인텔리전스 사이클 보안

Intelligence cycle security

국가 정보 프로그램, 나아가 국가 전체의 방어는 공격에 취약하다. 정보 사이클에 구현된 프로세스를 보호하는 것과 그것이 방어하는 것이 정보 사이클 보안의 역할이다. 많은 학문이 정보주기 보호에 들어간다. 과제 중 하나는 광범위한 잠재적 위협이 존재하기 때문에, 위협 평가가 완전하다면, 복잡한 작업이다. 정부는 다음 세 가지를 보호하려고 노력한다.

  • 그들의 정보요원들은
  • 그들의 정보 시설과 자원
  • 그들의 정보 작전

전체 정보 프로그램을 최소한으로 방어한다는 것은 주요 정보 수집 기법에 대응하기 위한 조치를 취하는 것을 의미한다.

  • 휴민트(HUMINT)
  • 신호 인텔리전스(SIGINT)
  • IMT(이미지 인텔리전스)
  • 측정 및 시그니처 인텔리전스(MASINT)
  • 기술 인텔리전스(TECHINT)
  • 오픈 소스 인텔리전스(OSINT)

여기에 최소한 하나의 보완적 규율, 즉 위의 여섯 가지를 방어하는 것 외에 그 자체로 긍정적인 지능을 생산할 수 있는 방첩(CI)이 추가된다. 그것이 생산하는 많은 것, 그러나 전부는 아니다, 그것은 HUMINT의 특별한 사례에서 나온 것이다.

또한 지능 수집을 보완하는 것은 추가적인 보호 수칙으로, 지능을 산출할 가능성이 낮다.

이러한 학문은 CI와 함께 인텔리전스 사이클 보안을 형성하며, 이는 다시 인텔리전스 사이클 관리의 일부분이다. "긍정적 보안" 또는 자신의 사회가 그것의 실제적 또는 잠재적 보안에 대한 정보를 수집하는 조치에 관련된 훈련은 보안을 보완한다. 예를 들어, 통신 정보기관이 특정 무선 송신기를 특정 국가에서만 사용하는 것으로 식별하는 경우, 자기 나라 내부의 송신기를 탐지하는 것은 방첩이 표적으로 삼아야 할 간첩의 존재를 암시한다.

CI(Ci)는 적대적이거나 적의 정보기관이 자신들을 상대로 성공적으로 정보를 수집하고 수집하는 것을 막기 위해 정보기관이 기울인 노력을 말한다. 프랭크 위스너 잘 알려 진 CIA의 작전 간부 감독 중앙 정보국의 앨런 WDulles,[1]그 대 정보는 본질적으로 좋고 반응이 빠른 부정적인 활동은 인기 있는 오해의 덜레스"를 삭제하다는 것을 세게 밀치다 상황에 반응에만 또는 주로고 카운터에서 움직여 자신의 자서전이 말했다. i그는 정보 수집과 친선 정보 보호에 있어 가장 효과적일 수 있다고 본다. 정보 수집과 정보 보호가 "적대 정보 서비스의 구조와 인력"을 창의적이지만 강력하게 공격할 때 말이다.[2] 1991년과[3] 1995년 방첩을 다루는 미군 매뉴얼에서 CI는 당시 주요 정보 수집 분야에 대해 보다 광범위한 범위를 가지고 있었다.[4] MASINT는 1986년에 정식 규율로 규정되었지만,[5][6] 향후 몇 년간의 일반 방첩 문서에서는 논의되지 않을 만큼 충분히 전문화되었다.

정보 기능을 갖춘 미국의 모든 부서와 기관은 해외에서의 자체적인 보안을 책임진다.[7]

많은 정부에서는 정보보호와 군 복무에 대한 책임이 분열되어 있다. 역사적으로 CIA는 자신의 인력과 작전을 보호할 책임을 안보실에 맡긴 반면, CIA는 작전국 내의 여러 그룹 즉 방첩 요원들과 소련 러시아 사단 같은 지역(또는 기능적) 부대에 작전 보안을 할당했다. 어느 순간 방첩부대는 제임스 제수스 앵글턴의 지휘 아래 상당히 자율적으로 작전을 수행했다. 나중에, 작전부서는 더 작은 중앙정보부 직원뿐만 아니라 방첩부 부서를 예속시켰다. 알드리히 아메스는 유럽사단의 방첩부대에 있었는데, 그곳에서 소련의 정보작전에 대한 분석을 지휘했다. 미국의 군 복무도 비슷하고 훨씬 더 복잡한 분열을 겪었다.

