這兩天被各大新聞網站一條來自重慶公安局網安總隊的新聞吸引，因為它和以往我們印象中的網警新聞差別，包羅了一個很有意思的關鍵詞：《網絡安適法》。輾轉來到源頭重慶網警公眾號我們找到詳細的內容：重慶市某科技發展有限公司自 2017 年 6 月 1 日后，在提供互聯網數據中心辦事時，存在未依法留存用戶登錄相關網絡日志的違法行為，按照《網絡安適法》第二十一條(三)項、第五十九條之規定，決定給予該公司警告處罰，并責令限期十五日內進行整改。

　　不是涉黃不是反動不是版權，只是未依法留存用戶登錄相關網絡日志，這和我們心目傍邊的“違法”好像挨不上邊，但是就是這么一個看似簡單的理由讓這家公司吃了苦頭。那么這關于網絡日志的第二十一條(三)項到底是什么內容呢?翻閱 6 月 1 號發布的《中華人民共和國網絡安適法》(下稱《網絡安適法》)后我們發現，第二十一條(三)項規定：采取監測、記錄網絡運行狀態、網絡安適事件的技術辦法，并根據規定留存相關的網絡日志不少于六個月。

　　看起來還是那么簡單明了，雖然這是重慶《網絡安適法》第一案，但并不是《網絡安適法》的第一次表態，短短兩個月的時間里，全國范圍內就有多起和《網絡安適法》相關的處罰，那么《網絡安適法》到底是什么呢?

　　什么是《網絡安適法》?為什么“第一案”發生在第二十一條?

　　《中華人民共和國網絡安適法》是為保障網絡安適，維護網絡空間主權和國家安適、社會公共利益，掩護公民、法人和其他組織的合法權益，促進經濟社會信息化健康發展制定。由全國人民代表大會常務委員會于 2016 年 11 月 7 日發布，自 2017 年 6 月 1 日起施行。《網絡安適法》包羅了網絡安適支持與促進、網絡運行安適、關鍵信息基礎設施的運行安適、網絡信息安適、監測預警與應急處置等幾大章節，這次違法所涉及的第二十一條就在第三章，網絡運行安適。

　　那么《網絡安適法》的七章數十條條款里，為什么“第一案”發生在第二十一條呢?我們先來看看第二十一條的詳細內容：

　　第二十一條 國家實行網絡安適等級掩護制度。網絡運營者應當根據網絡安適等級掩護制度的要求，履行下列安適掩護義務，保障網絡免受干擾、破壞或者未經授權的拜候，防止網絡數據泄露或者被竊取、篡改：

　　(一)制定內部安適辦理制度和操作規程，確定網絡安適負責人，落實網絡安適掩護責任;

　　(二)采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安適行為的技術辦法;

　　(三)采取監測、記錄網絡運行狀態、網絡安適事件的技術辦法，并根據規定留存相關的網絡日志不少于六個月;

　　(四)采取數據分類、重要數據備份和加密等辦法;

　　(五)法律、行政法規規定的其他義務。

　　從第二十一條的詳細內容我們可以看到，和重慶網警所描述網絡日志相關的不只是第(三)項，第(二)項里的“技術辦法”和第(四)項里的“備份與加密”都是和日志相關，而且這還不是全部，查看《網絡安適法》我們能發現關于實時性要求的第二十五條：網絡運營者應當制定網絡安適事件應急預案，及時處置系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安適風險;關于數據脫敏的第四十條：網絡運營者應當對其收集的用戶信息嚴格保密(脫敏)，并建立健全用戶信息掩護制度;甚至還有關于供應商要求的第二十三條：網絡關鍵設備和網絡安適專用產品應當根據相關國家尺度的強制性要求，由具備資格的機構安適認證合格或者安適檢測符合要求后，方可銷售或者提供。

　　這些規定看起來都很“簡單”，但是為什么還會出錯呢?其實從《網絡安適法》的解讀里我們就能找到答案：“《網絡安適法》將近年來一些成熟的好做法制度化，并為將來可能的制度創新做了原則性規定，為網絡安適工作提供切實法律保障。”這些看似簡單的法規其實是將一些成熟的好做法制度化，但是新法規下，傳統運維的做法及日志分析方式，很難滿足合規要求，這也是“第一案”發生的主要原因。

　　面對新《網絡安適法》我們該如何自處?

　　然而新《網絡安適法》已經實施，大部分企業運維以及日志處理能力并沒有及時跟上，我們難道要坐看第二案第三案不停發生嗎?在討論處理措施之前我們還需要來看看傳統的運維及日志分析方法存在的毛病：

　　1、運維方面

　　需要登陸每一臺辦事器，使用腳本命令或程序查看，操作繁瑣，容易出錯。

　　數據是孤立分散的，，無法進行關聯，無法提取出其中的共性。

　　只能做簡單搜索和統計，無法滿足分析要求。

　　沒有實時監控和報警，如程序出錯日志。

　　2、安適方面

　　黑客入侵后往往會刪除/修改日志，抹除入侵痕跡，導致無法通過日志分析攻擊行為。

　　海量的ids/waf報警，根本無法鑒別是否是誤報。

　　3、存儲日志性能方面

　　數據庫的schema無法適應千變萬化的日志格式。

　　沒有日志生命周期辦理手段。

　　無法提供海量日志全文檢索和字段統計功能。