Părțile 1 și 2 au construit un pipeline de fuziune cu sursă unică. Părțile 3 și 4 închid golul față de realitatea operațională a apărării. Fuziunea reală de apărare primește intrări din mai multe discipline de informații — SIGINT, IMINT, ELINT, OSINT, HUMINT, GEOINT, MASINT — fiecare cu propria semantică, latență, clasificare și difuzabilitate. Tratarea lor ca observații interschimbabile este cel mai frecvent eșec arhitectural în programele de fuziune pentru apărare. Partea 3 acoperă ingineria fuziunii multi-INT și mecanismele de clasificare pe care apărarea le necesită în mod unic.

Fundația conceptuală se află în Ghidul complet pentru fuziunea datelor de apărare; cadrul de partajare a datelor în coaliție se află în Provocările partajării datelor în coaliție; fundațiile RBAC se află în Controlul accesului bazat pe roluri în sistemele C2 de apărare.

Pasul 1: Semantica multi-INT nu este interschimbabilă

Fiecare disciplină de informații poartă semantici diferite. Un contact SIGINT cu rulment-only vă spune direcția, dar nu distanța. O observație IMINT vă oferă poziția precisă la un singur moment în timp, dar fără cinematică. Un raport OSINT are atribuire incertă, dar context potențial bogat. Un raport HUMINT are latență ridicată și cerințe de protecție a sursei. Reducerea acestora la o înregistrare generică de „observație" pierde informațiile de care fuziunea are nevoie pentru a produce urme de încredere.

Câmpurile care disting observațiile multi-INT:

  • SIGINT — linie de rulment, frecvență, modulație, tip emițător, timp de interceptare. Poziția calculată prin triangulare dacă mai multe stații raportează același emițător; altfel necunoscută.
  • IMINT — poziție precisă din exploatarea imaginilor, identitate din clasificarea vizuală sau automată, timpul de colectare. Ratele de revizitare măsurate în ore.
  • ELINT — caracterizarea emițătorului (parametrii pulsului radar, semnătura). Se suprapune cu SIGINT, dar se concentrează pe ordinea electronică de bătaie.
  • OSINT — extras din surse publice, cu incertitudine de atribuire, încrederea sursei, lanțul de citare. Din ce în ce mai important; tratat în Monitorizarea amenințărilor OSINT pentru apărare.
  • HUMINT — informații din surse umane, latență ridicată, sensibilitate la clasificare și protecția sursei. Nu poate fi propagat partenerilor de coaliție fără curățarea difuzabilității.
  • GEOINT — combină imaginile cu analiza terenului, predicția rutelor, inferența tiparelor de viață.
  • MASINT — informații de măsurare și semnătură; acoperă senzori acustici, infraroșii, nucleari și alți senzori specializați. Adesea specifice domeniului (război anti-submarin, apărare antirachetă).

Schema canonică de urmărire le acomodează prin transportarea metadatelor disciplinei-sursă alături de câmpurile standard. Motorul de fuziune face referire la disciplină atunci când calculează probabilitățile de asociere (o observație SIGINT cu rulment-only nu poate actualiza direct o urmă cinematică fără logică de potrivire a rulmentului; un fix de punct IMINT ar trebui să actualizeze poziția, dar nu viteza).

Pasul 2: Arhitectura de fuziune multi-INT

Modelul arhitectural pentru fuziunea multi-INT care funcționează în producție:

Adaptoare per disciplină. Fiecare disciplină de informații are propria familie de adaptoare cu logică specifică disciplinei. Sarcina adaptorului este să producă observații conform schemei canonice etichetate cu disciplina sursei, nu să interpreteze între discipline.

Corelație conștientă de disciplină. Logica de corelație a motorului de fuziune face referire la metadatele disciplinei-sursă. Filtrarea bazată pe reguli include reguli de compatibilitate a disciplinei ("un raport HUMINT despre o navă poate actualiza o urmă de navă confirmată IMINT numai dacă identitatea corespunde cu încredere ridicată"). Asocierea probabilistă folosește priorități specifice disciplinei.

Îmbogățire prin fuziune, nu înlocuire. Când observațiile multi-INT sunt de acord, ele consolidează încrederea. Când nu sunt de acord, motorul de fuziune prezintă dezacordul operatorului în loc să aleagă una. O urmă cu două rapoarte de identitate confidențiate dar conflictuale nu este "greșită" — este cu adevărat ambiguă și operatorul trebuie să știe.

Analiticele inter-disciplinare ca servicii separate. Analiticele de ordin superior care acoperă discipline — detectarea tiparelor de viață (Analiza tiparelor de viață), detectarea anomaliilor comportamentale, analiza rețelei — rulează ca servicii separate care consumă fluxul de urme fuzionate. Ele produc adnotări îmbogățite pe urmele existente, nu urme noi care concurează cu motorul de fuziune.

Pasul 3: Etichetarea clasificării conform STANAG 4774/4778

Fiecare obiect de date pe care platforma îl produce poartă o etichetă de confidențialitate. STANAG 4774 definește formatul de etichetare; STANAG 4778 definește legătura criptografică care previne detașarea etichetelor de datele pe care le etichetează. Împreună, ele sunt fundația întregii partajări de date în coaliție în contextele NATO.

