• <tr id="yyy80"></tr>
  • <sup id="yyy80"></sup>
  • <tfoot id="yyy80"><noscript id="yyy80"></noscript></tfoot>
  • 99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

    新版ISO 27000要求下的數(shù)字圖書館信息安全管理*

    2015-08-23 03:43:50黃水清南京農(nóng)業(yè)大學(xué)信息科學(xué)技術(shù)學(xué)院江蘇南京20095江蘇省農(nóng)業(yè)科學(xué)院農(nóng)業(yè)經(jīng)濟(jì)與信息研究所江蘇南京2004
    圖書與情報(bào) 2015年6期
    關(guān)鍵詞:信息安全要素核心

    任 妮 黃水清(.南京農(nóng)業(yè)大學(xué)信息科學(xué)技術(shù)學(xué)院江蘇南京20095)(2.江蘇省農(nóng)業(yè)科學(xué)院農(nóng)業(yè)經(jīng)濟(jì)與信息研究所江蘇南京2004)

    ·圖書館與圖書館事業(yè)·

    新版ISO 27000要求下的數(shù)字圖書館信息安全管理*

    任妮黃水清
    (1.南京農(nóng)業(yè)大學(xué)信息科學(xué)技術(shù)學(xué)院江蘇南京210095)
    (2.江蘇省農(nóng)業(yè)科學(xué)院農(nóng)業(yè)經(jīng)濟(jì)與信息研究所江蘇南京210014)

    文章對(duì)比了2013版與2005版ISO27 000標(biāo)準(zhǔn)族的差異,分析了新老標(biāo)準(zhǔn)變化對(duì)數(shù)字圖書館信息安全風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制的影響,指出數(shù)字圖書館信息安全的風(fēng)險(xiǎn)評(píng)估可延用2005版的方法與模型,并在對(duì)數(shù)字圖書館信息安全風(fēng)險(xiǎn)控制核心控制要素和參考控制要素逐一分析的基礎(chǔ)上,構(gòu)建了符合新版標(biāo)準(zhǔn)要求的數(shù)字圖書館信息安全風(fēng)險(xiǎn)控制方法。

    數(shù)字圖書館;信息安全;ISO 27000;ISO 27001;ISO 27002;風(fēng)險(xiǎn)管理

    1 引言

    ISO 27000標(biāo)準(zhǔn)族是目前國(guó)際上最為通行的信息安全管理體系指導(dǎo)標(biāo)準(zhǔn)和最佳實(shí)踐。在ISO網(wǎng)站能查到的最新統(tǒng)計(jì)數(shù)據(jù)截止到2013年底,全球通過ISO 27000認(rèn)證的機(jī)構(gòu)總共有22293個(gè),涉及100多個(gè)國(guó)家,且認(rèn)證數(shù)量保持每年兩位數(shù)的增長(zhǎng)速度。2008年,ISO 27000標(biāo)準(zhǔn)族的主標(biāo)準(zhǔn)ISO 27001:2005和ISO 27002:2005分別對(duì)應(yīng)轉(zhuǎn)化為中國(guó)國(guó)家標(biāo)準(zhǔn)GB/T 22080-2008和GB/T 22081-2008,用于國(guó)內(nèi)機(jī)構(gòu)的信息安全管理體系建設(shè)和認(rèn)證。綜合考慮數(shù)字圖書館的業(yè)務(wù)流程和信息安全管理要求,遵循ISO 27000是數(shù)字圖書館信息安全管理實(shí)踐包括落實(shí)信息安全等級(jí)保護(hù)條例的最佳選擇。按照ISO 27000的思想,數(shù)字圖書館信息安全管理應(yīng)該包括風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制兩大過程。其中,風(fēng)險(xiǎn)評(píng)估用于識(shí)別數(shù)字圖書館所面臨的安全風(fēng)險(xiǎn),并計(jì)算具體風(fēng)險(xiǎn)的等級(jí)值作為實(shí)施風(fēng)險(xiǎn)控制的依據(jù)。風(fēng)險(xiǎn)控制則根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果選擇和實(shí)施適合的安全控制措施,目的是將風(fēng)險(xiǎn)始終控制在數(shù)字圖書館可以接受的范圍內(nèi)。風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制在ISO 27000標(biāo)準(zhǔn)族中分別對(duì)應(yīng)于ISO 27001和ISO 27002兩個(gè)主標(biāo)準(zhǔn),在已發(fā)布的版本中有2005和2013兩個(gè)版本。此前,根據(jù)2005年發(fā)布的ISO 27001:2005與ISO 27002:2005的思想和原則,國(guó)內(nèi)已經(jīng)在數(shù)字圖書館信息安全風(fēng)險(xiǎn)管理的過程方法、風(fēng)險(xiǎn)評(píng)估方法模型以及核心控制要素等方面提出了一系列的解決方案。而在2013年發(fā)布的ISO 27001:2013和ISO 27002: 2013中,對(duì)信息安全風(fēng)險(xiǎn)管理又提出了新的要求。數(shù)字圖書館信息安全管理有必要適應(yīng)新版標(biāo)準(zhǔn)的變化,根據(jù)2013版ISO 27000標(biāo)準(zhǔn)族的要求對(duì)風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)控制過程進(jìn)行相應(yīng)的調(diào)整。

    本文的研究目的在于對(duì)比2013版與2005版ISO 27000標(biāo)準(zhǔn)族的差異,分析2013版ISO 27000的思想、特點(diǎn)、框架、內(nèi)容等方面的變化及對(duì)數(shù)字圖書館信息安全風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制的影響,進(jìn)而指導(dǎo)新版國(guó)際標(biāo)準(zhǔn)下的數(shù)字圖書館信息安全風(fēng)險(xiǎn)管理的具體實(shí)踐。

    2 2013版ISO27000標(biāo)準(zhǔn)族的特點(diǎn)

    2013年10月19日,在ISO 27001:2005使用了8年后,業(yè)界期待已久的新版信息安全管理體系ISO 27001:2013正式發(fā)布,ISO 27002:2005也隨后同步更新為ISO 27002:2013,ISO 27000標(biāo)準(zhǔn)族的兩個(gè)主標(biāo)準(zhǔn)都更新到位。ISO 27003、27004、27005等相關(guān)標(biāo)準(zhǔn)亦正在修訂之中。較之2005版,ISO 27001:2013和ISO 27002:2013標(biāo)準(zhǔn)從框架、結(jié)構(gòu)、內(nèi)容、邏輯、要求等方面均有大幅改進(jìn),為指導(dǎo)組織建立、實(shí)施、保持和持續(xù)改進(jìn)信息安全管理體系規(guī)定了要求,并提供了更加靈活的實(shí)施空間。相比之下,新標(biāo)準(zhǔn)更貼合實(shí)際,具備更強(qiáng)的可操作性,其主要特點(diǎn)有:

    (1)結(jié)構(gòu)上有重大變動(dòng)。新版ISO 27001:2013采用了標(biāo)準(zhǔn)化的ISO Annex SL通用架構(gòu)——ISO導(dǎo)則83作為整個(gè)標(biāo)準(zhǔn)的結(jié)構(gòu)性要求(同ISO 22301)。ISO 27001從2008版的8章拓展到2013版的10章,并且對(duì)于PDCA過程方法的展開從章節(jié)架構(gòu)上進(jìn)行了調(diào)整。在ISO 27001:2013中,除了前三章節(jié)(范圍、規(guī)范性引用文件、術(shù)語(yǔ)和定義)沒有大的變化外,其它章節(jié)都進(jìn)行了調(diào)整,包括完整的Plan(計(jì)劃)、Do(運(yùn)行)、Check(檢查)、Act(改進(jìn))四個(gè)環(huán)節(jié)。經(jīng)過上述調(diào)整,ISO 27001:2013的結(jié)構(gòu)更為清晰、嚴(yán)謹(jǐn),在管理體系間的兼容性方面得到加強(qiáng),有利于不同管理體系間的接軌與整合。ISO 27002:2013則刪除了ISO 27002:2005中的第4章“風(fēng)險(xiǎn)評(píng)估與處置”,新增加了第2章“規(guī)范性引用文件”,使得安全控制域分章描述前的章節(jié)仍保持為4章。同時(shí),因?yàn)樵黾恿?個(gè)控制域,總章節(jié)數(shù)從15章增加到18章。

