Частини 1 і 2 побудували одноджерельний конвеєр злиття. Частини 3 і 4 закривають розрив до оперативної оборонної реальності. Справжнє оборонне злиття приймає входи з кількох розвідувальних дисциплін — SIGINT, IMINT, ELINT, OSINT, HUMINT, GEOINT, MASINT — кожна зі своєю семантикою, затримкою, класифікацією та releasability. Трактувати їх як взаємозамінні спостереження — найпоширеніший архітектурний провал в оборонних програмах злиття. Частина 3 охоплює інженерію мульти-INT злиття та класифікаційну машинерію, якої оборона унікально потребує.

Концептуальний фундамент — у Повному посібнику зі злиття оборонних даних; обрамлення обміну даними в коаліціях — у Викликах обміну даними в коаліціях; основи RBAC — у Контролі доступу на основі ролей в оборонних системах C2.

Крок 1: Семантика мульти-INT не взаємозамінна

Кожна розвідувальна дисципліна несе різну семантику. SIGINT-контакт лише з пеленгом каже вам напрямок, але не відстань. IMINT-спостереження дає точну позицію в одну мить часу, але без кінематики. OSINT-доповідь має невпевнену атрибуцію, але потенційно багатий контекст. HUMINT-доповідь має високу затримку та вимоги щодо захисту джерел. Згортання їх у загальний запис «спостереження» втрачає інформацію, якої злиття потребує для продукування довірливих треків.

Поля, що відрізняють мульти-INT спостереження:

  • SIGINT — лінія пеленга, частота, модуляція, тип емітера, час перехоплення. Позиція обчислюється тріангуляцією, якщо кілька станцій доповідають про той самий емітер; інакше невідома.
  • IMINT — точна позиція з експлуатації знімків, ідентичність із візуальної або автоматизованої класифікації, час збору. Періодичність повторного огляду вимірюється годинами.
  • ELINT — характеризація емітерів (параметри радарних імпульсів, сигнатура). Перетинається з SIGINT, але фокусується на електронному бойовому порядку.
  • OSINT — видобуто з відкритих джерел, з невпевненістю атрибуції, довірою до джерела, ланцюгом цитувань. Дедалі важливіший; розглядається у OSINT-моніторингу загроз для оборони.
  • HUMINT — агентурна розвідка, висока затримка, чутливість класифікації та захисту джерел. Не може поширюватись до коаліційних партнерів без зачистки releasability.
  • GEOINT — поєднує знімки з аналізом місцевості, прогнозом маршрутів, висновками щодо патернів поведінки.
  • MASINT — вимірювальна та сигнатурна розвідка; охоплює акустичну, інфрачервону, ядерну й інші спеціалізовані види виявлення. Часто доменно-специфічна (протичовнова боротьба, протиракетна оборона).

Канонічна схема треку акомодує їх, несучи метадані дисципліни джерела поряд зі стандартними полями. Рушій злиття звертається до дисципліни при обчисленні правдоподібностей асоціації (SIGINT-спостереження лише з пеленгом не може напряму оновити кінематичний трек без логіки зіставлення пеленгів; IMINT-точкова позиція має оновлювати позицію, але не швидкість).

Крок 2: Архітектура мульти-INT злиття

Архітектурний патерн мульти-INT злиття, що працює у виробництві:

Адаптери на дисципліну. Кожна розвідувальна дисципліна має свою родину адаптерів із дисциплінно-специфічною логікою. Завдання адаптера — продукувати спостереження канонічної схеми, помічені дисципліною джерела, а не інтерпретувати між дисциплінами.

Кореляція, обізнана про дисципліну. Логіка кореляції рушія злиття звертається до метаданих дисципліни джерела. Воротування на правилах включає правила сумісності дисциплін («HUMINT-доповідь про судно може оновлювати IMINT-підтверджений трек судна лише за збігу ідентичності на високій впевненості»). Ймовірнісна асоціація використовує дисциплінно-специфічні апріорі.

Збагачення злиттям, не заміщення. Коли мульти-INT спостереження узгоджуються, вони підсилюють впевненість. Коли вони розбіжні, рушій злиття виносить розбіжність до оператора, а не вибирає одне. Трек із двома впевненими, але конфліктними доповідями про ідентичність не «помилковий» — він справді неоднозначний, і оператор має знати.

Аналітика між дисциплінами як окремі сервіси. Аналітика вищого порядку, що охоплює дисципліни — виявлення патернів поведінки (Аналіз патернів поведінки), виявлення поведінкових аномалій, мережевий аналіз — працює як окремі сервіси, що споживають потік злитих треків. Вони продукують збагачені анотації на наявних треках, а не нові треки, що конкурують із рушієм злиття.

