به نام خدا

 

    تماس با مدیر سایت/Contact  ایمیل من

 وبلاگ من



-->

رویكرد متفاوت به ملاحظات امنیتی در ابتكارات كتابخانه‌های دیجیتالی

امنیت اطلاعات ,

شنبه 17 دی 1384

چکیده :
این مقاله به بررسی جنبه های امنیتی در طراحی كتابخانه‌های دیجیتالی از منظر دیگری می پردازد. در این منظر قلمروی مجازی برای امنیت قائل نشده چون خود نفس كتابخانه مجازی مستقل از محدودیت زمان و مكان و در نتیجه ملاحظات امنیتی مربوطه نیست. نیاز به وثوق و مرجعیت و همینطور حفظ مالكیت معنوی نیاز چنین كتابخانه های دیجیتالی به دارا بودن یك برنامه امنیت دیجیتالیی را مبرم و الزامی می‌كند. سیستمهای شناسایی و پنهان نگاری دیجیتالی مورد بحث قرار گرفته و چند مثال ارائه شده است.
مقدمه:
مانند هر جامعه یا گروه اجتماعی دیگر، كتابداری ایران از الگوی رفتاری خاصی تبعیت می‌كند كه عمیقاً ریشه در پیشینه و جایگاه اجتماعی آن دارد. كتابداری در ایران شامل مجموعه بسیار ویژه‌ای از اعتقادات، قواعد عرفی كار، حقایق بدیهی و چه بسا تصورات غلط است. بسیاری از مواد درسی دانشگاهی این رشته با تغییرات اجتماعی و اقتصادی همگام نیستند و همین امر موجب شده است كه احساس كهنگی بر آن‌ها حاكم شود؛ گویی كه كتابداری در ایران از بیست سال گذشته در پشت مانعی گیر كرده. همین امر منجر به نوعی همرنگی شده است، به طوری كه مردم گویی تلاش می كنند سوار موجی شود كه از مقصد یا آهنگ آن كوچك‌ترین شناختی ندارند. بسیاری از ابتكارات در حوزه كتابخانه‌های دیجیتالی در ایران، قربانی همین امر بوده‌اند.
در علوم رایانه قانونی به نام «قانون نود - نود»[1] وجود دارد. به زبانی ساده این قانون (بعد از انطباق با شرایط ایران) می‌گوید 90 درصد طراحان كتابخانه‌های دیجیتالی (در ایران) با 10 درصد از مسائلی مواجه می‌شوند كه 90 درصد اوقات نادیده می گیرند. به استثنای كتابخانه‌های دیجیتالی كه حای مواد دیجیتالی هستند و این مواد را در اختیار گروه ویژه‌ای از كاربران (اكثرا اداره امنیت ملی، اداره اطلاعات، ضابطین قضایی) قرار می‌دهند، برنامه‌ریزی برای كتابخانه‌های دیجیتالی باید مبتنی بر مدل «مدل بازار» باشد. به عبارت دیرگ برنامه‌ریزی برای یك كتابخانه دیجیتالی در صورتی با موفقیت مواجه می‌شود كه مشتریان را به مثابه مراجعان در نظر بگیرد و به موضوعاتی همچون وفاداری به كتابخانه، حفظ مشتری و توسعه بازار مناسب، توجه داشته باشد. همه اینها موضوعاتی هستند كه طراحان كتابخانه‌های ایران عموماً با آن‌ها غریبه هستند. در اینجا بحث «گذار»[2] در مقابل «دگرگونی»[3] پیش می‌آید، بدین معنا كه ممكن است برنامه‌ریزی برای كتابخانه‌های دیجیتالی، بیشتر ناشی از لزوم ایجاد و توسعه منابع و قابلیت‌های جدید باشد، تا دگردیسی تراكنش‌های اجتماعی رایج در گردآوری، ذخیره و پردازش اطلاعات. این امر الزاماً منجر به جابه‌جایی صرف فرایندهای كتابخانه‌ای متداول در حوزه دیجیتال می‌‌شود. مشكلی كه در اینجا پیش می‌آید این است كه با توجه به ماهیت كلی فناوری _ محور[4] در كتابخانه‌های دیجیتالی، دو موضوع پایداری و امنیت در درجه اول اولویت قرار می‌گیرند.
اگر از فرایند توسعه محصول به عنوان قرینه‌ای برای برنامه‌ریزی كتابخانه‌ای استفاده كنیم، آنگاه باید موضوع هزینه‌های چرخه عمر را مدنظر قرار دهیم. در اقتصادهای دولتی مانند اقتصاد جمهوری اسلامی ایران، هزینه‌های چرخه عمر[5] تجملی هستند؛ زیرا اكثر كتابخانه‌ها با ختصیص مستقیم اعتبارات دولت سر پا مانده‌اند. از دیدگاه بازرگانی، هزینه چرخه عمر بر مبنای میزان مشتری‌مداری و درآمد، برآورد شده (هم اصل درآمد و هم مستمر)، تعیین می‌شود. سپس خود چرخه عمر، بازده سرمایه‌گذاری یا رخنمون[6] بازگشت سرمایه[7] را مشخص می‌كند. همین رخنمون است كه هم گستره و هم عمق ارتقا[8] را نشان می‌دهد.
سیستم عاملی كه برای كتابخانه دیجیتالی در نظر گرفته‌ایم چه بسا بیشتر از 5، 10 یا 15 سال كارآیی نداشته باشد. با توجه به آهنگ پیشرفت، روش‌های دیجیتالی كردن و اسكن بعضی از مواد دیجیتالی كتابخانه ممكن است به لحاظ فناوری كارآیی خود را از دست بدهند. اگر موزه‌ای داشته باشیم كه دارای یك كتابخانه دیجیتالی است، مجموعه‌های آن موزه، كه اساساً از مثلاً قطعات تصویری 24 بیتی اسكن می‌شوند، باید با استفاده از مجموعه كاملاً متفاوتی از استانداردها یا ابزارهای خاص (مثلاً اسكن لیزری سه‌بعدی با قدرت تفكیك بالا)، مجدداً دیجیتالی شوند. در اینجا به ناگزیر در فرایندی قرار می‌گیریم كه در آن، انتظار می‌رود محتویات كتابخانه را با تغییرات فناوری و نیازهای مراجعان سازگار كنیم. این فرایند، حوزه چالش برانگیزی است كه حتی شاید بر ابتكارات مربوط به حفظ مواد دیجیتالی اثر بگذارد. شیوه‌عای ذخیره مواد به روش‌های مغناطیسی و نوری ممكن است خیلی زود از مد بیفتند. حتی اگر از استاندارد «تمپست»[9] برای حفظ داده‌های مغناطیسی استفاده كنیم، باز هم به مرور و بر اثر پدیده میرایش مغناطیسی ناشی از استفاده مكرر، داده‌ها تخریب می‌شود. این بدان معنا است كه برای حصول اطمینان از در دسترس بودن مداوم مجموعه برای مراجعان، سخت‌افزار، نرم‌افزار و نیز مطالب كتابخانه باید همواره مورد بهسازی و ارتقار قرار گیرد.
محافظت از داده‌های دیجیتالی جنبه مهمی است كه در اكثر ابتكارات كتابخانه‌های دیجیتالی در ایران، به آن توجه نمی‌شود. یكی از مؤلفه‌های مهم در همان ده درصدی كه طراحان در نود درصد اوقات نادیده می‌گیرند، امنیت است.
هرگاه سخن از امنیت به میان می‌آید ذهن ما ناخودآگاه به طرف ورود بدون مجوز، دستبرد به اطلاعات، و وحشت‌آفرینی رایانه‌ای[10] كشیده می‌شود. اگرچه توجه به موارد فوق در همه ابتكارات مربوط به ایجاد دارایی‌های شبكه‌ای معتبر است، اما این‌ها تنها مشتی نمونه خروار هستند.

