反情报需要保护的包括人员、信息、设备、设施和网络、活动和业务以及供应商。当针对人们时,对手使用各种各样的方法,甚至可能寻找可利用的弱点——例如财务问题、毒品和酒精问题、通奸和赌博问题。当把信息作为目标时,敌方知道,虽然某一条信息——无论是否是机密信息——并不仅仅具有关键重要性,但如果将其与其他信息结合在一起,就可能泄露敏感甚至机密的信息。因此,我们不仅必须保护机密信息,而且必须保护敏感、非机密信息和专有信息。这些损失不仅直接影响到企业的生存能力,而且影响到国家安全。
目标明确的信息和技术包括:
• 技术信息、涉密和非涉密与关键技术
• 应急计划
•个人和人事资料
•方案、部署、反应程序
关键技术
•对设计、开发、生产、操作、应用或维护对任何国家的军事潜力作出重大贡献的物品或服务至关重要的技术
•包括但不限于设计和制造专门知识、技术数据、软件、关键设备以及检查和测试设备
• 可受出口管制并受《国际武器贩运条例》约束
两用技术
• 具有军事和商业用途的技术
• 根据《出口管理条例》严格控制和执行出口
• 非法出口这种技术往往导致罚款和/或犯罪
• 被指控
威胁的来源
威胁以多种形式出现,可能以不同的方式出现。例如,在你的办公室里发现了一些威胁,看起来就像你和你的同事。事实上,他们可能是你的同事。其他起源于外国情报实体。威胁可能是有形的,以恐怖活动的形式出现,也可能是电子的,由黑客和网络犯罪分子实施。
其他威胁来自那些试图破坏你的生意同时建立自己的企业。为了识别这些威胁,你必须了解需要寻找什么或谁,并且必须了解它们如何运作。
收集方法
你会认为这些场景中的任何一个可疑吗?
□ 贵公司的销售部门收到来自未知供应商的购买请求。
□ 你们工厂的科学家收到一份审查研究论文的请求。
□ 在海外的一次会议上,研究人员的笔记本电脑被盗。
□ 一天清晨,当你到达你的大楼时,你会遇到一个离开大楼的同事。这位同事紧张地解释说,他有时宁愿工作也不愿为别人分心。
□ 您的组织的网络服务在拒绝服务攻击后中断
这些情景中的任何一种都可能指向可能的威胁。
信息如何定向?
检查过去的案例表明,对手通常使用某些收集方法——其中一些在这里被识别。
• 利用网络行动
• 索取资料/索取资料
• Acqui sit在技术方面的尝试
• 利用专家
• 外国访问
• 国外旅行
• 内部威胁
请注意,此列表并非包含全部威胁。了解对手的方法可以帮助你识别威胁的存在。让我们更仔细地查看已识别的收集方法。
利用网络行动
网络操作和其他类型的可疑网络活动是企图侵入已清理的承包商网络,并泄露受保护的信息。这可以通过许多不同的方式进行,包括:钓鱼操作;网络入侵;恶意网络扫描;病毒或恶意软件的安置;后门攻击;或获取用户名和密码以获得对网络的访问。
这是一个危险和非常真实的威胁。对手可以从任何地方攻击你,混淆你的踪迹,一次攻击多个资产。对于我们的对手来说,这是一种低风险和潜在的高回报的方法。这里有一些你应该知道的指标。
以下是与可疑网络活动和网络行动有关的可疑指标清单:
• 未经授权的系统访问尝试
• 未经授权的系统访问或披露信息
• 中断或导致拒绝服务的任何行为
• 未经授权的数据存储或传输
• 未经授权的硬件和软件修改
• 从未知的发送者收到的电子邮件(包括社交工程尝试,如网络钓鱼)
国防承包商可以采取以下对策来防范这种收集方法:
• 遵守贵公司的技术控制计划(TCP)中的措施
• 经常进行计算机审计
• 理想:每日
• 至少每周一次
