دور الأنظمة الذكية في إدارة أمن المعلومات
فهد عبد العزيز محمد سعيد
"تؤثر كلاً من الحدود والتعقيدات الملازمة لأي تقنية من تقنيات أمن المعلومات والإستحداث المستمر للطرق المستخدمة في الهجمات الالكترونية في شبكة الانترنت على كفاءة عمل أنظمة إدارة أمن المعلومات وتزيد المهام والواجبات المنوطة بمدراء الشبكات والمسئولين عن أمن المعلومات. من هنا تظهر الحاجة إلى بناء أنظمة ذكية لإدارة أمن المعلومات، مبنية على تقنيات الذكاء الاصطناعي ومنهجياتها لتدعم عمليات التحكم و المراقبة وإتخاذ القرارات الفورية المبنية على اليات وقواعد مبرمجة مسبقاً من قبل الخبراء وأصحاب المعرفة". بهذه العبارات افتتحت البروفسورة ماريانا هينتيا دراستها المقترحة لبناء نظام ذكي لإدارة أمن المعلومات ( Intelligent System for Information Security Management – ISISM ).
تعتبر أمن المعلومات من الأنظمة المعقدة التي يجب أخذها في الإعتبار في جميع مراحل تطوير أنظمة العمل وكيفية استخدامها من قِبل جميع العاملين عليها. ولهذا فإن المنشأت تحتاج إلى منهجية منظمة تدعم ثبات معايير الأمن خلال جميع المراحل، قائمة على أساس التنبؤ والتحليل (Reactive-based approach ) وليس فقط على معالجة الثغرات أو نقاط الضعف المحسوسة في عمل المنشأة (Proactive approach ). مع الأخذ في الإعتبار المواضيع الغير تقنية في عمل المنشأء والعاملين، تقول البروفسورة ماريانا: "بجانب أدوات التحكم التقنية الأمنية ( الجدار الناري، كلمات المرور، خطط الاسترداد من الكوارث وغيرها) فإن أمن المنشأت تتضمن عدة قضايا متعلقة بعمليات العمل والأشخاص العاملين في المنشأة مثل: السياسات و التدريب و الوعي الأمني و إجراءات العمل وغيرها من المواضيع الغير تقنية".
إن تكامل عدد من تقنيات الذكاء الاصطناعي ( Artificial Intelligent )، مثل تنقيب البيانات والشبكات العصبية الذكية (Intelligent Neural Network) و المنطق الضبابي (Fuzzy Logic) و الأنظمة الخبيرة، مع الإجراءات التقليدية والطرق الإحصائية قد تساعد في تحليل البيانات المخزنة لتدعم عمليات إدارة أمن المعلومات وإكتشاف عمليات التلاعب والتجسس. وتحسن هذه التقنيات قدرة أنظمة إدارة أمن المعلومات من ربط وتحليل الأحداث الناتجة من أنواع مختلفة من الأدوات الحديثة المستخدمة في إدارة الشبكات ومراقبتها.
إن النموذج المقترح للبروفسورة ماريانا يعتمد على بناء نظام ذكي لإدارة أمن المعلومات قائم على تكامل عدد من المجالات والعلوم المختلفة والتي تتضمن إدارة أمن المعلومات و الإتصالات الشبكية و علوم الحاسبات والذكاء الاصطناعي ونظريات التحكم الحديثة و الإحصاء و العلوم الإجتماعية و العلوم الإدارية و تحليل المخاطر و الإقتصاد. بقية المقال تشرح كيفية بناء النظام وتصميمه.
تتكون الأنظمة الذكية من جزئين أساسيين هما:
1) الجزء الداخلي ( الحسابي Computational): والذي يمكن تصنيفه إلى أربع أنظمة جزئية:
أ) المعالجة الحسية (Sensory processing ) – تستخدم الحساسات كأداة إدخال في الأنظمة الذكية وكأداة لمراقبة العالم الخارجي للنظام والنظام نفسه.
ب) نمذجة العالم أو البيئة (World Modeling) – تتضمن قواعد بيانات معرفية عن عالم النظام و وحدة محاكاة، تقوم ببناء حالة مستقبلية لعالم النظام.
