美國政府發布安全日志強制留存規定，提升事件響應能力

安全內參1月11日消息，美國國家檔案與記錄管理局（NARA）今天發布更新版政府記錄存儲規則（GRS Transmittal 33），對聯邦機構的網絡安全日志及其他網絡記錄數據的留存時間做出新要求。

一般記錄時間表（GRS）明確了聯邦機構必須保留的記錄類型，以及在多長時間后可以刪除或以其他方式進行銷毀的處置規定。

GRS Transmittal 33已經在國家檔案與記錄管理局官網和聯邦公報上發布，其中提出的新規則包括兩類網絡安全日志記錄的保留要求：

• 完整的數據包捕捉數據（PCAP）至少保留72小時，
• 網絡安全事件日志必須保存長達30個月。

根據新規則，如果已經“授權用于商業用途”，則兩種類型的記錄均可留存更長時間。

這是自2014年確立以來，GRS的信息系統安全記錄條款做出的首次更新。

數據包捕捉數據是指經由網絡傳輸的所有數據包的概要信息。這些數據對于網絡安全取證工作至關重要，其中記錄著網絡上所有連接設備之間的一切數據往來情況。

GRS Transmittal 33文件指出，考慮到包含“網絡威脅的檢測、調查和補救”等一切相關數據和行動，應進一步細化網絡安全事件日志的粒度。

美國政府持續改進

安全日志留存、使用規定

這兩種記錄最初由2021年5月的第14028號總統行政令（Cyber EO）提出，隨后在2021年8月的一份備忘錄（M-21-31）文件中得到進一步細化。該備忘錄指示各機構在發生安全事件時與應與網絡安全和基礎設施安全局、聯邦調查局開展合作，包括共享關鍵安全日志。

現在，國家檔案與記錄管理局發布的更新文件明確了這些記錄需要保存多長時間及具體留存要求。

更新文件指出，這兩類記錄“與介質形式密切相關”，因此僅適用于這些記錄的電子版本。留存要求也僅適用于日志記錄，并不涉及仍在持續記錄的底層數據。

更新文件提到，“一般記錄時間表涵蓋了聯邦機構所創建和維護的，與保護信息技術系統、數據安全以及響應計算機安全事件相關的記錄。此時間表不適用于系統數據或內容。”