• 不要依赖防火墙来抵御所有的攻击
• 报告入侵尝试
• 避免回应任何未知的要求,并报告这些要求
• 在发生严重攻击时暂时断开计算机系统连接
技术管制计划:
• 规定公司如何控制其出口控制技术的获取
• 概述已授权发布的具体信息
• 在某些情况下,可能需要《国家工业安全方案操作手册》和《国际武器贩运条例》的规定
• 保护机密和出口管制信息
• 控制:
o 外国游客进出
o 雇员是外国人
有关此收集方法的信息可在参考资料中。如果您怀疑您、同事或您的公司可能是此方法的目标,请将其报告给设施安全干事(FSO)。
试图获得技术
试图获取技术包括试图通过直接购买公司、使用幌子公司或通过第三国获取受保护的信息。对手可能试图购买受控技术,无论是设备本身或图表、图表、计划或规格表。成功使用这种方法可能会使一个受到敌方保护的技术和信息落地,并对美国造成严重后果。
以下是与试图获取技术有关的可疑指标清单:
初步请求:
• 该请求针对的是一个不知道发件人和不在销售或营销办公室的雇员
• 律师是外国政府的采购代理人
• 公司要求在请求者业务范围之外的技术
• 个人对所要求的技术类型的技术规格缺乏/不了解
订单详情:
• 订货模糊:数量、交货目的地或客户身份
• 异常数量
• 要求修改技术
• 交货日期
航运:
• 最终用户是一个仓库或公司,为别人组织发货
• 最终用户地址在第三国
• 地址是一个晦涩难懂的PO箱或住所
• 多个企业使用相同的地址
• 买方要求将所有产品直接运给买方
• Requestor表示愿意提货而不是装货
国防承包商可以采取以下对策来防范这种收集方法:
• 遵守贵公司的技术控制计划(TCP)中的措施
• 避免回应任何未知的要求,并报告这些要求
• 只对核实身份和地址后为人所知的人作出反应
• 如果无法验证请求者:
o 绝不回应
o 向安保人员报告事件
技术管制计划:
• 规定公司如何控制其出口控制技术的获取
• 概述已授权发布的具体信息
• 在某些情况下,可能需要《国家工业安全方案操作手册》和《国际武器贩运条例》的规定
• 保护机密和出口管制信息
• 控制:
o 外国游客进出
o 雇员是外国人
利用专家
利用专家是越来越常见的操作方法。要求从事机密项目的外国学者人数继续增加。
对方利用专家获取受保护的信息,方法是要求同行或科学委员会评审、要求与教员学习或咨询或申请进入学术机构。以合法研究为幌子,让学者进入美国研究机构并请求与之合作,使对手能够获得正在开发的技术和研究。
通过利用专家进行收集工作可以包括但不限于以下内容。
美国学者、科学家、工程师或研究人员获得:
• 要求以学术研究的名义提供两用部件
• 来自学术或科学领域的同行的无邀电子邮件,请他们协助基础研究和发展研究
• 邀请参加国际会议或提交论文
• 要求审查研究论文,希望专家能纠正任何错误
通过外国学者收集资料可能涉及:
• 外国学生接受美国大学或研究生研究项目,由本国招募来收集信息,并可获得国家资助的奖学金,作为他们收集工作的奖励
• 申请在经过审核的实验室工作的合格候选人
• 在清除实验室工作的候选人,其工作与提出请求的个人的研究领域不相容
以下对策可以防止这种收集方法:
• 审查所有正在传送的文件;必要时使用翻译
• 向外国代表提供独立的信息系统
• 分享适合研究范围的最低信息量
• 了解项目范围以及如何处理和报告启发
• 参加威胁意识培训
• 拒绝接受不必要的外国代表进入设施
