【国际视野】美国管理和预算办公室发布《2023财年报告》

“

天极按

近日，美国管理和预算办公室（OMB）根据《2014年联邦信息安全现代化法案（FISMA）发布本《2023财年报告》。报告主要包括各机构向OMB 和国土安全部DHS报告的 2023财年数据。

FISMA指标小组委员会于 2023财年成立，旨在就 FISMA首席信息官指标进行协调与合作。FMSC成员就 FISMA指标提供建设性的反馈意见，从而提高机构的参与度，制定出更有效、更有意义的指标。各机构在采用网络防御措施方面有所改进。每个机构都根据OMB 备忘录M-22-01 "通过端点检测和响应改进对联邦政府系统的网络安全漏洞和事件的检测"，为本机构选择了一个企业EDR 平台。各机构正在扩大其网络检测能力。与2022 财政年度相比，96%的联邦文职行政机构在2023 财政年度的"检测"类别中有所增加。

一、联邦网络安全活动

A.逐步实现零信任架构

零信任架构的制度化

EO14028 和NCSEO 14028 由拜登政府于2021 年 5月发布，作为一项大胆的行动号召，旨在使联邦网络安全防御现代化，改善联邦政府与私营部门在网络问题上的信息共享，并加强各机构在事件发生时的应对能力。

这些目标在2023 财政年度尤为重要，因为各机构必须在2024 财政年度结束前完成一系列与EO 14028 相关的行动。OMB通过以下方式继续支持和推动各机构采取与EO 14028 相关的行动：衡量迄今取得的进展并与公众和机构领导层分享；支持有助于各机构实现EO 14028 目标的预算优先事项；赞助工作组和讲习班以协助实施。

网络安全和基础设施安全局(CISA)的CyberStat计划与OMB合作，主办了11次以零信任实施为重点的研讨会。以零信任为重点的CyberStat讲习班涉及零信任成熟度模型、操作可见性和数据等项目。CyberStat讲习班旨在为各机构提供必要的支持、指导和资源获取途径，以帮助他们实施EO 14028 和OMB通告和备忘录所指示的行动。这些研讨会吸引了来自政府各部门的数千名联邦IT专业人员参加。

与往年一样，OMB继续通过首席信息官FISMA指标跟踪联邦机构在实现零信任目标方面的进展。2023财政年度标志着衡量标准的选择方式和数据收集方式发生了巨大变化。首席信息安全委员会与OMB协调，发起了FISMA指标小组委员会(FMSC)，以更好地与各机构就首席信息官FISMA指标开展合作。FMSC成员就首席信息官FISMA指标提供了建设性的反馈意见，提高了机构的参与度，并强调了建立更有效、更有意义的指标的可能方法。

更多地使用自动化改进了FISMA指标的数据收集工作。资产和漏洞指标的数据收集实现了自动化。自动化收集减轻了各机构的行政负担，使网络安全人员能够减少报告时间，将更多时间用于影响较大的网络风险降低活动。在尚未实现全自动收集的地方，CISA正在以自动化方式和机器可读格式向OMB提供性能和事件数据。现在，这项工作使OMB能够开发分析和监督工具集，以支持白宫推动建立一个安全的联邦企业。

2023财政年度，与往年一样，对各机构在国家标准与技术研究所（NIST）网络安全框架（CSF）五项功能方面的成熟度进行了衡量。首席信息官FISMA指标继续反映各机构在EO 14028 目标制度化方面的进展。这些指标包括在给定时间范围内扫描设备的百分比数据、电子数据记录程序（EDR）平台、根据M-22-09取消需要特殊字符的密码政策以及其他能力和活动。OMB通过为FISMA的各项指标赋分来衡量各机构网络安全计划和实践的成熟度。如果一个机构在所有指标上都取得了最佳成绩，则可获得100分。2022财年，只有一个机构的得分超过90分。在2023财年，有12个机构达到了这一水平。

OMB在2023财政年度两次发布《联邦网络安全进展报告》，向公众提供对机构网络安全态势的准确、公平和全面的评估。OMB将继续通过首席信息官FISMA指标监督联邦机构执行行政网络安全政策的情况。

B.计划和政策领域

在联邦零信任战略方面持续取得进展

自 2022年5月发布M-22-09以来，联邦机构在实施零信任举措方面取得了切实进展。量化指标无法充分显示各机构是如何进行文化变革，接受零信任方法的；这是通过访谈和定性问卷调查得出的。这些工作发现，各机构根据自身的风险状况选择优先事项，以实现零信任的核心原则。定量数据确实表明，各机构在应用层部署MFA和采用企业身份解决方案方面取得了显著进展。各机构还报告说，他们的事件响应能力有所提高。数据的静态加密和传输加密也在继续推进。此外，EDR功能也在联邦企业中得到了快速而广泛的部署。而且，为了确保更大的协调性和可见性，每个机构都与CISA合作，根据需要选择和部署企业EDR平台。各机构还提高了捕获、分析或存储日志的能力，所收集日志的质量也有所提高。

