Overview
Information Operations Condition (INFOCON) on Yhdysvalloissa toimiva uhkatason järjestelmä, joka muistuttaa DEFCON-tai FPCON-järjestelmää. INFOCON on puolustusjärjestelmä, joka perustuu ensisijaisesti tietojärjestelmien tilaan ja on Puolustusvoimien käyttämä menetelmä puolustautua tietoverkkohyökkäystä vastaan.
järjestelmän rakenteesta
INFOCON-tasosta päättää viime kädessä US Strategic Command (CDRUSSTRATCOM). Järjestelmä ulottuu kaikkiin puolustusministeriön tietojärjestelmiin non-Secret Internet Protocol Routing Network (NIPRNET) ja Secret Internet Protocol Router Network (SIPRNET).
”vain viralliseen käyttöön” – direktiivissä vuodelta 2006 INFOCON-järjestelmää kuvataan seuraavasti:
. . . mukaan lukien vastuut, prosessit ja menettelyt, koskee Turvallisuusluokittelemattomia Internet Protocol Routing Network (NIPRNET)-ja Secret Internet Protocol Router Network (Siprnet)-järjestelmiä, jotka kuuluvat yhteisen esikuntapäällikön alaisuuteen, ja kaikkea puolustusministeriön toimintaa unified commands -, military services-ja DoD-virastoissa sekä non-DoD NetOps COI (Netops CONOPS, Joint Concept of Operations for Global Information Grid NetOps). Sen toteuttavat yhtenäisten komentajien ja huoltojoukkojen komentajat, tukikohdan/pos: n /leirin/aseman/aluksen komentajat ja viraston johtajat, joilla on vastuu tietojärjestelmistä ja-verkoista (operatiivinen ja/tai tukitoiminta), jäljempänä yhteisesti ’komentajat’.1
samassa direktiivissä järjestelmää kuvaillaan ” kehykseksi, jonka puitteissa komentaja USSTRATCOM (CDRUSSTRATCOM), alueelliset komentajat, huoltopäälliköt, tukikohdan/postin/leirin/aseman/aluksen komentajat tai viraston johtajat voivat lisätä verkostojensa mitattavissa olevaa valmiutta vastaamaan operatiivisia painopisteitä.”2
INFOCONIN Uhkatasot
INFOCONIA on viisi tasoa, jotka hiljattain muuttuivat vastaamaan tarkemmin DEFCON-tasoja. Ne ovat:
- INFOCON 5: lle on ominaista rutiininomainen NetOps, tietojärjestelmien ja verkkojen normaali valmius, jota voidaan ylläpitää loputtomiin. Tietoverkot ovat täysin toimintakykyisiä tunnetussa lähtötilanteessa, ja niissä on käytössä ja käytössä vakiomuotoiset tiedonvarmistuskäytännöt. INFOCON 5: n aikana järjestelmän ja verkon ylläpitäjät luovat ja ylläpitävät tilannekuvan lähtötilanteesta jokaisesta palvelimesta ja työasemasta tunnetusti hyvällä kokoonpanolla ja kehittävät prosesseja kyseisen lähtötilanteen päivittämiseksi hyväksyttyjä muutoksia varten.
- INFOCON 4 Lisää operaatioihin tai harjoituksiin valmistautuvaa NetOps-valmiutta, jonka vaikutus loppukäyttäjään on vähäinen. Järjestelmän ja verkon ylläpitäjät luovat toimintarytmin, jolla voidaan validoida tietoverkon tunnettu hyvä kuva nykytilaa vastaan ja tunnistaa luvattomat muutokset. Lisäksi tarkistetaan käyttäjäprofiilit ja tilit sekä tarkistetaan lepotilassa olevat tilit. Tämän validointiprosessin tiheyttä lisäämällä varmistetaan, että tietoverkon tila on muuttumaton (eli hyvä) tai todetaan vaarantuneeksi. Tälle valmiustasolle voi olla ominaista lisääntynyt tiedustelutarkkailu ja tietojärjestelmien ja verkkojen tehostetut turvatoimet (porttien esto, lisääntyneet skannaukset). Vaikutus loppukäyttäjiin on vähäinen.
- INFOCON 3 lisää edelleen NetOps-valmiutta lisäämällä tietoverkon ja sitä vastaavan kokoonpanon validointitiheyttä. Vaikutus loppukäyttäjiin on vähäinen.
- INFOCON 2 on valmiustila, joka edellyttää tietoverkon ja sitä vastaavan kokoonpanon validointitiheyden lisäämistä. Järjestelmän ylläpitäjiin kohdistuva vaikutus kasvaa INFOCON 3: een verrattuna, ja se edellyttää lisää ennakkosuunnittelua, henkilöstön koulutusta sekä järjestelmän uudelleenrakentamiseen liittyvien apuohjelmien käyttämistä ja esiasennusta. ”Hot spare” – laitteiden käyttö voi merkittävästi vähentää seisokkeja sallimalla uudelleenrakentamisen samanaikaisesti. Vaikutus loppukäyttäjiin voi olla merkittävä lyhyillä ajanjaksoilla, mitä voidaan lieventää koulutuksen ja aikataulujen avulla.
- INFOCON 1 on korkein valmiustila ja käsittelee tunkeutumistekniikoita, joita ei voida tunnistaa tai kukistaa alemmilla valmiustasoilla (esim.ytimen root kit). Sitä tulisi käyttää vain niissä rajoitetuissa tapauksissa, joissa INFOCON 2-toimenpiteet osoittavat toistuvasti poikkeavaa toimintaa, jota ei voida selittää muutoin kuin näiden tunkeutumistekniikoiden avulla. Kunnes toivottavampia tunnistusmenetelmiä on käytettävissä, tehokkain tapa varmistaa, ettei järjestelmä ole vaarantunut tällä tavalla, on ladata käyttöjärjestelmäohjelmistoja keskeisillä infrastruktuuripalvelimilla (esim.toimialueen ohjaimet, Vaihtopalvelimet jne.).) tarkasta lähtötilanteesta.
uudelleenrakentaminen tulisi laajentaa muille palvelimille resurssien salliessa ja tunkeutumisen havaitsemisen tasoilla. Kun lähtötilanteen vertailut eivät enää osoita poikkeavia vaikutuksia, INFOCON 1-hoito tulee lopettaa. Järjestelmän ylläpitäjiin kohdistuva vaikutus on merkittävä, ja se edellyttää lisäsuunnittelua, henkilöstön koulutusta sekä järjestelmän uudelleenrakentamisen apuohjelmien käyttämistä ja esiasennusta. ”Hot spare” – laitteiden käyttö voi merkittävästi vähentää seisokkeja sallimalla uudelleenrakentamisen samanaikaisesti. Vaikutus loppukäyttäjiin voi olla merkittävä lyhyillä ajanjaksoilla, mitä voidaan lieventää koulutuksen ja aikataulujen avulla.3