• 遵守贵公司的技术控制计划(TCP)中的措施,包括识别国内外访客的标签系统
技术管制计划:
• 规定公司如何控制其出口控制技术的获取
• 概述已授权发布的具体信息
• 在某些情况下,可能需要《国家工业安全方案操作手册》和《国际武器贩运条例》的规定
• 保护机密和出口管制信息
• 控制:
o 外国游客进出
o 雇员是外国人
索取资料
对方通过直接或间接询问或引诱人员或受保护的信息和技术,利用信息请求和招标建立联系和收集受保护的信息。
对手可以通过简单的请求(通常通过电子邮件)请求技术信息和手册,或者与销售、代理、代理报价或技术或商业服务的响应交织。对手还可以以价格报价、市场调查或其他直接和间接努力的名义直接请求信息。
对手主要使用电子邮件、电话或web表单提交方法请求此信息。虽然不是每个请求都是你成为目标的标志,但是对手经常使用这种方法,你必须警惕潜在的威胁。
这种收集方法有几种可能的指标,包括但不限于下列指标。
请求者:
• 使用外部地址发送请求
• 从未见过收件人
• 将自己视为学生或顾问
• 将雇主确定为外国政府
• 正在为外国政府或项目工作的国家
• 询问与国防计划、项目或合同有关的技术
• 使用特定程序的缩写询问关于国防相关程序的问题
• 如果他/她工作的第三方是“机密”或其他敏感的
• 承认他/她无法在其他地方获得信息,因为它是机密或控制的
• 如果请求引起安全问题,或者请求是针对接收者由于安全分类、出口管制等而不能提供的信息,则建议接收者忽略该请求。
• 建议收件人不要担心安全隐患
• 保证收件人不需要出口许可证或不存在问题
下列反措施可防止索取资料和索取服务:
• 以怀疑的态度看待主动和直接的请求,尤其是通过互联网收到的请求• 只对核实身份和地址后为人所知的人作出反应
• 如果请求者无法核实,请不要以任何方式作出回应,并向安全人员报告事件
外国访问
敌方利用外国访问作为收集方法,试图获取和收集受保护的信息,这些信息超出了允许和旨在共享的范围。这既适用于外国特遣队预先安排的对已清理的承包商设施的访问,也适用于未经宣布的访问。贵组织必须有外国访问的程序。在访问期间,您的信息和技术可能是脆弱的。
在外国访问期间,可疑或不当行为可包括:
• 请求在核准讨论的范围之外提供资料
• 与访问的既定目的有关的隐藏议程
• 访问者/学生索取资料并在拒绝后变得愤怒
• 个人将摄像机和/或录像设备带入不允许拍照的地区
• 在最后时刻更改访问者列表的个人
• 试图进入未参加访问的地区的个人
以下对策可保护经过清理的防务承包商不受外国访客未经授权进入:
• 承包商可在访问前与DCSA协调
• 访问前:出席关于核定访问程序的简报会
• 访问前:走访者路线并识别漏洞
• 注意游客受到的限制,以及威胁的性质
• 参加访问后情况汇报
• 确保访客不要携带录音设备,包括手机,进入设施
国外旅行
美国人在国外旅行时经常因为工作或个人原因成为目标。在情报和安全部门非常活跃的国家,外国旅客所做的一切——包括在酒店房间内——都可能被监测和记录。旅行还常常被用作初次接触的机会。一个外国实体更容易与外国旅行者联系,因为外国旅行者可能更容易受到伤害。
以下是与外国旅行有关的可疑指标:
• 崎岖的酒店房间或机舱
• 截获通信和电子邮件传输
• 电话通话记录
• 未经授权的访问和下载,包括彻底盗窃硬件和软件
• 安装恶意软件
• 侵入或搜查酒店房间、公文包、行李等。
• 通过贿赂、勒索或胁迫进行招募
可以采取以下对策防止这种收集方法:
