Delen 1 en 2 bouwden een enkelbronnen fusiepijplijn. Delen 3 en 4 sluiten de kloof met de operationele defensierealiteit. Echte defensiefusie neemt invoer van meerdere inlichtingendisciplines — SIGINT, IMINT, ELINT, OSINT, HUMINT, GEOINT, MASINT — elk met zijn eigen semantiek, latentie, classificatie en vrijgavebeheer. Ze behandelen als uitwisselbare observaties is de meest voorkomende architectuurfout in defensiefusieprogramma's. Deel 3 behandelt de technische implementatie van multi-INT-fusie en het classificatiemechanisme dat defensie uniek vereist.

De conceptuele basis staat in Volledige gids voor defensie-gegevensfusie; het kader voor coalitie-gegevensdeling staat in Uitdagingen voor coalitie-gegevensdeling; de RBAC-grondslagen staan in Rolgebaseerde toegangscontrole in defensie-C2-systemen.

Stap 1: multi-INT-semantiek is niet uitwisselbaar

Elke inlichtingendiscipline draagt andere semantiek. Een SIGINT-alleen-peilingcontact vertelt u de richting maar niet de afstand. Een IMINT-observatie geeft u een nauwkeurige positie op één moment maar geen kinematica. Een OSINT-rapport heeft onzekere toeschrijving maar potentieel rijke context. Een HUMINT-rapport heeft hoge latentie en bronbeschermingsvereisten. Het samenvoegen van deze in een generiek "observatie"-record verliest de informatie die fusie nodig heeft om betrouwbare tracks te produceren.

De velden die multi-INT-observaties onderscheiden:

  • SIGINT — peillijn, frequentie, modulatie, zendertype, onderscheptingstijd. Positie berekend door triangulatie als meerdere stations dezelfde zender rapporteren; anders onbekend.
  • IMINT — nauwkeurige positie uit beeldexploitatie, identiteit uit visuele of geautomatiseerde classificatie, verzameltijd. Revisit-tempo's gemeten in uren.
  • ELINT — zenderkarakterisering (radarpulsparameters, handtekening). Overlapt SIGINT maar richt zich op elektronische strijdorde.
  • OSINT — geëxtraheerd uit openbare bronnen, met toeschrijvingsonzekerheid, bronzekerheid, citaatketen. Steeds belangrijker; behandeld in OSINT-dreigingsbewaking voor defensie.
  • HUMINT — mensbroninformatie, hoge latentie, classificatie- en bronbeschermingsgevoeligheid. Kan niet worden doorgegeven aan coalitiegenoten zonder vrijgavescreening.
  • GEOINT — combineert beeldmateriaal met terreinanalyse, routevoorspelling, patroon-van-leven-inferentie.
  • MASINT — meet- en handtekeninginformatie; omvat akoestische, infrarood-, nucleaire en andere gespecialiseerde sensorica. Vaak domeinspecifiek (antiduikbootoorlogvoering, raketafweer).

Het canonieke trackschema accommodeert deze door brondisciplinemetadata naast de standaardvelden te dragen. De fusie-engine raadpleegt de discipline bij het berekenen van associatiekansen (een SIGINT-alleen-peilingobservatie kan een kinematische track niet direct bijwerken zonder peilingovereenkomstlogica; een IMINT-puntfix moet de positie bijwerken maar niet de snelheid).

Stap 2: de multi-INT-fusiearchitectuur

Het architectuurpatroon voor multi-INT-fusie dat in productie werkt:

Per-discipline-adapters. Elke inlichtingendiscipline heeft zijn eigen familie van adapters met disciplinespecifieke logica. De taak van de adapter is canonieke-schema-observaties te produceren getagd met de brondiscipline, niet om over disciplines heen te interpreteren.

Disciplinebewuste correlatie. De correlatielogica van de fusie-engine raadpleegt de brondisciplinemetadata. Regelgebaseerde poortvorming bevat disciplinecompatibiliteitsregels ("een HUMINT-rapport over een vaartuig kan een IMINT-bevestigde vaartuigtrack bijwerken alleen als identiteit overeenkomt met hoge zekerheid"). Probabilistische associatie gebruikt disciplinespecifieke vooroordelen.