    (2)定位上有所區(qū)別。ISO 27001:2005指出,組織的信息安全管理應(yīng)由該組織的管理層負(fù)責(zé),而ISO 27001:2013則強(qiáng)調(diào),信息安全由組織的最高管理者負(fù)責(zé)。兩個(gè)版本用詞上的細(xì)微區(qū)別,反映的卻是新版標(biāo)準(zhǔn)對(duì)信息安全的定位在戰(zhàn)略意義上的提升。另外,在信息安全管理體系構(gòu)建主體方面,ISO 27001:2005以資產(chǎn)和技術(shù)為主體,而ISO 27001:2013以組織業(yè)務(wù)關(guān)系為主體。以組織業(yè)務(wù)關(guān)系為主體,將使信息安全管理體系的構(gòu)建流程更為連貫合理,并且可以減少交叉重復(fù)。老版標(biāo)準(zhǔn)濃墨重彩地強(qiáng)調(diào)了過程方法和PDCA,而新版標(biāo)準(zhǔn)在繼續(xù)遵循PDCA框架的前提下不再花大量的篇幅說明過程方法、模型這些其它標(biāo)準(zhǔn)中定義過的通用概念,而是重在提出目標(biāo)要求,對(duì)PDCA框架下具體方法的選擇不作規(guī)定。同樣,在風(fēng)險(xiǎn)評(píng)估的方法方面,新標(biāo)準(zhǔn)不再?gòu)?qiáng)調(diào)對(duì)資產(chǎn)、威脅、脆弱性等風(fēng)險(xiǎn)要素的識(shí)別,組織可以根據(jù)自身情況,靈活自由地選用任意可行的風(fēng)險(xiǎn)評(píng)估方法,或繼續(xù)使用現(xiàn)行的方法。可見,新版標(biāo)準(zhǔn)從管理者、主體、方法流程方面都做了重新定位,新的定位使操作更加實(shí)用、方便、靈活和有效。

    (3)要求上有所改進(jìn)。2005版共有11個(gè)控制域、39個(gè)安全類別、133項(xiàng)控制要素,而ISO 27001:2013附錄A和ISO 27002:2013的正文嚴(yán)格對(duì)應(yīng),包含了14個(gè)控制域、35個(gè)安全類別、113項(xiàng)控制要素。新版標(biāo)準(zhǔn)對(duì)老版中的部分控制域進(jìn)行了分解,對(duì)相近或類似的控制要素進(jìn)行了整合,同時(shí)刪除了部分過時(shí)的、過于具體的控制要素。另外,針對(duì)近幾年信息技術(shù)的發(fā)展,新增了部分控制要素,使得控制域和控制要素更加簡(jiǎn)潔明了并突顯重點(diǎn)。同時(shí),對(duì)檢查的要求也更加明確和嚴(yán)格,要求包括監(jiān)視、測(cè)量、分析、評(píng)價(jià)等環(huán)節(jié),并以5W1H(測(cè)什么、如何測(cè)、何時(shí)測(cè)、何時(shí)分析、誰來分析、誰負(fù)責(zé)評(píng)價(jià))等方式提出了監(jiān)視和測(cè)量的要求。整體而言,新版標(biāo)準(zhǔn)減少了對(duì)技術(shù)實(shí)現(xiàn)的關(guān)注,增加了對(duì)管理控制的要求,與信息安全領(lǐng)域“三分技術(shù)、七分管理”的黃金定律更加吻合。

    3 新標(biāo)準(zhǔn)要求下的數(shù)字圖書館信息安全風(fēng)險(xiǎn)評(píng)估

    2005版和2013版的ISO 27000標(biāo)準(zhǔn)族都把信息安全風(fēng)險(xiǎn)管理劃分為風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制兩個(gè)過程。而且,新老版本的標(biāo)準(zhǔn)又都把風(fēng)險(xiǎn)評(píng)估概括為建立準(zhǔn)則、選擇方法、識(shí)別風(fēng)險(xiǎn)、分析風(fēng)險(xiǎn)、評(píng)價(jià)風(fēng)險(xiǎn)5個(gè)環(huán)節(jié)。在ISO 27001:2005中,對(duì)風(fēng)險(xiǎn)評(píng)估的具體方法沒有作詳細(xì)規(guī)定,但整個(gè)風(fēng)險(xiǎn)識(shí)別與風(fēng)險(xiǎn)分析過程是依托于對(duì)資產(chǎn)價(jià)值、威脅、脆弱性、已實(shí)施的風(fēng)險(xiǎn)控制措施4種風(fēng)險(xiǎn)要素的識(shí)別、賦值和計(jì)算展開的。實(shí)際評(píng)估過程中,常常把已實(shí)施的風(fēng)險(xiǎn)控制措施的效果合并到脆弱性的識(shí)別、賦值與計(jì)算中。因此,遵循ISO 27001:2005標(biāo)準(zhǔn)實(shí)施的風(fēng)險(xiǎn)評(píng)估過程是以資產(chǎn)、威脅、脆弱性的識(shí)別、賦值、計(jì)算為核心的。在此基礎(chǔ)上,可以再依據(jù)選定的風(fēng)險(xiǎn)評(píng)估方法和模型計(jì)算出各風(fēng)險(xiǎn)項(xiàng)的風(fēng)險(xiǎn)值,并確定可接受風(fēng)險(xiǎn)與不可接受風(fēng)險(xiǎn),對(duì)不可接受風(fēng)險(xiǎn)依照ISO 27002:2005規(guī)定的方法進(jìn)入風(fēng)險(xiǎn)控制過程。

    依據(jù)ISO 27001:2005的規(guī)范,已經(jīng)有學(xué)者對(duì)數(shù)字圖書館的信息安全風(fēng)險(xiǎn)評(píng)估制定了詳細(xì)的資產(chǎn)、威脅、脆弱性素識(shí)別、賦值與計(jì)算方法。通過理論分析與實(shí)際評(píng)估結(jié)果的比較,還選定了與ISO 27001:2005相容的GB/T 20984-2007中的相乘法作為數(shù)字圖書館風(fēng)險(xiǎn)評(píng)估的具體方法與計(jì)算模型??梢哉f,以ISO 27001:2005的要求、原則與規(guī)范為準(zhǔn)繩,數(shù)字圖書館已經(jīng)形成了以資產(chǎn)、威脅、脆弱性等風(fēng)險(xiǎn)要素為核心的包括信息安全風(fēng)險(xiǎn)評(píng)估全過程的完整行為準(zhǔn)則、操作規(guī)范及具體評(píng)估方法與計(jì)算模型。

    與ISO 27001:2005不同,ISO 27001:2013在風(fēng)險(xiǎn)識(shí)別和風(fēng)險(xiǎn)分析過程中不再?gòu)?qiáng)調(diào)資產(chǎn)價(jià)值、威脅、脆弱性、已實(shí)施的控制措施等風(fēng)險(xiǎn)要素,這意味著任何組織在依照ISO 27001:2013評(píng)估信息安全風(fēng)險(xiǎn)時(shí),只須最終結(jié)果達(dá)到ISO 27001:2013的要求即可,在具體方法的選用方面可以更加寬泛和靈活。換句話說,符合ISO 27001:2013評(píng)估目的與要求的任意方法都是允許和可接受的,選用之前的方法包括ISO 27001:2005中推薦方法當(dāng)然也是可行的。ISO 27001:2013在指導(dǎo)制定和實(shí)施信息安全管理體系過程中多次強(qiáng)調(diào)組織需要、組織要求,風(fēng)險(xiǎn)評(píng)估的過程方法可繁可簡(jiǎn),完全取決于組織的需要和要求。組織可以根據(jù)自身的情況,選用合適的風(fēng)險(xiǎn)評(píng)估方法,或繼續(xù)使用現(xiàn)行的方法。