مفاهیم امنیت
امنیت در رابطه با افراد مختلف، معانی متفاوتی دارد و در بسیاری از زبان‌ها و فرهنگ‌ها این كلمه دارای بار معنایی متفاوتی است.
در زبان فارسی این كلمه دارای مضامین متفاوتی است كه مفاهیمی از نفوذناپذیری گرفته تا ایمنی و مقاومت را شامل می‌شود. شاید تاریخ ما با این امر مرتبط باشد. مروری اجمالی بر كلمه “secure” در سایت Dictionary.com معانی زیر را به دست می‌دهد:
1. رها از خطر یا گزند: دژ مستحكم (Secure castle)
2. رها از خطر از دست رفتن؛ گاو صندوق: نوشته‌هایش در گاوصندوق در امان بودند. (مثال انگلیسی)
3. رها از خطر ردگیری، استراق سمع یا خبرچینی به وسیله اشخاص غیرمجاز: فقط یك خط تلفن در سفارت امن بود (مثال انگلیسی)
4. بدون ترس، اضطراب یا تردید
5. الف: بدون احتمال شكسته‌شدن یا خم‌شدن؛ محكم: نردبان آهنی محكم (مثال انگلیسی)
ب: محكم بسته شده: قفل سفت (مثال انگلیسی)
6. مطمئن؛ قابل اعتماد: سرمایه‌گذاری مطمئن (مثال انگلیسی)
7. قطعی؛ مسلم: با سه گل زده شده در نیمه اول، پیروزی آن‌ها قطعی بود: (مثال انگلیسی)
این فهرست به همین جا ختم نمی‌شود، اما برای رعایت اختصار، به ذكر همین هفت تعریف بسنده می‌كنم. اگرچه كتابخانه دیجیتالی را ممكن است به غلط، فضایی برای ذخیره اطلاعات فیزیكی خاص تعریف كرد، اما رعایت ملاحظات امنیتی در كتابخانه‌های دیجیتالی نیز همانند كتابخانه‌های فیزیكی الزامی می‌باشد.
تأسیس كتابخانه در دنیای فیزیكی و واقعی، نیازمند رعایت قواعد فراوان عملیاتی و ساختمانی است كه نیازی نیست كتابداران به همه آن‌ها واقف باشند، بلكه فقط آگاهی از آن دسته كه ممكن است بر فرایندهای تحت مسئولیت او اثر بگذارند كافی است. با این حال، امنیت یك كتابخانه دیجیتالی تابع ساختمان مجموعه منابع، كاركنان، مراجعان آن، و نیز صدها عامل دیگری است كه روی هم رفته موجب می‌شوند آن كتابخانه چیزی بیشتر از مجموع بخش‌های تشكیل دهنده آن باشد. مفهومی كه در اینجا به كار می‌رود «امنیت سازمانی» است. «امنیت سازمانی» به معنای مجموعه‌ای از مهارت‌های مرتبط به هم _ شامل ارزیابی تهدید، كاهش تهدید، امنیت فیزیكی، امنیت عملیاتی، و پرهیز از شكست _ است. امنیت سازمانی تلویحاً به معنای وجود نوعی «طرح مدیریت مخاطره»[11] در زمان مواجهه با حوادث است.
فقط معدودی از كتابخانه‌ها در ایران - اگر نگوییم هیچیك از آن‌ها - دارای یك پروتكل امنیت سازمانی هستند. با وجود این به نظر می‌رسد كه همه كتابخانه‌ها به سوی دیجیتالی شدن، مشتاقانه با یكدیگر مسابقه گذاشته‌اند. بعضی از آن‌ها بدون این كه به حفاظت مجموعه‌های خود توجه داشته باشند به سوی دیجیتالی شدن پیش می‌روند و بعضی دیگر به موضوعات پراكنده‌ای نظیر جبران تغییر نحوه استفاده كاربران، افزایش تنوع در شیوه‌های ارزیابی اطلاعات یا ارایه مؤثر اطلاعات توجه دارند. رویكرد آن‌ها - هر دلیلی كه داشته باشد - در صورت فقدان پروتكل امنیت سازمانی، ضربه‌پذیر خواهد بود.
ترسیم «طرح امنیت كتابخانه دیجیتالی (دی ال اس پی)»[12] به معنای استخدام یك مامور سابق اداره اطلاعات نیست، اما قرار دادن همه اطلاعات در سبد تحلیل امنیت رایانه‌ها، این كار را ایجاب می‌كند. بعضی بسیار تمایل دارند كه كتابخانه مجازی را معادل كتابخانه دیجیتالی بدانند، اما این فقط نوعی بازی با كلمات است؛ زیرا حتی اگر چیزی به اندازه اندیشه بشری گذرا باشد، باز هم برای موجودیت خود نیازمند یك مغز فیزیكی است. شاید كتابخانه دیجیتالی دارای مكان واحد و خاصی بنا شد، اما باز هم باید در مكان فیزیكی خاصی (حال یا یك دیسك سخت یا یك مجموعه سرور) مستقر باشد تا بتوان آن را پردازش كرد. «دی ال اس پی» هم از بخش‌های فیزیكی و هم از فرایندهای تشكیل دهنده یك كتابخانه دیجیتالی تشكیل می‌شود.
«دی ال اس پی» نوعی فعالیت در شناخت آسیب‌پذیری‌های احتمالی، به حداقل رسانیدن آن‌ها یا دست كم از جذابیت‌انداختن آن‌ها برای حمله‌كنندگان احتمالی است. از سوی دیگر، هیچ گاه نمی‌توانید به امنیت صد در صد دست پیدا كنید. آنچه كه غالباً در این راستا انجام می‌شود انجام ممیزی امنیتی برای برجسته‌كردن این آسیب‌پذیری‌ها است. نتایج این ممیزی باید محرمانه باشد. حسابرسی امنیتی از این دست، در سطوح متفاوتی انجام می‌گردد و كاركنان، سیستم‌های اطلاعاتی، ساختمان فیزیكی، انتشار مطالب و دستیابی به آن‌ها را شامل می‌شود. این نوع حسابرسی دو فهرست در اختیار شما قرار می‌دهد:
1. فهرست خطرات و آسیب‌پذیریها،
2. فهرست كنترل‌های ممكن و اقدامات پیشگیرانه.
این دو فهرست، ابزارهای در اختیار می‌گذارند كه می‌توانید به وسیله آن‌ها برای راه حل‌های ممكن، تحلیل هزینه - فایده انجام دهید. یك كتابخانه دیجیتالی كه به موضوع سم‌شناسی بالینی و پروتكل‌های درمانی بیماران می‌پردازد نسبت به مثلاً یك كتابخانه دیجیتالی آموزشگاهی نیازمند سیستم‌های ضربه‌ناپذیر و مقاوم‌تری است. هر یك از حساسیت‌ها را می‌توان بر مبنای اهمیت فرایند، امتیازبندی كرد تا در نهایت، بده‌بستان[13] مناسبی برای كنترل و بهره‌وری ایجاد شود.
اگر به تعریف قبلی خود از امنیت برگردیم و آن را در مفاهیم مشترك عملیات و فرایندهای كتابخانه‌ای به كار بگیریم می‌توانیم به نوعی معیار اساسی برای وضع سیستم مدیریت مخاطره و «دی ال اس پی» برسیم.
«رها از گزند و خطر» را می‌توان به محیط یا پروتكل‌های عملی ایمن، و احتمال بروز حوادث در كتابخانه تعبیر كرد. «فاقد خطر صدمه» را می‌توان به مثابه اجرای كنترل محافظتی در نظر گرفت. كنترل محافظتی ممكن است اجرای مثلاً یك رمز دیجیتالی برای گاوصندوق (نظیر رمزهایی كه در بانك‌ها برای حفاظت از داده‌های مهم به كار می‌رود) یا ایجاد توانایی در سیستم برای ساخت مجدد منبع از‌دست‌رفته را شامل شود. در هر حال اگر «دی ال اس پی» برای یك كتابخانه دیجیتالی كه شامل مجموعه غیردیجیتالی هم هست طراحی شود، آنگاه باید دارای چنین پروتكل‌های حفاظتی برای چنین مواردی باشد مثلاً اگر مجموعه‌های دست نوشته‌ها دیجیتالی شوند، باید در مخزن امنی نگهداری و ذخیره شوند كه ممكن است كتابخانه فیزیكی، دارای آن مخزن نباشد.
عاری از خطر استراق‌ سمع به وسیله اشخاص غیرمجاز: این معیار درست مانند طبقه‌بندی مراجعان در یك كتابخانه فیزیكی، به منظور مدیریت دستیابی به مجموعه‌ها است. از سوی دیگر در یك سازمان، این امر به معنای طراحی مجوز برای كاركنان به منظور دستیابی به اطلاعات است. در كتابخانه‌های خودكار، برای این كار لازم است كه مراجعان از بعضی حقوق خود چشم‌پوشی كنند تا اجازه یابند به اطلاعات دست یابند. در اینجا اطلاعات مربوط به نحوه كار آن‌ها، به طور خودكار جمع‌آوری و سپس ذخیره می‌شود. پس در یك مفهوم، مراجعان در برابر دستیابی به منابع اطلاعاتی یا خدمات، بخشی از مسائل شخصی خود را در اختیار كتابخانه می‌گذارند و از این نظر هیچ تفاوتی بین درخواست عضویت در یك كتابخانه با درخواست كارت اعتباری وجود ندارد. در هر حال باید اطمینان حاصل نمود كه اطلاعات به دست آمده از این طریق، در اختیار اشخاص ثالث قرار نمی‌گیرد. اگر دستیابی و انتشار اطلاعات به صورت الكترونیكی در سیستم‌های باز (نظیر اینترنت) انجام می‌گیرد، لازم است از الگوریتم‌های مطمئن ارتباطی استفاده شود.
عاری از ترس، اضطراب و تردید: به نظر من این امر مهم‌ترین جنبه در برنامه‌ریزی امنیتی برای یك كتابخانه دیجیتالی است. در كتابخانه‌های فیزیكی ما غالباً به این امر توجه نمی‌كنیم كه بسیاری از مراجعان، كتابخانه را محیط امنی می‌دانند كه مجموعه‌هایش، به مثابه داور تردیدها عمل می‌كنند. تبدیل این مشخصه به حوزه دیجیتال (یعنی حوزه‌ای كه در یك مفهوم، وظیفه اثبات و تأیید در آن، به عهده كاربران است) بسیار اهمیت دارد. برای این كار لازم است سرمایه‌گذاری بیشتری بر محیط رابط گرافیكی (جی‌یو‌ای)، اطلاعات كمكی دوسویه، و نمایش محرمانه اطلاعات بشود. سیستم‌هایی برای تأیید مطالب پیشنهاد شده‌اند، اما این سیستم‌ها، ممكن است بسیار پرهزینه باشند. بعضی از آن‌ها نیز به بررسی مكانیسم‌هایی پرداخته‌اند كه مشابه مكانیسم‌های به‌كار رفته در تجارت الكترونیكی هستند. شاید یكی از راه‌حل‌های ممكن، ایجاد یك واسطه تأیید (وریبات)[14] باشد. «وریبات» برنامه نرم‌افزاری مطمئنی است كه كاربران می‌توانند با استفاده از آن، دریابند كه آیا مطالب دریافت شده از طریق اینترنت حقیقتاً برای انتشار توسط كتابخانه خاصی تولید شده، نگهداری شده و تأیید می‌شوند یا خیر. در حقیقت در دوره زمانی كه یك سند دیجیتالی می‌تواند بدون اطلاع نویسنده در چند مكان مختلف وجود داشته باشد، مدیریت مطالب و مدیریت حقوق دیجیتال، دشوارترین وظیفه «دی ال اس پی» است. مشكلی كه در اینجا وجود دارد ایجاد توازن مبهم میان لزوم تأمین دستیابی آسان به اطلاعات و حصول اطمینان از حمایت قانونی مؤلف است.

