这两天被各大新闻网站一条来自重庆公安局网安总队的新闻吸引，因为它和以往我们印象中的网警新闻差别，包罗了一个很有意思的关键词：《网络安适法》。辗转来到源头重庆网警公众号我们找到详细的内容：重庆市某科技发展有限公司自 2017 年 6 月 1 日后，在提供互联网数据中心办事时，存在未依法留存用户登录相关网络日志的违法行为，按照《网络安适法》第二十一条(三)项、第五十九条之规定，决定给予该公司警告处罚，并责令限期十五日内进行整改。

　　不是涉黄不是反动不是版权，只是未依法留存用户登录相关网络日志，这和我们心目傍边的“违法”好像挨不上边，但是就是这么一个看似简单的理由让这家公司吃了苦头。那么这关于网络日志的第二十一条(三)项到底是什么内容呢?翻阅 6 月 1 号发布的《中华人民共和国网络安适法》(下称《网络安适法》)后我们发现，第二十一条(三)项规定：采取监测、记录网络运行状态、网络安适事件的技术办法，并根据规定留存相关的网络日志不少于六个月。

　　看起来还是那么简单明了，虽然这是重庆《网络安适法》第一案，但并不是《网络安适法》的第一次表态，短短两个月的时间里，全国范围内就有多起和《网络安适法》相关的处罚，那么《网络安适法》到底是什么呢?

　　什么是《网络安适法》?为什么“第一案”发生在第二十一条?

　　《中华人民共和国网络安适法》是为保障网络安适，维护网络空间主权和国家安适、社会公共利益，掩护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展制定。由全国人民代表大会常务委员会于 2016 年 11 月 7 日发布，自 2017 年 6 月 1 日起施行。《网络安适法》包罗了网络安适支持与促进、网络运行安适、关键信息基础设施的运行安适、网络信息安适、监测预警与应急处置等几大章节，这次违法所涉及的第二十一条就在第三章，网络运行安适。

　　那么《网络安适法》的七章数十条条款里，为什么“第一案”发生在第二十一条呢?我们先来看看第二十一条的详细内容：

　　第二十一条 国家实行网络安适等级掩护制度。网络运营者应当根据网络安适等级掩护制度的要求，履行下列安适掩护义务，保障网络免受干扰、破坏或者未经授权的拜候，防止网络数据泄露或者被窃取、篡改：

　　(一)制定内部安适办理制度和操作规程，确定网络安适负责人，落实网络安适掩护责任;

　　(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安适行为的技术办法;

　　(三)采取监测、记录网络运行状态、网络安适事件的技术办法，并根据规定留存相关的网络日志不少于六个月;

　　(四)采取数据分类、重要数据备份和加密等办法;

　　(五)法律、行政法规规定的其他义务。

　　从第二十一条的详细内容我们可以看到，和重庆网警所描述网络日志相关的不只是第(三)项，第(二)项里的“技术办法”和第(四)项里的“备份与加密”都是和日志相关，而且这还不是全部，查看《网络安适法》我们能发现关于实时性要求的第二十五条：网络运营者应当制定网络安适事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安适风险;关于数据脱敏的第四十条：网络运营者应当对其收集的用户信息严格保密(脱敏)，并建立健全用户信息掩护制度;甚至还有关于供应商要求的第二十三条：网络关键设备和网络安适专用产品应当根据相关国家尺度的强制性要求，由具备资格的机构安适认证合格或者安适检测符合要求后，方可销售或者提供。

　　这些规定看起来都很“简单”，但是为什么还会出错呢?其实从《网络安适法》的解读里我们就能找到答案：“《网络安适法》将近年来一些成熟的好做法制度化，并为将来可能的制度创新做了原则性规定，为网络安适工作提供切实法律保障。”这些看似简单的法规其实是将一些成熟的好做法制度化，但是新法规下，传统运维的做法及日志分析方式，很难满足合规要求，这也是“第一案”发生的主要原因。

　　面对新《网络安适法》我们该如何自处?

　　然而新《网络安适法》已经实施，大部分企业运维以及日志处理能力并没有及时跟上，我们难道要坐看第二案第三案不停发生吗?在讨论处理措施之前我们还需要来看看传统的运维及日志分析方法存在的毛病：

　　1、运维方面

　　需要登陆每一台办事器，使用脚本命令或程序查看，操作繁琐，容易出错。

　　数据是孤立分散的，，无法进行关联，无法提取出其中的共性。

　　只能做简单搜索和统计，无法满足分析要求。

　　没有实时监控和报警，如程序出错日志。

　　2、安适方面

　　黑客入侵后往往会删除/修改日志，抹除入侵痕迹，导致无法通过日志分析攻击行为。

　　海量的ids/waf报警，根本无法鉴别是否是误报。

　　3、存储日志性能方面

　　数据库的schema无法适应千变万化的日志格式。

　　没有日志生命周期办理手段。

　　无法提供海量日志全文检索和字段统计功能。