近日,美国网络安全与基础设施安全局(CISA)宣布了一项极为严格的数据安全规定,其核心目标是希望借此有效阻止所谓“敌对国家”和“敌对人群”渗透并窃取美国政府和公民的敏感数据信息。
![更加严格!美国 CISA 提出新的数据安全规定]( "更加严格!美国 CISA 提出新的数据安全规定")
此项举措主要聚焦于参与受限交易领域的企业,特别是那些可能持有、处理大量美国政府和公民敏感数据,且可能会被“重点关注国家”或“受限人员”非法入侵的企业。
CISA 提出的数据安全规定分为组织级别、系统级要求和数据级要求,部分安全规定详情如下:
1. 资产清单的定期更新与维护:确保资产信息的时效性与准确性,实行严格的月度资产清单更新制度。该清单不仅涵盖所有设备的 IP 地址,还包括关键的硬件 MAC 地址;
2. 漏洞管理与及时修补策略:相关方必须在 14 天内完成安全漏洞修复,针对关键漏洞,设定 15 天为修复期限,高风险漏洞则需在 30 天内得到有效处理;
3. 网络拓扑的动态维护:为及时响应并有效防御潜在的安全威胁,需要持续保持网络拓扑结构的最新状态,以便于能够快速识别并定位安全事件,进而采取必要的应对措施;
4. 强化身份验证措施:对于所有关键系统,需采用全面实施多因素认证(MFA)机制,同时要求用户密码长度至少达到 16 位,以增强账户的安全性,降低未经授权访问的风险;
5. 数据加密与保护策略:涉及受限交易时,严格遵守数据加密与保护原则。通过采用加密技术保护敏感数据,或在必要时减少不必要的数据收集并对数据进行掩码处理,确保个人信息与交易数据的保密性,防止其与美国个人身份的关联泄露;
6. 严格限制硬件连接:为防止潜在的恶意软件或数据泄露风险,严格限制未经授权的硬件设备(特别是 USB 设备)连接到受限系统;
7. 全面的日志收集与保存:收集并妥善保存来自网络入侵检测系统(IDS/IPS)、防火墙、数据丢失预防系统(DLP)、VPN 及登录事件等多种来源的安全日志。
据悉,新数据安全规定和 2024 年初拜登签署的第14117号行政命令存在紧密联系。受该提案影响的组织范围广泛,涵盖了从人工智能开发者到云服务供应商、从电信巨头到医疗生物技术组织、从金融机构到国防工业承包商等多元技术领域的企业。这些企业作为关键数据的存储与处理者,其安全状况直接关系到国家安全的稳固与公民隐私的保护。
特别值得注意的是,提案中“受关注国家”的界定,是基于美国政府综合评估后得出的。美国政府方面指出,这些国家因网络间谍活动、数据泄露事件及国家支持的黑客行为,对其构成了重大安全风险。美国当局希望通过对此类国家的严密监控与防范措施,力求在复杂多变的国际网络安全环境中,为国家利益和公民隐私撑起一把强有力的保护伞。
上海赛博网络安全产业创新研究院(简称赛博研究院),是上海市级民办非企业机构,成立至今,赛博研究院秉持战略、管理和技术的综合服务模式、致力于成为面向数字经济时代的战略科技智库、服务数据要素市场的专业咨询机构和汇聚数智安全技术的协同创新平台。
赛博研究院立足上海服务全国,是包括上海市委网信办、上海市通管局、上海市经信委、上海市数据局等单位的专业支撑机构,同时承担上海人工智能产业安全专家委员会秘书长单位、上海“浦江护航”数据安全工作委员会秘书长单位、上海数据安全协同创新实验室发起单位等重要功能,并组织“浦江护航”数据安全上海论坛、世界人工智能大会安全高端对话等一系列重要专业会议。
欢迎联络咨询:
邮件:[email protected];
电话:021-61432693。
原文始发于微信公众号(赛博研究院):更加严格!美国 CISA 提出新的数据安全规定
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
http://cn-sec.com/archives/3311534.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论