美国家网络融合中心报告：实时与开源分析 (ROSA) 资源指南

实时与开源分析（ROSA）资源指南由国家网络融合中心与国家情报局局长办公室（ODNI）信息共享环境合作伙伴参与办公室（PE-ISE）、美国国土安全部（DHS）合作开发。

联邦调查局（FBI）和刑事情报协调委员会（CICC）的代表协会，协助执法机构和融合中心了解合法和适当使用开源信息，重点关注社交媒体。它旨在帮助执法机构和分析人员了解可用于支持执法操作和分析活动的潜在工具和资源，同时确保解决P/CRCL问题。

情报分析人员的分析依赖于各种来源的信息，包括调查走访获得和通过司法授权获取的信息，比如搜查令或者调取；以及通过公认的开源途径获得的信息，来自社交媒体的公开信息。

执法和分析人员在获得授权和适当时，可以使用包括社交媒体在内的公开信息，作为他们制定态势感知报告或可操作情报的一部分。随着社交媒体及其新技术的出现，执法机构和融合中心必须了解如何恰当和合法地访问和使用公开信息。

执法人员和分析人员通过社交媒体资源和工具收集公开信息（也称为开源信息）进行分析，以确定是否发生犯罪活动以支持刑事调查或评估公共安全和风险。

犯罪分子可以使用开源平台来煽动或进行非法活动，恐怖分子可以利用开源平台招募和鼓励新成员，通过视频或文件传播暴力极端主义信息，协调活动，并声称对世界各地的攻击负责。

因此，执法和情报分析人员应了解社交媒体的用途，并了解可用于记录犯罪和恐怖活动的社交媒体工具。公共和私营部门组织可以使用各种开源分析工具访问公共可用信息，并能够搜索多个平台，最大限度提高效率。

执法机构和融合中心应定期评估可用的工具;尽可能了解这些工具在使用之前的工作方式;确认此类工具的使用符合适用的法律，法规和政策;要求人工审查自动或半自动工具返回的任何搜索结果;并评估新功能和/或工具对P / CRCL的影响。执法机构可以在其责任区域内与州或主要城市区域融合中心联系，以获取有关ROSA工具和能力的更多信息。

执法机构和融合中心有责任确保其适用法律，法规，政策和程序授权使用ROSA，并以适当保护隐私，公民权利和公民自由的方式进行。

在考虑收集和使用开源信息时，执法和分析人员应该考虑到所揭示的绝大多数内容和个人关系都是受宪法保护的活动。因此，执法和分析人员应该理解，他们收集和使用开源信息的合法权限将取决于他们是否具有有效的执法（包括公共安全）目的以及确定的工作职责以收集和分析开放信息。

ROSA的用途：

1、发现犯罪活动，包括潜在的暴力情况或威胁行为

2、评估对公共或关键基础设施的威胁

3、分析可能与恐怖主义有关的可疑活动报告

4、获取与犯罪有关的物证

5、确定受害者和犯罪嫌疑人

6、应对自然灾害或其他应急管理

当执法和情报分析人员发现或接收有关对执法或公共安全的潜在威胁的信息时，执法部门应当评估威胁信息的可信度或评估潜在的威胁对公共安全的风险，检查源信息的可靠性和内容有效性。

当评估威胁并满足威胁的适用要求时（根据第一修正案），执法和分析人员可以进行额外的研究和分析以补充ROSA。 SLTT执法和分析人员可以根据内部政策中明确的有效执法目的和明确的工作职责，访问和利用不同类型的信息和情报以及各种情报产品。 一旦执法和分析人员访问开源信息并将其纳入刑事情报或调查档案，重要的是要了解该信息或情报的类型，信息管理、使用、保留和共享情况，以及适用于该信息的法律，法规和政策。

