亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        ICT供應(yīng)鏈信息安全標(biāo)準(zhǔn)ISO/IEC 27036-3及體系分析

        2016-11-29 07:18:30謝宗曉董坤祥南開大學(xué)商學(xué)院
        關(guān)鍵詞:需求方供應(yīng)商信息安全

        謝宗曉 董坤祥(南開大學(xué)商學(xué)院)

        ICT供應(yīng)鏈信息安全標(biāo)準(zhǔn)ISO/IEC 27036-3及體系分析

        謝宗曉董坤祥
        (南開大學(xué)商學(xué)院)

        通過對ISO/IEC 27036信息安全標(biāo)準(zhǔn)體系范圍和內(nèi)容的描述,詳細(xì)闡述了ICT供應(yīng)鏈信息安全管理流程中面臨的相關(guān)風(fēng)險,實施信息安全的要求和ICT供應(yīng)鏈信息安全的標(biāo)準(zhǔn)內(nèi)容。最后,提出我國企業(yè)在實施ICT供應(yīng)鏈信息安全過程中的相關(guān)建議。

        信息安全I(xiàn)CT供應(yīng)鏈ISO/IEC 27036-3

        謝宗曉 博士

        “十二五”國家重點圖書出版規(guī)劃項目《信息安全管理體系叢書》執(zhí)行主編。自2003年起,從事信息安全風(fēng)險評估與信息安全管理體系的咨詢與培訓(xùn)工作。目前,已發(fā)表論文38篇,出版專著12本。信息安全管理系列之十四

        隨著信息通信技術(shù)和ICT供應(yīng)鏈的發(fā)展,ICT供應(yīng)鏈面臨著嚴(yán)峻的信息安全風(fēng)險考驗。歐美等發(fā)達(dá)國家相繼制定了ICT供應(yīng)鏈風(fēng)險管理的標(biāo)準(zhǔn),但我國尚未制定符合我國國情的ICT供應(yīng)鏈信息安全標(biāo)準(zhǔn)。因此,本文通過對ICT供應(yīng)鏈國際標(biāo)準(zhǔn)ISO/IEC 27036-3的分析,梳理了ICT供應(yīng)鏈面臨的相關(guān)風(fēng)險、安全要求和標(biāo)準(zhǔn)內(nèi)容,以期為我國的ICT供應(yīng)鏈信息安全實踐提供指導(dǎo)幫助。

        謝宗曉(特約編輯)

        1 ICT供應(yīng)鏈信息安全相關(guān)標(biāo)準(zhǔn)體系

        隨著信息通信技術(shù)(ICT)的發(fā)展和外包服務(wù)的成熟,ICT與供應(yīng)鏈的融合越來越緊密。ICT供應(yīng)鏈的健康運(yùn)營和信息安全,對提高供應(yīng)鏈節(jié)點企業(yè)的長期競爭力具有很大的推動作用。但是,由于ICT產(chǎn)品或服務(wù)的質(zhì)量缺陷及供應(yīng)鏈的脆弱性,往往導(dǎo)致ICT供應(yīng)鏈面臨著嚴(yán)峻的信息安全風(fēng)險的考驗。為了加強(qiáng)ICT供應(yīng)鏈風(fēng)險的管理和控制,歐美等國家相繼制定了ICT供應(yīng)鏈風(fēng)險管理的標(biāo)準(zhǔn)。目前,關(guān)于ICT供應(yīng)鏈的相關(guān)標(biāo)準(zhǔn)體系有兩個:(1)ISO/ IEC 27000信息安全管理體系中ISO/IEC 27036-3,該標(biāo)準(zhǔn)是ICT供應(yīng)鏈信息安全指南的國際標(biāo)準(zhǔn),其明確了供應(yīng)鏈關(guān)系中信息安全風(fēng)險的評估和應(yīng)對措施;(2)2013年美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)發(fā)布的聯(lián)邦信息系統(tǒng)和組織的供應(yīng)鏈風(fēng)險管理實踐指導(dǎo)草案SP800-161。該指導(dǎo)草案是對ISO/IEC 27036-3標(biāo)準(zhǔn)的完善,是通過ICT供應(yīng)鏈風(fēng)險具體路徑、供應(yīng)鏈風(fēng)險管理指標(biāo)以及其他風(fēng)險緩解活動將ICT供應(yīng)鏈風(fēng)險管理整合到聯(lián)邦組織采購ICT產(chǎn)品或服務(wù)的風(fēng)險管理體系中,并形成ICT供應(yīng)鏈風(fēng)險管理標(biāo)準(zhǔn)SP800-161。因為SP800-161主要為聯(lián)邦機(jī)構(gòu)量身定做,具有一定的局限性,而ISO/IEC 27036是具有普適性的國際主流標(biāo)準(zhǔn),且具有權(quán)威性,故我們主要對供應(yīng)鏈信息安全標(biāo)準(zhǔn)ISO/IEC 27036進(jìn)行分析研究。

