رویکرد متفاوت به ملاحظات امنیتی در ابتکارات کتابخانه‌های دیجیتال

مهندس نادر نقشینه
E-mail: dialog@neda.net


چکیده :
این مقاله به بررسی جنبه های امنیتی در طراحی کتابخانه‌های دیجیتالی از منظر دیگری می پردازد. در این منظر قلمروی مجازی برای امنیت قائل نشده چون خود نفس کتابخانه مجازی مستقل از محدودیت زمان و مکان و در نتیجه ملاحظات امنیتی مربوطه نیست. نیاز به وثوق و مرجعیت و همینطور حفظ مالکیت معنوی نیاز چنین کتابخانه های دیجیتالی به دارا بودن یک برنامه امنیت دیجیتالیی را مبرم و الزامی می‌کند. سیستمهای شناسایی و پنهان نگاری دیجیتالی مورد بحث قرار گرفته و چند مثال ارائه شده است.
 

کلیدواژه ها: کتابخانه های دیجیتالی، جامعه اطلاعاتی،امنیت کتابخانه


مقدمه:
مانند هر جامعه یا گروه اجتماعی دیگر، کتابداری ایران از الگوی رفتاری خاصی تبعیت می‌کند که عمیقاً ریشه در پیشینه و جایگاه اجتماعی آن دارد. کتابداری در ایران شامل مجموعه بسیار ویژه‌ای از اعتقادات، قواعد عرفی کار، حقایق بدیهی و چه بسا تصورات غلط است. بسیاری از مواد درسی دانشگاهی این رشته با تغییرات اجتماعی و اقتصادی همگام نیستند و همین امر موجب شده است که احساس کهنگی بر آن‌ها حاکم شود؛ گویی که کتابداری در ایران از بیست سال گذشته در پشت مانعی گیر کرده. همین امر منجر به نوعی همرنگی شده است، به طوری که مردم گویی تلاش می کنند سوار موجی شود که از مقصد یا آهنگ آن کوچک‌ترین شناختی ندارند. بسیاری از ابتکارات در حوزه کتابخانه‌های دیجیتالی در ایران، قربانی همین امر بوده‌اند.
در علوم رایانه قانونی به نام «قانون نود - نود»[1] وجود دارد. به زبانی ساده این قانون (بعد از انطباق با شرایط ایران) می‌گوید 90 درصد طراحان کتابخانه‌های دیجیتالی (در ایران) با 10 درصد از مسائلی مواجه می‌شوند که 90 درصد اوقات نادیده می گیرند. به استثنای کتابخانه‌های دیجیتالی که حای مواد دیجیتالی هستند و این مواد را در اختیار گروه ویژه‌ای از کاربران (اکثرا اداره امنیت ملی، اداره اطلاعات، ضابطین قضایی) قرار می‌دهند، برنامه‌ریزی برای کتابخانه‌های دیجیتالی باید مبتنی بر مدل «مدل بازار» باشد. به عبارت دیرگ برنامه‌ریزی برای یک کتابخانه دیجیتالی در صورتی با موفقیت مواجه می‌شود که مشتریان را به مثابه مراجعان در نظر بگیرد و به موضوعاتی همچون وفاداری به کتابخانه، حفظ مشتری و توسعه بازار مناسب، توجه داشته باشد. همه اینها موضوعاتی هستند که طراحان کتابخانه‌های ایران عموماً با آن‌ها غریبه هستند. در اینجا بحث «گذار»[2] در مقابل «دگرگونی»[3] پیش می‌آید، بدین معنا که ممکن است برنامه‌ریزی برای کتابخانه‌های دیجیتالی، بیشتر ناشی از لزوم ایجاد و توسعه منابع و قابلیت‌های جدید باشد، تا دگردیسی تراکنش‌های اجتماعی رایج در گردآوری، ذخیره و پردازش اطلاعات. این امر الزاماً منجر به جابه‌جایی صرف فرایندهای کتابخانه‌ای متداول در حوزه دیجیتال می‌‌شود. مشکلی که در اینجا پیش می‌آید این است که با توجه به ماهیت کلی فناوری _ محور[4] در کتابخانه‌های دیجیتالی، دو موضوع پایداری و امنیت در درجه اول اولویت قرار می‌گیرند.
