搜狐军事-搜狐网站> 军情站消息
国内 | 国际 | 社会 | 军事 | 公益

美国空军计算机网络作战指令公开 说明层次结构

来源:搜狐军事 作者:知远/铁木

  导读:美国空军指令AFI 33-115第1卷《计算机网络作战》(NETOPS)为全球信息栅格空军子网(也可称为全球信息栅格——空军配置部分,AF-GIG)提供了全局性的政策、方向和架构以及管理日益复杂的计算机网络环境所需的必要程序。全书详细说明了美国空军全球信息栅格空军子网的作战层次化结构、各机构的作用与责任、相互之间的关系、在作战中如何发挥作用以及相关的技术规范与管理工具等。文章编译如下:

  序言

  美国空军指令AFI 33-115第1卷《计算机网络作战》(NETOPS)为全球信息栅格空军子网(也可称为全球信息栅格——空军配置部分,AF-GIG)提供了全局性的政策、方向和架构以及管理日益复杂的计算机网络环境所需的必要程序。全书详细说明了美国空军全球信息栅格空军子网的作战层次化结构、各机构的作用与责任、相互之间的关系、在作战中如何发挥作用以及相关的技术规范与管理工具等。今天的全球信息栅格已经发展成为对于美军远征部队和联合作战来说重要的任务支援系统。随着美军对于信息化武器系统的依赖不断加深,美国的军队企业化计算机网络日益向作战化与专业化方向发展。

  本空军指令执行空军政策条令AFPD 33-1——《指挥、控制、通信与计算机系统》(Command, Control, Communications, and Computer [C4] Systems)[将变更为《信息资源管理》(Information Resources Management)]。

  除非另有说明,否则本指令适用于空军国民警卫队(ANG)和空军后备队(Air Force Reserve)。

  变更摘要

  除非明确说明,本次修订将使此指令适用于空军后备队和空军国民警卫队各级部队。本版指令包括办公室代号的改变以及第3章中所描述的负责计算机网络空间转型的助理部长(SAF/XCI)职能其义务和责任的统一。空军计算机网络作战与安全中心(AFNOSC)的作用和责任已经在第4章进行了更新。服务水平协议(SLA)已经移到了第13章,第9章增加了要用到的维护合同与保养计划;第10章提出了漏洞评估工具;第11章谈到了简单计算机网络管理协议(SNMP);第12章增加了域名服务管理的内容;第13章对服务水平协议提出了指导意见,第14章纳入了记录与表格管理。其他重要的改变包括删除了一些与可部署的计算机网络作战与安全中心(Deployable NOSC,NOSC-D)相关的参考文献,刊载了美国空军总部负责人事的副总参谋长(HQ USAF/DP)要求的电子邮件更新,更新了野外活动机构(FOA)和直接报告单位(DRU)的参考资料,阐明了项目管理办公室和系统项目办公室的限制性规定,确定了作战司令部(WFHQ)的作用与职责,建立起“edu.af”域名,明确了第三层命名体系并删除了所有空军企业化计算机网络(AFEN)的参考文献。此外,做出了少量行政事务方面的更正和参考资源的更新。

  第一章 总论

  1.1.背景。

  1.1.1.本空军指令为全球信息栅格空军子网提出了全局性的政策、发展方向与结构。在向作战化与专业计算机网络(OPTN)发展的过程中,这是一项重要内容。计算机网络作战的目标是在国防部和空军重要的通信与信息流程中,提供切实有效、安全可靠的信息网络服务。本指令为管理日益复杂的计算机网络环境并为用户提供高质量的服务提供了必要的引导。我们的计算机网络已经发展成为对于空军远征部队(AEF) 和联合作战来说重要的任务支援系统。我们对于信息化武器系统的依赖不断加深,这推动了对于统一空军计算机网络的需求。

  1.1.2.以往,全球信息栅格空军子网的管理是围绕基地计算机网络控制中心(NCC)开展的。今天,我们管理全球信息栅格空军子网的目标是要转变为一种层次化的环境,借由这种环境,全球信息栅格空军子网的管理是分布在3级管理层上的(见表2.1)。由于构成全球信息栅格空军子网的众多计算机网络与信息服务呈爆炸式增长,互操作能力不断增强。这种作战理念随时间的推移而发展。我们所需要的,是以一种新的方式管理并控制全球信息栅格空军子网,使之可以满足作战人员、政策决策者和支援人员不断提高的要求。

  1.2.空军计算机网络作战(AFNetOps)的范围。

  1.2.1.概述。

  1.2.1.1.全球信息栅格(GIG)。

  全球信息栅格是信息能力、相关程序和人员全球性互联、终端到终端的集合,它根据作战人员、政策决策者以及支援人员的需要,搜集、处理、储存、分发并管理信息。全球信息栅格包括国防部拥有和租用的全部通信与计算系统和服务、软件(包括应用程序)、数据、安全服务,以及其它实现信息优势必要的相关服务。它还包括《1996年克林杰——科恩法案》(Clinger-Cohen Act of 1996)第5142款定义的国家安全系统(National Security Systems,NSS)。全球信息栅格在战争与和平时期为国防部、国家安全以及相关情报机构的任务与职能(这些任务与职能涵盖战略、战役和战术三个层次,还包括这些机构负责的其他业务)提供支持。全球信息栅格通过所有操作点(基地、驻地、营地、台站、设施、移动平台和部署的地点)向人们提供能力。全球信息栅格为联军、盟友和非国防部的用户与系统提供了接口。它还包括满足以下一条或多条标准的任何系统、设备、软件或服务:向其他设备、软件和服务传送信息,从其他设备、软件和服务接收信息,在其他设备、软件和服务之间路由或交换信息;为从其他设备、软件和服务接收或传送的数据、信息和/或知识提供留存、组织、可视化、信息安全保障或处置;处理其他设备、软件或服务使用的数据或信息。(国防部指令DODD 8100.1,《全球信息栅格总体政策》[Global Information Grid Overarching Policy])。

  1.2.2.适用性。

  1.2.2.1.本指令适用于空军全体部队,包括空军总部、各功能性机构、空军一级司令部、直接报告单位、野外活动机构、空军后备队和空军国民警卫队。除在适当的段落明确指出以外,空军国民警卫队各级单位应遵循本指令的相关规定。在所有情况下,为现役任务提供保障的空军国民警卫队人员应遵守本指令。该指令同样适用于在空军计算机网络上运行、在空军系统上执行功能性系统管理人员(FSA)职责的单位和工作中心。

  1.2.2.2.全球信息栅格空军子网包括任何供给空军的系统、装备、软件,或驻留在非保密互联网协议路由器网络(NIPRNET)、保密互联网协议路由器网络(SIPRNET)或“星座网”(ConstellationNet)上的服务。

  1.2.2.2.1.向其他设备、软件和/或服务传送、接收信息,在其他设备、软件和/或服务之间路由或交换信息。

  1.2.2.2.2.处理其他设备、软件和/或服务使用的数据或信息。

  1.2.3.全球信息栅格空军子网动态而复杂的性质需要采用一种有组织的管理机制。信息技术基础架构库(ITIL)事实上已经成为全球行业与国防部的信息技术管理标准。本指令采用适应信息技术基础架构库的指导原则。有关信息技术基础架构库的更多信息请参阅http://www.ogc.gov.uk/index.asp。

  第二章 计算机网络作战层次化结构

  2.1.综述。

  2.1.1.国防信息基础设施控制概念(DIICC)与空军计算机网络作战的关系。

  2.1.1.1.空军计算机网络作战层次化结构坚持国防信息基础设施控制概念。国防信息基础设施控制概念由分布在全球、地区与地方3种级别的责任区分构成。空军计算机网络作战关系与职责分布于所有这3个层级。不过,在国防部层次化结构内,空军计算机网络作战与安全中心和美国空军一级司令部计算机网络作战与安全中心都被认为是地区性的组织,承认国防信息系统局(DISA)对其他军种服务和其他国防部机构负首要责任。空军计算机网络作战机构及其在空军内的责任范围如表2.1所示。

表2.1空军计算机网络作战层次化结构。
表2.1空军计算机网络作战层次化结构。


  2.1.1.2.表2.1提供了空军各级计算机网络作战层次化结构对应的主要支援活动的范例。图2.1描绘了全球、地区和地方水平空军计算机网络作战司令部之间的关系。相关的联合司令部、国防信息系统局、空军一级司令部和基地水平的要素也有所体现。这些关系是一种手段,在不削弱地方指挥员指导并管理信息技术与通信资产职权的情况下,确保全球系统具备互操作性。控制这些关系的流程与程序是为了互补并且减少冗余。

  2.1.1.3.2003年7月3日空军副参谋长(Vice Chief of Staff of the Air Force,VCSAF)签发通知——《空军计算机网络作战的指挥与控制》(Command and Control of Air Force Network Operations),指定空军计算机网络作战指挥员作为唯一的空军指挥员,负责实施计算机网络控制与防御措施,以一种连贯、有序的方式保护全球信息栅格空军子网,并对其足以使空军成功开展作战行动的优势加以保护。

  2.1.1.3.1.正如图2.2所示,空军计算机网络作战指挥员(AFNETOPS/CC)有权对整个全球信息栅格空军子网执行标准化与评估(Standardization/Evaluation,Stan/Eval)方案。空军计算机网络作战指挥员还被授权直接联系(DIRLAUTH)空军一级司令部作战与安全中心(MAJCOM SCs)和计算机网络作战与安全中心。空军第8军司令员(AF/CC)担任空军计算机网络作战指挥员和全球计算机网络作战联合特遣部队(JTF-GNO)空军部队指挥员(COMAFFOR),并负责确保空军部队执行由全球计算机网络作战联合特遣部队分派的任务与工作。为了开展计算机网络作战和计算机网络防御(NetD)活动,为联合目标提供支持,全球计算机网络作战联合特遣部队空军部队指挥员对直属单位行使作战控制(OPCON)权,受援指挥员有权对支援部队下达指示或部署空军任务。空军计算机网络作战指挥员可能会将指示权委托给空军计算机网络作战与安全中心主任。

  2.1.1.4.空军第8军副参谋长(Vice Chief of Staff,AF/CV)也是空军计算机网络作战与安全中心主任,还将负责整合整个全球信息栅格空军子网的空军计算机网络作战与计算机网络防御活动。

  2.1.1.4.1.在空军计算机网络作战/计算机网络防御指挥与控制(C2)一体化架构之下,全球计算机网络作战联合特遣部队空军部队指挥员有权分配任务,对各种事件做出响应,这些事件要么贯穿空军一级司令部,要么会影响到全球信息栅格空军子网的优势,或者对于支援计算机网络的可用性与安全性来说在时间上至关重要。总之,这将包括指示计算机网络作战与安全中心和计算机网络控制中心的配置做出改变,以及使信息作战防卫态势(INFOCON)或安全态势发生改变的那些任务部署。战场支援计划将定义各种支援/被支援关系出现时的情况与目标。

  注释:除非由总统下令激活,否则空军国民警卫队部队将维持由所属各州控制的状态。因此,当行使全球信息栅格空军子网的指挥与控制权时,必须考虑到这一情况。

图2.1空军计算机网络作战指挥关系。(图中文字说明,USSTRATCOM:美国战略司令部;JTF-GNO:全球计算机网络作战联合特遣部队;AFOC:空军作战中心;AFOSI:美国空军特别调查办公室;8 AF/CC:空军第8军司令员:AFNETOPS/CC:空军计算机网络作战指挥员:COMAFFOR:空军部队指挥员;MAJCOM:美国空军一级司令部;8AF/CV:空军第8军副参谋长;AFNOSC:空军计算机网络作战与安全中心;Ops Center:作战中心;A-Staff:辅助性工作人员;Net Security Division:计算机网络安全分部;Net Operation Division:计算机网络作战分部;AFIWC IOA/D:空军信息战中心计算机网络传感器和计算机网络防御武器系统/计算机与计算机网络威胁感知、分析和情报支援;NOSC:计算机网络作战与安全中心;FAC:功能性感知单元;MSC:任务支援中心;NCC:计算机网络控制中心; IWF:信息战小队;ESC/OSSG:电子系统中心/作战与保障系统大队;AFCA:空军通信局;AFIWC:空军信息战中心;33 IOS:第33信息战中队;SPO:系统项目办公室;Attached Force:所属部队;Supporing Force:支援部队;OPCON:战役控制;TACON:战术控制;授权直接联系;ADCON:行政控制)
  图2.1空军计算机网络作战指挥关系。(图中文字说明,USSTRATCOM:美国战略司令部;JTF-GNO:全球计算机网络作战联合特遣部队;AFOC:空军作战中心;AFOSI:美国空军特别调查办公室;8 AF/CC:空军第8军司令员:AFNETOPS/CC:空军计算机网络作战指挥员:COMAFFOR:空军部队指挥员;MAJCOM:美国空军一级司令部;8AF/CV:空军第8军副参谋长;AFNOSC:空军计算机网络作战与安全中心;Ops Center:作战中心;A-Staff:辅助性工作人员;Net Security Division:计算机网络安全分部;Net Operation Division:计算机网络作战分部;AFIWC IOA/D:空军信息战中心计算机网络传感器和计算机网络防御武器系统/计算机与计算机网络威胁感知、分析和情报支援;NOSC:计算机网络作战与安全中心;FAC:功能性感知单元;MSC:任务支援中心;NCC:计算机网络控制中心; IWF:信息战小队;ESC/OSSG:电子系统中心/作战与保障系统大队;AFCA:空军通信局;AFIWC:空军信息战中心;33 IOS:第33信息战中队;SPO:系统项目办公室;Attached Force:所属部队;Supporing Force:支援部队;OPCON:战役控制;TACON:战术控制;授权直接联系;ADCON:行政控制)


  2.1.2.部署的空军计算机网络作战层级结构。

  2.1.2.1.空军计算机网络作战固定与对等部署的层级结构之间的关系如图2.1所示。作战司令部J-6(美军联合参谋部负责指挥、控制、通信与计算机系统的人员)为联合特遣部队责任区建立联合通信控制中心(JCCC),并通过空军通信控制中心(ACCC)给予指示。联合通信控制中心为联合计算机网络制订计划并实施高级别的管理,对联合环路提供具体指导。

  2.1.2.2. 在部署环境中,国防信息系统局的控制范围扩展到联合特遣部队的系统控制(SYSCON)。为计算机网络作战与安全中心和已部署的计算机网络控制中心提供支援的空军通信控制中心组成部队,将使用经过审批的空军计算机网络作战工具联合套件(如,联合计算机网络管理系统[JNMS]),行使他们的职责,并把计算机网络状况上报给联合特遣部队系统控制。

图2.2理论上的空军计算机网络作战机构。(图中文字说明,CSAF:空军参谋长;WFHQ:作战司令部;AFNETOPS/CC:空军计算机网络作战指挥员;Notional AFNETOPS Organization:理论上的空军计算机网络作战机构;AFNETOPS GOSG:空军计算机网络作战将官督导组;Co-Chair:共同主持;AF/XO:负责空天作战的副参谋长办公室;SAF/XC:空军部部长办公室作战一体化和首席信息官办公室;Members:成员;MAJCOM/CV:美国空军一级司令部(主要司令部)副参谋长;AFNOSC:空军计算机网络作战与安全中心;I-NOSC:综合计算机网络作战与安全中心;STAN/EVAL:标准化/评估;QA:质量保证;Audit:审计;Net Operations Units:计算机网络作战单位;IT Service Unit:信息技术服务单位;Engineering & Sustainment Unit:工程与保障单位;Systems Integration Unit:系统整合单位;Resources Unit:资源单位)。
  图2.2理论上的空军计算机网络作战机构。(图中文字说明,CSAF:空军参谋长;WFHQ:作战司令部;AFNETOPS/CC:空军计算机网络作战指挥员;Notional AFNETOPS Organization:理论上的空军计算机网络作战机构;AFNETOPS GOSG:空军计算机网络作战将官督导组;Co-Chair:共同主持;AF/XO:负责空天作战的副参谋长办公室;SAF/XC:空军部部长办公室作战一体化和首席信息官办公室;Members:成员;MAJCOM/CV:美国空军一级司令部(主要司令部)副参谋长;AFNOSC:空军计算机网络作战与安全中心;I-NOSC:综合计算机网络作战与安全中心;STAN/EVAL:标准化/评估;QA:质量保证;Audit:审计;Net Operations Units:计算机网络作战单位;IT Service Unit:信息技术服务单位;Engineering & Sustainment Unit:工程与保障单位;Systems Integration Unit:系统整合单位;Resources Unit:资源单位)。


  2.2.全球性(国防信息系统局/空军计算机网络作战与安全中心)、地区性(计算机网络作战与安全中心)和地方性(计算机网络控制中心)机构。

  2.2.1.全球性机构。

  2.2.1.1.国防信息系统局全球计算机网络作战与安全中心负责国防信息基础设施全球业务的管理与监督。国防信息基础设施计算机网络和系统的管理政策和标准由国防信息系统局、各军种和机构联合制定。

  2.2.1.2.国防信息系统局的控制范围终结于用于固定通信的空军基地计算机网络和空军国民警卫队地区性作战与安全中心服务提供点(SDP),以及服务于已部署行动的联合系统控制服务提供点。

  2.2.1.3.国防部所有机构有义务遵守业已公布的政策与标准。计算机网络作战与安全中心和计算机网络控制中心是在地区和地方水平实施并执行这些政策的主要机构。

  2.2.1.4.空军计算机网络作战与安全中心通过分布式操作执行空军计算机网络作战与防御任务。虽然空军计算机网络作战与安全中心的各要素可能是物理分离的,但它仍会在空军计算机网络作战与安全中心主任/全球计算机网络作战联合特遣部队空军部队指挥员的命令和指示下保留一套工作人员。

  2.2.2.地区性机构。

  2.2.2.1.地区性作战中心如表2.1所示。它开展计算机网络作战活动,确保执行系统与计算机网络管理(S&NM)、信息安全保障/计算机网络防御(IA/NetD)以及信息传播管理(IDM)等职能的机构在它们各自的职责范围内负责运行控制与管理控制。

  2.2.2.2.支援性美国空军一级司令部计算机网络作战与安全中心负责部署空军计算机网络作战任务,并通过作战司令部空军通信控制中心向联合特遣部队联合通信控制中心报告。

  2.2.2.3.功能性感知单元。与基地计算机网络控制中心一样,这些地区级的机构位于相同的计算机网络作战管理层。它们向基地和支援性计算机网络作战与安全中心报告,并从这些单位接受指令。

  2.2.2.3.1.功能性感知单元只需要很少的设备,为功能性系统或任务执行态势感知工作。它们充当所有计算机系统故障请求的联络点,寻求特定功能系统或几组功能系统为其提供支援。

  功能性感知单元通常归计算机系统服务的功能性机构所有,并由该单位负责运行。功能性感知单元对问题进行评估,并为与该系统相关联的应用程序和数据提供解决方案。

  2.2.2.3.2.为了保持基地计算机网络的完整性,功能性感知单元不会操作其计算机网络,但是会根据与计算机网络控制中心达成的服务水平协议、协议备忘录(MOA)或谅解备忘录(MOU)(在不存在计算机网络控制中心的情况下,与计算机网络作战与安全中心达成上述协议和备忘录)操作它们自己的服务器系统。服务水平协议、协议备忘录或谅解备忘录应包括空军计算机网络作战与安全中心、计算机网络作战与安全中心或计算机网络控制中心如何提供核心服务(第6.4段),这样才不至于危害全球信息栅格空军子网的完整性。相关政策与程序性指导原则请参见附件2《服务水平协议》。

  2.2.3.地方性机构。

  2.2.3.1.计算机网络控制中心是地方性计算机网络控制要素,计算机网络作战与安全中心通过它对空军一级司令部的计算机网络部分行使管理与操作指示权。计算机网络控制中心还生成态势感知图,并与计算机网络作战与安全中心和空军国民警卫队地区性作战与安全中心一起,开展系统与计算机网络管理、信息安全保障/计算机网络防御以及信息传播管理等工作。它们为基地用户提供安全可靠的计算机网络及网络服务。

  2.3.直接报告单位与野外活动机构的计算机网络作战与安全中心重新组合。

  2.3.1.美国空军第10航空联队和美国空军学院被组合成空军太空司令部(Air Force Space Command,AFSPC)计算机网络作战与安全中心。

  2.3.2.空军五角大楼通信局(AFPCA)和第11航空联队组成空军机动司令部(Air Mobility Command,AMC)计算机网络作战与安全中心。

  2.3.2.1.位于国家首都地区周边的所有野外活动机构,如果没有驻扎在空军设施内,将在五角大楼空军通信局的支持下重新组合成通信驻外单位(GSU)。将由五角大楼空军通信局在空中机动司令部计算机网络作战与安全中心代表这些野外活动机构。米德堡的第70航空联队也将在五角大楼空军通信局的支持下重新组合。

  2.3.3.空军基地所有的直接报告单位和野外活动机构将在基地计算机网络控制中心的支持下组合,并将遵从“一处基地一套计算机网络” (One Base-One Network)的指导原则。

  2.4.计算机网络作战与安全中心的标准化。

  2.4.1.由计算机网络作战与安全中心和计算机网络控制中心确定的需求,不能被战斗信息传输系统(CITS)领导司令部管理人员或空军指令AFI 33-103《需求研究与处理》(Requirements Development and Processing)解决的,必须按照以下流程得到批准:

  2.4.1.1.这些需求必须由空军一级司令部批准,并上报给空军计算机网络作战指挥员和空军助理部长办公室负责通信与信息技术固定计算机网络分部的军官(SAF/XCIF)以便批准。(还会确定可能的解决方案。)

  2.4.1.2.空军计算机网络作战指挥员和空军助理部长办公室负责通信与信息技术固定计算机网络分部的军官将把验证后的需求发送给战斗信息传输系统领导司令部、空军通信局/应急通信计算机网络总部(HQ AFCA/ECN)。

  2.4.1.3.空军通信局,代表空军一级司令部、空军部部长((SECAF)办公室作战一体化和首席信息官办公室(SAF/XC)以及空军计算机网络作战指挥员,把建议提交给基础设施架构委员会(IAC)。

  2.4.1.4.如果基础设施架构委员会批准该工具,空军通信局将制定一套发展计划,并在空军计算机网络作战与安全中心和空军部部长办公室作战一体化和首席信息官办公室的职权范围内,通过战斗信息传输系统方案执行这一计划。

  2.5.遵从一处基地一套计算机网络的原则。

  2.5.1.空军设施内所有的空军单位将遵从一处基地一套计算机网络的理念。

  2.5.1.1.基地计算机网络控制中心或支援性计算机网络作战与安全中心将运行、维护、配置并控制所有的基本核心服务和计算机网络基础设施。

  2.5.1.2.上述全部系统的所有权移交给基地计算机网络控制中心和支援性计算机网络作战与安全中心。

  2.5.1.3.项目管理办公室(PMO)和系统项目办公室(SPO)所属系统同样遵循上述指导原则,即一处基地一套计算机网络。在特定情况下,如因为资金限制难于采取纠正措施,或纠正过程需要大量的技术检修/分析工作,可能会被要求免于遵守该项规定。在执行政策过程中的每一次例外情况都必须包括纠正问题的计划,力求做到遵守一处基地一套计算机网络这一原则,不能永久地例外下去。如无法遵守规定,则必须请示空军通信局战斗信息传输系统领导司令部审查;然后空军通信局将把建议提交给空军助理部长办公室负责通信与信息技术固定计算机网络分部的军官,由其批准/否决。

  2.5.2.驻外单位。

  2.5.2.1.拥有美国空军一级司令部的驻外单位需要根据空军指令AFI 65-601第1卷——《预算指导原则与程序》(Budget Guidance and Procedures)向为其提供保障的空军基地支付回连线路(连接基地计算机网络与驻外单位计算机网络)的费用。

  2.5.2.2.基地计算机网络控制中心和支援性计算机网络作战与安全中心将按照2.5.1段指定的要求对待驻外单位基础设施。

  2.5.2.3.驻外单位必须与基地协调一致,为驻外单位提供辅助性军事人员飞行(Military Personnel Flight,MPF)活动。如果当前他们还没有就此项内容达成一致,则必须适当加以调整。

  2.5.2.4.驻外单位应遵守基地计算机网络控制中心和支援性计算机网络作战与安全中心的政策、飞行通报(NOTAM)、有时限的计算机网络命令(TCNO)以及基地任何一个单位发布的其他指令。

  2.5.3.安全飞地的确定。

  2.5.3.1.各单位不能把自己定义为安全问题上的飞地。空军助理部长办公室负责通信与信息技术固定计算机网络分部的军官有权做出一套系统是否是安全领域飞地的决定。

  2.5.3.2.如果某个单位想要确定自己的飞地地位,它应提请空军通信局进行审查。空军通信局将把请示和审查结果报送空军助理部长办公室负责通信与信息技术固定计算机网络分部的军官,由其最终处理。

