近日，美國網絡安全與基礎設施安全局（CISA）宣布了一項史無前例的，極為嚴苛的數據安全規定，旨在防止“敵對國家”獲取美國政府和公民敏感數據。這一提案主要針對從事受限交易的（科技）企業，特別是那些涉及美國政府和個人敏感數據且有可能暴露給“重點關注國家”或“受限人員”的企業。

通過這一提案，CISA希望提升相關行業的數據安全標準，防止“重點關注國家”或個體通過技術手段獲取美國的關鍵數據。

14天內必須修補已知漏洞

CISA新規提出了一系列嚴苛的安全措施，并給出了組織級別和數據級別的具體要求。以下是部分關鍵措施和要求：

• 資產清單維護：要求每月更新資產清單，包含IP地址和硬件MAC地址。
• 漏洞修補：已知漏洞須在14天內修補；關鍵漏洞在15天內，高風險漏洞在30天內修復。
• 網絡拓撲維護：保持準確的網絡拓撲結構，以便于識別并響應潛在的安全事件。
• 多因素認證：對所有關鍵系統實施多因素認證（MFA），并要求密碼長度至少為16位。
• 數據加密和掩碼：要求在受限交易中使用加密保護數據，減少數據收集或對數據進行掩碼處理，以防止未經授權的訪問或與美國個人身份的關聯。
• 限制硬件連接：防止未經授權的硬件設備（如USB設備）連接到受限系統。
• 日志收集：收集并保存對網絡入侵檢測系統（IDS/IPS）、防火墻、數據丟失預防系統（DLP）、VPN和登錄事件等相關的安全日志。

此外，CISA還提議使用同態加密或差分隱私等技術，以防止敏感數據被反向重構。

新規波及大量科技企業

該提案與2024年早些時候拜登總統簽署的第14117號行政命令緊密相關，旨在解決現存的嚴重數據安全漏洞。受影響的行業范圍廣泛，波及大量技術企業，例如人工智能開發商、云服務提供商、電信公司、健康生物科技公司、金融機構以及國防承包商等。

顯然，CISA新規“重點關注的國家”，正是美國政府眼中的頭號競爭對手——中國。這意味著，隨著中美之間的技術和貿易沖突升級，許多在美國運營或與美國企業有合作的中國企業，可能不得不應對更復雜的合規和監管壓力。尤其是涉及云計算、人工智能、數據處理和電信設備的行業，CISA的新規使這些企業面臨的風險和合規成本將顯著增加。

對于中國企業而言，除了在技術合規和數據加密層面進行大規模投資，還需要在跨國業務管理、與美國的合同條款中，重新評估數據傳輸和存儲的安全性，以減少因政策變動帶來的業務中斷和法律風險。

總結

CISA的新規標志著美國在數據安全領域的重大政策升級。這項新規不僅僅是針對美國企業的內部安全管理提升，也將對與美國有業務關聯的全球企業帶來深遠的影響，尤其針對國家安全的考量使得中國企業面臨前所未有的挑戰。

為了在中美緊張局勢中繼續保持業務連續性，中國企業必須加快在數據隱私和安全方面的技術投資，確保合規性，同時評估潛在的跨境業務風險。