用户日志留存所采用的技术手段.doc

用户日记留存所采用的技术手段 一、访问控制和身份鉴别 重要依据：《互联网安全保护技术措施规定》第十条第一款。罚则依据为《计算机信息网络国际联网安全保护管理办法》第二十一条。 （1）检查内容：记录并留存用户注册信息。 （2）检查方法： A. 注册信息：通过日记留存设备检查是否能将单位用户身份信息、计算机终端内网IP地址、MAC地址和上网所用账号进行有效绑定，并查看该相应关系数据库（表），并任意找一个上网用户和其所使用的计算机终端，检查其相应关系是否准确。 B. 公用计算机判别：规定被检查单位的网络安全管理员告知单位内部是否存在公用计算机，假如存在，则通过日记留存设备检查是否备有公用帐号，并做好公用帐号的使用登记。 （3）检查标准： A. 注册信息： ①具有单位用户身份信息、计算机终端内网IP地址、MAC地址和上网所用账号相应关系数据库（表）； ②抽查的相应关系准确。 B. 公用计算机判别: ①保存有公用帐号； ②记录公用帐号的使用者信息。 二、会话还原 重要依据为《互联网安全保护技术措施规定》第十条第三款，罚则重要依据为《计算机信息网络国际联网安全保护管理办法》第二十一条。 （1）检查内容：记录并留存用户使用的互联网网络地址和内部网络地址相应关系； （2）检查方法： A. 内外地址转换：在被检查单位任选一台连接互联网的计算机终端访问互联网任意网页，找到该网页互联网IP地址，再通过日记留存设备以此为条件查找计算机终端。 B. 严禁私设代理：查看该计算机终端上是否私自安装了代理上网软件，检查是否有电脑通过内网中其他计算机终端作为代理进行互联网访问； （3）检查标准： A.内外地址转换：准确记录互联网IP地址与所使用计算机终端内网IP地址的相应关系； B.严禁私设代理：无此类现象； 三、会话还原II 重要依据为（1）依据《互联网安全保护技术措施规定》第七条第三款，罚则为《计算机信息网络国际联网安全保护管理办法》第二十一条。 （1）检查内容：记录并留存用户登录和退出时间、主叫号码、账号、互联网地址或域名、系统维护日记的技术措施。 （2）检查方法： A. 应用会话记录:在被检查单位任选一台连接互联网的计算机终端，分别实行下列上网行为：登陆论坛并发帖或跟帖、登陆博客、登陆微博、登陆QQ、登陆MSN并聊天、登陆阿里旺旺并通过其登陆支付宝、登陆电子邮箱并发送电子邮件、通过ftp上传文献等八种上网行为，通过日记留存设备检查是否记录了这些上网行为。 B. 应用会话查找:以上述论坛网址、帖子内容，论坛、博客、微博、QQ、MSN、阿里旺旺、支付宝、电子邮箱和ftp的帐号，及各自相应的时间为条件，通过日记留存设备提供的查询模块，查找所相应的计算机终端和其使用人。 C. 系统会话记录:通过日记留存设备，用最高级的管理员的权限对日记内的数据进行修改和删除，并规定被检查单位的网络安全管理员告知单位内部重要服务器的数量与在网络中的位置。 （3）检查标准： A. 应用会话记录： ①记录实行八种上网行为的时间； ②记录论坛网址和帐号，博客帐号，微博帐号，帖子的标题、内容和附件，QQ帐号，MSN帐号和内容，阿里旺旺帐号和支付宝帐号，源电子邮箱和目的电子邮箱，邮件标题、内容和附件，ftp网址，ftp帐号，上传文献内容； ③记录用户使用的应用服务类型(如QQ,MSN,BT,FTP,游戏等)； ④记录用户访问的源地址、源端口、目的地址、目的端口； B. 应用会话查找： ①应提供基于时间、应用服务类型、网址、IP地址、端口、账号为查询条件的查询功能； ②结果准确。 C. 系统会话记录 ①记录系统管理员对日记备份数据的修改及删除操作； ②记录所有对该重要服务器的访问记录。 四、审计 依据重要为《互联网安全保护技术措施规定》第十条第二款，罚则重要为《计算机信息网络国际联网安全保护管理办法》第二十一条。 （1）检查内容：在公共信息服务中发现、停止传输违法信息，并保存相关记录。 （2）检查方法：查看日记留存设备中是否具有特定黑名单（可以设定网址、关键字等），并在其中设定特定网址和关键字，任选一台连接互联网的计算机终端分别进行访问该网址，在论坛上发布带有关键字的帖子，发送带有关键字的邮件，检查是否可以告警、拦截和进行相关记录。 （3）检查标准： ①具有黑名单功能，可以设定网址、关键字； ②可以对网址和帖子告警、拦截； ③可以对邮件告警、拦截； ④可以记录所使用计算机终端的相关信息和上网行为有关信息。 五、数据安全性 重要依据为《互联网安全保护技术措施规定》第十一、十二 条，罚则为《计算机信息网络国际联网安全保护管理办法》第二十一条。 （1）检查内容：安装并运营互联网公共上网服务场合安全 管理系统，且具有符合公共安全行业技术标准的联网接口（非经营性公共上网服务场合需检查此项）；大于六十天的记录备份。 （2）检查方法：检查该单位是否安装了互联网公共上网服 务场合安全管理系统，并与市局管理中心实时联网。通过日记留存设备检查相关日记记录。 （3）检查标准： ①互联网公共上网服务场合安全管理系统运营正常； ②互联网公共上网服务场合安全管理系统达成上述检查规定； ③与市局管理中心实时联网。 ④应用会话记录和系统会话记录大于六十天； ⑤告警记录大于六十天。 六、内容要件 重要依据为《互联网安全保护技术措施规定》第十四条，罚则为《计算机信息网络国际联网安全保护管理办法》第二十一条。 （1）检查内容：是否实行了破坏日记留存设备或互联网公共上网服务场合安全管理系统的行为 （2）检查方法：对于已贯彻日记留存的单位，应检查其是否实行下列行为：A、擅自停止或者部分停止日记留存设备运营； B、故意破坏日记留存设备； C、擅自删除、篡改日记留存设备运营程序和记录； D、擅自改变日记留存设备的用途和范围； E、其他故意破坏日记留存设备或者妨碍其功能正常发挥的行为。 （3）检查标准：日记留存设备运营正常。