Prezentare generală
informații operațiuni condiție (INFOCON) este un sistem de nivel de amenințare în Statele Unite similare cu cele ale DEFCON sau FPCON. INFOCON este un sistem de apărare bazat în primul rând pe starea sistemelor informatice și este o metodă utilizată de militari pentru a se apăra împotriva unui atac de rețea de calculatoare.
structura sistemului
nivelul INFOCON este decis în cele din urmă de comandantul Comandamentului Strategic al SUA (CDRUSSTRATCOM). Sistemul se extinde în toate sistemele de informații ale Departamentului Apărării din Rețeaua de rutare a protocolului Internet neclasificat (NIPRNET) și rețeaua secretă de rutare a protocolului Internet (SIPRNet).
o directivă „numai pentru uz oficial” din 2006 descrie sistemul INFOCON ca:
. . . inclusiv responsabilitățile, procesele și procedurile, se aplică rețelelor de rutare a Protocolului de Internet neclasificate (NIPRNET) și sistemelor secrete de rețea de rutare a Protocolului de Internet (SIPRNet) aflate în sfera de competență a șefilor de Stat Major și a tuturor activităților DoD din cadrul comenzilor unificate, serviciilor militare și agențiilor DoD, precum și NetOps coi non-DoD (NetOps CONOPS, conceptul comun de operațiuni pentru rețeaua globală de informații Netops). Este executat de comandanți unificați și de servicii, comandanți de bază/pos /tabără/stație/navă și directori de agenții cu autoritate asupra sistemelor și rețelelor informatice (operaționale și/sau de sprijin) (denumite în continuare colectiv „comandanți”).1
aceeași directivă descrie sistemul ca ” un cadru în care comandantul USSTRATCOM (CDRUSSTRATCOM), comandanții regionali, șefii de servicii, comandanții de bază/post/tabără/stație/navă sau directorii de agenții pot crește disponibilitatea măsurabilă a rețelelor lor pentru a se potrivi priorităților operaționale.”2
INFOCON niveluri de amenințare
există cinci niveluri de INFOCON, care recent s-au schimbat pentru a se corela mai strâns cu nivelurile DEFCON. Acestea sunt:
- INFOCON 5 se caracterizează prin NetOps de rutină, pregătirea normală a sistemelor informatice și a rețelelor care pot fi susținute la nesfârșit. Rețelele de informații sunt pe deplin operaționale într-o stare de referință cunoscută, cu politici standard de asigurare a informațiilor în vigoare și puse în aplicare. În timpul INFOCON 5, administratorii de sistem și de rețea vor crea și menține o linie de bază instantanee a fiecărui server și stație de lucru într-o configurație bună cunoscută și vor dezvolta procese pentru actualizarea acelei linii de bază pentru modificările autorizate.
- INFOCON 4 crește disponibilitatea NetOps, în pregătirea pentru operații sau exerciții, cu un impact limitat asupra utilizatorului final. Administratorii de sistem și de rețea vor stabili un ritm operațional pentru a valida imaginea bună cunoscută a unei rețele de informații în raport cu starea actuală și pentru a identifica modificările neautorizate. În plus, profilurile de utilizator și conturile sunt revizuite și verificările efectuate pentru conturile latente. Prin creșterea frecvenței acestui proces de validare, starea unei rețele de informații este confirmată ca nealterată (adică bună) sau determinată a fi compromisă. Acest nivel de pregătire poate fi sau nu caracterizat printr-un ceas de inteligență sporit și măsuri de securitate consolidate (blocarea porturilor, scanări sporite) ale sistemelor și rețelelor informatice. Impactul asupra utilizatorilor finali este neglijabil.
- INFOCON 3 crește în continuare disponibilitatea NetOps prin creșterea frecvenței de validare a rețelei de informații și a configurației corespunzătoare a acesteia. Impactul asupra utilizatorilor finali este minor.
- INFOCON 2 este o condiție de pregătire care necesită o creștere suplimentară a frecvenței de validare a rețelei de informații și a configurației corespunzătoare a acesteia. Impactul asupra administratorilor de sistem va crește în comparație cu INFOCON 3 și va necesita o creștere a preplanificării, instruirii personalului și exercitarea și pre-poziționarea utilităților de reconstrucție a sistemului. Utilizarea echipamentelor „de rezervă la cald” poate reduce substanțial timpul de nefuncționare, permițând reconstrucția în paralel. Impactul asupra utilizatorilor finali ar putea fi semnificativ pentru perioade scurte, care pot fi atenuate prin formare și programare.
- INFOCON 1 este cea mai mare condiție de pregătire și abordează tehnicile de intruziune care nu pot fi identificate sau înfrânte la niveluri de pregătire mai mici (de exemplu, kernel root kit). Acesta ar trebui pus în aplicare numai în acele cazuri limitate în care măsurile INFOCON 2 indică în mod repetat activități anormale care nu pot fi explicate decât prin prezența acestor tehnici de intruziune. Până în momentul în care sunt disponibile metode de detectare mai dorite, cea mai eficientă metodă pentru a vă asigura că sistemul nu a fost compromis în acest mod este reîncărcarea software-ului sistemului de operare pe serverele de infrastructură cheie (de exemplu, controlere de domeniu, servere Exchange etc.) dintr-o linie de bază exactă.
reconstruirea ar trebui extinsă la alte servere, după cum indică resursele și nivelurile de detectare a intruziunilor. Odată ce comparațiile inițiale nu mai indică activități anormale, INFOCON 1 ar trebui întrerupt. Impactul asupra administratorilor de sistem va fi semnificativ și va necesita o creștere a preplanificării, instruirii personalului și exercitarea și pre-poziționarea utilităților de reconstrucție a sistemului. Utilizarea echipamentelor „de rezervă la cald” poate reduce substanțial timpul de nefuncționare, permițând reconstrucția în paralel. Impactul asupra utilizatorilor finali ar putea fi semnificativ pentru perioade scurte, care pot fi atenuate prin formare și programare.3