互联网用户日志留存技术标准.doc

互联网用户日志留存检查内容、方法和标准对照表项目序号（与检查笔录序号对应）依据和罚则检查内容检查方法检查标准（黑色粗体字表示非强制要求）访问控制和身份鉴别1（1）依据互联网安全保护技术措施规定第十条第一款（2）罚则计算机信息网络国际联网安全保护管理办法第二十一条记录并留存用户注册信息（1）注册信息通过日志留存设备检查是否能将单位用户身份信息、计算机终端内网IP地址、MAC地址和上网所用账号进行有效绑定，并查看该对应关系数据库（表），并任意找一个上网用户和其所使用的计算机终端，检查其对应关系是否准确。（2）公用计算机判别要求被检查单位的网络安全管理员告知单位内部是否存在公用计算机，如果存在，则通过日志留存设备检查是否备有公用帐号，并做好公用帐号的使用登记。（1）注册信息具有单位用户身份信息、计算机终端内网IP地址、MAC地址和上网所用账号对应关系数据库（表）；抽查的对应关系准确。（2）公用计算机判别保存有公用帐号；记录公用帐号的使用者信息。会话还原2（1）依据互联网安全保护技术措施规定第十条第三款（2）罚则计算机信息网络国际联网安全保护管理办法第二十一条记录并留存用户使用的互联网网络地址和内部网络地址对应关系（1）内外地址转换在被检查单位任选一台连接互联网的计算机终端访问互联网任意网页，找到该网页互联网IP地址，再通过日志留存设备以此为条件查找计算机终端。（2）禁止私设代理查看该计算机终端上是否私自安装了代理上网软件，检查是否有电脑通过内网中其他计算机终端作为代理进行互联网访问（1）内外地址转换准确记录互联网IP地址与所使用计算机终端内网IP地址的对应关系。（2）禁止私设代理无此类现象。3（1）依据互联网安全保护技术措施规定第七条第三款（2）罚则计算机信息网络国际联网安全保护管理办法第二十一条记录并留存用户登录和退出时间、主叫号码、账号、互联网地址或域名、系统维护日志的技术措施（1）应用会话记录在被检查单位任选一台连接互联网的计算机终端，分别实施下列上网行为：登陆论坛并发帖或跟帖、登陆博客、登陆微博、登陆QQ、登陆MSN并聊天、登陆阿里旺旺并通过其登陆支付宝、登陆电子邮箱并发送电子邮件、通过ftp上传文件等八种上网行为，通过日志留存设备检查是否记录了这些上网行为。（2）应用会话查找以上述论坛网址、帖子内容，论坛、博客、微博、QQ、MSN、阿里旺旺、支付宝、电子邮箱和ftp的帐号，及各自对应的时间为条件，通过日志留存设备提供的查询模块，查找所对应的计算机终端和其使用人。（3）系统会话记录通过日志留存设备，用最高级的管理员的权限对日志内的数据进行修改和删除，并要求被检查单位的网络安全管理员告知单位内部重要服务器的数量与在网络中的位置。（1）应用会话记录记录实施八种上网行为的时间；记录论坛网址和帐号，博客帐号，微博帐号，帖子的标题、内容和附件，QQ帐号，MSN帐号和内容，阿里旺旺帐号和支付宝帐号，源电子邮箱和目的电子邮箱，邮件标题、内容和附件，ftp网址，ftp帐号，上传文件内容；记录用户使用的应用服务类型(如QQ,MSN,BT,FTP,游戏等)记录用户访问的源地址、源端口、目标地址、目标端口。（2）应用会话查找应提供基于时间、应用服务类型、网址、IP地址、端口、账号为查询条件的查询功能；结果准确。（3）系统会话记录记录系统管理员对日志备份数据的修改及删除操作；记录所有对该重要服务器的访问记录。审计4（1）依据互联网安全保护技术措施规定第十条第二款（2）罚则计算机信息网络国际联网安全保护管理办法第二十一条在公共信息服务中发现、停止传输违法信息，并保留相关记录。查看日志留存设备中是否具有特定黑名单（能够设定网址、关键字等），并在其中设定特定网址和关键字，任选一台连接互联网的计算机终端分别进行访问该网址，在论坛上发布带有关键字的帖子，发送带有关键字的邮件，检查是否能够告警、拦截和进行相关记录。具有黑名单功能，能够设定网址、关键字；能够对网址和帖子告警、拦截；能够对邮件告警、拦截；能够记录所使用计算机终端的相关信息和上网行为有关信息。数据安全性5（1）依据互联网安全保护技术措施规定第十一、十二条（2）罚则计算机信息网络国际联网安全保护管理办法第二十一条安装并运行互联网公共上网服务场所安全管理系统，且具有符合公共安全行业技术标准的联网接口（非经营性公共上网服务场所需检查此项）检查该单位是否安装了互联网公共上网服务场所安全管理系统，并与市局管理中心实时联网。互联网公共上网服务场所安全管理系统运行正常； 互联网公共上网服务场所安全管理系统达到上述检查要求；与市局管理中心实时联网。6（1）依据互联网安全保护技术措施规定第十三条（2）罚则计算机信息网络国际联网安全保护管理办法第二十一条大于六十天的记录备份通过日志留存设备检查相关日志记录。应用会话记录和系统会话记录大于六十天；告警记录大于六十天。内容要件7（1）依据互联网安全保护技术措施规定第十四条（2）罚则计算机信息网络国际联网安全保护管理办法第二十一条是否实施了破坏日志留存设备或互联网公共上网服务场所安全管理系统的行为对于已落实日志留存的单位，应检查其是否实施下列行为：擅自停止或者部分停止日志留存设备运行；故意破坏日志留存设备；擅自删除、篡改日志留存设备运行程序和记录；擅自改变日志留存设备的用途和范围；其他故意破坏日志留存设备或者妨碍其功能正常发挥的行为。日志留存设备运行正常。形式要件8（1）依据计算机信息系统安全专用产品检测和销售许可证管理办法第三条（2）罚则计算机信息系统安全专用产品检测和销售许可证管理办法第二十条中华人民共和国计算机信息系统安全保护条例第二十三条公安部颁发的计算机信息系统安全专用产品销售许可证及其有效期查看日志留存设备外部是否贴有计算机信息系统安全专用产品销售许可证，并登陆互联网公安部计算机信息系统安全产品质量监督检验中心主页：/或在百度中搜索关键词“计算机信息系统安全专用产品销售许可”，下载计算机信息系统安全专用产品销售许证目录，检查使用的日志留存设备的销售许可证未过期。具有计算机信息系统安全专用产品销售许可证；许可证未过期。未满足第9项要求的两种特殊情况：1、采用自行研发的软硬件产品落实日志留存，但未取得计算机信息系统安全专用产品销售许证的，只要该单位能证明自行研发和未对外销售，且达到除第九项外最低达标要求的，视为落实日志留存。2、购买或销售未取得计算机信息系统安全专用产品销售许证的日志留存设备的，还应根据公安部32号令和关于对出售没有申领销售许可证的计算机信息系统安全专用产品的单位进行处罚问题的批复（公信安199944号）规定，对生产销售单位进行处罚。 备注：上述任一检查内容未达到标