近日，美国网络安全与基础设施安全局（CISA）宣布了一项史无前例的，极为严苛的数据安全规定，旨在防止“敌对国家”获取美国政府和公民敏感数据。这一提案主要针对从事受限交易的（科技）企业，特别是那些涉及美国政府和个人敏感数据且有可能暴露给“重点关注国家”或“受限人员”的企业。

通过这一提案，CISA希望提升相关行业的数据安全标准，防止“重点关注国家”或个体通过技术手段获取美国的关键数据。

14天内必须修补已知漏洞

CISA新规提出了一系列严苛的安全措施，并给出了组织级别和数据级别的具体要求。以下是部分关键措施和要求：

• 资产清单维护：要求每月更新资产清单，包含IP地址和硬件MAC地址。
• 漏洞修补：已知漏洞须在14天内修补；关键漏洞在15天内，高风险漏洞在30天内修复。
• 网络拓扑维护：保持准确的网络拓扑结构，以便于识别并响应潜在的安全事件。
• 多因素认证：对所有关键系统实施多因素认证（MFA），并要求密码长度至少为16位。
• 数据加密和掩码：要求在受限交易中使用加密保护数据，减少数据收集或对数据进行掩码处理，以防止未经授权的访问或与美国个人身份的关联。
• 限制硬件连接：防止未经授权的硬件设备（如USB设备）连接到受限系统。
• 日志收集：收集并保存对网络入侵检测系统（IDS/IPS）、防火墙、数据丢失预防系统（DLP）、VPN和登录事件等相关的安全日志。

此外，CISA还提议使用同态加密或差分隐私等技术，以防止敏感数据被反向重构。

新规波及大量科技企业

该提案与2024年早些时候拜登总统签署的第14117号行政命令紧密相关，旨在解决现存的严重数据安全漏洞。受影响的行业范围广泛，波及大量技术企业，例如人工智能开发商、云服务提供商、电信公司、健康生物科技公司、金融机构以及国防承包商等。

显然，CISA新规“重点关注的国家”，正是美国政府眼中的头号竞争对手——中国。这意味着，随着中美之间的技术和贸易冲突升级，许多在美国运营或与美国企业有合作的中国企业，可能不得不应对更复杂的合规和监管压力。尤其是涉及云计算、人工智能、数据处理和电信设备的行业，CISA的新规使这些企业面临的风险和合规成本将显著增加。

对于中国企业而言，除了在技术合规和数据加密层面进行大规模投资，还需要在跨国业务管理、与美国的合同条款中，重新评估数据传输和存储的安全性，以减少因政策变动带来的业务中断和法律风险。

总结

CISA的新规标志着美国在数据安全领域的重大政策升级。这项新规不仅仅是针对美国企业的内部安全管理提升，也将对与美国有业务关联的全球企业带来深远的影响，尤其针对国家安全的考量使得中国企业面临前所未有的挑战。

为了在中美紧张局势中继续保持业务连续性，中国企业必须加快在数据隐私和安全方面的技术投资，确保合规性，同时评估潜在的跨境业务风险。

参考链接：

https://www.cisa.gov/sites/default/files/2024-10/Proposed-Security-Requirements-EO-14117-21Oct24508.pdf

声明：本文来自GoUpSec，稿件和图片版权均归原作者所有。所涉观点不代表本站立场，转载目的在于传递更多信息。如有侵权，请联系本站，我们将及时按原作者或权利人的意愿予以更正。