《美国国防部网络事故应急处理程序》由会员分享,可在线阅读,更多相关《美国国防部网络事故应急处理程序(7页珍藏版)》请在金锄头文库上搜索。
1、美国国防部网络事故应急处理程序 正文 我来说两句(0 人参与)Mazda6价格抄底直降 4万!扫描到手机2014年 03月 07日 19:33来源:搜狐军事 作者:知远 手机客户端 保存到博客1、简介a、目的(1)国防部维持一个全面的网络事件应急处理程序。(2)本程序确保获得一种综合能力,不断提高国防部能够迅速识别和应对对国防部的信息网络和信息系统(ISs)产生不利影响的网络事件。所有国防部组织机构都要以一致的、可重复的、质量驱动的、可评价的方式进行。(3)该附录提供了建立、操作和维护一个灵活的美国国防部网络的事件处理能力对国防部内的事件和事故做出例行响应的要求和方法。危机中的或在现行敌对行动
2、的情况下对网络事件的处理指南将根据需要由美国网络司令官发布。b、背景(1)美国国防部信息网络,包括国防工业基础(DIB)网络,面临全方位的网络威胁,包括可以逃避市面上的安全工具的检测的高级的和持久的威胁,通用的安全最佳实践对其不起作用。(2)在不断变化的环境中,负责建设、运营、保护、维护和确保这些信息网络的连续性的人维持统一的和有弹性的能力,使这些威胁对任务操作的影响降到最低。这一点是至关重要的。这种能力必须能够适应不断变化的威胁环境。(3)来自敌人的针对美国国防部信息系统的威胁,导致国防部保持当前和未来作战能力的能力下降。(4)这种威胁也严重阻碍了以网络为中心的、依靠各级人员(从将军到地面部
3、队)的作战行动保持高水平的可信性的能力。(5)虽然这种威胁不能被完全消除,也可能会随着时间而变化,但是至关重要的是保持一个积极主动的、进步的、协调的方法来检测和响应可以对国防部的信息网络和信息系统产生不利影响的网络事件和事故。(6)按照联邦信息安全管理法案(FISMA)(参考 a)和附录三,美国公共管理和预算办公室(OMB)通告 No. A-130联邦信息资源的管理 (参考b),联邦机构都必须有网络事故处理机制。(7)计算机网络防御服务提供商(CNDSPs):(a)国防部要求第 II层次的网络防御服务提供商提供三种服务:(1)保护;(2)监测、分析和检测,以及(3)根据国防部指令(DODI)O
4、-8530.2支持计算机网络防御(参考 C)采取响应行动。(b)这些服务必须得到认证、认可,并为他们的用户提供高质量的服务。(8)美国国防部制定网络事故处理程序,为联合行动与作战行动提供网络事故应急处理和报告具体要求的相关指导。c、范围(1)国防部具有全球分布,由各种军事司令部、机构、组织和功能构成,必须对技术威胁、攻击和事故加以协调、管理和响应如果它们没有得到适当的控制,以防护、检测和管理其影响,就会对国防部的信息网络和信息系统造成不利影响。因此,制定适当的指导,分发给负责有效和高效地管理这些信息网络、信息系统、DIB 的联合行动与作战行动,就非常重要。(2)网络维护者和使用者有责任确保计算
5、和通信系统的安全性,这对于在网络领域内和整个国防部成功执行军事行动和维护信息的完整性很重要。(3)该附件提供了一个总体指导,促进透彻地了解国防部的全球、区域和地方组织如何协调努力,积极地影响响应行动。(4)有效的响应行动需要使用能够促进战术和战略分析功能的框架实施一致和完整的端到端报告。这些功能可以帮助表征威胁环境并支持开发和实施有效的对策,以保护和捍卫美国国防部信息网络和信息。维护国防部信息网络和信息的可用性、保密性和完整性,以支持国防部的业务,这对国家安全是至关重要的。(5)该指南将涵盖与计算机网络防御生命周期中的保护、监测、分析、检测、响应阶段相关联的高级程序。它将描述美国国防部运行一个