Крок 3: Класифікаційне маркування за STANAG 4774/4778

Кожен об'єкт даних, який платформа продукує, несе мітку конфіденційності. STANAG 4774 визначає формат маркування; STANAG 4778 визначає криптографічне зв'язування, що перешкоджає відокремленню міток від даних, які вони маркують. Разом вони — фундамент усього обміну даними в коаліціях у контексті NATO.

Інженерна інтеграція:

Класифікація джерела несеться кожним адаптером. Кожен адаптер знає класифікацію свого джерела (сконфігуровану в каталозі джерел із Частини 1) і помічає кожне спостереження нею. Адаптер — джерело істини щодо класифікації своїх спостережень.

Мітки структуровані, а не рядки. Класифікаційна мітка — це не «SECRET»; це структурований об'єкт із рівнем класифікації, компартментами, releasability тегами та сигнатурою зв'язування. Бібліотека міток реалізує серіалізацію STANAG 4774 та зв'язування STANAG 4778; кожне спостереження проходить через неї.

Мітки поширюються, а не регенеруються. Коли рушій злиття оновлює трек, ефективна класифікація треку обчислюється з множини джерел, а не призначається незалежно. Трек, похідний від SECRET радарного відбиття і UNCLASSIFIED AIS-повідомлення, є SECRET. Дисципліна поширення механічна; помилитись — це провал акредитації.

Зв'язування переживає серіалізацію. Коли треки серіалізуються на диск, у шину повідомлень або через мережу, зв'язування STANAG 4778 залишається прикріпленим. Зрізання зв'язування «для зручності» — саме той зріз, який рецензенти акредитації шукають спеціально.

Крок 4: Поширення класифікації через злиття

Рушій злиття створює похідні дані. Трек — це похідне від кількох вихідних спостережень; його класифікацію треба обчислювати з їхньої. Правила поширення:

Рівень класифікації — максимум по множині джерел. Трек, похідний від SECRET та UNCLASSIFIED джерел, є SECRET. Правило high-water-mark безкомпромісне, але добре зрозуміле.

Компартменти — об'єднання по множині джерел. Трек, похідний від джерела компартменту HIGH-VALUE-TARGET і джерела компартменту HUMAN-INTELLIGENCE, несе обидва компартменти. Доступ потребує допуску в обох.

Releasability — перетин по множині джерел. Трек, похідний від джерел лише-FVEY та лише-NATO, передається лише в перетин (FVEY-і-NATO, що на практиці означає чотири країни FVEY, які також є членами NATO). Правило перетину — найбільш оперативно наслідкове і те, яке найчастіше неправильно реалізують у ad-hoc реалізаціях.

Класифікація на атрибут там, де це важить. Позиція треку може передаватись широко, тоді як ідентичність — обмеженіше. Схема підтримує класифікацію на атрибут; політичний рушій оцінює доступ на атрибут у час запиту.

Ключовий висновок: Поширення класифікації не можна дороблювати. Платформа злиття, що ігнорувала класифікацію під час початкової розробки і намагалась додати її пізніше, витратила багаторічні рефакторинги й випустилась запізно. Будуйте машинерію поширення поряд із рушієм злиття зі спринту перший; оперативний запис вимагатиме цього зрештою, а раніше — драматично дешевше за пізніше.

Крок 5: Політичний рушій releasability

Класифікаційні мітки на даних необхідні, але недостатні. Рішення про доступ потребують політичного рушія, що знає допуск користувача, громадянство, роль і класифікацію, компартменти та releasability запитуваних даних. Кожен запит до сховища треків проходить через цей рушій.

Інженерний патерн:

Політика як код. Правила releasability виражені у версіонованій політичній мові — Rego від Open Policy Agent (OPA) — захищуваний дефолт. Зміни політики проходять через рев'ю коду, а не зміни конфігурації. Історія політичних рішень підлягає аудиту з контролю версій.

Оцінка рішень на межі запиту. Коли споживач запитує сховище треків, політичний рушій оцінює, які треки видимі і які атрибути видимі на трек. Результат — відфільтрований вигляд, а не повні дані з UI-маскою. UI-тільки фільтрування — це порушення Common Criteria і дилбрейкер акредитації.

Журнал аудиту на рішення. Кожне рішення про доступ — який користувач, які дані, яка класифікація, який результат — логується незмінно. Журнал аудиту — це доказова база для рев'ю акредитації та оперативного форензичного аналізу.

Бюджети продуктивності. Політичний рушій сидить на критичному шляху COP; затримка його оцінки має бути субмілісекундна на рішення. Стратегії кешування, попередньо скомпільовані політичні пакети та політичні відбитки на користувача — все важить. Наївний політичний рушій — найпоширеніша причина повільності COP у класифікованих розгортаннях.

