6月6日文 歐盟史上最嚴(yán)隱私保護(hù)法規(guī)《通用數(shù)據(jù)保護(hù)條例》（簡稱GDPR）為歐盟用戶賦予了更多控制個人數(shù)據(jù)的權(quán)力，同時也迫使組織機(jī)構(gòu)在存儲或處理歐盟個人數(shù)據(jù)時采取更有力的安全和隱私控制措施。雖然目前還沒有一款工具能夠幫助企業(yè)完全滿足 GDPR 的合規(guī)性，但有一系列工具可幫助企業(yè)朝合規(guī)的方向努力，安全信息和事件管理（SIEM）工具就是其中之一。

SIEM工具為何能幫助企業(yè)“合規(guī)”？

安全信息和事件管理（SIEM）工具可在 GDPR 合規(guī)方面發(fā)揮重要作用。過去幾年中，SIEM 的采用率大幅上升，因?yàn)榘?PCI DSS 和 HIPAA 在內(nèi)的復(fù)雜合規(guī)要求需要先進(jìn)的威脅監(jiān)控和管理措施。因此，SIEM 一直是信息安全專業(yè)人士的首選。

SIEM 也與 GDPR 提出的幾項(xiàng)要求相契合。GDPR 在幾個重要的條款中特別強(qiáng)調(diào)，組織機(jī)構(gòu)須：

?保留其處理數(shù)據(jù)的活動記錄；

?記錄正在處理的數(shù)據(jù)類型；

?明確處理數(shù)據(jù)的目的；

?記錄與其共享數(shù)據(jù)的各方；

?為被處理數(shù)據(jù)設(shè)置數(shù)據(jù)保留限制；

?確保采取適當(dāng)?shù)陌踩胧﹣肀Ｗo(hù)數(shù)據(jù)。

SIEM 可以作為所有數(shù)據(jù)收集和分析活動的集中點(diǎn)，它可對系統(tǒng)日志和網(wǎng)絡(luò)信息提供智能分析。一旦 SIEM 配置正確，它便可以查找惡意行為和系統(tǒng)活動，在安全事件惡化成為有影響的數(shù)據(jù)泄露事件之前提醒企業(yè)的安全事件團(tuán)隊(duì)。

與此同時，SIEM所捕獲的數(shù)據(jù)中可能包含個人可識別數(shù)據(jù)。因此，了解使用 SIEM 工具來幫助滿足GDPR 合規(guī)性這一舉措所存在的潛在機(jī)會和威脅，對于企業(yè)或機(jī)構(gòu)來說至關(guān)重要。

確定數(shù)據(jù)泄露的根本原因

企業(yè)可采用 SIEM，并在將其正確配置后用來識別網(wǎng)絡(luò)中的安全事件，這有助于證明企業(yè)已部署了適當(dāng)?shù)陌踩刂拼胧﹣硖幚須W盟的用戶數(shù)據(jù)。此外，SIEM 解決方案還允許企業(yè)的分析師快速檢測、防范并調(diào)查潛在的數(shù)據(jù)泄露事件。SANS Institute 的研究分析師在其“2017數(shù)據(jù)保護(hù)調(diào)查”報(bào)告中指出，SIEM 和日志數(shù)據(jù)可用于確定數(shù)據(jù)泄露的根本原因。

當(dāng)企業(yè)向歐盟報(bào)告有影響力的數(shù)據(jù)泄露事件時，企業(yè)需提供詳細(xì)信息報(bào)告數(shù)據(jù)泄露的范圍，比如哪些數(shù)據(jù)被訪問、哪些數(shù)據(jù)受到影響、對歐盟數(shù)據(jù)主體構(gòu)成的風(fēng)險有哪些等等。其中的許多問題可在SIEM解決方案中得到解答。

幫助滿足GDPR 第17條的“被遺忘權(quán)”

SIEM 還能夠幫助企業(yè)滿足 GDPR 第17條的“被遺忘權(quán)”。如果歐盟強(qiáng)制要求，企業(yè)就需要部署刪除數(shù)據(jù)的機(jī)制，此外還需要證明個人數(shù)據(jù)已被刪除。企業(yè)可以從批量刪除中提取日志數(shù)據(jù)，以此驗(yàn)證數(shù)據(jù)已被刪除。SIEM 的日志數(shù)據(jù)還可以讓企業(yè)了解訪問數(shù)據(jù)的人員以及處理數(shù)據(jù)的時間。企業(yè)向歐盟監(jiān)管機(jī)構(gòu)提供的數(shù)據(jù)越多則對其越有利。SIEM 可作為管理這些 GDPR 合規(guī)要求以及在事件響應(yīng)過程中處理事件報(bào)告的集中點(diǎn)。

注意日志處理中的個人數(shù)據(jù)

按照 GDPR 的定義，個人數(shù)據(jù)包括姓名、電子郵件、IP 地址等信息。當(dāng)企業(yè)處理日志和網(wǎng)絡(luò)數(shù)據(jù)時，SIEM 解決方案可能會保留這些數(shù)據(jù)，從而致使企業(yè)違規(guī)。為了緩解這種威脅，企業(yè)可選擇使用假名和/或加密解決方案。

企業(yè)可將日志中的任何個人數(shù)據(jù)分開并使用假名，以便其只有在需要時才能訪問。

當(dāng)數(shù)據(jù)經(jīng)過假名化處理時，敏感數(shù)據(jù)被替換為不允許識別數(shù)據(jù)主體的值。

當(dāng)對數(shù)據(jù)進(jìn)行加密處理時，企業(yè)可以全盤加密的方式對端點(diǎn)上的數(shù)據(jù)加密，并通過 SIEM 警報(bào)監(jiān)控這些數(shù)據(jù)

此外，企業(yè)也可對存儲在備份和存儲基礎(chǔ)設(shè)施中的靜態(tài)數(shù)據(jù)進(jìn)行加密。 SIEM 可對這些位置的訪問情況進(jìn)行跟蹤，并監(jiān)控任何試圖將數(shù)據(jù)移出網(wǎng)絡(luò)的嘗試。部分 SIEM 工具本身就包含假名或數(shù)據(jù)屏蔽功能，因此企業(yè)也可將 SIEM 視為管理和監(jiān)控 GDPR 合規(guī)性的平臺。

總的來說，SIEM 解決方案可幫助企業(yè)保護(hù)數(shù)據(jù)。值得強(qiáng)調(diào)的是，SIEM 并不是滿足 GDPR 合規(guī)的終極工具，但可以解決 GDPR 要求的一些技術(shù)和安全控制要求。