اگر از فرایند توسعه محصول به عنوان قرینه‌ای برای برنامه‌ریزی کتابخانه‌ای استفاده کنیم، آنگاه باید موضوع هزینه‌های چرخه عمر را مدنظر قرار دهیم. در اقتصادهای دولتی مانند اقتصاد جمهوری اسلامی ایران، هزینه‌های چرخه عمر[5] تجملی هستند؛ زیرا اکثر کتابخانه‌ها با ختصیص مستقیم اعتبارات دولت سر پا مانده‌اند. از دیدگاه بازرگانی، هزینه چرخه عمر بر مبنای میزان مشتری‌مداری و درآمد، برآورد شده (هم اصل درآمد و هم مستمر)، تعیین می‌شود. سپس خود چرخه عمر، بازده سرمایه‌گذاری یا رخنمون[6] بازگشت سرمایه[7] را مشخص می‌کند. همین رخنمون است که هم گستره و هم عمق ارتقا[8] را نشان می‌دهد.
سیستم عاملی که برای کتابخانه دیجیتالی در نظر گرفته‌ایم چه بسا بیشتر از 5، 10 یا 15 سال کارآیی نداشته باشد. با توجه به آهنگ پیشرفت، روش‌های دیجیتالی کردن و اسکن بعضی از مواد دیجیتالی کتابخانه ممکن است به لحاظ فناوری کارآیی خود را از دست بدهند. اگر موزه‌ای داشته باشیم که دارای یک کتابخانه دیجیتالی است، مجموعه‌های آن موزه، که اساساً از مثلاً قطعات تصویری 24 بیتی اسکن می‌شوند، باید با استفاده از مجموعه کاملاً متفاوتی از استانداردها یا ابزارهای خاص (مثلاً اسکن لیزری سه‌بعدی با قدرت تفکیک بالا)، مجدداً دیجیتالی شوند. در اینجا به ناگزیر در فرایندی قرار می‌گیریم که در آن، انتظار می‌رود محتویات کتابخانه را با تغییرات فناوری و نیازهای مراجعان سازگار کنیم. این فرایند، حوزه چالش برانگیزی است که حتی شاید بر ابتکارات مربوط به حفظ مواد دیجیتالی اثر بگذارد. شیوه‌عای ذخیره مواد به روش‌های مغناطیسی و نوری ممکن است خیلی زود از مد بیفتند. حتی اگر از استاندارد «تمپست»[9] برای حفظ داده‌های مغناطیسی استفاده کنیم، باز هم به مرور و بر اثر پدیده میرایش مغناطیسی ناشی از استفاده مکرر، داده‌ها تخریب می‌شود. این بدان معنا است که برای حصول اطمینان از در دسترس بودن مداوم مجموعه برای مراجعان، سخت‌افزار، نرم‌افزار و نیز مطالب کتابخانه باید همواره مورد بهسازی و ارتقار قرار گیرد.
محافظت از داده‌های دیجیتالی جنبه مهمی است که در اکثر ابتکارات کتابخانه‌های دیجیتالی در ایران، به آن توجه نمی‌شود. یکی از مؤلفه‌های مهم در همان ده درصدی که طراحان در نود درصد اوقات نادیده می‌گیرند، امنیت است.
هرگاه سخن از امنیت به میان می‌آید ذهن ما ناخودآگاه به طرف ورود بدون مجوز، دستبرد به اطلاعات، و وحشت‌آفرینی رایانه‌ای[10] کشیده می‌شود. اگرچه توجه به موارد فوق در همه ابتکارات مربوط به ایجاد دارایی‌های شبکه‌ای معتبر است، اما این‌ها تنها مشتی نمونه خروار هستند.