Integrarea de inginerie:

Clasificarea sursei este transportată de fiecare adaptor. Fiecare adaptor cunoaște clasificarea sursei sale (configurată în catalogul surselor din Partea 1) și etichetează fiecare observație cu aceasta. Adaptorul este sursa de adevăr pentru clasificarea observațiilor sale.

Etichetele sunt structurate, nu șiruri de caractere. O etichetă de clasificare nu este "SECRET"; este un obiect structurat cu nivelul de clasificare, compartimentele, etichetele de difuzare și semnătura de legătură. Biblioteca de etichete implementează serializarea STANAG 4774 și legătura STANAG 4778; fiecare observație trece prin ea.

Etichetele sunt propagate, nu regenerate. Când motorul de fuziune actualizează o urmă, clasificarea efectivă a urmei este calculată din setul de surse, nu atribuită independent. O urmă derivată dintr-un returnal radar SECRET și un mesaj AIS NECLASIFICAT este SECRET. Disciplina de propagare este mecanică; greșelile sunt un eșec de acreditare.

Legătura supraviețuiește serializării. Când urmele sunt serializate pe disc, pe magistrala de mesaje sau prin rețea, legătura STANAG 4778 rămâne atașată. Eliminarea legăturii pentru "comoditate" este genul de scurtătură pe care recenzorii de acreditare o caută în mod specific.

Pasul 4: Propagarea clasificării prin fuziune

Motorul de fuziune creează date derivate. O urmă este o derivare din mai multe observații sursă; clasificarea sa trebuie calculată din ale lor. Regulile de propagare:

Nivelul de clasificare este maximul din setul de surse. O urmă derivată din surse SECRET și NECLASIFICATE este SECRET. Regula nivelului maxim este inflexibilă, dar bine înțeleasă.

Compartimentele sunt reuniunea din setul de surse. O urmă derivată dintr-o sursă cu compartimentul OBIECTIV-DE-MARE-VALOARE și o sursă cu compartimentul INFORMAȚII-UMANE poartă ambele compartimente. Accesul necesită autorizare în ambele.

Difuzabilitatea este intersecția din setul de surse. O urmă derivată din surse FVEY-only și NATO-only este difuzabilă numai la intersecție (FVEY-și-NATO, ceea ce în practică înseamnă cele patru națiuni FVEY care sunt și membre NATO). Regula de intersecție este cea mai importantă operațional și cea mai frecvent greșită de implementările ad-hoc.

Clasificare per atribut unde contează. Poziția unei urme poate fi difuzabilă pe larg, în timp ce identitatea sa este mai restricționată. Schema suportă clasificarea per atribut; motorul de politici evaluează accesul per atribut la momentul interogării.

Perspectivă cheie: Propagarea clasificării nu poate fi adăugată ulterior. O platformă de fuziune care a ignorat clasificarea în timpul dezvoltării inițiale și a încercat să o adauge mai târziu a petrecut refactori de mai mulți ani și a livrat cu întârziere. Construiți mecanismele de propagare alături de motorul de fuziune încă din primul sprint; înregistrarea operațională o va cere în cele din urmă, iar mai devreme este dramatic mai ieftin decât mai târziu.

Pasul 5: Motorul de politici pentru difuzabilitate

Etichetele de clasificare pe date sunt necesare, dar nu suficiente. Deciziile de acces necesită un motor de politici care cunoaște autorizarea, cetățenia, rolul utilizatorului și clasificarea, compartimentele și difuzabilitatea datelor solicitate. Fiecare interogare față de stocul de urme trece prin acest motor.

Modelul de inginerie:

Politica ca și cod. Regulile de difuzare exprimate într-un limbaj de politici versionat — Rego de la Open Policy Agent este implicit defensiv. Schimbările de politici trec prin revizuire de cod, nu prin schimbări de configurare. Istoricul deciziilor de politici este auditabil din controlul versiunilor.

Evaluarea deciziei la granița interogării. Când un consumator interoghează stocul de urme, motorul de politici evaluează care urme sunt vizibile și care atribute sunt vizibile per urmă. Rezultatul este o vizualizare filtrată, nu datele complete cu o mască UI. Filtrarea numai UI este o încălcare Common Criteria și un obstacol de acreditare.

Jurnal de audit per decizie. Fiecare decizie de acces — ce utilizator, ce date, ce clasificare, ce rezultat — este înregistrată imuabil. Jurnalul de audit este baza de dovezi pentru revizuirea acreditării și analiza forensică operațională.

Bugete de performanță. Motorul de politici se află pe calea critică COP; latența sa de evaluare trebuie să fie sub milisecundă per decizie. Strategiile de caching, pachetele de politici precompilate și amprentele de politici per utilizator contează toate. Un motor de politici naiv este cea mai frecventă cauză de lentoare COP în implementările clasificate.