중요한 CI 태스크 중 일부는 다음과 같이 설명된다.

  • CI 관심 조직, 위치 및 개인에 대한 다분야 위협 데이터와 인텔리전스 파일 개발, 유지 및 배포 여기에는 반란군 및 테러 인프라와 CI 임무를 지원할 수 있는 개인들이 포함된다.
  • 보안의 모든 분야에서 인력을 교육한다. 이것의 구성 요소는 다학제적 위협 브리핑이다. 브리핑은 범위와 분류 수준에서 모두 맞춤화할 수 있으며, 또한 적합해야 한다. 브리핑은 지원되는 명령을 명령이나 활동에 대해 제기되는 다분야적 위협의 성격에 익숙해지는 데 사용될 수 있다.

정보주기 전체를 보호하기 위한 교리의 변화?

그러나 미국의 방첩성 정의는 좁혀지고 있는 반면 OPSEC(Operation Security)의 정의는 넓어지고 있는 것으로 보인다. 1990년대 초반의 설명서는CI는 인텔리전스 사이클에 대한 위협의 전반적인 탐지 및 보호를 담당한다. 2005~2007년 국가 방첩전략 성명서를 보면, 정보주기 전반의 보호를 담당하는 기능이 무엇인지 더 이상 명확하지 않다. 이 최근의 미국의 독트린에서, 비록 반드시 다른 나라의 독트린일 필요는 없지만, 방첩(CI)은 현재 주로 외국 정보국에 대한 휴민트(Human Intelligence HUMINT to Foreign Intelligence Service)의 대항마로 보여지고 있다. FIS는 국가 및 비국가 단체, 테러리스트를 포함한 조직 범죄 또는 국가 안보에 대한 근본적인 위협으로 간주되는 분야에 관련된 조직 범죄 모두를 포괄하는 예술 용어다.

2005년[8] 국가 방첩 전략에서는 CI 임무에 대해 다음과 같이 기술하고 있다.

  • 테러 작전에 대항하다
  • 유리한 위치를 차지하다:
  • 임계 방어 기술을 보호하다
  • 외국의 부정과 속임수를 물리치다.
  • 경제 분야를 평준화하다
  • 안보의사결정 사실을 알리다.
  • 국가 CI 시스템을 구축하다

2007년 미국의 공동 정보 독트린은[9] 주로 대테러를 포함하는 휴민트(HUMINT)에 대항하는 것으로 1차 범위를 제한하고 있다. 이 교리에 따르면 군사력이나 다른 자원에 대한 모든 정보 수집 위협에 대해 누가 책임을 지는지는 명확하지 않다. 미군 방첩 독트린의 전 범위는 기밀 간행물인 공동 간행물(JP) 2-01.2, 방첩공동 작전에 대한 인적 정보 지원으로 옮겨졌기 때문에 공개적으로 그 문제가 규명될지는 알 수 없다.

특정 수집 분야에 대한 대응책

지능 수집 분야에 대한 보다 구체적인 대응책은 다음과 같다.

인텔리전스 수집 규범에 대한 CI 역할, 1995년 독트린(FM34-60)
규율 공격형 CI 방어 CI
휴민트 반탐색, 공격적 대간첩 운영 보안의 속임수
시긴트 운동 및 전자 공격에 대한 권장 사항 무선 OPSEC, 보안 전화 사용, SIGSEC, 속임수
아이민트 운동 및 전자 공격에 대한 권장 사항 속임수, OPSEC 대응책, 속임수(데코이, 위장)

액세스 가능한 경우 위성 오버헤드의 SATRAN 보고서를 사용하여 보는 동안 활동을 숨기거나 중지하십시오.

반-휴민트

중앙정보국(Central Intelligence Director) 산하 인텔리전스 커뮤니티 직원이 스파이 연구에 대한 후원 연구인 Project Slammer의 특성을 파악하기 위해 노력한 프로젝트 슬램머에 대한 자세한 내용을 참조하십시오.

신원이 확인되지 않은 사람에게 도전하는 초소나 방황하는 경비대 등 물리적 보안의 측면은 확실히 휴민트 반격에 도움이 된다. 또한 OPSEC의 일부인 보안교육은 이러한 노력에 중요하다.