مفاهیم امنیت
امنیت در رابطه با افراد مختلف، معانی متفاوتی دارد و در بسیاری از زبان‌ها و فرهنگ‌ها این کلمه دارای بار معنایی متفاوتی است.
در زبان فارسی این کلمه دارای مضامین متفاوتی است که مفاهیمی از نفوذناپذیری گرفته تا ایمنی و مقاومت را شامل می‌شود. شاید تاریخ ما با این امر مرتبط باشد. مروری اجمالی بر کلمه “secure” در سایت Dictionary.com معانی زیر را به دست می‌دهد:
1. رها از خطر یا گزند: دژ مستحکم (Secure castle)
2. رها از خطر از دست رفتن؛ گاو صندوق: نوشته‌هایش در گاوصندوق در امان بودند. (مثال انگلیسی)
3. رها از خطر ردگیری، استراق سمع یا خبرچینی به وسیله اشخاص غیرمجاز: فقط یک خط تلفن در سفارت امن بود (مثال انگلیسی)
4. بدون ترس، اضطراب یا تردید
5. الف: بدون احتمال شکسته‌شدن یا خم‌شدن؛ محکم: نردبان آهنی محکم (مثال انگلیسی)
ب: محکم بسته شده: قفل سفت (مثال انگلیسی)
6. مطمئن؛ قابل اعتماد: سرمایه‌گذاری مطمئن (مثال انگلیسی)
7. قطعی؛ مسلم: با سه گل زده شده در نیمه اول، پیروزی آن‌ها قطعی بود: (مثال انگلیسی)
این فهرست به همین جا ختم نمی‌شود، اما برای رعایت اختصار، به ذکر همین هفت تعریف بسنده می‌کنم. اگرچه کتابخانه دیجیتالی را ممکن است به غلط، فضایی برای ذخیره اطلاعات فیزیکی خاص تعریف کرد، اما رعایت ملاحظات امنیتی در کتابخانه‌های دیجیتالی نیز همانند کتابخانه‌های فیزیکی الزامی می‌باشد.
تأسیس کتابخانه در دنیای فیزیکی و واقعی، نیازمند رعایت قواعد فراوان عملیاتی و ساختمانی است که نیازی نیست کتابداران به همه آن‌ها واقف باشند، بلکه فقط آگاهی از آن دسته که ممکن است بر فرایندهای تحت مسئولیت او اثر بگذارند کافی است. با این حال، امنیت یک کتابخانه دیجیتالی تابع ساختمان مجموعه منابع، کارکنان، مراجعان آن، و نیز صدها عامل دیگری است که روی هم رفته موجب می‌شوند آن کتابخانه چیزی بیشتر از مجموع بخش‌های تشکیل دهنده آن باشد. مفهومی که در اینجا به کار می‌رود «امنیت سازمانی» است. «امنیت سازمانی» به معنای مجموعه‌ای از مهارت‌های مرتبط به هم _ شامل ارزیابی تهدید، کاهش تهدید، امنیت فیزیکی، امنیت عملیاتی، و پرهیز از شکست _ است. امنیت سازمانی تلویحاً به معنای وجود نوعی «طرح مدیریت مخاطره»[11] در زمان مواجهه با حوادث است.
فقط معدودی از کتابخانه‌ها در ایران - اگر نگوییم هیچیک از آن‌ها - دارای یک پروتکل امنیت سازمانی هستند. با وجود این به نظر می‌رسد که همه کتابخانه‌ها به سوی دیجیتالی شدن، مشتاقانه با یکدیگر مسابقه گذاشته‌اند. بعضی از آن‌ها بدون این که به حفاظت مجموعه‌های خود توجه داشته باشند به سوی دیجیتالی شدن پیش می‌روند و بعضی دیگر به موضوعات پراکنده‌ای نظیر جبران تغییر نحوه استفاده کاربران، افزایش تنوع در شیوه‌های ارزیابی اطلاعات یا ارایه مؤثر اطلاعات توجه دارند. رویکرد آن‌ها - هر دلیلی که داشته باشد - در صورت فقدان پروتکل امنیت سازمانی، ضربه‌پذیر خواهد بود.
