng)估與處置”,新增加了第2章“規(guī)范性引用文件”,使得安全控制域分章描述前的章節(jié)仍保持為4章。同時(shí),因?yàn)樵黾恿?個(gè)控制域,總章節(jié)數(shù)從15章增加到18章。

    (2)定位上有所區(qū)別。ISO 27001:2005指出,組織的信息安全管理應(yīng)由該組織的管理層負(fù)責(zé),而ISO 27001:2013則強(qiáng)調(diào),信息安全由組織的最高管理者負(fù)責(zé)。兩個(gè)版本用詞上的細(xì)微區(qū)別,反映的卻是新版標(biāo)準(zhǔn)對(duì)信息安全的定位在戰(zhàn)略意義上的提升。另外,在信息安全管理體系構(gòu)建主體方面,ISO 27001:2005以資產(chǎn)和技術(shù)為主體,而ISO 27001:2013以組織業(yè)務(wù)關(guān)系為主體。以組織業(yè)務(wù)關(guān)系為主體,將使信息安全管理體系的構(gòu)建流程更為連貫合理,并且可以減少交叉重復(fù)。老版標(biāo)準(zhǔn)濃墨重彩地強(qiáng)調(diào)了過程方法和PDCA,而新版標(biāo)準(zhǔn)在繼續(xù)遵循PDCA框架的前提下不再花大量的篇幅說明過程方法、模型這些其它標(biāo)準(zhǔn)中定義過的通用概念,而是重在提出目標(biāo)要求,對(duì)PDCA框架下具體方法的選擇不作規(guī)定。同樣,在風(fēng)險(xiǎn)評(píng)估的方法方面,新標(biāo)準(zhǔn)不再?gòu)?qiáng)調(diào)對(duì)資產(chǎn)、威脅、脆弱性等風(fēng)險(xiǎn)要素的識(shí)別,組織可以根據(jù)自身情況,靈活自由地選用任意可行的風(fēng)險(xiǎn)評(píng)估方法,或繼續(xù)使用現(xiàn)行的方法。可見,新版標(biāo)準(zhǔn)從管理者、主體、方法流程方面都做了重新定位,新的定位使操作更加實(shí)用、方便、靈活和有效。

    (3)要求上有所改進(jìn)。2005版共有11個(gè)控制域、39個(gè)安全類別、133項(xiàng)控制要素,而ISO 27001:2013附錄A和ISO 27002:2013的正文嚴(yán)格對(duì)應(yīng),包含了14個(gè)控制域、35個(gè)安全類別、113項(xiàng)控制要素。新版標(biāo)準(zhǔn)對(duì)老版中的部分控制域進(jìn)行了分解,對(duì)相近或類似的控制要素進(jìn)行了整合,同時(shí)刪除了部分過時(shí)的、過于具體的控制要素。另外,針對(duì)近幾年信息技術(shù)的發(fā)展,新增了部分控制要素,使得控制域和控制要素更加簡(jiǎn)潔明了并突顯重點(diǎn)。同時(shí),對(duì)檢查的要求也更加明確和嚴(yán)格,要求包括監(jiān)視、測(cè)量、分析、評(píng)價(jià)等環(huán)節(jié),并以5W1H(測(cè)什么、如何測(cè)、何時(shí)測(cè)、何時(shí)分析、誰來分析、誰負(fù)責(zé)評(píng)價(jià))等方式提出了監(jiān)視和測(cè)量的要求。整體而言,新版標(biāo)準(zhǔn)減少了對(duì)技術(shù)實(shí)現(xiàn)的關(guān)注,增加了對(duì)管理控制的要求,與信息安全領(lǐng)域“三分技術(shù)、七分管理”的黃金定律更加吻合。

    3 新標(biāo)準(zhǔn)要求下的數(shù)字圖書館信息安全風(fēng)險(xiǎn)評(píng)估

    2005版和2013版的ISO 27000標(biāo)準(zhǔn)族都把信息安全風(fēng)險(xiǎn)管理劃分為風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制兩個(gè)過程。而且,新老版本的標(biāo)準(zhǔn)又都把風(fēng)險(xiǎn)評(píng)估概括為建立準(zhǔn)則、選擇方法、識(shí)別風(fēng)險(xiǎn)、分析風(fēng)險(xiǎn)、評(píng)價(jià)風(fēng)險(xiǎn)5個(gè)環(huán)節(jié)。在ISO 27001:2005中,對(duì)風(fēng)險(xiǎn)評(píng)估的具體方法沒有作詳細(xì)規(guī)定,但整個(gè)風(fēng)險(xiǎn)識(shí)別與風(fēng)險(xiǎn)分析過程是依托于對(duì)資產(chǎn)價(jià)值、威脅、脆弱性、已實(shí)施的風(fēng)險(xiǎn)控制措施4種風(fēng)險(xiǎn)要素的識(shí)別、賦值和計(jì)算展開的。實(shí)際評(píng)估過程中,常常把已實(shí)施的風(fēng)險(xiǎn)控制措施的效果合并到脆弱性的識(shí)別、賦值與計(jì)算中。因此,遵循ISO 27001:2005標(biāo)準(zhǔn)實(shí)施的風(fēng)險(xiǎn)評(píng)估過程是以資產(chǎn)、威脅、脆弱性的識(shí)別、賦值、計(jì)算為核心的。在此基礎(chǔ)上,可以再依據(jù)選定的風(fēng)險(xiǎn)評(píng)估方法和模型計(jì)算出各風(fēng)險(xiǎn)項(xiàng)的風(fēng)險(xiǎn)值,并確定可接受風(fēng)險(xiǎn)與不可接受風(fēng)險(xiǎn),對(duì)不可接受風(fēng)險(xiǎn)依照ISO 27002:2005規(guī)定的方法進(jìn)入風(fēng)險(xiǎn)控制過程。

    依據(jù)ISO 27001:2005的規(guī)范,已經(jīng)有學(xué)者對(duì)數(shù)字圖書館的信息安全風(fēng)險(xiǎn)評(píng)估制定了詳細(xì)的資產(chǎn)、威脅、脆弱性素識(shí)別、賦值與計(jì)算方法。通過理論分析與實(shí)際評(píng)估結(jié)果的比較,還選定了與ISO 27001:2005相容的GB/T 20984-2007中的相乘法作為數(shù)字圖書館風(fēng)險(xiǎn)評(píng)估的具體方法與計(jì)算模型??梢哉f,以ISO 27001:2005的要求、原則與規(guī)范為準(zhǔn)繩,數(shù)字圖書館已經(jīng)形成了以資產(chǎn)、威脅、脆弱性等風(fēng)險(xiǎn)要素為核心的包括信息安全風(fēng)險(xiǎn)評(píng)估全過程的完整行為準(zhǔn)則、操作規(guī)范及具體評(píng)估方法與計(jì)算模型。