  2.5.3.3.如果一个单位被宣布为安全飞地,2.5.1段内容仍然适用,并且计算机网络控制中心或支援性计算机网络作战与安全中心将操作所有的安全硬件和核心服务。

  第三章 各机构的作用与责任

  3.1.空军部部长办公室作战一体化和首席信息官办公室。

  空军部部长办公室作战一体化和首席信息官办公室将:

  3.1.1.研究、批准并监控空军通信与信息基础设施现代化计划、政策和要求的实施。全面监督所有与现代化工作相关的通信与信息基础设施的要求、计划、日程安排、预算和性能标准。

  3.1.2. 在联合架构中代表空军立场,领导空军通信与信息基础设施的发展和应用。

  3.1.3.根据空军指令AFI 33-202第1卷《计算机网络与计算机安全》(Network and Computer Security)[在不久的将来,空军指令AFI 33-202将被纳入空军指令AFI 33-204,《信息安全保障感知项目》(Information Assurance Awareness Program)],对于企业化信息技术数据仓库(Enterprise Information Technology Data Repository,EITDR)中信息技术的登记与管理提供政策和指导意见。

  3.1.4.与项目管理办公室共同努力,确保所有新的、有价值的系统/服务器能够根据空军参谋长服务器整合工作的意图进行开发与应用。整合工作将从国防信息系统局国防企业化计算机中心(DECC)开始,不过,与空军计算机网络作战与安全中心或计算机网络作战与安全中心合并也是备选方案之一。整合的方式可能包括远程管理、托管,或以更适合作战任务的方式进行共享主机整合。

  3.1.5.为所有空军作战体系、系统与技术性架构,提供全局性政策与监督,包括确立信息技术标准并对空军核心程序提供结构性保障。

  3.1.6.出于信息技术投资的目的,整合空军规划、预算、财务以及项目管理流程。

  3.1.7.检查所有AFI-33系列和AFI-37系列的空军指令,查看其通用性和相关性。空军首席信息官(AF-CIO)将保障所有与通信和信息相关的政策文件的更新与发布。

  3.1.8.为全球信息栅格空军子网研究并确定空军信息技术服务。

  3.1.9.代表空军部部长和空军参谋长监督空军信息技术服务的应用状况。

  3.1.10.确保空军信息技术服务与国防部全球信息栅格企业化服务保持串联。

  3.1.11.代表空军部部长和空军参谋长,利用空军测量和分析指标对全球信息栅格空军子网的性能提供监督。

  3.2.负责空天作战的副参谋长(The Deputy Chief of Staff, Air and Space Operations,HQ USAF/XO)办公室。

  负责空天作战的副参谋长办公室是空军信息作战事务的主要负责办公室。其他对影响计算机网络防御的个别因素负有职责的办公室将与负责空天作战的副参谋长办公室进行协调,确保计算机网络防御战略规划、政策、指导原则保持一致并在应用过程中做到标准化,还要提供有计划性的监督。

  3.3.情报、监视和侦察主任(The Director of Intelligence, Surveillance, and Reconnaissance,HQ USAF/XOI)。

  在负责空天作战的副参谋长办公室内,情报、监视和侦察主任办公室被指定为主要负责办公室,担负领导职责,负责对整个计算机网络防御的政策、指导原则、理论战略和投资重点进行协调。空军部(空军总部,空军参谋部和秘书处)担负计算机网络防御相关职责的办公室将与情报、监视和侦察主任协调全部有关事项(包括政策与指导意见的颁布、需求推导和程序设计)。

  3.4.信息、服务与集成主任(Information, Services and Integration Directorate,SAF/XCI)。

  信息、服务与集成主任将:

  3.4.1.监督空军通信与信息计划、战斗支援(包括联队水平的指挥与控制)、空军部队指挥与控制以及战区级战役支援日常工作的实施。为指挥与控制以及情报、监视和侦察计算机网络/节点制订指导意见。

  3.4.2.研究通信与信息部队的结构和组织问题并阐明立场。分析有关美国空军一级司令部部队结构和组织变化的提议,确定对通信和信息资源造成的相关影响。

  3.4.3.对于通信与信息人才的专业发展、高级教育以及通过政府与民间机构对其实施技术培训确立课程要求与规划指导。

  3.4.4.领导负责通信、信息、邮政、多媒体以及通信电子维护(Communication-Electronic Maintenance,2E)等职业领域的管理人员。

  3.4.5.担任通信与信息资源(资源与培训系统状况[SORTS]、空军远征部队、单位类型代码[Unit Type Code,UTC]职能区管理人员)领导。出于选定的空军特性,明确培训要求并确保培训计划顺利实施。

  3.4.6.担负领导职责,为空军计算机网络作战与安全中心、计算机网络作战与安全中心和计算机网络控制中心的作战计划确定连贯的空军政策。

  3.5.空军通信局。

  空军通信局将:

  3.5.1.执行计算机网络优化举措。充当空军部部长办公室作战一体化和首席信息官办公室政策与标准的助手。

  空军通信局将掌管作战化与专业化计算机网络计划。

  3.5.2.通过管理信息支援计划(Information Support Plan,ISP)文件的评估,为空军部部长办公室作战一体化和首席信息官办公室提供支持。空军指令AFI 33-108,《指挥、控制、通信和计算机系统的兼容性、互操作性与整合》(Compatibility, Interoperability, and Integration of Command, Control, Communications and Computer [C4] Systems)(标题将改为《信息技术与国家安全系统的互操作性和保障性》[Interoperability and Supportability of Information Technology and National Security Systems])在更新时将包括空军信息支援计划政策与格式指导意见。

  3.5.3.解决全球信息栅格空军子网的人才问题。配合空军部部长办公室作战一体化和首席信息官办公室,确定未来的投资需求并准备提交《项目目标备忘录》(POM)。

  3.5.4.根据需要,与外部机构一起,研究、评估并更新空军级服务水平协议。

  3.5.5.就优化计算机网络基础设施,为计算机网络作战与安全中心和计算机网络控制中心提供帮助并提出相应的建议。

  3.5.6.执行企业化设计指导与评估项目(Enterprise Design Guidance and Evaluation Project,EDGE)的检查任务。具体开展基地和计算机网络作战与安全中心计算机网络配置设置,以符合指令和技术说明。优化并保护计算机网络作战与安全中心和基地计算机网络配置的设置。

  3.5.7.当现有作战人员计算机网络化系统和应用程序不能满足预期的服务质量(QoS)时,应用计算机网络工程分析能力,对这些系统和应用程序实施服务质量分析。

  3.5.8.对空军信息技术电子化教学系统(E-Learning System)(基于远程教学计算机的培训)、全天候在线书籍参考软件以及计算机网络控制中心为计算机网络专家安排的在职培训项目提供合同监督。

  3.6.空军指挥、控制、情报、监视与侦察中心(AFC2ISRC)。

  3.6.1.部队的通信与信息人才是力量倍增器,无论空军是作为单一军种使用或在联合作战中与其他军种配合使用,他们为空军在任何全谱军事行动活动中展现出来的6种不同功能提供支持,这6种不同的功能是:空天优势、全球打击、全球快速机动、精确打击、信息优势以及灵活的作战支援。我们的2种不同能力——精确打击与信息优势——是受信息技术驱动并且依赖于信息的。这是通信与信息机构发挥的一个重要作用。精确打击的本质在于能够应用有选择性的战斗力对付特定目标,达成离散和区别对待的效果。成功实现这一目标意味着大量信息的正确运用——这些信息是及时、准确和可用的。信息技术使我们能够发现、修正、追踪并瞄准在地面上移动的任何目标。另一方面,成功实现这一目标还取决于大量信息在正确的地点、正确的时间以正确的格式通过地面、机载与太空计算机网络无缝对接。空军指挥、控制、情报、监视和侦察中心应:

  3.6.2.评估所有政策与指导意见,确保计算机网络解决方案满足作战人员的需求。

  3.6.3.支持计算机网络解决方案终端到终端的互操作性。

  3.6.4.提倡并支持合适的技术和平台应用。

  3.7.空军计算机网络作战与安全中心。

  空军计算机网络作战与安全中心应:

  3.7.1.为全球信息栅格空军子网提供空军级的指挥与控制以及态势感知。对于机密和非机密广域网(WAN)连接实施分布式主动控制。

  3.7.2.强制遵守认证和其他计算机网络策略。

  3.7.3.为应对漏洞与事件,响应全球计算机网络作战联合特遣部队指令,并对那些跨空军一级司令部、影响全球信息栅格空军子网优势,或在性质上属于时间敏感的中断故障做出反应,研究备选方案并指导配置变化、信息作战防卫态势变更,以及防卫态势改变。

  3.7.4.发布计算机网络作战任务命令(NTO),并按照空军指令AFI 33-138《企业化计算机网络作战通知与跟踪》(Enterprise Network Operations Notification and Tracking)关于有时限的计算机网络命令和C4飞行通报相关条款的规定,进行跟踪、记录与报告。

  3.7.5.下令实施与计算机网络防御有关的具体行动。

  3.7.6.评估空军计算机网络入侵和恶意逻辑事件,并做出反应。

  3.7.7.通过搜集和分析情报产品确定计算机网络攻击(NetA)威胁,并协调所有适当机构,研究和实施针对计算机网络漏洞的应对措施。在遭受攻击之后,协调开展计算机网络恢复行动。

  3.7.8.利用计算机攻击损害控制与恢复程序为计算机网络作战与安全中心/计算机网络控制中心提供帮助。

  3.7.9.为计算机网络作战与安全中心和计算机网络控制中心在服务提供点之间开展广域网作战提供顶级梯队的技术支持。支持的技术和项目包括域名服务(DNS)、空军虚拟专用网以及服务提供点技术植入。第4.2节列出了具体的作战作用与职责。

  3.7.10.为高级领导提供全球信息栅格空军子网资源和功能运行状态的全球可视化与态势感知,包括非保密互联网协议路由器网络、保密互联网协议路由器网络、星座计算机网络,并通过指挥员情况报告(SITREP)和作战报告(OPREP)提供有关事件和计算机网络中断的信息保护。对空军作战部队(Combat Air

  Forces,CAF)/空军机动部队(Mobility Air Forces,MAF)的作战潜能或其正在进行的作战行动保持清醒的认识,确保全球信息栅格空军子网开展的活动不对空军作战造成不良影响。

  3.7.11.对全球信息栅格空军子网保持一种以企业化为中心的观点。

  3.7.12.确定计算机网络升级与操作要求,并提交给战斗信息传输系统领导司令部(空军通信局应急通信计算机网络总部)。

  3.7.13.对正在实施或有可能进行的计算机网络攻击活动制作联合部队与空军部队通报。

  3.7.14.对威胁和性能指标实施趋势分析与关联。

  3.7.15.为系统与服务提供命令的正常运行率,包括在网页上张贴正常运行率。

  3.7.16.根据空军指令AFI 33-115第2卷,《对计算机网络用户进行授权并认证计算机网络专业人员》(Licensing Network Users and Certifying Net-work Professionals)(将更名为《计算机网络作战培训与标准》[Network Operations Training and Standards]),围绕计算机网络作战与安全中心和计算机网络控制中心开展的行动,确立标准化/评估方案。

  3.8.空军信息战中心信息作战指挥部(AFIWC/IO)。

  空军信息战中心信息作战指挥部将:

  3.8.1.为所有计算机网络保留并提供计算机网络防御方面的主题专业知识。

  为空军计算机网络作战与安全中心、计算机网络作战与安全中心和计算机网络控制中心提供所需的专业计算机网络防御技术知识,以有效应对计算机网络攻击。为空军信息战中心发达的计算机网络传感器和计算机网络防御武器系统(AFIWC/IOD)提供研究与应用支持、计算机与计算机网络威胁感知、情报分析和情报支援(AFIWC/IOA)。

  3.8.2.向空军计算机网络作战中心和空军一级司令部计算机网络作战与安全中心报告在操作过程中发现的所有后门以及与空军计算机网络未经授权的非法连接。如果在发现问题时伴随有正在发生的事件,则需立即上报;如果在发现问题时没有需要采取应对措施的事件,则可以在48小时之内上报。

  3.8.3.确保第23信息作战中队为实施信息作战开发相应的战术、技术和程序(TTP)。

  3.8.4.确保第92信息战“入侵者”中队执行计算机与网络漏洞评估,并履行“红队”的支援功能,为空军一级司令部提供帮助。

  3.8.5.确保第346测试中队对计算机网络防御武器系统开展正规测试与评估,并执行应用辅助职能。

  3.9.美国空军一级司令部(空军主要司令部,MAJCOM)。

  各一级司令部(空军国民警卫队在行动上视为一个一级司令部)将:

  3.9.1.建立并维护一所计算机网络作战与安全中心,提供一级司令部计算机网络的指挥与控制功能(图4.3显示了计算机网络作战与安全中心的具体作用和职责)。

  3.9.2.制订适合于一级司令部计算机网络的政策、程序与特别指令。

  3.9.3.确定计算机网络升级和操作要求,并提交给战斗信息传输系统领导司令部(空军通信局应急通信计算机网络总部)。

  3.9.4.为所属单位提供计算机网络支持,如工程技术、战略规划、危机管理,研究服务水平协议、预算、检查以及合同管理。授权充足的停机时间,为预防性维护检查(PMI)提供支持。

  3.10.空军教育训练司令部(AETC)。

  空军教育训练司令部将:

  3.10.1.管理并提供正规培训,支持初级培训、高级培训、补充培训与资格培训,以驻地学习和远程学习的方式实施。

  3.10.2.确定用于培训的课程资源预估投入,并提交给2E、3A、3C和33S职业生涯管理人员。对空军补充性技术培训实施监督。参考空军目录(Air Force Catalog,AFCAT)36-2223——《美国空军正规院校》(USAF Formal Schools)和空军指令AFI 36-2201第3卷——《美国空军训练计划:在职培训管理》(Air Force Training Program, On the Job Training Administration),以获得正规培训的员额情况。

  3.10.3.确定职业生涯管理人员所需的全部培训资源。

  3.10.4.为教室桌面设备和训练器材制订计划与方案。

  3.10.5.在适当情况下与其他一级司令部合作,建立并维护“af.edu”域名。登录到此域名的成员将不能进入基地基础设施领域,不过,空军所有“.edu”域名内的成员应该拥有由当地基地提供的“basename(基地名称).af.mil”电子邮件账户。这一域名的目标是建立独特的安全飞地,有助于教育方面的交流与研究,同时,不把域名为af.mil的计算机网络暴露在安全风险之中。

  3.10.5.1.空军教育训练司令部计算机网络作战与安全中心负责这一领域空军层面的职能管理,而且必须与其他支援性计算机网络控制中心和一级司令部合作,提供适当水平的服务。

  3.10.5.2.这一领域的成员是美国空军学院、空军技术研究所和空军大学体系内的学生与全体教师。

  3.10.5.3.af.edu域将是单独的活动目录森林(Active Directory Forest),由空军教育训练司令部计算机网络作战与安全中心管理全部的独立核心服务。各基地的基础设施仍对基地计算机网络控制中心和一级司令部计算机网络作战与安全中心负有责任,这只是逻辑上的覆盖/分离。

  3.11.空军装备司令部(AFMC)。

  空军装备司令部将:

  3.11.1.为技术解决方案提供项目目标备忘录投入,并为空军通信局提供生命周期支持。

  3.11.2.就空军装备司令部提供的所有信息系统执行有时限的计算机网络命令和C4飞行通报的适用性进行评估。

  3.12.联队和空军基地宿主单位(Air Base Host Units)。

  宿主单位将:

  3.12.1.运行并管理计算机网络控制中心,提供不受计算机网络作战与安全中心管理的基地水平计算机网络服务。

  4.4段列出了计算机网络控制中心具体的作战角色与责任。

  3.12.2.向他们各自的一级司令部或合适的保障机构提交直接报告单位和野外活动机构的计算机网络维护需求与升级需求。

  3.12.3.确保部队与一级司令部或合适的机构进行协调,满足正式培训的要求。

  3.12.4.确保部队指挥员任命3A为客户支持管理员(CSA),与4.7段的规定相一致。

  3.12.5.根据上级一级司令部的要求,授予空军通信局企业化设计指导与评估项目检查人员管理权,以便他们访问基地计算机网络,实施合规性评估与优化活动。

  3.13.空军项目管理办公室和系统项目办公室。

  项目管理办公室和系统项目办公室将:

  3.13.1.未经基础设施架构委员会批准,不得交付或运行计算机网络基础设施硬件。

  3.13.2.使用基地计算机网络控制中心或支援性计算机网络作战与安全中心提供的计算机网络服务和计算机网络核心服务。

  3.13.3.项目管理办公室/系统项目办公室必须遵守一处基地一套计算机网络的政策;计算机网络上的所有系统在配置上必须立足于在此架构内运行。

  3.13.4.根据空军指示、参谋长联席会议主席指示CJCSI 6212.01D,《信息技术与国家安全系统的互操作性和可支持性》以及国防部指令DODI 4630.8,《信息技术与国家安全系统互操作性与可支持性程序》,针对任何与外部有信息交换的信息技术系统或国家安全系统和/或与全球信息栅格相连的信息技术系统或国家安全系统,制定信息支持计划。

  3.14.作战司令部。

  作战司令部将:

  3.14.1.不操作或维护计算机网络基础设施硬件或核心服务。

  3.14.2.使用基地计算机网络控制中心或支援性计算机网络作战与安全中心提供的计算机网络服务和计算机网络核心服务。

  3.14.3.只为空军作战中心交付的指挥与控制系统提供系统管理支持。

  3.15.领导司令部管理人员(Lead Command Managers,LCM)。

  领导司令部管理人员将:

  负责由不只一个空军一级司令部、直接报告单位或野外活动机构操作/使用的通信与信息系统、设备、用品或服务。作为倡导者,领导司令部的职责范围包括需求、生命周期规划、维护与资源管理等,而且必须遵守空军指令AFI 10-901,《领导作战司令部——通信与信息系统管理》(Lead Operating Command—Communications and Information Systems Management)的相关规定。

  第四章 作战角色与责任

  4.1.概述。

  空军计算机网络作战与安全中心、计算机网络作战与安全中心和计算机网络控制中心是全球信息栅格空军子网协调作战工作的层次化结构,以确保计算机网络对任务需求提供支持。这些中心执行第六章所描述的全球信息栅格空军子网作战领域内的任务。本章将讨论各层具体的定义以及角色和责任。

  4.2.空军计算机网络作战与安全中心。

  空军计算机网络作战与安全中心是空军顶级的计算机网络作战层。空军计算机网络作战与安全中心研究备选方案,下令改变配置,并变更安全态势,对漏洞与事件、全球计算机网络作战联合特遣部队指令以及横跨战区计算机网络作战与安全中心、影响计算机网络优势,或在本质上属于在时间上至关重要的损耗做出响应。空军计算机网络作战与安全中心提供空军级的指标、态势感知,并强制遵守认证与其他计算机网络政策。尽管空军计算机网络作战与安全中心代表全球信息栅格空军子网的顶层,但它并不排除战区计算机网络作战与安全中心在各自战区内管理使用全球信息栅格空军子网并为之提供资源的职权。空军计算机网络作战与安全中心对战区计算机网络作战与安全中心、基地计算机网络控制中心和任务支援中心(mission support center,MSC)或功能性感知单元拥有战术控制权(tactical control,TACON),可下令改变配置、变更信息作战防卫态势或改变全球信息栅格空军子网的安全态势。空军计算机网络作战与安全中心应:

  4.2.1.全天候不间断运行。

  4.2.2.与国防信息系统局、全球计算机网络作战联合特遣部队、战区计算机网络作战与安全中心以及商业部门开展互动,识别并纠正空军计算机网络、系统与应用程序中的异常情况。

  4.2.3.获得授权,就计算机网络作战和计算机网络安全问题与空军一级司令部、其他空军机构、兄弟军种以及外部机构直接联系。

  4.2.4.执行信息传播管理任务。

  4.2.4.1.根据空军指令AFI 33-138,遵守有时限的计算机网络命令的相关规定,发布计算机网络作战任务命令和路线、文件与报告,指导所有全球信息栅格空军子网根据作战、安全和配置条件的变化做出相应调整。当执行有时限的计算机网络命令时,确保上下级人员根据空军指令AFI 33-138遵守合规性程序。根据空军指令AFI 33-138发布空军级别的C4飞行通报。

  4.2.4.2.指导所有全球信息栅格空军子网根据情况变化在作战、安全与配置方面做出相应的调整。

  4.2.4.3.根据空军指令AFI 10-206——《作战报告》(Operational Reporting),起草情况报告。根据空军指令AFI 10-206起草业务活动/事件报告(OPREP3),记录并报告在之前情况报告中未说明、对国防信息计算机网络(Defense Information Systems Network,DISN)连接造成影响的重大计算机网络事件。

  4.2.4.4.为战区计算机网络作战与安全中心提供帮助台服务,作为全球信息栅格空军子网问题解决方案的一个联络点。

  4.2.4.5.记录并跟踪困难请示,直到问题最终解决。

  4.2.4.6.利用计算机网络通用作战图(NETCOP),结合C4系统计算机网络作战与安全中心上行通道指标,把整个全球信息栅格空军子网的指标报告给空军部部长办公厅作战一体化和首席信息官办公室(SAF/XC),在必要时还应报告给其他高级领导。

  4.2.4.7.根据需要或要求,按照空军首席信息官的规定,监控空军信息技术服务、非保密互联网协议路由器网络、保密互联网协议路由器网络和联合全球情报通信系统(Joint Worldwide Intelligence Communications System,JWIICS)连接的状态与关键指标,并向高级领导和战区计算机网络作战与安全中心、任务支援中心、功能性感知单元以及基地计算机网络控制中心报告。

  4.2.4.8.根据需要,向项目办公室、国防信息系统局、全球计算机网络作战联合特遣部队以及其他机构提供数据,确保系统性空军问题领域得到跟踪与修复。

  4.2.4.9.把正在进行的与计算机安全事件相关的执法调查情况提供给全球计算机网络作战联合特遣部队空军部队指挥员。

  4.2.4.10.将经过全球计算机网络作战联合特遣部队空军部队指挥员证实的计算机网络攻击、可疑活动和安全事件报告给国防部计算机应急响应小组、全球计算机网络作战与安全中心、空军特别调查办公室(AFOSI)、信息战小队(Information Warfare Flights)、战区计算机网络作战与安全中心、计算机网络控制中心,根据国防部和空军指示,其他活动也应报告。

  4.2.5.执行系统与计算机网络管理任务。

  4.2.5.1.对语音、视频和数据计算机网络的运行实施持续的监控与分析,确定计算机网络的可用性衰退事件或性能衰退事件。

  4.2.5.2.确保战斗信息传输系统设备的态势感知功能得到维持,并且对任何系统的功能衰退事件做出响应/报告。

  4.2.5.3.管理空军级别(af.mil和af.smil.mil)的域名服务,对空军命名进行约定,对af.mil域内的所有空军命名服务器保留一份命名服务(Name Server,NS)记录,并且为af.mil和af.smil.mil域名和子域名提供技术支持。

  4.2.5.4.监控空军级别的互联网协议(IP)地址空间。

  4.2.5.5.管理战术互联网协议(TAC-IP)计划,为部署的部队提供临时性的互联网协议地址空间。

  4.2.5.6.根据服务水平协议中的协商结果,管理并维护空军级别的系统性能。

  4.2.5.7.管理美国空军轮换升级计划,确定已经超出确立阀值的轮换,并向空军系统计算机网络(AFSN)办公室报告。

  4.2.6.开展信息安全保障/计算机网络防御活动。

  4.2.6.1.执行不间断的计算机网络监控行动,确定针对计算机网络或互联系统正在实施的攻击。

  4.2.6.2.根据空军指令 AFI 33-138,对于计算机网络攻击和安全事件提供实时的分析、响应与报告。

  4.2.6.3.把计算机网络事件与保障性计算机网络数据、威胁数据以及技术漏洞信息关联起来。

  4.2.6.4.对于威胁空军计算机网络的事件维持全球态势感知。

  4.2.6.5.管理空军长途虚拟专用网。

  4.2.6.6.维持与计算机网络作战与安全中心的保密通信。

  4.2.6.7.更新服务提供点路由器上的访问控制列表。

  4.2.6.8.利用安全管理软件工具,如入侵检测与漏洞评估,分析计算机网络运行安全情况。

  4.2.6.9.分析所有计算机网络事件、问题和警报对用户的影响,并制定纠正措施或做出管理上的改变。

  4.2.6.10.需要采取计算机网络防御应对措施和其他防御性活动或补救活动,对命令指示、信息作战防卫态势或漏洞预警做出响应。

  4.2.6.11.对本地区域至少一个位置持续进行的行动和本地以外至少一个位置发生的自然或非自然灾害、设备故障以及承包商出现的问题制定和/或练习应急计划。

  4.2.6.12.围绕空军计算机网络域,实施计算机网络攻击评估、联系事件之间的关系、对合规性实施抽查并对可疑活动(内部与外部)进行在线调查。把攻击与可疑活动通报给空军部队指挥员和全球计算机网络作战联合特遣部队。进行趋势分析,以确定攻击的模式。