Fusie-verrijking, niet vervanging. Wanneer multi-INT-observaties overeenstemmen, versterken ze het vertrouwen. Wanneer ze niet overeenstemmen, toont de fusie-engine de onenigheid aan de operator in plaats van één te kiezen. Een track met twee zekere-maar-conflicterende identiteitsrapporten is niet "fout" — het is echt dubbelzinnig en de operator moet dit weten.

Cross-discipline-analytics als afzonderlijke services. Hogere-orde analytics die disciplines overspannen — patroon-van-leven-detectie (Patroon-van-leven-analyse), gedragsanomaliedetectie, netwerkanalyse — draaien als afzonderlijke services die de gefuseerde trackstroom consumeren. Ze produceren verrijkte annotaties op bestaande tracks, geen nieuwe tracks die concurreren met de fusie-engine.

Stap 3: classificatielabeling per STANAG 4774/4778

Elk gegevensobject dat het platform produceert, draagt een vertrouwelijkheidslabel. STANAG 4774 definieert het labelformaat; STANAG 4778 definieert de cryptografische binding die voorkomt dat labels worden losgekoppeld van de gegevens die ze labelen. Samen zijn ze de basis van alle coalitie-gegevensdeling in NATO-contexten.

De technische integratie:

Bronclassificatie wordt gedragen door elke adapter. Elke adapter kent de classificatie van zijn bron (geconfigureerd in de broncatalogus van deel 1) en tagt elke observatie ermee. De adapter is de betrouwbare bron voor de classificatie van zijn observaties.

Labels zijn gestructureerd, geen tekstreeksen. Een classificatielabel is niet "GEHEIM"; het is een gestructureerd object met classificatieniveau, compartimenten, vrijgavetags en bindingshandtekening. De labelbibliotheek implementeert STANAG 4774-serialisatie en STANAG 4778-binding; elke observatie doorloopt hem.

Labels worden voortgeplant, niet opnieuw gegenereerd. Wanneer de fusie-engine een track bijwerkt, wordt de effectieve classificatie van de track berekend vanuit de bronset, niet onafhankelijk toegewezen. Een track afgeleid van een GEHEIME radarretour en een ONGERUBRICEERD AIS-bericht is GEHEIM. Propagatiediscipline is mechanisch; het fout doen is een accreditatiefout.

Binding overleeft serialisatie. Wanneer tracks worden geserialiseerd naar schijf, naar de berichtenbus of over de draad, blijft de STANAG 4778-binding bevestigd. Het verwijderen van de binding voor "gemak" is precies het soort snelkoppeling dat accreditatiebeoordelaars specifiek zoeken.

Stap 4: classificatiepropagatie door fusie

De fusie-engine maakt afgeleid gegevens. Een track is een afleiding van meerdere bronobservaties; zijn classificatie moet worden berekend van de hunne. De propagatieregels:

Classificatieniveau is het maximum over de bronset. Een track afgeleid van GEHEIME en ONGERUBRICEERDE bronnen is GEHEIM. De hoogwatermerkregel is onverbiddelijk maar goed begrepen.

Compartimenten zijn de unie over de bronset. Een track afgeleid van een HOGE-WAARDE-DOEL-compartimentbron en een HUMAN-INTELLIGENCE-compartimentbron draagt beide compartimenten. Toegang vereist machtiging in beide.

Vrijgavebeheer is de doorsnede over de bronset. Een track afgeleid van FVEY-alleen- en NATO-alleen-bronnen is alleen vrijgeefbaar aan de doorsnede (FVEY-en-NATO, wat in de praktijk de vier FVEY-naties betekent die ook NATO-lid zijn). De doorsnederegel is de meest operationeel consequente en de regel die het vaakst fout gaat bij ad-hoc-implementaties.