虽然ROSA有许多应用，但它作为识别威胁通信的手段的使用引发了一些问题。执法人员和分析人员应当与其法律代表协调，熟悉禁止“真正威胁”的地方和州刑法。

与分析开源信息相关的常见实践

以下常见做法可以帮助执法人员和分析人员分析开源信息：

1、评估信息来源可靠性和内容有效性。

2、确认ROSA的使用符合该机构的隐私政策和/或ROSA政策。

3、确认ROSA的使用是经过代理机构授权的，并且符合适用的法律，法规和政策。

4、评估威胁的内容并评估相关的重要性和潜在风险。

5、根据此类行动所需的怀疑程度，确定适当执法指数的信息。

6、根据当前的威胁报告评估开源信息，包括SLTT和联邦态势感知的记录，警告和通知。

刑事调查支持

ROSA作为刑事调查支持的一部分，对于成功启动，进行和完成调查非常有价值。 例如，ROSA可用于识别犯罪嫌疑人，与刑事调查有关的证据，以及可能的犯罪行为证人和其他与犯罪有关的活动。

ROSA作为调查支持的一部分，可以：

1、了解犯罪主体背景信息

2、确定嫌疑人和受害者的历史和近期在线活动

3、将其他事件识别为犯罪趋势或模式的一部分

4、识别可能的嫌疑人或员工

开发态势感知报告、犯罪情报信息和情报产品

作为机构审查和情报职能的一部分，ROSA可用于识别根据联邦法规（CFR）第23部分合理怀疑参与犯罪活动的个人和组织，并用于支持开发战略和战术情报产品，以识别潜在威胁，公共安全危害，事件和犯罪趋势。

SLTT执法和分析人员可以使用开源分析来开发态势感知报告或可操作的情报。在对ROSA应用战略方法时，SLTT执法和融合中心应考虑具体的信息需求或智能差距。战略和战术ROSA也可用于支持第一响应者部署的活动事件或持续事件，并且通常是实时完成的。

在进行此类ROSA时，SLTT执法和分析人员应考虑不断变化的公共安全环境，具有有效的执法目的，并酌情纳入28 CFR Part 23的操作原则，作为其更广泛的一部分。

对于专注于犯罪情报发展的执法和分析人员，ROSA可以通过多种方式使用：

1.情境意识报告：

执法和分析人员可以使用ROSA来制定和/或增强态势感知报告。社交媒体可以提供有用的工具来识别某个区域内的趋势或特定活动的趋势。然后，可以使用此信息来构建，通知或增强态势感知报告。

2.刑事/恐怖主义分析和犯罪情报分析：

专注于犯罪情报分析的执法和分析人员也可以将ROSA作为其收集和分析犯罪活动的一部分。对于被合理地认为正在对犯罪预备的嫌疑人，包括恐怖袭击，分析人员可以搜索社交媒体网站以识别嫌疑人的活动，证实报告并识别潜在的犯罪嫌疑人。

3.可疑活动报告（SAR）分析：

ROSA可以为收集，分析和传播与SAR过程相关的信息的机构提供有益的支持。执法人员和分析人员可以使用社交媒体工具识别可疑行为，捕获和收集这些信息，并对其进行分析，以了解某个司法管辖区内的趋势或对其进行分析，以确定其是否记录了观察到的行为，合理地表明与恐怖主义或其他犯罪行为相关的操作和计划。

示例：

刑事情报的ROSA

2016年11月28日，在俄亥俄州立大学（俄勒冈州立大学），一个人驾驶汽车冲入一群人，然后下车，持刀砍杀周围的人。袭击者很快被枪杀，执法人员在确保该地区安全并帮助受害者的同时，努力查明嫌犯身份。接下来是一个全国性的信息联网查询，包括联邦，州和地方的国土安全合作伙伴。

执法人员在现场找到了驾驶执照，其名称可能是嫌犯的。这些信息被发送到俄亥俄州哥伦布市的战略分析和信息中心，不久之后，该中心的一名分析师使用开源分析找到嫌疑人的Facebook页面。融合中心分析师通过开源分析确定了一个重要的证据，用于进一步支持对当事人的识别。分析师将Facebook页面传播给其他融合中心以及州和联邦合作伙伴，包括当地联邦调查局（FBI）联合恐怖主义特遣部队（JTTF）。