카운터-SIGINT

군과 보안 조직은 보안 통신을 제공할 것이며, 이를 통해 전달되는 부적절한 정보를 탐지하기 위해 상용 전화나 일반 인터넷 연결과 같은 덜 보안된 시스템을 감시할 수 있다. 보안 통신의 이용 필요성에 대한 교육, 전문 기술 가로채기에 취약해지지 않도록 적절하게 사용하는 교육. 기기의 특수 차폐 외에 또는 그 대신에 암호화트래픽 흐름 보안을 포함하는 방법이 필요할 수 있다.

카운터-SIGINT에서 가능한 방법의 범위는 전투 지역에서 적합한 것부터 연구소에서 수행할 수 있는 것까지의 광범위한 범위를 포괄한다. 전투 엔드에서 적의 SIGINT 가로채기 안테나를 표적으로 삼을 수 있다면 철저히 폭격하고 관련 전자제품은 분명히 SIGINT 위협으로서의 커리어를 끝낼 것이다. 약간 덜 극적인 방법으로, 그것은 전자 공격을 받을 수 있고, 어떤 우호적인 신호를 감추기 위해, 그리고 아마도 SIGINT 설비의 전자장치를 과부하하고 파괴하기 위해 그것을 향한 강한 전자파 신호들을 받을 수 있다. 사무용 건물에 대한 SIGINT 보호는 전자 차폐를 위해 방을 필요로 할 수 있다.

카운터-IMINT

IMINT에 대항하는 기본적인 방법은 상대가 언제 자기 편으로 영상을 사용할 것인지, 그리고 이미지 촬영에 간섭할 것인지를 아는 것이다. 어떤 상황에서는, 특히 자유로운 사회에서는 공공건물이 항상 사진이나 다른 기법의 대상이 될 수 있다는 것을 받아들여야 한다.

대응책으로는 민감한 대상 위에 시각 차폐물을 씌우거나 위장하는 것이 있다. 위성과 같은 위협에 대응할 때 궤도에 대한 인식은 위성이 머리 위에 있을 때 보안 요원들이 활동을 중단하도록 유도하거나 민감한 부분을 덮도록 유도할 수 있다. 이는 항공기와 무인기에 대한 이미징에도 적용되지만, 비록 그들을 격추시키는 더 직접적인 편법이나 그들의 발사 및 지원 지역을 공격하는 것은 전시의 선택사항이다.

카운터-OSINT

개념은 OSINT의 규율 인식에 앞서 있지만, 국가 안보와 직결된 자료의 검열은 기본 OSINT 방어다. 민주주의 사회에서는 전시에도 검열이 합리적인 언론의 자유를 침해하지 않도록 주의 깊게 지켜봐야 하지만, 국가마다, 시기별로 균형이 다르게 설정돼 있다.

영국은 일반적으로 매우 자유로운 언론을 가지고 있다고 여겨지지만, 영국에는 과거 D-Notice 시스템이었던 DA-Notice 시스템을 가지고 있다. 많은 영국 언론인들은 비록 항상 논쟁이 있긴 하지만, 이 시스템이 공정하게 사용되고 있다는 것을 발견한다. 방첩의 구체적인 맥락에서, 연금 없이 퇴직한 전직 보안국 간부 피터 라이트가 자신의 책 '스파이캐처'를 출간하기 전에 호주로 이주한 것에 주목하라. 책의 상당 부분이 합리적인 해설이었지만, 라디오 수신기의 존재와 설정을 감지하는 수단인 RAFER 작전과 같은 구체적이고 민감한 기술들을 폭로했다.

운영 보안

OPSEC의 원칙이 전쟁 초기로 거슬러 올라가도 OPSEC을 미국 교리로 공식화하는 것은 1965년 합동참모본부가 지시한 퍼플 드래곤(PLUPLE DRAGON)이라는 연구와 북베트남이 북한에 대한 롤링 썬더 전투-폭탄 공격을 어떻게 조기경보를 받을 수 있는지, 그리고 ARC Light B-52 임무에서 시작되었다. 남방[10]

사용된 방법론은 비행을 방해하기 위해 적국이 알아야 할 정보와 적수가 이 정보를 수집할 수 있는 출처를 고려하는 것이었다.