ج) إنشاء السلوك (Behavior Generation) – وحدة صنع القرار، تقوم بإختيار الأهداف والخطط وتنفيذ المهام.
د) التقييم الذاتي (Value Judgment) – تقييم الحالة المدركة للنظام و الحالة المتنبأة.
2) الجزء الخارجي ( التفاعلي Interfacing): المدخلات والمخرجات من و إلى النظام الذكي تكون إما عن طريق حساسات أو مشغلات (actuators)، والتي تعتبر الأجزاء الخارجية للنظام.
طريقة العمل: تقوم المعالجة الحسية بمعالجة البيانات المسجلة من الحساسات للحصول على النموذج الداخلي لعالم النظام وحفظها، ثم يقوم نظام إنشاء السلوك بإختيار سياق التصرفات (actions) لتحقيق الأهداف وتتحكم بالمشغلات لمتابعة الأهداف السلوكية ضمن سياق النموذجِ العالميِ المحسوس. البيانات الناتجة من الحساسات تعتبر الأساس لبناء قواعد المعرفة و إكتشاف الهجمات على النظام وتوقعها قبل حصولها وكذلك القيام بإتخاذ القرارات الزمنية الفورية. الأمثلة على بيانات الحساسات تتضمن قياسات مرتبطة بأداء و أمن و حالة ما يلي:
o الأجهزة مثل أداء وحدة المعالجة المركزية (CPU) و استخدام الذاكرة و مساحة القرص المستخدمة و عدد الملفات المستخدمة في الاتصالات النشطة و عدد محاولات الدخول إلى النظام الفاشلة و عدد العمليات ( من استعلامات و تحديثات و حذف) و زمن الإستجابة للطلبات و عدد المستخدمين ذوي الامتيازات الداخلين إلى النظام في نفس الوقت و عدد التغييرات في إعدادات النظام و عدد الاتصالات المنتظِرة ونسبة استخدام ملفات النظام و مراقبة ساعة النظام (System Clock) و بروتوكولات تزامن ساعة النظام و حجم ملفات سجل النظام (Log Files) وغيرها.
o الشبكة مثل سعة الاتصال المتاحة (available bandwidth) و التأخير وطلبات الدخول إلى الشبكة و عدد المصادر الغير متاحة للإستخدام لبعض الوقت و عدد المنافذ المفتوحة و عدد العمليات على شبكة الانترنت و التغييرات في إعدادات الشبكة و عدد الحزم (Packets) الساقطة و عدد رسائل البريد الالكتروني و إستخدام بروتوكولات الاتصال وغيرها.
o الواجهات مثل إحصاءات الإستخدام (Utilization Statistics).
o البيئة المحيطة بالنظام مثل درجة الحرارة والإنذارات.
o ضمانات الأمن - Security Safeguards ( جدار الحماية و أنظمة إكتشاف التدخل و برمجيات الحماية من الفيروسات و الشبكات الشخصية الإفتراضية و التشفير) مثل عدد الاتصالات المرفوضة و عدد التحذيرات و أوقات الصيانة و عدد تحديثات البرمجيات و عدد المفاتيح المستخدمة في عملية التشفير وفكها و الدخول عن بعد (Remote Access) وغيرها.
o سياسات الأمن (Security Policies)
o خطط حالات الطوارئ و الاسترداد.
o نشاطات مدراء الأمن والشبكات ( الدخول و التغييرات في الإعدادات و تثبيت البرمجيات و تحديثها و عدد رسائل التبليغ (Notification Messages) وغيرها).
