日志留存和数据保留的监管要求

日志留存和数据保留有什么不同？

讨论企业数据保留期限时，会看到不同行业有着不同的法律要求。例如，《证券法》规定证券公司及相关机构需保留客户开户资料、交易记录等20年；《征信管理条例》则要求征信机构保留个人不良信息5年。数据保留期限是从业务视角出发，它是合规性的基本要求。

安全人员讨论更多的是日志留存。2017年颁发的《网络安全法》中“第二十一条 （三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月”，明确提出日志留存的重要性。在整理日志留存和数据保留相关监管要求时，一直思考它们的区别，基于此形成本文，给出一定参考。

日志留存是指对系统、应用程序、数据库或网络设备等产生的日志文件，进行保存，并定期转移至日志服务器。日志中记录用户活动、系统事件、业务处理信息、错误信息、安全事件等信息。主要用于事后的分析、升级、故障排查和安全监控及溯源。

数据留存是根据业务需求或法律要求，将数据持久化存储介质上。不仅仅包括日志文件，还包括了根据业务需求或法律要求需要长期保存的各种数据。这些数据可以是结构化的，也可以是非结构化的，如文档、图片和视频等。数据留存的目的是确保在需要时可以检索和使用这些数据，支持业务连续性、合规性要求和数据保护。

总之，日志留存侧重于记录和保留系统运行过程中的事件和活动，而数据保留则侧重于保存组织或个人需要长期保留的各类信息和业务数据。两者虽有交集，但侧重点和应用场景有所不同，企业在制定数据管理策略时需要综合考虑合规性、安全性和业务需求。

日志留存有哪些监管要求？

《网络安全法》规定的日志留存时间至少6个月，成为各行业的日志留存的底线要求。也有一些特殊情况，例如今年5月发布的《互联网政务应用安全管理规定》，要求“机关事业单位应当留存互联网政务应用相关的防火墙、主机等设备的运行日志，以及应用系统的访问日志、数据库的操作日志，留存时间不少于1年，并定期对日志进行备份，确保日志的完整性、可用性”。收集一些重要规范的日志留存要求，如下图：

日志常见类型和主要作用

从类型看，常见的日志包括系统日志（系统的运行、访问、错误等信息）、WEB服务器日志（提供请求的url、http方法、相应状态码、浏览器型号、访问实践等信息）、应用程序日志（记录后台业务程序详细处理过程的日志）、安全日志（各类安全设备、产品记录的信息）、网络日志（网络设备或软件运行日志，如典型的五元组：源IP、源端口、目的IP、目的端口、传输协议）等。

日志作为一个重要的资源，从实践角度看有几个重要作用：

⦁ 作为日常故障排查和定位问题的重要资源，系统出现问题时关键错误信息会在日志中打印，可以进行问题原因分析。

⦁ 安全事件的分析和溯源。出现安全事件时，所有日志的覆盖程度和保留事件很重要，监控异常行为和发现潜在的安全威胁或者攻击。

⦁ 用于数据恢复。在数据丢失或损坏的情况下，日志可以提供恢复数据所需的信息。例如数据库中Binary log 二进制日志，记录了数据库所有的DDL（数据定义语言）和DML（数据操纵语言）语句事件等。

数据安全风险评估中，有哪些日志留存要求？

搜索2023年《数据安全风险评估实施指引》日志相关的要求，关键字包括“安全审计”“日志管理”“日志记录”“日志留存”。从内容上看，主要聚焦在“安全威胁、违规行为的分析与统计，开发运维过程监督与审计，数据处理活动中相关“账号权限、操作行为记录、数据导入导出、数据流量检测、检测预警”等方面。具体见下图：