    ISO 27001:2013雖然放棄了對(duì)風(fēng)險(xiǎn)評(píng)估具體方法和過程的推薦,并多次強(qiáng)調(diào)只須達(dá)到組織的需要與要求即可,但對(duì)ISO 27001:2005中的方法卻并不排斥。具體到數(shù)字圖書館的信息安全風(fēng)險(xiǎn)評(píng)估,既然依照ISO 27001:2005中的方法已經(jīng)形成了完整和可操作的風(fēng)險(xiǎn)評(píng)估具體方法,并經(jīng)過實(shí)際評(píng)估證明可行,同時(shí)又滿足了ISO 27001:2013的所有要求,因此,在新版ISO 27000標(biāo)準(zhǔn)族要求下,數(shù)字圖書館信息安全風(fēng)險(xiǎn)評(píng)估無需變動(dòng),可采用之前依據(jù)ISO 27001:2005制定的方法與過程。

    4 新老標(biāo)準(zhǔn)中的信息安全風(fēng)險(xiǎn)控制及數(shù)字圖書館控制要素的選取

    4.1新老標(biāo)準(zhǔn)中的控制域、安全類別與控制要素對(duì)比

    2005版標(biāo)準(zhǔn)中共有11個(gè)控制域,2013版改為14個(gè)控制域。其中,保持不變的有“安全方針”“信息安全組織”“資產(chǎn)管理”“人力資源管理”“物理和環(huán)境安全”“訪問控制”“信息安全事件管理”“業(yè)務(wù)連續(xù)性管理”“符合性”等9個(gè)控制域,“通信與操作管理”控制域在新標(biāo)準(zhǔn)中被拆分為“操作安全”和“通信安全”2項(xiàng),“信息系統(tǒng)獲取、開發(fā)和維護(hù)”在新標(biāo)準(zhǔn)中被拆分成“密碼”與“系統(tǒng)獲取、開發(fā)和維護(hù)”兩項(xiàng)。新標(biāo)準(zhǔn)還新增了“供應(yīng)關(guān)系”控制域。

    在安全類別方面,2005版共有39項(xiàng)安全類別,2013版減少為35項(xiàng)安全類別。在新版標(biāo)準(zhǔn)中,2005版中的安全類別有的完全保留、有的被拆分成多個(gè)、有的多個(gè)被整合成一個(gè),還有的被直接刪去。2013版標(biāo)準(zhǔn)中完全新增的安全類別有3項(xiàng),它們是:移動(dòng)設(shè)備和遠(yuǎn)程辦公、供應(yīng)商關(guān)系中的信息安全、冗余。

    在控制要素方面,2005版共有133項(xiàng)控制要素,2013版減少為113項(xiàng)控制要素。同樣,在新版標(biāo)準(zhǔn)中,2005版中的控制要素有的完全保留、有的名稱或內(nèi)容略有變化、有的被拆分成多個(gè)、有的調(diào)整了所屬控制域,還有的被直接刪去。

    4.2數(shù)字圖書館風(fēng)險(xiǎn)控制要素的篩選及在新老標(biāo)準(zhǔn)中的對(duì)應(yīng)關(guān)系

    基于2005版ISO 27001的附錄A和ISO 27002的正文,通過對(duì)30家數(shù)字圖書館的實(shí)際調(diào)查,文獻(xiàn)[4]得到了適合數(shù)字圖書館的風(fēng)險(xiǎn)控制87項(xiàng)核心控制要素,分布于11個(gè)控制域和33個(gè)安全類別,另有參考控制要素34項(xiàng),分布于10個(gè)控制域和22個(gè)安全類別。所謂核心控制要素,是指對(duì)數(shù)字圖書館信息安全風(fēng)險(xiǎn)控制非常重要、作用很大的控制要素。而參考控制要素,則是重要性一般、有時(shí)會(huì)有一定作用的控制要素。除此之外的即為ISO 27002中對(duì)數(shù)字圖書館不起作用或沒有應(yīng)用場(chǎng)所的控制要素,不應(yīng)該出現(xiàn)在數(shù)字圖書館風(fēng)險(xiǎn)控制的控制要素列表中。數(shù)字圖書館控制要素選取的目標(biāo)就是區(qū)分這三類控制要素,數(shù)字圖書館風(fēng)險(xiǎn)控制要素列表中僅包含核心控制要素與參考控制要素。

    對(duì)2013版與2005版ISO 27001的附錄A和ISO 27002的正文經(jīng)過逐條、逐項(xiàng)進(jìn)行關(guān)聯(lián)對(duì)照和分析,尋找上述87項(xiàng)核心控制要素、34項(xiàng)參考控制要素在新版標(biāo)準(zhǔn)中的對(duì)應(yīng)位置,再對(duì)2013版的新增控制要素作認(rèn)真分析,并結(jié)合數(shù)字圖書館信息安全管理的現(xiàn)實(shí)情況,最終得到ISO 27002:2013標(biāo)準(zhǔn)下數(shù)字圖書館的核心控制要素和參考控制要素。其中,核心控制要素75項(xiàng),分布于13個(gè)控制域和29個(gè)控制類別,參考控制要素32項(xiàng),分布于11個(gè)控制域和17個(gè)安全類別(見表1、表2)。

    5 新老標(biāo)準(zhǔn)中的數(shù)字圖書館風(fēng)險(xiǎn)控制要素對(duì)比分析

    5.1新老標(biāo)準(zhǔn)中的數(shù)字圖書館信息安全管理核心控制要素對(duì)比分析

    數(shù)字圖書館核心控制要素在新老標(biāo)準(zhǔn)中的變化共有4種情況:刪除、保留、新增和調(diào)整。

    因?yàn)橐呀?jīng)從2013版中被刪除,那些已刪除的核心控制要素在表1并沒有出現(xiàn)。之前根據(jù)2005版標(biāo)準(zhǔn)得到的87項(xiàng)數(shù)字圖書館核心控制要素中,有21項(xiàng)未收入2013版標(biāo)準(zhǔn),因此,數(shù)字圖書館的核心控制要素應(yīng)該將這21項(xiàng)刪去。21項(xiàng)被刪去的核心控制要素具體名稱為:

    信息安全的管理承諾、信息安全協(xié)調(diào)、與政府部門的聯(lián)系、服務(wù)交付、控制移動(dòng)代碼、信息處理規(guī)程、系統(tǒng)文件安全、業(yè)務(wù)信息系統(tǒng)、監(jiān)視系統(tǒng)的使用、故障日志、外部連接的用戶鑒別、遠(yuǎn)程診斷和配置端口的保護(hù)、網(wǎng)絡(luò)連接控制、網(wǎng)絡(luò)路由控制、用戶標(biāo)識(shí)和鑒別、敏感系統(tǒng)隔離、輸入數(shù)據(jù)確認(rèn)、內(nèi)部處理的控制、消息完整性、信息泄露、業(yè)務(wù)連續(xù)性和風(fēng)險(xiǎn)評(píng)估。

    保留的核心控制要素在表1中用“完全對(duì)應(yīng)”表示。在基于新版標(biāo)準(zhǔn)的75項(xiàng)數(shù)字圖書館核心控制要素中共有42項(xiàng)的名稱、詳細(xì)內(nèi)容、控制目標(biāo)及控制域歸類等與老版標(biāo)準(zhǔn)完全一致。按照老版標(biāo)準(zhǔn)的篩選依據(jù),該42項(xiàng)控制要素仍舊屬于數(shù)字圖書館的核心控制要素(見表1)。