要实现向零信任的模式转变，就必须继续投资于现代网络安全实践和技术。在存在挑战的地方，由OMB和ONCD共同签署的OMB备忘录M-23-18《2025财年预算的网络安全优先事项》（M-23-18）等政策将有助于确保未来的持续进展。通过与国家指挥系统保持一致，各机构可以继续使其安全基础设施现代化，并产生大规模影响。

为了继续加快各机构在零信任方面的进展，OMB为各机构利用其他机构和行业精英的专业知识奠定了基础。2022财政年度，OMB建立了身份认证和访问管理行动社区，重点部署行业领先的认证技术能力。2023财政年度，OMB启动了第二批行动，以帮助更多机构部署现代身份验证解决方案。此外，在2023财政年度，CISA与OMB协调，启动了保护域名服务（DNS）行动社区。

持续诊断与缓解(CDM)和国家网络安全保护系统(NCPS)

持续诊断与缓解 (CDM)计划和国家网络安全保护系统(NCPS) 都是由CISA 主导的计划，旨在协助联邦机构加强网络安全态势。CDM计划成立于 2012年，提供基于风险、一致且具有成本效益的商用现货(COTS)网络安全解决方案，以保护所有组织层级的联邦系统。同样，国家网络安全保护系统（NCPS）提供了一整套工具，以提高联邦机构的边界意识和安全性。NCPS围绕五个能力领域展开：入侵检测、入侵预防、分析、信息共享和核心基础设施。NCPS入侵防御服务于2023年12月结束。通过COM 等机制在机构网络内提供的其他系统和工具对NCPS 的能力进行了补充。这两项计划协同工作，以加强联邦网络的态势感知、分析和事件响应。

CDM 计划支持联邦机构对网络安全风险进行优先排序，以便首先缓解最重要的问题。CDM计划还通过联邦 COM dash boa rd 为 CISA提供了近乎实时的联邦企业网络威胁状况视图，该仪表盘接收来自所有联邦机构仪表盘的汇总数据。CDM的目标是减少特定机构的安全威胁，提高联邦企业网络安全态势的能见度，提高联邦网络安全响应能力，并根据FIS MA 简化报告。2023财政年度，CDM开始通过 COM控制面板代表各机构自动报告某些FISMA 指标。这种自动报告加强了各机构、OMB和 CISA之间的协调，同时减少了人工操作和人为错误，提高了安全性和可见性。COM打算与 OMB合作，在 2024财政年度增加通过仪表板自动报告的指标数量，使各机构进一步受益。

通过《美国救援计划法案》在2021 财年提供的资金，CISA开始为 54个机构购买电子数据报复工具，其中包括《首席财务官法案》机构（14个）和非《首席财务官法案》机构（40个）。截至 2023财政年度末，共有 76家机构的电子数据报告解决方案达到了至少80% 的已知端点覆盖率的阈值，这些机构有的是独立完成的（40家机构），有的是在CISA 的协助下完成的（36家机构）。

到 2023财政年度末，COM计划在解决已知差距和运行企业EDR 解决方案以支持第14028 号行政命令的目标方面取得了重大进展：

采购了 120万份电子数据记录程序许可证，以弥补各机构发现的差距；
在 54 个机构部署了超过750,000 份电子数据记录程序许可证；
完成了 36个机构的部署工作；
将 36 个机构纳入CISA 的持续访问能力(PAC)，以实现持续的威胁猎杀活动；以及
完成主机级可见性(HLV) 推广的第一阶段。

CDM继续努力提高移动设备的可见度并加强保护：

完成 15 个机构（5个《首席财务官法案》机构，10个非《首席财务官法案》机构）的企业移动管理（EMM）整合；
扩大了企业移动管理（EMM）的部署范围，增加了10 个机构（6个《首席财务官法案》机构，4个《非首席财务官法案》机构）；以及
将 7个机构的移动资产管理数据纳入COM 账户管理应用。

此外，CDM计划扩大了身份管理部署，以支持16 个《首席财务官法案》机构和3 个非《首席财务官法案》机构，并发布了CDM 控制面板功能的最后一次重大平台更新，以支持可见性改进和快速内容更新。

与CDM 计划类似，CISA的 NCPS也提供了一套工具，以加强联邦机构的边界意识和安全。如前所述，NCPS的结构围绕五个能力领域：入侵检测(EINSTEIN 1 (El)、EINSTEIN 1 Enhanced (ElE)、EINSTEIN 2 (E2))；入侵预防(EINSTEIN 3 Accelerated (E3A))；分析；信息共享；核心基础设施。