        2 ISO/IEC 27036標(biāo)準(zhǔn)體系概述

        ISO/IEC 27036標(biāo)準(zhǔn)體系由多個標(biāo)準(zhǔn)族集合而成,用于評價和處理供應(yīng)商在提供服務(wù)或產(chǎn)品過程中可能面臨的信息安全風(fēng)險。該標(biāo)準(zhǔn)的制定起因于B2B商業(yè)關(guān)系中與信息相關(guān)產(chǎn)品所產(chǎn)生的信息風(fēng)險。隨著標(biāo)準(zhǔn)的發(fā)展,我們認(rèn)為,只要組織內(nèi)、外的兩個個體存在相互交流或信息交換的情形,都應(yīng)遵守該信息安全標(biāo)準(zhǔn)體系的要求;但雙方不一定產(chǎn)生交易行為,如組織內(nèi)員工之間的交流或任務(wù)的交接等沒有產(chǎn)生交易的行為,也應(yīng)遵守信息安全標(biāo)準(zhǔn)的要求。下面,我們從ISO/IEC 27036標(biāo)準(zhǔn)體系的范圍和內(nèi)容兩個方面對ISO/IEC 27036標(biāo)準(zhǔn)進(jìn)行介紹。

        2.1ISO/IEC 27036標(biāo)準(zhǔn)體系的范圍

        根據(jù)國際標(biāo)準(zhǔn)化組織的文件,ISO/IEC 27036標(biāo)準(zhǔn)體系的范圍包括:IT產(chǎn)品和服務(wù)范圍、標(biāo)準(zhǔn)內(nèi)容、信息安全控制和組織間關(guān)系四個方面。

        2.1.1IT產(chǎn)品和服務(wù)范圍

        IT產(chǎn)品和服務(wù)包括:IT外包和云計算服務(wù),其他專業(yè)服務(wù)(例如,防火墻設(shè)置、設(shè)備清潔、通訊設(shè)備的維護(hù)與保養(yǎng)、專家咨詢、知識管理、產(chǎn)品或服務(wù)的研發(fā)、制造、配送及源代碼托管服務(wù)等),ICT硬件、軟件和服務(wù)的供應(yīng),定制化的產(chǎn)品和服務(wù),以及水電等產(chǎn)品。

        2.1.2標(biāo)準(zhǔn)內(nèi)容

        標(biāo)準(zhǔn)覆蓋的內(nèi)容包括:實施ICT產(chǎn)品和服務(wù)時,確保組織戰(zhàn)略目標(biāo)和商業(yè)需求的信息安全,降低對供應(yīng)商的過度依賴。

        2.1.3信息安全控制

        要對信息安全的內(nèi)容進(jìn)行控制,例如均衡事前準(zhǔn)備與分析過程中信息安全的成本、風(fēng)險和利益;產(chǎn)品和服務(wù)供應(yīng)商是否符合ISO/IEC 27001認(rèn)證;合作開發(fā)和運(yùn)營中的風(fēng)險分析、安全設(shè)計與識別、資產(chǎn)和事故管理等;信息資產(chǎn)的問責(zé)制和責(zé)任保護(hù)制;明確獎懲及審計制度等。

        2.1.4組織間關(guān)系

        組織生命周期內(nèi)的組織關(guān)系管理,包括:(1)初始業(yè)務(wù)范圍分析,即自產(chǎn)還是外包決策、多元化還是單一產(chǎn)品決策,以及信息安全需求的定義;(2)產(chǎn)品或服務(wù)的采購分析,如組織的運(yùn)營管理;(3)產(chǎn)品或服務(wù)的更新;(4)終止或結(jié)束業(yè)務(wù)關(guān)系,或者重新定義企業(yè)的業(yè)務(wù)范圍等。

