3月13日訊 按照《2014年聯(lián)邦信息安全現(xiàn)代化法案》的規(guī)定，美國行政管理和預算辦公室(簡稱OME)須向國會提交年度報告。上周五，OME發(fā)布2016財年聯(lián)邦機構(gòu)網(wǎng)絡安全統(tǒng)計報告，OME使用新方法對機構(gòu)的網(wǎng)絡安全事件和對策進行了統(tǒng)計。

代理聯(lián)邦首席信息安全官格蘭特·施耐德也在博文中寫到，這次統(tǒng)計采用的方法有所改變。

他強調(diào)，按要求，OME、美國國土安全部和其它機構(gòu)必須將重心放在可能影響運營的網(wǎng)絡事件上，機構(gòu)僅須報告影響運營的網(wǎng)絡事件，并根據(jù)使用的攻擊媒介予以應對。因此，這種改變意味著無法將2016財年的數(shù)據(jù)與前幾年的數(shù)據(jù)比較。

本次統(tǒng)計報告中顯示，機構(gòu)報告的事件多達30899起，經(jīng)機構(gòu)的負責人確定，其中只有16起屬于“重大信息安全事件”。

對于“重大信息安全事件”，機構(gòu)必須強制采取某些措施并上報國會。

按照攻擊媒介將這些上報的事件分為八大類：

這里列舉幾個具有代表性的分類：

第一大類：該分類中包含的網(wǎng)絡事件攻擊類型不明或不適合歸于其它分類。將包含11802起網(wǎng)絡事件，占總數(shù)量三分之一的分類為“其它”。

第二大類：主要涉及計算機設備丟失或被盜。包含5690起網(wǎng)絡事件，占總數(shù)量近五分之一，

第三大類：涉及基于Web或基于Web、應用程序的攻擊。屬于黑客攻擊，包含4868起事件，第四大類：是假冒/欺騙事件，這是數(shù)量最少的分類，僅為64起。這份報告旨在通過以下數(shù)個關(guān)鍵網(wǎng)絡安全目標和指標強調(diào)機構(gòu)的績效改進：

持續(xù)監(jiān)控能力——為機構(gòu)網(wǎng)絡上的計算機硬件和軟件提供態(tài)勢感知，并提供端點配置方式。要實現(xiàn)該目標，報告中包含的89個機構(gòu)必須監(jiān)控每個分類下95%的資產(chǎn)。自2015財年以來，某些分類下的機構(gòu)數(shù)量增加了一倍以上。

多因素認證——要求使用聯(lián)邦簽發(fā)的特別智能卡“個人身份認證卡” (Personal Identity Verification，簡稱PIV卡)登錄。這就要求機構(gòu)必須要求所有特權(quán)用戶和85%的非特權(quán)用戶遵守PIV規(guī)則。目前達到該目標的機構(gòu)數(shù)量從27個(所有特權(quán)用戶)和24個(85%的非特權(quán)用戶)均增加到40個。

反網(wǎng)絡釣魚和惡意軟件防御能力——減少通過電子郵件和惡意(或被感染)網(wǎng)站入侵的風險。為了實現(xiàn)該目標，機構(gòu)必須在90%的基礎(chǔ)設施中實現(xiàn)一定的能力。目前合格的機構(gòu)數(shù)量已增加一倍以上。