    新增的核心控制要素在表1中用“新增”表示。2013版新增各項(xiàng)控制要素中,有7項(xiàng)應(yīng)該作為數(shù)字圖書館的核心控制要素。具體內(nèi)容與理由如下:

    (1)用戶訪問設(shè)置。數(shù)字圖書館的用戶類型多樣,如館員和讀者,館員和讀者又可以再分為多種類型,每一類用戶都存在對(duì)應(yīng)的訪問權(quán)限設(shè)置問題。明確規(guī)定不同用戶的訪問權(quán)限并有正式的用戶設(shè)置過程非常有必要。因此,將“用戶訪問設(shè)置”確定為核心控制要素。

    (2)供應(yīng)商關(guān)系的信息安全策略、供應(yīng)協(xié)議中的安全問題、信息與通信技術(shù)供應(yīng)鏈。數(shù)字圖書館的電子資源、硬件設(shè)備、系統(tǒng)平臺(tái)以及網(wǎng)絡(luò)服務(wù)等工作均涉及采購(gòu)或外包,期間與各類供應(yīng)商的合作非常密切,應(yīng)該與供應(yīng)商就信息安全問題達(dá)成一致并形成文件,建立相關(guān)的信息安全要求,并在協(xié)議中確定相關(guān)的信息安全風(fēng)險(xiǎn)要求,以確保數(shù)字圖書館與供應(yīng)商合作關(guān)系中的信息安全。因此,將“供應(yīng)商關(guān)系的信息安全策略”“供應(yīng)商協(xié)議中的安全問題”“信息與通信技術(shù)供應(yīng)鏈”確定為核心控制要素。

    (3)信息安全事件的評(píng)估和確定、信息安全事件的響應(yīng)。對(duì)于任何組織而言,都應(yīng)該對(duì)已經(jīng)發(fā)生的信息安全高度重視。數(shù)字圖書館也不例外,應(yīng)該及時(shí)地評(píng)估確定已發(fā)生的信息安全事件并按照一定的程序予以處理,使信息安全事件的影響和損失最小化。因此,將“信息安全事件的評(píng)估和確定”“信息安全事件的響應(yīng)”確定為核心控制要素。

    (4)信息處理設(shè)施的可用性。與數(shù)字圖書館有關(guān)的服務(wù)器、存儲(chǔ)、網(wǎng)絡(luò)、電源等信息處理設(shè)施都應(yīng)該有充分冗余,以確保在任何變化和狀況下都能滿足其可用性的要求。因此,將“信息處理設(shè)施的可用性”確定為核心控制要素。

    調(diào)整的情況最復(fù)雜,在表1中的“名稱變化、內(nèi)容一致”“名稱變化、描述略變”“調(diào)整歸類”“拆分”4種情況都屬于調(diào)整。基于2005版ISO 27001和ISO 27002得到的數(shù)字圖書館信息安全87項(xiàng)核心控制要素中,有26項(xiàng)經(jīng)過一定的調(diào)整后依舊出現(xiàn)在2013版的標(biāo)準(zhǔn)中,這些控制要素仍是數(shù)字圖書館信息安全管理的核心控制要素。調(diào)整變化主要有三種形式:名稱改變而內(nèi)容表述完全一致、名稱改變且內(nèi)容表述略有變化、控制要素的控制域歸類發(fā)生變化。

    表1 基于ISO 27002:2013的數(shù)字圖書館信息安全管理核心控制要素列表

    表1 基于ISO 27002:2013的數(shù)字圖書館信息安全管理核心控制要素列表(續(xù))

    表2 基于ISO 27002:2013的數(shù)字圖書館信息安全管理參考控制要素列表

    名稱改變、內(nèi)容表述完全一致、控制域歸類也完全一致的核心控制要素共有8項(xiàng)(見表1)。

    名稱改變且內(nèi)容表述也略有變化、但控制域歸類完全一致的核心控制要素共有7項(xiàng)。包括有(括號(hào)前的為2013版中的編號(hào)與名稱,括號(hào)中為2005版中的編號(hào)與名稱):①3.3.1終止或責(zé)任變更(4.2.1終止職責(zé)),新標(biāo)準(zhǔn)中強(qiáng)調(diào)對(duì)于責(zé)任終止和變更情況不僅要有規(guī)定,還應(yīng)該傳達(dá)給所有相關(guān)人員知曉;②5.2.4用戶秘密認(rèn)證信息的管理(7.2.3用戶口令管理)、5.3.1秘密認(rèn)證信息的使用(7.3.1口令使用),新標(biāo)準(zhǔn)中用戶認(rèn)證信息的范圍不僅包括口令,還包括密鑰數(shù)據(jù)和其他存儲(chǔ)在產(chǎn)生認(rèn)證碼的硬件(如智能卡)的數(shù)據(jù);③5.4.4特權(quán)實(shí)用程序的使用(7.5.4系統(tǒng)實(shí)用工具的使用),新標(biāo)準(zhǔn)中將限制和嚴(yán)格控制的范圍縮小在可能超越、有特權(quán)的系統(tǒng)和應(yīng)用程序中;④11.1.6從信息安全事件中學(xué)習(xí)(9.2.2對(duì)信息安全事件的總結(jié)),老的標(biāo)準(zhǔn)強(qiáng)調(diào)從安全事件中學(xué)習(xí)總結(jié)的方法,而新標(biāo)準(zhǔn)強(qiáng)調(diào)的是結(jié)果,要從中獲取知識(shí)、減少未來相關(guān)事件發(fā)生的可能性;⑤12.1.1計(jì)劃信息安全連續(xù)性(10.1.1在業(yè)務(wù)連續(xù)性管理過程中包含信息安全),新標(biāo)準(zhǔn)更加細(xì)化,強(qiáng)調(diào)即便在不利的情況下(如危機(jī)或?yàn)?zāi)難)也要確保信息安全管理的連續(xù)性;⑥12.1.2實(shí)施信息安全的連續(xù)性(10.1.3制定和實(shí)施包含信息安全的連續(xù)性計(jì)劃),老標(biāo)準(zhǔn)強(qiáng)調(diào)在關(guān)鍵業(yè)務(wù)流程中斷和失效時(shí)要保持信息安全,而新標(biāo)準(zhǔn)則強(qiáng)調(diào)在任何不利的情況下都要保持信息安全的連續(xù)性。

    控制域歸類發(fā)生變化的核心控制要素共有11項(xiàng)(見表1)。其中,“2.1.2職責(zé)分割”是將老標(biāo)準(zhǔn)中“2信息安全組織”中的核心控制要素“信息處理設(shè)施的授權(quán)過程”和“6通信和操作管理”中的參考控制要素“責(zé)任分割”中的要求進(jìn)行合并,且改名為“職責(zé)分割”,統(tǒng)一置放于控制域“2信息安全組織”中,該項(xiàng)控制要素從組織的宏觀層面強(qiáng)調(diào)各類職責(zé)和權(quán)限的分割,以降低對(duì)組織資產(chǎn)的濫用。而“2.2.1移動(dòng)設(shè)備策略”是將老標(biāo)準(zhǔn)中“7訪問控制”中的參考控制要素“移動(dòng)計(jì)算和通訊”調(diào)整到控制域“2信息安全組織”中,且改名為“移動(dòng)設(shè)備策略”。對(duì)于數(shù)字圖書館而言,隨著移動(dòng)網(wǎng)絡(luò)的發(fā)展普及,數(shù)字圖書館的業(yè)務(wù)流程也逐步到移動(dòng)終端,應(yīng)該加強(qiáng)相關(guān)管理措施,因此調(diào)整為核心控制要素。其他9項(xiàng)控制要素的名稱和內(nèi)容沒有變化,而其控制域歸類發(fā)生了變化(見表3)。該9項(xiàng)控制要素在2005版中就屬于核心控制要素,因此在2013版中仍保留為數(shù)字圖書館的核心控制要素。