6、全面的网络事故紧急处理程序所需的政策和流程。针对联合行动与作战行动更具体的个性化指南将通过作战命令(OPORDs)、警告命令(WARNORDs)、日常命令(FRAGOS)、任务命令(TASKORDs),或类似的指挥机关命令与指令(参考ff)提供。此文件将被国防部实体和个人用于以一种统一的方式处理网络事故,使国防部各个组织机构之间能够进行有效合作,提高国防部保护和捍卫国防部信息网络和信息的能力。2、角色和职责a、联合参谋部和 CC/ S/A/FAs将:(1)遵循 CJCSI 6510.01,信息保障(IA)和支持计算机网络防御(参考 d)和 DoDI O-8530.2(参考 c),分担国防部网络
7、事故应急处理程序的责任。(2)根据本手册记录和报告事件和事故。(3)确保 II级网络防御服务提供商得到指定,并在国防信息系统局登记,为联合行动和作战行动的信息网络和信息系统提供计算机网络防御服务。(4)与相应的组织(例如,I、II、III 级网络防御服务提供商;执法/反间谍机构(law enforcement/counterintelligence(LE/CI);和情报界(Intelligence Community (IC))进行水平和垂直式协调处理网络事件。(5)遵守命令和指示(包括但不限于作战命令、警告命令、日常命令、任务命令和其他获得批准的命令)。(6)包括符合这一程序的所有部分并规定
8、其在国防部信息技术(IT)/服务合同内的实施的要求。联合行动与作战行动、承包商和供应商必须遵守本手册中包含的程序。(7)通过 II级网络防御服务提供商与美国网络司令部协调,在国防部外采取行动对网络事件之前,符合国家安全总统指令 38和三边协议备忘录。(8 )配合国防情报局(DIA),国家安全局/中央安全服务威胁运营中心(NTOC)和适当的国防部代理中心网络事件,涉及部门以外的国防一致协调或采取行动前情报系统与附件 F。b、美国战略司令部将:(1)遵照统一指挥计划(参考 e)指导国防部信息网络的操作和防御。(2)按照指示执行网空作战。(3 )规定美国网络司令部的责任:(a)通报网络事件或可公布的
9、事件响应命令和通过美国网络司令部向联合行动和作战行动发布警报。(b)与情报界事件响应中心(IC-IRC)协调,在获得情报界首席信息官(CIO)的授权下,就情报界网络的治理、安全操作和防护的有关事宜采取行动。(c)与国土安全部和其他联邦机构协调处理涉及国防部的相关网络空间事故。在适当情况下,通知和/或配合美国计算机应急响应小组(US-CERT)处理网络空间事故。(d)如果网络事件涉及国土安全部和其他联邦机构为民间机构提供国防支援,与美国北方司令部、国民警卫局、美国太平洋司令部协调。(e)为国防部层次的传感器(第 I类)维护和传播国防部入侵检测系统(IDS)签名集,并提供必要的威胁信息,以协助第
10、II类和第 III类网络防御服务提供商为他们的传感器开发入侵检测系统签名集。(f)通过战略司令部提供报告(摘要、重大网络事故、趋势、企业范围内的问题)给国防部长办公室(OSD)和联合参谋人员,如果有必要的话也包括联合行动与作战行动。3、计算机网络防御概述a、网络事故应急处理程序。国防部的网络事故应急处理程序是为国防部制定的整体计算机网络防御战略的一个组成部分。根据 DODI O-8530.2(参考 C),网络事故应急处理程序与计算机网络防御的三种服务有关:(1)保护。(2)监测、分析和侦测。(3)响应。b、网络事故应急处理。为了保护国家安全的利益,必须协调国防部各机构和国防部之外的资源以应对网
11、络事故,如执法/反情报、情报界、国防工业基础的合作伙伴、以及关键基础设施和关键基础设施部门的信息共享和分析中心(ISACS)。在适用的情况下,本文件试图规定这些服务之间的关系,促进负责指导和协调网络事故响应工作的每个人都对这个过程具有相同的理解。C、计算机网络防御的框架(1)计算机网络防御指导国防部内部采取行动,以保护、监测、分析、检测和响应国防部信息网络和信息系统内未经授权的活动。计算机网络防御保护活动使用信息保障原则和安全控制措施,包括采取的修改安全配置或状态以响应计算机网络防御的警告或威胁信息的有计划的行动。(2)国防部的组织机构分为三个层次进行计算机网络防御。(a)第 I层次(全球性的