在2023财政年度，国土安全部（DHS）批准设立一个新项目,网络分析和数据系统（CADS）。网络分析和数据系统建立在先前对NCPS 基础设施、分析和信息共享能力领域的投资基础之上，以建立一个支持CISA 网络行动的基础环境。CISA在部署新技术和签订新协议方面继续取得进展，为影响美国网络的网络威胁提供了前所未有的可见性。CADS将为 CISA的网络操作人员提供一个现代化、可扩展和非保密的分析基础设施，并与CISA 的联合协作环境的愿景保持一致。建立CADS的目的是提供任务基础设施、分析工具和工程专业技术，以整合以前各自为政的数据集，提供一套通用的数据管理和分析工具，并提供随着时间推移不断扩展和发展的灵活性，以支持任务要求。CADS将专注于满足 CISA网络安全操作员、分析师和决策者的业务需求，以更好地保护和服务其利益相关者社区，包括联邦、州、地方、部落和领土（SLTT）政府实体、关键基础设施、私营部门公司和公众。

作为这一过渡的一部分，NCPS在 2023财政年度的活动重点是扩大分析环境基础设施，以支持新的业务可视性数据集，制定数据集成路线图，继续将内部能力迁移到云分析环境，并实施更多的分析工具，以支持CISA 网络操作员可用的新数据集。CISA在实现这些过渡目标方面取得了长足进步；截至2023 财年第四季度，89%的工具已完成迁移，并制定了数据摄取/集成路线图。此外，随着联邦政府从基于外围的防御转向采用零信任架构，来自EDR 等功能的数据将被集成到CADS 分析环境中，使我们的网络防御人员能够自动执行某些保护措施，并快速检测和减轻恶意活动。

入侵防御和入侵检测服务（又称EINSTEIN 传感器套件）不在CADS 计划范围内。按照计划，ElNSTEIN 3 Accelerated (E3A) 入侵防御服务（包括DNS Sinkholing 和电子邮件过滤）将于2023 年 12月退役。CISA的保护 DNS功能是最先进的递归DNS 解析器服务，它取代了E3A DNS Sinkholing 功能，可防止政府互联网流量到达已知的恶意目的地。E3A电子邮件过滤服务没有被新的CISA 服务取代，因为CISA 意识到大多数机构已经采用了高效的商业电子邮件过滤功能，这些功能达到或超过了E3A 电子邮件过滤服务所提供的功能。

表1 显示截至2023 年 9月 30 日的NCPS 实施情况。如上所述，本报告的未来版本可能包括从EINSTEIN 服务向CADS 过渡的最新情况。

漏洞披露政策和计划

漏洞披露政策（VDP）使各机构能够通过接受外部研究人员的网络安全审查来改进其信息安全计划。VDP使各机构能够获得有关安全漏洞的新见解，了解机构的外部风险态势，从而获得高投资回报。VDP还通过明确授权善意的安全研究，为发现这些漏洞的人员提供保护。2023财政年度，除国防部外，所有《首席财务官法案》机构均报告已制定了VDP。在这些机构中，除一家机构外，其他所有机构的VDP 都涵盖了所有可通过互联网访问的信息系统或联邦信息系统，许多机构的VDP 还允许报告面向内部的联邦系统。

高价值资产

CISA高价值资产 (HVA)计划对网络安全服务的交付进行规划、优先排序和协调，以协助联邦机构识别、管理和评估各自的高价值资产，从而更好地对整个联邦高价值资产企业进行识别和风险评估。HVA评估合作评估 HVA的风险管理态势。

当联邦信息或信息系统涉及以下一个或多个类别时，各机构可将其指定为HVA：

信息价值：处理、存储或传输信息的信息或信息系统对联邦政府或其对手具有高价值。
任务必要“如果没有该信息或信息系统，拥有该信息或信息系统的机构就无法在预期时间内完成根据第40 号总统政策指令（PPD-40）《国家连续性政策》批准的主要任务必要职能。
联邦民用企业基本要素：信息或信息系统在维护联邦民用企业的安全和复原力方面起着关键作用。

所有机构都有责任对其信息系统进行持续的授权，以确保其HVA 安全和隐私状况相关信息的准确性。HVA评估对于保持对与维护HVA 相关的风险的公正看法至关重要。因此，各机构必须确保按照OMB 和 CISA的要求进行 HVA评估。

在 COVID-19大流行期间，联邦机构扩大了雇员和承包商人员远程工作的可用性，并限制了允许进入联邦政府大楼和设施的工作人员数量。因此，CISA在进行安全架构审查(SAR) 和风险与脆弱性评估(RVA) 时面临挑战，每项评估都需要单独访问。为解决这一问题并避免积压，CISA的 HVA计划管理办公室修订了评估流程，将SAR 和 RVA合并为一种方法。在2023 财年，机构HVA 评估使用这种方法继续确定联邦机构在减少这些重要资产的安全漏洞方面所面临的挑战。图1 列出了在整个HVA 环境中发现的最常见的安全缺陷。

图1. 23财年五大高价值资产评估结果

2023 财政年度，CISA共进行了 37次 HVA 评估，得出349 项结论。换句话说，在2023 财年，每次访问有9.4 项发现，与2022 财年的每次访问发现保持一致。补丁管理仍然是自2021 财政年度以来每个财政年度的首要发现。与往年一样，各机构在2023 财年提交了补丁数据，作为其FISMA 指标的一部分，以揭示各机构在企业内部对补丁进行优先排序和应用的情况。