    表3 新老標(biāo)準(zhǔn)中控制域歸類發(fā)生變化的核心控制要素列表

    5.2新老標(biāo)準(zhǔn)中的數(shù)字圖書館信息安全管理參考控制要素對(duì)比分析

    數(shù)字圖書館參考控制要素在新老標(biāo)準(zhǔn)中的變化共有5種情況:刪除、保留、新增、拆分和調(diào)整。

    2005版的數(shù)字圖書館參考控制要素中有10項(xiàng)未出現(xiàn)在2013版的數(shù)字圖書館參考控制要素中。其中,“移動(dòng)計(jì)算和通訊”“責(zé)任分割”2項(xiàng)在2013版中被調(diào)整為核心控制要素?!疤幚砼c顧客有關(guān)的安全問題”“防止濫用信息處理設(shè)施”“會(huì)話超時(shí)”“聯(lián)機(jī)時(shí)間的限定”“輸出數(shù)據(jù)確認(rèn)”“網(wǎng)絡(luò)上的設(shè)備標(biāo)識(shí)”“信息系統(tǒng)審計(jì)工具的保護(hù)”“業(yè)務(wù)連續(xù)性計(jì)劃框架”8項(xiàng)被2013版標(biāo)準(zhǔn)刪除,故也未出現(xiàn)在新版的數(shù)字圖書館參考控制要素中。

    保留的參考控制要素用“完全對(duì)應(yīng)”表示,共有16項(xiàng)。

    新增的參考控制要素用“新增”表示,共有7項(xiàng)。具體內(nèi)容與理由如下:

    (1)項(xiàng)目管理中的信息安全、安全開發(fā)策略、安全系統(tǒng)工程原則、安全開發(fā)環(huán)境、系統(tǒng)安全測(cè)試。上述5項(xiàng)控制要素更傾向于在系統(tǒng)工程、項(xiàng)目開發(fā)或軟件研發(fā)的過程中對(duì)信息安全管理、環(huán)境、測(cè)試等方面的要求,而數(shù)字圖書館本身自行開發(fā)的項(xiàng)目工程比較少,無須在這方面作嚴(yán)格的要求。因此,上述5項(xiàng)控制要素列入?yún)⒖伎刂埔亍?/p>

    (2)時(shí)鐘同步。對(duì)于系統(tǒng)的監(jiān)視與日志分析有較大的幫助,“時(shí)鐘同步”可以作為參考控制要素加以限制。

    (3)限制軟件安裝。該項(xiàng)控制要素要求組織制定軟件安裝管理規(guī)則,并嚴(yán)格執(zhí)行和監(jiān)督,而數(shù)字圖書館的員工因工作性質(zhì)的不同對(duì)軟件安裝的要求差異較大,實(shí)際工作中可以列出禁止安裝的軟件清單(如游戲軟件)或必須安裝的軟件清單(如安全防護(hù)軟件),不需要規(guī)定只能安裝哪些軟件。因此,“限制軟件安裝”可作為參考控制要素。

    拆分的參考控制要素用“拆分”表示。2005版的數(shù)字圖書館參考控制要素中只有“信息標(biāo)識(shí)與處置”存在這種情況,該項(xiàng)控制要素在2013版中被拆分為“信息的標(biāo)記”“資產(chǎn)的處置”2項(xiàng)。

    調(diào)整參考控制要素有“名稱變化,描述略變”和“名稱變化,內(nèi)容一致”兩種表現(xiàn),共有7項(xiàng)。其中,“名稱變化,描述略變”的有2項(xiàng),“名稱變化,內(nèi)容一致”的有5項(xiàng)。

    6 結(jié)語(yǔ)

    本文結(jié)合數(shù)字圖書館的實(shí)際情況和之前的相關(guān)研究成果,對(duì)2013版ISO 27000系列標(biāo)準(zhǔn)下的數(shù)字圖書館風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)控制做了對(duì)比與分析。2013版的標(biāo)準(zhǔn)在風(fēng)險(xiǎn)評(píng)估方面更加強(qiáng)調(diào)組織的需要與要求,強(qiáng)調(diào)評(píng)估結(jié)果與組織需求的結(jié)合,而具體方法的選用則更加寬泛和靈活,數(shù)字圖書館信息安全的風(fēng)險(xiǎn)評(píng)估可繼續(xù)延用依據(jù)2005版標(biāo)準(zhǔn)制定的方法和模型。2013版標(biāo)準(zhǔn)的風(fēng)險(xiǎn)控制在2005版基礎(chǔ)上有較大改變,相應(yīng)地,數(shù)字圖書館信息安全風(fēng)險(xiǎn)控制的核心控制要素與參考控制要素也有比較大的變動(dòng)。新標(biāo)準(zhǔn)下的數(shù)字圖書館風(fēng)險(xiǎn)控制要素是在2005版的基礎(chǔ)上經(jīng)刪除、保留、新增、拆分和調(diào)整得來的,更具操作性和實(shí)踐指導(dǎo)意義。綜合數(shù)字圖書館的風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)控制,就形成了2013版ISO 27000系列標(biāo)準(zhǔn)要求下的數(shù)字圖書館信息安全管理整體解決方法。

    [1]The ISO Survey of Management System Standard Certifications-2013[EB/OL].[2015-08-17].http://www.iso.org/iso/iso_sur vey_executive-summary.pdf?v2013.

    [2]GB/T 22080:2008,信息技術(shù)-安全技術(shù)-信息安全管理體系-要求[S].北京:中國(guó)標(biāo)準(zhǔn)出版社,2008.

    [3]茆意宏,黃水清.數(shù)字圖書館信息安全管理依從標(biāo)準(zhǔn)的選擇[J].中國(guó)圖書館學(xué)報(bào),2010(4):54-59.

    [4]黃水清.數(shù)字圖書館信息安全管理[M].南京:南京大學(xué)出版社,2011.

    [5]黃水清,茆意宏,熊健.數(shù)字圖書館信息安全風(fēng)險(xiǎn)評(píng)估[J].現(xiàn)代圖書情報(bào)技術(shù),2010(7/8):33-38.

    [6]黃水清,任妮.數(shù)字圖書館信息安全風(fēng)險(xiǎn)控制[J].現(xiàn)代圖書情報(bào)技術(shù),2010(7/8):39-44.

    [7]黃水清,任妮.數(shù)字圖書館信息安全風(fēng)險(xiǎn)評(píng)估的方法與模型[J].圖書情報(bào)工作,2014(2):14-20.

    [8]黃水清.數(shù)字圖書館信息安全管理的過程方法[J].圖書情報(bào)工作,2013(11):5-11.

    [9]老李飛刀.ISO 27001:2013新版解讀精要[EB/OL].[2015-08-18].http://www.srxh1314.com/iso27001-2013-resolve-2.html.

    [10]ISO/IEC 27001:2013.Information Technology—Security Techniques—Information Security Management Systems—Requirements[S].Geneva:International Organization for Standardization,2013.

    [11]白云廣.ISO/IEC27001:2013概述與改版分析[J].中國(guó)標(biāo)準(zhǔn)導(dǎo)報(bào),2014(12):45-48.

    [12]安言咨詢.ISO27001:2013新版信息安全管理體系標(biāo)準(zhǔn)變化精解[EB/OL].[2015-08-18].http://wenku.baidu.com/view /73d382e826fff705cd170a2f.html.

    [13]GB/T20984-2007,信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范[S].北京:國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局,2007.

