如何理解公安部“151号令”日志审计要求

《公安机关互联网安全监督检查规定》，也称“151号令”从11月1日正式实施。该规定对《网络安全法》的相关检查内容和处罚措辞给出进一步的解释和说明，例如，“151号令”的第二十一条对上网日志记录有明确的说明”未采取记录并留存用户注册信息和上网日志信息措施的，依照《中华人民共和国网络安全法》第五十九条第一款的规定予以处罚；”

从当初的“82号令”，到《网络安全法》，再到如今的“151号令”可以看出，国家对网络安全的重视程度加强，让网络执法变的有法可依。那么对于高校用户，如果去理解“151号令”中关于上网日志留存问题呢？

一、留存时间

《网络安全法》在第二十一条中，明确规定“采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月”，因此，相关日志留存需要满足180天的规定。

二、日志储存需要的硬盘空间

根据我们的经验，1Gbps带宽的流量若按照1:1方式保存摘要（包含会话数据、域名、DNS等），每天保存下来的数据存储量为30Gbyte，如果按照180天计算，需要存储空间为5.4T左右。而高校一般带宽都在5G以上，因此，日志量非常大，需要的存储空间比较大。

面对如此大的日志，在分析时候需要Panalog专业版本，该版本支持集群部署，它能解决大流量下的存储和查询问题问题，同时支持节点数无限扩大、硬盘容量无限扩大、数据负载均衡等特性，

三、留存内容

1、用户认证信息

很多校园网采用是DHCP模式进行IP地址分配，因此，在上网的时候必须通过认证&计费产品进行身份的确认，实现实名制上网。这一点，学校在IPv4网络上基本实现；但IPv6网络是实名制认证很多学校没有作，下一步要加强IPv6网络的实名制。

2、用户上网的会话日志

校园网内部人员非常多，学生上网访问的内容也难免会有一些不符合国家相关规定或者涉及到“黄、赌、毒”内容。作为校园网网络总出口，必须留存相关人员上网记录，以便发生网络安全事件后进行追查。例如：某人上网攻击了政府的某个部门的网站，需要通过校园网出口NAT日志来定位到攻击来源自那个网吧的那台计算机，再根据当时的时间，定位到人。因此，  需要部署一套出口日志分析系统Panalog来进行查询，Panalog日志系统是一套和Panabit网关配合的日志分析系统，该系统旁路部署，不对网络拓扑产生任何影响。该系统提供全网统一用户认证日志+NAT日志+URL日志，同时提供1:1的日志输出，在一张表里面可以体现访问时间、源地址、目标地址、NAT地址、账号信息、域名、协议类型、7层协议名称、流量等元素，完整保留网络中的相关信息。当发生相关网关安全事件时候，通过Panalog的NAT日志、帐号的登录信息以及URL访问等记录信息，可以对外到具体上网用户，满足《网络安全法》和“151号令”相关要求。

3、校园网虚拟身份信息

微信、QQ等聊天工具的发展，增加了人们的沟通方式。但如果某人通过QQ群，微信群发表不良言论（尤其是涉及到发动、危害民族团结言论）校方有可能要求校园网出口通过QQ号码或者微信ID来对应于上网人员。Panalog还提供这个功能，通过QQ号码，微信ID、邮箱地址或者论坛用户名查询到到底这些虚拟身份对应是谁。

4、用户行为日志记录

用户行为日志，包括URL、DNS查询和用户认证等，其中最为重要的类型是URL日志、DNS查询日志以及用户画像。
URL日志既是执法部门常用的审计手段，又是监管部门衡量网络整体效率的依据。PanaLog日志中心具有准确完善的URL分类库和强大的URL日志收集及加工能力，这些分类库是根据国内用户当前情况进行的合理采集和分类，符合我国用户的网络使用环境的需求，分类结果基本覆盖了在国内用户中有一定访问量的URL地址。

URL日志的访问频率和吞吐的变化，经常会伴随着网络上一些关键事件的发生。观察URL排名变化，是追踪分析这些事件的有效手段。例如一个不熟悉的域名，突然访问量急剧上升，一般都伴随着病毒或者网站挂马的发生。一些互联网营销手段也会推动域名的急剧变化，比如360推送微软升级，会引起微软升级服务器访问频率急剧上升。同时，观察某个域名的流量上下行比例，也可推测它提供的服务是否存在问题。

总结

通过Panalog实现网络会话日志、URL日志、虚拟身份日志的记录，满足了日志记录的需求；同时派网支持和主流的认证系统联动，实现了日志实名制，满足实名制上网的需求；通过Panalog专业版的集群部署，满足了大容量下日志查询的需求。
此外，Panalog只记录网络会话日志，QQ，微信，邮箱登录信息，而不记录内容的审计产品，在实现网络审计的同时，又不涉及到敏感信息，满足《网络安全法》对隐私保护的条款。