“相关网络日志保存6个月以上”的合规义务如何落地

在进入合规问题之前，我们需要对网络日志进行分类，不同的类别可能具有不同的重要性以及关联不同的合规义务。

通常来说，网络日志包括以下几类：

访问日志

记录了访问网站或服务器的请求和响应信息，如哪个IP地址访问了哪个页面，也包括对数据传输的流向的记录。

运行日志

记录了网络设备或服务器运行状况的信息，如服务器在不同时间段的负荷、CPU/内存/硬盘使用率、开关机等。

安全日志

记录了网络安全事件，如黑客攻击、恶意软件传播、暴力破解等。

系统日志

记录了操作系统的事件和错误信息等。

应用程序日志

形式上，“保存相关的网络日志”是《网络安全法》第二十一条的明确要求，但法律背后的意图是什么？法律为何如此规定？这对我们的合规实践有着重要指导意义，尤其是当资源有限的情况下，我们的合规措施需要优先去考虑这些意图。

我们理解，网络日志的存储是确保信息系统“可审计性”的措施之一，对于保障网络安全非常重要，具体来说：

（1）网络日志可用于运维：监测网络性能、诊断技术问题和排查故障。

（2）网络日志可用于安全事件处理：用于审计安全事件，对事件进行追溯、定位安全事件责任人等。

（3）便于监管机构/侦查机关监督企业发生在网络上的行为，包括犯罪侦查的需要。

三、网络日志的保存期限

《网络安全法》仅要求“留存相关的网络日志不少于六个月”，具体哪些网络日志是“相关的”？对于“相关”这个措辞，相关性有高有低。只要是相关的，就必须留存六个月以上？还是只需将密切相关或相关性比较强的留存六个月？“相关”的界限在哪里？我们未看到“相关法律政策标准”给出统一的、明确的标准，不同企业的业务也千差万别，因此，这个“相关网络日志”也不能一概而论。

有的企业业务规模较大且业务复 杂，每天每时每刻都可能在产生大量的网络日志。理论上，企业可将所有的网络日志都留存六个月以上，但这么做势必将耗费巨大的、难以承受的经济成本和人力维护成本，这是不现实的，也没有意义；反之，如果不留存相关网络日志或者留存“相关网络日志”的期限达不到六个月。那么，一方面，这不符合监管要求（业内已有一些企业因为不满足该要求而被监管处罚的案例）；另一方面，若发生安全事件，在缺少相关网络日志的情况下，排查定位问题可能会举步维艰。

如何确定哪些日志是“相关网络日志”？这些日志是否都必须留存6个月？与数据分类分级的思路类似，我们也可以根据网络日志对于相关业务的“相关性”“重要性”对网络日志进行分类（分级）。即结合监管要求、自身业务需要和自身风险偏好、资源多寡、网络安全管理水平等因素综合考虑，为不同的类别（级别）的网络日志确定不同的存储期限。

监管要求、自身业务需要：如发生安全事件，则为了排查定位问题和责任人，必须获得哪些类型的日志？

风险偏好：若企业风险承受能力较低（如政府/金融/能源等），则日志留存期限要久一些；反之，则期限可缩短一些。

资源多寡：若存储资源预算充裕，则日志可保存较长期限；若预算吃紧，则日志留存期限满足最低监管要求也可。

网络安全管理水平：若企业的网络安全管理采用了“实时检测、快速响应”的策略并达到了对应的管理水平，则通常对于网络日志的留存期限要求不高，即不需要留存太久的日志。

监管要求、自身业务需要：如发生安全事件，则为了排查定位问题和责任人，必须获得哪些类型的日志？

风险偏好：若企业风险承受能力较低（如政府/金融/能源等），则日志留存期限要久一些；反之，则期限可缩短一些。

资源多寡：若存储资源预算充裕，则日志可保存较长期限；若预算吃紧，则日志留存期限满足最低监管要求也可。

网络安全管理水平：若企业的网络安全管理采用了“实时检测、快速响应”的策略并达到了对应的管理水平，则通常对于网络日志的留存期限要求不高，即不需要留存太久的日志。

具体操作层面，可分为以下几个步骤：

第一步：确定业务场景需求，查漏补缺

梳理出哪些业务场景需要配置网络日志？

合规建议

企业可从实际业务出发，结合业务特点，对于需要留存相关日志的业务，对已留存网络日志的业务场景对于尚未留存日志的业务场景进行通盘梳理。若该留存日志的还没有留存，则建议尽快配置日志留存。（关于留存期限的判断，见下文）

