近日，美国网络安全与基础设施安全局（CISA）宣布了一项极为严格的数据安全规定，其核心目标是希望借此有效阻止所谓“敌对国家”和“敌对人群”渗透并窃取美国政府和公民的敏感数据信息。

此项举措主要聚焦于参与受限交易领域的企业，特别是那些可能持有、处理大量美国政府和公民敏感数据，且可能会被“重点关注国家”或“受限人员”非法入侵的企业。新数据安全规定部分内容CISA 提出的数据安全规定分为组织级别、系统级要求和数据级要求，部分安全规定详情如下：

1. 资产清单的定期更新与维护：确保资产信息的时效性与准确性，实行严格的月度资产清单更新制度。该清单不仅涵盖所有设备的 IP 地址，还包括关键的硬件 MAC 地址；

2. 漏洞管理与及时修补策略：相关方必须在 14 天内完成安全漏洞修复，针对关键漏洞，设定 15 天为修复期限，高风险漏洞则需在 30 天内得到有效处理；

3. 网络拓扑的动态维护：为及时响应并有效防御潜在的安全威胁，需要持续保持网络拓扑结构的最新状态，以便于能够快速识别并定位安全事件，进而采取必要的应对措施；

4. 强化身份验证措施：对于所有关键系统，需采用全面实施多因素认证（MFA）机制，同时要求用户密码长度至少达到 16 位，以增强账户的安全性，降低未经授权访问的风险；

5. 数据加密与保护策略：涉及受限交易时，严格遵守数据加密与保护原则。通过采用加密技术保护敏感数据，或在必要时减少不必要的数据收集并对数据进行掩码处理，确保个人信息与交易数据的保密性，防止其与美国个人身份的关联泄露；

6. 严格限制硬件连接：为防止潜在的恶意软件或数据泄露风险，严格限制未经授权的硬件设备（特别是 USB 设备）连接到受限系统；

7. 全面的日志收集与保存：收集并妥善保存来自网络入侵检测系统（IDS/IPS）、防火墙、数据丢失预防系统（DLP）、VPN 及登录事件等多种来源的安全日志。

据悉，新数据安全规定和 2024 年初拜登签署的第14117号行政命令存在紧密联系。受该提案影响的组织范围广泛，涵盖了从人工智能开发者到云服务供应商、从电信巨头到医疗生物技术组织、从金融机构到国防工业承包商等多元技术领域的企业。这些企业作为关键数据的存储与处理者，其安全状况直接关系到国家安全的稳固与公民隐私的保护。

特别值得注意的是，提案中“受关注国家”的界定，是基于美国政府综合评估后得出的。美国政府方面指出，这些国家因网络间谍活动、数据泄露事件及国家支持的黑客行为，对其构成了重大安全风险。美国当局希望通过对此类国家的严密监控与防范措施，力求在复杂多变的国际网络安全环境中，为国家利益和公民隐私撑起一把强有力的保护伞。