美DHS发布《约束性操作指令18-01》
更多全球网络安全资讯尽在E安全官网www.easyaq.com
E安全10月19日讯 美国国土安全部(DHS)发布《约束性操作指令18-01》(BOD 18-01),要求联邦机构使用新的电子邮件和Web安全指南以避免中间人攻击。
《BOD 18-01》能够解决70%的漏洞问题
按照指令要求,联邦机构须在90天内应用两项协议:DMARC和STARTTLS。
DMARC是一款电子邮件验证协议,旨在防止电子邮件欺骗,并提供有关伪造邮件的来源数据。
STARTTLS在数据传输时对电子邮件加密,从而防御中间人攻击。
这项指令还要求联邦机构120天内在所有公开访问的联邦网站上启用HTTPS和HSTS安全连接。这样做可能会潜在消除影响大多数联邦政府网站的众多安全漏洞。
DHS代理部长Elaine Duke(伊莱恩·杜克)在致行政管理和预算局(OMB)局长Mick Mulvaney(米克·马尔瓦尼)的备忘录中写到,DHS“网络卫生”(Cyber Hygiene)的扫描数据显示,这项指令发布之时联邦机构网络存在的最常见10款漏洞中,其中7款在遵守这项指令相关要求后可得以解决。
指令的具体要求如下:
联邦机构必须:
一、指令发布后30天内,联邦机构须制定并向DHS提供“BOD 18-01机构行动计划”,以:
(一)通过以下方式提升电子邮件安全:
1. 指令发布后90天内:
配置所有面向互联网的邮件服务器,支持STARTTLS协议。
配置机构二级域名,使其具备有效的SPF(发送方政策框架)/DMARC记录,至少须采用“p=none” DMARC策略,并且至少须将一个地址定义为汇总和/或失败报告的接收方。
2.指令发布后120天内,确保:
在电子邮件服务器上禁用安全套接层SSLv2和SSLv3。
在电子邮件服务器上禁用3DES和RC4加密。
3.指令发布后一年内,为所有二级域名和邮件发送主机设置DMARC“拒绝”策略(在邮件服务器端拒绝未经验证的电邮)。
其他要求还包括相关报告汇总期限等信息。
(二)通过以下方式增强Web安全:
指令发布后120天内,确保:
所有公开访问的联邦网站和Web服务通过安全连接(HTTPS和HSTS)提供服务。
在Web服务器上禁用协议SSLv2和SSLv3。
在Web服务器上禁用3DES和RC4加密。
向DHS确定并提供能加入预先加载HSTS(对所有子域名启用HTTPS)的所有二级域名列表。
二、在指令发布后30天内按要求提交“OD 18-01机构行动计划”,并开始实施计划。
三、指令发布后60天内,向DHS提供执行情况报告。每隔30天报告一次,直到机构的BOD 18-01计划完成。
注:本文由E安全编译报道,转载请注明原文地址
https://www.easyaq.com/news/1284079178.shtml
相关阅读:
▼点击“阅读原文” 查看更多精彩内容