美國國土安全部(DHS)發(fā)布《約束性操作指令18-01》(BOD 18-01)，要求聯(lián)邦機構(gòu)使用新的電子郵件和Web安全指南以避免中間人攻擊。

《BOD 18-01》能夠解決70%的漏洞問題

按照指令要求，聯(lián)邦機構(gòu)須在90天內(nèi)應用兩項協(xié)議：DMARC和STARTTLS。

DMARC是一款電子郵件驗證協(xié)議，旨在防止電子郵件欺騙，并提供有關偽造郵件的來源數(shù)據(jù)。

STARTTLS在數(shù)據(jù)傳輸時對電子郵件加密，從而防御中間人攻擊。

這項指令還要求聯(lián)邦機構(gòu)120天內(nèi)在所有公開訪問的聯(lián)邦網(wǎng)站上啟用HTTPS和HSTS安全連接。這樣做可能會潛在消除影響大多數(shù)聯(lián)邦政府網(wǎng)站的眾多安全漏洞。

QQ截圖20171018100041.jpg

DHS代理部長Elaine Duke(伊萊恩·杜克)在致行政管理和預算局(OMB)局長Mick Mulvaney(米克·馬爾瓦尼)的備忘錄中寫到，DHS“網(wǎng)絡衛(wèi)生”(Cyber Hygiene)的掃描數(shù)據(jù)顯示，這項指令發(fā)布之時聯(lián)邦機構(gòu)網(wǎng)絡存在的最常見10款漏洞中，其中7款在遵守這項指令相關要求后可得以解決。

指令的具體要求如下：

聯(lián)邦機構(gòu)必須：

一、指令發(fā)布后30天內(nèi)，聯(lián)邦機構(gòu)須制定并向DHS提供“BOD 18-01機構(gòu)行動計劃”，以：

(一)通過以下方式提升電子郵件安全：

1. 指令發(fā)布后90天內(nèi)：

配置所有面向互聯(lián)網(wǎng)的郵件服務器，支持STARTTLS協(xié)議。

配置機構(gòu)二級域名，使其具備有效的SPF(發(fā)送方政策框架)/DMARC記錄，至少須采用“p=none” DMARC策略，并且至少須將一個地址定義為匯總和/或失敗報告的接收方。

2.指令發(fā)布后120天內(nèi)，確保：

在電子郵件服務器上禁用安全套接層SSLv2和SSLv3。

在電子郵件服務器上禁用3DES和RC4加密。

3.指令發(fā)布后一年內(nèi)，為所有二級域名和郵件發(fā)送主機設置DMARC“拒絕”策略(在郵件服務器端拒絕未經(jīng)驗證的電郵)。

其他要求還包括相關報告匯總期限等信息。

(二)通過以下方式增強Web安全：

指令發(fā)布后120天內(nèi)，確保：

所有公開訪問的聯(lián)邦網(wǎng)站和Web服務通過安全連接(HTTPS和HSTS)提供服務。

在Web服務器上禁用協(xié)議SSLv2和SSLv3。

在Web服務器上禁用3DES和RC4加密。

向DHS確定并提供能加入預先加載HSTS(對所有子域名啟用HTTPS)的所有二級域名列表。

二、在指令發(fā)布后30天內(nèi)按要求提交“OD 18-01機構(gòu)行動計劃”，并開始實施計劃。

三、指令發(fā)布后60天內(nèi)，向DHS提供執(zhí)行情況報告。每隔30天報告一次，直到機構(gòu)的BOD 18-01計劃完成。