互联网用户日志留存技术标准

1、1/ 9互联网用户日志留存检查内容、方法和标准对照表（2）罚则1计算机信息网络国际联网安全保护管理办法第二十一条检查方法（1）注册信息 通过日志留存设备检查是否能将单位用户身份 信息、计算机终端内网IP地址、MAC地址和 上网所用账号进行有效绑定，并查看该对应关 系数据库（表） ，并任意找一个上网用户和其所 使用的计算机终端， 检查其对应关系是否准确。（2） 公用计算机判别 要求被检查单位的网络安全管理员告知单位内 部是否存在公用计算机，如果存在，则通过日 志留存设备检查是否备有公用帐号，并做好公检查标准（黑色粗体字表示非强制要求）（1）注册信息具有单位用户身份信息、 计算机终端内网IP地址、

2、MAC地址和上网所用账号对应关系数据库（表） ； 抽查的对应关系准确。（2）公用计算机判别1保存有公用帐号；记录公用帐号的使用者信息。项目序号（与 检查笔录 序号对应）依据和罚则检查内容（1）依据记录并留存用户互联网安全保护注册信息技术措施规定第十条第一款访问控制和身份鉴别2/ 9用帐号的使用登记。（1）依据记录并留存用户（1）内外地址转换（1）内外地址转换互联网安全保护使用的互联网网在被检查单位任选一台连接互联网的计算机终准确记录互联网IP地址与所使用计算机终端内网IP技术措施规定第络地址和内部网端访问互联网任意网页，找到该网页互联网IP地址的对应关系。十条第三款络地址对应关系地址，再通过日

3、志留存设备以此为条件查找计（2）禁止私设代理2（2）罚则算机终端。无此类现象。会话还计算机信息网络（2）禁止私设代理原国际联网安全保护查看该计算机终端上是否私自安装了代理上网管理办法第二十软件，检查是否有电脑通过内网中其他计算机一条终端作为代理进行互联网访问（1）依据记录并留存用户（1）应用会话记录（1）应用会话记录3互联网安全保护登录和退出时间、在被检查单位任选一台连接互联网的计算机终记录实施八种上网行为的时间；技术措施规定第主叫号码、账号、端，分别实施下列上网行为：登陆论坛并发帖记录论坛网址和帐号，博客帐号，微博帐号，帖子3/ 9以上述论坛网址、帖子内容，论坛、博客、微记录用户访问的源地址

4、、源端口、目标地址、目标博、QQ、MSN、阿里旺旺、支付宝、电子邮 端口。（2）应用会话查找1应提供基于时间、应用服务类型、网址、IP地址端口、账号为查询条件的查询功能；2结果准确。（3）系统会话记录七条第三款互联网地址或域或跟帖、登陆博客、登陆微博、登陆QQ、登的标题、内容和附件，QQ帐号，MSN帐号和内容，2）罚则名、系统维护日志陆MSN并聊天、登陆阿里旺旺并通过其登陆阿里旺旺帐号和支付宝帐号，源电子邮箱和目的电子计算机信息网络的技术措施支付宝、登陆电子邮箱并发送电子邮件、通过邮箱，邮件标题、 内容和附件 ，ftp网址，ftp帐号，国际联网安全保护ftp上传文件等八种上网行为， 通过日志留

5、存设上传文件内容；管理办法第二十备检查是否记录了这些上网行为。记录用户使用的应用服务类型（如一条2）应用会话查找QQ,MSN,BT,FTP ,游戏等)箱和ftp的帐号，及各自对应的时间为条件， 通过日志留存设备提供的查询模块， 查找所对 应的计算机终端和其使用人。（3）系统会话记录 通过日志留存设备，用最高级的管理员的权限4/ 9对日志内的数据进行修改和删除，并要求被检查单位的网络安全管理员告知单位内部重要服务器的数量与在网络中的位置。记录系统管理员对日志备份数据的修改及删除操作；记录所有对该重要服务器的访问记录。（1）依据在公共信息服务查看日志留存设备中是否具有特定黑名单（能具有黑名单功能，

6、能够设定网址、关键字；互联网安全保护中发现、 停止传输够设定网址、关键字等） ，并在其中设定特定网能够对网址和帖子 告警 、拦截；技术措施规定第违法信息， 并保留址和关键字，任选一台连接互联网的计算机终 能够对邮件告警、拦截；十条第二款相关记录。端分别进行访问该网址，在论坛上发布带有关能够记录所使用计算机终端的相关信息和上网行审计4（2）罚则键字的帖子，发送带有关键字的邮件，检查是为有关信息。计算机信息网络否能够告警、拦截和进行相关记录。国际联网安全保护管理办法第二十一条数据安5（1）依据安装并运行互联检查该单位是否安装了互联网公共上网服务场互联网公共上网服务场所安全管理系统运行正常；5/ 9

7、全性互联网安全保护网公共上网服务所安全管理系统， 并与市局管理中心实时联网。互联网公共上网服务场所安全管理系统达到上述技术措施规定第场所安全管理系一、十二条统，且具有符合公检查要求；与市局管理中心实时联网。2）罚则共安全行业技术计算机信息网络标准的联网接口国际联网安全保护管理办法第二十一条1）依据互联网安全保护技术措施规定第十三条（2）罚则非经营性公共上网服务场所需检查此项）大于六十天的记录备份通过日志留存设备检查相关日志记录。应用会话记录和系统会话记录大于六十天；告警记录大于六十天。6/ 9计算机信息网络国际联网安全保护管理办法第二十一条对于已落实日志留存的单位，应检查其是否实施下列行为：擅

8、自停止或者部分停止日志留存 设备运行；故意破坏日志留存设备；擅自删除 篡改日志留存设备运行程序和记录；擅自改变 日志留存设备的用途和范围；其他故意破坏日 志留存设备或者妨碍其功能正常发挥的行为。管理办法第二十一条内容要件（1）依据是否实施了破坏互联网安全保护日志留存设备或技术措施规定第互联网公共上网十四条服务场所安全管7（2）罚则理系统的行为计算机信息网络国际联网安全保护日志留存设备运行正常。7/ 9查看日志留存设备外部是否贴有计算机信息 系统安全专用产品销售许可证，并登陆互联网 公安部计算机信息系统安全产品质量监督检验中心主页：http:/ 下载 计算机信息系统安全专用产 品销售许证目录 ，

9、检查使用的日志留存设备的 销售许可证未过期。具有计算机信息系统安全专用产品销售许可证2许可证未过期。3未满足第9项要求的两种特殊情况：1、采用自行研发的软硬件产品落实日志留存， 但未取得计算机信 息系统安全专用产品销售许证的， 只要该单位能证明 自行研发和未对外销售， 且达到除第九项外最低达标 要求的，视为落实日志留存。2、购买或销售未取得计算机信息系统安全专用产品销售许证的日志留存 设备的， 还应根据公安部32号令和关于对出售没有申领销售许可证的计算机信息系统安全专用产品的单位进行处罚问题的批复（公信安199944号）规定，对生产销售单位进行处罚。备注：上述任一检查内容未达到标准的，均视为未落实日志留存，初次检查未达标的应依法对被检查单位下发违法行为告知书，复查发现未整改的应依计算机信息系统安全专用产品检测算机信息系统安和销售许可证管理全专用产品销售办法第三条（2）罚则许可证及其有效计算机信息系统期形式要8安全专用产品检测件和销售许可证管