محافظت از مطالب دیجیتالی
برخلاف مواد آنالوگ، همه كپی‌های مواد دیجیتالی اصل هستند. فناوری جداسازی و تنسیخ[15] مواد دیجیتالی آنقدر ارزان است كه در ذهن نیز نمی‌گنجد. دی‌وی‌دی‌های جعلی در ایران با قیمتی اندك (معادل ده دلار امریكا) به فروش می‌رسند. حتی بعضی از نسخه‌های غیرمجاز به گونه‌ای طراحی می‌شوند كه در همه دستگاه‌های دی‌وی‌دی‌خوان قابل نمایش باشند. اما تنها دی‌وی‌دی‌ها آماج این كار نیستند، بلكه مجوزهای گران‌قیمت نرم‌افزارها، موجب پدید آمدن رمز‌شكن‌ها[16] شده‌اند.[17]
عناوین نرم‌افزاری بسیاری هستند كه در اصل هزاران دلار قیمت دارند اما در ایران به ازای هر سی‌دی دو دلار به فروش می‌رسند. اكثر این مواد دیجیتالی دارای محافظ‌های محكم نظیر شماره سریال، لوازم فعال‌سازی درون‌خطی و ... هستند. با وجود این باز هم این مواد، قفل‌شكنی می‌شوند. حال اگر ما كتابخانه دیجیتالی ملی موسیقی تأسیس كنیم و سپس دریابیم كه مطالب دیجیتالی ما (كه غالباً نیز به طور رایگان در اختیار همگان قرار می‌گیرد) توسط شخص ثالثی جعل شده و با هدف كسب سود مالی در اختیار دیگران قرار می‌گیرد هرگاه مجموعه‌ها دارای مواد دیجیتالی باشد كه كپی آنها نوعی تخلف از حقوق چاپ محسوب شود و منجر به امتیازنامه‌های چندان مطلوب گردد آنوقت چه باید بكنیم؟ مساله فار آنجا كه مواد دیجیتالی مستعد حك و اصلاح هستند بسیاری از دادگاه‌های ایران آن‌ها را مدرك مستندی نمی‌دانند، مگر زمانی كه بتوانید سند مستدلی ارائه كنید كه نشان دهد مالك اصلی آن هستید. حتی زمانی كه فردی به جرم تكثیر غیرمجاز مواد دیجیتالی خود دستگیر می‌كنید باز هم باید دشواری‌های زیادی را متحمل شوید تا سوء نیت عمدی ان فرد را ثابت كنید. به عنوان مثال در ایران، بسیاری از مجلات و روزنامه‌ها برای چاپ عكس‌ها، تصاویر و نیز چهره‌ها از اینترنت بهره می‌گیرند و فقط معدودی از آن‌ها به مقاله اصلی یا مالك اصلی آن ماده اشاره می‌كنند و به استثنای مؤسسات خبری، عملاً هیچیك از آن‌ها حق امتیاز پرداخت نمی‌كنند. در ایران نهادی به نام سندیكای روزنامه‌نگاران وجود ندارد و در نتیجه روزنامه‌ها هیچ مسئولیتی در قبال پرداخت حق كمیسیون برای ستون‌های منتشره، یا تغییر مطالب سازمان‌های خبری مهم مانند «سی ان ان» ندارند.
برای كتابخانه دیجیتالی ویژه‌ای كه نیازمند اعتماد مداوم مراجعان خود به مطالب مجموعه منابعش می‌باشد، نه تنها حمایت از مواد مجموعه در برابر سارقان، بلكه برای اطمینان دادن به كاربران خود از اصالت آن‌ها، ضروری است. اما بهترین شیوه انجام این كار كدام است؟
یك شیوه، استفاده از پوسته امنیتی برای ارسال مواد دیجیتالی است. پوسته امنیتی زمانی فعال می‌شود كه مراجعان در همه جا به كتابخانه دیجیتالی متصل شوند و موافقت خود را در پیروی از پروتكل‌های مدیریت حقوق دیجیتال اعلام كنند. یك نوع از این سیستم‌ها در شركت‌هایی نظیر «نت لایبرری»[18] به كار می‌رود.

