NAVO-interop-implementatie doorloop, deel 3: STANAG 4774/4778 classificatie en coalitie vrijgavebaarheid

De datalinkverbindingen van deel 2 verplaatsen berichten. De classificatie- en vrijgavebaarheidsmachinery beslist welke berichten naar wie gaan. STANAG 4774 definieert het formaat voor vertrouwelijkheidslabels; STANAG 4778 definieert de cryptografische binding die voorkomt dat labels worden losgemaakt van de gegevens die ze labelen. Samen vormen ze de technische basis van alle NAVO-coalitiegegevens-deling. Een platform dat ze goed uitvoert, wordt ingezet in geclassificeerde netwerken; een platform dat ze behandelt als een UI-masker, mislukt bij de eerste accreditatiebeoordelingscyclus. Deel 3 behandelt de implementatiediscipline.

Het kader op pijlerniveau staat in De complete gids voor NAVO-interoperabiliteit; de bredere coalitiedeling patronen in Coalitiegegevens-delingsuitdagingen; de RBAC-grondslagen in Rolgebaseerde toegangscontrole in defensie-C2-systemen; de fusieside-voortplanting in Een defensiefusiepijplijn bouwen, deel 3.

Stap 1: Labels zijn gestructureerde gegevens, geen tekenreeksen

De meest voorkomende implementatiemislukking is classificatie behandelen als een tekenreeksveld — "SECRET", "NATO RESTRICTED" — gekoppeld aan gegevensrecords. Het STANAG 4774-model is rijker en structureel anders.

Een STANAG 4774 vertrouwelijkheidslabel is een gestructureerd object met:

• Beleidsidentificatie. Het classificatiebeleid waaronder het label is toegewezen (NAVO, nationaal, FVEY, EU). Een beleid definieert de geldige classificatieniveaus en compartimenten.
• Classificatieniveau. Een geordende waarde binnen het beleid — voor NAVO: UNCLASSIFIED, RESTRICTED, CONFIDENTIAL, SECRET, COSMIC TOP SECRET.
• Compartimenten. Benoemde waarschuwingen die de toegang beperken — operationeel significant, programmaspecifiek, vaak zelf geclassificeerd.
• Vrijgavebaarheid tags. Welke naties of organisaties de gelabelde gegevens mogen ontvangen — FVEY, REL TO NATO, REL TO specifieke naties.
• Waarschuwingen. Aanvullende beperkingen (NOFORN, ORCON, anderen afhankelijk van beleid).
• Originator. De producerende entiteit, voor audit en verantwoording.
• Aanmaaaktijdstempel. Wanneer het label is toegewezen.

Implementeer deze als gestructureerde typen met validatie. Een tekenreeks "SECRET REL FVEY" geparseerd tijdens runtime door tekenreeksmatching is het engineeringpatroon dat accreditatie mislukt. Gestructureerde typen, schema-gevalideerd bij elke grens, is het patroon dat slaagt.

Stap 2: STANAG 4778 cryptografische binding

STANAG 4778 definieert de cryptografische binding die zorgt dat een label niet kan worden losgemaakt van de gegevens die het labelt. De binding wordt berekend door de producent en geverifieerd door elke consument; zonder verificatie kan het label worden verwijderd, verwisseld of gemanipuleerd.

Het implementatiepatroon:

Bereken de binding bij de producerende service. Wanneer een adaptor, fusieservice of ander component gegevens produceert, berekent het de binding over de (label, gegevens)-tupel met zijn ondertekeningssleutel. De sleutel is verankerd in een hardware-verankerde vertrouwensopslag; de ondertekeningsoperatie wordt gelogd.

Verifieer bij elke lezing. Consumenten (de COP, stroomafwaartse analytics, externe API-gateways) verifiëren de binding vóór het doorzenden van de gegevens. Verificatiemislukkingen worden luid gelogd en de gegevens worden afgewezen — niet stilzwijgend gedegradeerd.

Bewaar binding bij serialisaties. Wanneer gegevens op de berichtbus stromen, naar de database, over de draad naar een coalitiepartner, gaat de binding mee. Opslagformaten accommoderen de binding; communicatieprotocollen dragen hem. Verwijderen "voor gemak" is het soort snelkoppeling waar accreditatiebeoordelaars specifiek naar zoeken.

Per-attribuut binding waar vereist. Sommige gegevensobjecten hebben attributen bij verschillende classificaties. Een spoor kan een UNCLASSIFIED positie maar een SECRET identiteit hebben. STANAG 4778 accommodeert per-attribuut binding; het platform implementeert het waar het classificatiemodel het vereist.

