Oversikt
Information Operations Condition (INFOCON) er et trusselnivå system i Usa som ligner PÅ DEFCON ELLER FPCON. INFOCON er et forsvarssystem basert primært på status for informasjonssystemer og er en metode som brukes av militæret for å forsvare seg mot et datanettverk angrep.
Strukturen I Systemet
INFOCON nivå er til slutt avgjøres AV Sjefen FOR US Strategic Command (CDRUSSTRATCOM). Systemet strekker seg over Alle Forsvarsdepartementets Informasjonssystemer på DET ikke-klassifiserte Internet Protocol Routing Network (NIPRNET) og Secret Internet Protocol Router Network (SIPRNET).
et «Kun For Offentlig Bruk» – direktiv fra 2006 beskriver INFOCON-systemet som:
. . . inkludert ansvar, prosesser og prosedyrer, gjelder Ikke-klassifisert Internet Protocol Routing Network (NIPRNET) og Secret Internet Protocol Router Network (SIPRNET) systemer under ansvarsområdet Til Joint Chiefs Of Staff og alle DoD aktiviteter innenfor unified commands, military services, Og DoD Byråer, samt ikke-DoD NetOps COI (NetOps CONOPS, Joint Concept Of Operations For Global Information Grid NetOps). Den utføres av unified and service commanders, base / pos / camp / station / vessel commanders og agency directors med myndighet over informasjonssystemer og nettverk (operativ og/eller støtte) (heretter kollektivt referert til som «commanders»).1
det samme direktivet beskriver systemet som » et rammeverk Der Commander USSTRATCOM( CDRUSSTRATCOM), regionale sjefer, service sjefer, base/post/camp/stasjon/fartøy sjefer, eller byrå direktører kan øke målbar beredskap av sine nettverk for å matche operative prioriteringer.»2
INFOCON Threat Levels
det er fem nivåer AV INFOCON, som nylig endret til nærmere korrelere TIL DEFCON nivåer. De er:
- INFOCON 5 er preget av rutinemessige NetOps, normal beredskap av informasjonssystemer og nettverk som kan opprettholdes på ubestemt tid. Informasjonsnettverk er fullt operative i en kjent baseline tilstand med standard informasjonssikringspolicyer på plass og håndhevet. UNDER INFOCON 5 vil system-og nettverksadministratorer opprette og vedlikeholde en snapshot-baseline for hver server og arbeidsstasjon i en kjent god konfigurasjon og utvikle prosesser for å oppdatere den grunnlinjen for autoriserte endringer.
- INFOCON 4 øker NetOps beredskap, som forberedelse til operasjoner eller øvelser, med begrenset innvirkning på sluttbrukeren. System-og nettverksadministratorer vil etablere en operasjonell rytme for å validere det kjente gode bildet av et informasjonsnettverk mot gjeldende tilstand og identifisere uautoriserte endringer. I tillegg blir brukerprofiler og kontoer gjennomgått og kontroller utført for sovende kontoer. Ved å øke frekvensen av denne valideringsprosessen, er tilstanden til et informasjonsnettverk bekreftet som uendret (dvs.god) eller fast bestemt på å bli kompromittert. Dette nivået av beredskap kan eller ikke være preget av økt etterretningsvakt og styrket sikkerhet (portblokkering, økte skanninger) tiltak av informasjonssystemer og nettverk. Virkningen til sluttbrukere er ubetydelig.
- INFOCON 3 øker NetOps beredskap ytterligere ved å øke hyppigheten av validering av informasjonsnettverket og tilhørende konfigurasjon. Konsekvensene for sluttbrukerne er små.
- INFOCON 2 ER en beredskapstilstand som krever en ytterligere økning i hyppigheten av validering av informasjonsnettverket og tilhørende konfigurasjon. Virkningen på systemadministratorer vil øke i forhold TIL INFOCON 3 og vil kreve en økning i preplanning, personalopplæring, og trening og pre-posisjonering av system ombygging verktøy. Bruk av» hot spare » utstyr kan vesentlig redusere nedetid ved å tillate ombygging parallelt. Innvirkning på sluttbrukere kan være betydelig i korte perioder, noe som kan reduseres gjennom opplæring og planlegging.
- INFOCON 1 er den høyeste beredskapstilstanden og adresserer inntrengingsteknikker som ikke kan identifiseres eller beseires ved lavere beredskapsnivåer (f.eks. kernel root kit). Det bør bare implementeres i de begrensede tilfellene DER INFOCON 2-tiltak gjentatte ganger indikerer uregelmessige aktiviteter som ikke kan forklares med unntak av tilstedeværelsen av disse inntrengingsteknikkene. Inntil mer ønskelige deteksjonsmetoder er tilgjengelige, er den mest effektive metoden for å sikre at systemet ikke har blitt kompromittert på denne måten, å laste operativsystemprogramvaren på viktige infrastrukturservere(f. eks. domenekontrollere, Utvekslingsservere, etc.) fra en nøyaktig grunnlinje.
Gjenoppbygging bør utvides til andre servere som ressurser tillater og inntrengingsdeteksjonsnivåer indikerer. NÅR sammenligninger ved baseline ikke lenger indikerer avvikende aktiviteter, bør INFOCON 1 avsluttes. Virkningen på systemadministratorer vil være betydelig og vil kreve en økning i preplanning, personalopplæring og trening og forhåndsposisjonering av systemoppbyggingsverktøy. Bruk av» hot spare » utstyr kan vesentlig redusere nedetid ved å tillate ombygging parallelt. Innvirkning på sluttbrukere kan være betydelig i korte perioder, noe som kan reduseres gjennom opplæring og planlegging.3