  4.2.6.13.根据空军指令AFI 33-207——《计算机安全援助计划》(Computer Security Assistance Program)执行并管理空军漏洞分析与辅助功能。把影响空军计算机与计算机网络的技术漏洞通报给全球计算机网络作战联合特遣部队空军部队指挥员。

  4.2.6.14.辅助全球计算机网络作战联合特遣部队空军部队指挥员执行信息作战防卫态势计划。

  4.2.7.与基地计算机网络控制中心和战区计算机网络作战与安全中心协调,确保在全球计算机网络作战联合特遣部队需要时,故障排除操作有现场人员存在。

  4.2.8.参与由空军系统计算机网络领导的配置控制委员会,解决全球信息栅格空军子网的需求。

  4.2.9.根据空军部部长办公室作战一体化和首席信息官办公室、空军通信局和各级领导们的作战需要,为他们提供态势感知和全球信息栅格空军子网的状况信息。

  4.2.10.帮助全球计算机网络作战联合特遣部队空军部队指挥员在空军当前政策和计划的基础上,执行并维护计算机网络安全态势,防御敌方的计算机网络攻击以及试图对空军计算机网络开展的刺探活动。

  4.2.11.作为空军唯一的联络点,接收空军外部机构的报告并把计算机安全事件和漏洞报告给空军之外的机构。

  4.3.计算机网络作战与安全中心。

  战区计算机网络作战与安全中心是3层计算机网络作战体系中的中间机构。战区计算机网络作战与安全中心为指挥员提供实时的作战计算机网络入侵检测与周边防御功能,并实施战区级计算机网络运行与故障排除活动。计算机网络作战机构在指挥员的指示下展开部署,在战场和驻地两种情况下保卫信息计算机网络。计算机网络作战与安全中心人员监督其下属基地和单位在日常运行中出现的问题,并对其提供支援。他们的任务是确保其战场作战与支援系统具备全部功能。在适当情况下,他们为指挥员提供信息安全保障能力,如信息系统安全、决策分析以及其他技术功能。战场计算机网络作战与安全中心应:

  4.3.1.全天候不间断运行。

  4.3.2.当空军计算机网络作战与安全中心计算机网络作战分部要求时,为空军计算机网络作战与安全中心提供援助(必要时通过空军计算机网络作战与安全中心为国防信息系统局提供援助),确保在对空军所有和运行的广域传输设备和电路实施故障排除诊断恢复程序时有现场人员存在。

  4.3.3.与主要作战基地(Main Operating Bases,MOB)、驻外单位、租户单位、空军以及空军一级司令部功能性机构就协商一致的支援水平中明确的利益签订服务水平协议、协议备忘录或谅解备忘录。

  此外,与其他计算机网络作战与安全中心就提供所需的后勤服务维持服务水平协议、协议备忘录或谅解备忘录。

  4.3.4.执行信息传播管理任务。

  4.3.4.1.根据空军计算机网络作战与安全中心指示,执行、跟踪、记录并报告有时限的计算机网络命令。发布计算机网络作战任务命令,执行、跟踪、记录并报告符合一级司令部级别的有时限的计算机网络命令。当执行有时限的计算机网络命令时,确保上下级双方人员根据空军指令AFI 33-138遵守合规性程序。根据空军指令AFI 33-138发布适用于所有战区各自信息系统的全部C4飞行通报并对其进行评估。

  4.3.4.2.根据空军指令AFI 10-206起草情况报告。根据空军指令AFI 10-206起草业务活动/事件报告,记录并报告明显影响战区级系统的计算机网络事件。

  4.3.4.3.为计算机网络控制中心和战区内的其他计算机网络作战与安全中心用户提供帮助台服务;并将学到的经验教训和需要额外帮助的情况上传给更高一级的帮助台。

  4.3.4.4.在空军计算机网络作战与安全中心的指示下,为美国空军一级司令部C4系统提供态势感知和可视化服务,但在空军计算机网络作战与安全中心的指示下,通过计算机网络通用作战图或其他方法报告时,每次时间间隔不得少于12小时。在最低限度上,非保密互联网协议路由器网络、保密互联网协议路由器网络、空中交通管制与着陆系统(ATCALS)、自动化安全事故衡量(ASIM)、天气系统、自动化消息处理系统(Automated Message Handling System,AMHS)、全球指挥与控制系统(GCCS)以及基地水平电话连接将受到监控。其他系统可以根据要求指示添加。

  4.3.5.执行系统与计算机网络管理任务。

  4.3.5.1.为分配的基地提供并管理外部域名系统服务,用于信息技术服务的内部域名系统服务也包含在内,配合空军计算机网络作战与安全中心计算机网络作战分部解决空军级的域名服务问题。

  4.3.5.2.管理战场层(theater.af.mil、theater.ds.af.mil、theater.af.smil.mil和theater.ds.af.smil.mil)域名服务以及分配的IP地址。这些战场计算机网络作战与安全中心将按照4.5.4.9段规定的内容管理基地级别的IP地址。

  4.3.5.3.对于战区远程访问服务实施分布式控制。遵循4.5.4.9.2.1段规定的指示。

  4.3.5.4.对分配的基地提供战场水平的核心服务(如6.4段所定义的那样)。

  4.3.5.5.提供计算机网络时间协议(NTP)管理。计算机网络作战与安全中心将在战斗信息传输系统计算机网络管理与计算机网络防御(Network Management and Network Defense,NM/ND)界限内的所有系统上采用计算机网络时间协议,使系统时钟与本地全球定位系统(GPS)接收器保持同步。此外,确保在最低限度上计算机网络时间协议能够用于核心服务和骨干设备。

  4.3.5.6.检测影响战场计算机网络业务性能、用户服务水平、为重要应用程序提供支持以及核心服务的计算机网络事件,对这些事件做出响应并向空军计算机网络作战与安全中心及其他合适的机构报告。

  4.3.5.7.为分配的计算机网络控制中心提供技术援助。

  4.3.5.8.对计算机网络作战与安全中心管理的核心服务执行系统备份与灾难恢复程序。

  4.3.5.9.维持网站过滤功能以满足业务需求,如最低限度(MINIMIZE)标准。

  4.3.5.9.1.根据盟军通信出版物(Allied Communications Publication,ACP)121/美国补充版(United States Supplement,US SUP)-1,《通信指令总则》([C]Communication Instructions General[U])确立最低限度通知的本地化程序。

  4.3.5.10.通过战斗信息传输系统项目管理办公室提供的工具,监控并管理核心服务。

  4.3.6.实施信息安全保障与计算机网络防御。

  4.3.6.1.为战区/航空队(NAF)信息战小队提供支持。

  4.3.6.2.为所有基地在它们各自的战场内集中运行并管理边界保护与入侵检测工具。这可以通过在计算机网络作战与安全中心物理合并服务器或利用远程管理来实现。

  4.3.6.3.防止未经授权的入侵和恶意活动;根据空军指令AFI 33-138监控并报告入侵检测活动。

  4.3.6.4.监控、检测并实施计算机网络防御活动。

  4.3.6.5.与空军计算机网络作战与安全中心计算机网络作战分部和计算机网络控制中心维持安全的通信联系。

  4.3.6.6.利用漏洞评估软件工具分析计算机网络作战与安全中心控制下的基地计算机网络,找出潜在的漏洞,搜寻/推荐适当的保护措施。向空军计算机网络作战与安全中心计算机网络安全分部报告可疑的漏洞,并推荐保护措施。确保在其责任区范围内按季度实施漏洞扫描活动。

  4.3.6.7.根据空军指令AFI 33-202第1卷帮助制订战场层计算机网络安全政策。

  4.3.6.7.1.向战场信息安全保障办公室提供对战场独特系统认证与认可(C&A)所需的任何计算机网络报告。

  4.3.6.8.分析战场内所有计算机网络事件、问题和警报对用户的影响,并制定纠正措施或做出管理上的改变。

  4.3.7.采取以下措施满足空军参谋长整合服务器工作的意图:

  4.3.7.1.把所有战场外部计算机网络服务器(外部计算机网络服务器是允许.mil域名之外的任何人访问的那些计算机网络服务器)的管理工作整合给计算机网络作战与安全中心。空军国民警卫队将合并到技术上合适的地区性作战与安全中心或计算机网络作战与安全中心场所。利用远程管理、托管或以更适合作战任务的方式进行共享主机整合。

  4.3.7.2.帮助整合全部有价值的信息技术服务职能机构。首选的工作场所是国防信息系统局国防企业化计算机中心,不过,与计算机网络作战与安全中心或空军国民警卫队地区性作战与安全中心合并也是一种能够接受的选择。

  整合的方式可能包括远程管理、托管或以更适合作战任务的方式进行共享主机整合。在某些情况下,与计算机网络控制中心整合更加适合作战任务。

  4.3.7.3.管理桌面服务(第6.4.4段),以更适合作战任务的方式把这些服务合并到计算机网络作战与安全中心。

  4.3.7.4.任何新的应用程序及其服务器、核心服务、计算机网络服务或桌面服务与存储需求应利用远程管理、托管或共享主机整合,以适合于作战任务主要作战能力和全面作战能力的方式,满足服务器整合架构的意图。

  4.3.8.为战区指挥员和负责人提供战场计算机网络(非保密互联网协议路由器网络与保密互联网协议路由器网络)的可视化。

  4.3.9.在各自的战场内,为计算机网络作战与控制中心管理的设备提供计算机网络控制中心可视化功能,用于局部地区的态势感知。

  4.3.10.监督指定给计算机网络控制中心的政策、程序与特殊指令的实施。

  4.3.11.支持部署行动并保持联合功能。

  4.3.12.为规划、安装、运行和维护基地计算机网络硬件与软件提供工程指导。

  4.3.13.在战场计算机网络内执行计算机网络作战与安全中心级别的控制、维护与管理职能。

  4.3.14.管理战场电子邮件全局地址列表(GAL)。

  4.3.15.在空军计算机网络作战与安全中心的要求下,授予空军通信局企业化设计指导与评估项目检查人员管理权,使之能够访问计算机网络作战与安全中心和基地计算机网络,实施合规性评估与优化活动。

  4.3.15.1.企业化设计指导与评估项目检查人员将在获取本地计算机网络访问权之前完成本地账户访问要求或提供当前信息安全保障培训的证据。

  4.3.16.执行电话管理与语音保护

  4.3.16.1.为企业化范围内的企业化电话通讯管理(ETM)平台提供集中的业务管理与行政管理。(Provide centralized management and administration of the enterprise-wide Enterprise Telephony Management (ETM) platform.)

  4.3.16.2.为体系内的各基地和各驻外单位管理/宣传空军和战场范围内的语音保护系统(VPS)政策(规则集)以及站点具体政策。(Administer/disseminate Air Force and theater-wide voiceprotection system (VPS) policy (rule set) and site specific policies for each base and GSU in the enterprise.)

  4.3.16.3.根据上级指挥部的指示,在企业化电话通讯管理平台内修改现行的安全政策(规则集),对事件、异常情况与紧急情况做出响应。

  4.3.16.4.使受过培训的功能性系统管理人员精通服务器操作系统和企业化电话通讯管理平台具体软件的维护。

  4.3.16.5.利用平台生成司令部范围内的报告,并确保语音计算机网络的实时可视化。

  4.3.16.6.对故障、配置、账户、性能以及安全性(Fault, Configuration, Accounting, Performance, and Security,FCAP)执行全部业务管理工作。

  4.3.16.6.1.故障管理任务包括但不限于应用程序系统故障、系统检测出的通讯故障以及保障性基础设施故障的检测、记录与解决。

  4.3.16.6.2.配置管理任务包括但不限于语音保护系统与该系统基础设施(例如,IP地址和计算机网络ID、防火墙例外情况、电信主干术语表、电话号码与交换项目等等)技术性信息的搜集、配置与标识。

  4.3.16.6.3.账户管理任务包括但不限于控制并维护用户账户、系统访问密码、电话授权控制列表(telephony authorized control list,ACL)以及防火墙例外情况要求。

  4.3.16.6.4.性能管理任务包括但不限于对系统搜集到的用于基地、战场和空军层面管理决策的数据实施控制、操作、生成报告并进行分析。

  4.3.16.6.5.安全管理任务包括但不限于对未经授权的电话刺探进行检测、记录、报告并阻止其访问。

  4.3.17.对于本文档中列出的所有功能性目标,提供不断采集、存储、归档和检索计算机网络电话与应用程序流量数据的自动化功能。

  4.3.18.在得到通知,因作战节奏提高,需要激增人手的情况下,在4小时内实现全面作战的能力。关于4小时的响应时间在空军信息管理工具AF IMT 723《设计作战能力声明分类》第IIB节(Sorts Doc Statement)有注解,并且指出空军指令AFI 33-115第1卷为响应时间资源参考资料。并不适用于空军后备队司令部和空军国民警卫队。

  4.3.19.与计算机网络控制中心和客户支持管理员一起,负责计算机网络上的公共密钥基础设施(PKI)激活设备。完整的公共密钥基础设施职责可以安排在空军手册AFMAN 33-223 《标识与验证》(Identification and Authentication)中。

  4.3.20.与空军一级司令部/基地记录管理人员合作,确保所有企业存储服务记录管理程序得到执行和延续。

  4.4.综合计算机网络作战与安全中心(I-NOSC)。

  4.4.1.综合计算机网络作战与安全中心是我们空军计算机网络未来的发展方向。它们将:

  4.4.1.1.执行目前由美国空军一级司令部计算机网络作战与安全中心在空军计算机网络作战指挥员指挥下开展的工作。这些地区性综合计算机网络作战与安全中心为指挥员提供了深入观察计算机网络的能力,以实现作战目标。综合计算机网络作战与安全中心必须建立为指挥员提供计算机网络部队实时存在的能力。在它们的战场内,各综合计算机网络作战与安全中心管理当前由空军一级司令部计算机网络作战与安全中心执行的职能,如计算机网络防御、生成体系态势情况图、管理计算机网络配置并提供信息安全保障与频谱管理。这包括音频、视频以及由全球信息栅格支持的数据计算机网络。综合计算机网络作战与安全中心必须朝着全面作战能力迅速发展,远程管理基地级别的文件、打印与消息服务器,随后是在它们的责任区内远程管理应用程序服务器。

  4.4.2.执行过程。

  4.4.3.综合计算机网络作战与安全中心是空军用于计算机网络防御与计算机网络传输的战役水平作战指挥中心。综合计算机网络作战与安全中心是空军计算机网络作战与安全中心的执行机构,并为全球信息栅格空军子网(星座网)提供指挥与控制以及防御功能。

  4.4.4.综合计算机网络作战与安全中心确保空军计算机网络能够执行、保障并发展联盟、联合、空军及部门间的行动。通过一种通用环境,综合计算机网络作战与安全中心为空军计算机网络作战与安全中心、作战司令部以及空军一级司令部提供态势感知。各综合计算机网络作战与安全中心将监控基地水平计算机网络控制中心的运行,同时对企业化范围内的基础设施提供远程管理。

  4.4.5.执行策略。

  4.4.5.1.执行计划(implementation plan,I-Plan)需要考虑设备和技术方面的需要,以满足综合计算机网络作战与安全中心最终作战能力(FOC)对于地面计算机网络的要求。执行计划讨论了在不制定人事变动计划的情况下,为综合计算机网络作战与安全中心提供支持所需的人员与需求。

  4.4.5.2.截止到2010财政年度,机载和太空计算机网络将被削减;不过,这一计划将不会概述其在综合计算机网络作战与安全中心内部的全面执行情况。

  4.4.5.3.当前在计算机网络作战部(NOD)与国家安全处(National Security Directorate,NSD)控制下的全球信息栅格空军子网,只要有任何一部分划归综合计算机网络作战与安全中心行使作战控制,则该中心就生成了初步作战能力(Initial operating capability,IOC)。当全球信息栅格空军子网整个地面部分由综合计算机网络作战与安全中心直接指挥与控制时,最终作战能力生成。

  4.4.5.4.此策略被划分成螺旋型路线,以一种自上而下的方法接收计算机网络的指挥与控制权。螺旋线路线围绕综合计算机网络作战与安全中心的责任区实施。

  该路线在向下深入的同时接管企业化计算机网络某一层的控制权。这种策略有别于从一个一级司令部到另一个一级司令部,或从一个基地到另一个基地的策略,后一种策略会在接管下一个一级司令部或基地之前,完全接管一个一级司令部或基地的控制权。

  4.4.5.5.全球信息栅格空军子网结构必须逐渐成熟,转变到最终的理想状态。这种渐进的变化与一种阶段式的方法有关,围绕3种计算机网络作战层,如空军计算机网络作战与安全中心、综合计算机网络作战与安全中心以及计算机网络控制中心,确立并调整全球信息栅格空军子网作战的实施。第一阶段是在近期规定一种企业化结构,将在2006财政年度之前安排到位。最后一个阶段确定最终状态架构,目标是在2011财政年度完成。

  4.5.计算机网络控制中心。

  计算机网络控制中心监控计算机网络运行,帮助实现信息安全保障,并生成基地计算机网络内部的可视化。空军联队和战场空军基地指挥员通过计算机网络控制中心,对固定基地或部署的场站计算机网络履行指挥与控制权。基地内的局域网(LAN)和城域网(MAN)被视为基地计算机网络的一部分,而且由计算机网络控制中心管理。因此,计算机网络控制中心是基地各个方面计算机网络(包括无线局域网)运行、维护和管理的中心联络点(由于传统的无线设备可能存在人员配备与培训不足的情况,计算机网络控制中心需要与适当的职能机构达成协议备忘录)。当计算机网络作战与安全中心或空军计算机网络作战与安全中心下达指令时,计算机网络控制中心提供现场的技术性能力,执行物理计算机网络的改变与调整,并且对出现故障的计算机网络传输设备与电路进行恢复。利用计算机网络管理、计算机网络策略管理以及信息保护工具,计算机网络控制中心技术人员为功能性系统管理人员、客户端支持管理员和用户提供核心服务。计算机网络控制中心还负责位于其责任区内的所有公共密钥基础设施启动装置。完整的公共密钥基础设施职责可以在空军指令AFI 33-202第6卷,《身份管理》(Identity Management)中加以确定。计算机网络控制中心将:

  4.5.1.全天候运行(具备连续不断的人手或业余时间随叫随到的响应能力)。空军国民警卫队和空军后备队司令部采取每周40小时的工作制(从周一至周五)。

  4.5.2.当接到计算机网络作战与安全中心或空军计算机网络作战与安全中心的指令时,确保有现场人员存在。

  4.5.3.在得到通知,因作战节奏提高,需要激增人手的情况下,在4小时内实现全面作战的能力。这会确保有现场人员存在,以满足单位提高通信要求的需要。部队将在空军信息管理工具AF IMT 723第IIB段注解4小时的反应时间,并在空军指令AFI 33 -115第1卷做出说明,作为响应时间来源的参考文件。并不适用于空军后备队司令部和空军国民警卫队。

  4.5.4.执行信息传播管理任务。

  4.5.4.1.根据需要,执行计算机网络作战任务命令。根据空军指令AFI 33-138,执行有时限的计算机网络命令。当执行有时限的计算机网络命令时,确保双方人员根据空军指令AFI 33-138遵守合规性程序。根据空军指令AFI 33-138,利用C4飞行通报。

  4.5.4.2.根据空军指令AFI 10-206,起草情况报告。根据空军指令AFI 10-206,起草业务活动/事件报告,记录并报告明显影响基地水平系统的计算机网络事件。

  4.5.4.3.为基地水平的用户和客户端支持管理员提供帮助台服务,充当计算机网络的联络点,包括空军信息技术服务、问题解决方案。把吸取到的经验教训及需要额外援助的情况上交给更高一级的帮助台。

  4.5.4.4.把超出计算机网络控制中心能力的问题上报给计算机网络作战与安全中心,寻求解决方案,并在必要时通知战场信息安全保障办公室。

  4.5.4.5.在计算机网络作战与安全中心的指示下,为基地水平的C4系统提供态势感知与可视化服务,但通过计算机网络通用作战图,每次的时间间隔不得少于12小时。按照最低限度标准,将监控非保密互联网协议路由器网络、保密互联网协议路由器网络、国防交换网(DSN)、空中交通管制与着陆系统、自动化安全事故衡量、天气系统、自动化消息处理系统以及全球指挥与控制系统。其他系统可以根据要求规定添加。把要求转呈空军通信局应急通信计算机网络。(并不适用于空军国民警卫队计算机网络控制中心。空军国民警卫队地区性作战与安全中心执行这一职能。)

  4.5.4.6.根据空军部部长办公室作战一体化和首席信息官办公室的规定,为功能性系统管理人员、客户端支持管理员以及用户的空军信息技术服务提供灵活、具备一定扩展水平的服务。

  4.5.4.7.执行系统与计算机网络管理任务。

  4.5.4.8.如果内部基地的域名服务不是由战场计算机网络作战与安全中心集中管理,则由计算机网络控制中心管理。

  4.5.4.9.利用动态主机配置协议(DHCP)管理基地的所有IP地址空间。动态主机配置协议将为以下机器分配动态IP地址:

  4.5.4.9.1.所有连接到内部基地计算机网络的非关键性工作站。非关键性工作站将有适用于它们的30天租用期;这会确保在每次发放新的IP地址时,会给工作站分配相同的IP地址,这具有相对的确定性。当证明IP地址空间短缺,不足以满足动态主机配置协议范围的需要时(如超过80%的IP地址利用率),特定范围IP地址的租用期会调整到更短时间,这样IP地址可以更为迅速地恢复。并不适用于空军国民警卫队。

  4.5.4.9.2.远程访问客户端。根据空军指令AFI 33-202第1卷,将实现远程访问调制解调器的使用。

  4.5.4.9.2.1.与计算机网络作战与安全中心协同,提供并控制所有远程拨入/拨出(dial-in/dial-out)通信接入服务。在战斗信息传输系统计算机网络作战管理/计算机网络防御(NBM/ND)的边界内安排通信服务器能够处理拨入和拨出服务,防止可能的后门访问。这意味着各机构不会把外部访问设备与基地计算机网络相连接。计算机网络控制中心控制所有的远程拨入/拨出通信服务。计算机网络控制中心会在防火墙的另一个替换接口(不是内部或外部接口)上安排所有的远程拨入/拨出通信服务器(远程访问服务器)。如果替换接口不能使用,远程访问服务器将关闭防火墙的外部接口。(并不适用于空军国民警卫队计算机网络控制中心。)

  4.5.4.9.2.2.空军国民警卫队计算机网络控制中心。战斗信息传输系统并不为空军国民警卫队计算机网络控制中心提供计算机网络作战管理/计算机网络防御设备。空军国民警卫队为各计算机网络控制中心采购防火墙(支持战斗信息传输系统)。计算机网络控制中心控制所有的远程拨入/拨出通信服务。计算机网络控制中心会在另一个替换接口(不是内部或外部接口)或防火墙上安排所有的远程拨入/拨出通信服务器(远程访问服务器)。

  4.5.4.9.2.3.空军国民警卫队计算机网络控制中心将会在安全界限内的所有系统上使用计算机网络时间协议,使系统时钟与当地的全球定位系统接收器或经过批准的国防部资源保持同步。此外,确保在最低限度上计算机网络时间协议能够用于核心服务而且骨干设备能够使用计算机网络时间协议。由于固有的安全问题,最好不允许外部计算机网络时间协议资源穿越计算机网络作战管理/计算机网络防御边界。不过,作为例外情况,从其更高一级的地区性作战与安全中心接受计算机网络时间协议的空军国民警卫队计算机网络控制中心将允许计算机网络时间协议通过防火墙(如从IP地址到IP地址)。

  4.5.4.9.2.4.提供计算机网络时间协议管理。根据计算机网络控制中心技术规范(TO),计算机网络控制中心将在战斗信息传输系统计算机网络作战管理/计算机网络防御边界内的所有系统上使用计算机网络时间协议,同步系统时钟。此外,确保在最低限度上计算机网络时间协议能够用于核心服务并且骨干设备能够使用计算机网络时间协议。由于固有的安全问题,不允许外部计算机网络时间协议资源穿越计算机网络作战管理/计算机网络防御边界。(并不适用于空军国民警卫队计算机网络控制中心。)

