美國國土安全部(DHS)發布《約束性操作指令18-01》(BOD 18-01)，要求聯邦機構使用新的電子郵件和Web安全指南以避免中間人攻擊。

《BOD 18-01》能夠解決70%的漏洞問題

按照指令要求，聯邦機構須在90天內應用兩項協議：DMARC和STARTTLS。

DMARC是一款電子郵件驗證協議，旨在防止電子郵件欺騙，并提供有關偽造郵件的來源數據。

STARTTLS在數據傳輸時對電子郵件加密，從而防御中間人攻擊。

這項指令還要求聯邦機構120天內在所有公開訪問的聯邦網站上啟用HTTPS和HSTS安全連接。這樣做可能會潛在消除影響大多數聯邦政府網站的眾多安全漏洞。

QQ截圖20171018100041.jpg

DHS代理部長Elaine Duke(伊萊恩·杜克)在致行政管理和預算局(OMB)局長Mick Mulvaney(米克·馬爾瓦尼)的備忘錄中寫到，DHS“網絡衛生”(Cyber Hygiene)的掃描數據顯示，這項指令發布之時聯邦機構網絡存在的最常見10款漏洞中，其中7款在遵守這項指令相關要求后可得以解決。

指令的具體要求如下：

聯邦機構必須：

一、指令發布后30天內，聯邦機構須制定并向DHS提供“BOD 18-01機構行動計劃”，以：

(一)通過以下方式提升電子郵件安全：

1. 指令發布后90天內：

配置所有面向互聯網的郵件服務器，支持STARTTLS協議。

配置機構二級域名，使其具備有效的SPF(發送方政策框架)/DMARC記錄，至少須采用“p=none” DMARC策略，并且至少須將一個地址定義為匯總和/或失敗報告的接收方。

2.指令發布后120天內，確保：

在電子郵件服務器上禁用安全套接層SSLv2和SSLv3。

在電子郵件服務器上禁用3DES和RC4加密。

3.指令發布后一年內，為所有二級域名和郵件發送主機設置DMARC“拒絕”策略(在郵件服務器端拒絕未經驗證的電郵)。

其他要求還包括相關報告匯總期限等信息。

(二)通過以下方式增強Web安全：

指令發布后120天內，確保：

所有公開訪問的聯邦網站和Web服務通過安全連接(HTTPS和HSTS)提供服務。

在Web服務器上禁用協議SSLv2和SSLv3。

在Web服務器上禁用3DES和RC4加密。

向DHS確定并提供能加入預先加載HSTS(對所有子域名啟用HTTPS)的所有二級域名列表。

二、在指令發布后30天內按要求提交“OD 18-01機構行動計劃”，并開始實施計劃。

三、指令發布后60天內，向DHS提供執行情況報告。每隔30天報告一次，直到機構的BOD 18-01計劃完成。