전통적인 보안 및 정보 대응 프로그램이 존재했지만, 그것에만 의존하는 것은 적에게 중요한 정보, 특히 의도와 역량과 관련된 정보와 지표를 거부하기에 불충분하다는 것이 팀에 명백해졌다. 그 단체는 어떻게 그 정보를 입수했는지 알아보기 위해 적대적인 관점에서 미국의 작전을 분석하는 방법론을 구상하고 개발했다.

이어 현지 지휘관들에게 시정조치를 권고했다. 그들은 자신들이 한 일에 성공했고, 그들이 한 일을 명기하기 위해 "작전 보안"이라는 용어를 만들었다.

DOD 내 설립

1973년 베트남 전쟁이 끝난 후, JCS는 CNCPAC OPSEC 지사에서 개발한 OPSEC 명령을 채택하여 JCS 간행물 18, "운영 시큐리티를 위한 Doctrine"으로 발행하였다. 원래 분류된 것은 다음 해에 미분류본이 출판되었다. JCS는 제1차 JCS OPSEC 조사 계획 안내서를 발간하였고, 이 간행물을 DOD 내 및 기타 연방기관에 배포하였다.

JCS는 정부 전체에 걸쳐 대표자들을 위한 일련의 연례 OPSEC 회의를 발표하기 시작했다. 참석자들은 전투작전을 위해 개발된 OPSEC 개념을 평화시 환경에 적응시키는 방법을 논의했다. 1970년대 후반에 걸쳐 군대는 자체 OPSEC 프로그램을 수립하고 실행 지침과 규정을 발표했다. 10년이 끝날 무렵, 그들은 그들만의 조사를 하고 있었다.

DOD 외부에 설치

베트남 전쟁 이후 OPSEC 개념의 개발이나 적용에 관여했던 많은 개인들이 이미 일을 하고 있거나, NSA(National Security Agency)와 함께 일을 하러 갔다. 그 결과, NSA는 OPSEC을 평시 운영에 적응시키고 OPSEC 개념을 비공식적으로 다른 기관에 전달하는 데 큰 역할을 했다. 그리하여 비 DoD 기관들은 그들만의 프로그램을 구축하기 시작했고, OPSEC은 국가 프로그램이 되는 길을 걷고 있었다.

실험계획법 내 설정

DOE는 JCS OPSEC 회의에 참가하고 다른 연방 기관과 인터페이스하는 것으로 OPSEC의 평시 적용에 역할을 담당하기 시작했다. 1980년에 DOE는 자체 OPSEC 프로그램을 구축하기 시작했고 1983년까지 이 부서는 DOD 외부에서 유일한 공식 OPSEC 프로그램을 갖게 되었다. 그 이후로 DOE는 OPSEC 개념을 임무의 구체적인 필요성에 맞게 지속적으로 다듬고 조정해 왔다.

1983년 DOE는 국가안전보장회의(NSC) 자문그룹인 SIG-I(Senior Intergency Group for Intelligence)의 회원이었다. SIG-I는 OPSEC에 관한 국가 정책 수립과 국가 OPSEC 자문위원회(NOAC) 구성을 제안했다.

1988년 로널드 레이건 대통령은 국가 정책을 수립하고 OPSEC 5단계 과정을 개략적으로 설명한 국가안보 의사결정 지침 298(NSDD-298)을 발표했다. 또한 NSDD-298 내에서 의무화된 것은 정부간 OPSEC 지원 인력(IOSS)의 설립이었다. IOSS 임무는 대통령의 지시에 따라 국가 차원의 OPSEC 프로그램 실행을 지원하는 것이다. NSDD는 IOSS에 OPSEC 교육을 제공하거나 촉진하도록 지시하고 OPSEC 프로그램을 보유하는 데 필요한 경영진 부서 및 기관의 컨설턴트 역할을 한다. 운영 보안(OPSEC)은 널리 인정된 의미로 향후 운영과 관련하여 가장 중요한 정보를 식별하고 다음과 같은 활동을 계획하는 것과 관련이 있다.[11]

  • 적대적 정보 시스템에서 관찰할 수 있는 조치 식별
  • 적에게 유용한 중요한 정보를 적시에 도출하기 위해 해석하거나 조합할 수 있는 상대 정보 시스템이 얻을 수 있는 지표 결정
  • 적대적 착취에 대한 우호적 조치의 취약성을 제거하거나 허용 가능한 수준으로 줄이는 조치를 설계하고 실행한다.