 

 

 

 در روزهای اولیه استفاده از «نت لایبرری»، مراجعین می‌بایست ابتدا نرم‌افزاری را پیاده می‌كردند تا بتوانند مواد را بخوانند. موادی كه از طریق الكترونیكی امانت داده می‌شدند با یك مهر زمانی پیاده می‌شدند. این مهر باعث می‌شد دستیابی كاربر به مواد مزبور بعد از اتمام آن زمان خاص ناممكن گردد. برای امانت گرفتن مواد، بیشتر مراجعین مؤظف بودند ماده قبلی را برگردانند یا آن را مشاهده كنند. بعدها «نت لایبرری» سیستم درونخطی را برگزید و لازم بود كه كاربر، مواد را به صورت درونخطی بخواند. به هر كاربر یك قفسه مجازی[19] كتاب داده می‌شد تا بتواند ماود مورد علاقه خود را ذخیره كند. حتی علائمی نیز ابداع گردیدند كه به صورت درونخطی ذخیره می‌شدند. كاربران می‌توانستند بر مبنای ایجاد حق انحصاری اثر برای طرح فردی، كپی‌هایی به تعداد معین تهیه كنند. در هر حال این سیستم دارای ویژگی منحصر به فردی بود كه كپی‌برداری سیستماتیك را كنترل می‌كرد. سیستم قادر است كتاب‌های الكترونیكی را به صورت‌های متفاوت و نیز در قالب پی‌دی‌اف نشان دهد. شكل 1 صفحه‌ای از این سیستم را نشان می‌دهد.
در هر حال باید توجه داشت كه چنین پوسته امنیتی لزوماً با حق محرمانه بودن مسائل شخصی مغایرت دارد.
سیستم دیگری كه برای ارسال مواد به كار می‌رود «آریل»[20] نام دارد. «آریل» سیستمی است كه توسط «گروه تحقیقات كتابخانه‌ای» برای ارسال الكترونیكی مواد اسكن شده، ابداع شده است. در هر حال هرگاه در این سیستم، مواد را اسكن و ارسال كنند، دیگر به هیچ روی امكان كنترل كپی‌برداری‌های آتی مواد وجود ندارد. برای مواد بصری مانند تصاویر، شركت‌هایی نظیر «كوربیس»[21] از سیستمی استفاده می‌كنند كه تصاویر را به صورت قطعات كوچك و با عنوان تجاری حك شده بر روی آن‌ها نشان می‌دهد؛ تصاویر از كیفیت كافی برخوردارند و خریدار احتمالی می‌تواند بر اساس آن‌ها درباره سفارش نسخه اصلی تصمیم‌گیری كند. اما هرگاه نسخه اصلی به دست آید می‌توان آن را كپی كرد و منتشر نمود.
بنابراین لازم است به دنبال جستجوی شیوه‌ای برای نشانه‌گذاری مواد دیجیتالی بود كه در عین حالی كه كیفیت آن‌ها را پایین نیاورد اصل‌بودن آن‌ها را نیز تضمین كند. با توجه به ماهیت دیجیتالی مواد مورد نظر، چنین نشانه‌گذاریهایی كاملاً امكان‌پذیر است. نشانه‌گذاری مدیران كتابخانه‌های دیجیتالی را قادر می‌سازد جعل بودن آن‌ها را تشخیص دهند.
یكی از شیوه‌های نشانه‌گذاری، پنهان‌كردن داده‌های معینی (مجموعه، ناشر، مؤلف، تاریخ دیجیتالی شدن، و ...) است كه اصالت ماده را در خود ماده دیجیتالی نشان می‌دهند. این شیوه پنهان‌كردن داده‌ها، پنهان‌نگاری[22] نامیده می‌شود. این واژه در اصل، یونای و به معنای «نگارش پوشیده»[23] است. اسناد حقوقی دولت مانند پول‌های كاغذی یا اوراق قرضه كوتاه مدت دارای داده‌هایی هستند كه در خود آن‌ها مخفی است و اصالت آن‌ها را نشان می‌دهد. مثلاً پاسپورت‌های ایران دارای مشخصات امنیتی مخفی (داده‌های پنهان) است كه در زیر نور «یو وی»، آشكار می‌شوند. شركت آلمانی زیمنس نیز یك سیستم تأیید ویزا در جلسه ملاقات سران جامعه اطلاعاتی عرضه كرد كه به وسیله آن، داده‌هایی مانند نام دارنده ویزا، آدرس او، مشخصات فیزیكی، و حتی تصویر او در ویزا حك می‌شود.
حك كردن یك نشانه دیجیتالی در یك ماده دیجیتالی «فیلیگران» مهر یا نشانه‌گذاری دیجیتالی[24] نامیده می‌شود. به دو طریق می توان نشانه‌گذاری دیجیتالی را انجام داد:
1. قابل مشاهده: نشانه دیجیتالی به طور عینی قابل مشاهده باشد.
2. غیر قابل مشاهده: نشانه دیجیتالی پنهان باشد.
 