    [14]ISO/IEC 27005:2008.Information technology—Security techniques—Information security risk management[S].Geneva:International Organization for Standardization,2008.

    Information Security Management of Digital Libraries Based on the ISO 27001:2013 and ISO 27002:2013

    The 2013 version of ISO 27000 standards was compared with that of 2005 andthe influence of the standards change on risk assessment and risk control of digital library information security was analyzed,and then it is pointed out that the information security risk assessment method and model of digital library based on version 2005 can be used in version 2013.Based on the analysis of the core control elements and reference ones one by one,this article built the information security risk control method of the digital library according to the new version standards.

    digital library;information security;ISO 27000;ISO 27001;ISO 27002;risk management

    G250.76

    ADOI:10.11968/tsyqb.1003-6938.2015125

    *本文系國(guó)家哲學(xué)社會(huì)科學(xué)基金重點(diǎn)項(xiàng)目“數(shù)字圖書館信息安全管理標(biāo)準(zhǔn)規(guī)范研究”(項(xiàng)目編號(hào):12ATQ001)研究成果之一。

    2015-11-19;責(zé)任編輯:魏志鵬

    任妮,女,南京農(nóng)業(yè)大學(xué)信息科技學(xué)院博士研究生,江蘇省農(nóng)業(yè)科學(xué)院農(nóng)業(yè)經(jīng)濟(jì)與信息研究所助理研究員;黃水清,男,南京農(nóng)業(yè)大學(xué)信息科技學(xué)院教授,博士生導(dǎo)師。