        2.2ISO/IEC 27036標(biāo)準(zhǔn)體系的內(nèi)容

        根據(jù)國際標(biāo)準(zhǔn)化組織的相關(guān)文件,ISO/IEC 27036《信息技術(shù)安全技術(shù)供應(yīng)商關(guān)系的信息安全》標(biāo)準(zhǔn)體系主要包括四部分:第1部分:概述和相關(guān)概念(ISO/IEC 27036-1);第2部分:要求(ISO/ IEC 27036-2);第3部分:ICT供應(yīng)鏈安全指南(ISO/ IEC 27036-3);第4部分:云服務(wù)安全指南(ISO/ IEC 27036-4)。ISO/IEC 27036-1和ISO/IEC 27036-2是基本規(guī)定,ISO/IEC 27036-3和ISO/IEC 27036-4則是具體操作規(guī)范與應(yīng)用。

        2.2.1ISO/IEC 27036標(biāo)準(zhǔn)的概念與相關(guān)問題

        ISO/IEC 27036-1對ICT供應(yīng)鏈所涉及的各個利益相關(guān)者和流程進(jìn)行了規(guī)范和定義。例如,需求者是指從另一方獲得產(chǎn)品和服務(wù)的利益相關(guān)者(ISO/ IEC 15288:2008,4.1);獲取是指獲得產(chǎn)品或服務(wù)的過程(ISO/IEC 15288:2008,4.2);協(xié)議是指工作合作中共同確認(rèn)的條款和條件(ISO/IEC 15288:2008,4.4);生命周期是指產(chǎn)品或服務(wù)從概念到淘汰的全過程(ISO/IEC 15288:2008,4.11);流程是指一組將輸入轉(zhuǎn)化為輸出的相互關(guān)聯(lián)或相互作用的活動(ISO 9000:2005,3.4.1)。其他的相關(guān)概念還有,下游組織和上游組織(ISO 28001:2007,3.10)、外包、利益相關(guān)者、供應(yīng)商、供應(yīng)商關(guān)系、供應(yīng)鏈、系統(tǒng)、信任、可跟蹤性等。

        通過上述概念,ISO/IEC 27036分析了供應(yīng)商關(guān)系中的幾個問題:(1)供應(yīng)商關(guān)系形成的動機(jī),ICT產(chǎn)品或服務(wù)外包不僅可以使企業(yè)集中核心業(yè)務(wù),減少成本,提高服務(wù)水平,還能及時更新ICT產(chǎn)品或服務(wù)。(2)供應(yīng)商關(guān)系的類型,主要包括購買ICT產(chǎn)品、ICT服務(wù)和云計算三類。(3)供應(yīng)商關(guān)系中的信息安全風(fēng)險與管理,包括以契約和協(xié)議的形式降低供應(yīng)商關(guān)系的信任風(fēng)險;以嚴(yán)格的質(zhì)量審查減少產(chǎn)品或服務(wù)缺陷;監(jiān)控與識別組織治理的流程,上下級的溝通,以及組織成員的社會文化差異。(4)ICT供應(yīng)鏈管理問題,即完善ICT產(chǎn)品或服務(wù)的標(biāo)準(zhǔn)采購流程,且ICT產(chǎn)品或服務(wù)必須達(dá)到要求的信息安全水平。

        2.2.2ISO/IEC 27036標(biāo)準(zhǔn)的結(jié)構(gòu)

        由圖1可知,ISO/IEC 27036提供了在供應(yīng)商關(guān)系中,如何確保信息安全的多層級國際標(biāo)準(zhǔn)體系。ISO/IEC 27036-1描述了供應(yīng)商關(guān)系中信息安全管理的范圍、概念和問題,為ISO/IEC 27036標(biāo)準(zhǔn)體系構(gòu)建了基本框架。ISO/IEC 27036-2指定了供應(yīng)商關(guān)系中基本的信息安全定義、實現(xiàn)、操作、監(jiān)控、評估、維護(hù)和改善等要求。這些要求支持任何采購和供應(yīng)的產(chǎn)品和服務(wù),如產(chǎn)品的制造或裝配、業(yè)務(wù)流程采購、軟件和硬件的組件、知識流程采購和云計算服務(wù)等。ISO/IEC 27036-3提供了具體實施ICT供應(yīng)鏈信息安全管理的標(biāo)準(zhǔn)流程。ISO/IEC 27036-4指出云計算在ICT供應(yīng)鏈產(chǎn)品和服務(wù)中,其應(yīng)用可能產(chǎn)生的信息安全風(fēng)險及其管理方法。ISO/IEC 27036標(biāo)準(zhǔn)四個部分的關(guān)系如圖1所示。

        圖1 ISO/IEC 27036標(biāo)準(zhǔn)體系結(jié)構(gòu)

