3月13日訊 按照《2014年聯邦信息安全現代化法案》的規定，美國行政管理和預算辦公室(簡稱OME)須向國會提交年度報告。上周五，OME發布2016財年聯邦機構網絡安全統計報告，OME使用新方法對機構的網絡安全事件和對策進行了統計。

代理聯邦首席信息安全官格蘭特·施耐德也在博文中寫到，這次統計采用的方法有所改變。

他強調，按要求，OME、美國國土安全部和其它機構必須將重心放在可能影響運營的網絡事件上，機構僅須報告影響運營的網絡事件，并根據使用的攻擊媒介予以應對。因此，這種改變意味著無法將2016財年的數據與前幾年的數據比較。

本次統計報告中顯示，機構報告的事件多達30899起，經機構的負責人確定，其中只有16起屬于“重大信息安全事件”。

對于“重大信息安全事件”，機構必須強制采取某些措施并上報國會。

按照攻擊媒介將這些上報的事件分為八大類：

這里列舉幾個具有代表性的分類：

第一大類：該分類中包含的網絡事件攻擊類型不明或不適合歸于其它分類。將包含11802起網絡事件，占總數量三分之一的分類為“其它”。

第二大類：主要涉及計算機設備丟失或被盜。包含5690起網絡事件，占總數量近五分之一，

第三大類：涉及基于Web或基于Web、應用程序的攻擊。屬于黑客攻擊，包含4868起事件，第四大類：是假冒/欺騙事件，這是數量最少的分類，僅為64起。這份報告旨在通過以下數個關鍵網絡安全目標和指標強調機構的績效改進：

持續監控能力——為機構網絡上的計算機硬件和軟件提供態勢感知，并提供端點配置方式。要實現該目標，報告中包含的89個機構必須監控每個分類下95%的資產。自2015財年以來，某些分類下的機構數量增加了一倍以上。

多因素認證——要求使用聯邦簽發的特別智能卡“個人身份認證卡” (Personal Identity Verification，簡稱PIV卡)登錄。這就要求機構必須要求所有特權用戶和85%的非特權用戶遵守PIV規則。目前達到該目標的機構數量從27個(所有特權用戶)和24個(85%的非特權用戶)均增加到40個。

反網絡釣魚和惡意軟件防御能力——減少通過電子郵件和惡意(或被感染)網站入侵的風險。為了實現該目標，機構必須在90%的基礎設施中實現一定的能力。目前合格的機構數量已增加一倍以上。