  4.5.4.10.把全部空军所有的计算机网络隐藏在计算机网络控制中心/计算机网络作战与安全中心/空军国民警卫队地区性作战与安全中心信息安全保障边界之后。计算机网络作战与安全中心、空军国民警卫队地区性作战与安全中心或计算机网络控制中心将利用计算机网络管理与安全工具管理并监控所有的组网设备。在所有情况下,由于此要求生成的主机租用协议和服务水平协议必须遵守空军政策。以下情况适用于驻扎在空军基地的非空军部队:

  4.5.4.10.1.驻扎在空军设施里、使用宿主基地核心服务(见第6章)的所有非空军部队必须位于安全边界之后,并遵守宿主基地计算机网络的安全政策。

  4.5.4.10.2.在24小时之内将发现的所有后门程序报告给计算机网络作战与安全中心。把修复后门的过程通报给计算机网络作战与安全中心。

  4.5.4.10.3.任何在空军设施内没有使用宿主基地核心服务(见第6章)的非空军部队,可以拥有与宿主基地计算机网络相隔离的专用计算机网络。这些计算机网络必须坚持以下指导原则:

  4.5.4.10.3.1.此计算机网络必须与宿主基地计算机网络物理隔离。不允许此计算机网络上的设备以任何方式与基地数据计算机网络连接。

  4.5.4.10.3.2.此计算机网络必须连接到安全边界之外,并且只能通过外面的安全边界与基地计算机网络通信。空军国民警卫队网站将把外部站点(非驻外单位)连接到专用的防火墙端口,以维持合适的安全状态。

  4.5.4.10.3.3.使用机构将负责任何一个或全部计算机网络组件的投资,以及与其连接相关的任何投入。

  4.5.4.10.3.4.使用机构负责遵守国防部要求的所有信息安全保障措施,包括入侵检测与漏洞修补。

  4.5.4.10.3.5.为基地水平用户提供消息服务[如自动化信息处理系统和简单邮件传输协议(SMTP)电子邮件]。如果计算机网络作战与安全中心或空军国民警卫队地区性作战与安全中心正在履行这些职责,不必要求计算机网络控制中心从事该项工作。

  4.5.4.10.4.空军所有的军事与文职人员都将分配一个电子邮件地址。这是一个强制性的合规问题。

  4.5.4.10.5.当非空军部队驻扎在空军基地时,该部队内所有的空军人员都将拥有一个空军电子邮件账户,由当地基地计算机网络控制中心或支援性计算机网络作战与安全中心保障。

  4.5.4.10.5.1.国防部站点上的所有空军人员都将拥有由空军基地计算机网络控制中心或支援性计算机网络作战与安全中心分配的空军电子邮件账户,为这些人员勤务军事人员飞行活动提供支持。如果该单位没有勤务军事人员飞行活动,则下一段落将发挥作用。

  4.5.4.10.5.2.分配到任何一个非国防部站点的所有空军人员都将拥有一个通过第11通信中队建立的“af.mil”电子邮件账户。这些人员可以通过计算机网络邮件访问网站。

  4.5.4.10.5.3.所有新加入的人员在完成基本培训或接受委任之后,都将拥有空军的一个电子邮件账户。这要么是在科技院校要么是在他们首次任职的时候,看哪一个首先发生了。

  4.5.4.10.5.4.电子邮件账户将在成员永久性调动职务(permanent change of station,PCS)60天内保持有效可用。60天以后,用户电子邮件里的内容将由原计算机网络控制中心或支援性计算机网络作战与安全中心转移到接收基地新创建的电子邮件账户。在这次转移之后,原有的账户将被删除,接收基地的计算机网络控制中心将把新的电子邮件地址通知基地军事人员飞行中的成员,以登录军队人事资料系统(Military Personnel Data System,MILPDS)。这是负责人事的副总参谋长的一项要求,缘于一些基地水平军事人员飞行职能的终结:在任何时刻飞行员都不能没有一个电子邮件账户,因为它会被空军五角大楼通信局用于人事方面的事宜。

  4.5.4.10.5.5.电子邮件账户和所有相关的电子邮件会在成员离任60天后被删除。即将离任的成员可以通过计算机网络邮件访问这一账户。

  4.5.4.10.6.保护并管理战斗信息传输系统通用空军无线解决方案。

  4.5.4.10.6.1.计算机网络控制中心将控制任何用于提供无线接入基地计算机网络的硬件或软件。

  4.5.4.10.6.2.所有使用基地无线基础设施的客户端设备都应满足空军指令AFI 33-202第1卷以及战斗信息传输系统通用无线局域网(WLAN)解决方案中明确的要求,或拥有一份经过批准的豁免文件。此外:

  4.5.4.10.6.3.无线客户端设备在连接基地无线基础设施之前,必须在计算机网络控制中心注册。在注册的时候,计算机网络控制中心将记录一件设备特定的认证因素——通常是设备的介质访问控制(MAC)地址——用于硬件认证。

  4.5.4.10.6.4.丢失或被盗的无线设备必须尽快报告给计算机网络控制中心。此类设备的条目将从所有的访问控制列表中删除。如果从访问控制列表中恢复,设备特定的认证因素会被认为是遭到了破坏,将在设备重新部署之前加以改变。

  4.5.4.10.6.5.所有的无线客户端设备必须运行经过批准、得到空军认可的杀毒软件。

  4.5.4.10.6.6.所有的无线客户端设备必须使用美国联邦信息处理标准(FIPS)认证的安全客户端(通常是软件),与计算机网络控制中心管理的无线局域网网关/交换机兼容。

  4.5.4.10.6.7.无线客户端设备不允许专用无线组网或直接点对点无线组网。

  4.5.4.10.6.8.具备直接访问计算机网络功能的系统(如通过以太网)将不提供无线数据连接。具备外部无线计算机网络接口或集成无线接口的任何计算机网络设备必须在通过光缆或以太网连接无线计算机网络之前禁用无线接口。禁用集成接口的方法将通过应用一种自动化的软件解决方案,该软件解决方案执行所需的安全政策。集成了无线计算机网络接口卡(NIC)的设备,如果其无线计算机网络接口卡不能通过自动化的流程禁用,则需要在人工禁用计算机网络接口卡并接入有线计算机网络之前先得到战区指定审批机构(DAA)的批准。由于面临的风险较低,无线定位装置(指鼠标、触摸板、触摸屏等)不需要使用加密措施。

  4.5.4.10.6.9.密码和敏感信息不能无线传输,除非根据空军指令AFI 33-202第1卷和空军手册AFMAN 33-223中所列出的空军无线政策,经过了加密。这包括无线键盘与无线终端,但不包括定位装置。

  4.5.4.11.计算机网络作战要求。

  4.5.4.11.1.除空军国民警卫队以外,其他单位必须在计算机网络作战与安全中心和/或计算机网络控制中心集成战斗信息传输系统以及计算机网络作战管理/计算机网络防御套件。

  4.5.4.11.2.必须能够远程断开与计算机网络控制中心和计算机网络作战与安全中心连接的无线接入点。

  4.5.4.11.3.计算机网络控制中心将扩展当前的计算机网络漏洞扫描程序,把无线计算机网络包括在内。

  4.5.4.11.4.提供一组核心的办公自动化应用程序支持服务。

  4.5.4.11.5.根据计算机网络作战与安全中心、空军计算机网络作战与安全中心或项目管理人员的要求,实施软件修补与安全修补。

  4.5.4.11.6.报告最近没有被计算机网络作战与安全中心或空军计算机网络作战与安全中心检测发现的事件。

  4.5.4.11.7.与计算机网络作战与安全中心协调,规划、安装、运行并维护基地计算机网络硬件与软件。

  4.5.4.11.8.在计算机网络控制中心管理的服务器上定期执行日常的系统备份与恢复操作。至少每季度要对恢复程序进行一次测试,以确保程序准确运行。

  4.5.4.11.9.从现有行动/作战计划研究本地恢复与应急行动计划。对恢复计划进行验证,至少每半年进行一次测试。

  4.5.4.11.10.维护计算机网络和设施的配置、迁移与更新计划。

  4.5.4.11.11.为当地的基地计算机网络实施故障管理。

  4.5.4.11.11.1.当需要进行测试、故障排除和恢复服务时,向无人或用户与购买人所在的位置派出技术人员。

  4.5.4.11.11.2.与工作控制购买人、当地支持机构和远程支持机构以及承包商进行协调,隔离故障、恢复服务并进行修复。

  4.5.4.11.11.3.确保建立故障呼叫流程。

  4.5.4.11.12.为客户端支持管理员和功能性系统管理人员提供计算机网络与小型计算机维护支持。

  4.5.4.11.13.当需要和维护一片静电放电维护区时,为功能性系统管理人员和客户端支持管理员提供技术支持。见技术规范TO 00-25-234,第7章,查阅有关指导说明。

  4.5.4.11.14.把故障隔离到可更换部件(LRU)和单项设备水平。故障隔离的方法包括自动诊断以及良好的故障排除技巧。

  4.5.4.11.15.为当地的基地计算机网络实施配置管理。与基地的职能性部门合作,方便系统的应用。提供与特定系统关联的数据库端口、协议与服务。空军国民警卫队使用中央数据库和计算机网络作战与安全中心。

  4.5.4.11.16.准备并更新计算机网络地图与设施装备清单。根据需要提供战区计算机网络作战与安全中心备份。

  4.5.4.11.17.根据第10章的相关规定确立维护合同与保修计划。

  4.5.4.11.18.根据空军指令AFI 33-114,《软件管理》(Software Management)建立凭据管理方案,确保授权用户能够访问基地计算机网络软件。

  4.5.4.11.19.与规划/实施部门以及系统电信工程管理人员(Systems Telecommunications Engineering Manager,STEM)合作,参与基地传输介质和电信系统计算机网络的评估与规划。确保传统或非智能的计算机网络设备集成远程管理功能,提高集中管理的效果、性能与质量。

  4.5.4.11.20.根据空军指令AFI 33-114执行最小化的应用程序增强和软件计量。

  4.5.4.11.21.根据空军指令AFI 33-112《计算机系统管理》(Computer Systems Management)[将变成《信息技术资产管理》(Information Technology Asset Management,ITAM)],对计算机网络控制中心装备的信息技术设备执行监管(EC)职责。

  4.5.4.11.22.当需要时,对计算机网络控制中心控制的设备提供援助并执行加密装备更新。

  4.5.4.11.23.提供基地计算机网络/计算机网络控制中心硬件与软件安装服务。

  4.5.4.11.23.1.硬件:计算机网络控制中心安装并配置计算机网络服务、路由器、集线器、网桥、中继器与服务器。他们测试并证明设备安装调试验收测试。空军国民警卫队将根据计算机网络作战与安全中心的指示,集中管理企业化系统(AD、交流等)。

  4.5.4.11.23.2.软件:根据空军指令AFI 33-114,计算机网络控制中心接收并登记计算机网络软件,测试并验证新的软件应用程序和计算机网络操作系统。

  4.5.4.11.23.2.1.分发并安装计算机网络软件版本与更新,协助客户进行软件的安装与定制。

  4.5.4.11.23.2.2.安装并配置简单邮件传输协议主机、中继器与网关。空军国民警卫队将根据计算机网络作战与安全中心的指示进行配置。

  4.5.4.11.23.2.3.当不再需要或授权终止时,评估网站许可协议并从系统中删除软件。根据空军指令AFI 33-114,部署或重新分配多余的软件。

  4.5.4.11.24.执行基地计算机网络管理规划。

  4.5.4.11.25.维护基地计算机网络特性并验证国防信息系统局最小必需电路清单(MECL)和国防信息技术承包办公室(DITCO)数据库产品。

  4.5.4.11.25.1.核对本地与长途用户电信线路信息。

  4.5.4.11.25.2.根据其他机构数据库与前瞻性修正的需要,验证当前的计算机网络配置。(可能是在用户的电路活动办公室实施。)

  4.5.4.11.26.执行基地范围内的配置标准化与配合工程。

  4.5.4.11.26.1.准备并更新站内系统框架图、计算机网络地图以及设施装备清单;维护计算机网络与设施配置计划;实施细微的计算机网络工程;监控管理信息库的变量;并就新系统向用户提供建议和意见。

  4.5.4.11.27.结合基地通信与信息系统军官和计划职能,执行以下任务:

  4.5.4.11.27.1.评估项目支持协议(Project Support Agreements,PSA),并与相应的机构协调纠正。

  4.5.4.11.27.2.在安装团队抵达并准备工具之前,与工程和安装(EI)团队和/或商业供应商进行协调。

  4.5.4.11.27.3.利用安装或升级计划为团队领导提供帮助,并为其保驾护航。

  4.5.4.11.27.4.完成国防部安全协定格式《物资检验与接收报告》(Material Inspection and Receiving Report)、空军信息管理工具《通信与信息系统验收证书》(Communications and Information Systems Acceptance Certificate)以及工程与安装评估。

  4.5.4.11.28.对基地计算机网络支持开展合同管理。

  4.5.4.11.28.1.整合并评估基地范围内由计算机网络控制中心管理的计算机网络与系统组件,作为合同技术保障的备用件。

  4.5.4.11.28.2.向单位计划职能部门提交投入情况,用以说明工作进展情况。

  4.5.4.11.28.3.在准备质量保证监测计划过程中,为计划职能部门提供帮助,并根据之前所确定的相关事宜,履行合同质量保证评估功能。

  4.5.4.11.29.执行基地计算机网络预算规划。

  4.5.4.11.29.1.对于计算机网络控制中心全部的需求和作战职能,研究/提交预算投入并要求有较高水平的拨款。

  4.5.4.11.29.2.根据空军指令AFI 64-117,《空军政府采购卡计划》(Air Force Government-Wide Purchase Card [GPC] Program),监控基地计算机网络资金投入,并处理政府采购卡对于硬件与软件采购的要求。

  4.5.4.11.30.当技术上可行经济上允许,且依照国防信息系统局的规程服务质量不降低时,远程执行国防通信系统(DCS)主要系统控制设施(PSCF)、修补与测试设备、国防通信系统交换中心的职能与职责,或其他国防通信系统的操作职能。为了在紧急情况下为航空联队提供支持,计算机网络控制中心接管主要系统控制设施负责国防通信系统服务控制的责任与权力。

  4.5.4.11.31.对当地的基地计算机网络实施性能管理。

  4.5.4.11.32.合并基地水平计算机网络性能数据与安全数据,并提供分析报告,根据需要从空军计算机网络作战层次结构中提取信息。利用合并后的信息确定造成服务不足、性能低下和安全出现漏洞的原因。在汇总分析的基础上,对改变计算机网络配置、硬件或软件、程序以及人员培训提出建议。

  4.5.4.11.33.监控并优化计算机网络性能。

  4.5.4.11.34.与基地其他通信单位进行协调,执行安装、验收测试、质量保证、故障隔离以及基础设施恢复等功能。

  4.5.4.11.35.维持网站过滤功能以满足业务需求,如最低限度标准。如果计算机网络作战与安全中心或空军国民警卫队地区性作战与安全中心正在履行这些职责,不必要求计算机网络控制中心从事这项工作。

  4.5.4.11.36.对非国防通信系统的线路确立单独的电路参数与系统参数。根据国防信息系统局通知(DISA Circular,DISAC)DISAC 300-175-9——《国防通信系统操作维护电气性能标准》(DCS Operating Maintenance Electrical Performance Standards)制订参数,并以商业租赁设备与电路性能标准加以辅助。

  4.5.4.11.37.根据系统和电路的运行规范以及操作需要或任务需要确立初始性能阀值。

  4.5.4.11.38.远程测试用户设备、终端到终端电路、系统和计算机网络,验证提供的服务和输入与输出信号是否符合标准。

  4.5.4.11.39.调整远程计算机网络元件设备,优化服务。

  4.5.4.11.40.记录配置数据、测试数据、故障表现、协调努力、实施的故障隔离步骤以及其他有用的信息。利用这些信息评估并控制运行、服务功能和服务质量。

  4.5.4.11.41.就基础设施服务的质量向管理层提供报告。

  4.5.4.11.41.1.执行系统诊断,并设置全球性报警阀值与系统参数。

  4.5.4.11.41.2.利用高性能的工具,确保计算机网络运行得到优化,监控系统日志、分析带宽利用率并设置全球性的参数,防止敌人对整个通信计算机网络造成影响。核心系统必须具有关键路径冗余。

  4.5.4.11.42.执行计算机网络/电路质量控制(QC)测试与评估。

  4.5.4.11.42.1.生成并更新质量控制时间表。

  4.5.4.11.42.2.在质量控制测试期间,计划、提供、协调并验证备用服务。

  4.5.4.11.42.3.获取并监控由维护控制工作中心公布的预防性维护检查时间表。

  4.5.4.11.42.4.与受影响的工作中心和外部机构进行协调,开展运行中/停止运行时质量控制测试和预防性维护检查的实施。

  4.5.4.11.42.5.一旦测试/预防性维护检查完成,原来的电路/设备经验证能够胜任工作需要,协调并停用备用服务。

  4.5.4.11.42.6.分析质量控制性能趋势分析数据(在运行中/停止运行质量控制测试中收集的),以确定电路/系统/计算机网络退化的趋势或模式,当需要时,迅速向用户位置派遣人员,或从用户位置向其他地点派遣人员,生成并且分析损耗报告。

  4.5.4.11.42.7.当需要时,提交国防部安全协定格式DD Form 1368,《修改租赁的通信设施用途》(Modified Use of Leased Communication Facilities),如有必要,在缺乏系统控制设施的情况下,分析、准备并提交质量控制豁免请求。

  4.5.4.11.43.对当地的基地计算机网络实施安全管理。

  4.5.4.11.43.1.根据适用的与安全相关的出版物和战术、技术与程序实施信息保护行动(IPO)。

  4.5.4.11.44.安装并设置审核工具。

  4.5.4.11.45.实施信息安全保障与计算机网络防御。

  4.5.4.11.45.1.进行脆弱性评估,测试并验证计算机网络与系统的安全性。如果发现漏洞,把测试结果提交给适当的系统管理员、部队指挥员、指定审批机构、联队与战区负责信息安全保障的军官以及空军计算机网络作战与安全中心,并给出一定的建议。根据空军指令AFI 33-138,报告发现的漏洞。

  4.5.4.11.45.2.进行日常流量分析,确定并描述事件,利用空军批准的入侵检测工具生成事件报告。调查各个项目,澄清并解开可疑活动的真相。根据空军指令AFI 33-138,报告经过证实的可疑活动。如果战区计算机网络作战与安全中心已经完成了此项工作,计算机网络控制中心则不必履行这项职能。( 并不适用于空军国民警卫队计算机网络控制中心。由空军国民警卫队地区性作战与安全中心履行此项职能。)

  4.5.4.11.45.3.评估空军计算机网络作战与安全中心的通告,针对已经证明的漏洞,验证在计算机网络控制中心控制下的系统得到了有效的保护。

  4.5.4.11.45.4.当计算机安全配置较弱、存在漏洞并且被未经授权的人员或机器访问、利用或遭到破坏时,应通知信息系统安全官(ISSO)、客户端支持管理员、功能性系统管理人员和/或用户。

  4.5.4.11.45.5.对空军计算机系统[包括连接到计算机网络的计算机、独立的计算机以及移动(无线)计算机]的用户提出警告:他们的应用构成应满足空军指令AFI 33-219《电信监测与评估计划》(TMAP)明确的监控内容。

  4.5.4.11.45.6.在连接到基地计算机网络基础设施之前,应得到全球信息栅格空军子网指定审批机构(空军第8军司令员)的批准。不符合这一规定的局部系统与计算机网络应被终止服务并/或断开与计算机网络的连接。并不适用于空军国民警卫队。

  4.5.4.11.45.7.提供、管理并控制(必要时与空军计算机网络作战与安全中心协调)对于非保密互联网协议路由器网络、保密互联网协议路由器网络和互联网的访问。

  4.5.4.11.45.8. 经过与计算机网络作战与安全中心协调,计算机网络控制中心将管理任何一种/全部安全策略实施工具并监控全部计算机网络设备。

  4.5.4.11.45.9.为战斗信息传输系统计算机网络作战管理/计算机网络防御边界内所有的服务器装备基于主机的入侵检测和计算机网络安全分析与扫描工具。并不适用于空军国民警卫队计算机网络控制中心。

  4.5.4.11.45.10.通过审查并监控计算机网络上发生的事件,确定薄弱的安全配置以及安全漏洞。

  4.5.4.11.45.11.监控审查日志与错误日志以找出违反安全性的事情。

  4.5.4.11.45.12.测试并验证计算机网络安全性,为空军所有的系统确立并维护一条目标底线。

  4.5.4.11.45.13.确定受影响的计算机网络,并保护该网络上的计算机系统。确定那些漏洞已被人利用的计算机。

  4.5.4.11.45.14.为联队信息安全保障办公室提供基地计算机网络和系统认证与认可所需要的任何计算机网络报告。

  4.5.4.11.45.15.根据空军指令AFI 33-202第1卷帮助制订基地范围内的计算机网络安全政策。

  4.5.4.11.45.16.就所有基地独特的认证与认可文件包或要求开展协调。

  4.5.4.11.45.17.根据空军指令AFI 33-138,针对计算机安全与病毒感染事件制订本部门报告与响应程序。与联队信息安全办公室合作,确定内部活动的细节,如本部门报告的通道、确定通报对象的标准等等。

  4.5.4.11.45.18.实施本部门计算机网络防御活动,并对计算机网络作战与安全中心或空军计算机网络作战与安全中心下达的指令做出响应。

  4.5.4.11.45.19.无论全球信息栅格空军子网基础设施组件位于什么位置,都要确保它们的物理安全。

  4.5.4.11.45.20.分析基地内所有计算机网络事件、问题和警报对用户的影响,并制定纠正措施或做出管理上的改变。

  4.5.4.11.45.21.与战区计算机网络作战与安全中心协调,采取以下措施满足空军参谋长整合服务器工作的意图:

  4.5.4.11.45.21.1.把所有的电子邮件、内部(防火墙之内)网页与打印服务器整合给战区计算机网络作战与安全中心、空军国民警卫队地区性作战与安全中心或计算机网络控制中心,利用远程管理、托管或共享主机等方法整合为最适合作战任务的形式。

  4.5.4.11.45.21.2.如果不能在国防企业化计算机中心或计算机网络作战与安全中心利用远程管理、托管或共享主机等方法,整合为最适合作战任务的形式,则把有价值的功能性机构整合给计算机网络控制中心。

  4.5.4.11.45.21.3.实施桌面服务(第6.4.4段)远程管理,以更适合作战任务的方式把这些服务合并到计算机网络控制中心。

  4.5.4.11.45.21.4.引导功能性系统管理人员和客户端支持管理人员熟悉本地计算机网络的运行与程序。

  4.5.4.11.45.21.5.根据空军指令AFI 33-129——《万维网管理与互联网使用》(Web Management and Internet Use),确立、维护并强化基地互联网使用政策。

  4.5.4.11.45.21.6.根据上级一级司令部的要求,授予空军通信局企业化设计指导与评估项目检查人员管理权,使其能够进入基地计算机网络,实施合规性评估与优化活动。

  4.5.4.11.45.21.7.与基地记录管理人员合作,确保所有企业化存储服务记录管理程序得到实施和保持。

  4.6.功能性系统管理人员。

  功能性系统管理人员确保由系统、服务器、工作站、外部设备、通信设备以及软件组成的功能性社区处于联网状态,并且得到适当的支持。他们必须深入了解用户的任务,并且在为功能性系统提供支持的过程中完全了解硬件和软件的功能与局限性。他们的职责从用户终端延伸到服务器,但通常不包括计算机网络骨干基础设施,除非是根据独立的服务水平协议、协议备忘录或谅解备忘录确立,或在部署环境下根据空军部队A-6的指示确立的职责。功能性系统管理人员通常不指派给计算机网络控制中心,但却是计算机网络控制中心功能在本地的扩充。功能性系统管理人员可能拥有各种功能性机构(如补给、人事管理、维护等)的空军专业代码(AFSC),这些功能性系统管理人员职能处于IT-2(DOD 8500.2)和ADP-2(DOD 5200.2-R)级别。功能性系统管理人员将:

  4.6.1.遵守本指令的相关政策。执行由计算机网络控制中心授权的相关职责,优化性能和服务的质量。如果可能,整合一家机构或一幢建筑物内的系统管理职责,在服务水平协议、协议备忘录或谅解备忘录的基础上把它们与计算机网络控制中心合并在一起。

  4.6.2.确保服务器、工作站、外部设备、通信设施以及操作系统/应用软件在计算机网络运行过程中得到了正确配置,处于联网状态,并且能够为用户提供服务。

  4.6.3.定期评估机构对于计算机资源的需求。

  4.6.4.明确应用程序的所有权,确定哪些人能够读取和执行程序。

  4.6.5.根据空军手册AFMAN 33-223分配并维护用户ID和密码。管理系统上的用户权限(如当用户共享文件时)。

  4.6.6.为系统硬件和软件短期与长期的损耗制订计划。如果在系统配置过程中功能性系统管理人员缺席,功能性系统管理人员与计算机网络安全管理人员必须就应急计划达成一致。这可能涉及到让另一批功能性系统管理人员远程管理该套系统。