    與ISO 27001:2005不同,ISO 27001:2013在風(fēng)險(xiǎn)識(shí)別和風(fēng)險(xiǎn)分析過程中不再?gòu)?qiáng)調(diào)資產(chǎn)價(jià)值、威脅、脆弱性、已實(shí)施的控制措施等風(fēng)險(xiǎn)要素,這意味著任何組織在依照ISO 27001:2013評(píng)估信息安全風(fēng)險(xiǎn)時(shí),只須最終結(jié)果達(dá)到ISO 27001:2013的要求即可,在具體方法的選用方面可以更加寬泛和靈活。換句話說,符合ISO 27001:2013評(píng)估目的與要求的任意方法都是允許和可接受的,選用之前的方法包括ISO 27001:2005中推薦方法當(dāng)然也是可行的。ISO 27001:2013在指導(dǎo)制定和實(shí)施信息安全管理體系過程中多次強(qiáng)調(diào)組織需要、組織要求,風(fēng)險(xiǎn)評(píng)估的過程方法可繁可簡(jiǎn),完全取決于組織的需要和要求。組織可以根據(jù)自身的情況,選用合適的風(fēng)險(xiǎn)評(píng)估方法,或繼續(xù)使用現(xiàn)行的方法。

    ISO 27001:2013雖然放棄了對(duì)風(fēng)險(xiǎn)評(píng)估具體方法和過程的推薦,并多次強(qiáng)調(diào)只須達(dá)到組織的需要與要求即可,但對(duì)ISO 27001:2005中的方法卻并不排斥。具體到數(shù)字圖書館的信息安全風(fēng)險(xiǎn)評(píng)估,既然依照ISO 27001:2005中的方法已經(jīng)形成了完整和可操作的風(fēng)險(xiǎn)評(píng)估具體方法,并經(jīng)過實(shí)際評(píng)估證明可行,同時(shí)又滿足了ISO 27001:2013的所有要求,因此,在新版ISO 27000標(biāo)準(zhǔn)族要求下,數(shù)字圖書館信息安全風(fēng)險(xiǎn)評(píng)估無需變動(dòng),可采用之前依據(jù)ISO 27001:2005制定的方法與過程。

    4 新老標(biāo)準(zhǔn)中的信息安全風(fēng)險(xiǎn)控制及數(shù)字圖書館控制要素的選取

    4.1新老標(biāo)準(zhǔn)中的控制域、安全類別與控制要素對(duì)比

    2005版標(biāo)準(zhǔn)中共有11個(gè)控制域,2013版改為14個(gè)控制域。其中,保持不變的有“安全方針”“信息安全組織”“資產(chǎn)管理”“人力資源管理”“物理和環(huán)境安全”“訪問控制”“信息安全事件管理”“業(yè)務(wù)連續(xù)性管理”“符合性”等9個(gè)控制域,“通信與操作管理”控制域在新標(biāo)準(zhǔn)中被拆分為“操作安全”和“通信安全”2項(xiàng),“信息系統(tǒng)獲取、開發(fā)和維護(hù)”在新標(biāo)準(zhǔn)中被拆分成“密碼”與“系統(tǒng)獲取、開發(fā)和維護(hù)”兩項(xiàng)。新標(biāo)準(zhǔn)還新增了“供應(yīng)關(guān)系”控制域。

    在安全類別方面,2005版共有39項(xiàng)安全類別,2013版減少為35項(xiàng)安全類別。在新版標(biāo)準(zhǔn)中,2005版中的安全類別有的完全保留、有的被拆分成多個(gè)、有的多個(gè)被整合成一個(gè),還有的被直接刪去。2013版標(biāo)準(zhǔn)中完全新增的安全類別有3項(xiàng),它們是:移動(dòng)設(shè)備和遠(yuǎn)程辦公、供應(yīng)商關(guān)系中的信息安全、冗余。

    在控制要素方面,2005版共有133項(xiàng)控制要素,2013版減少為113項(xiàng)控制要素。同樣,在新版標(biāo)準(zhǔn)中,2005版中的控制要素有的完全保留、有的名稱或內(nèi)容略有變化、有的被拆分成多個(gè)、有的調(diào)整了所屬控制域,還有的被直接刪去。

    4.2數(shù)字圖書館風(fēng)險(xiǎn)控制要素的篩選及在新老標(biāo)準(zhǔn)中的對(duì)應(yīng)關(guān)系

    基于2005版ISO 27001的附錄A和ISO 27002的正文,通過對(duì)30家數(shù)字圖書館的實(shí)際調(diào)查,文獻(xiàn)[4]得到了適合數(shù)字圖書館的風(fēng)險(xiǎn)控制87項(xiàng)核心控制要素,分布于11個(gè)控制域和33個(gè)安全類別,另有參考控制要素34項(xiàng),分布于10個(gè)控制域和22個(gè)安全類別。所謂核心控制要素,是指對(duì)數(shù)字圖書館信息安全風(fēng)險(xiǎn)控制非常重要、作用很大的控制要素。而參考控制要素,則是重要性一般、有時(shí)會(huì)有一定作用的控制要素。除此之外的即為ISO 27002中對(duì)數(shù)字圖書館不起作用或沒有應(yīng)用場(chǎng)所的控制要素,不應(yīng)該出現(xiàn)在數(shù)字圖書館風(fēng)險(xiǎn)控制的控制要素列表中。數(shù)字圖書館控制要素選取的目標(biāo)就是區(qū)分這三類控制要素,數(shù)字圖書館風(fēng)險(xiǎn)控制要素列表中僅包含核心控制要素與參考控制要素。

    對(duì)2013版與2005版ISO 27001的附錄A和ISO 27002的正文經(jīng)過逐條、逐項(xiàng)進(jìn)行關(guān)聯(lián)對(duì)照和分析,尋找上述87項(xiàng)核心控制要素、34項(xiàng)參考控制要素在新版標(biāo)準(zhǔn)中的對(duì)應(yīng)位置,再對(duì)2013版的新增控制要素作認(rèn)真分析,并結(jié)合數(shù)字圖書館信息安全管理的現(xiàn)實(shí)情況,最終得到ISO 27002:2013標(biāo)準(zhǔn)下數(shù)字圖書館的核心控制要素和參考控制要素。其中,核心控制要素75項(xiàng),分布于13個(gè)控制域和29個(gè)控制類別,參考控制要素32項(xiàng),分布于11個(gè)控制域和17個(gè)安全類別(見表1、表2)。

