Information Operations Condition (INFOCON) | Public Intelligence

przegląd

Information Operations Condition (INFOCON) to system poziomu zagrożenia w Stanach Zjednoczonych podobny do systemu DEFCON lub FPCON. INFOCON jest systemem obronnym opartym przede wszystkim na stanie systemów informatycznych i jest metodą stosowaną przez wojsko do obrony przed atakiem sieci komputerowej.

struktura systemu

o poziomie INFOCON decyduje ostatecznie dowódca amerykańskiego dowództwa strategicznego (CDRUSSTRATCOM). System obejmuje wszystkie systemy informatyczne Departamentu Obrony w sieci routingu Niezaklasyfikowanego protokołu internetowego (NIPRNET) i tajnej sieci routerów protokołu internetowego (SIPRNET).

dyrektywa „tylko do użytku oficjalnego” z 2006 roku opisuje system INFOCON jako:

. . . w tym obowiązki, procesy i procedury mają zastosowanie do Nieklasyfikowanych sieci routingu protokołu internetowego (NIPRNET) i tajnych sieci routerów protokołu internetowego (SIPRNET) będących w gestii Połączonych Szefów Sztabów i wszystkich działań DoD w ramach unified commands, służb wojskowych i agencji DoD, a także coi nie-DoD NetOps (NetOps CONOPS, Joint Concept of Operations for Global Information Grid NetOps). Jest on wykonywany przez dowódców połączonych i służbowych, dowódców baz /pos/obozów/stacji/statków i dyrektorów agencji posiadających uprawnienia nad systemami i sieciami informatycznymi (operacyjnymi i / lub wspierającymi) (zwanych dalej łącznie „dowódcami”).1

ta sama dyrektywa opisuje system jako ” ramy, w ramach których dowódca USSTRATCOM (CDRUSSTRATCOM), dowódcy regionalni, szefowie służb, dowódcy baz/posterunków/obozów/stacji/statków lub dyrektorzy agencji mogą zwiększyć mierzalną gotowość swoich sieci do dopasowania priorytetów operacyjnych.”2

INFOCON Threat Levels

istnieje pięć poziomów INFOCON, które ostatnio zmieniły się bardziej skorelować z poziomem DEFCON. Są to:

  • INFOCON 5 charakteryzuje się rutynowym NetOps, normalną gotowością systemów informatycznych i sieci, które mogą być utrzymywane w nieskończoność. Sieci informacyjne są w pełni operacyjne w znanym stanie bazowym z wdrożonymi i egzekwowanymi standardowymi zasadami zapewniania informacji. Podczas INFOCON 5 administratorzy systemu i sieci stworzą i utrzymają migawkową linię bazową każdego serwera i stacji roboczej w znanej dobrej konfiguracji i opracują procesy aktualizujące tę linię bazową pod kątem autoryzowanych zmian.
  • INFOCON 4 zwiększa gotowość NetOps, w przygotowaniu do operacji lub ćwiczeń, z ograniczonym wpływem na użytkownika końcowego. Administratorzy systemu i sieci ustalą rytm operacyjny, aby zweryfikować znany dobry obraz sieci informacyjnej w stosunku do obecnego stanu i zidentyfikować nieautoryzowane zmiany. Dodatkowo profile użytkowników i konta są sprawdzane i sprawdzane pod kątem kont nieaktywnych. Zwiększając częstotliwość tego procesu walidacji, stan sieci informacyjnej jest potwierdzany jako niezmieniony (tj. dobry) lub określany jako zagrożony. Ten poziom gotowości może, ale nie musi, charakteryzować się zwiększonym nadzorem wywiadowczym i wzmocnionym bezpieczeństwem (blokowanie portów, zwiększone skanowanie) systemów i sieci informatycznych. Wpływ na użytkowników końcowych jest znikomy.
  • INFOCON 3 dodatkowo zwiększa gotowość NetOps poprzez zwiększenie częstotliwości walidacji sieci informacyjnej i jej odpowiedniej konfiguracji. Wpływ na użytkowników końcowych jest niewielki.
  • INFOCON 2 jest warunkiem gotowości wymagającym dalszego zwiększenia częstotliwości walidacji sieci informacyjnej i jej odpowiedniej konfiguracji. Wpływ na administratorów systemów wzrośnie w porównaniu z INFOCON 3 i będzie wymagał zwiększenia wstępnego planowania, szkolenia personelu oraz wykonywania i wstępnego pozycjonowania narzędzi do odbudowy systemu. Użycie sprzętu „hot spare” może znacznie skrócić czas przestojów, umożliwiając równoległą przebudowę. Wpływ na użytkowników końcowych może być znaczny przez krótki czas, co można złagodzić poprzez szkolenia i planowanie.
  • INFOCON 1 jest najwyższym stanem gotowości i odnosi się do technik włamań, których nie można zidentyfikować ani pokonać przy niższych poziomach gotowości (np. Powinien być realizowany tylko w tych ograniczonych przypadkach, w których środki INFOCON 2 wielokrotnie wskazują na anomalne działania, których nie można wyjaśnić, z wyjątkiem obecności tych technik włamania. Do czasu udostępnienia bardziej pożądanych metod wykrywania, najskuteczniejszą metodą zapewnienia, że system nie został w ten sposób naruszony, jest przeładowanie oprogramowania systemu operacyjnego na kluczowych serwerach infrastruktury (np. kontrolerach domen, serwerach Exchange itp.) z dokładnego punktu odniesienia.
    przebudowa powinna zostać rozszerzona na inne serwery, ponieważ pozwalają na to zasoby i poziomy wykrywania włamań wskazują. Gdy porównania bazowe nie wskazują już anomalnych działań, INFOCON 1 powinien zostać zakończony. Wpływ na administratorów systemów będzie znaczący i będzie wymagał zwiększenia wstępnego planowania, szkolenia personelu oraz wykonywania i wstępnego pozycjonowania narzędzi do odbudowy systemu. Użycie sprzętu „hot spare” może znacznie skrócić czas przestojów, umożliwiając równoległą przebudowę. Wpływ na użytkowników końcowych może być znaczny przez krótki czas, co można złagodzić poprzez szkolenia i planowanie.3

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.