  4.6.7.监控系统的效能(如发现并解决系统的瓶颈问题)。

  4.6.8.实施例行的系统维护,如备份或归档应用程序数据文件,并添加应用程序的软件更新。

  4.6.9.充当系统故障检修员,在保持系统运行过程中发挥关键作用。必要时,联系计算机网络控制中心开展硬件维护工作。

  4.6.10.与计算机网络控制中心合作,按照基地安全政策概括的要点执行计算机网络安全政策与程序。

  4.6.11.确保实施终端用户培训。

  4.6.12.提供用户手册,包括登入登出程序、基本命令使用、软件政策、用户职责等。

  4.6.13.根据空军计算机网络作战与安全中心或项目管理人员的要求,实施软件修补与安全修补工作。根据上述要求,在将任何设备恢复到与计算机网络联接状态之前,测试并验证是否利用适当的补丁与修复程序进行了正确的操作与配置。

  4.6.14.确保各单位全球信息栅格空军子网组件具有物理安全性。

  4.6.15.监控困难报告、警告消息以及系统咨询通告。

  4.6.16.在获取空军一级司令部安装批准,在空军国民警卫队站点上安装网络设备之前,需要得到空军国民警卫队战略传播办公室(ANG/SC,原空军国民警卫队首席信息官办公室)的批准。

  4.7.客户支持管理员。

  在帮助解决用户管理性和技术性问题时,客户支持管理员充当第一梯队。虽然逻辑上客户支持管理员属于帮助台团队的扩充,但它并不归计算机网络控制中心调遣。客户支持管理员从计算机网络控制中心和功能性系统管理人员那里接收指令。相对于功能性系统管理人员的指令,计算机网络控制中心的指令具有优先权。客户支持管理员安装、配置并运行客户端/服务器端设备。如果没有明确指派人员,则客户支持管理员充当3A0X1(空军专业代码,指信息管理)。如果没有指派一名3A0X1人员,则任何经过培训并且得到认证的空军专业代码人员或职业都可以履行客户支持管理员职责。如果外国公民经过了培训并且得到认证,可以向其分配客户支持管理员职责。客户支持管理员将:

  4.7.1.遵守本指令中的相关政策以及空军指令AFI 33-115第2卷。

  4.7.2.实施设备安装、外部设备连接以及客户端软件的安装/删除等职能。确保各单位全球信息栅格空军子网组件具有物理安全性。

  4.7.3.配置客户端软件、调整软件配置并履行基本的配置管理职能。

  4.7.4.对通过标准空军支持合同采购的通用办公自动化应用程序提供软件应用协助。包括为标准的无线办公自动化设备提供支持。

  4.7.5.对于指定给他们的客户工作站执行最初的客户工作站诊断与故障排除。

  4.7.6.根据空军手册AFMAN 33-223,分配、修改并删除密码与用户权限。

  4.7.7.根据空军指令AFI 33-138和部门政策,报告安全漏洞并发布安全信息。

  4.7.8.与所有机构(如用户、功能性系统管理人员、计算机网络控制中心等)协调支援问题。

  4.7.9.把任何硬件的重新安排以及设备问题通报给设备监管单位。

  4.7.10.在任何设备安装之前,从战区计算机网络作战与安全中心、计算机网络控制中心或功能性系统管理人员那里获取实施清单。根据采购合同与说明的条款帮助新系统的安装、测试与验收。

  4.7.11.与设施管理人员和基地土木工程师进行协调,满足设施支援的需要。

  4.7.12.定期评估机构对于计算机资源的需求。

  4.7.13.验证设备托管单位提交的计算机设备需求。

  4.7.14.当需要时,利用计算机硬件与软件清单为设备托管单位提供帮助。

  4.7.15.提醒用户对未经授权或非法使用计算机硬件与软件保持清醒的认识。

  4.7.16.确定计算机应用能够解决的机构上的缺陷与业务上的需要。

  4.7.17.确保机构不使用共享软件或公共领域软件,除非在信息系统安全官、客户支持管理员或功能性系统管理人员确定这些软件没有感染病毒、隐藏缺陷或明显侵犯版权后,经指定审批机构批准才能使用。

  4.7.18.协助具备客户工作站的单位完成认证与认可流程。

  4.7.19.根据部门计算机网络控制中心指令,执行客户工作站软件补丁、安全修补以及服务发布等工作。

  4.7.20.当技术上可行时,执行电子邮件管理职能。

  4.7.20.1.创建/配置邮箱(用户,自定义)。

  4.7.20.2.创建公共/个人/私人文件夹。

  4.7.20.3.移动邮箱。

  4.7.20.4.实施邮箱维护。

  4.7.20.5.创建通讯组列表。

  4.7.20.6.跟踪邮件(概念——读取回执)。

  4.7.20.7.执行目录服务;能够在共享驱动器上创建目录并分配/授予权限。

  第五章 全球信息栅格空军子网活动目录管理

  5.1.综述

  5.1.1.出于互操作性与配置控制原因,活动目录目标与属性命名约定的标准化至关重要。

  5.2.职权。

  5.2.1.各信息、服务与集成主任指示:“在活动目录命名约定中,将实施严格的集中控制。”空军通信局/企业化服务领导指挥分部(Enterprise Services Lead Command Branch,HQ AFCA/ECSO)是所有活动目录相关问题,包括确立命名约定职责的领导机关。战区计算机网络作战与安全中心与基地水平计算机网络控制中心负责命名约定的执行工作。查阅全球信息栅格空军子网命名约定指导原则可参见空军指令AFI 33-119——《空军通讯》(Air Force Messaging)。额外信息或相关问题可参阅afca.ecso@scott.af.mil。

  5.2.2.空军将把多个计算机网络森林组成各一级司令部下的单一森林。这要求掌握非保密互联网协议路由器网络与保密互联网协议路由器网络的真实情况。将不会考虑其他计算机网络根节点情况。

  5.2.3.空军通信局/企业化服务领导指挥分部是空军负责活动目录需求、标准化与处理的重点单位。在任何情况下,将由空军通信局/企业化服务领导指挥分部负责正式通知所有活动目录的规划与实施等相关事宜。空军一级司令部将把其活动目录的副本发送给空军通信局/个业化服务领导指挥分部。

  第六章 任务领域、计算机网络作战与安全中心行动、空勤岗位与核心服务

  6.1.任务领域。

  空军计算机网络作战任务领域是指由客户支持管理员实施的至关重要的活动,目的是维护并运行全球信息栅格空军子网,使空军能够开展作战。这些活动促使信息得到更强的安全保障,使机组人员能够把作战效能最大化,优化性能并降低风险。

  6.1.1.系统与计算机网络管理

  6.1.1.1.系统与计算机网络管理任务领域包括通过传输系统连接在一起的电脑主机与应用程序,无论是无线的还是有线的,传输整个全球信息栅格空军子网的语音、数据、传感器与视频信息。它包括交换计算机网络、光纤计算机网络、路由计算机网络、视频会议(video teleconferencing,VTC)计算机网络、卫星通信计算机网络与无线计算机网络。系统与计算机网络管理包括故障、配置、账户管理、性能以及安全性(FCAPS)管理的职能。

  6.1.1.2.这一任务领域侧重于使资源(系统与计算机网络)的可用性得到保障,并保障信息的传输。这一重点目标的实现需要依靠以下措施:配置并分配全球信息栅格空军子网系统与计算机网络资源;确保切实有效地处理、连接、路由和传输信息流;解释资源的用途;在面对组件或系统出现故障或遭遇敌方攻击的情况下,维持全球信息栅格空军子网强大的功能。

  6.1.2.信息传播管理。

  6.1.2.1.信息传播管理任务领域根据指挥员的信息传播政策,在正确的时间和地点以合适的方式把适当的信息提供给恰当的人员,同时优化信息基础设施资源的利用。信息传播管理,是信息管理的一个子集,提供地址探知、访问以及信息传送等服务。它涉及编译、编目、缓存、分发以及数据的检索。它还管理流向用户的信息,使依赖于信息感知、信息访问、传送管理以及传播支持的指挥员信息政策得以实施。

  6.1.2.2.这一任务领域侧重于保护并传送经过验证的信息,该目标通过信息有效地流入、流出并在全球信息栅格空军子网内部流动而实现,同时还要依赖于新近搜集信息的快速编辑与编目,以便能够提供给潜在的用户利用。与可用性相关的决策必须以作战人员的需求为指引,访问与信息安全要求相称的信息,以最为切实有效的模式解决信息传送与检索问题。

  6.1.3.信息安全保障/计算机网络防御。

  6.1.3.1.信息安全保障/计算机网络防御任务领域有助于确保友军信息与信息系统具备可用性、完整性、确定性、认证功能、保密性以及不可否认性,同时阻止敌方访问相同的信息/信息系统。它还提供终端对终端的保护措施,确保数据的质量,同时保护数据免受未经授权非法访问,或因意外情况遭到损害或修改。

  6.1.3.2.这一任务领域侧重于使资源(系统与计算机网络)的可用性得到保障,并侧重于使经过验证信息的得到有效保护。这一重点目标的实现需要采取一系列强有力的措施:通过在此类攻击发起或进行过程中加以识别,采取切实有效地应对行动,并安全地从此类攻击中恢复;当原始能力遭到破坏后,利用储备资产或通过重新分配资产重建新的能力。

  6.2.计算机网络作战与安全中心机构。

  6.2.1.计算机网络作战与安全中心行动。这里列举的计算机网络作战与安全中心行动给出了计算机网络作战与安全中心所能提供行动的一套标准集合。计算机网络作战与安全中心行动对于确保整个空军行动的连续性并有效管理全球信息栅格空军子网至关重要。图6.1描述了在它们各自的计算机系统中队(CSS)或通信中队(CS)内的计算机网络作战与安全中心行动。还有可能这些职能在机构内被划分为不只一个飞行小队去完成。任务作战领域代表着核心机务人员的工作,而计算机网络作战、任务系统以及作战支援领域则代表着计算机网络作战与安全中心的保障功能。

  注释:图6.1此插图并没有描绘组织结构,不过,它确实抓住了机构内为计算机网络作战与安全中心提供支持的职能。

图6.1计算机网络作战与安全中心(Network Operations and Security Center,NOSC)行动。(图中文字说明,Mission Operations:任务行动;Staff:参谋;Network Ops:计算机网络作战;Mission Systems:任务系统;Ops Support:作战支援;Net Management:计算机网络管理;Information Protection:信息保护;Event Management:事件管理;IWF/OSI/Intel:互联网观察基金会/开放式通信系统互联/英特尔;Network Admin:计算机网络行政管理;MAJCOM/C2 Systems:美国空军一级司令部/指挥与控制系统;Functional Systems:功能性系统;Database Management:数据库管理;Planning:规划;Scheduling:制订计划;Stan/Eval:标准化/评估;Training:培训;Engineering:工程设计。)
  图6.1计算机网络作战与安全中心(Network Operations and Security Center,NOSC)行动。(图中文字说明,Mission Operations:任务行动;Staff:参谋;Network Ops:计算机网络作战;Mission Systems:任务系统;Ops Support:作战支援;Net Management:计算机网络管理;Information Protection:信息保护;Event Management:事件管理;IWF/OSI/Intel:互联网观察基金会/开放式通信系统互联/英特尔;Network Admin:计算机网络行政管理;MAJCOM/C2 Systems:美国空军一级司令部/指挥与控制系统;Functional Systems:功能性系统;Database Management:数据库管理;Planning:规划;Scheduling:制订计划;Stan/Eval:标准化/评估;Training:培训;Engineering:工程设计。)


  6.2.1.1.任务作战。任务作战要素是计算机网络作战与安全中心的核心。它们负责指挥与控制,并负责维护战场计算机网络的态势感知功能,还负责监控并报告影响战场计算机网络的事件。它们直接调整计算机网络,以便确保有一套完善的计算机网络防御姿态,并有效移动数据。

  6.2.1.2.计算机网络作战。计算机网络作战要素由计算机网络策略管理(NM)、事件管理以及信息保护行动领域构成。事件管理集成了多个工作部门,因为事件会发生在所有领域。计算机网络作战与计算机网络管理工作携手一起行动,对事件影响的战场计算机网络实施防护,并采取应对措施。此外,此要素内的人员来自于特别调查、情报与信息战飞行小队办公室。

  6.2.1.3.任务系统。任务系统要素由计算机网络管理(NA)、数据库管理和事件管理构成。这些要素提供操作系统、应用程序和邮件管理。它们还负责服务器的整合工作,并负责维护指挥与控制系统、功能性系统以及战区独特的系统。它们管理各自负责区域内的事件,并做出应对。事件管理集成了多个工作部门,因为事件会发生在所有领域。换句话说,事件可能是与基础设施相关(路由器故障)、系统相关(服务器崩溃)或甚至是与信息安全保障相关(杀毒软件需要更新)。因此,实际上事件管理是每个人的职责。数据库管理一般属于应用服务程序技术人员的责任,但是可以承包出去。

  6.2.1.4.运行保障。运行保障要素为计算机网络作战与安全中心在训练标准化/评估、工程(系统集成)、规划与调度领域提供支持。

  6.3.空勤岗位。

  6.3.1.综述。空勤岗位与其平级或其他各级的人员开展必要的合作,以便为用户提供核心服务,确保全球信息栅格空军子网安全可用。附件3明确了位于计算机网络层次内各级基本的空勤岗位。如有必要,战场可能会增加适当的职位以实施具体的功能。空勤岗位会利用在信息基础设施技术参考模型(i-TRM)内和/或经战场指定审批机构批准在空军范围内使用的标准化工具和软件。他们也可能利用传统的软件工具,但是机构需要制订计划如何把这些传统的软件工具迁移到标准化工具。

  6.3.2. 在现有战场水平,原有的空勤岗位构成只是仅有的4个空勤岗位,也是计算机网络控制中心的重点。对于计算机网络作战与安全中心服务器整合与集中管理工作,空军参谋长现在授权要求在战场水平复制计算机网络控制中心空勤岗位。

  6.3.3.图6.2描述了计算机网络作战与安全中心内工作人员之间的关系。岗位指挥员、操作控制人员、企业化控制人员、计算机网络防御控制人员以及语音控制人员岗位是计算机网络作战与安全中心的基础。这些空勤岗位负责监控并报告影响战场计算机网络的事件。此外,某些空勤岗位(计算机网络防御控制人员和企业化控制人员)指示其他隶属于他们的空勤岗位采取行动。计算机网络作战与安全中心负责维持整个战场计算机网络运行的感知,并负责执行态势报告,必要时,还会协调对事件采取应对措施并执行计算机网络调整。这里还描述了事件管理,因为事件管理会发生在所有领域。

图6.2计算机网络作战与安全中心(Network Operations and Security Center,NOSC)空勤岗位结构。图中文字说明,Crew Commander:空勤指挥员;Operation Controller:行动管理员;Event Management:事件管理;Network Defense Controller:计算机网络防御管理员;Enterprise Controller:企业化管理员;Telephony Controller:电话管理员;Information Protection:信息保护;Network Administration:计算机网络行政管理;Network Management:计算机网络管理。)
  图6.2计算机网络作战与安全中心(Network Operations and Security Center,NOSC)空勤岗位结构。图中文字说明,Crew Commander:空勤指挥员;Operation Controller:行动管理员;Event Management:事件管理;Network Defense Controller:计算机网络防御管理员;Enterprise Controller:企业化管理员;Telephony Controller:电话管理员;Information Protection:信息保护;Network Administration:计算机网络行政管理;Network Management:计算机网络管理。)


  6.3.4.计算机网络控制中心(见图6.3)内的空勤岗位和计算机网络作战与安全中心内的空勤岗位设置相同。

  随着时间的推移,由于计算机网络作战与安全中心承担计算机网络控制中心资源的管理工作,计算机网络控制中心填补空勤岗位所需的人员数量可能会有所降低,但这些岗位仍会保留。例如,计算机网络作战与安全中心和计算机网络控制中心内基础设施技术人员之间的差异在于他们的职责范围不同。计算机网络作战与安全中心的基础设施技术人员可能负责基地的外部路由器与交换机,而计算机网络控制中心基础设施技术人员可能负责基地内计算机网络大量的路由器与交换机。

图6.3计算机网络控制中心空勤岗位结构。(图中文字说明,Crew Commander:空勤指挥员;Operations Controller:行动管理员;Network Management:计算机网络管理;Network Administration:计算机网络行政管理;Infrastructure Tech:信息基础设施技术;Client Support Administrator/Functional Systems Administrator:客户支持管理员/功能性系统管理员;Boundary Protection:边界保护;Intrusion Detection:入侵检测;Vulnerability Assessment:漏洞评估;Configuration Management Tech:配置管理技术;Messaging Tech:信息传递技术。)
  图6.3计算机网络控制中心空勤岗位结构。(图中文字说明,Crew Commander:空勤指挥员;Operations Controller:行动管理员;Network Management:计算机网络管理;Network Administration:计算机网络行政管理;Infrastructure Tech:信息基础设施技术;Client Support Administrator/Functional Systems Administrator:客户支持管理员/功能性系统管理员;Boundary Protection:边界保护;Intrusion Detection:入侵检测;Vulnerability Assessment:漏洞评估;Configuration Management Tech:配置管理技术;Messaging Tech:信息传递技术。)


  6.3.5.空勤岗位描述。有关空勤岗位完整的列表与说明,请参考附件3。

  6.3.6.培训与认证。空勤岗位将根据空军指令AFI 33-115第2卷和空军任职资格标准(AFJQS)接受岗位认证。这将为计算机网络专业技术人员确立起空军范围内提名与强制培训的底线。所有准备补充空军计算机网络空勤岗位角色的人员都被要求接受岗位认证。这与商业认证(思科认证计算机网络工程师[Cisco Certified Network Associate,CCNA]、微软认证工程师[Microsoft Certified Engineer,MCSE])并不混淆。人员成为空军认证人员遵循由空军指令AFI 33-115第2卷阐述的以下程序:所有在初始和任务资格认证状态的人员在执行全球信息栅格空军子网职责时,必须接受相同岗位已认证人员的监督。为空军提供专业计算机网络服务(全部空勤岗位)的美国承包商,受合同协议中规定要求的约束。被分配执行具体计算机网络操作任务的承包商人员将接受评估。所有未来承担计算机网络作战任务的承包商(包括现有多年合同的修改),在此指令之后,必须引用这一指令,并指明承包商人员要接受这一评估。当评估结果显示这些人员需要接受更多的培训时,合同质量保证评估人员将与适当的招标官员讨论具体要求,并为合适的行动步骤做好准备。空军通信局就在作战化与专业化(OPTN)网页上工作提供了一份合同说明的模板,见网址https://private.afca.af.mil/optn。

  6.3.6.1.在空军国民警卫队计算机网络控制中心各地分配空勤岗位应反映单位授权的实力,并符合各单位的具体情况。在当前授权的人员编制下,空军国民警卫队通信单位将不能填满所有建议的空勤岗位。在部队集训(UTA)期间,将采取培训计划的形式作为可用分配人员的补充。获得培训计划的单位将根据要求,帮助指定的空军国民警卫队单位开展培训与认证。

  6.4.核心服务。

  6.4.1.综述如上文所述,任务领域是由计算机网络专业技术人才实施的整体活动。计算机网络作战与安全中心行动由受过高级培训与认证的空勤岗位实施,这些人力资源由标准机空勤岗位构成。核心服务、功能性服务与桌面服务是由我们的计算机网络专业人员为空军机构提供的产品,不会由基地计算机网络控制中心或保障性计算机网络作战与安全中心以外的任何机构提供。

  6.4.2.核心服务是由空军信息技术机构定义的那些服务,是全球信息栅格空军子网的核心组件。它们体现了全球信息栅格空军子网无缝、安全与及时、可靠的信息传输。

  6.4.2.1.这些核心服务是:

  6.4.2.1.1.电子信息传递。

  6.4.2.1.2.地址管理。

  6.4.2.1.3.目录服务。

  6.4.2.1.4.信息安全保障与安全硬件。(简单计算机网络管理协议,软件、带宽以及硬件[端口、接口等])

  6.4.2.1.5.域名服务(Domain Name Servers,DNS)。

  6.4.2.1.6.交换。

  6.4.2.1.7.Windows互联网命名服务(Windows Internet Naming Service,WINS)。

  6.4.2.1.8.域控制器(主域控制器,Primary Domain Controller,PDC/备份域控制器,Backup Domain Controller,BDC)远程(PDC/BDC)

  6.4.2.1.9.动态主机配置协议服务器。

  6.4.2.1.10.本地目录服务代理(Local Directory Service Agent,LDSA)

  6.4.2.1.11.国防信息系统(Defense Message System,DMS)

  6.4.3.功能性服务使功能性劳动力资源更能关注于他们的核心竞争力。

  全球信息栅格空军子网计算机网络专业人员在全球信息栅格空军子网可靠、安全的平台上掌管着功能性应用程序。根据功能性机构与计算机网络作战与安全中心/计算机网络控制心之间达成的服务水平协议、协议备忘录或谅解备忘录,功能性应用程序将得到功能性机构的支持。有关服务水平协议的政策指示见附录2。

  6.4.4.桌面服务包括通用、安全、可靠的桌面环境,通常是终端用户与全球信息栅格空军子网的接口。

  6.4.4.1.桌面服务是:

  6.4.4.1.1.空军标准桌面。

  6.4.4.1.2.打印服务。

  6.4.4.1.3.标准无线办公自动化设备。

  第七章 信息交换、相互之间的关系与报告

  7.1.概述。

  空军计算机网络作战各内部机构之间,并且与外部机构交换信息。信息交换的目标是方便全球信息栅格空军子网的维护与运行,提供态势感知,方便形成一体化的防御对抗信息,并且为指挥员提供通用作战图。该通用作战图从获得的信息发展而来,同时用于实施计算机网络作战。通常,信息的根源来自于“原始”故障、配置、账户管理、性能以及安全性数据。故障、配置、账户管理、性能以及安全性数据由空军计算机网络作战与安全中心、计算机网络作战与安全中心以及计算机网络控制中心利用软件工具监控、搜集、分析、处理并报告,对全球信息栅格空军子网提供一幅完整的视图。交换这些信息的主要机构如图7.1所示。

图7.1信息交换。(图中文字说明,HQ USAF:美国空军总部;AFOC:空军作战中心;JTF-GNO:全球计算机网络作战联合特遣部队;ACCC:空军通信控制中心;INFOCON Changes:信息作战防卫态势变更;IAVAs:信息安全保障漏洞警报;SORTS :资源与培训系统状况;SITREPS:情况报告;Theater NetOps Center(TNC):战场计算机网络作战中心;AFNOSC:空军计算机网络作战与安全中心;COMMAFOR-GNO:全球计算机网络作战空军部队指挥员;JNMS Automated FCAPS Data:联合计算机网络管理系统自动化故障、配置、账户、性能以及安全性数据;OPREPS:作战报告;C4 NOTAMs:C4飞行通报;TCNOs:有时限的计算机网络命令;Automated FCAPS Data:自动化故障、配置、账户、性能以及安全性数据;NOSC:计算机网络作战与安全中心;MSC:任务支援中心;FAC:功能性感知单元;NCC-D:部署的计算机网络控制中心Legend:图例; Daily Exchange:日常交流;As Required Exchange:根据需要交流。)
  图7.1信息交换。(图中文字说明,HQ USAF:美国空军总部;AFOC:空军作战中心;JTF-GNO:全球计算机网络作战联合特遣部队;ACCC:空军通信控制中心;INFOCON Changes:信息作战防卫态势变更;IAVAs:信息安全保障漏洞警报;SORTS :资源与培训系统状况;SITREPS:情况报告;Theater NetOps Center(TNC):战场计算机网络作战中心;AFNOSC:空军计算机网络作战与安全中心;COMMAFOR-GNO:全球计算机网络作战空军部队指挥员;JNMS Automated FCAPS Data:联合计算机网络管理系统自动化故障、配置、账户、性能以及安全性数据;OPREPS:作战报告;C4 NOTAMs:C4飞行通报;TCNOs:有时限的计算机网络命令;Automated FCAPS Data:自动化故障、配置、账户、性能以及安全性数据;NOSC:计算机网络作战与安全中心;MSC:任务支援中心;FAC:功能性感知单元;NCC-D:部署的计算机网络控制中心Legend:图例; Daily Exchange:日常交流;As Required Exchange:根据需要交流。)


  7.2.计算机网络状态与管理报告。

  计算机网络状态与管理行动将通过定期与不定期报告的方式对外公布。不定期报告侧重于计算机网络的即时状态,通常与事件或事故联系在一起。定期报告与信息交换和长期度量分析联系在一起。

