3月13日讯 按照《2014年联邦信息安全现代化法案》的规定，美国行政管理和预算办公室(简称OME)须向国会提交年度报告。上周五，OME发布2016财年联邦机构网络安全统计报告，OME使用新方法对机构的网络安全事件和对策进行了统计。

代理联邦首席信息安全官格兰特·施耐德也在博文中写到，这次统计采用的方法有所改变。

他强调，按要求，OME、美国国土安全部和其它机构必须将重心放在可能影响运营的网络事件上，机构仅须报告影响运营的网络事件，并根据使用的攻击媒介予以应对。因此，这种改变意味着无法将2016财年的数据与前几年的数据比较。

本次统计报告中显示，机构报告的事件多达30899起，经机构的负责人确定，其中只有16起属于“重大信息安全事件”。

对于“重大信息安全事件”，机构必须强制采取某些措施并上报国会。

按照攻击媒介将这些上报的事件分为八大类：

这里列举几个具有代表性的分类：

第一大类：该分类中包含的网络事件攻击类型不明或不适合归于其它分类。将包含11802起网络事件，占总数量三分之一的分类为“其它”。

第二大类：主要涉及计算机设备丢失或被盗。包含5690起网络事件，占总数量近五分之一，

第三大类：涉及基于Web或基于Web、应用程序的攻击。属于黑客攻击，包含4868起事件，第四大类：是假冒/欺骗事件，这是数量最少的分类，仅为64起。这份报告旨在通过以下数个关键网络安全目标和指标强调机构的绩效改进：

持续监控能力——为机构网络上的计算机硬件和软件提供态势感知，并提供端点配置方式。要实现该目标，报告中包含的89个机构必须监控每个分类下95%的资产。自2015财年以来，某些分类下的机构数量增加了一倍以上。

多因素认证——要求使用联邦签发的特别智能卡“个人身份认证卡” (Personal Identity Verification，简称PIV卡)登录。这就要求机构必须要求所有特权用户和85%的非特权用户遵守PIV规则。目前达到该目标的机构数量从27个(所有特权用户)和24个(85%的非特权用户)均增加到40个。

反网络钓鱼和恶意软件防御能力——减少通过电子邮件和恶意(或被感染)网站入侵的风险。为了实现该目标，机构必须在90%的基础设施中实现一定的能力。目前合格的机构数量已增加一倍以上。