Per-attribuut-classificatie waar relevant. De positie van een track kan breed vrijgeefbaar zijn terwijl de identiteit meer beperkt is. Het schema ondersteunt per-attribuut-classificatie; de beleidsengine evalueert per-attribuut-toegang bij querytijd.

Kernpunt: Classificatiepropagatie kan niet achteraf worden toegevoegd. Een fusieplatform dat classificatie negeerde tijdens de initiële ontwikkeling en het later probeerde toe te voegen, besteedde meerjaarlijkse refactors en leverde te laat. Bouw het propagatiemechanisme naast de fusie-engine vanaf de eerste sprint; de operationele registratie zal het uiteindelijk eisen, en eerder is dramatisch goedkoper dan later.

Stap 5: de vrijgavebeleidsengine

Classificatielabels op gegevens zijn noodzakelijk maar niet voldoende. Toegangsbeslissingen vereisen een beleidsengine die de machtiging, het staatsburgerschap, de rol van de gebruiker en de classificatie, compartimenten en vrijgavebeheer van de gevraagde gegevens kent. Elke query op de trackopslag doorloopt deze engine.

Het technische patroon:

Beleid als code. Vrijgaveregels uitgedrukt in een versioned beleidstaal — Open Policy Agent's Rego is de verdedigbare standaard. Beleidswijzigingen gaan door codereview, niet configuratiewijzigingen. De geschiedenis van beleidsbeslissingen is auditeerbaar vanuit versiebeheer.

Beslissingsuitvoering aan de querybegrenzing. Wanneer een consument de trackopslag opvraagt, evalueert de beleidsengine welke tracks zichtbaar zijn en welke attributen per track zichtbaar zijn. Het resultaat is een gefilterde weergave, niet de volledige gegevens met een UI-masker. Alleen-UI-filtering is een Common Criteria-schending en een accreditatiedealbrekend punt.

Per-beslissing-auditlogboek. Elke toegangsbeslissing — welke gebruiker, welke gegevens, welke classificatie, welk resultaat — wordt onveranderlijk gelogd. Het auditlogboek is de bewijsbasis voor accreditatiebeoordeling en operationele forensische analyse.

Prestatiebudgetten. De beleidsengine staat op het COP-kritieke pad; zijn evaluatielatentie moet sub-milliseconde per beslissing zijn. Cachingstrategieën, voorgecompileerde beleidsbundels en per-gebruiker-beleidsvingerafdrukken zijn allemaal relevant. Een naïeve beleidsengine is de meest voorkomende oorzaak van COP-traagheid in geclassificeerde implementaties.

De gedetailleerde behandeling van het beleidsenginepatroon, gevolgen voor coalitie-gegevensdeling en de operationele antipatronen om te vermijden staan in Uitdagingen voor coalitie-gegevensdeling.

Stap 6: cross-enclave-gegevensstromen

Defensienetwerken zijn geen enkele enclaves. Een platform dat werkt over NATO RESTRICTED, NATO SECRET en nationaal-geclassificeerde netwerken moet geschikte gegevens ertussen bewegen terwijl ongepaste gegevensstromen worden voorkomen. Het architectuurpatroon:

Per-enclave-fusie-instanties. Elke geclassificeerde enclave draait zijn eigen fusie-instantie met zijn eigen bronset, trackopslag en beleidsengine. De instanties zijn fysiek gescheiden; het platform gaat er niet van uit dat ze status delen.

Cross-domein-bruggen. Waar gegevens rechtmatig bewegen tussen enclaves — bijvoorbeeld een ongerubriceerde AIS-feed die omhoog stroomt naar een GEHEIME enclave, of vrijgavegescreend product dat omlaag stroomt naar een coalitie-enclave — gaat de beweging door een geaccrediteerde cross-domein-brug, niet een directe verbinding. De brug handhaaft de classificatieregels aan de grens.

