日志留存6个月还是60天:WiFi实名认证系统合规期限的几个误区
聊WiFi实名认证系统的日志留存,最常听到的两个数字是"6个月"和"60天"。很多人搞不清这两个数字分别指什么,方案里随手写一句,可能就埋下合规隐患。这两个数字来源不同、适用对象不同,不能混为一谈。把它们各自的含义和常见误区说清楚,比记两个数字本身重要。
6个月是网络安全法的基线
网络安全法第二十一条第三项规定,网络运营者应当采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。这是面向所有网络运营者的基础性法定要求,不是针对某一类场所的特别规定。它的范围比很多人以为的宽,只要你是网络运营者,提供网络接入服务,就适用这条。所以六个月是绝大多数公共场所WiFi运营方的合规底线,是法定留存期,不是可选项。把留存期写成低于六个月,从法律层面就是不达标的。
60天是特定营业场所的规定
公安部82号令针对的是互联网上网服务营业场所,要求上网日志保留60天以上。这类场所特指网吧、网咖这类以互联网上网服务为主营业务的经营单位,监管强度和普通公共场所不同。所以60天这个口径,适用对象是特定的营业场所,不是所有提供WiFi的地方。实务里一个典型误区,是把60天当成"公共场所WiFi"的通用标准,结果商场、酒店也照着60天来配,等于用了一个更窄的规定替代了更宽的法定要求,合规上是不对的。正确做法是看清自己属于哪类,按对应要求来,不确定就从高。
误区一:两个数当成一个用
最常见的错误,是方案里写"日志保留60天",然后认为合规了。如果这家单位是普通商场、酒店,适用的是网络安全法的六个月,写60天本身就低于法定要求。反过来也一样,不能因为82号令写了60天,就认为所有场所都只要60天。这两个数同时存在,是因为管的是不同对象,不是给我们挑低的用。留存策略应该就高不就低,至少按六个月来规划存储,特定营业场所在此基础上满足本地更细的要求即可。蓝海卓越日志系统支持数据存储时间自定义,配置时把时长设足,别被默认参数将就了。
误区二:只存认证日志不存上网行为
第二个误区和时长无关,和"存什么"有关。有些单位确实留了六个月,但只存了认证日志,也就是谁上了网、什么时候上的,没有存上网行为日志。前面讲过,溯源真正要查的是访问了哪些URL、走了哪些目的IP、DNS查了什么,光有认证记录追不到线。这种"留够了时长但留错了内容"的情况,检查时一样不达标。日志留存的要求是时长加内容双满足,少一个都不行。蓝海卓越日志系统记录的七层应用日志,正是补齐行为日志这一块。
误区三:存了但容量和性能跟不上
第三个误区是规划时算了时长,没算体量。六个月听起来不长,但日志量极大。规模稍大的场所每日日志几十上百G,六个月就是PB级。存储容量配小了,还没到六个月就被写满,新日志写不进去,老日志被覆盖,实际留存期远远短于计划。还有检索性能,存了一大堆查不出来,检查时调不出指定用户记录,也等于没留存。蓝海卓越日志用分布式结构化存储,PB级数据也能应付,十亿级检索5到20秒出结果。选型时把体量和检索都算进规划,留存期才不会沦为纸面数字。
误区四:留存期到了自动清就安全了
还有一个容易忽略的点:日志到了留存期限后的清理机制。有些单位配了自动清理,结果清理策略配错,提前把还在期限内的日志删了,或者清理动作影响了在查的案件数据。正确的清理应该是严格按法定最短期限执行,且清理前确认没有正在进行的协查需求。另外清理本身也要留痕,证明你是按规留存、按期销毁,而不是随意删数据。这一环在方案里常被略过,但它是留存合规的闭环动作,不能少。
把留存当成可验证的能力
说到底,日志留存不是配置文件里写一个数字,而是一项要能验证的能力。验证三个点:时长够不够(至少六个月,按对象对应用更细要求)、内容全不全(认证加行为日志都在)、查得快不快(出事时能在要求时间内调出指定记录)。三个点都过,留存才算真合规。WiFi实名认证系统的合规,实名是入口,日志留存是长线,留存期的这两个数字背后,是整套采集、存储、检索、清理的能力链,任何一环弱了,前面再漂亮也撑不住检查。


