聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
这些要求的对象是参与涉及大量美国敏感个人信息或与美国政府相关数据的受限交易,尤其是该信息被暴露给“令人担心的国家”或“涉及的人员”。这项提案与行政令14117的执行有关。该行政令由美国总统拜登在今年早些时候签署,旨在解决可影响或放大国家安全风险的严重的数据安全责任。
受影响的组织机构可能包括技术企业如AI开发者和云服务提供商、电信企业、医疗和生物技术组织机构、金融机构以及国防承包商。而“令人担心的国家”通常是指被美国视作敌对势力的国家或者因网络间谍、数据泄露和国家黑客活动的历史而带来安全风险的国家。
安全要求
CISA 提出了组织机构/系统级别以及数据级别的安全措施,如下是其中一些要求简述:
每月维护和更新资产清单,包括IP地址和硬件MAC地址
14天内修复已知遭利用的漏洞
15天内修复严重漏洞(未知利用状态)以及在30天内修复高危漏洞
维护准确的网络拓扑,便于事件识别和响应
在所有关键系统上执行多因素认证机制,密码至少16个字符长,雇佣终止或在组织机构中的角色有变动时,立即删除相关人员权限
阻止未授权硬件如 USB 设备连接到所涉及的系统中。
收集访问日志和安全相关的事件(IDS/IPS、防火墙、数据丢失防御、VPN、登录事件)
减少所收集的数据量或者将其隐藏,阻止未授权访问权限或与美国人员的关联,应用加密,在受限交易过程中保护所涉及数据的安全。
应用多种技术如同质加密或有差别的隐私,阻止来自被处理数据中敏感数据的重构。
CISA 正在寻求公众建议,促成该提案落实为最终表单。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...