近日，美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）宣布了一項史無前例的，極為嚴(yán)苛的數(shù)據(jù)安全規(guī)定，旨在防止“敵對國家”獲取美國政府和公民敏感數(shù)據(jù)。這一提案主要針對從事受限交易的（科技）企業(yè)，特別是那些涉及美國政府和個人敏感數(shù)據(jù)且有可能暴露給“重點關(guān)注國家”或“受限人員”的企業(yè)。

通過這一提案，CISA希望提升相關(guān)行業(yè)的數(shù)據(jù)安全標(biāo)準(zhǔn)，防止“重點關(guān)注國家”或個體通過技術(shù)手段獲取美國的關(guān)鍵數(shù)據(jù)。

14天內(nèi)必須修補(bǔ)已知漏洞

CISA新規(guī)提出了一系列嚴(yán)苛的安全措施，并給出了組織級別和數(shù)據(jù)級別的具體要求。以下是部分關(guān)鍵措施和要求：

• 資產(chǎn)清單維護(hù)：要求每月更新資產(chǎn)清單，包含IP地址和硬件MAC地址。
• 漏洞修補(bǔ)：已知漏洞須在14天內(nèi)修補(bǔ)；關(guān)鍵漏洞在15天內(nèi)，高風(fēng)險漏洞在30天內(nèi)修復(fù)。
• 網(wǎng)絡(luò)拓?fù)渚S護(hù)：保持準(zhǔn)確的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，以便于識別并響應(yīng)潛在的安全事件。
• 多因素認(rèn)證：對所有關(guān)鍵系統(tǒng)實施多因素認(rèn)證（MFA），并要求密碼長度至少為16位。
• 數(shù)據(jù)加密和掩碼：要求在受限交易中使用加密保護(hù)數(shù)據(jù)，減少數(shù)據(jù)收集或?qū)?shù)據(jù)進(jìn)行掩碼處理，以防止未經(jīng)授權(quán)的訪問或與美國個人身份的關(guān)聯(lián)。
• 限制硬件連接：防止未經(jīng)授權(quán)的硬件設(shè)備（如USB設(shè)備）連接到受限系統(tǒng)。
• 日志收集：收集并保存對網(wǎng)絡(luò)入侵檢測系統(tǒng)（IDS/IPS）、防火墻、數(shù)據(jù)丟失預(yù)防系統(tǒng)（DLP）、VPN和登錄事件等相關(guān)的安全日志。

此外，CISA還提議使用同態(tài)加密或差分隱私等技術(shù)，以防止敏感數(shù)據(jù)被反向重構(gòu)。

新規(guī)波及大量科技企業(yè)

該提案與2024年早些時候拜登總統(tǒng)簽署的第14117號行政命令緊密相關(guān)，旨在解決現(xiàn)存的嚴(yán)重數(shù)據(jù)安全漏洞。受影響的行業(yè)范圍廣泛，波及大量技術(shù)企業(yè)，例如人工智能開發(fā)商、云服務(wù)提供商、電信公司、健康生物科技公司、金融機(jī)構(gòu)以及國防承包商等。

顯然，CISA新規(guī)“重點關(guān)注的國家”，正是美國政府眼中的頭號競爭對手——中國。這意味著，隨著中美之間的技術(shù)和貿(mào)易沖突升級，許多在美國運(yùn)營或與美國企業(yè)有合作的中國企業(yè)，可能不得不應(yīng)對更復(fù)雜的合規(guī)和監(jiān)管壓力。尤其是涉及云計算、人工智能、數(shù)據(jù)處理和電信設(shè)備的行業(yè)，CISA的新規(guī)使這些企業(yè)面臨的風(fēng)險和合規(guī)成本將顯著增加。

對于中國企業(yè)而言，除了在技術(shù)合規(guī)和數(shù)據(jù)加密層面進(jìn)行大規(guī)模投資，還需要在跨國業(yè)務(wù)管理、與美國的合同條款中，重新評估數(shù)據(jù)傳輸和存儲的安全性，以減少因政策變動帶來的業(yè)務(wù)中斷和法律風(fēng)險。

總結(jié)

CISA的新規(guī)標(biāo)志著美國在數(shù)據(jù)安全領(lǐng)域的重大政策升級。這項新規(guī)不僅僅是針對美國企業(yè)的內(nèi)部安全管理提升，也將對與美國有業(yè)務(wù)關(guān)聯(lián)的全球企業(yè)帶來深遠(yuǎn)的影響，尤其針對國家安全的考量使得中國企業(yè)面臨前所未有的挑戰(zhàn)。

為了在中美緊張局勢中繼續(xù)保持業(yè)務(wù)連續(xù)性，中國企業(yè)必須加快在數(shù)據(jù)隱私和安全方面的技術(shù)投資，確保合規(guī)性，同時評估潛在的跨境業(yè)務(wù)風(fēng)險。