        3 ISO/IEC 27036-3——ICT供應(yīng)鏈信息安全標(biāo)準(zhǔn)

        ICT供應(yīng)鏈?zhǔn)荌CT產(chǎn)品和服務(wù)供應(yīng)關(guān)系的集合,有著多樣性的物流和多層次的外包。一般而言,這種網(wǎng)鏈系統(tǒng)是由組織、人員、流程、產(chǎn)品以及與系統(tǒng)開發(fā)生命周期配套的服務(wù)和基礎(chǔ)設(shè)施構(gòu)成。圖2描述了組織、上游供應(yīng)商和下游需求商組成的ICT供應(yīng)鏈。圖2中相鄰的兩個組織,一個稱為服務(wù)或產(chǎn)品的供應(yīng)商,另一個稱為需求客戶。在ICT供應(yīng)鏈末端的客戶又稱為消費者,且消費者一般無法控制上游直接供應(yīng)商或間接供應(yīng)商的信息安全要求。

        圖2 ICT供應(yīng)鏈關(guān)系

        3.1ICT供應(yīng)鏈相關(guān)風(fēng)險

        ICT供應(yīng)鏈中往往因個別供應(yīng)商產(chǎn)品或服務(wù)的信息安全風(fēng)險,而導(dǎo)致整條ICT供應(yīng)鏈的需求方和供應(yīng)商面臨風(fēng)險。同時,因需求方不能干涉供應(yīng)商的相關(guān)程序,而使得需求方無法通過溝通、監(jiān)視和加強(qiáng)信息安全管理來控制上游供應(yīng)商的信息安全風(fēng)險。然而,供應(yīng)商和需求方共同面臨的信息安全風(fēng)險,往往直接與控制意識不足、ICT產(chǎn)品或服務(wù)的擁有權(quán)及責(zé)任不清等有關(guān)。由于供應(yīng)鏈中ICT產(chǎn)品和ICT服務(wù)所面臨的風(fēng)險有所不同,我們就ICT產(chǎn)品和ICT服務(wù)可能的風(fēng)險進(jìn)行如表1和表2的分類描述。

        表1 ICT產(chǎn)品的相關(guān)信息安全風(fēng)險

        表2 ICT服務(wù)的相關(guān)信息安全風(fēng)險

        3.2ICT 供應(yīng)鏈的信息安全要求

        需求方之所以接受供應(yīng)商的產(chǎn)品、配送和服務(wù),是因為需求方期望獲得高于自身信息安全水平的標(biāo)準(zhǔn)。這些標(biāo)準(zhǔn)如下所述:

        (1)管理影響企業(yè)信息連續(xù)、信息系統(tǒng)和服務(wù)等信息安全的,且與企業(yè)環(huán)境相關(guān)的政策、法律和信息等安全風(fēng)險。

        (2)管理材料和設(shè)備的完整性,例如,獨特標(biāo)記和保護(hù)標(biāo)簽等。

        (3)管理軟件和其他電子信息的完整性,例如,哈希函數(shù)的加密和數(shù)字水印等確保供應(yīng)商產(chǎn)品不被盜用。

        (4)管理配送中產(chǎn)品和服務(wù)等設(shè)備的物理安全。

        (5)管理所有與供應(yīng)商有商務(wù)往來客戶、其他客戶、與供應(yīng)商往來的供應(yīng)商,以及所有需求方的信息安全。

        此外,為了合理管理ICT供應(yīng)鏈的信息安全,需求方對獲得的產(chǎn)品或服務(wù)應(yīng)在組織層面采納以下標(biāo)準(zhǔn)框架:①建立信息共享和交換的信息安全規(guī)章制度;②評價和監(jiān)督與供應(yīng)鏈相關(guān)的信息安全風(fēng)險;③建立ICT供應(yīng)鏈協(xié)議和信息安全協(xié)議的談判流程;④持續(xù)監(jiān)測并報告ICT供應(yīng)鏈內(nèi)成員的績效、信息安全和供應(yīng)商關(guān)系的變化。

