《防患未然：实施情报先导的信息安全方法与实践》——2.3　情报循环

本节书摘来自华章计算机《防患未然：实施情报先导的信息安全方法与实践》一书中的第2章，第2.3节,作者：[美] 艾伦利斯卡（Allan Liska） 更多章节内容可以访问云栖社区“华章计算机”公众号查看。

2.3　情报循环

为了建立成功的情报项目，组织需要一个运行该项目的框架。框架有助于确立情报收集和交付的方式，它应该足够开放，以便在多种环境和时段内使用，并且可供组织中的不同团队使用。与此同时，框架还应该有足够的限制，以清晰定义的任务推动专业环境。
大部分组织使用图2-1中的情报循环的一个变种，作为构建和维护情报组织的框架。

https://yqfile.alicdn.com/b4c7f42614ee12d02ca463b6e72cc2de942ca199.png" >

图2-1中的情报循环之所以有效，是因为它围绕特定任务清晰地定义了不同的角色。这种模型有足够的可移植性，可以用于大规模和小规模的任务，往往还可以同时用于不同任务。这些任务可以是“保卫美国”；也可以是“确定青年党的武器能力”。注意，这两种任务不一定相互排斥：了解恐怖组织“青年党”的武器能力可能加强美国的安全。一个情报循环可能为另一个循环提供信息。
情报循环的另一个重要特征是有意地设计成环形，因为这个循环是持续的。一旦任务分配完毕，规划和方向由组织的领导人处理。数据经过收集处理，提交给分析团队评估，由其向需要的各方发布数据。情报分析的结果驱动新情报的需求，致使领导层向收集团队下达任务，开始收集数据，从而继续这一过程。
除了持续的循环以外，组织中的不同群体在整个过程还应该提出反馈。运行良好的情报组织不依赖领导层促进不同团队之间的沟通。为了使情报团队有效运营，在团队（致力于相同任务的团队，以及有不同任务的团队）之间必须有顺畅的沟通和信息共享。
情报循环始于、终于并再次始于规划与方向。规划与方向团队是整个情报循环的管理者。这一阶段包括接受政策制定者或者军事官员的需求，或者根据之前发布的情报引起的反馈构建新需求。该团队使用情报消费者的任务和方向，产生传递给收集团队的情报需求。
收集团队负责执行从规划和方向传递而来的需求。这个团队的成员负责设计满足规划与方向团队收集需求的系统。情报收集有6个不同领域：
1）SIGINT：信号情报—从电子系统收集（通常是秘密进行）的数据。
2）OSINT：开源情报—来自新闻来源、电台或者互联网的公开数据。
3）HUMINT：人工情报—从人工来源收集到的情报（有意或无意）。
4）IMINT：图像情报—通过图像收集的数据，不管这些数据是照片、雷达屏幕或者其他表现形式。
5）GEOINT：地理空间情报—从卫星、无人机和其他来源的情报，跟踪全球的安全相关活动，并从这些活动中获得情报。往往和IMINT紧密相关。
6）MASINT：测量和痕迹情报—几乎包罗万象，MASINT情报来自不归入SIGINT或者IMINT的来源，例如无线电频率。
在情报循环的这个时点，没有创建任何情报。收集团队负责收集信息，对收集的数据只做很少的（甚至不做）过滤。收集团队的唯一职责是收集尽可能多的数据以满足情报需求，并将这些数据传递给处理与利用团队。
处理与利用团队负责对收集团队收集的数据进行第一遍过滤。这可能需要翻译信息、抄写信息、解密信息或者将数据转换成分析人员可以阅读的格式。处理和利用团队作为收集和分析之间的一个管道，也是过滤接收数据的第一次尝试。
分析和制作团队负责筛选收集团队收集的原始数据，围绕事件、活动或者群体构造一个故事。这是非常具有挑战性的工作，因为往往需要将从一系列来源收集到的不同数据碎片拼凑起来，确定真正发生的事情。分析人员是各自领域的专家，有能力从复杂的情况和信息中提取精华，使专业受众能够理解某个事件、群体或者行动的细节。
下一阶段是传播。一旦情报制作完毕且通过审查，就可以视为最终情报（简称FINTEL）。FINTEL不能停留在真空中；它必须被分发给原始消费者以及其他需要知道FINTEL中所包含信息的群体。
从定义上看，情报循环不会止于信息的传播。接收到FINTEL时，情报消费者应该有附加的问题或者对结果进行微调的要求。这些要求会驱动附加的情报需求，产生新的收集请求，推动情报循环。编写得当、来源良好的情报往往传递给新的受众，由其驱动新的请求，最终改善收集团队的视野和能力。
在FINTEL从一个组织送达更广泛的受众群体时，规划团队可能发现自己从不熟悉情报团队能力的消费者那里接收到请求。这往往意味着，需要指导这些用户的请求，帮助他们形成可付诸行动的任务。
尽管记住“客户总是对的”很重要，但是有时候规划与方向团队的工作是引导客户走向“正确”的道路。这方面的一个例子是一个常常听到的故事：一位教授和研究生们一起研究从新生课程收集到的问卷数据，作为问卷的一部分，学生必须填写他们的学号。教授要求研究生加入学号的均值、中位数和众数。研究生解释道，问卷上没有任何数值，但是教授坚持必须在报告中包含这些结果。这个故事的要点是，并不是每个要求都有意义。对于规划与方向团队，重要的不仅是理解哪些请求没有意义，还要解释这些请求为什么没有意义，以避免浪费已经负担沉重的收集团队和分析团队的时间。
有3种收集需求：关键信息需求（CIR），优先信息需求（PIR）和信息请求（RFI）。CIR是有助于定义任务的长期收集需求。CIR可能持续数年，用于帮助定义和重新定义情报任务，它还指导其他类型情报请求的创建。
第二类需求（PIR）是归入现有CIR领域的较短期请求。它们可能集中于更狭窄的领域，通常是围绕CIR的一个方面，有助于在不改变CIR范围的情况下描绘完整的图景。
最后一种需求类型是RFI。RFI是产生快速答案的短期请求，有时候甚至不会以FINTEL的形式出现。它们的范围非常窄，但是仍然必须和现有的CIR保持一致。