    5 新老標(biāo)準(zhǔn)中的數(shù)字圖書館風(fēng)險(xiǎn)控制要素對(duì)比分析

    5.1新老標(biāo)準(zhǔn)中的數(shù)字圖書館信息安全管理核心控制要素對(duì)比分析

    數(shù)字圖書館核心控制要素在新老標(biāo)準(zhǔn)中的變化共有4種情況:刪除、保留、新增和調(diào)整。

    因?yàn)橐呀?jīng)從2013版中被刪除,那些已刪除的核心控制要素在表1并沒有出現(xiàn)。之前根據(jù)2005版標(biāo)準(zhǔn)得到的87項(xiàng)數(shù)字圖書館核心控制要素中,有21項(xiàng)未收入2013版標(biāo)準(zhǔn),因此,數(shù)字圖書館的核心控制要素應(yīng)該將這21項(xiàng)刪去。21項(xiàng)被刪去的核心控制要素具體名稱為:

    信息安全的管理承諾、信息安全協(xié)調(diào)、與政府部門的聯(lián)系、服務(wù)交付、控制移動(dòng)代碼、信息處理規(guī)程、系統(tǒng)文件安全、業(yè)務(wù)信息系統(tǒng)、監(jiān)視系統(tǒng)的使用、故障日志、外部連接的用戶鑒別、遠(yuǎn)程診斷和配置端口的保護(hù)、網(wǎng)絡(luò)連接控制、網(wǎng)絡(luò)路由控制、用戶標(biāo)識(shí)和鑒別、敏感系統(tǒng)隔離、輸入數(shù)據(jù)確認(rèn)、內(nèi)部處理的控制、消息完整性、信息泄露、業(yè)務(wù)連續(xù)性和風(fēng)險(xiǎn)評(píng)估。

    保留的核心控制要素在表1中用“完全對(duì)應(yīng)”表示。在基于新版標(biāo)準(zhǔn)的75項(xiàng)數(shù)字圖書館核心控制要素中共有42項(xiàng)的名稱、詳細(xì)內(nèi)容、控制目標(biāo)及控制域歸類等與老版標(biāo)準(zhǔn)完全一致。按照老版標(biāo)準(zhǔn)的篩選依據(jù),該42項(xiàng)控制要素仍舊屬于數(shù)字圖書館的核心控制要素(見表1)。

    新增的核心控制要素在表1中用“新增”表示。2013版新增各項(xiàng)控制要素中,有7項(xiàng)應(yīng)該作為數(shù)字圖書館的核心控制要素。具體內(nèi)容與理由如下:

    (1)用戶訪問設(shè)置。數(shù)字圖書館的用戶類型多樣,如館員和讀者,館員和讀者又可以再分為多種類型,每一類用戶都存在對(duì)應(yīng)的訪問權(quán)限設(shè)置問題。明確規(guī)定不同用戶的訪問權(quán)限并有正式的用戶設(shè)置過程非常有必要。因此,將“用戶訪問設(shè)置”確定為核心控制要素。

    (2)供應(yīng)商關(guān)系的信息安全策略、供應(yīng)協(xié)議中的安全問題、信息與通信技術(shù)供應(yīng)鏈。數(shù)字圖書館的電子資源、硬件設(shè)備、系統(tǒng)平臺(tái)以及網(wǎng)絡(luò)服務(wù)等工作均涉及采購(gòu)或外包,期間與各類供應(yīng)商的合作非常密切,應(yīng)該與供應(yīng)商就信息安全問題達(dá)成一致并形成文件,建立相關(guān)的信息安全要求,并在協(xié)議中確定相關(guān)的信息安全風(fēng)險(xiǎn)要求,以確保數(shù)字圖書館與供應(yīng)商合作關(guān)系中的信息安全。因此,將“供應(yīng)商關(guān)系的信息安全策略”“供應(yīng)商協(xié)議中的安全問題”“信息與通信技術(shù)供應(yīng)鏈”確定為核心控制要素。

    (3)信息安全事件的評(píng)估和確定、信息安全事件的響應(yīng)。對(duì)于任何組織而言,都應(yīng)該對(duì)已經(jīng)發(fā)生的信息安全高度重視。數(shù)字圖書館也不例外,應(yīng)該及時(shí)地評(píng)估確定已發(fā)生的信息安全事件并按照一定的程序予以處理,使信息安全事件的影響和損失最小化。因此,將“信息安全事件的評(píng)估和確定”“信息安全事件的響應(yīng)”確定為核心控制要素。

    (4)信息處理設(shè)施的可用性。與數(shù)字圖書館有關(guān)的服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)、電源等信息處理設(shè)施都應(yīng)該有充分冗余,以確保在任何變化和狀況下都能滿足其可用性的要求。因此,將“信息處理設(shè)施的可用性”確定為核心控制要素。

    調(diào)整的情況最復(fù)雜,在表1中的“名稱變化、內(nèi)容一致”“名稱變化、描述略變”“調(diào)整歸類”“拆分”4種情況都屬于調(diào)整。基于2005版ISO 27001和ISO 27002得到的數(shù)字圖書館信息安全87項(xiàng)核心控制要素中,有26項(xiàng)經(jīng)過一定的調(diào)整后依舊出現(xiàn)在2013版的標(biāo)準(zhǔn)中,這些控制要素仍是數(shù)字圖書館信息安全管理的核心控制要素。調(diào)整變化主要有三種形式:名稱改變而內(nèi)容表述完全一致、名稱改變且內(nèi)容表述略有變化、控制要素的控制域歸類發(fā)生變化。

    表1 基于ISO 27002:2013的數(shù)字圖書館信息安全管理核心控制要素列表

    表1 基于ISO 27002:2013的數(shù)字圖書館信息安全管理核心控制要素列表(續(xù))