• 不要公布旅行计划,并限制向需要了解的人共享这些信息
• 举行旅行前安全简报会
• 保持敏感信息、媒体和设备的控制
o 不要把这些类型的物品放在托运行李中,随时随身携带
o 不要让他们无人看管或存放在酒店保险柜内
• 把酒店房间的门锁上,注意离开房间时的样子
• 限制敏感讨论;公共领域很少适合讨论敏感信息
• 不要在外国酒店或商务中心使用信息系统处理敏感问题
• 忽视或转移有关专业或个人事务的侵入性或可疑查询或谈话
• 保持不需要的敏感材料,直到可以安全地处理
内部威胁
内部人员将利用他或她的授权访问对美国安全造成损害的威胁,使得内部人员威胁是所有收集方法中最具潜在破坏性的。这种威胁可以通过间谍、恐怖主义、国家安全信息未经授权泄露,或通过资源或能力的丧失或退化造成损害。这种威胁可能是有意或无意地来自雇员、承包商,或任何有合法途径进入组织的人。某些性格特征和生活经历更有可能导致一个人成为内部威胁。
还有某些生活方式暗示值得注意。当然,并非所有表现出这些特征的人都是间谍——而且大多数不是——你需要熟悉这些指标。
潜在的间谍指标包括但不限于:
• 酗酒或其他药物滥用或依赖
• 心理健康问题
• 极端的、持续的人际困难
• 敌意或报复行为
• 犯罪行为
• 财政困难
• 不明原因或突然富裕
• 未报告的外国接触和旅行
• 对机密、敏感或专有信息的不适当、异常或过度兴趣
• 滥用信息系统
• 对美国的忠诚或忠诚
• 与工作分配不一致的工作时间
• 一再违反安全规定
• 不愿做测谎
清白的国防承包商可以采取以下对策防范内部威胁:
• 关于内部人威胁的请求培训
• 出席关于启发方法的简报会
• 警惕其他员工的行为
• 监测外国访客的活动,以表明他们针对公司人员
• 报告可疑行为和活动,包括潜在的间谍指标和外国针对人员的迹象
• 根据需要了解限制敏感信息的传播
• 监测可报告异常的分类系统
征聘
方法和指标
既然您已经了解了各种收集方法,那么您也了解招聘方法也很重要。在我外国情报的日子里,我自己也用这些方法。外国实体不断寻找招聘人员。
他们使用启发式技术巧妙地提取关于你、你的工作和你的同事的信息。如果做得好,启发看起来就像个小小的谈话。社交网络是一个极好的启发工具,经常用于招聘。对手的招聘工作往往会根据目标的背景、自我、意识形态信念或恐惧——包括工作安全——发挥作用。当引诱发现一个可利用的弱点时,可能使用讹诈或贿赂。征聘工作往往涉及与外国的个人或组织接触。然而,一个已经承诺的美国间谍可能试图招募同事。
一些征兵迹象包括突然或原因不明的财富和未报告的外国旅行。在参考资料中有关于启发的信息可供您使用。
可报告的征聘指标包括但不限于:
• 请求官方渠道以外的关键资产
• 未报或经常出差
• 可疑的外国接触
• 与已知或怀疑与外国情报、安全或恐怖主义有联系的个人联系
• 外国国民或陌生人提供经济援助、礼物或帮助:小心携带礼物的人
• 怀疑外国或国内有竞争力的公司招聘,以说服员工为另一家公司工作
关键资产是对一个组织的任务或国家安全至关重要的资产,如果被利用,可能造成严重损害,包括:
• 涉密信息
• 专有信息
• 知识产权
• 商业秘密
• 人事人员
报告
DCSA依赖来自已清理行业的报告。如果你是个人目标,或者你意识到你的公司或者同事,你会知道该怎么办?你知道怎么报告吗?
o 是的,我知道该怎么办,并将立即报告。
o 我不确定;我必须查查或查某人。o 不;我不知道该怎么办……也许打电话给热线?
