开源信息是指各种媒体如出版机构、网络、广播电视、政府等公开渠道提供的信息。针对特定问题,通过搜集、处理、分析、研判之后所形成的指导行动和辅助决策的关键性知识,就是开源情报(Open Source Intelligence,OSINT)。而随着互联网特别是移动互联网的迅猛发展,来自互联网的开源网络情报已经成为开源情报中最主要的部分。
随着互联网尤其是移动互联网的发展,每个人随手可带的移动设备摇身一变成为了一个个的“社会传感器”,这些“社会传感器”每时每刻把现实社会方方面面的信息实时地传播到网络空间,也就是说,这些发布在网络空间的信息都反映了社会中某些人、企业、机构、政府的活动,而开源网络情报正是通过采集、处理、分析这些网络空间中的信息来解答现实社会中的特定问题。
有人说开源情报无非就是搜一搜公开信息,没有任何价值。关于这个问题,国际上的情报机构有自己专业的评估。有资料显示,在专业情报机构构成中,人力情报(HUMINT)、信号情报(SIGINT)、图像情报(IMINT)和测量情报(MASINT)花费了约95%的经费获得了20%的情报价值,而开源情报仅花费5%的经费却获得了80%的情报价值。开源情报的价值已经得到了情报界一致认可,成为全源情报的重要组成部分。
也有人认为,开源情报虽然有价值,但似乎任何人只要点点鼠标,上网用搜索引擎找信息就可以完成,不需要专业的开源情报知识就可以从事开源情报工作。其实这也是对开源网络情报的一个误区。开源情报所利用的网络空间信息是由不同的发布者在不同的网络平台上为了各种不同的目的而发布的,这些数据源分布在网络空间的表网、深网以及暗网的各个角落,数量巨大且数据类型多样,有文本,有视频,大部分是非结构化的。特别需要注意的是,互联网搜索引擎只能搜索到表网的数据,而根据国际上公认的估计,表网的数据占据互联网数据总量还不到5%,大量深网和暗网中的数据未被搜索引擎索引。因此,想要在这样的信息海洋中找到可以解答特定问题的有价值信息,并通过分析研判进而产出情报,并不是轻而易举的事情,还需要具备情报意识、情报思维的开源情报分析师,在专业的技术和工具的帮助下,遵循专业的情报工作方法才可以达到的。
开源情报工作的主要模块,技术、方法和工具
开源情报在国际上已经非常重视并已经在国家安全、公共安全、商业调查等领域发挥着重要作用,开源网络情报能力已经成为一个国家软实力的重要组成部分。对于企业而言,开源网络情报能力也是企业竞争力的体现。对于个人而言,掌握开源网络情报方法和工具更是系统化、专业化提升自己信息获取及分析能力的最有效途径。
美国国防部(DoD)对开源情报的定义为,“开源情报是一种从公开可得得信息中产生得情报,它被及时地收集、利用并分发给适当得接收者,以满足特定的情报需求。”
美国开源情报的发展,在二战期间,开源情报作为一种情报工具被引入,当时被美国对外广播信息局(Foreign Broadcast Information Service,FBIS)使用用来监测那些可以用于支持其部队行动的有关公开信息,这发生在美国情报机构存在之前。二战结束后,美国对外广播信息局继续在全球范围内开发开源情报资源的工作,直到2001年9月11日美国遭受恐怖袭击。随着“9·11”事件的发生,建立一个独立的开源情报机构以加强利用这些资源来保护国家安全的重要性得到了重视。“9·11委员会”呼吁成立一个专门机构来收集开源情报。2005年大规模杀伤性武器(Weapons of Mass Destruction,WMD)委员会通过评估情报部门应对大规模杀伤性武器和其他21世纪出现的相关威胁的有效性,建议在美国中央情报局(Central Intelligence Agency,CIA)内部设立一个开源情报指挥部(Open Source Directorate)。后来,美国国家情报总监(Director of National Intelligence,DNI)宣布成立国家情报开源中心(OSC)。OSC的主要任务是收集在线和离线公共来源的可用信息,这些任务之前是由FBI来完成的。后来,旨在改革美国政府情报活动的《情报改革与反恐法》(Intelligence Reform and Terrorism Prevention Act)将FBIS和其他相关研究机构合并为一个机构。这个机构现在被称为开源事业部(Open Source Enterprise),并由CIA管理。