    猜你喜歡
    信息安全要素核心
    我是如何拍攝天和核心艙的
    軍事文摘(2022年14期)2022-08-26 08:16:40
    近觀天和核心艙
    軍事文摘(2022年14期)2022-08-26 08:16:22
    你好!我是“天和”核心艙
    軍事文摘(2022年12期)2022-07-13 03:12:18
    掌握這6點(diǎn)要素,讓肥水更高效
    保護(hù)信息安全要滴水不漏
    觀賞植物的色彩要素在家居設(shè)計(jì)中的應(yīng)用
    高校信息安全防護(hù)
    論美術(shù)中“七大要素”的辯證關(guān)系
    保護(hù)個(gè)人信息安全刻不容緩
    也談做人的要素
    山東青年(2016年2期)2016-02-28 14:25:36
    国产在线一区二区三区精| 成人黄色视频免费在线看| 黑人高潮一二区| 高清不卡的av网站| 欧美3d第一页| 亚洲,欧美,日韩| 亚洲精品自拍成人| 多毛熟女@视频| 一本大道久久a久久精品| 久久久久久久大尺度免费视频| 精品视频人人做人人爽| 欧美精品人与动牲交sv欧美| 免费不卡的大黄色大毛片视频在线观看| 久久国产亚洲av麻豆专区| 国产亚洲一区二区精品| 黑人巨大精品欧美一区二区蜜桃 | 最近中文字幕2019免费版| 日韩av在线免费看完整版不卡| 精品国产乱码久久久久久小说| 久久久久精品久久久久真实原创| 日本wwww免费看| 亚洲精品国产色婷婷电影| 老司机亚洲免费影院| 亚洲美女搞黄在线观看| 九九在线视频观看精品| 亚洲精品色激情综合| 成人无遮挡网站| 午夜精品国产一区二区电影| 高清视频免费观看一区二区| 观看av在线不卡| 欧美精品av麻豆av| 一级黄片播放器| 午夜免费观看性视频| 国产福利在线免费观看视频| 久久久国产一区二区| 国产精品久久久久成人av| 韩国精品一区二区三区 | 最近最新中文字幕免费大全7| 爱豆传媒免费全集在线观看| 色婷婷久久久亚洲欧美| 久久久国产欧美日韩av| 制服丝袜香蕉在线| 十分钟在线观看高清视频www| 国产精品久久久久久av不卡| 日日啪夜夜爽| 男女免费视频国产| 欧美另类一区| 久久精品久久久久久久性| 国产又色又爽无遮挡免| av播播在线观看一区| av天堂久久9| 少妇人妻精品综合一区二区| 午夜福利,免费看| 丝袜人妻中文字幕| 日本爱情动作片www.在线观看| 国产亚洲一区二区精品| 伦理电影大哥的女人| 婷婷色综合大香蕉| videossex国产| 97在线人人人人妻| 成人毛片60女人毛片免费| 国产欧美另类精品又又久久亚洲欧美| 欧美精品亚洲一区二区| 亚洲丝袜综合中文字幕| 美女大奶头黄色视频| 街头女战士在线观看网站| 国产男女内射视频| 欧美成人午夜精品| 亚洲国产日韩一区二区| 色吧在线观看| 亚洲精品国产av成人精品| 在线观看人妻少妇| 日韩一本色道免费dvd| 有码 亚洲区| 亚洲欧美日韩卡通动漫| 午夜福利影视在线免费观看| 在线观看免费高清a一片| 久久久久人妻精品一区果冻| 免费大片18禁| 一本大道久久a久久精品| 亚洲欧美日韩另类电影网站| 亚洲精品成人av观看孕妇| 中文字幕亚洲精品专区| 亚洲第一av免费看| 日本黄色日本黄色录像| 寂寞人妻少妇视频99o| 哪个播放器可以免费观看大片| 免费不卡的大黄色大毛片视频在线观看| 少妇的丰满在线观看| 成人国产av品久久久| 天美传媒精品一区二区| 午夜91福利影院| 麻豆乱淫一区二区| 极品少妇高潮喷水抽搐| 国产伦理片在线播放av一区| 日本-黄色视频高清免费观看| 日产精品乱码卡一卡2卡三| av免费观看日本| 一区二区三区四区激情视频| 在线观看人妻少妇| 天天操日日干夜夜撸| 国产极品天堂在线| 亚洲av成人精品一二三区| 美女xxoo啪啪120秒动态图| 亚洲精品日本国产第一区| 少妇人妻精品综合一区二区| 国产色爽女视频免费观看| 亚洲第一区二区三区不卡| 大码成人一级视频| 丰满饥渴人妻一区二区三| 精品一区二区三卡| 国产熟女欧美一区二区| 多毛熟女@视频| 麻豆乱淫一区二区| 国产欧美亚洲国产| 各种免费的搞黄视频| 亚洲精品日本国产第一区| 考比视频在线观看| 欧美日韩成人在线一区二区| 午夜福利视频精品| 少妇精品久久久久久久| 国产永久视频网站| 成人18禁高潮啪啪吃奶动态图| 欧美丝袜亚洲另类| 99国产综合亚洲精品| av又黄又爽大尺度在线免费看| 国产片特级美女逼逼视频| 成人午夜精彩视频在线观看| 国产熟女午夜一区二区三区| 一本大道久久a久久精品| 日韩精品免费视频一区二区三区 | 99九九在线精品视频| 午夜福利视频在线观看免费| 国产黄色免费在线视频| 国产成人a∨麻豆精品| videos熟女内射| 午夜福利网站1000一区二区三区| 人人妻人人添人人爽欧美一区卜| 欧美成人午夜免费资源| 成年美女黄网站色视频大全免费| 天堂8中文在线网| 免费看av在线观看网站| 国产精品国产av在线观看| 性高湖久久久久久久久免费观看| 久久鲁丝午夜福利片| 国产免费一级a男人的天堂| 大香蕉久久成人网| 亚洲av.av天堂| 久久韩国三级中文字幕| 国产精品一区www在线观看| 99热6这里只有精品| av线在线观看网站| 国产又色又爽无遮挡免| 99国产综合亚洲精品| 国产熟女午夜一区二区三区| 国产片内射在线| a级毛片黄视频| videos熟女内射| 性高湖久久久久久久久免费观看| 高清av免费在线| 免费观看无遮挡的男女| 天堂俺去俺来也www色官网| 亚洲丝袜综合中文字幕| 欧美最新免费一区二区三区| 精品久久久久久电影网| 秋霞在线观看毛片| av.在线天堂| 国产片内射在线| 欧美成人精品欧美一级黄| 美女脱内裤让男人舔精品视频| 九色成人免费人妻av| 建设人人有责人人尽责人人享有的| 女人久久www免费人成看片| 久久久久视频综合| 欧美亚洲日本最大视频资源| 成人毛片60女人毛片免费| av天堂久久9| 欧美成人午夜免费资源| 国产精品国产三级专区第一集| 黄色毛片三级朝国网站| 国产av一区二区精品久久| 99香蕉大伊视频| 一级毛片我不卡| 日韩一区二区视频免费看| 午夜av观看不卡| 精品久久久精品久久久| 欧美+日韩+精品| 美女国产视频在线观看| 天堂俺去俺来也www色官网| 欧美最新免费一区二区三区| 制服人妻中文乱码| 亚洲第一av免费看| 2022亚洲国产成人精品| 伦理电影免费视频| 亚洲精品456在线播放app| 美女脱内裤让男人舔精品视频| 男女高潮啪啪啪动态图| 高清在线视频一区二区三区| 国产熟女欧美一区二区| 久久久精品94久久精品| 久久久国产欧美日韩av| 亚洲精品,欧美精品| 嫩草影院入口| 尾随美女入室| 国产亚洲欧美精品永久| 婷婷色av中文字幕| 国产免费一级a男人的天堂| 黄色怎么调成土黄色| 91成人精品电影| 欧美日韩成人在线一区二区| 人妻人人澡人人爽人人| 熟女av电影| 亚洲美女视频黄频| 亚洲av综合色区一区| 全区人妻精品视频| 人人澡人人妻人| 国产亚洲精品第一综合不卡 | 亚洲精品456在线播放app| 国产成人精品久久久久久| 人人澡人人妻人| 一个人免费看片子| 国产欧美日韩综合在线一区二区| 亚洲五月色婷婷综合| 色94色欧美一区二区| 男女国产视频网站| 夜夜爽夜夜爽视频| 国产麻豆69| 欧美成人午夜精品| 交换朋友夫妻互换小说| 亚洲综合精品二区| 亚洲性久久影院| av又黄又爽大尺度在线免费看| 国产一级毛片在线| 国产黄色免费在线视频| 一本久久精品| 国产免费现黄频在线看| 黄色怎么调成土黄色| 日韩视频在线欧美| 日日撸夜夜添| 纯流量卡能插随身wifi吗| 国产女主播在线喷水免费视频网站| av国产精品久久久久影院| 亚洲丝袜综合中文字幕| 国产欧美另类精品又又久久亚洲欧美| 亚洲av在线观看美女高潮| 亚洲精品久久久久久婷婷小说| 国语对白做爰xxxⅹ性视频网站| 一本一本久久a久久精品综合妖精 国产伦在线观看视频一区 | 日韩大片免费观看网站| 三上悠亚av全集在线观看| a级毛片在线看网站| 亚洲婷婷狠狠爱综合网| 久久精品国产亚洲av涩爱| xxx大片免费视频| 久久久久久人人人人人| 免费人妻精品一区二区三区视频| 黄色视频在线播放观看不卡| 亚洲欧美一区二区三区黑人 | 我要看黄色一级片免费的| 午夜福利乱码中文字幕| av免费在线看不卡| 天天躁夜夜躁狠狠躁躁| 成人毛片a级毛片在线播放| 高清av免费在线| 精品99又大又爽又粗少妇毛片| 寂寞人妻少妇视频99o| 少妇的逼好多水| 精品99又大又爽又粗少妇毛片| 这个男人来自地球电影免费观看 | 日日爽夜夜爽网站| 伦精品一区二区三区| 久久久国产一区二区| 国产乱人偷精品视频| 中文欧美无线码| 春色校园在线视频观看| 日韩电影二区| 日产精品乱码卡一卡2卡三| 黄色毛片三级朝国网站| 十八禁网站网址无遮挡| 国产精品一区二区在线不卡| 国产免费又黄又爽又色| 一级毛片 在线播放| 晚上一个人看的免费电影| 亚洲激情五月婷婷啪啪| 国产亚洲精品久久久com| 国产精品.