隐私权，公民权利和公民自由的考虑因素

一般法律概念

执法和分析人员必须解释其管辖范围内涉及犯罪活动的法律，包括符合美国宪法第一修正案的威胁。

在解释适用的刑法，执法和分析人员时必须区分犯罪行为和合法言论。例如，根据第一修正案，威胁法规必须被解释为仅涵盖“真正的威胁”而不是“受宪法保护的言论”。

发言者实际上不需要实施威胁。“真正的威胁”必须传达一种严重或真正的威胁，必须与闲散，粗心的谈话，夸张，嘲笑或政治夸张区别开来。“

与”真正的威胁“相比，第一修正案保护政治夸张和”激烈，刻薄，有时令人不快的尖锐攻击“没有达到真正威胁的程度。

背景对于区分真正的威胁和受保护的言论至关重要。建议执法人员和分析人员在分析真正的威胁时聘请其代理人的法律顾问。

修正案保护演讲

此外，根据具体情况，宣传暴力或违法行为可能受到第一修正案的保护性言论，因此鼓励与机构法律顾问协商。对于提倡不受保护的暴力或无法无天的言论，它必须针对煽动“迫在眉睫的无法无天的行动”，并可能产生预期的无法无天或暴力.。

预定暴力的可能性也必须迫在眉睫，而“宣传非法行为”在一些无限期的未来时间采取行动“可能还不够。

即使某些言论可能看起来具有威胁性，如果整体分析表明发言者一般主张非暴力，或者接受陈述的听众不认为言论具有威胁性，那么这些陈述 - 无论是粗暴的还是不真实的 - 仍然可能受到第一修正案的保护。

另一方面，鉴于正确的背景，语言可被视为具有威胁性。当用于恐吓他人时，言论可能会失去保护。

纯粹试图煽动犯罪活动的语言，例如公开让人们伤害来自反对派团体的人以换取赔偿，将不太可能受到保护。

美国最高法院已经声明“在提出的提案中仍有一个重要的区别 非法活动和非法的抽象宣传。“执法和分析人员应该依靠他们的培训和经验，并在分析表达是否构成犯罪行为或受保护活动时，聘请其机构的法律顾问作为指导。

与恐怖主义有关的问题

美国国会研究服务局最近的一份报告“互联网上的恐怖主义宣传：言论自由问题和物质支持法规”讨论了可能限制恐怖主义宣传受到限制的相关先例。 该报告还讨论了联邦禁令可能适用于向外国恐怖主义组织提供物质支持以宣传恐怖主义以及在线服务提供者传播此类宣传的情况。 该报告对执法情报有重要启示，旨在收集有关表达对恐怖主义意识形态支持的个人的潜在威胁信息

隐私权、公民权利和公民自由保护政策

当用作调查和预防犯罪活动的执法工具时，必须以符合管理所有执法活动的相同原则的方式使用ROSA。鼓励执法机构和融合中心与其机构的法律顾问制定政策，定义并阐明能够以保护个人P / CRCL的方式收集和共享开源信息的法律要求。该政策将指导调查工作并降低潜在的P / CRCL风险。

