互联网用户日志留存技术标准

互联网用户日志留存检查内容、方法和标准对照表

项目序号（与

检查笔录

序号对

应）

依据和罚则检查内容检查方法检查标准（黑色粗体字表示非强制要求）访问控

制和身份鉴别1

（1）依据

《互联网安全保护

技术措施规定》第

十条第一款

（2）罚则

《计算机信息网络

国际联网安全保护

管理办法》第二十

一条

记录并留存用户

注册信息

（1）注册信息

通过日志留存设备检查是否能将单位用户身份

信息、计算机终端内网IP地址、MAC地址和上

网所用账号进行有效绑定，并查看该对应关系

数据库（表），并任意找一个上网用户和其所使

用的计算机终端，检查其对应关系是否准确。

（2）公用计算机判别

要求被检查单位的网络安全管理员告知单位内

部是否存在公用计算机，如果存在，则通过日

志留存设备检查是否备有公用帐号，并做好公

用帐号的使用登记。

（1）注册信息

①具有单位用户身份信息、计算机终端内网IP地址、

MAC地址和上网所用账号对应关系数据库（表）；

②抽查的对应关系准确。

（2）公用计算机判别

①保存有公用帐号；

②记录公用帐号的使用者信息。

会话还原2

（1）依据

《互联网安全保护

技术措施规定》第

十条第三款

（2）罚则

《计算机信息网络

国际联网安全保护

管理办法》第二十

一条

记录并留存用户

使用的互联网网

络地址和内部网

络地址对应关系

（1）内外地址转换

在被检查单位任选一台连接互联网的计算机终

端访问互联网任意网页，找到该网页互联网IP

地址，再通过日志留存设备以此为条件查找计

算机终端。

（2）禁止私设代理

查看该计算机终端上是否私自安装了代理上网

软件，检查是否有电脑通过内网中其他计算机

终端作为代理进行互联网访问

（1）内外地址转换

准确记录互联网IP地址与所使用计算机终端内网IP

地址的对应关系。

（2）禁止私设代理

无此类现象。

3 （1）依据

《互联网安全保护

技术措施规定》第

七条第三款

（2）罚则

《计算机信息网络

国际联网安全保护

管理办法》第二十

一条

记录并留存用户

登录和退出时间、

主叫号码、账号、

互联网地址或域

名、系统维护日志

的技术措施

（1）应用会话记录

在被检查单位任选一台连接互联网的计算机终

端，分别实施下列上网行为：登陆论坛并发帖

或跟帖、登陆博客、登陆微博、登陆QQ、登陆

MSN并聊天、登陆阿里旺旺并通过其登陆支付

宝、登陆电子邮箱并发送电子邮件、通过ftp

上传文件等八种上网行为，通过日志留存设备

检查是否记录了这些上网行为。

（2）应用会话查找

以上述论坛网址、帖子内容，论坛、博客、微

博、QQ、MSN、阿里旺旺、支付宝、电子邮箱和

ftp的帐号，及各自对应的时间为条件，通过日

志留存设备提供的查询模块，查找所对应的计

算机终端和其使用人。

（3）系统会话记录

通过日志留存设备，用最高级的管理员的权限

对日志内的数据进行修改和删除，并要求被检

查单位的网络安全管理员告知单位内部重要服

务器的数量与在网络中的位置。

（1）应用会话记录

①记录实施八种上网行为的时间；

②记录论坛网址和帐号，博客帐号，微博帐号，帖子

的标题、内容和附件，QQ帐号，MSN帐号和内容，阿

里旺旺帐号和支付宝帐号，源电子邮箱和目的电子邮

箱，邮件标题、内容和附件，ftp网址，ftp帐号，

上传文件内容；

③记录用户使用的应用服务类型(如QQ,MSN,BT,FTP,

游戏等)