미 국방부의 정의와는 달리, 2007년 미 정보위원회의[12] 웹페이지에는 "국가운영보안(OPSEC) 프로그램 - 미국의 국가보안 프로그램과 활동과 관련된 미분류 정보와 증거를 식별, 제어 및 보호하기 위한 수단"이라고 기술되어 있다. 보호되지 않는다면, 그러한 정보는 종종 미국의 이익에 대항하여 일하는 적이나 경쟁자들에 의한 착취의 기회를 제공한다."

비록 적들이 개방된 사회를 착취하는 것에 대한 정당한 우려가 있지만, OPSEC의 보다 광범위한 정의가 국가안보를 합법적인 기능을 보호하기보다는 정치적으로 당혹스럽거나 약간 합법적인 것을 감추는데 이용될 수 있다는 우려를 만들어냈다는 경계심이 있어야 한다.

OPSEC의 구성 요소는? 대통령급 국가안전보장회의(NSC) 결정지시는 이를[13] 5단계로 공식화했으며, 그 세부사항은 에너지부가[14] 확대했다.

  1. 보호할 중요 정보의 식별: OPSEC 프로세스의 기본은 하나 이상의 적에게 이용 가능한 경우 어떤 정보가 운영이나 활동을 효과적으로 수행하는 조직의 능력을 해칠지를 결정하는 것이다. 이 중요한 정보는 조직의 "핵심 비밀" 즉, 조직의 임무나 특정 활동의 중심인 정보의 몇 안 되는 덩어리를 구성한다. 중요한 정보는 보통 기밀이 아닌 민감한 정보로 분류되거나 최소한으로 보호되어야 한다.
  2. 위협 분석: 적들이 누구인지, 그리고 그들의 목표를 달성하기 위해 필요한 정보가 무엇인지 아는 것은 조직의 임무 효과성에 진정으로 중요한 정보를 결정하는 데 필수적이다. 어떤 상황에서든, 적수가 둘 이상일 가능성이 높고 각각 다른 유형의 정보에 관심이 있을 수 있다. 정보 수집, 처리, 분석, 사용 능력, 즉 위협도 결정되어야 한다.
  3. 취약성 분석: 조직의 취약점을 판단하려면 조직에서 운영이나 활동을 실제로 수행하는 방법에 대한 시스템 분석이 필요하다. 조직과 활동은 적들이 볼 것으로 보아야 하며, 따라서 가상의 취약점보다는 조직이 실제로 어떻게 운영되고 무엇이 진실인지 이해할 수 있는 근거를 제공해야 한다.
  4. 위험 평가: 취약성과 특정 위협을 일치시켜야 한다. 취약성이 크고 적대적 위협이 명백한 곳에서는 적대적 착취의 위험이 예상된다. 따라서 보호에 대한 높은 우선순위를 부여하고 시정조치를 취할 필요가 있다. 취약성이 경미하고 적수가 한계 수집 능력을 가지고 있는 경우 우선 순위가 낮아야 한다.
  5. 대책의 적용: 적국에 대한 정보의 취약성, 위협 또는 효용을 제거하는 대책을 개발할 필요가 있다. 가능한 대응책에는 효과성, 타당성 및 비용이 다를 수 있는 대안들이 포함되어야 한다. 대응책에는 특정 상황에서 효과가 있을 것 같은 모든 것이 포함될 수 있다. 대응책의 이행여부의 결정은 비용/편익 분석과 전반적인 프로그램 목표에 대한 평가에 근거해야 한다.

OPSEC 범위

OPSEC 보완(NSDD 298의 강조) ( 물리적, 정보, 인력, 컴퓨터, 신호, 통신 전자 보안 조치. 여기에는 반-HUMINT 또는 반-IMINT가 포함되지 않는다는 점에 유의하십시오. 반-HUMINT를 다루도록 반-지능의 정의를 다시 정의하면 모든 위협에 대한 전체 보안성을 다루기에는 아직 공식 용어가 부족한 것 같지만 범위가 나타나기 시작한다. 이 일련의 기사들은 단순히 지능의 보안을 위해 그것을 정의하려고 한다.

DOE Nevada 운영 사무소의 OPSEC 프로그램인 Kurt Haase는 OPSEC에 대한 이해를 단순화하기 위해 이 범위를 설명하는 또 다른 방법을 고안했다. 이 프로그램의 제목은 "OPSEC의 법칙"이다.

