近日，美國(guó)網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）宣布了一項(xiàng)史無(wú)前例的，極為嚴(yán)苛的數(shù)據(jù)安全規(guī)定，旨在防止“敵對(duì)國(guó)家”獲取美國(guó)政府和公民敏感數(shù)據(jù)。這一提案主要針對(duì)從事受限交易的（科技）企業(yè)，特別是那些涉及美國(guó)政府和個(gè)人敏感數(shù)據(jù)且有可能暴露給“重點(diǎn)關(guān)注國(guó)家”或“受限人員”的企業(yè)。

通過(guò)這一提案，CISA希望提升相關(guān)行業(yè)的數(shù)據(jù)安全標(biāo)準(zhǔn)，防止“重點(diǎn)關(guān)注國(guó)家”或個(gè)體通過(guò)技術(shù)手段獲取美國(guó)的關(guān)鍵數(shù)據(jù)。

14天內(nèi)必須修補(bǔ)已知漏洞

CISA新規(guī)提出了一系列嚴(yán)苛的安全措施，并給出了組織級(jí)別和數(shù)據(jù)級(jí)別的具體要求。以下是部分關(guān)鍵措施和要求：

• 資產(chǎn)清單維護(hù)：要求每月更新資產(chǎn)清單，包含IP地址和硬件MAC地址。
• 漏洞修補(bǔ)：已知漏洞須在14天內(nèi)修補(bǔ)；關(guān)鍵漏洞在15天內(nèi)，高風(fēng)險(xiǎn)漏洞在30天內(nèi)修復(fù)。
• 網(wǎng)絡(luò)拓?fù)渚S護(hù)：保持準(zhǔn)確的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，以便于識(shí)別并響應(yīng)潛在的安全事件。
• 多因素認(rèn)證：對(duì)所有關(guān)鍵系統(tǒng)實(shí)施多因素認(rèn)證（MFA），并要求密碼長(zhǎng)度至少為16位。
• 數(shù)據(jù)加密和掩碼：要求在受限交易中使用加密保護(hù)數(shù)據(jù)，減少數(shù)據(jù)收集或?qū)?shù)據(jù)進(jìn)行掩碼處理，以防止未經(jīng)授權(quán)的訪問(wèn)或與美國(guó)個(gè)人身份的關(guān)聯(lián)。
• 限制硬件連接：防止未經(jīng)授權(quán)的硬件設(shè)備（如USB設(shè)備）連接到受限系統(tǒng)。
• 日志收集：收集并保存對(duì)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)（IDS/IPS）、防火墻、數(shù)據(jù)丟失預(yù)防系統(tǒng)（DLP）、VPN和登錄事件等相關(guān)的安全日志。

此外，CISA還提議使用同態(tài)加密或差分隱私等技術(shù)，以防止敏感數(shù)據(jù)被反向重構(gòu)。

新規(guī)波及大量科技企業(yè)

該提案與2024年早些時(shí)候拜登總統(tǒng)簽署的第14117號(hào)行政命令緊密相關(guān)，旨在解決現(xiàn)存的嚴(yán)重?cái)?shù)據(jù)安全漏洞。受影響的行業(yè)范圍廣泛，波及大量技術(shù)企業(yè)，例如人工智能開(kāi)發(fā)商、云服務(wù)提供商、電信公司、健康生物科技公司、金融機(jī)構(gòu)以及國(guó)防承包商等。

顯然，CISA新規(guī)“重點(diǎn)關(guān)注的國(guó)家”，正是美國(guó)政府眼中的頭號(hào)競(jìng)爭(zhēng)對(duì)手——中國(guó)。這意味著，隨著中美之間的技術(shù)和貿(mào)易沖突升級(jí)，許多在美國(guó)運(yùn)營(yíng)或與美國(guó)企業(yè)有合作的中國(guó)企業(yè)，可能不得不應(yīng)對(duì)更復(fù)雜的合規(guī)和監(jiān)管壓力。尤其是涉及云計(jì)算、人工智能、數(shù)據(jù)處理和電信設(shè)備的行業(yè)，CISA的新規(guī)使這些企業(yè)面臨的風(fēng)險(xiǎn)和合規(guī)成本將顯著增加。

對(duì)于中國(guó)企業(yè)而言，除了在技術(shù)合規(guī)和數(shù)據(jù)加密層面進(jìn)行大規(guī)模投資，還需要在跨國(guó)業(yè)務(wù)管理、與美國(guó)的合同條款中，重新評(píng)估數(shù)據(jù)傳輸和存儲(chǔ)的安全性，以減少因政策變動(dòng)帶來(lái)的業(yè)務(wù)中斷和法律風(fēng)險(xiǎn)。

總結(jié)

CISA的新規(guī)標(biāo)志著美國(guó)在數(shù)據(jù)安全領(lǐng)域的重大政策升級(jí)。這項(xiàng)新規(guī)不僅僅是針對(duì)美國(guó)企業(yè)的內(nèi)部安全管理提升，也將對(duì)與美國(guó)有業(yè)務(wù)關(guān)聯(lián)的全球企業(yè)帶來(lái)深遠(yuǎn)的影響，尤其針對(duì)國(guó)家安全的考量使得中國(guó)企業(yè)面臨前所未有的挑戰(zhàn)。

為了在中美緊張局勢(shì)中繼續(xù)保持業(yè)務(wù)連續(xù)性，中國(guó)企業(yè)必須加快在數(shù)據(jù)隱私和安全方面的技術(shù)投資，確保合規(guī)性，同時(shí)評(píng)估潛在的跨境業(yè)務(wù)風(fēng)險(xiǎn)。