互联网用户日志留存技术标准

1、 互联网用户日志留存检查内容、方法和标准对照表 项目 序号（与依据和罚则 检查内容 检查方法 检查标准（黑色粗体字表示非强制要求） 检查笔录对序号 应）（1）注册信息 （1）依据记录并留存用户 （1）注册信息具有单位用户身份信息、计算机终端内网注册信息互联网安全保护 IP通过日志留存设备检查是否能将单位用户身份地址、MAC地址、信息、计算机终端内网IP技术措施规定第MAC地址和地址和上网所用账号对应关系数据库（表）； 抽查的对应关系准确。 上网所用账号进行有效绑定，并查看该对应关 十条第一款访问控（2）公用计算机判别 系数据库（表），并任意找一个上网用户和其所 2（）罚则1 制和身保存有公用帐

2、号； 计算机信息网络使用的计算机终端，检查其对应关系是否准确。 份鉴别国际联网安全保护记录公用帐号的使用者信息。 2（）公用计算机判别 管理办法第二十要求被检查单位的网络安全管理员告知单位内部是否存在公用计算机，如果存在，则通过日 一条志留存设备检查是否备有公用帐号，并做好公9 / 1 用帐号的使用登记。 （1）依据 记录并留存用户（1）内外地址转换 （1）内外地址转换 准确记录互联网互联网安全保护IP在被检查单位任选一台连接互联网的计算机终使用的互联网网地址与所使用计算机终端内网IP地址的对应关系。络地址和内部网端访问互联网任意网页，找到该网页互联网IP技术措施规定第 （地址，再通过日志留存

3、设备以此为条件查找计2 络地址对应关系）禁止私设代理 十条第三款无此类现象。（ 算机终端。 2）罚则 2 2）禁止私设代理 计算机信息网络会话还（查看该计算机终端上是否私自安装了代理上网 国际联网安全保护原软件，检查是否有电脑通过内网中其他计算机管理办法第二十 终端作为代理进行互联网访问一条（ 1）应用会话记录 记录并留存用户）依据1（ ）应用会话记录1（记录实施八种上网行为的时间；在被检查单位任选一台连接互联网的计算机终登录和退出时间、互联网安全保护 3 记录论坛网址和帐号，博客帐号，微博帐号，帖子主叫号码、账号、技术措施规定第端，分别实施下列上网行为：登陆论坛并发帖9 / 2 七条第三款

4、互联网地址或域或跟帖、登陆博客、登陆微博、登陆QQ、登的标题、内容和附件，QQ帐号，MSN帐号和内容，阿里旺旺帐号和支付宝帐号，源电子邮箱和目的电子陆MSN并聊天、登陆阿里旺旺并通过其登陆（2）罚则 名、系统维护日志邮箱，邮件标题、内容和附件，ftp网址，的技术措施 支付宝、登陆电子邮箱并发送电子邮件、通过ftp帐号，计算机信息网络上传文件内容； 上传文件等八种上网行为，国际联网安全保护ftp通过日志留存设记录用户备检查是否记录了这些上网行为。 使用的应用服务类型(如管理办法第二十QQ,MSN,BT,FTP）应用会话查找2 一条,游戏等) （记录用户访问的源地址、源端口、目标地址、目标以上述论

5、坛网址、帖子内容，论坛、博客、微端口。 MSNQQ博、阿里旺旺、支付宝、电子邮（2的帐号，及各自对应的时间为条件，箱和ftp）应用会话查找 应提供基于时间、应用服务类型、网址、通过日志留存设备提供的查询模块，查找所对IP地址、端口、账号为查询条件的查询功能；应的计算机终端和其使用人。 结果准确。 ）系统会话记录3（ ）系统会话记录3通过日志留存设备，用最高级的管理员的权限（9 / 3 对日志内的数据进行修改和删除，并要求被检记录系统管理员对日志备份数据的修改及删除操作； 查单位的网络安全管理员告知单位内部重要服记录所有对该重要服务器的访问记录。 务器的数量与在网络中的位置。 具有黑名单功能，能

6、够设定网址、关键字；查看日志留存设备中是否具有特定黑名单（能 ）依据（1 在公共信息服务能够对网址和帖子够设定网址、关键字等），并在其中设定特定网互联网安全保护告警中发现、停止传输、拦截； 能够对邮件告警、拦截；技术措施规定第址和关键字，任选一台连接互联网的计算机终违法信息，并保留 能够记录所使用计算机终端的相关信息和上网行端分别进行访问该网址，在论坛上发布带有关 十条第二款 相关记录。为有关信息。 审计4 ）罚则（2键字的帖子，发送带有关键字的邮件，检查是 计算机信息网络 否能够告警、拦截和进行相关记录。国际联网安全保护管理办法第二十 一条 5 数据安）依据1（安装并运行互联互联网公共上网服

7、务场所安全管理系统运行正常；检查该单位是否安装了互联网公共上网服务场9 / 4 全性 互联网安全保护网公共上网服务所安全管理系统，并与市局管理中心实时联网。 互联网公共上网服务场所安全管理系统达到上述技术措施规定第场所安全管理系 检查要求； 与市局管理中心实时联网。且具有符合公 十一、十二条 统， 共安全行业技术）罚则（2标准的联网接口计算机信息网络（非经营性公共国际联网安全保护上网服务场所需管理办法第二十 检查此项）一条 应用会话记录和系统会话记录大于六十天； 1（）依据大于六十天的记通过日志留存设备检查相关日志记录。 告警记录大于六十天。互联网安全保护录备份 技术措施规定第6 十三条 2（

8、）罚则9 / 5 计算机信息网络国际联网安全保护管理办法第二十一条 （1）依据 是否实施了破坏对于已落实日志留存的单位，应检查其是否实 日志留存设备运行正常。施下列行为：擅自停止或者部分停止日志留存日志留存设备或互联网安全保护设备运行；故意破坏日志留存设备；擅自删除、互联网公共上网技术措施规定第篡改日志留存设备运行程序和记录；擅自改变服务场所安全管 十四条内容要日志留存设备的用途和范围；其他故意破坏日 27 （）罚则理系统的行为 件 计算机信息网络志留存设备或者妨碍其功能正常发挥的行为。国际联网安全保护管理办法第二十 一条9 / 6 （1）依据 公安部颁发的计查看日志留存设备外部是否贴有计算机

9、信息具有计算机信息系统安全专用产品销售许可证； 计算机信息系统许可证未过期。并登陆互联网 算机信息系统安，系统安全专用产品销售许可证安全专用产品检测和销售许可证管理公安部计算机信息系统安全产品质量监督检验未满足第9项要求的两种特殊情况：全专用产品销售1、采用自行 办法第三条研发的软硬件产品落实日志留存，但未取得计算机信中心主页：或在百度/许可证及其有效 ）罚则（2 息系统安全专用产品销售许证的，只要该单位能证明期 中搜索关键词“计算机信息系统安全专用产品计算机信息系统自行研发和未对外销售，且达到除第九项外最低达标，下载计算机信息系统安全专用产形式要销售许可”安全专用产品检测8 要求的，视为落实日志留存。检查使用的日志留存设备的， 件2、购买或销售未取得品销售许证目录和销售许可证管理计算机信息系统安全专用产品销售许证的日志留存销售许可证未过期。 办法第二十条设备的，还应根据公安部32号令和关于对出售没中华人民共和国计算机信息系统安有申领销售许可证的计算机信息系统安全专用产品全保护条例第二 十三条的单位进行处罚问题的批复（公信安199944号）规定，对生产销售单位进行处罚。 备注：上述任一检查内容未达到标准的，均视为未落实日志留存，初