  • 1. 위협을 모르면 무엇을 지켜야 할 지 어떻게 아는가? 특정 위협은 사이트마다 또는 프로그램마다 다를 수 있다. 직원들은 실제 위협과 가정된 위협을 알고 있어야 한다. 비록 각자가 서로 다른 정보에 관심을 가질 수 있지만, 어떤 상황에서든 적수는 둘 이상일 가능성이 있다.
  • 2. 무엇을 보호해야 할지 모르면 어떻게 보호해야 하는지 아는가? "무엇"은 적들이 자신의 목적을 달성하기 위해 필요한 중요하고 민감한 정보 또는 표적 정보다.
  • 3. 그것을 보호하고 있지 않으면(중요하고 민감한 정보) 적이 이긴다! OPSEC 취약성 평가("OPSEC 평가" - OA 또는 때때로 "서비스"로 칭함)를 수행하여 중요한 정보가 악용에 취약한지 여부를 결정한다. OA는 "우리가 하는 일"과 "어떻게 하는 일"에 대한 비판적인 분석이다. 내부 절차 및 정보 출처도 검토하여 중요 정보의 우발적 유출 여부를 판단한다.

OPSEC 기술

OPSEC 조치에는 반상, 은폐, 은폐, 기만 등이 포함될 수 있지만 이에 국한되지는 않는다.

(NSDD 298) (에 따라, 국가안전보위부 국장이 기관간 OPSEC 교육을 위한 Executive Agent로 지정된다. 이 역량에서, 그는 OPSEC 프로그램의 설립, 기관간 OPSEC 훈련 과정을 개발 및 제공하고, 최소한 국방부의 대표자를 포함하는 기관간 OPSEC 지원 인력(IOSS)을 설립하고 유지할 책임이 있다. 에너지부, 중앙정보부, 연방수사국, 종합서비스국. IOSS는 다음을 수행할 것이다.

  • 임원, 프로그램 관리자 및 OPSEC 전문가를 위한 기관 간, 국가 차원의 OPSEC 교육 실시
  • OPSEC 프로그램및 OPSEC 조사 및 분석의 수립과 관련하여 집행부 및 기관의 컨설턴트로 활동해야 한다.
  • SIG-I를 위한 OPSEC 기술 인력을 제공하십시오.

이 지침에는 다음 사항이 없음:

  • 정보 출처방법을 보호하기 위한 중앙 정보 책임자의 권한과 책임을 침해하기 위한 것이며, 행정 명령 제12333호에 명시된 정보 커뮤니티 구성원의 권한과 책임을 침해하기 위한 것이다.
  • SIG-I 정부간 대응 그룹(정책) 또는 NOAC의 일부 권한을 의미하며, 집행부나 기관의 장의 승인 없이 집행부나 기관의 시설이나 운영을 검사할 수 있다.

NSDD 298은 이전에 중앙정보부장(DCI)이 담당했던 국가정보국장(DNI)이 탄생하기 전이다. 중앙정보부장은 더 이상 정보계 수장이 아니었고, 중앙정보부(DCIA) 국장을 다시 맡았다. DNI에 직접 보고하는 국가방첩성 집행부(NCIX)도 NSDD 298 이후 창설됐다. 따라서 DCI의 이탤릭화된 책임(위)이 DNI 또는 NCIX로 이동했는지 여부는 명확하지 않다.

통신보안

통신 보안은 특히 자유 공간을 통해 전송되는 민감한 정보를 적국이 가로채지 못하도록 방첩의 필수적인 부분을 형성한다. 그러나 또한 도청이 가능한 유선 네트워크를 통해서도 차단된다. 여기에는 메시지 흐름의 패턴 또는 메시지 내용(: 암호화)으로부터 정보의 적대적 획득을 보호하기 위한 분야를 포함하여 여러 분야가 포함된다. 또한 통신 시스템으로부터 보호되지 않은 정보가 우발적으로 유출되지 않도록 보호하는 여러 분야를 포함한다.

물리적 보안

이 문서는 정보 주기 보안의 맥락에서 물리적 보안에 대해 논한다. 주제에 대한 보다 일반적인 관점은 물리적 보안을 참조하십시오. 암호 장비와 키뿐만 아니라 사람이 판독할 수 있는 형태의 민감한 정보 모두를 보호하는 것이 통신 보안의 보완이다. 세계에서 가장 강력한 암호는 강력한 암호 채널을 통해 전송되지 않을 때 복사하거나 도난당할 수 있는 영역에 방치되는 정보를 보호할 수 없다.