正如在制定关于在情报和调查活动中使用社交媒体的政策指导和建议的资源中所述，全面的ROSA政策应包括以下关键组成部分：

1.明确资源的使用将符合适用的法律，法规和机构政策和程序。

2.确定是否以及何时授权使用开源平台或工具（以及根据该机构的法律权威和任务要求在这些网站上使用信息）。

3.明确并定义使用开源平台信息所需的授权级别。

4.指定从开源资源获得的信息将进行评估以确定置信度（源可靠性和内容有效性）。

5.指定与从开源资源获取的信息相关的文档，存储和保留要求。

6.确定下班人员使用与执法职责相关的开源信息的原因和目的，以及如何以及何时将个人设备用于授权执法目的。

7.确定包含从开源网站获取的信息的情报和调查产品的传播程序，包括对传播PII的适当限制。

8.了解所使用的开源平台和工具的服务条款。

9.将公开可用的社交媒体信息的收集限制在与搜索目的相关的范围内

10.指明只有收集社交媒体而不考虑个人的观点或说话本身的事实，除非明确与法规或法规的执行相关。

此外，如果该机构授权或打算授权在线秘密活动（包括在社交媒体网站上开发秘密个人资料），该政策应涉及监管批准，活动所需文件，活动定期审查以及秘密流程审计和行为。

至关重要的是要了解PII的存在是机构的P / CRCL和ROSA政策中隐私保护的主要触发因素。

因此，ROSA政策应阐明执法机构或融合中心如何在进行开源分析时处理PII及其寻求或接收的其他个人敏感信息，并说明人员必须具有明确的目标和有效的执法目的、维护或共享PII。

同样重要的是要注意，一些可能首先看起来不是PII的信息可以是PII，如果它是链接的或可链接到特定个体，或者如果它可以允许在与其他数据组合时识别特定个体。

例如，如果社交媒体用户名可以链接到特定个人，或者如果相同的用户名在不包括个人照片的社交媒体平台上，则该社交媒体用户名实际上可以是PII。出于谨慎的考虑，将用户名视为PII，除非执法人员或分析人员能够证明用户名不可链接。

有关使用开源的建议做法的详细信息，请参见第23页。

使用开源资源的政策可以是独立的文件，也可以作为现有政策的附录，例如融合中心的P / CRCL政策或标准操作程序（SOP）。重要的是要审查开放资源法律和政策专业人士（如隐私官和机构法律顾问）在签发之前的政策。一旦制定了开源政策，各机构应酌情定期审查和更新其政策和程序。

有关制定P / CRCL政策的更多信息，请参阅Fusion Center隐私政策制定：隐私权，公民权利和公民自由政策模板。

运营安全

连接到在线环境的执法和分析人员，包括访问公开的实时和开源信息，应考虑实施增加的操作安全性（OPSEC）。

随着技术的进步，网络犯罪越来越成为公众以及SLTT执法和融合中心的问题。 当在在线环境中操作时，需要认识到在线查询个人信息而不采取必要的预防措施来保护自己或组织，其潜在后果已被证明是有害的。

“了解数字足迹 - 保护个人信息的步骤”指南虽然针对执法部门，但提供的材料旨在协助在线保护并且不会成为网络目标，并且对任何个人都是有益的知识。

可以保护个人信息的几个步骤：

1、在开源媒体网站上正确使用安全设置以保护个人资料信息。

2、限制在移动应用程序中使用位置服务和“检查”功能。

3、限制应用程序和软件访问联系人。

4、创建并使用强密码，定期更改密码，避免共享密码。

5、禁止在密码或用户名中使用可识别信息。

6、使用已批准设备上的安全网络进行连接，并避免使用公共WiFi网络进行在线活动。

7、如果设备丢失或被盗，请启用远程跟踪和擦除功能。

8、定期更新系统和程序，以提高性能和安全性。

9、不要在社交媒体和其他网站上分享太多的个人信息或可识别的照片。

10、不使用设备时，请考虑断开Internet连接并注销并关闭设备。

11、不要打开来历不明的电子邮件，链接和附件。

消除冲突

消除冲突是执法和情报机构用来确定是否有一个以上的机构正在调查同一主题，一组主题或犯罪组织的过程。

冲突是执法行动和分析活动中经常会遇到的。鉴于共享大量数据并通过社交媒体提供，分享和消除案件相关信息（例如主题信息）的需求变得越来越重要。此外，解除冲突有助于查明与犯罪嫌疑人调查有关的重复工作，并且还可避免执法人员相互调查及其秘密别名。将消除冲突纳入ROSA相关工作将有助于减少错误的调查并改善执法部门之间的信息共享。

州，地方和联邦合作伙伴正在加强三个相互关联的全国性事件冲突系统 -  RISS官员安全事件冲突系统（RISSafe™），安全自动快速事件跟踪网络（SAFETNet）以及华盛顿/巴尔的摩高强度毒品贩运区域（HIDTA）Case Explorer-应该用于ROSA相关的冲突。