第二步：对网络日志进行分级

【must-have】：哪些类型的日志对于排查安全事件、系统故障、定位问题和处理与用户重要权益有关事宜（如资金）是不可或缺的？

合规建议

以下举例的日志类型重要性较高，仅供参考，企业可结合自身业务实际情况进行梳理：

1. 安全日志：网络攻击监测与防御相关的日志。

2. 业务日志：用户充值、提现等涉及资金交易的日志。

3. 数据操作日志：对重要的、敏感的数据进行操作的日志（尤其是大批量数据的下载、修改及删除等）

备注：用户同意“线上合同”、《用户协议》及《隐私政策》等协议类的记录对于企业自证合规和诉讼举证非常重要的意义，一般不留存在网络日志中，而建议以结构化方式存储到数据库中，便于管理和查找。存储的数据包括：用户的 IP地址、手机型号、可变更的设备识别符（如OAID）、同意（或撤销同意）的隐私政策的版本、同意的日期及时间等。（如果大家对本话题感兴趣，我们可以日后再专门写一篇文章探讨）

【nice-to-have】：哪些日志虽不是不可或缺的，但有这个日志是更好的（有助于排查定位问题的）？

合规建议

在预算有限的情况下，如果自身网络安全管理水平较高，检测、响应和恢复速度比较快，那么对于一些相关性不高的日志，留存7天/30天/90天可能也足够满足排查问题的需要了（一般情况下，此类企业不会在发生安全事件后半年了才意识到安全事件发生了）。

备注：该方案是出于合规要求与经济成本综合考虑的平衡方案，仍存在一定的合规风险。核心问题在于“相关性”的判断和“能否通过这些留存期限内的日志排查定位问题”，仅供参考。

第三步：确定不同级别的存储期限

根据上文对日志类别的梳理和日志“相关性”“重要性”的判断以及结合企业自身情况，对不同类别（级别）的日志确定不同的存储期限。若企业因所处国家/地区和业务而适用其他的法律法规或标准且对应法规标准对网络日志的留存要求不同，则建议通盘考虑并“就高不就低”，按最高最严格的要求来。

以下以网络安全等级保护（“等保”）和PCI DSS对网络日志存储期限的要求为例，简述二者对网络日志留存期限的要求。

1. 等保关于网络日志存储期限要求

（1）第一级系统（自主保护级）

对于定级为第一级的信息系统，未见 《GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求》对网络日志的存储期限要求。 没写关于日志留存的测评要求，不代表“禁止这一级别的信息系统留存日志”，只不过测评要求这一级的系统留存日志和日志留存期限不做强制要求。

（2）第二级系统（指导保护级）

（3）第三级（监督保护级）和第四级系统（强制保护级）

第三级和第四级系统均要求存储相关网络日志6个月及以上。

第三级：

第四级：

（4）第五级（专控保护级）

第五级系统一般适用于国家重要领域、重要部门中的极端重要系统。此级别信息系统受到破坏后，会对国家安全造成特别严重损害。等保测评要求中未公布五级等保的测评要求，已另行规定，但显然至少应在6个月以上。

综上，《网络安全法》第二十一条中对于网络日志留存6个月期限的要求，是针对等保第三级与三级以上信息系统的要求。

2.PCI DSS关于对于网络日志存储期限的要求

PCI DSS是针对支付行业企业的一个安全标准，若企业适用该标准，则应按照PCI DSS的要求对相关日志保存12个月以上，且需其中3个月以上的日志可以立即用于事件的分析，这对日志的存储归档方式提出了额外的要求。

第四步：将上述规则内化到相关日志存储系统、设备中

合规建议

确保相关网络日志存储期限满足监管要求和自身需求，超期自动删除，从而在满足监管要求的前提下，节省成本。此外，建议定期对相关日志进行审核并根据监管要求与企业自身环境的变化对日志安全合规策略进行审视与不断优化。