12、)。该层次机构为联合行动和作战行动提供了美国国防部范围内的计算机网络防御业务指令或支持。第一层次实体包括作为战略司令部的一个下级联合司令部的美国网络司令部,也包括相关的支持机构,如国防刑事调查组织、中央保密服务威胁作战中心(NTOC)以及适当的国防部执法/反情报机构。(b)第 II层次(区域/战区的)。第二层次为国防部组成机构提供操作指令或支持,或者对第一层次的指令做出响应。第二层次包括组成机构的领导指定的联合行动和作战行动 网络防御服务提供商,负责协调组成机构范围内的计算机网络防御。(c)第 III层次(本地)。第三层次提供本地的操作指令和支持和对来自指定的第二层实体的指令做出响应。第三层次
13、包括对来自联合行动和作战行动的第二层次网络防御服务提供商(例如,管理和控制信息网络、信息系统和服务)的指令做出响应的基地、驻地部队、军营、兵站和所有实体机构。4 计算机网络防御服务。根据 DoDI O-8530.2(参考 c)中的定义,有三种主要的计算机网络防御服务:(1)保护;(2)监测、分析和侦测;以及(3)响应。a、这些服务定义的行动,可以防止或减轻可能会扰乱、拒绝、退化、破坏、利用、允许未经授权地访问、或协助窃取美国国防部信息网络、信息系统或其内容的网络攻击。第四个领域能力维持,反映了联合行动和作战行动或其指定的网络防御服务提供商必须执行以确保服务提供的行动。联合行动与作战行动必须通过
14、与网络防御服务提供商的业务关系获得这些计算机网络防御服务。表 A-1(计算机网络防御框架)列举和说明了计算机网络防御服务。b、计算机网络防御保护服务(1)计算机网络防御保护服务包括管理国防部的网络环境(CYBERCON)系统,并建立或加强信息网络或信息系统的的配置或保障状态,以对计算机网络防御警告或威胁做出响应。(2)保护服务往往是积极主动的(例如,红队、用户保护和培训),可能会也可能不会由网络事件导致的。2c、计算机网络防御监控、分析和检测服务(1)计算机网络防御监控、分析和检测服务提供计算机网络防御态势感知能力、攻击检测和警告(ASW)、预警和警报(I&W)。(2)国防部内的多个团体(例如
15、网络作战行动、计算机网络防御服务、情报、反情报和执法机构)促进态势感知能力。(3)攻击检测和警告数据使国防部能够感知国防部信息网络内的变化。攻击检测和警告包括对大范围的未得到授权的有目的的活动包括入侵或攻击的检测、对比、识别和表征;并且把这些活动通知给军事指挥官和决策者,使他们能够制定相应的响应行动。通过把入侵、滥用和异常检测系统作为一种有管理网络,攻击检测和警告得以启用,可以支持数据融合和分析、诊断、长期趋势和模式分析、起到预警沟通渠道和程序的作用。(4)攻击检测和警告数据使国防部能够感知敌人活动的变化。攻击检测和警告包括如下情报活动检测和报告有关外国发展(foreign developme
16、nts)的时间敏感的情报信息,这些新的动向可能涉及威胁美国或盟国的军事、政治或经济利益或在国外的美国公民。情报界提供来自民族国家和跨国集团的外国威胁的攻击检测和警告。(5)执法机构调查犯罪活动和发布可能威胁国防部的国内或国外的个人和团体的威胁数据。反情报机构开展调查、收集、行动、功能服务以及分析,以促进与收集到的信息有关的威胁数据的分发;以及进行网络活动,以阻止代表外国政府或者其他元素外国情报和安全服务机构、外国组织、外国个人或国际恐怖活动的利益而进行的间谍活动、其他国家的情报活动、破坏、或暗杀。d、计算机网络防御响应服务(1)计算机网络防御响应服务,包括对任何事件或网络事故所采取的报告、分析、协调、响应行动,以达成减轻任何不良的操作或技术影响的目的。(2)网络事故报告包括一个明确的框架,指导及时报告任何网络事件或事故。该报告提供了一个对网络事故的准确的、有意义的、完整的理解从最初的检测、分析到补救行动。此信息融入用户自定义操作界面(User Defined O