几个关键的概念
开源数据:是来自初级数据源的一般数据,包括卫星图像、电话呼叫数据和元数据、资料组、调查数据、照片以及某些事件的音视频录制记录等。
开源信息:是一种通用数据,它首先经过一些过滤来满足特定的标准或需求;这些数据也可以称为二级源。例如关于特定主题的书籍、文章、论文、艺术品和采访记录。
开源情报:开源情报包括所有已经被发现、过滤并指定用于特定需求或目的的信息。这些信息可以作为情报内容直接使用,开源情报可以概况地定义为开源资料经过处理后的输出。
经过验证的开源情报(OSINT-V)是具有高度确定性的开源情报,其数据应该经过非开源情报信息源或来自声誉良好的开源情报信息源进行确认/验证。因为一些外部对手可能传播不准确的开源情报信息,目的是误导开源情报分析,所以开源情报经过验证是相当重要的。
开源数据和开源情报信息构成开源情报产出的主要(初级源和二级源)信息来源。在开源情报语境中需要理解的另一个问题是数据、信息、知识和情报之间的差异。这三个术语通常互换使用,虽然这4个词确实相关,但每个词都有不同含义。
数据:数据构成了最基础的、未经加工的事实与观察记录。在开源情报的搜集过程中,它扮演着原始材料的角色,可以呈现为结构化或非结构化的形式,包括数字、文字、图像、音频等多种类型。数据具有以下特征:
- 数据往往缺乏相应的上下文信息,仅呈现为信息片段;
- 数据量庞大且纷繁复杂,不易直接提炼出有价值的洞察;
- 数据可通过技术手段实现大规模自动化采集。
如数字“1”并不能代表任何内容,但是放在一定的环境中,如“1”棵树,就能传递出相应的信息。在开源情报的搜集与分析活动中,数据是情报生成的起始点,分析师通过数据采集工作,为后续的处理与分析奠定基础。
信息是经过初步处理和整理后的数据,具备了一定的结构和上下文背景。通过信息,可以对某个现象或事件有初步的理解。信息具有以下特征:
- 信息是经过筛选、清洗和组织后的数据,具备了意义;
- 它为我们提供了对数据的背景和解释,帮助我们了解数据的内在关系;
- 信息比数据更有用,但还未经过深入分析,无法直接用于决策。
如从多个新闻源汇总的关于某次事件的报道,或者是从原始社交媒体数据中提取出来的统计趋势。信息是从原始数据中提取出来的有价值部分,它使分析师能够从数据中看到更清晰的图景。
知识是通过对信息的理解和整合,形成的关于某个领域或问题的系统性理解。它涉及对信息的关联、解释和归纳,是对某个主题更深入的洞察。知识具有以下特征:
- 知识源于信息,但更为系统化、全面,并且与现有的背景、经验和理论相结合。
- 知识往往具备普遍性,能够解释某类现象,并可以用于指导实际行动。
- 在知识的层次上,分析师不只是掌握了现有的信息,还能根据其经验或领域理解对这些信息进行整合和解释。
如通过长期跟踪某个黑客组织的活动,分析其行为模式,预测其未来行动的能力。或者理解某一类网络攻击的常见手法及防御方法。
知识能够帮助分析师将分散的信息连接起来,形成深度的洞察,并在未来类似的情境中加以应用。
情报一词最早源于普鲁士军事家冯·克劳塞维茨的名著《战争论》,最初主要是指消息或通信。后来日本学者森欧据此提出“情报”一词,用来形容战争年代“有关敌方或敌国的全部知识”;《辞海》认为“情报是作为存储、传递和转换对象的知识,亦泛指一切最新的情况报道,如科学技术情报”;1983年钱学森进一步论证“情报来源于知识,是被激活的知识,或者精神财富,或者说利用资料提取出来的活东西”。在今天,情报成为事关国家、组织、个人战略决策的关键要素,是“判断、意志、决策和行动所需要的知识和智慧”。情报具有行动价值,它为决策者提供了在特定背景下采取行动的依据。情报具有以下特征:
- 情报是在特定情境下,为应对具体威胁或机会而提出的明确建议或洞见。
- 它通常是高度定制化的,针对特定问题、威胁或行动需求而生成。
- 情报是整个过程的最终产品,旨在支持决策或行动。
如基于对某次网络攻击活动的跟踪,预测未来的攻击目标,并提出防御建议。如针对某地区的安全局势变化,提出应对该威胁的具体行动方案。
情报是OSINT的核心目标。它通过对知识的应用,帮助决策者应对实际问题,为战略或战术行动提供依据。
请登录后查看评论内容