不支持的操作系统或应用程序与2022 财年保持一致，成为第二大发现；在2022 财年之前，自2017 财年以来，该发现从未出现在前五名名单中。为了更好地监控各机构的现代化进展，2023财年首席信息官 FISMA指标要求各机构报告有关使用寿命结束、服务结束和扩展支持软件的数据。与2022 财年一样，绕过身份验证（如弱密码、最小密码重复使用）是第三个最典型的发现。这一发现自2017 财政年度以来一直存在，并继续成为一个重大问题。在2023 财政年度，深度防御和不安全的组策略偏好仍然排在前五位。

约束性操作指令和紧急指令

2014年联邦信息安全现代化法案》授权DHS与OMB协调，制定并监督网络安全约束性操作指令（BOD）和紧急指令（ED）的实施，这些指令要求联邦机构采取行动以遵守指令。BODs涉及机构实施OMB政策、原则、标准和指导方针。紧急指令（ED）涉及已知或有理由怀疑对各机构构成重大威胁的信息安全威胁、漏洞和事件。

CISA 与 OMB密切协调，领导 DHS制定、沟通和管理与所有指令相关的行动和重要活动。DHS在 2023财政年度发布了两个BOD:

BOD 23-01：提高联邦网络的资产可见性和漏洞检测：BOD 23-01 于2022 年 10月 3日发布，要求开展两项核心活动来提高业务可见性：资产发现和漏洞枚举。BOD 23-01 的目标是让各机构实现以下成果：维护最新的网络资产清单；识别软件漏洞；跟踪资产枚举的频率和覆盖范围以及漏洞签名的时效性；向CISA 的 CDM联邦仪表板提供资产和漏洞信息。各机构必须遵守CISA 管理的漏洞目录中规定的时限，并报告储存库中列出的漏洞状况。
BOD 23-02：降低暴露于互联网的管理界面的风险：2023 年 6月 13 日，CISA发布了 BOD 23-02，要求联邦机构采取措施降低互联网暴露的网络接口带来的风险。该指令要求各机构将网络管理接口从互联网上移除，并/或通过部署零信任功能来保护这些接口，零信任功能通过与接口本身分离的策略执行点对接口实施访问控制。此外，还要求各机构实施技术和/或行政控制，以确保本指令范围内确定的所有新增和所有现有网络设备(a) 已将管理界面从面向互联网的界面中移除，和/或(b) 已配置零信任架构设计。

二、联邦网络安全报告和分析

OMB将数据作为一种战略资产加以利用，以提高联邦政府的效率、促进监督和提高透明度。为此，OMB向公众公布了部分收集到的数据；本报告的这一部分包括基于这些数据的调查结果。

A. 跟踪零信任架构采用进展情况

网络安全进展报告

OMB 评估机构提交的数据，对机构信息安全政策和做法进行监督。在2023 财政年度，OMB使用首席信息官 FISMA指标来跟踪机构在执行EO 14028 和后续政策指南方面的进展情况。为了显示机构的进展情况，OMB在 performance.gov上发布了 2023财年第二季度和第四季度的联邦网络安全进展报告。进展报告为公众和利益相关者提供了对除国防部外所有《首席财务官法案》机构共23 个机构，网络安全态势的准确、公平和全面的评估。7根据机构对年度首席信息官FISMA 指标的答复，数据被分为五类，与NIST 的网络安全框架(CSF) 保持一致：识别、保护、检测、响应和恢复。

图2. 联邦网络安全进展报告

23家《首席财务官法案》机构的平均得分为87分（满分为100分），比2022财年提高了6%；12家机构的得分超过90分；7家机构的得分介于80-89分之间；4家机构的得分介于70-79分之间。在五个CSF类别中，与2022财年的得分相比，保护和侦测类别的得分大幅提高。保护"类别衡量了各机构在加密、MFA和智能补丁方面的进展。检测类别衡量了各机构在进行渗透测试、红队演习、HVA评估和VDP计划实施方面的进展情况。

各机构继续执行关键的政府网络安全优先事项，以降低联邦政府的风险。进展报告还明确指出，EO 14028 中设想的大规模变革需要持续的投资、合作和文化变革。为了继续推动整个联邦企业的系统性安全变革，OMB将继续衡量各机构的进展情况，以适应对机构网络安全运营不断提高的期望。

独立评估

FISMA要求机构的监察长（IG）或独立外部审计师每年进行一次独立评估，以确定机构信息安全计划和实践的有效性。每年，这些独立评估人员都会就廉正与效率监察长委员会(CIGIE)与OMB、国土安全部、联邦首席信息官委员会和其他利益相关方协调制定的指标（IG FISMA 指标）提交报告。NIST网络安全框架的每个指标和每个功能都使用五级成熟度模型进行评估。

