oversigt
Information Operations Condition (INFOCON) er et trusselsniveau system i USA svarende til DEFCON eller FPCON. INFOCON er et forsvarssystem, der primært er baseret på status for Informationssystemer og er en metode, der bruges af militæret til at forsvare sig mod et computernetværksangreb.
systemets struktur
INFOCON-niveauet afgøres i sidste ende af chefen for den amerikanske strategiske kommando (CDRUSSTRATCOM). Systemet strækker sig på tværs af alle Department of Defense informationssystemer på det ikke-klassificerede Internet Protocol Routing netværk (NIPRNET) og det hemmelige Internet Protocol Router netværk (SIPRNET).
et “kun til officiel brug” – direktiv fra 2006 beskriver INFOCON-systemet som:
. . . herunder ansvar, processer og procedurer gælder for ikke-klassificerede Internet Protocol Routing netværk (NIPRNET) og Secret Internet Protocol Router netværk (SIPRNET) systemer under de fælles stabschefer og alle DoD aktiviteter inden for unified commands, military services og DoD agenturer samt non-DoD NetOps COI (NetOps CONOPS, fælles koncept for operationer til Global Information Grid NetOps). Det udføres af unified and service commanders, base/pos /camp/station/vessel commanders og agentur direktører med Myndighed over informationssystemer og netværk (operationel og/eller support) (herefter kollektivt benævnt “commanders”).1
det samme direktiv beskriver systemet som ” en ramme, inden for hvilken kommandør USSTRATCOM (CDRUSSTRATCOM), regionale ledere, servicechefer, base/post/lejr/station/fartøjschefer eller agenturdirektører kan øge deres netværks målbare beredskab til at matche operationelle prioriteter.”2
INFOCON-trusselsniveauer
der er fem niveauer af INFOCON, som for nylig blev ændret til tættere korreleret med DEFCON-niveauer. De er:
- INFOCON 5 er kendetegnet ved rutinemæssige NetOps, normal beredskab af informationssystemer og netværk, der kan opretholdes på ubestemt tid. Informationsnetværk er fuldt operationelle i en kendt baseline-tilstand med standard informationssikringspolitikker på plads og håndhævet. Under INFOCON 5 Vil system-og netværksadministratorer oprette og vedligeholde en snapshot-baseline for hver server og arbejdsstation i en kendt god konfiguration og udvikle processer til at opdatere denne baseline for autoriserede ændringer.
- INFOCON 4 øger NetOps parathed, som forberedelse til operationer eller øvelser, med en begrænset indvirkning på slutbrugeren. System-og netværksadministratorer vil etablere en operationel rytme for at validere det kendte gode billede af et informationsnetværk mod den aktuelle tilstand og identificere uautoriserede ændringer. Derudover gennemgås brugerprofiler og konti, og der foretages kontrol af hvilende konti. Ved at øge hyppigheden af denne valideringsproces bekræftes tilstanden af et informationsnetværk som uændret (dvs.godt) eller bestemmes at blive kompromitteret. Dette niveau af beredskab kan eller ikke være kendetegnet ved et øget efterretningsur og styrket sikkerhed (portblokering, øgede scanninger) målinger af informationssystemer og netværk. Virkningen for slutbrugerne er ubetydelig.
- INFOCON 3 øger NetOps-beredskabet yderligere ved at øge hyppigheden af validering af informationsnetværket og dets tilsvarende konfiguration. Effekten for slutbrugerne er mindre.
- INFOCON 2 er en beredskabsbetingelse, der kræver en yderligere stigning i hyppigheden af validering af informationsnetværket og dets tilsvarende konfiguration. Indvirkningen på systemadministratorer vil stige i forhold til INFOCON 3 og vil kræve en stigning i forplanlægning, personaleuddannelse og udøvelse og forpositionering af systemgenopbygningsværktøjer. Brug af” hot Reserve ” udstyr kan reducere nedetid væsentligt ved at tillade genopbygning parallelt. Virkningen for slutbrugerne kan være betydelig i korte perioder, hvilket kan afhjælpes gennem træning og planlægning.
- INFOCON 1 er den højeste beredskabstilstand og adresserer indbrudsteknikker, der ikke kan identificeres eller besejres ved lavere beredskabsniveauer (f.eks. Det bør kun gennemføres i de begrænsede tilfælde, hvor INFOCON 2-foranstaltninger gentagne gange indikerer unormale aktiviteter, der ikke kan forklares undtagen ved tilstedeværelsen af disse indtrængningsteknikker. Indtil mere ønskelige detektionsmetoder er tilgængelige, er den mest effektive metode til at sikre, at systemet ikke er kompromitteret på denne måde, at genindlæse operativsystemprogrammer på vigtige infrastrukturservere (f.eks.) fra en nøjagtig baseline.
genopbygning bør udvides til andre servere, som ressourcer tillader, og indbrudsdetekteringsniveauer indikerer. Når sammenligninger ved baseline ikke længere indikerer unormale aktiviteter, bør INFOCON 1 afsluttes. Indvirkningen på systemadministratorer vil være betydelig og vil kræve en stigning i forplanlægning, personaleuddannelse og udøvelse og forpositionering af systemgenopbygningsværktøjer. Brug af” hot Reserve ” udstyr kan reducere nedetid væsentligt ved at tillade genopbygning parallelt. Virkningen for slutbrugerne kan være betydelig i korte perioder, hvilket kan afhjælpes gennem træning og planlægning.3