Tratamentul detaliat al modelului de motor de politici, implicațiile partajării datelor în coaliție și anti-modelele operaționale de evitat se află în Provocările partajării datelor în coaliție.

Pasul 6: Fluxuri de date între enclave

Rețelele de apărare nu sunt enclave unice. O platformă care operează pe rețele NATO RESTRICTED, NATO SECRET și clasificate național trebuie să mute date adecvate între ele prevenind în același timp fluxurile de date neadecvate. Modelul arhitectural:

Instanțe de fuziune per enclavă. Fiecare enclavă clasificată rulează propria sa instanță de fuziune cu propriul set de surse, stoc de urme și motor de politici. Instanțele sunt separate fizic; platforma nu presupune că partajează stare.

Poduri inter-domeniu. Acolo unde datele se mișcă legitim între enclave — de exemplu, un feed AIS neclasificat care urcă la o enclavă SECRET, sau produse curățate de difuzabilitate care coboară la o enclavă de coaliție — mișcarea trece printr-un pod inter-domeniu acreditat, nu o conexiune directă. Podul aplică regulile de clasificare la graniță.

Diode unidirecționale acolo unde fizica impune direcția. Pentru mișcarea datelor de la nivel înalt la nivel scăzut (care este rară și sensibilă operațional), diodele de date unidirecționale aplică direcția la nivelul rețelei. Platforma de fuziune se integrează cu infrastructura de diode, nu implementează propria sa.

Eliberare manuală acolo unde automatizarea eșuează. Unele decizii de clasificare nu pot fi automatizate în siguranță. Deciziile de eliberare per produs pentru date HUMINT sau compartimentate pot necesita aprobarea umană. Platforma trebuie să acomodeze fluxul de lucru — să prezinte eliberarea candidată, să capteze decizia umană, să propaghe eliberarea aprobată.

Pasul 7: Considerații operaționale

Fuziunea multi-INT în operațiuni evidențiază provocări care nu sunt vizibile în dezvoltare. Disciplinele care disting platformele operaționale de platformele demo:

Atribuirea sursei supraviețuiește propagării. Când o urmă este interogată, răspunsul include setul de surse care a contribuit la ea. Operatorii trebuie să știe dacă o poziție provine din radar (încredere cinematică ridicată, identitate incertă) sau HUMINT (precizie spațială scăzută, context de identitate bogat). Atribuirea sursei face acest lucru transparent.

Dezacordul este păstrat, nu colaps. Când două discipline de sursă nu sunt de acord cu privire la identitatea unei urme, motorul de fuziune păstrează ambele alternative cu niveluri de încredere. Operatorul decide; platforma prezintă.

Extinderea compartimentelor este limitată. O urmă cu multe compartimente are multe audiențe potențiale distincte. Sistemul trebuie să calculeze difuzabilitatea eficient chiar și când setul de compartimente este mare.

Auditul acoperă fiecare decizie de eliberare. Fiecare transfer inter-domeniu, fiecare rezultat de filtru per interogare, fiecare escaladare a compartimentului este înregistrată. Jurnalul de audit suportă revizuirea forensică operațională, dovezile de acreditare și analiza post-acțiune. Modelul detaliat se află în Event Sourcing pentru trasee de audit de apărare.

Observabilele cibernetice ca multi-INT

Din ce în ce mai mult, observabilele cibernetice curg în același pipeline de fuziune ca observațiile din domeniul fizic. O intruziune de rețea confirmată, un set de credențiale divulgate, o pistă de atribuire derivată din OSINT — fiecare poate deveni o observație în fluxul de fuziune multi-INT. Potrivirea arhitecturală este reală, dar necesită grijă: datele cibernetice au semantici diferite de latență, încredere și clasificare față de datele din domeniul fizic. Modelul este tratat în Platforme CTI pentru apărare și viziunea mai largă a domeniului cibernetic-ca-disciplină-de-fuziune în Ghidul complet pentru securitatea cibernetică a apărării.

Decizia de inginerie: construiți adaptoare specifice domeniului cibernetic care produc observații conform schemei canonice etichetate cu disciplina "cyber" păstrând în același timp metadatele specifice domeniului cibernetic (indicatori de compromis, atribuirea actorilor de amenințare, faza lanțului de ucidere). Motorul de fuziune tratează observațiile cibernetice ca alte intrări multi-INT; instrumentele specifice domeniului cibernetic (platforme CTI, SIEM/SOAR) consumă același flux de urme în propriile scopuri.

Ce urmează

Partea 3 a acoperit mecanismele multi-INT și de clasificare. Platforma corelează acum observații din discipline de informații în timp ce le păstrează diferențele semantice, propagă clasificarea corect prin fuziune, aplică difuzabilitatea printr-un motor de politici și operează peste granițele enclaveor clasificate.

Partea 4 încheie seria cu operaționalizarea: monitorizarea derivei algoritmilor de fuziune, pipeline-ul de audit care suportă acreditarea, modelele de implementare de producție (de la cloud la air-gapped) și disciplina de întreținere pe termen lung care menține platforma operațională pe un ciclu de viață de 20 de ani.