新闻快讯
< >

美DHS发布《约束性操作指令18-01》:强化Web安全和电子邮件安全

E安全10月19日讯 美国国土安全部(DHS)发布《约束性操作指令18-01》(BOD 18-01),要求联邦机构使用新的电子邮件和Web安全指南以避免中间人攻击。

《BOD 18-01》能够解决70%的漏洞问题

按照指令要求,联邦机构须在90天内应用两项协议:DMARC和STARTTLS。

  • DMARC是一款电子邮件验证协议,旨在防止电子邮件欺骗,并提供有关伪造邮件的来源数据。

  • STARTTLS在数据传输时对电子邮件加密,从而防御中间人攻击。

这项指令还要求联邦机构120天内在所有公开访问的联邦网站上启用HTTPS和HSTS安全连接。这样做可能会潜在消除影响大多数联邦政府网站的众多安全漏洞。

QQ截图20171018100041.jpg

DHS代理部长Elaine Duke(伊莱恩·杜克)在致行政管理和预算局(OMB)局长Mick Mulvaney(米克·马尔瓦尼)的备忘录中写到,DHS“网络卫生”(Cyber Hygiene)的扫描数据显示,这项指令发布之时联邦机构网络存在的最常见10款漏洞中,其中7款在遵守这项指令相关要求后可得以解决。

指令的具体要求如下:

联邦机构必须:

一、指令发布后30天内,联邦机构须制定并向DHS提供“BOD 18-01机构行动计划”,以:

(一)通过以下方式提升电子邮件安全:

1. 指令发布后90天内:

  • 配置所有面向互联网的邮件服务器,支持STARTTLS协议。

  • 配置机构二级域名,使其具备有效的SPF(发送方政策框架)/DMARC记录,至少须采用“p=none” DMARC策略,并且至少须将一个地址定义为汇总和/或失败报告的接收方。

2.指令发布后120天内,确保:

  • 在电子邮件服务器上禁用安全套接层SSLv2和SSLv3。

  • 在电子邮件服务器上禁用3DES和RC4加密。

3.指令发布后一年内,为所有二级域名和邮件发送主机设置DMARC“拒绝”策略(在邮件服务器端拒绝未经验证的电邮)。

其他要求还包括相关报告汇总期限等信息。

(二)通过以下方式增强Web安全:

指令发布后120天内,确保:

  • 所有公开访问的联邦网站和Web服务通过安全连接(HTTPS和HSTS)提供服务。

  • 在Web服务器上禁用协议SSLv2和SSLv3。

  • 在Web服务器上禁用3DES和RC4加密。

  • 向DHS确定并提供能加入预先加载HSTS(对所有子域名启用HTTPS)的所有二级域名列表。

二、在指令发布后30天内按要求提交“OD 18-01机构行动计划”,并开始实施计划。

三、指令发布后60天内,向DHS提供执行情况报告。每隔30天报告一次,直到机构的BOD 18-01计划完成。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。