    表2 基于ISO 27002:2013的數(shù)字圖書館信息安全管理參考控制要素列表

    名稱改變、內(nèi)容表述完全一致、控制域歸類也完全一致的核心控制要素共有8項(xiàng)(見表1)。

    名稱改變且內(nèi)容表述也略有變化、但控制域歸類完全一致的核心控制要素共有7項(xiàng)。包括有(括號(hào)前的為2013版中的編號(hào)與名稱,括號(hào)中為2005版中的編號(hào)與名稱):①3.3.1終止或責(zé)任變更(4.2.1終止職責(zé)),新標(biāo)準(zhǔn)中強(qiáng)調(diào)對(duì)于責(zé)任終止和變更情況不僅要有規(guī)定,還應(yīng)該傳達(dá)給所有相關(guān)人員知曉;②5.2.4用戶秘密認(rèn)證信息的管理(7.2.3用戶口令管理)、5.3.1秘密認(rèn)證信息的使用(7.3.1口令使用),新標(biāo)準(zhǔn)中用戶認(rèn)證信息的范圍不僅包括口令,還包括密鑰數(shù)據(jù)和其他存儲(chǔ)在產(chǎn)生認(rèn)證碼的硬件(如智能卡)的數(shù)據(jù);③5.4.4特權(quán)實(shí)用程序的使用(7.5.4系統(tǒng)實(shí)用工具的使用),新標(biāo)準(zhǔn)中將限制和嚴(yán)格控制的范圍縮小在可能超越、有特權(quán)的系統(tǒng)和應(yīng)用程序中;④11.1.6從信息安全事件中學(xué)習(xí)(9.2.2對(duì)信息安全事件的總結(jié)),老的標(biāo)準(zhǔn)強(qiáng)調(diào)從安全事件中學(xué)習(xí)總結(jié)的方法,而新標(biāo)準(zhǔn)強(qiáng)調(diào)的是結(jié)果,要從中獲取知識(shí)、減少未來相關(guān)事件發(fā)生的可能性;⑤12.1.1計(jì)劃信息安全連續(xù)性(10.1.1在業(yè)務(wù)連續(xù)性管理過程中包含信息安全),新標(biāo)準(zhǔn)更加細(xì)化,強(qiáng)調(diào)即便在不利的情況下(如危機(jī)或?yàn)?zāi)難)也要確保信息安全管理的連續(xù)性;⑥12.1.2實(shí)施信息安全的連續(xù)性(10.1.3制定和實(shí)施包含信息安全的連續(xù)性計(jì)劃),老標(biāo)準(zhǔn)強(qiáng)調(diào)在關(guān)鍵業(yè)務(wù)流程中斷和失效時(shí)要保持信息安全,而新標(biāo)準(zhǔn)則強(qiáng)調(diào)在任何不利的情況下都要保持信息安全的連續(xù)性。

    控制域歸類發(fā)生變化的核心控制要素共有11項(xiàng)(見表1)。其中,“2.1.2職責(zé)分割”是將老標(biāo)準(zhǔn)中“2信息安全組織”中的核心控制要素“信息處理設(shè)施的授權(quán)過程”和“6通信和操作管理”中的參考控制要素“責(zé)任分割”中的要求進(jìn)行合并,且改名為“職責(zé)分割”,統(tǒng)一置放于控制域“2信息安全組織”中,該項(xiàng)控制要素從組織的宏觀層面強(qiáng)調(diào)各類職責(zé)和權(quán)限的分割,以降低對(duì)組織資產(chǎn)的濫用。而“2.2.1移動(dòng)設(shè)備策略”是將老標(biāo)準(zhǔn)中“7訪問控制”中的參考控制要素“移動(dòng)計(jì)算和通訊”調(diào)整到控制域“2信息安全組織”中,且改名為“移動(dòng)設(shè)備策略”。對(duì)于數(shù)字圖書館而言,隨著移動(dòng)網(wǎng)絡(luò)的發(fā)展普及,數(shù)字圖書館的業(yè)務(wù)流程也逐步到移動(dòng)終端,應(yīng)該加強(qiáng)相關(guān)管理措施,因此調(diào)整為核心控制要素。其他9項(xiàng)控制要素的名稱和內(nèi)容沒有變化,而其控制域歸類發(fā)生了變化(見表3)。該9項(xiàng)控制要素在2005版中就屬于核心控制要素,因此在2013版中仍保留為數(shù)字圖書館的核心控制要素。

    表3 新老標(biāo)準(zhǔn)中控制域歸類發(fā)生變化的核心控制要素列表

    5.2新老標(biāo)準(zhǔn)中的數(shù)字圖書館信息安全管理參考控制要素對(duì)比分析

    數(shù)字圖書館參考控制要素在新老標(biāo)準(zhǔn)中的變化共有5種情況:刪除、保留、新增、拆分和調(diào)整。

    2005版的數(shù)字圖書館參考控制要素中有10項(xiàng)未出現(xiàn)在2013版的數(shù)字圖書館參考控制要素中。其中,“移動(dòng)計(jì)算和通訊”“責(zé)任分割”2項(xiàng)在2013版中被調(diào)整為核心控制要素?!疤幚砼c顧客有關(guān)的安全問題”“防止濫用信息處理設(shè)施”“會(huì)話超時(shí)”“聯(lián)機(jī)時(shí)間的限定”“輸出數(shù)據(jù)確認(rèn)”“網(wǎng)絡(luò)上的設(shè)備標(biāo)識(shí)”“信息系統(tǒng)審計(jì)工具的保護(hù)”“業(yè)務(wù)連續(xù)性計(jì)劃框架”8項(xiàng)被2013版標(biāo)準(zhǔn)刪除,故也未出現(xiàn)在新版的數(shù)字圖書館參考控制要素中。

    保留的參考控制要素用“完全對(duì)應(yīng)”表示,共有16項(xiàng)。

    新增的參考控制要素用“新增”表示,共有7項(xiàng)。具體內(nèi)容與理由如下:

    (1)項(xiàng)目管理中的信息安全、安全開發(fā)策略、安全系統(tǒng)工程原則、安全開發(fā)環(huán)境、系統(tǒng)安全測(cè)試。上述5項(xiàng)控制要素更傾向于在系統(tǒng)工程、項(xiàng)目開發(fā)或軟件研發(fā)的過程中對(duì)信息安全管理、環(huán)境、測(cè)試等方面的要求,而數(shù)字圖書館本身自行開發(fā)的項(xiàng)目工程比較少,無須在這方面作嚴(yán)格的要求。因此,上述5項(xiàng)控制要素列入?yún)⒖伎刂埔亍?/p>

    (2)時(shí)鐘同步。對(duì)于系統(tǒng)的監(jiān)視與日志分析有較大的幫助,“時(shí)鐘同步”可以作為參考控制要素加以限制。

    (3)限制軟件安裝。該項(xiàng)控制要素要求組織制定軟件安裝管理規(guī)則,并嚴(yán)格執(zhí)行和監(jiān)督,而數(shù)字圖書館的員工因工作性質(zhì)的不同對(duì)軟件安裝的要求差異較大,實(shí)際工作中可以列出禁止安裝的軟件清單(如游戲軟件)或必須安裝的軟件清單(如安全防護(hù)軟件),不需要規(guī)定只能安裝哪些軟件。因此,“限制軟件安裝”可作為參考控制要素。

    拆分的參考控制要素用“拆分”表示。2005版的數(shù)字圖書館參考控制要素中只有“信息標(biāo)識(shí)與處置”存在這種情況,該項(xiàng)控制要素在2013版中被拆分為“信息的標(biāo)記”“資產(chǎn)的處置”2項(xiàng)。

    調(diào)整參考控制要素有“名稱變化,描述略變”和“名稱變化,內(nèi)容一致”兩種表現(xiàn),共有7項(xiàng)。其中,“名稱變化,描述略變”的有2項(xiàng),“名稱變化,內(nèi)容一致”的有5項(xiàng)。

    6 結(jié)語(yǔ)