  7.2.1.报告与通知。

  7.2.1.1.利用各种类型的计算机网络作战命令、报告以及/或通知的方式,信息在计算机网络作战各内部机构之间,并与外部机构发生交换。

  在这些不同类型的方式中包括业务活动/事件报告、情况报告、有时限的计算机网络命令和C4飞行通报。[注释:空军计算机网络作战与安全中心/计算机网络作战与安全中心/计算机网络控制中心可能会传递业务活动/事件报告或情况报告的信息副本,但业务活动/事件报告的发布职权属于联队指挥所。]人工报告的信息完成了数据的搜集功能,并且提供了计算机网络方程中的重要人为因素。人为因素以及对及时、准确信息的需求至关重要。计算机网络管理软件可能会自动执行一些人工信息交换,只要计算机网络专业人员仍然维持着对全球信息栅格空军子网的全面控制。

  7.2.1.2.业务活动/事件报告。业务活动/事件报告利用作战渠道,如指挥所,把任何可能会吸引国际、国家、美国空军或主要新闻媒体关注的事件或事故以报告的形式通报给指挥员。它们提供了局部计算机网络入侵与探测、信息作战防卫态势水平改变以及计算机网络退化通知的即时上行渠道。它们通常与各种事件捆绑在一起。一所计算机网络控制中心可能会通知联队指挥所,需要发送一份业务活动/事件报告,并起草措辞,但计算机网络控制中心不会发布业务活动/事件报告。它们只能将草稿报送给指挥所,并请求将其发布。有关业务活动/事件报告的报告指示细节请参阅空军指令AFI 10-206。

  7.2.1.3.情况报告。情况报告通过指挥与控制渠道提交,用于报告重大故障。这是一种叙述性的报告,让收信人知情,使更高级别的司令部对正在发生的情况可能产生的后果预有准备。它们将每天、每周或每月提交一次,或根据指示提交。与业务活动/事件报告一样,一所计算机网络控制中心可能会通知联队指挥所,需要发送一份情况报告,并起草措辞,但计算机网络控制中心不会发布情况报告。它们只能将草稿报送给联队指挥所,并请求将其发布。有关情况报告的报告指示细节请参阅空军指令AFI 10-206。

  7.2.1.4.信息作战防卫态势。信息作战防卫态势根据信息系统的状态、军事行动以及对敌方能力与意图的情报评估决定防卫态势和应对措施。信息作战防卫态势体系是美国国防部的一套方法论,提供一种结构化的方法,应对敌方对美国国防部计算机与电信系统的攻击,并为这些资产提供保护。这是根据威胁或敌情评估,指挥行动,确立提高或降低信息安全保障状态来完成的。信息作战防卫态势水平分为:NORMAL(正常活动)、ALPHA(攻击的风险提高)、BRAVO(攻击的风险明确)、CHARLIE(有限攻击)以及DELTA(常规攻击)。

  7.2.1.4.1.国防部范围内的信息作战防卫态势由指挥员、美国战略司令部(United States Strategic Command,USSTRATCOM)宣布,并由全球计算机网络作战联合特遣部队通过自动化信息处理系统或语音消息向全球计算机网络作战联合特遣部队空军部队指挥员发布。空军范围内的信息作战防卫态势通常反映国防部范围内的信息作战防卫态势,但是如果条件许可,可以超越。空军参谋长授权全球计算机网络作战联合特遣部队空军部队指挥员设定空军范围内的信息作战防卫态势。

  7.2.1.4.2.官方关于信息作战防卫态势变更的通报通过作战报告渠道,以信息作战防卫态势变更警报消息(INFOCON Change Alert Messages,ICAM)、计算机网络作战任务命令或业务活动/事件报告的形式完成。计算机网络作战与安全中心利用有时限的计算机网络命令开展行动,以达成信息作战防卫态势保护措施。信息作战防卫态势层级目标由计算机网络控制中心以情况报告的形式,通过指挥所渠道官方报告;它还可以根据计算机网络作战与安全中心的要求,利用C4飞行通报或按照有时限的计算机网络命令的形式向上级单位报告。

  情况报告是官方的作战报告,不是有时限的计算机网络命令或C4飞行通报。

  7.2.1.4.3.战场计算机网络作战与安全中心将确保所属基地遵守计算机网络作战任务命令,通过有时限的计算机网络命令指导信息作战防卫态势活动,并跟踪遵守情况。空军计算机网络作战与安全中心将汇编空军范围内的报告,并在适当情况下上传给全球计算机网络作战联合特遣部队空军部队指挥员。如果本地条件允许,所属空军部队(如美国空军一级司令部、空军航空队、联队或基地级)可能会宣布更高级的信息作战防卫态势。

  7.2.1.5.有时限的计算机网络命令。有时限的计算机网络命令是与作战、安全或配置管理相关、向下传达的命令,由空军计算机网络作战与安全中心或计算机网络作战与安全中心发布。

  有时限的计算机网络命令提供了一种标准化的机制,由空军计算机网络作战与安全中心向计算机网络作战与安全中心/任务支援中心/计算机网络控制中心/功能性感知单元发布一道“命令”,指导全球信息栅格空军子网做出相应的调整。有时限的计算机网络命令不会代替信息作战防卫态势、业务活动/事件报告、情况报告或有时限的技术规范(TCTO)。

  7.2.1.5.1.有时限的计算机网络命令可能是内部产生的,指导开展一次操作活动,或执行降低安全漏洞风险的程序,或对安全漏洞风险进行修补(如软件补丁);或根据国防信息系统局生成的信息安全保障漏洞警报(IAVA)发布。

  有时限的计算机网络命令用于处理空军或战场范围内的事件/问题,不会用于隔离内部事件,除非影响范围被确定为是系统级的。

  7.2.1.5.2.关于有时限的计算机网络命令的报告和遵守情况的细节与形式请参阅空军指令AFI 33-138。

  7.2.1.6.指挥、控制、通信、计算机与情报飞行通报(C4飞行通报,C4 NOTAM)。

  C4飞行通报在本质上是通知性的,不用于指示开展行动。它们由计算机网络作战层次化结构内的所有机构采用,是跟踪合规性并传播不需要采取具体行动的计算机网络信息的主要手段。不过,在某些情况下,可能需要通知C4飞行通报的收件人。有4类C4飞行通报。它们是:通知性的(Informative)、预定事件(Scheduled Event)、非预定事件(Unscheduled Event)与概要(Summary)。对于各类C4飞行通报的描述以及使用程序请参阅空军指令AFI 33-13。

  7.2.2.帮助台、故障解决与报告。

  7.2.2.1.帮助台是一种作业模式,为用户提供技术信息,并依靠提供支援和信息解决技术难题。帮助台将提供一种切实有效的方法,回答用户的问题并解决他们的困难。帮助台作业的核心是一套精密的数据库,它包含了所有解决事件的必要信息。帮助台帮助那些为终端用户提供支持的客户支持管理员,帮助计算机网络控制中心或计算机网络作战与安全中心努力解决计算机网络故障,或帮助空军计算机网络作战与安全中心为高级领导层提供全球信息栅格空军子网的态势感知。帮助台实际上是一套全球性的信息库,或知道从什么地方提取有关用户、供应商、硬件、软件、位置、计算机网络、服务水平协议、问题或解决方案的信息。这套数据库还明确了这些项目之间的相互关系。

  7.2.2.2.帮助台将提供计算机网络援助和问题解决方案,并以一套完全集成的问题标签系统为基础。问题标签系统能够根据系统报告的临界状态,自动分析优先权并设置反应时间和升级时间表。问题标签系统将能够共享并交流所有这三层计算机网络的修补活动。在可能的情况下,帮助台还将与自动呼叫分配(Automated Call Distribution,ACD)系统整合。

  7.2.2.3.帮助台由3个不同的级别构成。这三种不同的级别存在于第二章所描述的计算机网络作战各层当中。这些帮助台是:

  7.2.2.3.1.1级(客户支持管理员)。1级支持将负责以终端对终端的方式处理各客户/客户支持管理员的请求。帮助台技术人员应当被授权解决尽可能多的请求。1级对于用户的服务请求提供单一联系点。

  7.2.2.3.2.2级(计算机网络控制中心)。2级客户支持为1级提供更高级的技术专业知识。他们的职责是分析转交给他们的请求,并解决问题。这一级资源通常是那些在附件3中所列功能区域工作的个人。

  7.2.2.3.3.3级(计算机网络作战与安全中心/空军国民警卫队地区性作战与安全中心)。3级支持由高度专业化的技术专家组成。1级与2级不能解决的请求会转送到这一级。

  这一级的资源通常由工程师、系统集成商和/或第三方供应商/生产商组成。

  7.2.2.3.4.在没有完全实现自动化的系统中,确保系统实现人工连接问题标签。举例说明这一过程是如何实现的:随着标签升级,把各层负责服务中断职责的单位的适当标签号码记录下来。

  7.2.2.4.基地水平的用户在遇到计算机网络核心服务(见第六章)问题或系统问题(包括常用办公应用程序)时将首先联系他们的客户支持管理员。如果当地的客户支持管理员不能解决这一问题,他会把问题标签输入帮助台系统或通过电话联系帮助台提交标签。客户支持管理员和用户能够自主跟踪并察看提交问题的状态。帮助台通过计算机网络界面、电子邮件、电话向客户支持管理员或用户明确修补动作,或通过远程修补活动解决问题。如果需要进行本地的实地走访或设备更换,帮助台会派出合适的基地层人员。许多计算机网络核心服务或系统问题的解决需要区域性计算机网络作战与安全中心帮助台的相互配合。空军计算机网络作战与安全中心帮助台将处理在其控制之下,与所有空军系统相关的全部问题标签。问题解决过程与信息交换如下图7.2所示。

图7.2问题标签报告与跟踪。(图中文字说明,Key:重点;Normal Exchange:普通交流;As Required Exchange:根据需要交流;Trouble Ticketing System:问题标签系统;AFEN Levels Problems:空军企业化计算机网络级问题;MAJCOM-Level Problems:空军一级司令部级问题;User-Level Problems:用户级问题;AFNOSC Tier 1:空军计算机网络作战与安全中心1级;HD Levels:帮助台级别;Help Desk:帮助台。)
  图7.2问题标签报告与跟踪。(图中文字说明,Key:重点;Normal Exchange:普通交流;As Required Exchange:根据需要交流;Trouble Ticketing System:问题标签系统;AFEN Levels Problems:空军企业化计算机网络级问题;MAJCOM-Level Problems:空军一级司令部级问题;User-Level Problems:用户级问题;AFNOSC Tier 1:空军计算机网络作战与安全中心1级;HD Levels:帮助台级别;Help Desk:帮助台。)


  第八章 空军技术规范

  8.1.概述

  8.1.1.空军技术规范系统的目标是为集中采办和管理的空军军事系统提供简洁明了的指令,使其能够安全、有效地运行与维护。所有空军人员负责在与公务结合过程中,把技术规范作为机构财产控制和使用。遵守空军技术规范是强制性的。

  8.1.2.对于正常的计算机网络支持功能以及对于为作战活动提供准确的信息来说,技术出版物至关重要。技术出版物包括技术规范、商业手册以及专门的出版物。根据空军政策条令AFPD 21-3——《技术规范》以及00-5系列技术规范确立并维护这些出版物。

  8.2.维护空军技术规范。

  8.2.1.出版物管理人员。

  8.2.1.1.空军计算机网络作战与安全中心、战场计算机网络作战与安全中心、基地计算机网络控制中心以及其他任何使用战斗信息传输系统设备的机构将任命一位主要和备选的出版物管理人员。如果在空军指令AFI 21-116——《通信电子的维护与管理》(Maintenance Management of Communications-Electronics)中已经定义了维护支持小队,则此职位可与之结合。

  8.2.1.2.出版物管理人员将负责:

  8.2.1.2.1.与基地技术规范分发办公室(TODO)一起建立一个独立的技术规范账户。确保该账户是所有技术规范以及任何与之相关的有时限的技术命令所需要的。

  8.2.1.2.2.维护那些支持所有战斗信息传输系统设备的技术规范。维护训练与部署所需要的其他技术规范。

  8.2.1.2.3.确保技术规范对于计算机网络专业人员来说充分、准确、一应俱全[TO 00-5-1,《空军技术规范系统》(Air Force Technical Order System)],并且得到了充分维护,以保障运行负荷的需要。不能仅仅为了容纳工作人员,就把技术规范从主要的工作地点去除。

  8.2.1.2.4.根据TO 00-5-1的具体程序,明确任何需要澄清的错误、矛盾或程序。关于空军技术规范信息管理工具AFTO IMT 22——《技术手册变更建议与回复》(Technical Manual [TM] Change Recommendation and Reply)准备情况的具体指导原则请参阅TO 00-5-1。

  8.2.1.2.5.确保有时限的技术规范根据TO 00-5-15——《空军有时限的技术规范流程》(Air Force Time Compliance Technical Order Process)得到管理与发布。有时限的技术规范是由空军部部长命令发布的军事规范,正因为如此,才应该遵守有时限的技术规范中明确的内容。

  8.2.1.2.6.利用空军维修质量控制检查清单(Air Force Maintenance Quality Control Check sheet,AFQMCC)AFMQCC 200-6(当前版本)及其他适用指示帮助单位维持技术规范方案。

  第九章 管理计算机与计算机网络设备维护合同与担保

  9.1.概述

  9.1.1.全球信息栅格空军子网层级体系的各级空军机构负责计算机与计算机网络设备的保障。保障的内容包括采办备用件、合同维护与担保管理。按照空军指令AFI 21-116所描述的内容制定后勤保障计划,确保新添与现有计算机和计算机网络系统得到维护。

  本章为所有操作与维护计算机和计算机网络设备的机构提供了确定备用件采购数量/类型以及维护与担保管理要求的指导原则。本章的目的不是取代或复述其他空军指令(如空军指令AFI 21-116或空军指令AFI 33-112)中的指导原则,而仅仅是提供引导,确保有一个合乎逻辑的过程,以确定维护计算机或计算机网络设备所需的备用件的数量/类型。所提供的其他指导原则旨在确保计算机和计算机网络设备维护合同与担保是以更具成本效益的方式得到管理的。

  9.2.备用件采办。

  9.2.1.根据空军指令AFI 21-116,将由空军计算机网络作战与安全中心/计算机网络作战与安全中心/计算机网络控制中心人员或其他运行与维护计算机和计算机网络设备的机构制订后勤保障计划。后勤保障计划将用于确定手头要维护的运行备用件的数量。当制订此计划时,需要考虑如下技术信息:制造商提供数据的可靠性;订购与配送时间以及平均故障间隔时间。计算机网络人员还要考虑任务影响因素,如该项目是否是一个单点故障项目还是/或对于任务来说至关重要。最终,将由指挥员根据过去使用低密度/商用现货供应(commercial off-the-shelf,COTS)系统的经验做出决策,确定手头所需运行备用件的足够数量,以确保任务顺利完成。不过,确定手头运行备用件数量的方法或理由必须按照空军指令AFI 21-116中所明确的,记录在后勤保障计划当中。

  9.2.2. 作为维护的运行备用件,应特别考虑接入层交换机的数量。这将由通信系统官(CSO)与指挥员协作审慎判断,以确定储存在仓库中未安装的作为备用件的接入层交换机的数量。

  9.2.3.单位将依靠设备项目跟踪设备停机时间。当计算运行备用件需求量时,停机时间信息连同从制造商那里获得的可靠性数据可以被用作决策因素。

  9.3.设备识别。

  9.3.1.空军计算机网络作战与安全中心/计算机网络作战与安全中心/计算机网络控制中心人员或任何运行和维护计算机与计算机网络设备的其他机构应遵守空军指令AFI 33-112,因为它涉及到设备的识别与问责制。

  9.3.2.所有的计算机与计算机网络设备将按照已安装(installed)、运行备用件(operational spare)或在信息技术资产管理(Information Technology Asset Management,ITAM)中被确定为可用多余件(available excess)来分类。由于设备状态变化,在库存与更新过程中,要验证信息技术资产管理状态代码。运行备用件是一套能够服务的设备,在订货与补货的间隔用于维护系统的正常运行。

  这套设备拥有最新的操作系统版本、安全补丁,并且已经加载了服务增强,更易于“即插即用”(plug and play,PnP)更换。没有在系统上安装或没有被确定为运行备用件的设备组件将在信息技术资产管理中被确定为可用多余件。在信息技术资产管理中被确定为多余件的设备可用于其他空军永久性军事基地,或转交国防资源再利用与销售办公室(Defense Re utilization and Marketing Office,DRMO)。

  9.3.3.所有未安装的骨干网与广域网交换机将被确定为运行备用件,不会被确定为信息技术资产管理中的多余件。

  9.4.维护合同与担保计划。

  9.4.1.评估技术解决方案中包括的所有维护选项,以便在选择维护选项之前确定更具成本效益的范围。在可能的情况下,对于每个设备项目只使用一种维护选项。作为技术解决方案流程的一部分,计算机网络人员(负责本地采购)或项目管理办公室(负责集中管理设备)将从制造商那里获得设备的可靠性数据。此外,在确定延长现有维护合同或在保修期行将结束安排设备维护合同之前,评估所有维护备用件的成本。在评估期间,如有可能,要确定那些可靠性较高的设备,将其排除在维护合同之外。在做出这种分析时要考虑整个生命周期的成本,而不只是考虑初步采购与前1——2年的成本。

  9.4.1.1.在签订计算机网络与计算机系统维护合同之前,计算机网络人员应确认操作需求与财政需求。计算机网络人员应建立一份负责的合同管理计划,跟踪设备保养信息,确保合同维护资金不会用于修理那些仍处在保修期内的设备。

  9.4.1.2.利用SAF/XCIAS(助理部长办公室/信息保障政策与标准部门,Information Assurance Policy and Standards Branch)创建的合同维护与保养计划数据库,所有的机构将记录并跟踪设备保养信息。这一数据库可从空军通信局维护与补给网站下载:https://private.afca.af.mil/c-e_maint/,https://private.afca.af.mil/supply/。

  9.4.1.3.计算机网络人员必须深入研究,确定将可靠性较高的接入层交换机纳入或排除在保修合同之外的可行性。在任何情况下,都不能把接入层交换机以运行备用件或多余件编码,纳入维护合同。这将由通信系统官审慎判断,以确定作为备用件,储存在仓库中未安装的接入层交换机的数量。

  9.4.1.4.用于在建筑物之间以及广域网连接的骨干交换机和路由器应添加到维护合同当中,确保当前的操作系统与安全补丁得到了授权与应用。

  9.4.1.5.用于建筑物之间以及广域网连接的骨干交换机与路由器应添加到维护合同之中,确保当前的操作系统与安全补丁得到了授权(除非现有的空军合同,如《战斗信息传输系统生命周期保障》[CITS Life Cycle Support]已经涵盖这些内容)。指挥员往往会在维护合同中保留纳入特定重要项目的权限,以确保作战计算机网络的可靠性。不过,如果决定包含较为可靠或已经处在维护合同保障下的资产,单位应判断决策的正确性,并完整记录此决策出台的原因。

  9.4.1.6.处理涉密信息系统维护合同管理的指导原则,请参阅空军指令AFI 33-202第1卷,以及空军系统安全指令(AFSSI)与空军系统安全手册(AFSSM)5000系列出版物,网址:https://www.afca.scott.af.mil/ip。

  9.5.未安装的设备。

  9.5.1.未安装的设备被限定为未被确定为多余件的运行备用件和设备。单位应该维护一份未安装的计算机网络设备的清单,并且必须在购买额外的设备之前对这份清单进行评估。只要有可能,未安装的设备还应用于满足新批准的要求。

  第十章 漏洞评估工具

  10.1.概述

  10.1.1.战斗信息传输系统企业化计算机网络支持中心(ENSC)位于SSG/DOYN总部,经总部电子系统中心/计算机网络与信息集成(Electronic System Center/Networks and Information Integration,ESC/NI)战斗信息传输系统项目管理办公室批准,为世界各地战术信息传输系统计算机网络作战管理/计算机网络防御用户提供全天候的技术支持。

  10.1.2.除了提供技术支持,战斗信息传输系统企业化计算机网络支持中心负责为所有装备了战斗信息传输系统计算机网络作战管理/计算机网络防御套件的计算机网络控制中心以及战区计算机网络作战与安全中心提供漏洞评估工具(VAT)许可证密钥。一旦漏洞评估工具许可证密钥发出,基地/战场安全中心(或A6)将承担其使用的职权与责任。

  10.1.3.其他空军机构可能需要请求得到漏洞评估工具许可证密钥。一旦漏洞评估工具许可证密钥请求得到批准,密钥发出,负责机构将履行这一职权并承担应用的责任。本章为计算机网络控制中心、计算机网络作战与安全中心、战斗信息传输系统企业化计算机网络支持中心以及所有相关的其他人员确立了相应的程序与职责。

  10.2.漏洞评估工具许可证密钥请示程序。

  10.2.1.计算机网络控制中心。基地水平的通信单位指挥员(安全中心)是基地设施计算机网络控制中心的负责机构,他将向战斗信息传输系统企业化计算机网络支持中心请示得到漏洞评估工具许可证密钥。当有多家基地水平的安全中心时(如处于一种宿主——租户的环境里),租户的安全中心将把密钥请求上报给宿主司令部安全中心,由后者随后上报给企业化计算机网络支持中心。空军国民警卫队或空军后备队没有位于现役基地内的租借场站可以向各自的空军国民警卫队或后备队基地水平安全中心请求他们自己的许可证密钥。并不属于宿主——租户环境的直接报告单位/野外活动机构/任务支援中心可以向战斗信息传输系统 企业化计算机网络支持中心请示得到他们自己的许可证密钥。

  10.2.2.计算机网络作战与安全中心。战场安全中心或计算机网络作战与安全中心主任/副主任(当代表战场安全中心时)对战场计算机网络作战与安全中心负责,负责漏洞评估工具许可证密钥请示的相关事宜。最初的密钥请示可以直接上报给战斗信息传输系统企业化计算机网络支持中心。

  10.2.3.所有其他机构的请示。此类机构是指没有驻扎在空军基地或空军租借地的空军机构,基地计算机网络控制中心不承担为其提供保障的职责。只有负责基地租户或空军机构的人员才可以请示得到漏洞评估工具许可证密钥。驻扎在空军基地内,但是不归基地计算机网络控制中心保障的空军租借单位,将把他们的请示上报给基地水平通信部队指挥员(安全中心),他对基地设施计算机网络控制中心负责。没有驻扎在空军基地的空军机构相当于计算机网络的所有者,将把密钥请示直接上报给企业化计算机网络支持中心战斗信息传输系统帮助台,从该机构请求得到互联网安全系统(internet security systems,ISS)互联网扫描程序密钥。

  10.3.培训与声明。

  10.3.1.所有的漏洞评估专家(VAS)必须根据10.3.2段规定的内容接受培训。他们是唯一有权执行漏洞评估扫描的人员。

  10.3.2.培训必须依靠得到批准的空军/一级司令部赞助的IP工具课程提供,已经在得到批准、由空军资助的教师引导IP工具课程中接爱了漏洞评估工具培训的个人可以通过 “在职培训”(OJT)提供。参加此类培训的人员必须已经参加过由空军批准的由导师引导的课程,并且拥有空军表格623——《个人培训记录文件夹》(Individual Training Record Folder)中规定的培训证书。接受在职培训的人员必须在其在职培训记录中有签字认定的培训声明。(声明样本,见附件4)。

  10.4.密钥请示与更新。

  10.4.1.所有的密钥请示都将按照下文描述的内容以及附件4的样式密封在正式的空军信笺中。当密钥发出,出于安全和降低风险的原因,密钥将被设置成180天后过期,除非根据10.4.5段的规定,发出的是一次性密钥。通常,密钥在每年的6月30日和12月31日过期。密钥更新请示至少应在密钥过期前4周提交,因为战斗信息传输系统企业化计算机网络支持中心不会自动发送更换的密钥。此外,新的信笺必须每隔6个月发送一次。请示密钥的信笺可以邮寄或传真给战斗信息传输系统企业化计算机网络支持中心,地址:HQ OSSG/SWSN

  送交:战斗信息传输系统企业化计算机网络支持中心信息系统安全(INFORMATION SYSTEM SECURITY,ISS)主要代理

  阿拉巴马州冈特附件城麦克斯韦尔空军基地贝克街10号36114

  传真: (334) 416-3377, DSN 596-3377,

  语音: (334) 416-5771, DSN 596-5771 option 2,1,9。

  10.4.2. 企业化计算机网络支持中心只把更新的密钥发送给已经通过空军批准的导师引导式课程、拥有有效正规培训证书的人员。负责机构必须确保在任何时候,至少有一位(最好是2位)接受过正规培训的漏洞评估专家被指派给计算机网络控制中心/计算机网络作战与安全中心。