其中“安全审计”模块对日志留存有更明确的要求，如下：

⦁ 导入导出记录：对数据授权访问、收集、批量复制、提供、公开、销毁、数据接口调用、下载、导出等重点环节进行日志留存管理情况；

⦁ 日志内容格式：日志记录内容，是否包括执行时间、操作账号、处理方式、授权情况、IP 地址、登录信息等；

⦁ 日志覆盖程度：日志记录是否能够对识别和追溯数据操作和访问行为提供支撑；

⦁ 日志备份要求：是否定期对日志进行备份，防止数据安全事件导致日志被删除；

⦁ 日志保留期限：日志保存期限是否符合法律法规要求，如网络日志是否保存六个月以上。

数据保留的期限要求

数据保留是从业务视角要求数据需要满足保存的要求，不同行业差异性较大，过程中包括一些非结构化的数据，比如业务办理过程中的纸质材料、发票信息等。

整理了一些与数据强相关的行业规范，如《电子签名法》《证券法》《征信管理条例》《互联网信息管理办法》《互联网接入服务规范》等，收集了数据保留期限可参考下图：

三个“日志留存”的实务案例

日志案例1：安全审计发现日志服务器存在敏感信息 

在开展的内部审计发现信息系统的业务日志存在部分新字段敏感信息明文展示，之前旧敏感字段正常脱敏。经分析，外挂的数据脱敏工具只配置了旧数据产品的字段，新上线的数据产品运营侧同事未及时通知运维侧配置脱敏，导致敏感数据直接展示。后续处理，（1）加密打包已产生明文日志转移至日志服务器，本地删除；（2）数据产品方案评审，涉及敏感信息同步运维侧，配置日志脱敏。 

日志案例2：应用程序Debug日志存在大量敏感信息 

对终端设备及业务应用平台的数据安全检查发现，终端设备日志中存在敏感信息，未及时清理；此外，虽然业务应用平台的常规日志检查正常，但是打开Debug（调试模式）日志后，发现了大量的明文信息，存在数据泄漏风险。后续应急处理，（1）升级终端设备的软件版本；（2）升级应用程序版本，确保对日志进行脱敏。 

日志案例3：性能压测引起日志快速增长，导致业务中断 

在统计系统可用性故障时，我发现一个常见但容易被忽视的问题：日志空间不足导致的业务中断。这种情况往往发生在监控系统配置不当或监控告警通道不顺畅的情况下。例如，在应用程序进行性能压力测试时，日志文件的迅速增长可能会迅速填满磁盘空间，导致系统运行异常。

除了应用程序系统，还观察到日志分析系统在接收到大量外部日志时，可能会因为处理能力不足而出现运行问题。此外，在云化网络设备（如虚拟机部署的安全软件服务）中，日志文件的过度积累同样可能导致运行异常。

这些情况虽然看似技术含量不高，但在实际信息系统运行中却反复出现，对业务连续性和数据安全构成了严重威胁。我们应当对这些看似简单的问题给予足够的重视，并采取相应的预防和应对措施，比如优化监控系统配置、加强告警机制、定期清理日志文件等，以确保信息系统的稳定和安全运行。

日志留存和数据保留的实践建议

（1）数据保留

开展合规性分析工作，分析企业所在的行业要求及业务数据情况，识别出数据保留合规要求，通过IT系统和技术措施落实数据保留期限要求。在日常检查中作为一个重要选项，进行检查与审核。

（2） 日志留存

日志是一个非常宽泛的概念，覆盖面非常广，日志检查也作为安全监管检查重点项，除了满足日志留存合规要求，建议多关注如下几点：

⦁ 做好日志类型区分。制定不同的保留策略，原则上至少6个月以上。如系统日志、应用程序日志、安全日志、网络日志等，不同日志功能不同。

⦁ 日志集中存储的必要性。需要注意权限的访问控制，避免日志被篡改。

⦁ 关注业务应用程序日志中敏感信息情形。对可能存在个人信息和敏感信息，进行脱敏处理，脱敏可以通过程序方式实现也可以外挂脱敏工具。需要注意的是Debug级别日志因为记录更详细日志，可能存在敏感数据展示。

⦁ 考虑建设日志分析系统。它作为等保测评中必选项之一，可以采购日志审计工具或开源的日志分析工具，如ElasticSearch、Logstash等，此外可以对接运维监控系统，进行分析及告警通知。

⦁ 做好日志容量管理。配置监控脚本和日志转移脚本，避免磁盘空间占满导致系统异常影响业务中断（常见且典型的造成业务中断问题之一）。此外，业务运行异常日志、批量性能压力测试等场景导致日志极速增长，容易造成空间不足问题，也需要特别注意。

⦁ 关注数据安全中“数据处理活动”的日志记录。比如用户的登入访问、数据开发任务的执行结果、数据加工过程的记录等，建立比较完整的数据处理日志记录链条。虽然建立数据业务的全链路安全监测非常困难，尤其是融入数据源合规，数据处理活动和数据安全相关信息，很难做好但值得做。