مهم‌ترین مرحله نشانه‌گذاری، تولید نشانه است. نشانه شامل اطلاعات منحصربه‌فردی درباره مالك مواد دیجیتالی است. بعضی از كتابخانه‌های دیجیتالی دولتی‌ (مانند آن دسته كه با مقولات امنیت ملی سر و كار دارند) برای تولید چنین نشانه‌هایی از منابع ایمن خدشه‌ناپذیری استفاده می‌كنند. اما هزینه تولید نشانه‌های ویژه و تأییدكننده اصالت سند برای اكثر كتابخانه‌های دیجیتالی كمرشكن است. در نتیجه غالباً پیشنهاد می‌شود این خدمات را از خارج از كتابخانه و مثلاً از شركت‌هایی اخذ كنند كه این خدمات را عرضه می‌كنند. این شركت‌ها نه تنها امضاهای خاص و الگوریتم‌های پنهان تولید می‌كنند، بلكه نرم‌افزاری نیز برای خواندن آن‌ها ارائه می‌دهند. یكی از انواع این نرم‌افزارها، «دیجیمارك» (متعلق به شركت مدیابریج)[25] است. كه یك تصویر اسكن‌شده یا عكس‌برداری شده از ماده مورد نظر تهیه می‌كند و سپس نشانه پنهان شده در آن را می‌خواند. اگر قبلاً نشانه سند به وسیله همین نرم‌افزار تولید شده باشد، شامل اطلاعاتی خواهد بود كه به عنوان یك شاخص منحصر به فرد عمل می‌كند. این شاخص در سرور «دیجیمارك» جستجو می‌شود و به یك لینك وب اشاره می‌كند. سپس این لینك باز می‌شود و اطلاعات مربوط به مؤلف یا تصویر، نشان داده می‌شود و حتی نرم‌افزار لازم ذخیره می‌گردد. این فرایند بدون مشاركت بیشتر كاربر یا ارائه اطلاعات از طرف او، و در حقیقت به طور خودكار انجام می‌شود. گفته می‌شود كه نشانه مانند «پلی» بین تصویر و اطلاعات عمل می‌كند. دن از این رو است كه در نام این نرم‌افزار و شركت نیز این واژه گنجانده شده است. اخیراً در بازار، چندین نرم‌افزار عرضه شده‌اند كه می‌توانند به مدیران مجموعه‌ها درحك‌كرد نشانه‌های مختلف در مواد دیجیتالی كمك كنند.

