查看原文
其他

美DHS发布《约束性操作指令18-01》

2017-10-19 E小编 E安全

更多全球网络安全资讯尽在E安全官网www.easyaq.com


E安全10月19日讯 美国国土安全部(DHS)发布《约束性操作指令18-01》(BOD 18-01),要求联邦机构使用新的电子邮件和Web安全指南以避免中间人攻击。

《BOD 18-01》能够解决70%的漏洞问题


按照指令要求,联邦机构须在90天内应用两项协议:DMARC和STARTTLS。


  • DMARC是一款电子邮件验证协议,旨在防止电子邮件欺骗,并提供有关伪造邮件的来源数据。

  • STARTTLS在数据传输时对电子邮件加密,从而防御中间人攻击。

这项指令还要求联邦机构120天内在所有公开访问的联邦网站上启用HTTPS和HSTS安全连接。这样做可能会潜在消除影响大多数联邦政府网站的众多安全漏洞。

DHS代理部长Elaine Duke(伊莱恩·杜克)在致行政管理和预算局(OMB)局长Mick Mulvaney(米克·马尔瓦尼)的备忘录中写到,DHS“网络卫生”(Cyber Hygiene)的扫描数据显示,这项指令发布之时联邦机构网络存在的最常见10款漏洞中,其中7款在遵守这项指令相关要求后可得以解决。

指令的具体要求如下:


联邦机构必须:


一、指令发布后30天内,联邦机构须制定并向DHS提供“BOD 18-01机构行动计划”,以:

(一)通过以下方式提升电子邮件安全:

1. 指令发布后90天内:

  • 配置所有面向互联网的邮件服务器,支持STARTTLS协议。

  • 配置机构二级域名,使其具备有效的SPF(发送方政策框架)/DMARC记录,至少须采用“p=none” DMARC策略,并且至少须将一个地址定义为汇总和/或失败报告的接收方。

2.指令发布后120天内,确保:

  • 在电子邮件服务器上禁用安全套接层SSLv2和SSLv3。

  • 在电子邮件服务器上禁用3DES和RC4加密。

3.指令发布后一年内,为所有二级域名和邮件发送主机设置DMARC“拒绝”策略(在邮件服务器端拒绝未经验证的电邮)。

其他要求还包括相关报告汇总期限等信息。

(二)通过以下方式增强Web安全:

指令发布后120天内,确保:

  • 所有公开访问的联邦网站和Web服务通过安全连接(HTTPS和HSTS)提供服务。

  • 在Web服务器上禁用协议SSLv2和SSLv3。

  • 在Web服务器上禁用3DES和RC4加密。

  • 向DHS确定并提供能加入预先加载HSTS(对所有子域名启用HTTPS)的所有二级域名列表。

二、在指令发布后30天内按要求提交“OD 18-01机构行动计划”,并开始实施计划。

三、指令发布后60天内,向DHS提供执行情况报告。每隔30天报告一次,直到机构的BOD 18-01计划完成。

注:本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com/news/1284079178.shtml

相关阅读:

▼点击“阅读原文” 查看更多精彩内容

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存