通过消除冲突系统搜索的信息应与执法调查直接相关。

应在搜索之前验证数据，以确保满足进入标准，包括合法收集信息。我们强烈建议对现有的共享冲突系统进行补充培训，以确保用户正确输入，共享和提取信息。执法人员应了解其机构及其合作伙伴使用的冲突系统以及任何相关政策。

当使用消除冲突系统时，执法人员应该意识到开源信息，特别是用作大多数社交媒体网站的一部分的信息，例如名称，地址和绰号，通常可以分析某个特定帐户持有者，尽管它可能不仅仅针对一个人。可以针对参与系统之间的类似信息消除此信息的冲突，但用户必须了解冲突搜索的限制。此外，这些信息在与其他信息结合时可以成为PII，并且应该适当地处理。如果主题或组织信息不可用，则搜索中应包括其他附加的确证信息（例如，电话号码，电子邮件地址，位置）。

传递ROSA相关信息或情报

SLTT执法机构和融合中心将ROSA作为其信息收集或情报发展职能的一部分，应制定传递计划，以确定传递ROSA相关信息或情报的程序。

传递计划将有助于限制那些以符合该机构建立的知情需求和知情权要求的方式接收信息和情报的利益相关者。

传递计划应记录关于如何以及何时可以共享通过使用ROSA获得的信息和情报以及与谁共享的适当方法。传递计划应强调以保护个人隐私，公民权利和公民自由的方式妥善处理个人身份信息（PII）的重要性。例如，一个机构应定期重新评估其传递清单，以确保它们包括适当的接收者，并与通信内容保持一致。

传递注意事项

在制定ROSA相关信息和情报产品的传递计划时，SLTT执法和融合中心应考虑以下因素：

1、确保与ROSA相关的信息或情报的共享不会与正在进行的调查相冲突。

2、确保与ROSA相关的信息或情报不会被接收者误解。

在与ROSA（未分类，仅供官方使用，执法敏感等）共享信息或情报时，应适当的进行传递警告，强调只有合适的合作伙伴才能收到信息。

重新评估现有政策、程序、产品和资源

SLTT执法部门、分析人员和合作伙伴在重新评估用于执行ROSA的现有政策、程序、分析产品和资源时，应考虑经常变化的ROSA环境。 当执法和分析人员重新评估其机构的ROSA相关政策和程序时，他们应考虑以下因素：

1、与相关合作伙伴一起进行ROSA评估流程或行动后报告（AAR），以评估ROSA在特定大型公共事件，调查，紧急响应情况等结束时的有效性。

2、考虑ROSA工具的更改和更新，以及这些更改和更新在执行ROSA时如何影响工具的方法，准确性，有效性和相关性。

3、审查P/CRCL法律法规的变化，并更新相应的政策以反映变化。

4、确定含有ROSA的情报和调查产品的相关性以及该信息的传递方法。

5、解决并强调定期对OPSEC的需求。

6、使用相关的，更新的和当前的培训机制，例如网络研讨会，信息公告，分析师与分析师交流以及本地工作组。

7、了解可能影响ROSA如何以及何时开展的外部因素，例如技术使用的变化，服务的开发和使用，以及可能提高ROSA需求的事件。

ROSA相关培训

ROSA相关的培训对于具有不同知识水平的执法和分析人员都是有益的，包括对开源分析的基本理解，关于当前工具和技术的更深入的研讨会，甚至是关于网络犯罪的课程。培训对于理解开源分析以及如何在保护个人和组织的P / CRCL的同时最好地将其用于调查和公共安全至关重要。

ROSA相关的培训可以从多个执法和刑事司法实体以及各种非政府组织获得，并且可以在重点上有所不同。培训课程可能包括针对执法和分析人员的各种开源分析和与网络相关的主题，包括但不限于：