④记录用户访问的源地址、源端口、目标地址、目标

端口。

（2）应用会话查找

①应提供基于时间、应用服务类型、网址、IP地址、

端口、账号为查询条件的查询功能；

②结果准确。

（3）系统会话记录

①记录系统管理员对日志备份数据的修改及删除操

作；

②记录所有对该重要服务器的访问记录。

审计 4 （1）依据

《互联网安全保护

技术措施规定》第

十条第二款

（2）罚则

《计算机信息网络

国际联网安全保护

在公共信息服务

中发现、停止传输

违法信息，并保留

相关记录。

查看日志留存设备中是否具有特定黑名单（能

够设定网址、关键字等），并在其中设定特定网

址和关键字，任选一台连接互联网的计算机终

端分别进行访问该网址，在论坛上发布带有关

键字的帖子，发送带有关键字的邮件，检查是

否能够告警、拦截和进行相关记录。

①具有黑名单功能，能够设定网址、关键字；

②能够对网址和帖子告警、拦截；

③能够对邮件告警、拦截；

④能够记录所使用计算机终端的相关信息和上网行

为有关信息。

管理办法》第二十一条

数据安全性5

（1）依据

《互联网安全保护

技术措施规定》第

十一、十二条

（2）罚则

《计算机信息网络

国际联网安全保护

管理办法》第二十

一条

安装并运行互联

网公共上网服务

场所安全管理系

统，且具有符合公

共安全行业技术

标准的联网接口

（非经营性公共

上网服务场所需

检查此项）

检查该单位是否安装了互联网公共上网服务场

所安全管理系统，并与市局管理中心实时联网。

①互联网公共上网服务场所安全管理系统运行正常；

②互联网公共上网服务场所安全管理系统达到上述

检查要求；

③与市局管理中心实时联网。

6

（1）依据

《互联网安全保护

技术措施规定》第

十三条

（2）罚则

《计算机信息网络

国际联网安全保护

管理办法》第二十

一条

大于六十天的记

录备份

通过日志留存设备检查相关日志记录。①应用会话记录和系统会话记录大于六十天；

②告警记录大于六十天。

内容要件7

（1）依据

《互联网安全保护

技术措施规定》第

十四条

（2）罚则

《计算机信息网络

是否实施了破坏

日志留存设备或

互联网公共上网

服务场所安全管

理系统的行为

对于已落实日志留存的单位，应检查其是否实

施下列行为：擅自停止或者部分停止日志留存

设备运行；故意破坏日志留存设备；擅自删除、

篡改日志留存设备运行程序和记录；擅自改变

日志留存设备的用途和范围；其他故意破坏日

志留存设备或者妨碍其功能正常发挥的行为。

日志留存设备运行正常。

备注：上述任一检查内容未达到标准的，均视为未落实日志留存，初次检查未达标的应依法对被检查单位下发违法行为告知书，复查发现未整改的应依法进行行政处罚，并可追究相关人员法律责任。

对于互联网IP 出口在单位总部（IP 地址属于宁波大市范围内），日志留存设备安装在单位总部的，在现场检查时应要求单位总部提供被检查单位

相应的日志留存记录。

国际联网安全保护管理办法》第二十一条

形式要件 8 （1）依据 《计算机信息系统安全专用产品检测和销售许可证管理办法》第三条

（2）罚则

《计算机信息系统

安全专用产品检测

和销售许可证管理

办法》第二十条

《中华人民共和国

计算机信息系统安

全保护条例》第二

十三条

公安部颁发的《计算机信息系统安全专用产品销售许可证》及其有效期 查看日志留存设备外部是否贴有《计算机信息系统安全专用产品销售许可证》，并登陆互联网公安部计算机信息系统安全产品质量监督检验中心主页：https://www.wendangku.net/doc/e716004271.html,/或在百度中搜索关键词“计算机信息系统安全专用产品销售许可”，下载《计算机信息系统安全专用产品销售许证目录》，检查使用的日志留存设备的销售许可证未过期。 ①具有《计算机信息系统安全专用产品销售许可证》； ②许可证未过期。

③未满足第9项要求的两种特殊情况：1、采用自行研发的软硬件产品落实日志留存，但未取得计算机信息系统安全专用产品销售许证的，只要该单位能证明

自行研发和未对外销售，且达到除第九项外最低达标

要求的，视为落实日志留存。2、购买或销售未取得

计算机信息系统安全专用产品销售许证的日志留存

设备的，还应根据公安部32号令和《关于对出售没

有申领销售许可证的计算机信息系统安全专用产品

的单位进行处罚问题的批复》（公信安[1999]44号）

规定，对生产销售单位进行处罚。