    本文結(jié)合數(shù)字圖書館的實(shí)際情況和之前的相關(guān)研究成果,對(duì)2013版ISO 27000系列標(biāo)準(zhǔn)下的數(shù)字圖書館風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制做了對(duì)比與分析。2013版的標(biāo)準(zhǔn)在風(fēng)險(xiǎn)評(píng)估方面更加強(qiáng)調(diào)組織的需要與要求,強(qiáng)調(diào)評(píng)估結(jié)果與組織需求的結(jié)合,而具體方法的選用則更加寬泛和靈活,數(shù)字圖書館信息安全的風(fēng)險(xiǎn)評(píng)估可繼續(xù)延用依據(jù)2005版標(biāo)準(zhǔn)制定的方法和模型。2013版標(biāo)準(zhǔn)的風(fēng)險(xiǎn)控制在2005版基礎(chǔ)上有較大改變,相應(yīng)地,數(shù)字圖書館信息安全風(fēng)險(xiǎn)控制的核心控制要素與參考控制要素也有比較大的變動(dòng)。新標(biāo)準(zhǔn)下的數(shù)字圖書館風(fēng)險(xiǎn)控制要素是在2005版的基礎(chǔ)上經(jīng)刪除、保留、新增、拆分和調(diào)整得來的,更具操作性和實(shí)踐指導(dǎo)意義。綜合數(shù)字圖書館的風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)控制,就形成了2013版ISO 27000系列標(biāo)準(zhǔn)要求下的數(shù)字圖書館信息安全管理整體解決方法。

    [1]The ISO Survey of Management System Standard Certifications-2013[EB/OL].[2015-08-17].http://www.iso.org/iso/iso_sur vey_executive-summary.pdf?v2013.

    [2]GB/T 22080:2008,信息技術(shù)-安全技術(shù)-信息安全管理體系-要求[S].北京:中國(guó)標(biāo)準(zhǔn)出版社,2008.

    [3]茆意宏,黃水清.數(shù)字圖書館信息安全管理依從標(biāo)準(zhǔn)的選擇[J].中國(guó)圖書館學(xué)報(bào),2010(4):54-59.

    [4]黃水清.數(shù)字圖書館信息安全管理[M].南京:南京大學(xué)出版社,2011.

    [5]黃水清,茆意宏,熊健.數(shù)字圖書館信息安全風(fēng)險(xiǎn)評(píng)估[J].現(xiàn)代圖書情報(bào)技術(shù),2010(7/8):33-38.

    [6]黃水清,任妮.數(shù)字圖書館信息安全風(fēng)險(xiǎn)控制[J].現(xiàn)代圖書情報(bào)技術(shù),2010(7/8):39-44.

    [7]黃水清,任妮.數(shù)字圖書館信息安全風(fēng)險(xiǎn)評(píng)估的方法與模型[J].圖書情報(bào)工作,2014(2):14-20.

    [8]黃水清.數(shù)字圖書館信息安全管理的過程方法[J].圖書情報(bào)工作,2013(11):5-11.

    [9]老李飛刀.ISO 27001:2013新版解讀精要[EB/OL].[2015-08-18].http://www.srxh1314.com/iso27001-2013-resolve-2.html.

    [10]ISO/IEC 27001:2013.Information Technology—Security Techniques—Information Security Management Systems—Requirements[S].Geneva:International Organization for Standardization,2013.

    [11]白云廣.ISO/IEC27001:2013概述與改版分析[J].中國(guó)標(biāo)準(zhǔn)導(dǎo)報(bào),2014(12):45-48.

    [12]安言咨詢.ISO27001:2013新版信息安全管理體系標(biāo)準(zhǔn)變化精解[EB/OL].[2015-08-18].http://wenku.baidu.com/view /73d382e826fff705cd170a2f.html.

    [13]GB/T20984-2007,信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范[S].北京:國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局,2007.

    [14]ISO/IEC 27005:2008.Information technology—Security techniques—Information security risk management[S].Geneva:International Organization for Standardization,2008.

    Information Security Management of Digital Libraries Based on the ISO 27001:2013 and ISO 27002:2013

    The 2013 version of ISO 27000 standards was compared with that of 2005 andthe influence of the standards change on risk assessment and risk control of digital library information security was analyzed,and then it is pointed out that the information security risk assessment method and model of digital library based on version 2005 can be used in version 2013.Based on the analysis of the core control elements and reference ones one by one,this article built the information security risk control method of the digital library according to the new version standards.

    digital library;information security;ISO 27000;ISO 27001;ISO 27002;risk management

    G250.76

    ADOI:10.11968/tsyqb.1003-6938.2015125

    *本文系國(guó)家哲學(xué)社會(huì)科學(xué)基金重點(diǎn)項(xiàng)目“數(shù)字圖書館信息安全管理標(biāo)準(zhǔn)規(guī)范研究”(項(xiàng)目編號(hào):12ATQ001)研究成果之一。

    2015-11-19;責(zé)任編輯:魏志鵬

    任妮,女,南京農(nóng)業(yè)大學(xué)信息科技學(xué)院博士研究生,江蘇省農(nóng)業(yè)科學(xué)院農(nóng)業(yè)經(jīng)濟(jì)與信息研究所助理研究員;黃水清,男,南京農(nóng)業(yè)大學(xué)信息科技學(xué)院教授,博士生導(dǎo)師。