Детальне трактування патерну політичного рушія, наслідків обміну даними в коаліціях та оперативних антипатернів, яких треба уникати — у Викликах обміну даними в коаліціях.

Крок 6: Між-анклавні потоки даних

Оборонні мережі — не одиничні анклави. Платформа, що оперує між NATO RESTRICTED, NATO SECRET і національно-класифікованими мережами, має переміщувати відповідні дані між ними, водночас перешкоджаючи невідповідним потокам даних. Архітектурний патерн:

Інстанси злиття на анклав. Кожен класифікований анклав запускає свій власний інстанс злиття зі своєю множиною джерел, сховищем треків і політичним рушієм. Інстанси фізично відокремлені; платформа не припускає, що вони ділять стан.

Cross-domain мости. Там, де дані легітимно переміщуються між анклавами — наприклад, нерозсекречений AIS-фід, що тече вгору до SECRET-анклаву, або продукт із зачищеним releasability, що тече вниз до коаліційного анклаву — переміщення проходить через акредитований cross-domain міст, а не пряме з'єднання. Міст примушує класифікаційні правила на межі.

Однонаправлені діоди там, де фізика примушує напрямок. Для переміщення даних із high-side на low-side (що рідкісне й оперативно чутливе) однонаправлені діоди даних примушують напрямок на мережевому шарі. Платформа злиття інтегрується з інфраструктурою діодів, а не реалізує власну.

Ручний реліз там, де автоматизація провалюється. Деякі класифікаційні рішення не можна безпечно автоматизувати. Рішення про реліз на продукт для HUMINT або компартментованих даних можуть вимагати людського затвердження. Платформа має акомодувати робочий процес — виносити кандидатський реліз, фіксувати людське рішення, поширювати затверджений реліз.

Крок 7: Оперативні міркування

Мульти-INT злиття в операціях виносить виклики, не видимі в розробці. Дисципліни, що відрізняють оперативні платформи від демо-платформ:

Атрибуція джерел переживає поширення. Коли трек запитується, відповідь включає множину джерел, що його зробили. Операторам треба знати, чи позиція походить з радара (висока кінематична впевненість, ідентичність невпевнена) чи HUMINT (низька просторова точність, контекст ідентичності багатий). Атрибуція джерел робить це прозорим.

Розбіжність зберігається, а не згортається. Коли дві дисципліни джерел розбіжні щодо ідентичності треку, рушій злиття зберігає обидві альтернативи з впевненостями. Оператор вирішує; платформа виносить.

Розгалуження компартментів обмежене. Трек із багатьма компартментами має багато виразних потенційних аудиторій. Система має обчислювати releasability ефективно, навіть коли множина компартментів велика.

Аудит покриває кожне рішення про реліз. Кожна cross-domain передача, кожен результат фільтрування на запит, кожна ескалація компартменту логується. Журнал аудиту підтримує оперативне форензичне рев'ю, доказ акредитації та аналіз після дії. Детальний патерн — у Event sourcing для оборонних audit-журналів.

Кіберспостережувані як мульти-INT

Дедалі частіше кіберспостережувані течуть у той самий конвеєр злиття, що й спостереження фізичного домену. Підтверджене мережеве вторгнення, витік набору облікових даних, OSINT-похідна підказка атрибуції — кожне може стати спостереженням у потоці мульти-INT злиття. Архітектурна сумісність реальна, але потребує уваги: кіберсемантика даних відрізняється за затримкою, впевненістю та класифікацією від даних фізичного домену. Патерн розглядається у CTI-платформах для оборони, а ширший погляд на кібер-як-дисципліну-злиття — у Повному посібнику з оборонної кібербезпеки.

Інженерне рішення: будувати кібер-специфічні адаптери, що продукують спостереження канонічної схеми, помічені дисципліною «cyber», водночас зберігаючи кібер-специфічні метадані (індикатори компрометації, атрибуція загрозливого актора, фаза kill-chain). Рушій злиття трактує кіберспостереження як інші мульти-INT входи; кібер-специфічний інструментарій (CTI-платформи, SIEM/SOAR) споживає той самий потік треків для своїх цілей.

Що далі

Частина 3 охопила машинерію мульти-INT та класифікації. Платформа тепер корелює спостереження між розвідувальними дисциплінами, зберігаючи їх семантичні відмінності, поширює класифікацію через злиття правильно, примушує releasability через політичний рушій і оперує між кордонами класифікованих анклавів.

Частина 4 закриває серію операціоналізацією: моніторингом дрейфу на алгоритмах злиття, конвеєром аудиту, що підтримує акредитацію, патернами виробничого розгортання (cloud-to-air-gapped) і дисципліною довготривалого обслуговування, що тримає платформу оперативною впродовж 20-річного життєвого циклу.