        3.3ICT供應(yīng)鏈安全標(biāo)準(zhǔn)的相關(guān)內(nèi)容

        在供應(yīng)鏈中,供應(yīng)商和需求方之間信息安全管理和控制的實施,并未使產(chǎn)品或服務(wù)的信息安全風(fēng)險得到充分的管理。需求方對供應(yīng)商產(chǎn)品和服務(wù)的管理是信息安全的關(guān)鍵,因為這需要需求方對供應(yīng)商的系統(tǒng)具有一定的可見性。同樣,供應(yīng)商也經(jīng)常因與需求方和供應(yīng)商的關(guān)聯(lián)性而增加了ICT供應(yīng)鏈的信息安全風(fēng)險。ISO/IEC 27036-3為需求方和供應(yīng)商提供了ICT產(chǎn)品和服務(wù)的信息安全風(fēng)險管理指南,其相關(guān)標(biāo)準(zhǔn)條款是基于ISO/IEC 27036-2、ISO/IEC 15288、ISO/IEC 12207和ISO/IEC 27002,并為ISO/ IEC 27036-2提供了相應(yīng)的管理實踐。

        除上述相關(guān)標(biāo)準(zhǔn)的內(nèi)容外,ICT供應(yīng)鏈標(biāo)準(zhǔn)也有針對IT產(chǎn)品和服務(wù)的內(nèi)容,例如,產(chǎn)銷監(jiān)管鏈、最小特權(quán)訪問、職責(zé)分離、防篡改與證據(jù)、持續(xù)保護(hù)、責(zé)任管理、代碼評估和驗證、安全培訓(xùn)、漏洞評估與響應(yīng)、定義安全預(yù)期、知識產(chǎn)權(quán)和責(zé)任、避免灰色市場、采購流程管理、質(zhì)量管理、人力資源管理、項目管理、供應(yīng)商關(guān)系管理、風(fēng)險和安全管理、配置和變更管理、信息管理、安全架構(gòu)設(shè)計、ICT實施、ICT集成、ICT測試、惡意軟件防護(hù)、ICT管理、維修和處理。上述ICT供應(yīng)鏈特有內(nèi)容和已有的相關(guān)標(biāo)準(zhǔn)共同組成ICT供應(yīng)鏈信息安全標(biāo)準(zhǔn)體系,如圖3所示。

        圖3 ICT供應(yīng)鏈信息安全標(biāo)準(zhǔn)體系

        4 我國實施ICT供應(yīng)鏈信息安全的建議

        由于我國ICT供應(yīng)鏈實施背景與歐美等發(fā)達(dá)國家有所不同,就會導(dǎo)致ICT供應(yīng)鏈信息安全的國際標(biāo)準(zhǔn)在國內(nèi)實施時有水土不服的現(xiàn)象。鑒于此,結(jié)合國際標(biāo)準(zhǔn),我們對國內(nèi)實施ICT供應(yīng)鏈信息安全的管理實踐提出以下建議:

        (1)融合ISO/IEC 27036-3標(biāo)準(zhǔn)和SP800-161標(biāo)準(zhǔn)。ISO/IEC 27036-3側(cè)重從實施流程的角度對ICT供應(yīng)鏈中IT產(chǎn)品和ICT服務(wù)的信息安全風(fēng)險管理分別進(jìn)行描述和分析,并指出ICT供應(yīng)鏈信息安全的架構(gòu)設(shè)計、實施、集成、測試、惡意軟件防護(hù)、管理、維修和處理。與ISO/IEC 27036-3不同,SP800-161是從組織層面分析不同組織層次面臨的信息安全風(fēng)險問題。SP800-161標(biāo)準(zhǔn)從組織內(nèi)部到外部服務(wù)商和系統(tǒng)集成商,再到ICT產(chǎn)品和服務(wù)的提供商,通過組織內(nèi)外的脆弱性分析和威脅因素分析,明確了組織面臨的ICT供應(yīng)鏈信息安全風(fēng)險。通過對比ISO/IEC 27036-3標(biāo)準(zhǔn)和SP800-161標(biāo)準(zhǔn)的異同,我們認(rèn)為我國在實施ICT供應(yīng)鏈信息安全風(fēng)險管理過程中要點、線結(jié)合,即:以組織的信息安全管理為點,以整條ICT供應(yīng)鏈為線,同時從兩個角度全面分析ICT供應(yīng)鏈所面臨的全部可能的信息安全風(fēng)險,并對安全隱患加以控制。