بسیاری از این نرم‌افزارها در جهت محافظت از مواد متنی و تصویری طراحی شده‌اند، اما نرم‌افزارهای معدودی نیز وجود دارند كه می‌توان برای نشانه‌گذاری برنامه‌های جریان دیجیتال[26]، دی‌وی‌دی[27]، دیجیتال اودیو[28] و نیز سی‌دی‌رام[29] به كار گرفت. در حقیقت نشانه دیجیتالی در یك نرم‌افزار نقش كنترل‌كننده دستیابی را ایفا می‌كند. در این سیستم، نشانه دیجیتالی در نشانه كاغذی نقش می‌شود. سی‌دی‌رام حاوی برنامه‌ای است كه می‌تواند چنین نشانه‌های دیجیتالی را تشخیص دهد. برای دستیابی به سی‌دی‌رام، لازم است كه كاربر این برنامه را اجرا كند، سپس نشانه كاغذی حاوی نشانه دیجیتالی را اسكن كند و در صورتی كه اجازه خواندن مطالب را داشته باشد، مطالب سی‌دی‌رام را به صورت رمزگشایی شده[30]، برای استفاده بر روی نمایشگر مشاهده كند.‌ البته بسته به اهمیت اطلاعاتی كه منتشر می‌گردد یا در اختیار كاربران نهاده می‌‌شود باید از یك یا چند برچسبی استفاده كرد كه به بهترین نحو، متناسب با ملاحظات امنیتی باشند. «دی ال اس پی» چند پارامتر عملیاتی را در اختیار می‌گذارد. به عنوان مثال در مورد اسناد حقوقی، نشانه نه تنها حاوی داده‌های مجموعه است، بلكه حتی ممكن است حاوی داده‌های مربوط به ترمینال‌های انتقال دهنده و دریافت كننده نیز باشد. مثلاً در «آریل»، سند عرضه شده ممكن است شامل اطلاعات مخفی درباره سفارش مورد نظر، و شخصی كه آن را سفارش داده نیز باشد.
باید آگاه بود كه هر چه قدرت مقاومت یك نشانه در برابر جعل بیشتر باشد، هزینه طراحی و بازبینی آن نیز بیشتر خواهد بود. «دی ال اس پی» نشان می‌دهد كه كدام بخش مجموعه دیجیتالی نیازمند مقاومت در برابر استعمال است و كدام بخش نیاز به مقاومت ندارد. كلید این كار ایجاد توازن بین اقدامات مؤثر فعال، و اقدامات مؤثر انفعالی است. برای پیشگیری از تقلب، نشانه محكمی لازم است. با وجود این، استفاده از نشانه‌هایی كه تا حدودی در مقابل جعل شدن مقاومت می‌كنند، مفید و كم‌هزینه است. این نوع نشانه‌ها، نشانه‌های شكننده نامیده می‌شوند. همه نشانه‌های شكننده در هنگام تكثیرهای بدون مجوز می‌شكنند، مگر سخت‌ترین آن‌ها.
باید توجه داشت كه فرد متقلب در هنگام كپی برداری از سندی كه دارای امضای دیجیتالی است، غالباً از شیوه‌هایی مانند فشرده‌سازی با پرت بالا[31] (تغییر قالب تصویر)، حشو زوائد[32]، یا پیكسل كردن مجدد[33] استفاده می‌كند. با این شیوه‌ها ممكن است نشانه دیجیتالی كشف شود یا از كار بیفتد.
در اینجا نیز موضوع رعایت ملاحظات امنیتی در برابر جریان آزاد اطلاعات، در درجه اول اهمیت قرار می‌گیرد. همان‌گونه كه قبلاً نیز ذكر شد نگرانی‌هایی درباره افشای مسائل شخصی افراد هست. من شخصاً معتقدم كه بین نشانه‌گذاری دیجیتالی و حفظ مسائل شخصی هیچ مغایرت خاصی وجود ندارد، بلكه این دو، حوزه‌های كاملاً متفاوتی را شامل می‌شوند. «وریساین»[34] یك شركت كالیفرنیایی امنیت اینترنتی است كه در برابر حق عضویت سالانه 95/14 دلار امریكا به هریك از كاربران یك شناسه[35] دیجیتالی می‌دهد. این شناسه‌های دیجیتالی را می‌توان یا به نشانی الكترونیكی كاربران ارسال كرد و بدین طریق اطمینان حاصل نمود كه فقط كاربر مورد نظر آن را دریافت می‌كند، یا برای رمزگشایی محتوای نشانی الكترونیكی و پیوست‌های آن، مورد استفاده قرار داد. در «دی ال اس پی» سیستم مشابهی وجود دارد كه به وسیله آن، كاربران با شناسه‌های دیجیتالی كه دریافت می‌كنند نه تنها قادرند نشانه مطالب ذخیره شده را تغییر دهند، بلكه می‌توانند داده‌ها را به گونه‌ای نشانه‌دهی كنند كه تكثیر‌های مجاز (یا غیرمجاز) را تشخیص دهند.
افزون بر این، این احتمال وجود دارد كه مواد شما در نشریات دیگر (چه نشریات وب یا دیگر نشریات) مورد استفاده قرار گیرند و خواننده بخواهد به اصالت آن مواد پی ببرد. كتابخانه‌های دیجیتالی ابزارهایی در اختیار كاربران قرار می‌دهند كه توسط آن‌ها كاربران می‌توانند به اصالت مواد پی ببرند بدون این كه به نشانه‌های شكننده داده‌های كلیدی، آسیبی وارد كنند. در حقیقت «وریبات» برای همی كار ابداع شده بود. در هر حال اخیراً هیچ استاندارد دقیقی برای ایجاد چنین واسطه‌هایی وجود ندارد و برای این منظور ممكن است از روش‌های تجارت الكترونیكی مانند تأیید و رمزگشایی درونخطی «اس اس ال» استفاده شود.
«شوتایم عربیا»[36]‌ شركت پیام‌پراكنی در امارات متحده عربی است كه از كارت‌های هوشمند برای رمزگشایی و ارسال برنامه‌های خود استفاده می‌كند. دوره فعال‌سازی فقط یك ساله است. در هر حال امكان استفاده از همین فناوری برای افشای مسائل شخصی افراد وجود دارد. سیگنال مورد نظر ممكن است دارای نشانه حك‌شده‌ای باشد كه حامل داده‌های منحصر به فرد كارت هوشمند باشد. بنابراین حتی اگر فردی یك كپی از این برنامه تهیه كند، باز هم امكان ردیابی آن وجود دارد. شكل 4 یك نمونه از این سیستم را نشان می‌دهد. این نمونه برای تأیید و اثبات برنامه‌های دیجیتالی اختصاص داده شده است. این فرایند به طور كلی «انگشت‌نگاری دیجیتالی» نامیده می‌شود. انگشت‌نگاری دیجیتالی یكی از شیوه‌های ردیابی كپی‌های غیرقانونی است. سیستم‌هایی نظیر آن‌هایی كه مورد تحقیق «ان اچ كی» قرار گرفتند دارای سرمایه‌گذاری‌های اولیه كلانی هستند، زیرا برای حك داده‌ها در نشانه‌ها، الگوریتم‌های امنیتی متعددی به كار می‌رود. نشانه‌های هر یك از مواد دیجیتالی، متفاوت از نشانه‌های دیگر مواد دیجیتالی است. این نشانه‌ها دارای مقاومت امنیتی هستند و حتی در برابر جعل از نوع دیجیتال به آنالوگ و كاربردهای دیجیتالی مجدد، مقاومت می‌كنند
 

 

 

(Courtesy of Japan Broadcasting Systems NHK)



هر مقداری كه «دی‌ال‌‌اس‌پی»، شما از پروتكل ضد جعل یا ضد تكثیر غیرمجاز برخوردار باشد، باز هم در هنگام استفاده در سیستم شما، باید دارای شرایط زیر باشد:
شفافیت: نشانه‌گذاری نباید به كیفیت محتوای ارسال‌شده (چه تصویر باشد یا مواد سمعی و بصری یا متن)، لطمه وارد كند.
مقاومت: داده‌های نشانه باید زمانی كه در معرض تحریف‌ها یا تغییر شكل‌های متفاوت (از جمله خرابی سیستم حمل و نقل اینترنت، فشرده‌سازی و رپیكسل شدن) قرار می‌گیرند، مقاومت كنند و در برابر آن‌ها تاب بیاورند. لازم به ذكر است كه تحریف‌ها و تغییرات، محدود به سه مورد مذكور نیستند.
ظرفیت یا توانایی پذیرش داده‌ها: شیوه نشانه‌گذاری باید از ظرفیت پذیر بالایی برای انتقال داده‌ها برخوردار باشد و همچنین بتواند - در موارد لزوم - از بخشی از محیط خارج شود. از یك نظر، این مفهوم شبیه مفهوم صفحات اولیه تصاویر تمام‌نگار[37] است. یك تصویر تمام نگار شامل داده‌های تصویری و نیز الگوهای تداخل است. بنابراین حتی اگر آن را بشكنید، باز هم می‌توانید بخشی از آن را از روی قطعات، مجدداً بسازید.
كارآیی: رمزگذاری / رمزگشایی داده‌های نشانه باید نسبتاً ارزان، و به لحاظ «منبع‌خور بودن»[38] (پردازش و محاسبه) در پایین‌ترین سطح باشد.
امنیت: نشانه‌ها باید در برابر تغییرات و تقلبات عمدی، مقاوم باشند.

