美國CISA頒布史上最嚴數據安全規定
責編:gltian |2024-10-24 14:28:06近日,美國網絡安全與基礎設施安全局(CISA)宣布了一項史無前例的,極為嚴苛的數據安全規定,旨在防止“敵對國家”獲取美國政府和公民敏感數據。這一提案主要針對從事受限交易的(科技)企業,特別是那些涉及美國政府和個人敏感數據且有可能暴露給“重點關注國家”或“受限人員”的企業。
通過這一提案,CISA希望提升相關行業的數據安全標準,防止“重點關注國家”或個體通過技術手段獲取美國的關鍵數據。
14天內必須修補已知漏洞
CISA新規提出了一系列嚴苛的安全措施,并給出了組織級別和數據級別的具體要求。以下是部分關鍵措施和要求:
- 資產清單維護:要求每月更新資產清單,包含IP地址和硬件MAC地址。
- 漏洞修補:已知漏洞須在14天內修補;關鍵漏洞在15天內,高風險漏洞在30天內修復。
- 網絡拓撲維護:保持準確的網絡拓撲結構,以便于識別并響應潛在的安全事件。
- 多因素認證:對所有關鍵系統實施多因素認證(MFA),并要求密碼長度至少為16位。
- 數據加密和掩碼:要求在受限交易中使用加密保護數據,減少數據收集或對數據進行掩碼處理,以防止未經授權的訪問或與美國個人身份的關聯。
- 限制硬件連接:防止未經授權的硬件設備(如USB設備)連接到受限系統。
- 日志收集:收集并保存對網絡入侵檢測系統(IDS/IPS)、防火墻、數據丟失預防系統(DLP)、VPN和登錄事件等相關的安全日志。
此外,CISA還提議使用同態加密或差分隱私等技術,以防止敏感數據被反向重構。
新規波及大量科技企業
該提案與2024年早些時候拜登總統簽署的第14117號行政命令緊密相關,旨在解決現存的嚴重數據安全漏洞。受影響的行業范圍廣泛,波及大量技術企業,例如人工智能開發商、云服務提供商、電信公司、健康生物科技公司、金融機構以及國防承包商等。
顯然,CISA新規“重點關注的國家”,正是美國政府眼中的頭號競爭對手——中國。這意味著,隨著中美之間的技術和貿易沖突升級,許多在美國運營或與美國企業有合作的中國企業,可能不得不應對更復雜的合規和監管壓力。尤其是涉及云計算、人工智能、數據處理和電信設備的行業,CISA的新規使這些企業面臨的風險和合規成本將顯著增加。
對于中國企業而言,除了在技術合規和數據加密層面進行大規模投資,還需要在跨國業務管理、與美國的合同條款中,重新評估數據傳輸和存儲的安全性,以減少因政策變動帶來的業務中斷和法律風險。
總結
CISA的新規標志著美國在數據安全領域的重大政策升級。這項新規不僅僅是針對美國企業的內部安全管理提升,也將對與美國有業務關聯的全球企業帶來深遠的影響,尤其針對國家安全的考量使得中國企業面臨前所未有的挑戰。
為了在中美緊張局勢中繼續保持業務連續性,中國企業必須加快在數據隱私和安全方面的技術投資,確保合規性,同時評估潛在的跨境業務風險。
參考鏈接:
https://www.cisa.gov/sites/default/files/2024-10/Proposed-Security-Requirements-EO-14117-21Oct24508.pdf