根据 OMB 备忘录M-23-03"2023 财政年度联邦信息安全和隐私管理要求指南"和 IG FISMA 指标，OMB认为 "可管理和可衡量"（第4 级）的结果被认为在领域、功能和整体层面上是有效的。为了使I Gs 能够更灵活地根据其独特的任务、资源和挑战来评估其机构网络安全计划的成熟度，IG FISMA 指标规定 I Gs 可以自行决定将其机构评定为低于"可管理和可衡量"级别的有效。不过，OMB强烈鼓励 I G使用五级成熟度模型来确定其机构网络安全计划的有效性。

在 2023财政年度，OMB对监察主任评估的时间和重点实施了新的框架。新框架的目标是为联邦社区提供更大的灵活性，但继续关注年度评估。这项工作产生了两组不同的指标，即核心指标和补充指标。

核心指标：每年进行评估的衡量标准，代表了政府优先事项、高影响风险降低活动以及确定安全计划有效性所必需的基本功能的组合。
补充指标：至少每两年评估一次，代表安全计划开展的重要活动，有助于全面评估和确定安全计划的有效性。

监察主任奉命在 2023财政年度评估核心和补充指标。各机构正在全面关注并改进核心指标。在20 个核心指标中，各机构在18个指标上有所改进。这一改进表明，各机构致力于落实优先事项。各机构在侧重于事件检测和分析以及确定与变更控制管理相关的角色和责任的核心指标方面确实出现了下降趋势。

自 2021财年将供应链风险管理（SCRM）纳入IG FISMA 指标以来，各机构在供应链风险管理（SCRM）活动方面不断取得重大进展。SCRM方面的持续改进值得注意，其他工作将进一步推动这一进展。

表 2 显示了2019 财年至2023财年被评估为拥有有效信息安全计划的机构数量。随着时间的推移，《首席财务官法案》机构在制定有效的安全计划方面取得了进步。

表2. IG信息安全有效性评级

B. 2023 财政年度信息安全事件

各机构必须根据 CISA的《事件通知准则》向CISA 报告信息安全事件。必须报告的事件包括已调查72 小时但未成功确定其根本原因或性质（即恶意、可疑或良性）的事件。根据FISMA 的要求，本报告提供了联邦政府发生的网络安全事件数量的汇总信息。

在 2023财年期间，联邦机构报告了32,211 起事件，比2022 财年报告的29,319 起事件增加了9.9%。根据国家网络事件计分系统（NCISS），这些新增事件大多被视为"轻微"事件。轻微事件是指"极不可能影响公众健康或安全、国家安全、经济安全、外交关系、公民自由或公众信心的事件"（见表4，机构网络事件评分系统）。(见表4，按 NC/SS优先级别分列的机构报告事件）。向CISA 报告的小事件总共增加了5,396 起。

一般而言，各机构认为，安全运营中心(SOC)检测能力的提高、自动化程度的提高和培训的增加，以及事件和事故跟踪方法的改变，是上一财政年度事故增加的主要原因。

US-CERT 按媒介分类的事件

作为报告要求的一部分，各机构必须按照入侵或数据丢失的方式对事件进行分类。11这些数据提供了各机构每天所面临威胁的可见性，使其能够更好地了解联邦系统和数据所面临的风险。表3 "按攻击媒介分列的机构报告事件"列出了联邦机构报告的九类事件数量。在2023 财年，"不当使用"攻击向量所报告的事件数量最多，达到12,261 起，约占事件总数的38%。这一数据表明，尽管各机构拥有检测安全策略是否被违反的流程或能力，但许多机构缺乏自动执行或预防机制。2023财政年度第二大最普遍的攻击载体是"电子邮件/网络钓鱼"，根据事件数量计算，它是增幅最大的攻击载体（从2022 财政年度的3,011 起增至2023 财政年度的6,198 起）。

表3. 按攻击媒介分列的机构报告的事件

按 NCISS优先级别分列的事件

向 CISA报告的事件会被分流，并根据各种因素（包括影响程度）计算出一个优先级别。国家网络事件评分系统（NCISS）提供了一个可重复和一致的机制，用于估算整个联邦企业的事件风险。表4 提供了2022 财年和2023 财年按NCISS 优先级分列的事件高级摘要。

该系统并非旨在对事件相关风险进行绝对评分，而是一种确定优先次序的相对机制。从这些数据中无法得出结论，与上一财政年度相比，所报告事件的风险等级是净增加还是净减少。这些事件中的绝大多数（2022财年约占 97%，2023财年约占 99%）被视为"基线"，这意味着根据"网络安全事件严重性模式"，它们被视为"未经证实或无关紧要的事件"。