تذكر البروفسورة ماريانا بأن جميع عناصر الذكاء في النظام الذكي تقوم على العقد الوظيفية الأولية Elementary Functioning Loop (أو العميل ذاتي الإحتواء Self-containing agent ) والتي تسمح بتدفق المعلومات وإنشاء علاقات وظيفية بين مكونات النظام. الشكل التالي يوضح المكونات الأساسية للعميل ذاتي الإحتواء في أنظمة أمن المعلومات الذكية:
شكل (1) : مكونات العميل ذاتي الإحتواء ( Self-containing agent)
العميل (Agent) هي وحدات حاسوبية تتكرر عدة مرات (عقد) في النظام الذكي خلال عدة مراحل. في كل عقدة (loop) تُعالج حساسات الأمن وتحفظ المعلومات في قاعدة البيانات المعرفية للنظام. في كل مرحلة تبنى خطط وتُحدث بأفاق تخطيطية أخرى. على سبيل المثال: متغيرات التحكم قد تكون سعة الإرسال للشبكة. هذا النموذج المبني على تدرج هرمي لمتعدد قرارات (multi-resolutional hierarchy ) من العقد الحاسوبية ينتج القدرة على تحليل ظواهر التصرف والفهم والإدراك وحل مشاكل النظام وقدرته على التعلم الذاتي. إن تركيبة النظام المقترحة قائمة على بناء إطار عمل (framework) من العملاء الحاسوبيين، بحيث يكون لكل عميل خصائصه وتركيبته الخاصة به والتي تستخدم واحدة أو أكثر من تقنيات الذكاء الاصطناعي، مثل معالجة اللغات الطبيعية و الشبكات العصبية الذكية و المنطق الضبابي وكذلك تقنيات تنقيب البيانات. بالإضافة إلى الاستفادة من تقنيات البرمجة التقليدية وحزم الحلول الإحصائية لبناء تركيبة هجينة للنظام، كما في الشكل (2). إن الفكرة الأساسية من بناء هذا النظام الهجين هو تمكين النظام من القيام بمهام وظيفية مختلفة مستقلة بمعايير ومقاييس مختلفة عن الوظائف الأخرى، بالإضافة إلى تكملة نقاط الضعف في أحد النماذج بنقاط القوة في النماذج الأخرى. فعلى سبيل المثال: قد تستخدم الشبكات العصبية الذكية(Intelligent neural (network في تصنيف أنماط إستطلاعات العملاء الحاسوبيين ولكن تمرر المؤشرات الناتجة إلى أنظمة المنطق الضبابي الخبيرة (Fuzzy Logic Expert System) والتي يمكنها ترجمة المخرجات إلى شكل يدركه المستخدم العادي بسهولة.
شكل (2): مكونات النموذج للنظام الذكي
أن العملاء الحاسوبيين الذين يستطيعون تغيير أماكنهم في النظام، يسموا بالعملاء المتجولين (Mobile Agent)، والذي بإمكانهم من التحرك خلال الشبكات والقيام بمهام وظيفية وتجميع البيانات في أجهزة أخرى والرجوع إلى نقطة الأصل. وتمكن الشفرات التنفيذية ((executable code من التحرك و التفاعل مع قواعد البيانات و أنظمة الملفات و الخدمات المعلوماتية وكذلك التعامل مع العملاء الأخرين.
إن تركيبة النظام المقترحة من قِبل البروفسورة ماريانا تقوم على منهجية هجينة والتي تؤكد على المتانة و الفهم العميق لعملية إتخاذ القرارات المؤتمتة بناءاً على النماذج الذكية. إن الهدف من هذا النموذج هو تطوير وتحسين عمليات المراقبة وإتخاذ القرارات بحجم تأثيري أكبر من قدرة خبراء أمن المعلومات. بالإضافة إلى تحسين عملية إنشاء قاعدة المعرفة بخصوص التهديدات و السياسات و الإجراءات و المخاطر المتعلقة بأمن المعلومات. بالإضافة إلى إمكانية تكيف النموذج ودعمه لمعالجة الأحداث والبيانات وتصنيفهما والتي تقود إلى إمكانية التنبؤ بالهجمات و تحديد طرق المعالجة المناسبة من قبل وقوعها. تذكر البروفسورة ماريانا بأن أحد أهم مكونات تصميم النظام هو القدرة على تطوير نموذج ذكي يقوم بتحليل و ربط الأحداث والبيانات فورياً ( أي في وقت الحدوث) وذلك لزيادة إمكانيات الإكتشاف و المنع (Detection and Prevention) في تقنيات الأمن: أنظمة كشف الخداع (Intrusion Detection System) و برامج مكافحة الفيروسات و ترشيح الرسائل الدعائية وأنظمة تقييم نقاط الضعف. فعلى سبيل المثال: النماذج الضبابية (fuzzy models) يجب أن تستخدم في إدارة المخاطر (Risk Management) والتي تعتبر إحدى أهم مراحل إدارة أمن المعلومات.