ترسیم «طرح امنیت کتابخانه دیجیتالی (دی ال اس پی)»[12] به معنای استخدام یک مامور سابق اداره اطلاعات نیست، اما قرار دادن همه اطلاعات در سبد تحلیل امنیت رایانه‌ها، این کار را ایجاب می‌کند. بعضی بسیار تمایل دارند که کتابخانه مجازی را معادل کتابخانه دیجیتالی بدانند، اما این فقط نوعی بازی با کلمات است؛ زیرا حتی اگر چیزی به اندازه اندیشه بشری گذرا باشد، باز هم برای موجودیت خود نیازمند یک مغز فیزیکی است. شاید کتابخانه دیجیتالی دارای مکان واحد و خاصی بنا شد، اما باز هم باید در مکان فیزیکی خاصی (حال یا یک دیسک سخت یا یک مجموعه سرور) مستقر باشد تا بتوان آن را پردازش کرد. «دی ال اس پی» هم از بخش‌های فیزیکی و هم از فرایندهای تشکیل دهنده یک کتابخانه دیجیتالی تشکیل می‌شود.
«دی ال اس پی» نوعی فعالیت در شناخت آسیب‌پذیری‌های احتمالی، به حداقل رسانیدن آن‌ها یا دست کم از جذابیت‌انداختن آن‌ها برای حمله‌کنندگان احتمالی است. از سوی دیگر، هیچ گاه نمی‌توانید به امنیت صد در صد دست پیدا کنید. آنچه که غالباً در این راستا انجام می‌شود انجام ممیزی امنیتی برای برجسته‌کردن این آسیب‌پذیری‌ها است. نتایج این ممیزی باید محرمانه باشد. حسابرسی امنیتی از این دست، در سطوح متفاوتی انجام می‌گردد و کارکنان، سیستم‌های اطلاعاتی، ساختمان فیزیکی، انتشار مطالب و دستیابی به آن‌ها را شامل می‌شود. این نوع حسابرسی دو فهرست در اختیار شما قرار می‌دهد:
1. فهرست خطرات و آسیب‌پذیریها،
2. فهرست کنترل‌های ممکن و اقدامات پیشگیرانه.
این دو فهرست، ابزارهای در اختیار می‌گذارند که می‌توانید به وسیله آن‌ها برای راه حل‌های ممکن، تحلیل هزینه - فایده انجام دهید. یک کتابخانه دیجیتالی که به موضوع سم‌شناسی بالینی و پروتکل‌های درمانی بیماران می‌پردازد نسبت به مثلاً یک کتابخانه دیجیتالی آموزشگاهی نیازمند سیستم‌های ضربه‌ناپذیر و مقاوم‌تری است. هر یک از حساسیت‌ها را می‌توان بر مبنای اهمیت فرایند، امتیازبندی کرد تا در نهایت، بده‌بستان[13] مناسبی برای کنترل و بهره‌وری ایجاد شود.
اگر به تعریف قبلی خود از امنیت برگردیم و آن را در مفاهیم مشترک عملیات و فرایندهای کتابخانه‌ای به کار بگیریم می‌توانیم به نوعی معیار اساسی برای وضع سیستم مدیریت مخاطره و «دی ال اس پی» برسیم.
«رها از گزند و خطر» را می‌توان به محیط یا پروتکل‌های عملی ایمن، و احتمال بروز حوادث در کتابخانه تعبیر کرد. «فاقد خطر صدمه» را می‌توان به مثابه اجرای کنترل محافظتی در نظر گرفت. کنترل محافظتی ممکن است اجرای مثلاً یک رمز دیجیتالی برای گاوصندوق (نظیر رمزهایی که در بانک‌ها برای حفاظت از داده‌های مهم به کار می‌رود) یا ایجاد توانایی در سیستم برای ساخت مجدد منبع از‌دست‌رفته را شامل شود. در هر حال اگر «دی ال اس پی» برای یک کتابخانه دیجیتالی که شامل مجموعه غیردیجیتالی هم هست طراحی شود، آنگاه باید دارای چنین پروتکل‌های حفاظتی برای چنین مواردی باشد مثلاً اگر مجموعه‌های دست نوشته‌ها دیجیتالی شوند، باید در مخزن امنی نگهداری و ذخیره شوند که ممکن است کتابخانه فیزیکی، دارای آن مخزن نباشد.