表4. 按 NCISS优先级别分列的机构报告的事件

重大事件

在 2023财政年度各机构报告的事件中，有11 起被各机构根据M-23-03中的定义确定为达到重大事件的阈值。卫生与公众服务部、司法部和财政部报告了多起事件。

表5. 2023 财政年度重大事件汇总表

卫生与公众服务部

美国卫生与公众服务部（HHS）在2023 财年报告了两起重大事件。其中一起涉及个人身份信息(Pl/)外泄，原因是支持美国卫生与公众服务部医疗保险和医疗补助服务中心(CMS)的承包商拥有和运营的系统受到勒索软件攻击，特别是针对网络文件共享。被暴露的Pl/信息包括受益人姓名、地址、出生日期、医疗保险受益人标识符和银行账户信息，达到了需要强制报告重大事件的门槛（超过280 万人，其中超过130万人已故）。受影响的受益人已收到通知，并获得了免费的信用监控服务。自事件发生以来，医疗保险受益人的工作已从承包商网络转移到CMS 网络。

HHS 报告了另一起重大事件，涉及两家为HHS 工作的承包商公司。攻击者利用零时差漏洞访问了由承包商托管的与HHS 计划相关的信息，导致Pl/ 有可能受到威胁。虽然没有证据表明HHS网络和系统受到攻击，但承包商网络受到攻击可能导致与以下业务部门相关的Pl/ 受到攻击：疾病控制和预防中心、社区生活管理局、医疗保险和医疗补助服务中心、国立卫生研究院以及药物滥用和心理健康服务管理局。据估计，可能有188万人的个人信息遭到泄露--这些信息可能包括姓名、社会保险号、医疗保险号、实际地址和电子邮件地址、电话号码、出生日期、性别、种族、体重、身高、医疗诊断以及其他个人身份信息或特定健康相关信息。HHS已采取必要行动，逐个通知个人。

财政部

美国财政部（财政部）报告了两起重大事件。其中一起事件是2022财年重大事件的再次发生。财政部国内税收署（IRS）报告了一起重大网络安全事件，涉及免税实体提交的990-T表格（免税组织商业所得税申报表）不慎泄露。被泄露的信息仅限于姓名、地址、电子邮件地址和电话号码。美国国税局必须公开披露50l{c)3 组织所赚取的杂项收入，并通过公布经过编辑的990-T 表格副本来实现这一点。为协助完成这一流程，国税局于2021 年9月开始使用一家供应商，以协助将这些表格发布到一个面向公众的网站上，供用户访问的自动化流程。由于编码错误，所有S0l{c) 实体的990-T 表格都被公开，直到2022 年8月初一个私营部门实体向国税局披露了这一错误。一经发现，美国国税局迅速通知用户，并要求他们删除下载。国税局还与供应商合作修复了编码错误。在最初事件的补救工作中，公共网络服务器上的编码错误已得到修复，但错误数据并未从暂存服务器中删除，同一数据集被意外发布了第二次。"

财政部报告了另一起重大事件，涉及针对其监察长办公室(OIG) 一名员工的网络钓鱼攻击。一个由民族国家赞助的高级持续威胁(APT) 行为者获得了该员工的登录凭证，并访问了该员工的账户约15 个小时。由于进行了纵深防御，该APT在此期间无法访问任何信息资源，也未尝试引入软件或横向移动。攻击者已从环境中移除，财务处已采取措施防止再次发生此类事件，如开展意识培训、验证软件配置和更新多因素身份验证策略。

司法部

美国司法部（DOJ）在2023 财年报告了两起重大事件。其中一起事件涉及2023 年2月对美国法警局（USMS）计算机系统的勒索软件攻击，其中包含来自美国法警局人员和法律程序的个人身份信息(Pl/)。一经发现，美国联邦法警局立即关闭了受影响的系统，并在一个新的美国联邦法警局系统上重建了功能，以继续执行任务。已通知可能受到影响的个人，并向他们提供免费的信用监控服务。

司法部报告了 2023年 5月发生的另一起勒索软件攻击事件，该事件针对的是一家私营公司所拥有和运营的系统，该公司为民事司和几个美国检察官办公室提供特定案件的数据分析支持。该公司的系统包含健康记录和其他材料，其中包括Pl/ 和个人健康信息(PHI)。该公司聘请了第三方事件响应服务提供商进行事件调查和响应。目前正在向已确认的可能受影响的个人发出通知并提供免费信用监控服务。

内政部

美国内政部（Interior）报告了一起涉及内政部业务中心（Interior Business Center -BC）运行的系统的重大事故。该系统通过机构间协议提供联邦人事和薪资服务，为内政部和外部联邦机构客户提供支持。一名经授权的开发人员修改了该系统的安全策略，无意中允许少数人力资源专业人员查看36 个联邦机构客户雇员的人事记录。调查显示，约有147,000 人可能受到影响。暴露的Pl/包括各种记录子集的组合，其中包含员工姓名、地址、电子邮件地址、电话号码、出生日期、出生地、教育程度、国籍和社会保障号的最后四位数字。在调查过程中，发现在系统架构最近发生变化后，没有进行隐私影响评估（PIA）,BC已更新了安全评估并进行了更新的PIA。BC代表36个联邦机构向可能受影响的个人发出通知，并加强了变更控制程序、内部流程和培训。