Eenwegdioden waar de fysica de richting afdwingt. Voor hoge-kant-naar-lage-kant-gegevensbeweging (wat zeldzaam en operationeel gevoelig is), dwingen eenweggegevensdioden de richting af op de netwerklaag. Het fusieplatform integreert met diodeinfrastructuur in plaats van zijn eigen te implementeren.

Handmatige vrijgave waar automatisering faalt. Sommige classificatiebeslissingen kunnen niet veilig worden geautomatiseerd. Per-product-vrijgavebeslissingen voor HUMINT of gecompartimenteerde gegevens kunnen menselijke goedkeuring vereisen. Het platform moet de workflow accommoderen — de kandidaatvrijgave tonen, de menselijke beslissing vastleggen, de goedgekeurde vrijgave voortplanten.

Stap 7: operationele overwegingen

Multi-INT-fusie in operaties toont uitdagingen die niet zichtbaar zijn in ontwikkeling. De disciplines die operationele platforms onderscheiden van demokwaliteitsplatforms:

Brontoeschrijving overleeft propagatie. Wanneer een track wordt opgevraagd, bevat het antwoord de bronset die eraan heeft bijgedragen. Operators moeten weten of een positie afkomstig was van radar (hoge kinematische zekerheid, identiteit onzeker) of HUMINT (lage ruimtelijke precisie, identiteitscontext-rijk). Brontoeschrijving maakt dit transparant.

Onenigheid wordt bewaard, niet samengevouwen. Wanneer twee brondisciplines het oneens zijn over de identiteit van een track, bewaart de fusie-engine beide alternatieven met zekerheden. De operator beslist; het platform toont.

Compartiment-fan-out is begrensd. Een track met veel compartimenten heeft veel verschillende potentiële doelgroepen. Het systeem moet vrijgavebeheer efficiënt berekenen, zelfs wanneer de compartimentset groot is.

Audit dekt elke vrijgavebeslissing. Elke cross-domein-overdracht, elk per-queryfilterresultaat, elke compartimentescalatie wordt gelogd. Het auditlogboek ondersteunt operationele forensische beoordeling, accreditatiebewijs en nabeschouwingsanalyse. Het gedetailleerde patroon staat in Event Sourcing voor defensie-audittrails.

Cyberobservaties als multi-INT

Steeds vaker stromen cyberobservaties in dezelfde fusiepijplijn als fysieke-domein-observaties. Een bevestigde netwerkinbraak, een uitgelekte inloggegevensset, een OSINT-afgeleid toeschrijvingsaanwijzing — elk kan een observatie worden in de multi-INT-fusiestroom. De architectonische fit is reëel maar vereist zorg: cybergegevens hebben andere latentie, zekerheid en classificatiesemantiek dan fysieke-domein-gegevens. Het patroon wordt behandeld in CTI-platforms voor defensie en de bredere cyber-als-fusiediscipline-weergave in De complete gids voor defensiecybersecurity.

De technische beslissing: bouw cyberspecifieke adapters die canonieke-schema-observaties produceren getagd met discipline "cyber" terwijl cyberspecifieke metadata wordt bewaard (indicators of compromise, dreigingsactorentoeschrijving, kill-chain-fase). De fusie-engine behandelt cyberobservaties zoals andere multi-INT-invoer; de cyberspecifieke tooling (CTI-platforms, SIEM/SOAR) consumeert dezelfde trackstroom voor zijn eigen doeleinden.

Wat volgt

Deel 3 heeft het multi-INT- en classificatiemechanisme behandeld. Het platform correleert nu observaties over inlichtingendisciplines terwijl hun semantische verschillen worden bewaard, plant classificatie correct voort door fusie, handhaaft vrijgavebeheer via een beleidsengine en werkt over geclassificeerde enclavegrenzen.

Deel 4 sluit de reeks af met operationalisering: driftmonitoring op de fusie-algoritmen, de auditpijplijn die accreditatie ondersteunt, de productie-implementatiepatronen (cloud tot air-gapped) en de long-tail-onderhoudsdiscipline die het platform operationeel houdt gedurende een levenscyclus van 20 jaar.