عاری از خطر استراق‌ سمع به وسیله اشخاص غیرمجاز: این معیار درست مانند طبقه‌بندی مراجعان در یک کتابخانه فیزیکی، به منظور مدیریت دستیابی به مجموعه‌ها است. از سوی دیگر در یک سازمان، این امر به معنای طراحی مجوز برای کارکنان به منظور دستیابی به اطلاعات است. در کتابخانه‌های خودکار، برای این کار لازم است که مراجعان از بعضی حقوق خود چشم‌پوشی کنند تا اجازه یابند به اطلاعات دست یابند. در اینجا اطلاعات مربوط به نحوه کار آن‌ها، به طور خودکار جمع‌آوری و سپس ذخیره می‌شود. پس در یک مفهوم، مراجعان در برابر دستیابی به منابع اطلاعاتی یا خدمات، بخشی از مسائل شخصی خود را در اختیار کتابخانه می‌گذارند و از این نظر هیچ تفاوتی بین درخواست عضویت در یک کتابخانه با درخواست کارت اعتباری وجود ندارد. در هر حال باید اطمینان حاصل نمود که اطلاعات به دست آمده از این طریق، در اختیار اشخاص ثالث قرار نمی‌گیرد. اگر دستیابی و انتشار اطلاعات به صورت الکترونیکی در سیستم‌های باز (نظیر اینترنت) انجام می‌گیرد، لازم است از الگوریتم‌های مطمئن ارتباطی استفاده شود.
عاری از ترس، اضطراب و تردید: به نظر من این امر مهم‌ترین جنبه در برنامه‌ریزی امنیتی برای یک کتابخانه دیجیتالی است. در کتابخانه‌های فیزیکی ما غالباً به این امر توجه نمی‌کنیم که بسیاری از مراجعان، کتابخانه را محیط امنی می‌دانند که مجموعه‌هایش، به مثابه داور تردیدها عمل می‌کنند. تبدیل این مشخصه به حوزه دیجیتال (یعنی حوزه‌ای که در یک مفهوم، وظیفه اثبات و تأیید در آن، به عهده کاربران است) بسیار اهمیت دارد. برای این کار لازم است سرمایه‌گذاری بیشتری بر محیط رابط گرافیکی (جی‌یو‌ای)، اطلاعات کمکی دوسویه، و نمایش محرمانه اطلاعات بشود. سیستم‌هایی برای تأیید مطالب پیشنهاد شده‌اند، اما این سیستم‌ها، ممکن است بسیار پرهزینه باشند. بعضی از آن‌ها نیز به بررسی مکانیسم‌هایی پرداخته‌اند که مشابه مکانیسم‌های به‌کار رفته در تجارت الکترونیکی هستند. شاید یکی از راه‌حل‌های ممکن، ایجاد یک واسطه تأیید (وریبات)[14] باشد. «وریبات» برنامه نرم‌افزاری مطمئنی است که کاربران می‌توانند با استفاده از آن، دریابند که آیا مطالب دریافت شده از طریق اینترنت حقیقتاً برای انتشار توسط کتابخانه خاصی تولید شده، نگهداری شده و تأیید می‌شوند یا خیر. در حقیقت در دوره زمانی که یک سند دیجیتالی می‌تواند بدون اطلاع نویسنده در چند مکان مختلف وجود داشته باشد، مدیریت مطالب و مدیریت حقوق دیجیتال، دشوارترین وظیفه «دی ال اس پی» است. مشکلی که در اینجا وجود دارد ایجاد توازن مبهم میان لزوم تأمین دستیابی آسان به اطلاعات و حصول اطمینان از حمایت قانونی مؤلف است.