消费者

消费者金融保护局消费者金融保护局（CFPB）报告了一起重大事件，该事件涉及一名现已离职的员工未经授权将 CFPB 记录转移到其个人电子邮件帐户。该员工发送了14 封包含消费者Pl/ 的电子邮件和两张电子表格，其中包含一家金融机构约256,000名消费者的内部贷款号码。作为漏洞补救和缓解工作的一部分，CFPB向该前雇员发出指示，要求其从个人账户中删除这些电子邮件，证明每封邮件均已删除，并在完成这些操作后提供证明。该前雇员没有遵守这些指示。CFPB还通知了受漏洞影响的机构并与之进行了协商。虽然受影响的Pl 并不包括可用于访问消费者账户或实施身份盗用的敏感信息，但CFPB认为，在某些情况下，出于谨慎和透明度的考虑，通知消费者是适当的。此外，CFPB还将此事提交监察长办公室作进一步调查。

CFPB 启动并执行了额外的业务和技术缓解工作，以加强网络安全和隐私态势，并防止今后发生意外泄露。已与CFPB的所有员工和承包商进行了内部沟通和培训，向他们通报了这一重大事件，向所有员工重申他们有责任遵守网络安全和隐私政策，并向员工强调保持CFPB 数据的适当存储和传输的重要性和责任。此外，CFPB还对与其监督计划相关的信息管理程序和流程进行了内部审查，以确定需要改进的领域以及进一步改进隐私或安全控制的机会。

运输部

美国运输部 (DOT)报告了一起重大网络事件，涉及多个管理系统受到破坏，并确认了系统访问证据和支持TRANServe 的信息系统停车和公交福利系统{PTBS} 的 Pl/外渗。身份不明的攻击者利用商业网络应用程序开发平台中一个未修补的关键漏洞进行了访问。可能受影响的个人多达237,000人，其中包括用户名、家庭和工作地址以及某些机构的社会保险号的最后四位数字。受影响的服务器已在新平台上使用最新补丁进行了重建。已通知可能受影响的个人，并为其提供免费信用监控服务。

美国人事管理办公室美国人事管理办公室（OPM）报告了一起重大事件，该事件涉及一个文件传输软件产品中的未知（零日）关键漏洞，该产品由一家负责支持联邦雇员观点调查（Federal Employee Viewpoint Survey {FEVS）管理的承包商使用。承包商向OPM通报了这一重大事件。被泄露的信息包括个人的政府电子邮件地址列表、FEVS调查链接（对每个人都是唯一的），以及OPM 内部生成的美国司法部和美国国防部（DoD）约632,000 名雇员的跟踪代码。作为回应，OPM停止了向使用该软件产品的承包商传输任何FEVS数据或记录，停用了针对个人的调查链接，进行了危害评估，并通知了可能受影响的个人。危害评估发现，没有证据表明存在未经授权访问或篡改调查结果的情况。

能源部

美国能源部（DOE）报告了一起涉及安全文件传输产品零日漏洞的重大事件，该漏洞影响了能源部的废物隔离试验厂（WIPP）和橡树岭联合大学（ORAU）。该漏洞允许一个已知的勒索软件集团利用该漏洞进行远程访问。该组织声称已经从政府网络中删除了数据，为此DOE 宣布发生重大事故。暴露的信息包括34,000 名个人的Pl/ 和PHI，这些个人属于国会授权的自愿健康监测计划，该计划是根据与环境、健康、安全和安保办公室（Office of Environment, Health, Safety, and Security {EHSS）达成的合作协议实施的，该计划针对可能暴露于核废料等危险物质的前DOE雇员。这些信息包括姓名、出生日期、社会保险号和一些健康信息。科学办公室约有66,000名个人也受到了影响，其中包括姓名、出生日期、部分或完整的社会保障号码、护照信息和国籍。受影响的个人已收到通知并获得了身份监控服务。

三、隐私事务高级官员绩效措施

联邦政府在执行其任务和计划时，必然会创建、收集、使用、处理、存储、维护、传播、披露和处置（统称为 "处理"）个人身份信息（Pl l）16。在当今的数字世界中，要有效管理联邦政府处理个人身份信息对个人造成的风险，有赖于联邦机构保持强有力的隐私计划。

本节反映了24 个《首席财务官法案》机构和65 个非《首席财务官法案》机构向OMB 报告2023 财年SAOP FISMA 绩效措施的情况。

A. 负责隐私事务的高级机构官员和隐私计划

第13800号行政令认识到，有效的风险管理要求联邦机构负责人领导由高级管理人员（包括具有隐私专业知识的管理人员）组成的综合团队。虽然每个联邦机构的负责人仍对确保隐私利益得到保护以及在该机构内负责任地管理PII 负有最终责任，但第13719号行政令《联邦隐私委员会的建立》要求各机构负责人指定或重新指定一名负责隐私事务的高级机构官员(SAOP)，由其负责整个机构的隐私计划并承担相应责任。