  10.4.3.提供的请示类型、IP地址范围与完整的邮寄地址如下所示(表10.1):

表10.1密钥请示与更新。
表10.1密钥请示与更新。


  10.4.4.提供基地水平安全中心联系点(POC)与电话号码。

  10.4.5.特别要求。特殊项目可能会要求得到一次性密钥,如进行安全性测试与评估(Security Test and Evaluation,ST&E),为了任务的顺利完成或进行部署信息系统,在无法得到基地计算机网络控制中心的支持时,开展认证与认可工作等。特定的一次性密钥在发出时,其有效时间可能是10天、30天、60天或90天。特定的一次性密钥请示与其他密钥请示一样,需要同样提交请示并符合培训要求。

  10.4.6.由于无法满足培训、认证或其他要求,密钥请示程序出现偏差时,这一情况将由企业化计算机网络支持中心上报给空军通信局网络人才培训空军信息技术电子化教学项目管理人员(Program Manager, Department of the Air Force, AF Information Technology Electronic-Learning; Cyber Force Training; Air Force Communications Agency,HQ AFCA/CAFT)解决。

  10.5.战斗信息传输系统企业化计算机网络支持中心程序。

  10.5.1.指定的漏洞评估工具密钥代理人将是能够真正切换许可证密钥,并负责确保遵守这一程序的人员。委任信函应保持当前状态,并由企业化计算机网络支持中心保存。

  10.5.2.在接收到书面密钥请示的基础上,企业化计算机网络支持中心将验证其真伪,确保所有相关信息根据10.3段和附件4描述的内容得到了有效提供。经过验证之后,企业化计算机网络支持中心将为具体的IP域切换密钥,并把默认的失效时间设置为180天,把密钥存放在移动媒介上。企业化计算机网络支持中心将保留原有的密钥请示函,而且它还负责跟踪目标。

  10.5.3.互联网安全系统许可证密钥盘可以使用美国认证的邮寄方式邮递。作为收件人地址的一部分,地址应包含漏洞评估专家的姓名。当紧急密钥请示已经预付,并且发出请示的人已经安排收取时,可以利用隔夜邮的方式邮递。密钥不能通过电子邮件邮寄。漏洞评估专家的姓名将根据要求提供给适当的计算机网络作战与安全中心。

  10.5.3.1.为了改善响应时间,节约空军投资,企业化计算机网络支持中心将利用他们的安全网站(https://support.cits.lab.gunter.af.mil)。这是一个基于UNIX系统的网站,启用安全套接层(secure sockets layer,SSL),执行域名系统上报和反向查找,确保用户位于空军计算机网络上。此外,企业化计算机网络支持中心只有在正式的要求下,才会在这套服务器上装载密钥。用户只拥有下载密钥的读取权限。在确认其下载之后,企业化计算机网络支持中心会立即从服务器上删除密钥。

  第十一章 简单计算机网络管理协议管理

  11.1.概述

  11.1.1.简单计算机网络管理协议经常用于远程配置计算机网络设备。简单计算机网络管理协议社区字符串充当密码,并且用于验证从一个管理工作站发送到被管理设备的管理通讯。

  11.1.2.大多数的设备附带公共、私人和/或工厂配置的默认社区字符串。必须变更这些社区字符串防止出现未经授权的访问。

  11.2.最低程度的简单计算机网络管理协议社区字符串要求。

  11.2.1.各社区字符串至少应包含8个字符,其中至少有一个大写字符、一个小写字符、一个数字和一个特殊字符(!@$%^&*等)。不要使用#这个特殊字符,因为一些软件程序可能会把任何前面带有#号的字符解释为注释。在最早且更具成本效益的时机修改不能支持8字符社区字符串的系统。在此期间,要使用系统能够支持的最多数量的字符。配置简单计算机网络管理协议代理,只向授权的主机发送traps,或只接受授权主机发送的数据包。只要技术上适用,强烈建议实施简单计算机网络管理协议第3版。

  11.2.2.社区字符串将不包含字典中的单词,无论是顺序拼写、逆序拼写,还是中间插入数字或特殊字符。社区字符串将不包含机器名、基地名或任何其他容易理解的短语。公众(读取)和私人(设置)字符串将不会被设置为相同的值。

  11.2.3.根据空军手册AFMAN 33-223每隔90天要更改社区字符串。当人们知道社区字符串永久转移到另一个位置或此社区字符串停止使用时,也应更改社区字符串。确保程序到位,这样当一名雇员(军人、平民或承包商)转移、退休、脱离或终止工作时,受影响的计算机网络控制中心、计算机网络作战与安全中心、客户支持管理员会得到通知。不会使用全球性的字符串,单独的字符串将被用于计算机网络的逻辑划分。

  11.3.简单计算机网络管理协议与计算机网络管理。

  11.3.1.计算机网络控制中心将对由其运行或维护的所有设备实施计算机网络管理监控。当技术上可行时,应当在所有全球信息栅格空军子网基础设施设备、计算机网络管理服务器、安全管理服务器、计算机网络协议服务器、防火墙、域名系统服务器、域名控制器、动态主机配置协议服务器以及活动目录服务器上启用简单计算机网络管理协议。确保计算机网络控制中心、空军国民警卫队地区性作战与安全中心以及计算机网络作战与安全中心两两之间的简单计算机网络管理协议连接是功能齐全的。

  11.3.2.计算机网络作战与安全中心将对由其运行或维护的所有设备实施计算机网络管理监控。当技术上可行时,应当在所有全球信息栅格空军子网基础设施设备、计算机网络管理服务器、安全管理服务器、计算机网络协议服务器、防火墙、域名系统服务器、域名控制器、动态主机配置协议服务器以及活动目录服务器上启用简单计算机网络管理协议。确保计算机网络控制中心和计算机网络作战与安全中心之间的简单计算机网络管理协议连接功能齐全。

  11.3.3.当技术上可行时,计算机网络作战与安全中心将研究并启用访问控制列表或其他手段,防止非法或欺骗性的管理站点未经授权获得读取权限。

  11.3.3.1.当技术上可行时,如果不对某些设备加以管理(如打印机、绘图仪、打印服务器、工作站等),则应该禁用或删除这些设备上的简单计算机网络管理协议。

  11.3.3.2.确保简单计算机网络管理协议漏洞扫描能够在战场上每月进行,利用漏洞评估工具对计算机网络作战与安全中心/计算机网络控制中心管理下的基地计算机网络进行分析。

  第十二章 域名服务管理

  12.1.概述

  12.1.1.域名服务是全球信息栅格空军子网的一个重要组成部分,它把IP地址与相应的主机名联系在一起。域名服务命名通常影响的不仅仅是所有3个计算机网络作战层,而且会对整个国防部的地址/主机名称造成潜在的影响。这个现实迫使我们必须在整个全球信息栅格空军子网实现域名服务管理的标准化。本章提供了命名约定的指导原则与程序,确保在命名约定过程中维持一种层次化结构。所提供的层次化结构把符合空军计算机网络作战与安全中心注意事项的能力最大化,保护空军计算机网络的域,为空军的消息配置与传递提供一种标准。

  12.1.2.本章描述的域名服务政策仅适用于外部域名服务(base/majcom.af.mil)层,不适用于内部活动目录命名标准(base.majcom.ds.af.mil)。

  12.2.空军级的域名服务。

  12.2.1.空军计算机网络作战与安全中心是空军企业化域名服务层次中的顶级机构,也是唯一授权处理互联网域名服务注册的空军联系点。计算机网络信息中心把IP地址段分配给空军系统计算机网络项目管理办公室。空军系统计算机网络管理IP地址并且把这些IP地址重新分配给空军的用户。

  12.2.2.所有与计算机网络信息中心相关的通信联系与问题,只要涉及到af.mil模板、国防信息系统计算机网络主机以及具体的用户模板,都要通过空军计算机网络作战与安全中心处理。具体用户模板的处理通过空军计算机网络作战与安全中心,涉及到之前注册的计算机网络与联系点(技术上的和/或管理上)的更改,以便解决域、国防信息系统计算机网络主机和IP地址问题。所有其他的用户模板,涉及到IP注册与计算机网络信息中心相关的通信联系和问题将由空军系统计算机网络处理。用户将在本地生成的数据库(WHOIS)上保留一份有效记录,表明他(她)已经得到授权在计算机网络信息中心的数据库上输入数据。

  12.3.空军第三级域名服务。

  12.3.1.空军第三级(如basename.af.mil)域名。只有基地有资格在af.mil域名下注册第三级域。第三级域名将不用于空军机构。所有其他的国防部机构将通过他们各自的第二级域管理人员,利用那些由办公室确立的注册程序注册。确保计算机网络控制中心和计算机网络作战与安全中心之间的简单计算机网络管理协议连接功能齐全。唯一的例外是 MAJCOM-name.af.mil和www.af.mil。

  12.3.2.第三级域必须驻留在至少2台域名服务器上,是“.mil”域的一部分,而且位于利用国防部计算机网络信息中心注册的计算机网络上。确保计算机网络控制中心和计算机网络作战与安全中心之间的简单计算机网络管理协议连接功能齐全。

  12.3.2.1.注册行为通过空军计算机网络作战与安全中心协调,并将在该中心保留一份联系点清单。域、域名及其命名服务器的技术性和管理性联系点必须向美国国防部计算机网络信息中心进行注册。

  12.4.域名服务管理要求。

  12.4.1.所有的域名服务服务器必须:

  12.4.1.1.驻留在计算机网络上,有“地址”(反向域名)服务。

  12.4.1.2.由防火墙或过滤路由器保护,它们只允许由合适的客户端和合适的区域转向其他命名服务器时进行域名服务查询。在当前战斗信息传输系统的指导原则下,外部域名服务网站位于基地(第3级)防火墙之外。不过,域名服务器可以移到防火墙之外一个被屏蔽的子网(第三级的边缘)内,并且仍然可以给予必要的保护。

  12.4.1.3.位于室内,拥有主动访问控制权。

  12.4.1.4.由一套不间断电源系统(UPS)或后备电源给予保护。

  12.4.1.5.只允许在主机和从机命名服务器间进行域名转移,而且只允许在命名服务器上运行域名服务。所有其他非必要的服务(如http、ftp、telnet、send mail、NetBIOS等等)将在命名服务器上关闭。

  12.4.1.6.包含各域起始授权机构(SOA)管理员电子邮件地址的记录。电子邮件地址应匹配“hostmaster@domain”(如hostmas-ter@usafe.af.mil)的格式。

  12.4.1.7.确保命名服务器上的访问账户被限定为基地通信中队/计算机网络作战与安全中心的域管理员,并且拥有最新由空军计算机网络作战与安全中心批准的域名服务/伯克利互联网域名(Berkeley Internet Name Domain,BIND)安全版本。

  12.5.域名服务管理政策的例外情况。

  12.5.1.本指导原则的例外情况将通过机构的上一级司令部/机构报送给空军助理部长办公室负责通信与信息技术固定计算机网络分部的军官,把信息抄送美国空军司令部通信局/ECFP,以便评估和批准/不批准。申请时必须说明如下:任务的范围,所执行的功能,机构所服务的客户以及申请非标准域名而不是使用其上一级司令部域名的理由。

  12.5.2.批准/不批准的副本将在美国空军司令部通信局/ECFP出版物记录集备案。在此出版物修订或者批准文件正式书面取消之前,例外情况仍然有效。一旦此出版物修订,请求者必须重新申请例外情况。

  第十三章 服务水平协议、协议备忘录、谅解备忘录

  13.1.服务水平协议、协议备忘录、谅解备忘录。

  如果用户的计算机网络支持需求超出了第6.4段所规定的核心服务或由空军首席信息官所规定的空军信息技术服务的范围,计算机网络控制中心或计算机网络作战与安全中心将确立相应的服务水平协议、协议备忘录/谅解备忘录。服务水平协议定义了计算机网络运行与服务职责的分工,最大化地降低了机构之间的重复工作。协议备忘录和谅解备忘录规定的各方资源将提供给商定服务的支持交付。服务水平协议会量化协议备忘录或谅解备忘录中规定服务的支持水平。只要有可能,服务水平协议将明确用户所需的最低支持水平,而不是用户可接受的故障率(正常运行率而不是停机率)。服务水平协议还将描述所包括系统与服务的优先顺序。

  对于大型/功能复杂的多系统服务水平协议来说,有必要制订一套主要的服务水平协议。服务水平协议、协议备忘录/谅解备忘录的样本请参阅附件2。

  13.2.计算机网络作战与安全中心、空军国民警卫队地区性作战与安全中心以及计算机网络控制中心。

  协议备忘录/谅解备忘录必须由计算机网络作战与安全中心、空军国民警卫队地区性作战与安全中心及其计算机网络控制中心确立并维护,以全面描绘计算机网络作战与安全中心在各自基地与预期服务水平上管理上的核心系统。

  第十四章 信息搜集、记录与表格或信息管理工具

  14.1.信息搜集、记录与表格或信息管理工具

  14.1.1.信息搜集。本出版物没有阐述关于信息搜集的相关内容。

  14.1.2.记录。本出版物创建了与作战能力报告相关的记录。根据空军记录信息管理系统(Air Force Records Information Manage System,AFRIMS)记录处置计划(Records Disposal Schedule,RDS)表11-4(将变成表10-16)保留和处理这些记录,见https://afrims.amc.af .mil/rds_series.cfm。

  14.1.3.表格或信息管理工具(许可和规定的)。

  14.1.3.1.许可使用的表格或信息管理工具。国防部表格DD Form 250《物资检验与接收报告》(Material Inspection and Receiving Report);国防部表格DD Form 1368《调整租用的通信设施用途》(Modified Use of Leased Communication Facilities);空军表格AF Form 623《个人培训记录文件夹》(Individual Training Record Folder);空军信息管理工具AF IMT 723《资源与培训系统状况设计作战能力声明》(SORTS DOC Statement);空军信息管理工具AF IMT 1261《通信与信息系统验收证书》(Communications and Information Systems Acceptance Certificate);空军技术订单信息管理工具AFTO IMT 22《技术手册变更建议与回复》。

  14.1.3.2.规定使用的表格或信息管理工具。本出版物没有规定表格或信息管理工具。

  美国空军迈克•W•彼得森中将,负责作战一体化的首席信息官。

  附件1

  参考词汇与支持信息

  参考文献

  Clinger-Cohen Act of 1996,《1996年克林格——科恩法案》

  ACP 121/US-SUP-1,通信指令总则,[(C)Communication Instruction General (U)]

  DODI 4630.8,国防部指令4630.8;《信息技术与国家安全系统互操作性与可支持性程序》[Procedures for Interoperability and Supportability of Information Technology [IT] and National Security Systems (NSS)],2004年6月30日。

  DOD 5200.2-R,《人员安全计划》(Personnel Security Program),1987年版,1990年2月12日第一次改版,1993年7月14日第二次改版,1996年2月23日第三次改版。

  国防部指令DODD 8100.1,《全球信息栅格总体政策》[Global Information Grid Overarching Policy],2002年9月19日。

  国防部指令DODI 8500.2,《信息安全保障实施细则》(Information Assurance [IA] Implementation),2003年2月6日。

  国防信息系统局DISAC 300-175-9,《国防通信系统操作维护电气性能标准》(DCS Operating Maintenance Electrical Performance Standards)。

  参谋长联席会议主席指示CJCSI 6212.01D,《信息技术与国家安全系统的互操作性和可支持性》(Interoperability and Supportability of Information Techno logy and National Security Systems),2006年3月8日。

  空军政策条令AFPD 21-3,《技术规范》(Technical Orders)

  空军政策条令AFPD 33-1,《指挥、控制、通信和计算机(C4)系统》[Command, Control, Communications, and Computer (C4) Systems][将变成《信息资源管理》(Information Resources Management)]。

  空军指令AFI 10-206,《作战报告》(Operational Reporting)

  空军指令AFI 10-901,《领导作战司令部——通信与信息系统管理》(Lead Operating Command—Communications and Information Systems Management)。

  空军指令AFI 21-116,《通信电子的维护管理》(Maintenance Management of Communications-Electronics);空军指令AFI 33-103,《需求研究与处理》(Requirements Development and Processing)。

  空军指令AFI 33-108,《指挥、控制、通信和计算机系统的兼容性、互操作性与整合》[Compatibility, Interoperability, and Integration of Command, Control, Communications and Computer (C4) Systems][标题将改为《信息技术与国家安全系统的互操作性和可支持性》(Interoperability and Supportability of Information Technology and National Security Systems)]

  空军指令AFI 33-112,《计算机系统管理》(Computer Systems Management)(将变成《信息技术资产管理》[Information Technology Asset Management,ITAM])

  空军指令AFI 33-114,《软件管理》(Software Management)

  空军指令33-115,第2卷,《对计算机网络用户进行授权并认证计算机网络专业人员》(Licensing Network Users and Certifying Network Professionals)(将变成《计算机网络操作培训与标准》[Net-work Operations Training and Standards])。

  空军指令AFI 33-119,《空军通讯》(Air Force Messaging)。

  空军指令AFI 33-129,《万维网管理与互联网使用》(Web Management and Internet Use)。

  空军指令AFI 33-138,《企业化计算机网络作战通知与跟踪》(Enterprise Network Operations Notification and Tracking)。

  空军指令AFI 33-202,第1卷,《计算机网络与计算机安全》(Network and Computer Security)。

  空军指令AFI 33-202,第6卷,《身份管理》(Identity Management)。

  空军指令AFI 33-207,《计算机安全援助计划》(Computer Security Assistance Program)。

  空军指令AFI 33-219,《电信监测与评估计划》(Telecommunication Monitoring and Assessment Program,TMAP)。

  空军手册AFMAN 33-223,《标识与验证》(Identification and Authentication)。

  空军指令AFI 36-2201,第3卷,《美国空军练训计划——在职培训管理》(Air Force Training Program, On the Job Training Administration)。

  空军通信局AFCAT 36-2223,《美国空军正规院校》(USAF Formal Schools)。

  空军手册AFMAN 37-123,《记录管理》(Management of Records)(将变成空军手册AFMAN 33-363)。

  空军指令AFI 64-117,《空军政府采购卡计划》(Air Force Government-Wide Purchase Card,GPC)。

  空军指令AFI 65-601,第1卷,《预算指导原则与程序》(Budget Guidance and Procedures)。

  技术规范TO 00-5-1,《空军技术规范系统》(Air Force Technical Order System)。

  技术规范TO 00-5-15,《空军有时限的技术规范流程》(Air Force Time Compliance Technical Order Process)。

  缩略语与缩写词

  ACCC— Air Communications Control Center:空军通信控制中心

  AEF—Air Expeditionary Forces:空军远征部队

  AETC— Air Education and Training Command:空军教育训练司令部

  AF—Air Force (Forms and IMTs Only):空军(只在表格与信息管理工具中这样表示)

  AF-GIG—Air Force-Global Information Grid:全球信息栅格空军子网

  AFC2ISRC— Air Force Command and Control & Intelligence, Surveillance, and Reconnaissance Center:空军指挥、控制、情报、监视与侦察中心

  AFCA— Air Force Communications Agency:空军通信局

  AF-CIO—Air Force Chief Information Officer:空军首席信息官

  AFEN—Air Force Enterprise Network:空军企业化计算机网络

  AFFOR—Air Force Forces:空军部队

  AFI—Air Force Instruction:空军指令

  AFIWC—Air Force Information Warfare Center:空军信息战中心

  AFJQS—Air Force job qualification standard:空军任职资格标准

  AFMAN—Air Force manual:空军手册

  AFMC— Air Force Materiel Command:空军装备司令部

  AFNETOPS—Air Force network operations:空军计算机网络作战

  AFNOSC—Air Force Network Operations and Security Center:空军计算机网络作战与安全中心

  AFOSI—Air Force Office of Special Investigations:美国空军特别调查办公室

  AFPCA—Air Force Pentagon Communications Agency:空军五角大楼通信局

  AFPD—Air Force policy directive:空军政策条令

  AFSC—Air Force specialty code:空军专业代码

  AFSN—Air Force systems network:空军系统计算机网络

  AMC—Air Mobility Command:空中机动司令部

  AMHS— Automated Mail Handling System:自动化消息处理系统

  ANG—Air National Guard:空军国民警卫队

  AOR—area of responsibility:责任区

  ASIM—automated security incident measurement:自动化安全事故衡量

  AFSSI— Air Force systems security instruction:空军系统安全指令

  AFSSM—Air Force systems security manual:空军系统安全手册

  ATCALS— Air Traffic Control and Landing Systems:空中交通管制与着陆系统

  C2—command and control:指挥与控制

  C4—command, control, communications, and computers:指挥、控制、通信和计算机

  C&A—certification and accreditation:认证与认可

  CITS—Combat Information Transport System:战斗信息传输系统

  COMAFFOR— Commander, Air Force Forces:空军部队指挥员

  CS—communications squadron:通信中队

  CSA—client support administrator:客户支持管理员

  CSAF—Chief of Staff of the Air Force:空军参谋长

  CSS— computer systems squadron:计算机系统中队

  CSO—Communication Systems Officer:通信系统官

  DAA—designated approving authority:指定审批机构

  DCI— defensive counter-information:防御性反击信息

  DCS— Defense Communications System:国防通信系统

  DECC— Defense Enterprise Computer Center:国防企业化计算机中心

  DHCP— dynamic host configuration protocol:动态主机配置协议

  DII—defense information infrastructure:国防信息基础设施

  DIICC— defense information infrastructure control concept:国防信息基础设施控制观念

  DIRLAUTH—direct liaison authority:授权直接联系

  DISA—Defense Information Systems Agency:国防信息系统局

  DISN—Defense Information Systems Network:国防信息系统计算机网络

  DITCO—Defense Information Technology Contracting Office:国防信息技术承包办公室

  DNS— domain name service:域名服务

  DOC—designed operational capability:设计作战能力

  DOD—Department of Defense:美国国防部

  DRU—direct reporting unit:直接报告单位

  DSN—defense switched network:国防交换网

  EC—equipment custodian:设备监管

  ECPA—Electronic Communications Privacy Act:电子通信隐私法

  EI—engineering and installation:工程与安装

  EITDR—Enterprise Information Technology Data Repository:体系信息技术数据仓库

  ENSC—Enterprise Network Support Center:企业化计算机网络支持中心

  ETM—Enterprise Telephony Management:企业电话通讯管理

  FAC— functional awareness cell:功能性感知单元

  FOA—field operating agency:野外活动机构

  FOC—final operating capability:最终作战能力

  FCAPS—fault, configuration, accounting, performance, and security:故障、配置、账户管理、性能以及安全性