四、网络日志的其他安全合规建议

我们理解，《网络安全法》第二十一条所要求的相关网络日志保存义务，不仅涉及保存时间期限为6个月，还包含了所保存的日志应是准确的（时钟同步）、未被篡改的（完整性）。若保存的日志是错误的或遭到人为篡改的，则该日志对于事件的追溯和犯罪侦查等目的将失去效用，或效用减损，企业很难被认定为充分、有效地履行了保存日志的义务。

此外，根据《个人信息保护法》确定的最小必要原则，如果不必要，日志不应记录密码、个人电话号码等敏感数据。被记录的个人信息越多以及留存个人信息的系统越多，信息泄漏的风险就越大，且违反最小必要原则。

以下为针对网络日志在信息安全方面的一些具体建议：

时钟同步

确保安全设备、相关信息系统生成的日志反映准确的时间很重要，如采用“网络时间协议”(Network Time Protocol, NTP)，NTP旨在通过网络同步计算机的时钟。当处理大量网络流量时，如果时间不匹配，则无法关联来自不同来源的日志文件，日志关联分析工具也将无法有效施展其用途。不同步的网络可能意味着需要花费大量时间手动跟踪事件，从而可能影响日志分析、故障排查、甚至事件责任认定。

访问控制

对日志文件的访问（操作）权限进行严格控制，仅限特定角色人员访问，如信息安全、审计角色的岗位人员，防止未授权访问、操作。

完整性保护

防篡改、防删除，防止对日志文件进行重命名、删除或执行其他文件级操作；对归档的日志文件进行完整性保护：可能包括为文件创建和保护消息摘要（即哈希值，如文件改动，则哈希值变化，从而察觉到文件可能已被篡改）、加密日志文件以及为归档日志的存储介质提供充分的物理安全保护措施。

避免记录不需要的敏感数据

一些日志可能会记录不需要记录的敏感数据，例如密码、敏感个人信息等，应避免在日志中记录此类敏感数据。如不可避免，则建议对日志中的相关敏感数据进行脱敏或加密处理。

保护生成日志条目的进程

未授权人员不应能够操纵日志源进程、可执行文件、配置文件或其他可能影响日志记录的日志源的组件。

日志源配置

对每个日志源进行配置，以在其发生日志记录错误时能正常地运行。例如，对于特定日志源来说，日志记录操作可能是非常重要的，以至于应对该日志源进行配置，以做到在日志记录失败时完全暂停该日志源的功能。再如，日志源还可以配置为在日志快存满时（通常是预先设定的阈值，例如 80% 或 90% 满）和日志完全满时再次提醒管理员。这对任何日志源都有帮助，但对填充缓慢的日志最有效——日志变满的第一个警告可能会在日志完全变满前几天发送，让管理员有充足的时间归档任何需要的日志条目并及时清除日志。

日志转移中的安全

将日志数据从记录日志的系统传输到中央日志管理服务器时，如果日志管理服务器（基础设施）不提供相关安全保护机制，则应对日志传输实施相关安全机制。许多网络传输协议不提供网络传输时的安全保护机制，例如FTP(文件传输协议)和HTTP(超文本传输协议)。如技术可行，管理员可将系统的日志记录软件升级到具有附加安全功能的版本（如SFTP和HTTPS），或者通过单独的网络协议（如IPSec或 SSL）对日志记录网络通信进行加密。

分开存储与销毁

宜将日志文件与其他文件分开存储，进一步降低日志文件未授权访问及操作等风险。日志存储期限（如前文所述对应存储期限）届满，及时删除（销毁），推荐自动化执行。另外，建议对上述安全措施的执行情况进行定期检查和审计。

参考资料：

1.《GB/T 28448-2019信息安全技术 网络安全等级保护测评要求》

2.NIST SP 800-92, Guide to Computer Security Log Management (2006.9)

3.Payment Card Industry Data Security Standard (PCI DSS) v4.0 (2022.3)

4.ISO/IEC 27002 Information security, cybersecurity and privacy protection — Information security controls (Third edition 2022-02)

返回搜狐，查看更多