1.2　情报周期

在深入研究情报周期理论之前，我认为有必要通过所谓的知识金字塔（见图1.2）来展示一下数据、知识和情报实践之间的关系。在金字塔中，我们可以看到如何通过测量将事实转换成数据，并在处理这些数据时从中提取信息。当将它们放在一起分析时，它们就可以转化为知识。这种知识与我们自己的经验相互作用，形成了我们所说的智慧的基础。这种终极智慧正是我们决策时所依赖的精髓。

如图1.2所示，我们可以将知识金字塔与广为人知的情报周期的一部分过程交织在一起。

图1.2　DIKW金字塔

简而言之，从这里我们可以推断，情报分析师必须处理数据，将其转换为智慧（情报），并最终指导行动（决策）。

传统上认为情报流程是由分为六个阶段的周期（见图1.3）组成，这六个阶段分别为计划与确定目标、准备与收集、处理与利用、分析与生产、传播与融合、评价与反馈。每个阶段都有其自身的特殊性和所面临的挑战。

图1.3　情报周期

1.2.1　计划与确定目标

第一步是确定情报需求（Intelligence Requirement，IR）。决策者需要但又不够了解的任何信息都属于这一类。

在此阶段，重要的是确定组织的关键资产、为什么组织可能成为被关注的目标，以及决策人员的安全顾虑是什么。

识别潜在的威胁、可以优先采取哪些缓解措施（通过称为威胁建模的过程），以及建立收集框架和确定收集优先级也很重要。

1.2.2　准备与收集

在此阶段可以定义和开发收集方法，以获取有关前一阶段建立的需求的信息。

重要的是要记住，我们不可能回答所有问题并满足所有的情报需求。

1.2.3　处理与利用

一旦收集了计划中的数据，下一步就是对其进行处理以生成信息。处理方法通常并不完美，情报团队能够处理的数据量总是低于已收集的数据量。数据没有经过处理就相当于没有收集，因为它们没有起到情报作用。

1.2.4　分析与生产

到目前为止，收集到的信息必须经过分析才能生成情报。有几种技术可用于情报分析和防止因分析师的偏见而导致的偏差。网络威胁情报分析师必须学会如何在分析时过滤其个人观点和意见。

1.2.5　传播与融合

在这个阶段，已经生产的情报被分发到必要的部门。在分发之前，分析师必须考虑各种情况，比如收集到的情报中最紧迫的问题是什么，谁应该收到报告，情报有多紧急，接收者需要多少细节，报告是否应该包括预防建议等。有时，可能需要针对不同的受众创建不同的报告。

1.2.6　评价与反馈

这是最后一个阶段，也可能是最难实现的阶段，主要原因是通常缺乏情报接收者的反馈。通过建立良好的反馈机制，可以帮助情报生产者评价已经生成的情报的有效性，以免他们一次又一次地重复这个流程，而不做出必要的调整来使产生的情报与接收者更加相关。作为情报生产者，我们希望自己的情报是相关的，即能帮助决策者做出明智的决策。如果不收集反馈信息，我们将不知道是否正在实现自己的目标，也不知道应该采取哪些步骤来进行改进。

这一模式已被广泛接受和采用，特别是在美国，尽管得到了广泛认可，但也有一些人对这种模式提出了直言不讳的批评。

一些人指出，目前的模式过度依赖于收集到的数据，而且技术进步使我们能够收集大量的数据。这个无止境的收集过程和更好表达所收集数据的能力，让我们相信这个过程足以让我们理解正在发生的事情。

对于情报周期，已经有了不同的建议。戴维斯（Davies）、古斯塔夫森（Gustafson）和里根（Ridgen）于2013年发表了一篇特别有趣的文章，题为“The Intelligence Cycle Is Dead，Long Live the Intelligence Cycle：Rethinking Intelligence Fundamentals for a New Intelligence Doctrine”（https://bura.brunel.ac.uk/bitstream/2438/11901/3/Fulltext.pdf），其中详细描述了被贴上“英国情报周期”标签的内容，如图1.4所示。

图1.4　情报的核心功能（JDP 2-00）（第3版）

现在，我们来学习如何定义和确定情报需求。