  FSA— functional system administrator:功能性系统管理人员

  FWA—fraud, waste, and abuse:欺诈、浪费与滥用

  GAL—global address list:全局地址列表

  GCCS—Global Command and Control System:全球指挥与控制系统

  GIG— global information grid:全球信息栅格

  GNO—global network operations:全球计算机网络作战

  GNOSC—global NOSC:全球计算机网络作战与安全中心

  GPS— Global Positioning System:全球定位系统

  GSU—geographically separated unit:驻外单位

  IA—information assurance:信息安全保障

  IAC— Infrastructure Architecture Council:基础设施架构委员会

  IAVA—information assurance vulnerability alerts:信息安全保障漏洞警报

  IDM—information dissemination management:信息传播管理

  INFOCON— information operations condition:信息作战防卫态势

  I-NOSC— Integrated Network Operations and Security Center:综合计算机网络作战与安全中心

  IP—internet protocol:互联网协议

  I-Plan— implementation plan:执行计划

  IPO— information protection operations:信息保护行动

  IQT— initial qualification training:初始资格培训

  ISP— information support plan:信息支持计划

  IS— information systems:信息系统

  ISS— information systems security:信息系统安全

  ISSO—information systems security officer:信息系统安全官

  IT—information technology:信息技术

  ITAM— information technology asset management:信息技术资产管理

  ITIL—Information Technology Infrastructure Library:信息技术基础架构库

  i-TRM—infostructure technology reference model:信息基础设施技术参考模型

  JCCC— Joint Communications Control Center:联合通信控制中心

  JNMS— Joint Network Management System:联合计算机网络管理系统

  JTF— Joint Task Force:联合特遣部队

  LAN—local area network:局域网

  LRU—line replaceable unit:可更换部件

  MAJCOM—major command:美国空军一级司令部,主要司令部。空军的重要下属,直接隶属于美国空军总部

  MAN—metropolitan area network:城域网

  MECL— minimum essential circuit listing:最小必需电路清单

  MOA—memorandum of agreement:协议备忘录

  MOU—memorandum of understanding:谅解备忘录

  MSC—Mission Support Center:任务支援中心

  MTBF—Mean Time Between Failure:平均故障间隔时间

  NA—network administration:计算机网络管理

  NOD—Network Operations Division:计算机网络作战部

  NAF—Numbered Air Force:航空队

  NCC—Network Control Center:计算机网络控制中心

  ND—Network defense:计算机网络防御

  NETCOP—network common operating picture:计算机网络通用作战图

  NETOPS— network operations:计算机网络作战

  NetA—network attack:计算机网络攻击

  NetD—network defense:计算机网络防御

  NIC— Network Interface Card:计算机网络接口卡

  NIPRNET—non-secure internet protocol router network:非保密互联网协议路由器网络

  NM—network management:计算机网络管理

  NBM/ND—network battle management/network defense:计算机网络作战管理/计算机网络防御

  NOSC— Network Operations and Security Center:计算机网络作战与安全中心

  NOTAM— notice to airmen:飞行通报

  NTP—network time protocol:计算机网络时间协议

  NTO—NETOPS tasking order:计算机网络作战任务命令

  OJT— on the job training:在职培训

  OPCON—operational control:作战控制

  OPREP—operational report:作战报告,业务报告,操作报告

  OPREP3— operational event/incident reports:业务活动/事件报告

  OPTN—operationalizing and professionalizing the network:作战化与专业化计算机网络

  O&ST— order and shipping time:订购与配送时间

  ORM—operational risk management:作战风险管理

  PKI— public key infrastructure:公共密钥基础设施

  PMI— preventive maintenance inspection:预防性维护检查

  PMO—program management office:项目管理办公室

  POC—point of contact:联系点

  POM—Program Objective Memorandum:项目目标备忘录

  PSCF—Primary Systems Control Facility:主系统控制设施

  QC—quality control:质量控制

  QoS— quality of service:服务质量

  RDS— Records Disposition Schedule:记录处置计划

  ROE—rules of engagement:交战规则

  ROSC— Regional Operations and Security Center:地区性作战与安全中心

  S&NM—systems and network management:系统与计算机网络管理

  SDP— service delivery point:服务提供点

  SECAF—Secretary of the Air Force:空军部部长

  SIPRNET—secret internet protocol router network:保密互联网协议路由器网络

  SITREP— situation report:情况报告

  SMTP— simple mail transfer protocol:简单邮件传输协议

  SNMP— simple network management protocol:简单计算机网络管理协议

  SLA— service level agreement:服务水平协议

  SOA—start of authority:起始授权机构

  SORTS—Status of Resources and Training System:资源与培训系统状况

  SPO— system program office:系统项目办公室

  SYSCON—systems control:系统控制

  TAC-IP—tactical internet protocol:战术互联网协议

  TACON—tactical control:战术控制

  TCNO— time compliance network order:有时限的计算机网络命令

  TCTO— time compliance technical order:有时限的技术规范

  TMAP— Telecommunications Monitoring and Assessment Program:电信监测与评估计划

  TO—technical order:技术规范

  TODO— Technical Order Distributing Office:技术规范分发办公室

  TTP— tactics, techniques, and procedures:战术、技术和程序

  UPS— Uninterruptible Power System:不间断电源系统

  UTA—unit training assemblies:部队集训

  VAS — vulnerability assessment specialists:漏洞评估专家

  VAT — vulnerability assessment tool:漏洞评估工具

  Vo IP —voice over internet protocol:计算机网络电话,互联网协议语音

  VPN—virtual private network:虚拟专用网

  VPS— Voice Protection System:语音保护系统

  WAN —wide area network:广域网

  WFHQ—war fighting headquarters:作战司令部

  WHOIS—locally generated database of who is authorized:因为授权而在本地生成的数据库

  WLAN—wireless local area network:无线局域网

  术语

  后门(Backdoor)——在进入本地库之前,不经过硬件级防火墙的数据迂回路线。

  战术信息传输系统(Combat Information Transport System,CITS)——管理信息基础设施整个生命周期的程序。生命周期管理包括采办、维持、应用与维护活动。战斗信息传输系统由4个系统或支柱构成:信息传输系统(information transport system,ITS)、语音交换系统(Voice Switching System,VSS)、计算机网络作战管理/计算机网络防御( Net Battle Management/Net Defense,NBM/ND)系统以及电信管理系统(Telecommunications Management System,TMS)。所有这些资产结合在一起,提供基地间的连接,利用非保密互联网协议路由器网络和保密互联网协议路由器网络把驻军指挥与控制和战斗支援系统同国防信息系统计算机网络(DISN)连接起来。

  客户端/服务器(Client/server)——这是一种计算机网络应用架构,它把客户端(通常是图形用户界面)与服务器分隔开来。客户端软件的各个事件都可以向服务器或应用程序服务器发送请求。

  客户支持管理员(Client Support Administrator,CSA)——确保功能性机构有价值的系统、服务器、工作站、外部设备、通信设备以及软件位于线上,并且得到合理的支持。

  计算机(Computer)——一种设备或机器,能够实施计算或控制以数值或逻辑形式表达的操作。

  计算机网络(Computer Network)——用于在两台或多台计算机之间进行通信的系统。这些计算机网络可能是固定的(用线缆连接,永久性的)或者是临时性的(通过调制解调器)。

  计算机程序(Computer Program)——规定计算机活动[计算(computations)]的软件实例,由计算机运行。

  数据库(Database)——以系统方式储存在计算机中的信息集合,使得计算机程序可以向其咨询回答问题。

  多余设备(Excess Equipment)——如果一件设备由于任务变更、设备升级、技术革新、陈旧过时等原因不再需要,则它被认为是多余的。如果手头上拥有的该型设备的数量超过了所需数量与后勤保障计划明确的授权备用件数量之和,其中所需数量由技术解决方案/需求文件明确,则该型设备也会被认为是多余设备。

  外国公民(Foreign National,FN)——非美国公民(包括美国军事人员、国防部雇员和承包商)的个人,受东道国驻军协定(Status of Forces Agreement,SOFA)约束。

  全球信息栅格(Global Information Grid,GIG)——全球信息栅格是信息能力、相关程序和人员全球性互联、终端到终端的集合,它根据作战人员、政策决策者以及支援人员的需要,搜集、处理、储存、分发并管理信息。

  平均故障间隔时间(Mean Time Between Failure,MTBF)——在特定的时间段内,一个项目总的功能寿命数与故障总次数之比。该项定义用于时间、转数、里程、事件或其他寿命单位度量。它是衡量可靠性的一个基本技术手段。

  计算机网络专业人员(Network Professional)——军人、国防部文职、承包商或当地国民,他们根据空军指令AFI 33-115第1卷《标准》填补一个空勤岗位。这些人员已经接受过培训并经过了认证,其技术水平可以验证。他们积极管理、配置并控制计算机网络,确保国防部信息安全保障态势得到有效维护。

  运行备用件(Operational Spare)——一套能够服务的设备,在订货与补货的间隔用于维护系统的正常运行。

  订购与配送时间(Order and Shipping Time,O&ST)——为了特定的活动开始补充库存与由于此类行动产生的接收物资活动之间的时间间隔。订购与配送时间仅适用于补给系统内的物资,它由不同的要素、订购时间与配送时间构成。也可参阅补给水平。

  可靠性(Reliability)——一套系统及其部件在不发生故障、功能不退化或不需要支持系统的情况下执行任务的能力。见平均故障间隔时间(MTBF)。

  单点故障项目(Single Point Failure[SPF]Items)——单点故障项目是那些由于其故障会产生系统失效,并且/或不能执行特定任务的项目。也可描述为该系统的任何部件一旦出现故障,则可能会导致系统提供的服务中断。这可以像一个进程失败那样简单,或者像一套计算机系统崩溃那样具有灾难性。

  附件2

  服务水平协议、协议备忘录、谅解备忘录

  A2.1.样本。

  以下是服务提供商与用户之间达成的服务水平协议、协议备忘录/谅解备忘录格式的样本。样本协议只显示了需要解决的很小一部分问题,不过,应确保选择的文本覆盖了计算机网络控制中心的核心服务(见第六章)。

  1.简介。签约方(机构)包括:

  a.服务提供商:(如指定审批机构或计算机网络控制中心)。

  (1)联系点名称。

  (2)位置或办公地点标志。

  (3)电话号码。

  b.终端用户机构。

  (1)联系点名称。

  (2)位置或办公地点标志。

  (3)电话号码。

  2.目的。这份文件的目的是为了说明服务提供商与终端用户机构之间的关系。它明确说明了计算机网络控制中心的服务与承诺,以及终端用户机构的期望与义务。

  3.服务提供商的责任(机构名称)。服务提供商同意他们将:

  a.明确他们会使用什么样的资源。

  b.说明在用户基础设施发生变化,或者有新的服务内容或服务内容发生了变化时,他们将如何通知用户。

  c.说明他们将采用什么样的安全方法保护基础设施资源免受非授权访问、监控或篡改。

  d.描述在发生计划内的连接中断、设备停机或供电中断等事故的情况下,用于通知终端用户机构并与之协商的程序。

  e.解释服务质量下降或故障纠正的协调过程,并说明用户如何才能得知当前的状况。

  f.描述将为用户提供哪些物资,以减少程序性错误。

  g.解释用户支持作业标准与工作量限制(如操作时间、反应时间以及预期的最大召集工作量)。

  h.描述他们会给用户机构提供什么样的性能数据和分析报告,以说明服务质量以及他们所提供的客户支持水平。

  i.说明他们能够提供什么样的客户培训,以及在客户培训过程中服务提供商将发挥什么样的作用。

  j.实施定期调查,监控客户满意度。

  k.说明他们将用于保护基础设施资源免受非授权访问、监控或篡改的安全措施。

  4.终端用户机构的责任。

  a.终端用户机构同意将:

  (1)说明采取什么样的过程,确保终端用户明白如何获得帮助。

  (2)就已制订计划和在建工程中任何主要配置的改变与服务提供商进行协调(如计算机网络的安装/扩展、TCP/IP端口需求、拓扑结构的变化、系统升级、重新安置等)。

  (3)根据要求,客户支持管理员与系统管理员将提供设备规划图、计算机网络框图、计算机网络连接图(通过骨干或独立计算机网络连接)以及它们的确切位置。

  (4)描述他们将如何利用由服务提供商披露的性能与趋势分析数据,并提供反馈,更好地促进服务质量。

  (5)制订终端用户应急作战计划并发展与之相关的能力。

  (6)确定他们将以什么样的资源作为母体,或转交给服务提供商。

  (7)根据需要,向服务提供商提供电子和物理访问设备的路径。

  (8)同意实施验证工作,并且遵守空军联队或计算机网络控制中心的安全政策。

  (9)至少每年与服务提供商进行协调,讨论需要对服务水平和服务水平协议做出哪些调整。

  (10)为满足商定的服务水平协议、协议备忘录/谅解备忘录提供必要的信息技术资源支持。如果信息技术不能得到足够的资源,则要将其调整到足够低的水平,确保预期的资源水平能够满足它的需要。

  (11)每年检查信息技术的恢复重点。更新任务、功能以及需要信息技术支持的系统,确保所有的信息技术都有满足任务需求的必要的恢复重点。

  b.在一次寻求困难帮助过程中,终端用户将:

  (1)如果可行,首先联系机构的客户支持管理员。

  (2)描述他们至少能提供哪些信息(如,姓名、机构、地点、电话号码、设备型号、用户ID、电子邮件地址)。

  (3)向服务提供商提交问题的详细说明、重点及其对任务的潜在影响。

  (4)根据需要,在故障分析过程中与服务提供商协作。

  (5)由于突发事件或新的支持需求,就由此增加的工作量/支持范围扩充进行谈判。

  5.客户升级程序。在需要升级问题解决方案的情况下(如客户对提供的服务不满意时),双方一致同意以下程序。

  a.升级水平,向谁提供和电话号码。

  (1)第1

  (2)第2

  (3)第3

  6.结论。

  a.双方同意本协议的条款继续有效(5年、6个月等)并且将接受审查(每年1次、每半年1次等)。

  b.双方同意根据以下程序启动周期性的服务水平协议、协议备忘录/谅解备忘录审查:

  c.这里确立的服务水平和程序由各方代表同意签署。

  (服务提供商代表签字)(终端用户机构签字)

  附件(根据需要添加):

  1.运行时间

  2.术语定义

  3.支持设备与软件列表

  4.适用合同摘要

  5.应急计划

  附件3

  空勤岗位

  A3.1.概述

  本附件明确了各计算机网络作战层的空勤岗位。

  表3.1说明了层级空勤岗位与具体计算机网络作战任务领域之间的关系。空勤岗位划分为3个功能区。这些领域是信息保护行动、计算机网络策略管理(Network Management,NM)和计算机网络管理(Network Administration,NA)。

  A3.2.功能区描述。

  A3.2.1.计算机网络管理(Network Administration,NA)岗位。

  这一功能区负责服务硬件、操作系统与应用程序的集中管理。其职责包括由计算机网络作战与安全中心/计算机网络控制中心向基地或美国空军一级司令部人员提供的核心服务(如第六章所述)。分派到该功能区的人员是基地系统管理方面的专家,并向功能性系统管理人员与客户支持管理员提供技术援助,后者从他们的服务器向终端用户工作站提供管理支持。计算机网络管理岗被划分为3个具体职位:配置管理技术员、应用服务技术员以及通讯技术员。计算机网络管理人员职能位于IT-1级(国防部指令DODI 8500.2,《信息安全保障实施细则》(Information Assurance [IA] Implementation)与高级研究计划ADP-1(国防部DOD 5200.2-R,《人员安全计划》[Personnel Security Program])。

  A3.2.2.计算机网络策略管理(Network Management,NM)岗。

  该功能区通过监控并控制基础计算机网络设施、适用带宽、硬件以及分布式软件资源,提供对资源的被动与主动管理。其职责包括由计算机网络作战与安全中心/计算机网络控制中心向基地或美国空军一级司令部人员提供的核心服务(如第六章所述)。计算机网络策略管理对检测到的安全事件、计算机网络故障(错误)和用户报告的计算机网络中断做出响应。计算机网络策略管理进一步细分为2个职位:基础设施技术员与计算机网络服务技术员。信息保护人员职能位于IT-1层(国防部指令DODI 8500.2)和高级研究计划ADP-1(国防部DOD 5200.2-R)层。

  A3.2.3.信息保护行动岗。

  本功能区采用并执行国家、国防部以及空军的安全政策与指示。它提供业已确立的主动安全功能,在威慑、检测、隔离、抑制信息系统及计算机网络安全入侵方面对空军机构起辅助作用,同时,帮助空军机构从类似入侵中恢复。该区域采用硬件和软件工具实施信息保护行动,以增强计算机网络的安全性。本区域人员安装、监控并指导被动与主动计算机网络信息保护防御措施,确保基地计算机网络化信息资源与单独的信息资源有效、完整、可靠。信息保护行动被划分为3种空勤岗位:边界保护专家、入侵检测专家以及漏洞评估专家。信息保护人员职能位于IT-1层(国防部指令DODI 8500.2)和高级研究计划ADP-1(国防部DOD 5200.2-R)层。

  A3.3.单位层职位。

  A3.3.1.客户支持管理员。

  客户支持管理员充当帮助用户解决管理和技术难题的马前卒。虽然逻辑上客户支持管理员属于帮助台团队的扩展,但它并不归计算机网络控制中心调遣。客户支持管理员从计算机网络控制中心和功能性系统管理人员那里接收指令。相对于功能性系统管理人员的指令,计算机网络控制中心的指令具有优先权。客户支持管理员安装、配置并运行客户端/服务器端设备。一般来说,客户支持管理员将是一名3A0X1,除非任务需求超过了可用的人手。如果没有指定3A0X1人员,则任何经过培训并且得到认证的空军专业代码人员或职业都可以履行客户支持管理员职责。客户支持管理员职能位于IT-2层(国防部指令DODI 8500.2)和高级研究计划ADP-2(国防部DOD 5200.2-R)层。

  A3.4.计算机网络控制中心与计算机网络作战与安全中心职位。

  A3.4.1.配置管理技术员。

  为所有服务器安装并配置计算机网络操作系统,使之符合空军规范。建立打印服务并维护标准化文件储存目录结构。根据空军标准命名规则创建用户账户,并提供文件、打印与通信访问。维持目录服务,支持空军目录,实施预防性维护,通过适当的数据备份计划并加以执行,确保空军具备数据恢复能力。

  A3.4.2.应用程序技术员。

  安装、配置、操作并维护计算机网络启动的用户应用程序和问题标签系统及其数据库。

  A3.4.3.通讯技术员。

  安装、配置、操作并维护计算机网络通讯应用程序。保持全局地址列表以及本地地址列表(local address list,LAL)的准确性,为空军目录和空军电话簿提供支持。

  A3.4.4.计算机网络服务技术员。

  维护计算机网络管理系统,包括为这些系统进行备份。他们负责搜集并归档必要的数据,以便执行详细的基础设施描述和分析,生成时间上敏感的直观信息和阀值警报,并研究制订出台行动方案的流程。通过使用动态主机配置协议或静态配置协议,控制基地所有的IP地址空间。为内部与外部命名解决方案维护DNS服务器。

  A3.4.5.信息基础设施技术员。

  调整交换机、路由器与集线器配置,以确保最佳的计算机网络性能。配置访问控制列表,允许/限制授权用户和程序访问计算机网络。利用得到批准的计算机网络管理软件和工具执行任务。除了各种各样的集线器和传输介质,信息基础设施技术员是运行并维护路由器和交换机领域的专家。

  A3.4.6.入侵检测专家。

  利用空军标准的自动化安全工具威慑、检测、隔离计算机网络入侵,并在受到攻击后恢复受损的系统。

  A3.4.7.漏洞评估专家。

  执行内部计算机网络安全评估,利用空军标准的自动化安全工具,依靠积极探测计算机网络防御,确定漏洞,最大限度地减少/或消除计算机网络入侵威胁。确保系统符合有时限的计算机网络命令要求,并更新/报告状态。确定并报告基地计算机网络的信息保护状况。确保当前所有的计算机网络安全工具与补丁已经在内部基地所有系统上得到了应用。基地将维持监控、检测、分析、总结、报告、控制、隔离、抑制、恢复和纠正漏洞的能力。

  A3.4.8.边界保护专家。

  安装、配置并维护战斗信息传输系统信息安全保障套件。运行并维护防火墙、网页代理与缓存服务器以及电子邮件网关服务器,保护基地信息资源免受内部和外部威胁。

  A3.5.空军计算机网络作战与安全中心和计算机网络作战与安全中心职位。

  A3.5.1.计算机网络防御管理员。

  计算机网络防御管理员监督入侵检测、边界保护以及漏洞评估行动,以保护全球信息栅格空军子网。计算机网络防御管理员开发计算机网络防御漏洞显示工具,指示计算机网络安全态势根据时间敏感度做出调整,尽量降低或应对作战风险,搜集并储存对于执行作战风险管理(ORM)来说必要的数据与测量结果。他们还会对由其控制的计算机网络作战与安全中心和计算机网络控制中心的安全措施做出指示,如识别/认证控制、内部加密和入侵检测。计算机网络防御管理员职能位于IT-1层(国防部指令DODI 8500.2)和高级研究计划ADP-1(国防部DOD 5200.2-R)层。

  A3.5.2.企业化管理员。(Enterprise Controller.)

  企业化管理员监督全球信息栅格空军子网的计算机网络管理与计算机网络策略管理活动。他们负责监控计算机网络管理软件并生成专门的计算机网络援助查询,同时对行动步骤做出指示。企业化管理员密切关注计算机网络性能特性与基础设施重心,并提出调整建议。他们集中监控服务器、用户以及由服务器启动的应用程序,确保它们得到高效利用。他们还会在各自的职责范围内建立相应的测量方法,并据此生成报告。企业化管理员职能位于IT-1层(国防部指令DODI 8500.2)和高级研究计划ADP-1(国防部DOD 5200.2-R)层。

  A3.5.3.语音管理员。

  语音管理员负责运行、管理并维护企业化电话通讯管理平台,帮助提供所有空军一级司令部语音计算机网络(如国防交换网、公用交换电话网以及联邦电信系统2001)的态势感知。语音管理员负责制订语音保护系统安全政策、定制报告研究、生成定期与即席报告、推动/添加/变更与语音保护系统相关的政策、故障排除与系统维护、更新系统备份并定期生成管理性报告。他们还负责就语音保护系统相关问题与个别基地进行协调。语音管理员职能位于IT-1层(国防部指令DODI 8500.2)和高级研究计划ADP-1(国防部DOD 5200.2-R)层。

  A3.6.各级职位。

  A3.6.1.空勤指挥员(Crew Commander)。

  空勤指挥员是岗位职务中唯一的军官。他们在所有三个层级的计算机网络作战层中服务——空军计算机网络作战与安全中心、计算机网络作战与安全中心和计算机网络控制中心。计算机网络控制中心人力有限,可以利用行动管理员代替空勤指挥员。职责包括:成功执行任务、维护职位人员配备的完整性并确保职位成员在上岗之前经过培训与认证。

  空勤指挥员开展简报切换并准备每天的日报。他们与联队/基地水平作战安全(Operations Security,OPSEC)以及反情报[空军特别调查办公室]人员就防御性反击信息(DCI)计划/行动进行协调,并消除计算机网络防御活动与正在进行的空间作战和任务之间的冲突。此外,他们维护每天的日志,就情况报告、业务活动/事件报告、信息作战防卫态势、有时限的计算机网络命令以及C4飞行通报与外部用户进行协调并开展评估。空勤指挥员维护恢复与重建计划和程序,并确保对计算机网络防御作战全面控制。简而言之,他们对分配给他们的人员保持战术与战役控制。

  A3.6.2.行动管理员(Operations Controller)。

  行动管理员服务于计算机网络作战各层,是空军计算机网络作战与安全中心和计算机网络作战与安全中心必需的,但在计算机网络控制中心则属于可选项。行动管理员不能由其他职位的人员兼任(如,他们不能在同一个班次的工作时间内既担任企业化管理员又担任行动管理员)。行动管理员由计算机网络专家(最好是一名高级士官)担任,并且至少在一个空勤岗位上得到了认证。

  他们是空勤指挥员的助手。他们向空勤指挥员提出有关重要情况的建议,并就行动步骤提出自己的意见。此外,他们帮助维护每天的日志,并评估情况报告、业务活动/事件报告、信息作战防卫态势、有时限的计算机网络命令以及C4飞行通报。行动管理员帮助空勤指挥员确保对分配的人员实施全面控制。

  A3.6.3.帮助台技术员/事件管理员(Help Desk Technician/Event Manager)。

表3.1 计算机网络作战任务领域
表3.1 计算机网络作战任务领域


  帮助台技术员实质上是事件管理员。

  在计算机网络控制中心层,帮助台技术员是计算机网络控制中心客户支持管理员和功能性系统管理人员的联系点。他们利用标准的问题标签数据库输入、分配、解决并关闭问题标签。事件管理员负责保持对基地计算机网络、战场计算机网络或全球信息栅格空军子网能力的实时检查,以执行其设计的功能。事件管理员还准备每个月的测量指标,说明作战性能。帮助台技术员与事件管理员必须至少得到一个职位的认证。帮助台/事件管理员职能位于IT-1层(国防部指令DODI 8500.2)和高级研究计划ADP-1(国防部DOD 5200.2-R)层。

  附件4 漏洞评估专家委任与密钥更换请示

表格关键:黑体部分表示正在考虑为表中各个项目输入内容。
表格关键:黑体部分表示正在考虑为表中各个项目输入内容。


  A4.1.漏洞评估专家委任与密钥更换请示

  此附件是漏洞评估专家委任与漏洞评估工具密钥更换请示的一份样本。(以下内容为样本示例)

  SSG/SWSN备忘录(战斗作息传输系统 企业化计算机网络支持中心互联网安全系统密钥代理人)

  签发:2004 CS/SC

  主题:漏洞评估专家委任与漏洞评估工具密钥更换请示

  1.以下人员被任命为某某空军基地的漏洞评估专家。

 

  2.以上任命的人员将在正式的互联网安全系统培训结束后,使用该备忘录,并利用特定域的互联网安全系统密钥作为他在我们计算机网络上运行互联网安全系统的权限。互联网安全系统密钥请示将被发送到以下地址:

 

  3.互联网安全系统联系点是 ,部门服务号码 。

  JOHN E. DOE,美国空军一级司令部指挥员,

  签章:委任的漏洞评估专家

mil.sohu.com true 搜狐军事 http://mil.sohu.com/20150323/n410154644.shtml report 105447 导读:美国空军指令AFI33-115第1卷《计算机网络作战》(NETOPS)为全球信息栅格空军子网(也可称为全球信息栅格——空军配置部分,AF-GIG)提供了全
(责任编辑:UM004) 原标题:美国空军计算机网络作战指令

我要发布

我来说两句排行榜

客服热线:86-10-58511234

客服邮箱:kf@vip.sohu.com