【安全资讯】CISA提议新安全要求以保护政府和个人数据

概要：

美国网络安全与基础设施安全局（CISA）近日提出了一系列新的安全要求，旨在防止敌对国家获取美国公民的个人数据及政府相关信息。这些要求特别针对涉及大量敏感个人数据或政府数据的交易实体，尤其是当这些信息暴露于被视为“关注国家”或“受保护人员”时。

主要内容：

CISA的提议与拜登总统今年早些时候签署的第14117号行政命令相关，旨在应对严重的数据安全风险，这些风险可能影响国家安全。受影响的组织包括科技公司（如人工智能开发商和云服务提供商）、电信公司、医疗和生物技术组织、金融机构以及国防承包商。

CISA提出的安全要求分为组织/系统级要求和数据级要求。其中包括：每月维护和更新资产清单，修复已知的漏洞需在14天内完成，关键漏洞需在15天内修复，高危缺陷在30天内修复。此外，要求在所有关键系统上实施多因素认证，确保密码至少16个字符长，并在员工离职或角色变更后立即撤销其访问权限。

CISA还强调，必须防止未经授权的硬件（如USB设备）连接到受保护系统，并收集访问和安全相关事件的日志。为防止未授权访问，建议减少收集的数据量或对其进行掩码处理，并在受限交易中对数据进行加密。CISA期待公众的反馈，以进一步完善这一提案。