Stap 3: Classificatievoortplanting door fusie en afleiding

Defensieplatforms produceren afgeleide gegevens. Een spoor is afgeleid van meerdere bronobservaties; een gefuseerd product is afgeleid van meerdere inlichtingenrapporten. De classificatie van afgeleide gegevens wordt berekend uit de classificatie van de bronnen — niet onafhankelijk toegewezen.

De voortplantingsregels (samenvatting uit de fusieserie en pijler):

• Classificatieniveau: maximum. Een afleiding van SECRET en UNCLASSIFIED bronnen is SECRET.
• Compartimenten: unie. Een afleiding van compartiment-A en compartiment-B bronnen draagt beide compartimenten.
• Vrijgavebaarheid: doorsnede. Een afleiding van alleen-FVEY en alleen-NAVO bronnen is alleen vrijgeefbaar aan de doorsnede.
• Waarschuwingen: meest restrictief. NOFORN op enige bron maakt de afleiding NOFORN.

De regels zijn mechanisch. Implementeer ze als een bibliotheek die elke fusieservice, adaptor en afleidingspunt aanroept. Handmatig gerold voortplanting per service drifts en produceert inconsistenties die accreditatiebeoordelaars opvangen. Een gedeelde, door code gegenereerde bibliotheek die elk component gebruikt, is de discipline die schaalt.

Stap 4: De beleidsengine

Labels op gegevens zijn noodzakelijk maar niet voldoende. Toegangsbeslissingen vereisen een beleidsengine die de veiligheidsmachtiging, nationaliteit, rol van de gebruiker kent en de classificatie, compartimenten en vrijgavebaarheid van de gevraagde gegevens. Elke query tegen het platform gaat door deze engine.

Het implementatiepatroon:

Beleid als code. Vrijgavebaarheidregels uitgedrukt in een geversioneerde beleidstaal. Open Policy Agent's Rego is het verdedigbare standaard; alternatieven zoals Cedar of handgemaakte DSL's bestaan maar introduceren onderhoudsoverlast. Beleidswijzigingen stromen door code-review, niet configuratiewijzigingen.

Beslissingsevaluatie aan de querygrens. Wanneer een consument de platform raadpleegt, evalueert de beleidsengine welke records zichtbaar zijn en welke attributen per record zichtbaar zijn. Het resultaat is een gefilterde weergave, berekend bij querytijd. Alleen-UI-filtering — de volledige gegevens naar de client sturen en ze verbergen met CSS of JavaScript — is een Common Criteria-overtreding en een onmiddellijke accreditatiemislukking.

Per-beslissing auditlog. Elke toegangsbeslissing — gebruiker, gevraagde gegevens, classificatie, resultaat — wordt onveranderlijk gelogd. Het auditlog is de bewijsbasis voor nazorganalyse, forensisch onderzoek en periodieke accreditatiebeoordelingen.

Prestatiebudgetten. De beleidsengine zit op het kritieke pad van de COP. Beslissingslatentie moet sub-milliseconde zijn. Cachingstrategieën, voorgecompileerde beleidsbundels, per-gebruiker beleidsvingerafdrukken — al dit telt. Een naïeve beleidsengine is de meest voorkomende oorzaak van COP-langzaamheid in geclassificeerde inzetten.

Per-attribuut beslissingen waar vereist. De engine evalueert niet alleen of een record zichtbaar is, maar welke van zijn attributen dat zijn. Een spoor kan zichtbaar zijn voor een coalitiegebruiker met positie vrijgegeven maar identiteit achtergehouden.

Stap 5: Cross-enclave gegevensstromen

Defensienetwerken zijn geen enkele enclaves. Een platform dat opereert over NAVO RESTRICTED, NAVO SECRET en nationaal-geclassificeerde netwerken, moet geschikte gegevens daartussen verplaatsen terwijl ongepaste stromen worden voorkomen.

De patronen:

Per-enclave platform-instanties. Elke geclassificeerde enclave draait zijn eigen platform-instantie met zijn eigen gegevensopslag, beleidsengine en auditlog. De instanties zijn fysiek gescheiden; het platform gaat er niet vanuit dat ze toestand delen.

Cross-domein bruggen. Waar gegevens legitiem tussen enclaves worden verplaatst — UNCLASSIFIED AIS stroomt omhoog naar een SECRET-enclave, vrijgavebaarheid-geschrubde producten stromen omlaag naar een coalitie-enclave — gaat de verplaatsing via een geaccrediteerde cross-domein oplossing. De brug handhaaft classificatieregels aan de grens.

Eenrichtingsdiodes waar vereist. Voor hoog-naar-laag gegevensverplaatsing handhaven eenrichtings-gegevensdiodes richting op de netwerklaag. Het platform integreert met diode-infrastructuur in plaats van zijn eigen te implementeren.