1、开源信息和智能的基础知识

2、法律要求（包括任务和权限）

3、P/CRCL保护（包括审计，监督和问责）

4、操作安全性（例如，使用秘密帐户，隐蔽方法和非归因方法）

5、开源研究的原则

6、用于开源分析的搜索和分析工具

7、开发威胁评估

8、管理ROSA产生的数据

9、批判性思维减少偏见

10、地理信息系统（GIS）

11、传播协议

12、根据隐私和ROSA政策保留信息

13、 CFR第23部分的适用性及其要求

14、收集，认证和保存调查和/或审判的证据

使用ROSA的执法和分析人员的推荐做法

在使用开源分析进行调查或执法情报目的之前，制定强有力的ROSA政策。所有政策和程序必须符合美国宪法，各州的章程以及适用的法律，规则和法规。让隐私官和法律顾问参与制定和审查与ROSA相关的机构政策。

1、确定政策，培训和支持资源，以帮助解决社交媒体内容以外语撰写或制作不熟悉的文化参考时的背景挑战。

2、举报违规或涉嫌违反代理政策的行为。

3、只关注公共安全，犯罪活动和可疑行为，而不是宪法保护的表达或活动。

4、将公开可用的社交媒体信息的收集限制在与搜索目的相关的范围内。

5、将收藏限制在相关联系人，联系人和他人的演讲中。

6、受保护的活动可能采取多种形式，社交媒体平台会塑造信息及其含义。受保护的语音可以包括文本，表情符号，图片，视频，音乐和歌词，以及“喜欢”，以及个人发布，分享，回复或转发的决定。

7、指明社交媒体只应在不考虑个人观点或说话本身的情况下收集，除非与法规或法规的执行明确相关。

8、在进行开源分析之前，先获得监督批准和监督。

9、建立ROSA活动的审计能力（例如，在进行ROSA之前，执法和分析人员可以向主管提供足够的信息来支持ROSA请求，然后可以定期审核此类请求）。

10、根据机构ROSA保留政策保留社交媒体帖子。

11、仅根据需要使用授权帐户登录社交媒体网站。

12、遵守与在线秘密活动有关的机构政策，寻求监督批准，记录执法或分析人员活动，定期审查活动，审核秘密流程和行为（包括秘密活动的授权时限）。

13、仅在代理政策允许的情况下积极参与社交媒体网站。

14、遵循您当前的政策;不得仅仅基于其宗教，政治或社会观点或活动来寻求或保留有关个人或组织的信息;他们参加特定的非犯罪组织或合法活动;或其种族，民族，公民身份，出生地，年龄，残疾，性别或性取向。

15、参加联合恐怖主义工作组（JTTF）或任何其他联邦执法工作组或在全国可疑活动报告倡议组织（NSI）中记录可疑活动报告（SAR）或信息共享环境（ISE）SAR时，不得将种族，民族，性别，国籍，宗教，性取向或性别认同视为造成怀疑的因素。但是，这些属性可以记录在特定的可疑描述中，以用于识别目的，或者直接与参与已识别的犯罪活动或企业相关。

16、在没有与潜在犯罪活动相关的特定和可明确的事实的情况下，不要认为那些支持“冒犯”观点的人是罪犯或最终将犯罪。

17、仅出于官方调查目的使用代理设备或帐户。

18、始终将社交媒体发布存储在官方批准的案例文件或记录管理系统中（而不是未经批准的外部存储或个人存储驱动器）。

19、始终在社交媒体帖子中验证似乎链接到网址的网站地址，而不是直接点击链接。

20、确保机构安全政策允许及时向利益相关者分发信息和情报产品。

21、了解该机构使用的工具的功能可能会发生变化，以及这些变更如何影响P / CRCL保护，并对该机构如何以及为何使用这些特定工具保持警惕。

查看原文PDF文档：https://it.ojp.gov/GIST/1200/File/ROSA%20Resource%20Guide.pdf

文章转载自微信公众号：丁爸 情报分析师的工具箱（公众号ID：dingba2016）

声明：本文来自丁爸 情报分析师的工具箱，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。