最新资讯：美国政府发布安全日志强制留存规定，提升事件响应能力

前情回顾·美国政府网络安全事件响应

(相关资料图)

鼓励采用沙箱/蜜网：美国政府发布网络安全事件与漏洞响应手册

如何提高SOC事件响应能力？美国白宫提出明确要求

中美两国网络安全事件应急体系对比分析

安全内参1月11日消息，美国国家档案与记录管理局（NARA）今天发布更新版政府记录存储规则（GRS Transmittal 33），对联邦机构的网络安全日志及其他网络记录数据的留存时间做出新要求。

一般记录时间表（GRS）明确了联邦机构必须保留的记录类型，以及在多长时间后可以删除或以其他方式进行销毁的处置规定。

GRS Transmittal 33已经在国家档案与记录管理局官网和联邦公报上发布，其中提出的新规则包括两类网络安全日志记录的保留要求：

完整的数据包捕捉数据（PCAP）至少保留72小时，

网络安全事件日志必须保存长达30个月。

根据新规则，如果已经“授权用于商业用途”，则两种类型的记录均可留存更长时间。

这是自2014年确立以来，GRS的信息系统安全记录条款做出的首次更新。

数据包捕捉数据是指经由网络传输的所有数据包的概要信息。这些数据对于网络安全取证工作至关重要，其中记录着网络上所有连接设备之间的一切数据往来情况。

GRS Transmittal 33文件指出，考虑到包含“网络威胁的检测、调查和补救”等一切相关数据和行动，应进一步细化网络安全事件日志的粒度。

美国政府持续改进安全日志留存、使用规定

这两种记录最初由2021年5月的第14028号总统行政令（Cyber EO）提出，随后在2021年8月的一份备忘录（M-21-31）文件中得到进一步细化。该备忘录指示各机构在发生安全事件时与应与网络安全和基础设施安全局、联邦调查局开展合作，包括共享关键安全日志。

现在，国家档案与记录管理局发布的更新文件明确了这些记录需要保存多长时间及具体留存要求。

更新文件指出，这两类记录“与介质形式密切相关”，因此仅适用于这些记录的电子版本。留存要求也仅适用于日志记录，并不涉及仍在持续记录的底层数据。

更新文件提到，“一般记录时间表涵盖了联邦机构所创建和维护的，与保护信息技术系统、数据安全以及响应计算机安全事件相关的记录。此时间表不适用于系统数据或内容。”

参考资料：nextgov.com

标签： 网络安全 国家档案 更新文件