Handmatige vrijgave waar automatisering niet kan bereiken. Sommige classificatiebeslissingen kunnen niet veilig worden geautomatiseerd. Per-product vrijgave van HUMINT of gecompartimenteerde gegevens kan menselijke goedkeuring vereisen. Het platform toont de kandidaat, legt de menselijke beslissing met attributie vast en plant de goedgekeurde vrijgave met audit.

De gedetailleerde coalitiegegevens-deling engineeringbehandeling staat in Coalitiegegevens-delingsuitdagingen.

Stap 6: Coalitiespecifieke vrijgavebaarheid

Verschillende coalities hebben verschillende vrijgavebaarheidregels. Het platform dat wil inzetten in meerdere coalitieverband contexten moet accommoderen:

NAVO vrijgavebaarheid. De standaard set NAVO-classificatieniveaus en de REL TO NATO-markering. De meeste operationele platforms richten zich eerst op deze basislijn.

Alleen-FVEY. De Five Eyes (AUS, CAN, NZ, VK, VS) inlichtingen-delingsregeling gebruikt classificatiebeleid dat niet schoon overeenkomt met NAVO-niveaus. Een platform gericht op FVEY-contexten implementeert het FVEY-beleid naast NAVO.

Bilaterale regelingen. Veel platforms hebben bilaterale gegevens-delingsregelingen met specifieke partners. Oekraïne, Israël, Korea, Japan hebben allemaal programmaspecifieke regelingen. De vrijgavebaarheidengine accommodeert deze als specifieke REL TO-markeringen plus partnerspecifieke compartimenttoegang.

EU vrijgavebaarheid. EU-gefinancierde programma's hebben hun eigen classificatiebeleid (EU CONFIDENTIAL, EU SECRET) dat niet overeenkomt met NAVO-niveaus. EDF-gefinancierde platforms moeten zowel NAVO als EU-classificatie accommoderen.

De discipline: implementeer een multi-beleid classificatie-engine, niet een enkel beleid. De engine kent NAVO, FVEY, EU en bilaterale beleidsvormen als benoemde entiteiten; gegevens dragen het beleid waaronder ze zijn geclassificeerd; de beleidsengine evalueert toegang tegen de veiligheidsmachtiging van de gebruiker onder elk toepasselijk beleid.

Stap 7: Generatie van accreditatiebewijsmateriaal

Accreditatiebeoordelaars zullen het platform niet op zijn woord geloven. Ze zullen om bewijsmateriaal vragen. Het bewijsmateriaal wordt gegenereerd als neveneffect van correct ontworpen classificatiemachinery.

Het bewijsmateriaal dat accreditatiebeoordelaars geloofwaardig vinden:

• Codereferenties die tonen waar classificatievoortplantingsregels zijn geïmplementeerd, met traceerbaarheid van beleid naar code.
• Auditlogmonsters die per-beslissing logging demonstreren over het spectrum van toegangsscenario's.
• Testresultaten van de geautomatiseerde testsuite van het platform die classificatievoortplanting, vrijgavebaarheidfiltering en bindingverificatie onder vijandige invoeren bestrijkt.
• Operationeel inzetbewijsmateriaal — maanden of jaren van productieoperatie met gedocumenteerde incidentrespons, klassificatielekpreventie en periodieke accreditatiebeoordeling doorlopen.
• Cross-domein overdrachtslogboeken die aantonen dat verplaatsing tussen enclaves gerechtvaardigd, goedgekeurd en vastgelegd was.
• Penetratietestrapportages van red-team oefeningen specifiek gericht op de classificatiemachinery.

De DevSecOps-discipline die dit bewijsmateriaal automatisch genereert, wordt behandeld in DevSecOps voor defensiepijplijnen. De ondersteunende accreditatiekaders (ISO 27001, AQAP-2110, NIST) worden behandeld in ISO 27001 in defensiesoftwareontwikkeling en NAVO AQAP-2110 voor softwareleveranciers.

Wat volgt

Deel 3 heeft de classificatiemachinery geïmplementeerd. STANAG 4774-labels als gestructureerde gegevens, STANAG 4778-binding geverifieerd bij elke grens, voortplanting door fusie en afleiding, de beleidsengine die vrijgavebaarheid bij querytijd handhaaft, cross-enclave stromen geaccommodeerd, multi-coalitie vrijgavebaarheid ondersteund, bewijsmateriaal generatie ingebouwd.

Deel 4 sluit de serie af met de validatie- en aanbestedingsdisciplines: conformiteitstest, CWIX-voorbereiding, het accreditatiepad en de langetermijn onderhoudsdiscipline die het platform inzetbaar houdt gedurende meerjarige operationele levensduren.