Information Operations Condition (INFOCON) / Public Intelligence

översikt

Information Operations Condition (INFOCON) är ett hotnivåsystem i USA som liknar DEFCON eller FPCON. INFOCON är ett försvarssystem baserat främst på informationssystemens status och är en metod som används av militären för att försvara sig mot en datornätverksattack.

systemets struktur

INFOCON-nivån bestäms slutligen av befälhavaren för U. S. Strategic Command (CDRUSSTRATCOM). Systemet sträcker sig över alla Försvarsdepartementets informationssystem på det icke-klassificerade Internet Protocol Routing Network (NIPRNET) och Secret Internet Protocol Router Network (SIPRNET).

ett ”endast för officiellt bruk” – direktiv från 2006 beskriver INFOCON-systemet som:

. . . inklusive ansvar, processer och förfaranden gäller icke-klassificerade Internet Protocol Routing Network (NIPRNET) och Secret Internet Protocol Router Network (SIPRNET) system inom ramen för Joint Chiefs of Staff och alla DoD-aktiviteter inom unified commands, military services och DoD-byråer, liksom icke-dod NetOps COI (NetOps CONOPS, Joint Concept of Operations for Global Information Grid NetOps). Det utförs av unified and service commanders, bas/pos/läger/station/fartygsbefälhavare och byrådirektörer med auktoritet över informationssystem och nätverk (operativ och / eller support) (hädanefter kollektivt kallad ”commanders”).1

samma direktiv beskriver systemet som ” ett ramverk inom vilket befälhavaren USSTRATCOM (CDRUSSTRATCOM), regionala befälhavare, servicechefer, bas/post/läger/station/fartygsbefälhavare eller byrådirektörer kan öka den mätbara beredskapen i sina nätverk för att matcha operativa prioriteringar.”2

INFOCON-hotnivåer

det finns fem nivåer av INFOCON, som nyligen ändrats för att närmare korrelera med DEFCON-nivåer. De är:

  • INFOCON 5 kännetecknas av rutinmässiga NetOps, normal beredskap för informationssystem och nätverk som kan upprätthållas på obestämd tid. Informationsnätverk är fullt operativa i ett känt baslinjeförhållande med standardpolicy för informationssäkerhet på plats och verkställs. Under INFOCON 5 kommer system-och nätverksadministratörer att skapa och underhålla en ögonblicksbild baslinje för varje server och arbetsstation i en känd bra konfiguration och utveckla processer för att uppdatera den baslinjen för auktoriserade ändringar.
  • INFOCON 4 ökar netops beredskap, som förberedelse för operationer eller övningar, med en begränsad inverkan på slutanvändaren. System-och nätverksadministratörer kommer att upprätta en operativ rytm för att validera den kända goda bilden av ett informationsnätverk mot det aktuella tillståndet och identifiera obehöriga ändringar. Dessutom granskas användarprofiler och konton och kontroller utförs för vilande konton. Genom att öka frekvensen av denna valideringsprocess bekräftas tillståndet för ett informationsnätverk som oförändrat (dvs. bra) eller bestämt sig för att äventyras. Denna beredskapsnivå kan eller kanske inte kännetecknas av en ökad intelligensklocka och förstärkt säkerhet (portblockering, ökade skanningar) åtgärder av informationssystem och nätverk. Påverkan på slutanvändarna är försumbar.
  • INFOCON 3 ökar ytterligare netops-beredskapen genom att öka frekvensen för validering av informationsnätverket och dess motsvarande konfiguration. Påverkan på slutanvändarna är liten.
  • INFOCON 2 är ett beredskapstillstånd som kräver en ytterligare ökning av valideringsfrekvensen för informationsnätverket och dess motsvarande konfiguration. Påverkan på systemadministratörer kommer att öka jämfört med INFOCON 3 och kommer att kräva en ökning av förplanering, personalutbildning och övning och förpositionering av systemåterbyggnadsverktyg. Användning av” hot spare ” – utrustning kan avsevärt minska stilleståndstiden genom att tillåta ombyggnad parallellt. Effekten för slutanvändarna kan vara betydande under korta perioder, vilket kan mildras genom utbildning och schemaläggning.
  • INFOCON 1 är det högsta beredskapsförhållandet och behandlar intrångstekniker som inte kan identifieras eller besegras vid lägre beredskapsnivåer (t.ex. kernel root kit). Det bör endast genomföras i de begränsade fall där INFOCON 2-åtgärder upprepade gånger indikerar avvikande aktiviteter som inte kan förklaras förutom genom förekomsten av dessa intrångstekniker. Fram till dess att mer önskvärda detekteringsmetoder finns tillgängliga är den mest effektiva metoden för att säkerställa att systemet inte har äventyrats på detta sätt att ladda om operativsystemprogramvaran på viktiga infrastrukturservrar (t.ex. domänkontrollanter, Exchange-servrar etc.) från en exakt baslinje.
    ombyggnad bör utökas till andra servrar som resurser tillåter och intrångsdetekteringsnivåer indikerar. När jämförelser vid baslinjen inte längre indikerar avvikande aktiviteter bör INFOCON 1 avslutas. Påverkan på systemadministratörer kommer att vara betydande och kommer att kräva en ökning av förplanering, personalutbildning och övning och förpositionering av systemåterbyggnadsverktyg. Användning av” hot spare ” – utrustning kan avsevärt minska stilleståndstiden genom att tillåta ombyggnad parallellt. Effekten för slutanvändarna kan vara betydande under korta perioder, vilket kan mildras genom utbildning och schemaläggning.3

Lämna ett svar

Din e-postadress kommer inte publiceras.