물리적 보안의 일부 극단을 살펴보는 것이 유용하며, 참고의 기준이 되는 것이다. 미국 민감 구획 정보 시설(SCIF)은 가장 민감한 물질을 포함하고 보안 수준에 대한 논의가 이루어질 수 있는 엄격한 시공 표준을 갖춘 방이나 방의 집합이다.[15] SCIF는 벙커가 아니며, 폭발물을 사용한 단호한 진입 시도가 속도를 늦출 수는 있지만, 멈출 수는 없다.

특정 조건에 따라 개별적인 공사 차이가 있을 수 있다; 미국 대륙의 군사 기지 안에 있는 보안 건물 내부의 표준은 적대국의 사무실 건물처럼 엄격하지 않다. 과거에는 SCIF 그 자체와 그 안에 있는 상당량의 전자제품들이 도청으로부터 보호하기 위해 전문화되고 값비싼 차폐와 그 밖의 다른 방법들이 필요하다고 가정했지만, 이들 대부분은 미분류 코드인 TEMPEST에 속하고 있다. TEMPEST는 일반적으로 미국 대륙의 시설들에 대해 면제되어 왔다. 반면에 극단적으로는 S.새 빌딩이 전자 벌레로 가득했던 모스크바 주재 미국대사관 내 환경 회의와 업무 공간에는 보안 대책도 마련돼 있어 최대한 안전한 실내로 '버블'됐다. 그러나 각각의 경우, 계획은 자격을 갖춘 보안 전문가의 사전 승인을 받아야 하며, SCIF는 사용 전에 검사하고 정기적으로 다시 검사해야 한다.

민감도가 낮은 재료를 위한 시설은 SCIF가 제공하는 물리적 보호를 필요로 하지 않는다. 가장 최근의 정책을 참조해야 하지만, TOP Secret은 조합 자물쇠가 있는 경보(응답 포함) 높은 보안 파일 캐비닛을 둘 다 필요로 한다; SECRITE는 경보 요건을 완화할 수 있지만 여전히 동일한 높은 보안 파일 캐비닛을 필요로 한다; 기밀 문서에는 각 서랍에 브래킷이 용접되어 있는 일반 파일 캐비닛이 허용될 수 있다.강한 강철 막대가 브래킷을 통과하고 결합 자물쇠로 고정된다.

다른 보안 대책은 기밀 정보가 취급되는 방의 창문 너머로 커튼이나 블라인드를 닫는 것일 수도 있고, 창문에 비견되는 높이에 있는 적에 의해 사진을 찍을 수도 있다.

아무리 물리적으로 안전한 SCIF라 할지라도, SCIF에 접근할 수 있는 사람들만큼 안전하지 않다. 한 심각한 보안 침해는 캘리포니아 레돈도 해변에 있는 TRW 시설의 통신 장비와 문서를 보관하는 SCIF 내부에서 일했던 크리스토퍼 보이스 사무원에 의한 것이었다. 이 시설에는 다른 민감한 프로그램 중에서도 TRW가 미국 정찰위성을 구축해 국가정찰국중앙정보국(CIA)을 대상으로 했다.[16] 보이스는 문서를 훔쳐서 마약상 앤드류 도톤 리에게 주었고, 그는 그것들을 소련 KGB에 팔았다. 인적 보안 대책은 물리적 보안 못지않게 중요하다. HUMINT 대응조치로 멕시코시티 주재 소련대사관에 이첩돼 반입되고 있는 문서가 감지됐을 수 있다.

인사보안

한 나라의 비밀에 대한 가장 큰 적의 침투는 이미 그 정부에 의해 신뢰받은 사람들로부터 비롯되었다. 논리적으로, 만약 당신의 서비스가 상대의 비밀을 알아내길 원한다면, 당신은 당신이 고용한 사람이 그러한 사람에게 접근권을 주지 않는 한, 그러한 비밀에 접근할 수 없는 사람을 고용하려고 하지 않는다.

한 사람이 믿을 수 있는지 여부를 결정하는 일반적인 과정은 보안 허가다; 많은 영연방 국가들에서 사용되는 영국 용어는 긍정적인 검토다. 가장 민감한 위치에서는 간격이 주기적으로 갱신된다. 알려진 수입과 일치하지 않는 지출 패턴과 같은 타협 가능성이 있는 징후는 인사 보안 책임자들에게 보고하도록 되어 있다.