        (2)制定符合組織自身發(fā)展需求的ICT供應(yīng)鏈風(fēng)險管理方案。我國ICT產(chǎn)品或服務(wù)來源于兩個方面:一是,國外ICT產(chǎn)品或服務(wù)的提供商;二是,國內(nèi)ICT產(chǎn)品或服務(wù)的提供商。使用國外ICT產(chǎn)品或服務(wù)的提供商,能夠充分保證ICT供應(yīng)鏈中信息傳遞的效率、完整性、穩(wěn)定性;但是,增加了泄露ICT供應(yīng)鏈信息的風(fēng)險。使用國內(nèi)ICT產(chǎn)品或服務(wù)的提供商,能夠降低ICT產(chǎn)品或服務(wù)的成本;但是,卻難以確保ICT產(chǎn)品或服務(wù)的穩(wěn)定性和完整性。因此,我國的組織或企業(yè)在實施ICT供應(yīng)鏈信息安全管理過程中,應(yīng)根據(jù)企業(yè)自身對信息安全水平要求和ICT實施成本,確定采納ICT產(chǎn)品或服務(wù)的最佳方案。

        [1]ISO/IEC 27036-3:2013Information technology—Security techniques—Information security for supplier relationships—Part 3: Guidelines for ICT supply chain

        [2]NIST SP800-161 Supply Chain Risk Management Practices for Federal Information Systems and Organizations

        [3]Bartol N. Cyber supply chain security practices DNA-Filling in the puzzle using a diverse set of disciplines[J]. Technovation, 2014, 34(7): 354-361.

        [4]馬寧. IT供應(yīng)鏈國家安全審查勢在必行[J]. 中國信息安全,2013(7):93-93.

        [5]謝宗曉. 信息安全合規(guī)性的實施路線探討[J]. 中國標(biāo)準(zhǔn)導(dǎo)報,2015(2):24-26.

        [6]范科峰,趙鴻雁,王惠蒞. ICT供應(yīng)鏈風(fēng)險管理標(biāo)準(zhǔn)研究[J]. 信息技術(shù)與標(biāo)準(zhǔn)化,2014(6):20-23.

        [7]鄭興艷,劉迎. IT供應(yīng)鏈安全風(fēng)險管理標(biāo)準(zhǔn)研究[J]. 信息技術(shù)與標(biāo)準(zhǔn)化,2012(6):16-19.

        Study on the ICT Supply Chain Information Security Standard ISO/IEC 27036-3

        Xie Zongxiao, Dong Kunxiang
        ( Business School, Nankai University )

        Firstly, we describe the scope and content of information standard ISO/IEC 27036. Then we expound the relevant information risk, implementation requirements and ICT information security riskstandard in the supply process of information security management. Finally, we propose suggestions about how to implement ICT supply chain information security management under the background of China.

        information security, ICT supply chain, ISO/IEC 27036-3

        猜你喜歡
        需求方供應(yīng)商信息安全
        面向軟件外包平臺的協(xié)同過濾推薦算法的研究
        實時競價中的傭金率問題研究
        共享單車市場的發(fā)展現(xiàn)狀與前景研究
        保護(hù)信息安全要滴水不漏
        高校信息安全防護(hù)
        保護(hù)個人信息安全刻不容緩
        供應(yīng)商匯總
        供應(yīng)商匯總
        供應(yīng)商匯總
        信息安全
        江蘇年鑒(2014年0期)2014-03-11 17:10:07
        美女高潮无遮挡免费视频| 国产av精品麻豆网址| 亚洲二区三区四区太九| 最新69国产精品视频| 开心五月婷婷激情综合网| 帮老师解开蕾丝奶罩吸乳网站| 国产美女遭强高潮网站| 久久精品综合国产二区| 精品国产精品久久一区免费| 国产亚洲精品熟女国产成人| 看av免费毛片手机播放| 综合色久七七综合尤物| 亚洲av男人免费久久| 人人妻人人澡人人爽精品日本 | 无码av免费一区二区三区试看| 久久精品国产亚洲5555| 日本av第一区第二区| 老太婆性杂交视频| 性xxxx视频播放免费| 亚洲欧美日韩精品香蕉| 久久精品国产白丝爆白浆| 国产在线视频一区二区天美蜜桃| 五级黄高潮片90分钟视频| 亚洲欧美日韩国产综合久| 男人一插就想射的原因| 午夜三级a三级三点在线观看| 亚洲精品国偷拍自产在线观看蜜臀| 久久99国产亚洲高清观看首页| 久久精品蜜桃亚洲av高清| 国产日产亚洲系列最新| 桃花影院理论片在线| 久久久精品波多野结衣| 国产精品国产午夜免费看福利| av成人一区二区三区| 人妻少妇精品中文字幕av| 久久亚洲道色宗和久久| 亚洲免费福利视频网站| 国产播放隔着超薄丝袜进入| 久久久久亚洲av无码网站| 国产人妖在线免费观看| 西川结衣中文字幕在线|