جمع‌بندی:
در كشورهایی همانند ایران كه دارای زیرساختار اطلاعاتی ناهمخوانی می‌باشند، هر گونه ابتكار در زمینه كتابخانه‌های دیجیتالی به سرعت در ورطه سیاست‌های امنیتی غیرمكفی یا مارپیچ ابدی بهسازی مداوم و بی‌سرانجام می‌افتند. به خاطر هزینه كمرشكن درونی‌سازی ملاحظات امنیتی، وابستگی به اعتبارات دولتی و نیز كمبود شركت‌های رقیب در امر رایانه‌ای، اقدامات مربوط به مدیریت امنیت مطالب و حقوق دیجیتال، غالباً چندان كارآمد و موثر نیستند. شاید در چنین مواردی بهتر باشد ذینفعان در كتابخانه‌های دیجیتالی یك كنسرسیوم امنیتی تشكیل دهند و بدین وسیله هزینه كمرشكن این كار را در میان خود تقسیم كنند. یك شیوه دیگر این است كه بودجه دولتی برای تأسیس یك كتابخانه مرجع امنیت دیجیتالی استفاده شود. این كتابخانه نشانه‌های دیجیتالی منحصر به فردی را برای آن دسته از افراد كه مایل به نشر مطالب خود به صورت دیجیتالی یا در شبكه هستند، صادر خواهد كرد.
پیشنهاد دیگر این است كه هزینه محافظت از مجموعه‌های دیجیتالی را بر مبنای اهمیتشان، در آن‌ها سرشكن كنیم. مطالعات هزینه - فایده در شناخت این اموال به ما كمك می‌كند و نیز برآوردی از هزینه اقدامات مناسب حفاظتی به دست می‌دهد. به هر شكل، لازم است كه پروتكل تأیید مقاومی برای نشانه‌گذاری مواد دیجیتالی وجود داشته باشد تا استنباطی كه كاربران از اعتبار منابع در ذهن خود دارند، حفظ شود. مسئله مهم در اینجا، انتقال اصول اعتباردهی ساری در فضای كتابخانه‌های فیزیكی، به فضای مجازی است. تراكنش‌های دیرین كتابخانه‌ای و مدل‌های اطمینان‌سازی ممكن است در هنگام این گذار، دستخوش تبدیل و تطور شوند و در نتیجه، استفاده از مدل‌های تجارت الكترونیكی، در اطمینان‌سازی لازم شود.
 

پانوشتها:

 

1- Ninety-ninety rule
2- Transition
3- Transformation
4- Technology intensive
5- Life cycle
6- Profile
7- Return On Investment (ROI) Profile
8- upgrade
9- Tempest Standard: NATO classification for hardened electronics
10- Cyberterrorism
11- Risk management plan
12- Digital Library Security Plan (DLSP)
13- Trade-off
14- veribot
15- ripping
16- Code-breakers

17- اكنون در ایران بازی‌هایی مانند “Medal of Honor” به زبان فارسی موجود است.

18- www.netlibrary.com
19- Virtual bookshelf
20- Ariel
21- Corbis
22- steganography
23- Covered writing
24- Digital water-marking
25- Digimarc by mediabridge
26- Digital stream
27- Digital Video Disc
28- Digital Audio
29- CD-ROM
30-Decrypted
31- Lossy Compression
32- Cropping
33- Re-pixelization
34- Verisign
35- ID
36- www.showtimearabia.com
37- hologram
38- Resource intensive

  
منابع:

1) Arnold, Michael; Schmuker, Martin; Wolthusen, Stephen D. Techniques and Application of Digital Watermarking and Content Protection, (e-book), Artech House Computer Security Series, Artech House, Boston, Mass, 2003.
2) Clifton, Chris; Bishop, Matt; Watermarking, Computer Forensics, Risk Management, Legal and Ethical Issues, Course on Computer Security, School of Information Science, University of Pittsburg PA, 2003.
3) Doll, Mark W.; Rai, Sanjay; Granado, Jose. Defending the Digital Frontier, (e-book), John Wiley and Son, Hoboken NJ, 2003. European Council of Museums, Archives and Libraries. Technical Guidelines for Digital Cultural Content Creation Program, Working Draft Version 0.01, <a href="http:

مهندس نادر نقشینه
E-mail: dialog@neda.net


www.irandoc.ac.ir


بقیه مطالب وبلاگ l یک مثال ساده در ماکرو نویسی
l ایجاد یک ماجول در ماکرو
l اولین درس ماکرو
l آغاز ماکرو نویسی در اکسل
l تبلت پی سی چیست؟
l سیستم عامل آندروید چیست ؟
l ملکه تبلت‌ درCES 2011 کیست؟
l چگونه یك متخصص امنیتی شوم؟
l تحلیلى اقتصادى از تاثیر اینترنت و فناورى اطلاعات بر بازارها و موسسات بیمه‌
l راه‌اندازی بزرگ‌ترین مرکز فناوری دنیا در چین
l معرفی MRTG به عنوان نرم افزار Monitoring شبکه
l نرم‌افزار یک ‌بیستم صادرات هند را شامل می‌شود
l سایت انستیتوی فیلم آمریكا
l What is Chief Information Officer
l مدیریت زنجیره تأمین با استفاده از فناوری‌های بی‌سیم و موبایل

ساخت وبلاگ در میهن بلاگ

شبکه اجتماعی فارسی کلوب | اخبار کامپیوتر، فناوری اطلاعات و سلامتی مجله علم و فن | ساخت وبلاگ صوتی صدالاگ | سوال و جواب و پاسخ | رسانه فروردین، تبلیغات اینترنتی، رپرتاژ، بنر، سئو