如果你怀疑可能存在威胁,你必须报告。你不能假定别人会这样做。
报告程序
我们每个人都是安全的拥有者——信息安全和人员安全。我们都要对它的保管负责。
国家工业安全计划操作手册概述了适用于工业的报告要求。被清理的工业雇员必须向设施安全官员报告潜在的威胁。视情况而定,设施安全干事(FSO)将报告设施DCSA工业安全代表和DCSA反情报特别代理可能面临的威胁。如果可能的威胁包括实际、可能或可能的间谍活动、破坏、恐怖主义或颠覆活动,设施安全干事将向联邦调查局报告并复制DCSA。
正如你前面提到的,你必须意识到潜在的间谍指标。您还必须熟悉可报告的网络问题和可报告的反恐问题。这里以及参考资料中有可报告事件或行为的例子。
潜在间谍指标
• 未经授权获取机密信息、系统或技术
• 国际武器贩运条例、出口管理条例、两用技术或设备的异常请求,或禁运国的任何请求
• 对外情报部门(FIE)的尝试开发
• 与已知或疑似外国情报官员联系
• 针对国防、美国设施、组织或公民的计划、企图、实际或涉嫌恐怖主义、间谍、破坏、颠覆或其他情报活动的信息
• 与外国国民保持密切和持续的联系
• 与外国外交机构的联系
• 在不需要了解的情况下获得访问的尝试
• 未报告的外国旅行
• 不明原因富裕
• 未经授权的信息下载或下载模式不符合总办公室政策
• 与异常的关系
ITAR
国际武器贩运条例
EAR
出口管理条例
双重用途
• 具有军事和商业用途的技术
• 根据《出口管理条例》严格控制和执行出口
• 非法出口这种技术往往导致罚款和/或刑事指控
可报告的网络问题
• 网络溢出
• 未经授权使用国防部账户凭证
• 网上试图针对或招募人员,包括引诱、招揽和营销服务、直接索取信息或钓鱼骗局
• 可疑的网络活动和/或渗透和入侵企图
报告的反恐问题
• 为已知或可疑的恐怖组织提供财政或物质支助
• 鼓吹暴力或暴力威胁以实现已知或可疑恐怖主义集团的目标
可报告的事件或行为的例子
以下并非详尽无遗的清单。当怀疑时,报告事件或行为。
征聘
报告事件或行为,包括但不限于:
• 与外国情报、安全或恐怖组织有关联的个人联系
• 非近亲家庭的外国国民提供财政援助
• 要求在官方渠道之外提供机密或非机密资料
• 从事非法活动或要求这样做
资料收集
报告事件或行为,包括但不限于:
• 未经授权获得机密或受保护信息的请求
• 在销毁时要求证人签署销毁机密信息的请求
• 在存储、讨论或处理分类数据的区域中操作未经授权的相机、记录设备、信息系统或调制解调器
• 在敏感或安全地区存在任何监听或监视装置
• 未经授权储存机密材料
• 未经授权进入机密或非机密自动信息系统
• 寻求接触不符合职责要求的敏感信息
信息发送
报告事件或行为,包括但不限于:
• 未经授权从工作区清除机密或受保护的材料
• 不当删除分类标记文件
• 关于非安全手段的机密信息的讨论
可疑行为
报告行为,包括但不限于:
• 多次志愿执行超出正常职责范围的任务或职责,试图扩大获得机密信息的机会
• 广泛使用复印、传真或计算机设备复制或传送可能超过工作要求的机密材料
• 在正常工作时间以外重复或不需要的工作
• 不明原因或不当富裕
• 财务状况突然逆转或大额债务的突然偿还
• 试图引诱国防部人员进入可能使他们处于不利地位的情况
• 试图通过特殊待遇、优惠、赠品、金钱或其他手段使国防部人员承担义务
• 短途前往外国或在美国境内前往有外国外交活动的城市,原因看来不寻常或不符合某人的罪犯或金融手段
• 恐怖主义活动的迹象
• 隐瞒外国旅行
• 发表声明,对恐怖主义集团表示支持或同情
• 发表声明,表示偏爱外国而不是忠于美国
• 发表威胁在工作场所对同事、主管或其他人实施暴力的激进言论或行动
原文pdf及百分点机器翻译文档已上传小编知识星球
长按识别下面的二维码可加入星球下载
里面已有近千篇资料可供下载
越早加入越便宜哦
原文始发于微信公众号(丁爸 情报分析师的工具箱):【资料】反情报意识和安全培训
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论