美国国土安全部(DHS)发布《约束性操作指令18-01》(BOD 18-01)，要求联邦机构使用新的电子邮件和Web安全指南以避免中间人攻击。

《BOD 18-01》能够解决70%的漏洞问题

按照指令要求，联邦机构须在90天内应用两项协议：DMARC和STARTTLS。

DMARC是一款电子邮件验证协议，旨在防止电子邮件欺骗，并提供有关伪造邮件的来源数据。

STARTTLS在数据传输时对电子邮件加密，从而防御中间人攻击。

这项指令还要求联邦机构120天内在所有公开访问的联邦网站上启用HTTPS和HSTS安全连接。这样做可能会潜在消除影响大多数联邦政府网站的众多安全漏洞。

QQ截图20171018100041.jpg

DHS代理部长Elaine Duke(伊莱恩·杜克)在致行政管理和预算局(OMB)局长Mick Mulvaney(米克·马尔瓦尼)的备忘录中写到，DHS“网络卫生”(Cyber Hygiene)的扫描数据显示，这项指令发布之时联邦机构网络存在的最常见10款漏洞中，其中7款在遵守这项指令相关要求后可得以解决。

指令的具体要求如下：

联邦机构必须：

一、指令发布后30天内，联邦机构须制定并向DHS提供“BOD 18-01机构行动计划”，以：

(一)通过以下方式提升电子邮件安全：

1. 指令发布后90天内：

配置所有面向互联网的邮件服务器，支持STARTTLS协议。

配置机构二级域名，使其具备有效的SPF(发送方政策框架)/DMARC记录，至少须采用“p=none” DMARC策略，并且至少须将一个地址定义为汇总和/或失败报告的接收方。

2.指令发布后120天内，确保：

在电子邮件服务器上禁用安全套接层SSLv2和SSLv3。

在电子邮件服务器上禁用3DES和RC4加密。

3.指令发布后一年内，为所有二级域名和邮件发送主机设置DMARC“拒绝”策略(在邮件服务器端拒绝未经验证的电邮)。

其他要求还包括相关报告汇总期限等信息。

(二)通过以下方式增强Web安全：

指令发布后120天内，确保：

所有公开访问的联邦网站和Web服务通过安全连接(HTTPS和HSTS)提供服务。

在Web服务器上禁用协议SSLv2和SSLv3。

在Web服务器上禁用3DES和RC4加密。

向DHS确定并提供能加入预先加载HSTS(对所有子域名启用HTTPS)的所有二级域名列表。

二、在指令发布后30天内按要求提交“OD 18-01机构行动计划”，并开始实施计划。

三、指令发布后60天内，向DHS提供执行情况报告。每隔30天报告一次，直到机构的BOD 18-01计划完成。