    猜你喜歡
    信息安全要素核心
    我是如何拍攝天和核心艙的
    軍事文摘(2022年14期)2022-08-26 08:16:40
    近觀天和核心艙
    軍事文摘(2022年14期)2022-08-26 08:16:22
    你好!我是“天和”核心艙
    軍事文摘(2022年12期)2022-07-13 03:12:18
    掌握這6點(diǎn)要素,讓肥水更高效
    保護(hù)信息安全要滴水不漏
    觀賞植物的色彩要素在家居設(shè)計(jì)中的應(yīng)用
    高校信息安全防護(hù)
    論美術(shù)中“七大要素”的辯證關(guān)系
    保護(hù)個(gè)人信息安全刻不容緩
    也談做人的要素
    山東青年(2016年2期)2016-02-28 14:25:36
    精品一区在线观看国产| 免费看光身美女| 欧美性猛交╳xxx乱大交人| 亚洲精品,欧美精品| 日日摸夜夜添夜夜添av毛片| 亚洲av成人精品一二三区| 日韩在线高清观看一区二区三区| 少妇人妻久久综合中文| 波野结衣二区三区在线| 久久久久久久亚洲中文字幕| 国语对白做爰xxxⅹ性视频网站| freevideosex欧美| 伊人久久精品亚洲午夜| 精品99又大又爽又粗少妇毛片| 嫩草影院新地址| 只有这里有精品99| 国产熟女欧美一区二区| 国产综合懂色| 国产黄色视频一区二区在线观看| 国产一区二区亚洲精品在线观看| 3wmmmm亚洲av在线观看| 91aial.com中文字幕在线观看| 尤物成人国产欧美一区二区三区| 久久韩国三级中文字幕| 少妇的逼好多水| 亚洲天堂av无毛| 亚洲国产高清在线一区二区三| av黄色大香蕉| 精品一区二区三区视频在线| 深爱激情五月婷婷| 久久精品综合一区二区三区| 国产一区亚洲一区在线观看| 午夜激情久久久久久久| 国产精品国产三级国产av玫瑰| 日韩在线高清观看一区二区三区| 国产亚洲av片在线观看秒播厂| 麻豆成人午夜福利视频| 精品少妇黑人巨大在线播放| 看免费成人av毛片| 一级毛片黄色毛片免费观看视频| 免费av观看视频| 亚洲精品一二三| .国产精品久久| 国产免费福利视频在线观看| 精品酒店卫生间| 欧美激情久久久久久爽电影| 熟女av电影| 久久精品熟女亚洲av麻豆精品| 免费观看av网站的网址| 熟女av电影| 亚洲成色77777| 欧美成人一区二区免费高清观看| 日韩成人伦理影院| 成人一区二区视频在线观看| 亚洲国产精品成人久久小说| 日韩强制内射视频| 国内揄拍国产精品人妻在线| 午夜福利网站1000一区二区三区| 成人一区二区视频在线观看| 麻豆精品久久久久久蜜桃| 噜噜噜噜噜久久久久久91| 亚洲真实伦在线观看| av在线老鸭窝| 成年人午夜在线观看视频| 亚洲自拍偷在线| 色网站视频免费| 色视频www国产| 在线免费十八禁| 国产亚洲最大av| 菩萨蛮人人尽说江南好唐韦庄| 在线天堂最新版资源| 亚洲国产高清在线一区二区三| 日韩,欧美,国产一区二区三区| 久久久久精品性色| 青春草亚洲视频在线观看| 搡老乐熟女国产| 日日撸夜夜添| 国产黄频视频在线观看| 最近中文字幕2019免费版| 日韩在线高清观看一区二区三区| 男人狂女人下面高潮的视频| 男插女下体视频免费在线播放| 日本猛色少妇xxxxx猛交久久| 国产亚洲5aaaaa淫片| 欧美日韩综合久久久久久| 亚洲av中文字字幕乱码综合| 亚洲精品456在线播放app| 久久久久网色| 欧美激情在线99| 亚洲精品久久午夜乱码| 欧美激情久久久久久爽电影| 国产成人精品一,二区| 欧美xxxx性猛交bbbb| 国产高清国产精品国产三级 | 一二三四中文在线观看免费高清| 亚洲综合色惰| 我的女老师完整版在线观看| 国产欧美另类精品又又久久亚洲欧美| 国产淫语在线视频| 成人鲁丝片一二三区免费| 嫩草影院入口| 亚洲国产欧美人成| 在线观看av片永久免费下载| 熟妇人妻不卡中文字幕| 欧美另类一区| 99视频精品全部免费 在线| 热re99久久精品国产66热6| 在线观看三级黄色| 在线精品无人区一区二区三 | 国产高清不卡午夜福利| 午夜激情福利司机影院| 男女下面进入的视频免费午夜| 亚洲国产精品国产精品| av在线天堂中文字幕| 亚洲国产精品专区欧美| 国产真实伦视频高清在线观看| 你懂的网址亚洲精品在线观看| 97在线人人人人妻| 女人被狂操c到高潮| 亚洲成人久久爱视频| 日韩免费高清中文字幕av| 69av精品久久久久久| 夫妻午夜视频| 爱豆传媒免费全集在线观看| 最新中文字幕久久久久| 日韩精品有码人妻一区| 国产爱豆传媒在线观看| 我的老师免费观看完整版| 久久热精品热| 亚洲欧美精品专区久久| 精品国产三级普通话版| av在线观看视频网站免费| 免费大片黄手机在线观看| 成年av动漫网址| 免费在线观看成人毛片| 五月天丁香电影| 18禁在线无遮挡免费观看视频| 噜噜噜噜噜久久久久久91| 一级a做视频免费观看| 在线观看三级黄色| 亚洲自偷自拍三级| 777米奇影视久久| 一级毛片电影观看| 欧美性猛交╳xxx乱大交人| 毛片一级片免费看久久久久| 国产成人aa在线观看| 久久久久久久国产电影| 亚洲三级黄色毛片| 男女无遮挡免费网站观看| 在线观看一区二区三区激情| 男女那种视频在线观看| 精品视频人人做人人爽| 久久久精品免费免费高清| 国产精品99久久久久久久久| 国产成人精品福利久久| 成年女人看的毛片在线观看| 2021天堂中文幕一二区在线观| 免费av观看视频| 秋霞伦理黄片| 夜夜爽夜夜爽视频| 男女那种视频在线观看| videos熟女内射| 新久久久久国产一级毛片| 国产在线一区二区三区精| 婷婷色av中文字幕| 建设人人有责人人尽责人人享有的 | 亚洲国产精品成人综合色| 久久久精品欧美日韩精品| 亚洲一级一片aⅴ在线观看| 免费av毛片视频| 久久久久久久久大av| 九九久久精品国产亚洲av麻豆| 日韩av不卡免费在线播放| 久久热精品热| 人人妻人人爽人人添夜夜欢视频 | 国产精品久久久久久久电影| 男人舔奶头视频| 九九在线视频观看精品| www.av在线官网国产| 一级毛片黄色毛片免费观看视频| 