久久久| 在线观看国产h片| 国产精品久久久av美女十八| 极品人妻少妇av视频| 啦啦啦啦在线视频资源| 国产极品天堂在线| 男男h啪啪无遮挡| 国产色爽女视频免费观看| 亚洲精品日韩在线中文字幕| 欧美人与性动交α欧美软件 | 男人爽女人下面视频在线观看| 色94色欧美一区二区| 人人澡人人妻人| 80岁老熟妇乱子伦牲交| 国产精品三级大全| h视频一区二区三区| 成人国产av品久久久| 最近手机中文字幕大全| 久久国产精品大桥未久av| 久久久久久久精品精品| 高清视频免费观看一区二区| 黑人欧美特级aaaaaa片| 国产精品人妻久久久久久| 午夜激情久久久久久久| 久久国产精品男人的天堂亚洲 | 亚洲丝袜综合中文字幕| 色哟哟·www| 18禁观看日本| 最黄视频免费看| 青春草国产在线视频| 高清黄色对白视频在线免费看| av国产久精品久网站免费入址| 十八禁网站网址无遮挡| 看免费av毛片| 国产在线视频一区二区| 日本爱情动作片www.在线观看| 国产不卡av网站在线观看| 国产成人精品婷婷| 国产淫语在线视频| 一边亲一边摸免费视频| 夜夜爽夜夜爽视频| 一区二区av电影网| 国产黄色视频一区二区在线观看| 国产在线视频一区二区| 亚洲一区二区三区欧美精品| 国产一区亚洲一区在线观看| 99久久精品国产国产毛片| 午夜视频国产福利| 街头女战士在线观看网站| 久久午夜福利片| 午夜免费观看性视频| 亚洲国产av影院在线观看| 欧美丝袜亚洲另类| 在线天堂中文资源库| 久久久久精品久久久久真实原创| 美国免费a级毛片| 亚洲欧美成人精品一区二区| 久久这里只有精品19| 黄色视频在线播放观看不卡| 免费大片黄手机在线观看| 亚洲一级一片aⅴ在线观看| 日韩 亚洲 欧美在线| 国产一区二区三区综合在线观看 | av黄色大香蕉| 日韩av在线免费看完整版不卡| 免费观看无遮挡的男女| 久久婷婷青草| 欧美bdsm另类| 国产老妇伦熟女老妇高清| 亚洲久久久国产精品| 男女边吃奶边做爰视频| 精品国产一区二区三区四区第35| 国产亚洲欧美精品永久| 精品人妻在线不人妻| 又粗又硬又长又爽又黄的视频| 少妇精品久久久久久久| 又粗又硬又长又爽又黄的视频| 亚洲欧美色中文字幕在线| 桃花免费在线播放| 国产精品久久久av美女十八| 大片电影免费在线观看免费| 久久久精品免费免费高清| 亚洲内射少妇av| 精品一品国产午夜福利视频| 免费av中文字幕在线| 久久久精品免费免费高清| 国产亚洲午夜精品一区二区久久| 成人午夜精彩视频在线观看| 成人18禁高潮啪啪吃奶动态图| 精品视频人人做人人爽| 国产精品无大码| 在现免费观看毛片| 日本免费在线观看一区| 一区二区三区乱码不卡18| 99精国产麻豆久久婷婷| 日本欧美国产在线视频| 美女大奶头黄色视频| 国产精品99久久99久久久不卡 | 亚洲中文av在线| 久久国产亚洲av麻豆专区| 成人免费观看视频高清| 一级毛片我不卡| 九九在线视频观看精品| 女性被躁到高潮视频| 高清黄色对白视频在线免费看| a级毛片黄视频| 永久免费av网站大全| 美女国产高潮福利片在线看| 天天躁夜夜躁狠狠久久av| 少妇 在线观看| 蜜臀久久99精品久久宅男| 天堂俺去俺来也www色官网| 黄片无遮挡物在线观看| 晚上一个人看的免费电影| 免费在线观看黄色视频的| 日韩制服丝袜自拍偷拍| 一本—道久久a久久精品蜜桃钙片| 日本91视频免费播放| 日韩中文字幕视频在线看片| 日韩视频在线欧美| 久久久精品94久久精品| 热99久久久久精品小说推荐| 久久综合国产亚洲精品| 在线天堂中文资源库| 卡戴珊不雅视频在线播放| 免费av不卡在线播放| 欧美日韩国产mv在线观看视频| 99视频精品全部免费 在线| 一区二区三区乱码不卡18| 精品熟女少妇av免费看| 最近2019中文字幕mv第一页| 91国产中文字幕| 欧美成人精品欧美一级黄| 免费播放大片免费观看视频在线观看| 丁香六月天网| 国产男女内射视频| 国产伦理片在线播放av一区| 日日爽夜夜爽网站| 国产有黄有色有爽视频| 男人爽女人下面视频在线观看| 男女啪啪激烈高潮av片| 蜜桃国产av成人99| 极品人妻少妇av视频| 少妇精品久久久久久久| av一本久久久久| 免费在线观看完整版高清| 看免费av毛片| 精品国产露脸久久av麻豆| 老司机影院成人| av网站免费在线观看视频| 在线免费观看不下载黄p国产| 最新的欧美精品一区二区| 另类精品久久| 日韩制服骚丝袜av| 亚洲国产看品久久| 欧美性感艳星| 久久久国产精品麻豆| videossex国产| 寂寞人妻少妇视频99o| 51国产日韩欧美| 国产免费一级a男人的天堂| 日韩欧美精品免费久久| 午夜福利在线观看免费完整高清在| 欧美精品亚洲一区二区| 免费观看a级毛片全部| av线在线观看网站| 一边亲一边摸免费视频| 高清视频免费观看一区二区| 9191精品国产免费久久| 永久免费av网站大全| 人妻系列 视频| 日本色播在线视频| 日日啪夜夜爽| 免费av中文字幕在线| 欧美人与善性xxx| 男男h啪啪无遮挡| 寂寞人妻少妇视频99o| 多毛熟女@视频| 18+在线观看网站| 天美传媒精品一区二区| 美女脱内裤让男人舔精品视频| 男人爽女人下面视频在线观看| 欧美日韩成人在线一区二区| 国产深夜福利视频在线观看| 五月玫瑰六月丁香| 欧美激情 高清一区二区三区| 一区二区三区四区激情视频| 亚洲第一区二区三区不卡| 欧美精品亚洲一区二区| 69精品国产乱码久久久| 在线观看人妻少妇| 久久ye,这里只有精品| 看免费成人av毛片| 国产精品熟女久久久久浪| 日产精品乱码卡一卡2卡三| 久久久久久久国产电影| 亚洲综合色网址| 国产成人一区二区在线| 丝袜美足系列| 边亲边吃奶的免费视频| 欧美成人精品欧美一级黄| 成人国语在线视频| 蜜桃在线观看..| 国产成人a∨麻豆精品| 亚洲av日韩在线播放| 麻豆精品久久久久久蜜桃| 少妇被粗大猛烈的视频| 天天影视国产精品| 色视频在线一区二区三区| 亚洲av电影在线进入| 曰老女人黄片| 日本色播在线视频| 国产成人精品一,二区| 亚洲国产精品一区三区| a级片在线免费高清观看视频| 欧美精品av麻豆av| 欧美激情极品国产一区二区三区 | 婷婷色麻豆天堂久久| 久久久久久久大尺度免费视频| 日韩中文字幕视频在线看片| 亚洲精品,欧美精品| 乱人伦中国视频| 国产精品免费大片| 捣出白浆h1v1| 在现免费观看毛片| 成人黄色视频免费在线看| 久久久a久久爽久久v久久| 成人影院久久| 99国产综合亚洲精品| 侵犯人妻中文字幕一二三四区| 日韩中字成人| 男人添女人高潮全过程视频| 久久精品久久精品一区二区三区| 成年美女黄网站色视频大全免费| 国产无遮挡羞羞视频在线观看| 日韩大片免费观看网站| 国产毛片在线视频| 99久久精品国产国产毛片| 91国产中文字幕| 午夜福利视频在线观看免费| 两个人看的免费小视频| 肉色欧美久久久久久久蜜桃| 国产亚洲一区二区精品| 爱豆传媒免费全集在线观看| 欧美激情国产日韩精品一区| 久久国内精品自在自线图片| 91国产中文字幕| 一个人免费看片子| 欧美日韩视频高清一区二区三区二| 你懂的网址亚洲精品在线观看| 韩国高清视频一区二区三区| 各种免费的搞黄视频| 久久久久久久久久成人| 老司机亚洲免费影院| 日本午夜av视频| 亚洲三级黄色毛片| 久久国产亚洲av麻豆专区| 美女大奶头黄色视频| 亚洲美女搞黄在线观看| 亚洲精品国产色婷婷电影| 黑丝袜美女国产一区| 国产乱来视频区| 黄片无遮挡物在线观看| 国产欧美日韩一区二区三区在线| 亚洲一级一片aⅴ在线观看| 亚洲性久久影院| 99久久精品国产国产毛片| 欧美日韩视频精品一区| 亚洲精品国产av蜜桃| 国产精品秋霞免费鲁丝片| 亚洲美女搞黄在线观看| 亚洲综合色惰| 日日啪夜夜爽| 亚洲综合色惰| 美女中出高潮动态图| 国产片内射在线| 欧美激情 高清一区二区三区| 欧美日韩视频高清一区二区三区二| 熟女av电影| 高清不卡的av网站| 久久国产精品大桥未久av| 亚洲精品国产av成人精品| 久久99一区二区三区| 欧美xxxx性猛交bbbb| 91国产中文字幕| 亚洲精品国产av蜜桃| 国产成人免费观看mmmm| 午夜影院在线不卡| 国产精品三级大全| 久久av网站| 美女福利国产在线| 你懂的网址亚洲精品在线观看| a级毛片黄视频| 国产精品国产三级专区第一集| 香蕉精品网在线| 亚洲伊人久久精品综合| 午夜影院在线不卡| 亚洲精品国产色婷婷电影| 捣出白浆h1v1| 亚洲国产最新在线播放| 亚洲av日韩在线播放| 三级国产精品片| 五月伊人婷婷丁香| 国产乱人偷精品视频| 国产成人精品婷婷| a级片在线免费高清观看视频| 亚洲,一卡二卡三卡| 美女脱内裤让男人舔精品视频| 曰老女人黄片| 制服诱惑二区| 极品少妇高潮喷水抽搐| 一级a做视频免费观看| 亚洲性久久影院| 亚洲高清免费不卡视频| 在线看a的网站| 欧美成人午夜精品| 菩萨蛮人人尽说江南好唐韦庄| 男女无遮挡免费网站观看| 美女xxoo啪啪120秒动态图| 性高湖久久久久久久久免费观看| 性色avwww在线观看| 视频在线观看一区二区三区| 亚洲 欧美一区二区三区| 亚洲精品久久成人aⅴ小说| 丰满迷人的少妇在线观看| 午夜精品国产一区二区电影| xxx大片免费视频| 捣出白浆h1v1| 狂野欧美激情性xxxx在线观看| 人人妻人人爽人人添夜夜欢视频|