当前位置:首页 > 信息安全 > 安全知识 > 详情
网络安全知识科普-公安部“151号令”日志审计要求
2018年11月09日   

  《公安机关互联网安全监督检查规定》,也称“151号令”从111日正式实施。该规定对《网络安全法》的相关检查内容和处罚措辞给出进一步的解释和说明,例如,“151号令”的第二十一条对上网日志记录有明确的说明:“未采取记录并留存用户注册信息和上网日志信息措施的,依照《中华人民共和国网络安全法》第五十九条第一款的规定予以处罚”。 

 

  从当初的“82号令”,到《网络安全法》,再到如今的“151号令”可以看出,国家对网络安全的重视程度加强,让网络执法变的有法可依。那么对于高校用户,如何去理解“151号令”中关于上网日志留存问题呢? 

01. 日志留存时间

  《网络安全法》在第二十一条中,明确规定“采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月”,因此,相关日志留存需要满足180天的规定。 

02. 日志存储所需硬盘空间

  根据以往的经验,1Gbps带宽的流量若按照1:1方式保存摘要(包含会话数据、域名、DNS等),每天保存下来的数据存储量为30Gbyte,如果按照180天计算,需要存储空间为5.4T左右。而高校一般带宽都在5G以上,因此,日志量非常大,需要的存储空间比较大。 

03. 日志留存内容

  1、用户认证信息 

    

  很多校园网采用是DHCP模式进行IP地址分配,因此,在上网的时候必须通过认证&计费产品进行身份的确认,实现实名制上网。这一点,学校在IPv4网络上基本实现;但IPv6网络是实名制认证很多学校没有做,下一步要加强IPv6网络的实名制。 

    

  2、用户上网的会话日志 

    

  校园网内部人员非常多,学生上网访问的内容也难免会有一些不符合国家相关规定或者涉及到“黄、赌、毒”内容。作为校园网网络总出口,必须留存相关人员上网记录,以便发生网络安全事件后进行追查。例如:某人上网攻击了政府的某个部门的网站,需要通过校园网出口NAT日志来定位到攻击来源自那个网吧的那台计算机,再根据当时的时间,定位到人。因此,日志留存内容需要体现访问时间、源地址、目标地址、NAT地址、账号信息、域名、协议类型、7层协议名称、流量等元素,完整保留网络中的相关信息。当发生相关网关安全事件时候,通过NAT地址、帐号的登录信息以及URL访问等记录信息,可以定位到具体上网用户,满足《网络安全法》和“151号令”相关要求。 

    

  3、校园网虚拟身份信息 

    

  微信、QQ等聊天工具的发展,增加了人们的沟通方式。但如果某人通过QQ群,微信群发表不良言论(尤其是涉及到发动、危害民族团结言论)校方有可能要求校园网出口通过QQ号码或者微信ID来对应于上网人员。日志留存的内容需要包括QQ号码,微信ID、邮箱地址或者论坛用户名等信息,通过查询找到这些虚拟身份对应的真实信息。 

    

  4、用户行为日志记录 

    

  用户行为日志,包括URLDNS查询和用户认证等,其中最为重要的类型是URL日志、DNS查询日志以及用户画像。URL日志既是执法部门常用的审计手段,又是监管部门衡量网络整体效率的依据。