午夜免费男女啪啪视频观看| 国产欧美日韩一区二区三区在线 | 最近中文字幕高清免费大全6| 国国产精品蜜臀av免费| 国产精品人妻久久久影院| 丰满人妻一区二区三区视频av| 搡女人真爽免费视频火全软件| freevideosex欧美| 亚洲av中文av极速乱| 国产黄色免费在线视频| 身体一侧抽搐| 国产爱豆传媒在线观看| 男人舔奶头视频| 国产成人91sexporn| 狂野欧美激情性xxxx在线观看| 欧美日韩在线观看h| 亚洲精品aⅴ在线观看| 欧美精品一区二区大全| 一区二区三区精品91| 亚洲精品久久久久久婷婷小说| 少妇高潮的动态图| 免费av不卡在线播放| 亚洲色图av天堂| 亚洲人成网站高清观看| 91狼人影院| 欧美xxⅹ黑人| 精品人妻偷拍中文字幕| freevideosex欧美| 久久国产乱子免费精品| 国内揄拍国产精品人妻在线| 免费av毛片视频| xxx大片免费视频| 九色成人免费人妻av| 欧美国产精品一级二级三级 | 成人鲁丝片一二三区免费| 免费看av在线观看网站| 成人亚洲精品av一区二区| 亚洲美女搞黄在线观看| av黄色大香蕉| 亚洲人成网站高清观看| 久热这里只有精品99| 日日摸夜夜添夜夜添av毛片| 亚洲色图av天堂| 搡女人真爽免费视频火全软件| 搡女人真爽免费视频火全软件| 伦理电影大哥的女人| 国产精品久久久久久久电影| 亚洲欧美成人综合另类久久久| 91久久精品电影网| 亚洲激情五月婷婷啪啪| 哪个播放器可以免费观看大片| 中文欧美无线码| 五月伊人婷婷丁香| 一本—道久久a久久精品蜜桃钙片 精品乱码久久久久久99久播 | av福利片在线观看| 欧美精品一区二区大全| 成人国产av品久久久| 视频区图区小说| 麻豆国产97在线/欧美| 卡戴珊不雅视频在线播放| 少妇 在线观看| 亚洲精华国产精华液的使用体验| 欧美日韩综合久久久久久| 26uuu在线亚洲综合色| 国产精品秋霞免费鲁丝片| 日产精品乱码卡一卡2卡三| 久久精品国产亚洲av涩爱| 成人亚洲精品一区在线观看 | 18禁裸乳无遮挡免费网站照片| 久久午夜福利片| 国产 精品1| 免费看日本二区| 亚洲国产精品国产精品| 精品视频人人做人人爽| 在线亚洲精品国产二区图片欧美 | 水蜜桃什么品种好| 国产亚洲av片在线观看秒播厂| 国产白丝娇喘喷水9色精品| 大又大粗又爽又黄少妇毛片口| 久久久久久久午夜电影| 深夜a级毛片| 插阴视频在线观看视频| 亚洲av男天堂| 国产成人福利小说| 啦啦啦中文免费视频观看日本| 成人漫画全彩无遮挡| 综合色丁香网| 午夜福利视频1000在线观看| 美女高潮的动态| 国产亚洲av片在线观看秒播厂| 国产伦在线观看视频一区| 精品国产露脸久久av麻豆| 日韩伦理黄色片| 国产高清国产精品国产三级 | 国产高潮美女av| 亚洲天堂av无毛| 国产精品国产三级国产av玫瑰| 欧美精品国产亚洲| 日日摸夜夜添夜夜爱| 插阴视频在线观看视频| 亚洲精品456在线播放app| 成年女人在线观看亚洲视频 | 国产一区亚洲一区在线观看| 久久精品久久精品一区二区三区| 亚洲精品,欧美精品| 久久久久久久午夜电影| 国产黄片视频在线免费观看| 九色成人免费人妻av| 国产高清有码在线观看视频| 91精品伊人久久大香线蕉| 人妻少妇偷人精品九色| 尤物成人国产欧美一区二区三区| av女优亚洲男人天堂| 美女视频免费永久观看网站| 大又大粗又爽又黄少妇毛片口| 97超碰精品成人国产| 久久久久久久久久久免费av| 汤姆久久久久久久影院中文字幕| 身体一侧抽搐| 日本wwww免费看| 午夜免费鲁丝| 亚洲国产成人一精品久久久| 日韩在线高清观看一区二区三区| 中国美白少妇内射xxxbb| 国产免费福利视频在线观看| 男女下面进入的视频免费午夜| 2018国产大陆天天弄谢| 久久97久久精品| 欧美xxxx性猛交bbbb| 免费黄频网站在线观看国产| 插逼视频在线观看| 啦啦啦在线观看免费高清www| 欧美成人a在线观看| av在线app专区| 在线天堂最新版资源| 久久99精品国语久久久| 啦啦啦在线观看免费高清www| 欧美性猛交╳xxx乱大交人| 国产亚洲精品久久久com| 亚洲精品乱码久久久v下载方式| 午夜视频国产福利| 日本黄大片高清| www.色视频.com| 国产精品久久久久久av不卡| 晚上一个人看的免费电影| 人人妻人人爽人人添夜夜欢视频 | 26uuu在线亚洲综合色| 国产高清有码在线观看视频| 少妇熟女欧美另类| 免费黄频网站在线观看国产| 国产免费一级a男人的天堂| 丰满乱子伦码专区| 美女高潮的动态| 三级经典国产精品| av免费在线看不卡| 18禁在线无遮挡免费观看视频| 午夜激情福利司机影院| 最近最新中文字幕大全电影3| 国产毛片a区久久久久| 白带黄色成豆腐渣| 久久久久久久精品精品| 午夜福利网站1000一区二区三区| 日韩av不卡免费在线播放| 看黄色毛片网站| 蜜臀久久99精品久久宅男| 成人国产麻豆网| 午夜日本视频在线| av在线蜜桃| 亚洲精品色激情综合| videossex国产| av黄色大香蕉| 熟女电影av网| xxx大片免费视频| 在线免费十八禁| av专区在线播放| 亚洲精品aⅴ在线观看| 爱豆传媒免费全集在线观看| 免费观看的影片在线观看| 18+在线观看网站| 婷婷色麻豆天堂久久| 亚洲av国产av综合av卡| 色吧在线观看| 女人十人毛片免费观看3o分钟| 精品久久久久久久久av| 日韩欧美精品免费久久| 极品教师在线视频| 特级一级黄色大片| 男人舔奶头视频| 大片电影免费在线观看免费| 午夜福利视频1000在线观看| 国产亚洲av片在线观看秒播厂| 欧美+日韩+精品| 日日啪夜夜撸| 舔av片在线| 亚洲精品国产av蜜桃| 国产精品一区二区三区四区免费观看| 制服丝袜香蕉在线| 97超视频在线观看视频| 国产亚洲av嫩草精品影院| 欧美成人午夜免费资源| 国产成人精品福利久久| 亚洲国产av新网站| 国产亚洲av嫩草精品影院| 久久久a久久爽久久v久久| 亚洲成人av在线免费| 2018国产大陆天天弄谢| 精品久久久久久久末码| 在线亚洲精品国产二区图片欧美 | 日韩不卡一区二区三区视频在线| 欧美性感艳星| 日韩一区二区三区影片| 伦精品一区二区三区| 日韩伦理黄色片| 日韩 亚洲 欧美在线| av在线播放精品| 日韩 亚洲 欧美在线| 亚洲国产日韩一区二区| 一区二区av电影网| 国产精品熟女久久久久浪| 免费看不卡的av| 男的添女的下面高潮视频| 国产亚洲午夜精品一区二区久久 | 日日啪夜夜爽| 欧美高清成人免费视频www| 国产精品无大码| 在线观看免费高清a一片| 精品一区二区三卡| 天天躁夜夜躁狠狠久久av| 综合色av麻豆| 久久久久久久大尺度免费视频| 国产精品.