每个联邦机构都必须制定、实施、记录、维护和监督包括人员、流程和技术在内的全机构隐私计划。机构的SAOP领导机构的隐私计划，负责确保遵守适用的隐私要求，制定和评估隐私政策，并根据机构的使命管理隐私风险。除其他事项外，在涉及PII的情况下，机构的隐私计划在信息安全、记录管理、战略规划、预算和采购、承包商和第三方、员工队伍、培训、事件响应以及实施NIST 风险管理框架(RMF) 等方面发挥着关键作用。

表6. 隐私事务高级官员（SAOPs）和隐私计划

B.个人身份信息和社会保障号码

联邦机构的隐私计划必须保持一份处理PII的信息系统清单。保持这样一份清单可以让隐私计划持续了解其所持有的PII，并有助于确保遵守适用的隐私要求和管理隐私风险。

表7. 个人身份信息清单

除了确保合规和管理与PII一般相关的隐私风险外，联邦机构还必须采取额外措施，管理与收集、维护和使用社会安全号(SSN)相关的风险。从历史上看，联邦政府在许多情况下都会收集SSN，包括就业、税收、执法和福利管理。然而，SSN也是关键的身份识别信息，有可能被用于身份盗窃。因此，根据OMB A-130 号通知，联邦机构必须采取措施消除对SSN 的不必要收集、维护和使用，并探索使用SSN 作为个人身份标识符的替代方法。

表8. 社会保障号（SSN）的收集、维护和使用

C.隐私与风险管理框架

为了有效管理个人在处理其PII 时所面临的风险，联邦隐私计划在NIST 风险管理框架下负有具体责任。NIST风险管理框架是一个严谨的结构化流程，联邦机构利用它来指导联邦信息和信息系统的分类；信息安全和隐私控制措施的选择、实施和评估；信息系统和通用控制措施的授权；以及信息系统的持续监控。

表9. 隐私与N IST 风险管理框架

各机构必须在信息系统运行前进行授权，并在运行后定期进行授权。信息系统授权是在实施安全和隐私控制措施的基础上，明确接受对机构业务（包括任务、职能、形象或声誉）、机构资产、个人、其他组织和国家的风险。授权信息系统的决定基于对信息系统授权包的审查，其中包括安全计划、隐私计划、对安全和隐私控制的文件化评估，以及任何相关的行动计划和里程碑。根据OMB A-130 号通知，当信息系统处理PII 时，授权信息系统的决定应与SAOP 协调进行。

表10. 信息系统和运行授权

D.信息技术系统与投资

要有效管理个人隐私信息处理对个人造成的风险，联邦隐私计划就必须在整个系统开发生命周期中考虑对个人隐私的潜在影响。联邦机构在分析信息技术投资时必须考虑隐私问题，并且必须建立一个涵盖每个信息系统生命周期的决策流程。这包括建立明确的标准，用于分析与任何IT 投资相关的预计和实际成本、收益和风险，包括隐私风险。

表11. 信息技术系统和投资

E.隐私影响评估

隐私影响评估（PIA）是联邦机构在开发、采购或使用信息技术时用来确保遵守适用的隐私要求和管理隐私风险的最有价值的工具之一。一般来说，联邦机构在开发、采购或使用信息技术来创建、收集、使用、处理、存储、维护、传播、披露或处置PII 时，如果没有适用的例外情况，则必须进行PIA。PIA是对PII处理方式的分析，以确保处理方式符合适用的隐私要求，确定与信息系统或活动相关的隐私风险，并评估降低隐私风险的方法。SAOP与项目经理、信息系统所有者、信息技术专家、安全官员、法律顾问和其他相关机构官员密切合作，以进行有意义的评估。

表12. 隐私影响评估

F.员工队伍管理

联邦机构的隐私计划必须在劳动力管理活动中发挥关键作用，并使机构人员对遵守适用的隐私要求和管理隐私风险负责。这包括为所有员工和承包商制定、维护和提供全机构范围的隐私意识和培训计划。此外，SAOP还必须参与评估本机构在隐私方面的招聘和专业发展需求。

表13. 劳动力管理

表14.培训与问责

表15.承包商和第三方

G. 外泄应对与隐私

联邦机构的隐私计划及其各自的SAOP 必须包括准备和应对泄密事件（即涉及PII的事件）的具体步骤。这包括制定和实施外泄应对计划，该计划除其他外应说明机构外泄应对小组的组成、机构在评估对可能受影响的个人造成伤害的风险时应考虑的因素，以及是否、何时和如何向可能受影响的个人发出通知并向其他相关实体报告。

表16.违规响应

往期回顾

END

天极智库聚焦网络安全相关领域，聚集网络安全职能部门、行业主管部门、科研院所、相关企业和专家学者的力量，组织开展政策研判、事件分析、技术研究、学术交流，为国家网络安全工作提供支撑，增强国家网络空间安全防御能力，提升国家关键信息基础设施安全保障能力和水平。