보안허가는 출발점이지만 개인의 권리를 존중하면서도 일정량의 감시가 적절하다. 최근 몇 년간 미국의 최악의 배신 중 일부는 알드리히 아메스와 로버트 한센과 마찬가지로 돈에 의해 주도되었다. 확인이 필요한 비리가 있을 경우 플래그를 제기하는 재무기록의 전자적 검토는 설명되지 않은 소득을 확인하는 최소한의 방해 수단일 수 있다. 이런 수표가 단순히 유산을 드러낸 사례도 있고, 더 이상의 의문점은 제기되지 않았다.

다른 취약점을 탐지하는 것은 단순히 좋은 관리에서 비롯될 수 있다. 누군가가 동료들과 끊임없이 충돌한다면, 관리자가 개인과 대화하거나 직원 지원 프로그램과 대화하게 하는 것은 독특한 보안 관리가 아니라 좋은 사람 관리다. 정신 건강 보조를 구하는 것은 결격으로 간주되지 않는다; 그것은 훌륭한 판단으로 여겨질 수 있다. 특히 보안접근성이 높은 사람에 대해서는 보안허가를 받은 전문가 명단에서 치료사를 만나도록 요청할 수 있어 민감한 내용이 미끄러지거나 갈등을 논의할 필요가 있다면 문제가 없다.

참조

  1. ^ Dulles, Allen W. (1977). The Craft of Intelligence. Greenwood. ISBN 0-8371-9452-0. Dulles-1977.
  2. ^ Wisner, Frank G. (22 September 1993). "On The Craft of Intelligence". CIA-Wisner-1993. Archived from the original on 15 November 2007. Retrieved 2007-11-03.
  3. ^ US Department of the Army (15 January 1991). "Field Manual 34-37: Echelons above Corps (EAC) Intelligence and Electronic Warfare (IEW) Operations". Retrieved 2007-11-05.
  4. ^ US Department of the Army (3 October 1995). "Field Manual 34-60: Counterintelligence". Retrieved 2007-11-04.
  5. ^ Interagency OPSEC Support Staff (IOSS) (May 1996). "Operations Security Intelligence Threat Handbook: Section 2, Intelligence Collection Activities and Disciplines". IOSS Section 2. Retrieved 2007-10-03.
  6. ^ US Army (May 2004). "Chapter 9: Measurement and Signals Intelligence". Field Manual 2-0, Intelligence. Department of the Army. FM2-0Ch9. Retrieved 2007-10-03.
  7. ^ Matschulat, Austin B. (2 July 1996). "Coordination and Cooperation in Counerintelligence". CIA-Matschulat-1996. Archived from the original on 10 October 2007. Retrieved 2007-11-03.
  8. ^ Van Cleave, Michelle K. (April 2007). "Counterintelligence and National Strategy" (PDF). School for National Security Executive Education, National Defense University (NDU). USNDU-Van Cleave-2007. Archived from the original (PDF) on 2007-11-28. Retrieved 2007-11-05.
  9. ^ Joint Chiefs of Staff (22 June 2007). "Joint Publication 2-0: Intelligence" (PDF). US JP 2-0. Retrieved 2007-11-05.
  10. ^ "History of OPSEC" (PDF). Retrieved 2005-11-05.
  11. ^ US Department of Defense (12 July 2007). "Joint Publication 1-02 Department of Defense Dictionary of Military and Associated Terms" (PDF). Archived from the original (PDF) on 23 November 2008. Retrieved 2007-10-01.
  12. ^ US Intelligence Board (2007). "Planning and Direction". USIB 2007. Archived from the original on 2007-09-22. Retrieved 2007-10-22.
  13. ^ "National Security Decision Directive 298: National Operations Security Program". July 15, 2003. NSDD 298. Retrieved 2007-11-05.
  14. ^ Department of Energy. "An Operational Security (OPSEC) Primer". Archived from the original on 2007-10-28. Retrieved 2007-11-05.
  15. ^ Director of Central Intelligence Directive (18 November 2002). "Physical Security Standards for Sensitive Compartmented Information Facilities". DCID 6/9. Retrieved 2005-11-05.
  16. ^ Lindsey, Robert (1979). The Falcon and the Snowman: A True Story of Friendship and Espionage. Lyons Press. ISBN 1-58574-502-2.