久久久| 亚洲内射少妇av| 女人被狂操c到高潮| 国产毛片a区久久久久| 一本色道久久久久久精品综合| 一本久久精品| 精品久久久噜噜| 久久女婷五月综合色啪小说 | 在线观看一区二区三区| 天美传媒精品一区二区| 欧美日韩亚洲高清精品| 搞女人的毛片| 少妇的逼好多水| 亚洲综合精品二区| 成人欧美大片| 交换朋友夫妻互换小说| 午夜激情久久久久久久| 丰满少妇做爰视频| 久久久精品免费免费高清| 蜜臀久久99精品久久宅男| 一区二区三区乱码不卡18| 国产淫语在线视频| 2021天堂中文幕一二区在线观| 深爱激情五月婷婷| 亚洲图色成人| 国产爱豆传媒在线观看| 久久影院123| 99热这里只有精品一区| 夜夜看夜夜爽夜夜摸| 国产亚洲最大av| 韩国高清视频一区二区三区| 美女内射精品一级片tv| 男男h啪啪无遮挡| 国产亚洲av片在线观看秒播厂| 岛国毛片在线播放| 精品久久久久久久久av| 久久久久久久大尺度免费视频| 在线天堂最新版资源| 校园人妻丝袜中文字幕| 久久精品国产鲁丝片午夜精品| 精品国产露脸久久av麻豆| 成人漫画全彩无遮挡| 极品少妇高潮喷水抽搐| 国产午夜精品久久久久久一区二区三区| 久久6这里有精品| 国产伦精品一区二区三区四那| 久久精品久久久久久噜噜老黄| 亚洲内射少妇av| 精品99又大又爽又粗少妇毛片| 精品酒店卫生间| 国产精品三级大全| 女人被狂操c到高潮| 国产熟女欧美一区二区| 一级二级三级毛片免费看| 伊人久久国产一区二区| 91午夜精品亚洲一区二区三区| 国产精品爽爽va在线观看网站| 一级黄片播放器| 国产老妇女一区| 亚洲av一区综合| 又黄又爽又刺激的免费视频.| 国产高潮美女av| 亚洲aⅴ乱码一区二区在线播放| 丝袜喷水一区| 亚洲天堂av无毛| 亚洲欧美日韩另类电影网站 | 春色校园在线视频观看| 国产精品不卡视频一区二区| 国产精品人妻久久久影院| 熟妇人妻不卡中文字幕| 在线天堂最新版资源| 麻豆国产97在线/欧美| 亚洲成人一二三区av| 白带黄色成豆腐渣| 偷拍熟女少妇极品色| 别揉我奶头 嗯啊视频| 国内精品美女久久久久久| 人人妻人人爽人人添夜夜欢视频 | 午夜老司机福利剧场| 成人欧美大片| 精品国产乱码久久久久久小说| 国产精品熟女久久久久浪| 九草在线视频观看| 色哟哟·www| 中文在线观看免费www的网站| 午夜福利高清视频| av卡一久久| 日韩成人伦理影院| 五月玫瑰六月丁香| 欧美成人午夜免费资源| 交换朋友夫妻互换小说| 午夜福利视频精品| kizo精华| 亚洲欧美成人综合另类久久久| 日本欧美国产在线视频| 成人亚洲精品一区在线观看 | 看免费成人av毛片| 国产男人的电影天堂91| 丝瓜视频免费看黄片| 男人舔奶头视频| 亚洲aⅴ乱码一区二区在线播放| 97在线人人人人妻| 一区二区三区精品91| 美女cb高潮喷水在线观看| 日韩国内少妇激情av| 一边亲一边摸免费视频| 国产久久久一区二区三区| 亚洲精品视频女| 99久久精品国产国产毛片| 国产欧美亚洲国产| 亚洲精品国产色婷婷电影| 老女人水多毛片| 婷婷色综合大香蕉| 一级黄片播放器| 欧美xxⅹ黑人| av卡一久久| 国产一区二区三区综合在线观看 | 男插女下体视频免费在线播放| 男女那种视频在线观看| 只有这里有精品99| 精品一区二区三区视频在线| 国产毛片在线视频| 欧美日韩视频精品一区| 亚洲欧美一区二区三区国产| 成人亚洲欧美一区二区av| 日日摸夜夜添夜夜爱| 欧美潮喷喷水| 各种免费的搞黄视频| 新久久久久国产一级毛片| 亚洲天堂av无毛| 麻豆成人午夜福利视频| 91狼人影院| 一级毛片电影观看| 波多野结衣巨乳人妻| 狂野欧美激情性xxxx在线观看| 亚洲精品第二区| 三级国产精品欧美在线观看| 免费观看无遮挡的男女| 亚洲性久久影院| 国产伦精品一区二区三区视频9| 国产精品一区www在线观看| 全区人妻精品视频| 嫩草影院新地址| 99re6热这里在线精品视频| 国产一区二区亚洲精品在线观看| a级毛色黄片| 久久热精品热| 国产淫片久久久久久久久| 永久网站在线| 男人和女人高潮做爰伦理| 白带黄色成豆腐渣| 亚洲色图综合在线观看| 搞女人的毛片| 亚洲精品国产成人久久av| 99久久精品一区二区三区| 午夜激情久久久久久久| 国产日韩欧美在线精品| 色吧在线观看| videos熟女内射| www.色视频.com| 97在线人人人人妻| 少妇人妻久久综合中文| 国产亚洲av片在线观看秒播厂| 黄片无遮挡物在线观看| 51国产日韩欧美| 日本黄大片高清| 国产精品嫩草影院av在线观看| 看十八女毛片水多多多| 嫩草影院精品99| 成人高潮视频无遮挡免费网站| 高清av免费在线| 亚洲av成人精品一区久久| 成人国产av品久久久| eeuss影院久久| 如何舔出高潮| 亚洲精品久久久久久婷婷小说| 婷婷色综合www| 你懂的网址亚洲精品在线观看| 69av精品久久久久久| 大香蕉久久网| 91在线精品国自产拍蜜月| 国产一区二区三区综合在线观看 | 亚洲av不卡在线观看| 亚洲自拍偷在线| 欧美成人精品欧美一级黄| 免费观看a级毛片全部| 又爽又黄无遮挡网站| 久久国产乱子免费精品| 亚洲精品国产av蜜桃| 日韩不卡一区二区三区视频在线| 特大巨黑吊av在线直播| 五月伊人婷婷丁香| 亚洲成人一二三区av| 日韩中字成人| 中文字幕免费在线视频6| 国产成人精品久久久久久| 亚洲av免费高清在线观看| 我的老师免费观看完整版| 国产片特级美女逼逼视频| 男的添女的下面高潮视频| 亚洲欧美一区二区三区国产| 亚洲一区二区三区欧美精品 | 大香蕉久久网| 性插视频无遮挡在线免费观看| 免费大片黄手机在线观看|