محافظت از مطالب دیجیتالی
برخلاف مواد آنالوگ، همه کپی‌های مواد دیجیتالی اصل هستند. فناوری جداسازی و تنسیخ[15] مواد دیجیتالی آنقدر ارزان است که در ذهن نیز نمی‌گنجد. دی‌وی‌دی‌های جعلی در ایران با قیمتی اندک (معادل ده دلار امریکا) به فروش می‌رسند. حتی بعضی از نسخه‌های غیرمجاز به گونه‌ای طراحی می‌شوند که در همه دستگاه‌های دی‌وی‌دی‌خوان قابل نمایش باشند. اما تنها دی‌وی‌دی‌ها آماج این کار نیستند، بلکه مجوزهای گران‌قیمت نرم‌افزارها، موجب پدید آمدن رمز‌شکن‌ها[16] شده‌اند.[17]
عناوین نرم‌افزاری بسیاری هستند که در اصل هزاران دلار قیمت دارند اما در ایران به ازای هر سی‌دی دو دلار به فروش می‌رسند. اکثر این مواد دیجیتالی دارای محافظ‌های محکم نظیر شماره سریال، لوازم فعال‌سازی درون‌خطی و ... هستند. با وجود این باز هم این مواد، قفل‌شکنی می‌شوند. حال اگر ما کتابخانه دیجیتالی ملی موسیقی تأسیس کنیم و سپس دریابیم که مطالب دیجیتالی ما (که غالباً نیز به طور رایگان در اختیار همگان قرار می‌گیرد) توسط شخص ثالثی جعل شده و با هدف کسب سود مالی در اختیار دیگران قرار می‌گیرد هرگاه مجموعه‌ها دارای مواد دیجیتالی باشد که کپی آنها نوعی تخلف از حقوق چاپ محسوب شود و منجر به امتیازنامه‌های چندان مطلوب گردد آنوقت چه باید بکنیم؟ مساله فار آنجا که مواد دیجیتالی مستعد حک و اصلاح هستند بسیاری از دادگاه‌های ایران آن‌ها را مدرک مستندی نمی‌دانند، مگر زمانی که بتوانید سند مستدلی ارائه کنید که نشان دهد مالک اصلی آن هستید. حتی زمانی که فردی به جرم تکثیر غیرمجاز مواد دیجیتالی خود دستگیر می‌کنید باز هم باید دشواری‌های زیادی را متحمل شوید تا سوء نیت عمدی ان فرد را ثابت کنید. به عنوان مثال در ایران، بسیاری از مجلات و روزنامه‌ها برای چاپ عکس‌ها، تصاویر و نیز چهره‌ها از اینترنت بهره می‌گیرند و فقط معدودی از آن‌ها به مقاله اصلی یا مالک اصلی آن ماده اشاره می‌کنند و به استثنای مؤسسات خبری، عملاً هیچیک از آن‌ها حق امتیاز پرداخت نمی‌کنند. در ایران نهادی به نام سندیکای روزنامه‌نگاران وجود ندارد و در نتیجه روزنامه‌ها هیچ مسئولیتی در قبال پرداخت حق کمیسیون برای ستون‌های منتشره، یا تغییر مطالب سازمان‌های خبری مهم مانند «سی ان ان» ندارند.
برای کتابخانه دیجیتالی ویژه‌ای که نیازمند اعتماد مداوم مراجعان خود به مطالب مجموعه منابعش می‌باشد، نه تنها حمایت از مواد مجموعه در برابر سارقان، بلکه برای اطمینان دادن به کاربران خود از اصالت آن‌ها، ضروری است. اما بهترین شیوه انجام این کار کدام است؟
یک شیوه، استفاده از پوسته امنیتی برای ارسال مواد دیجیتالی است. پوسته امنیتی زمانی فعال می‌شود که مراجعان در همه جا به کتابخانه دیجیتالی متصل شوند و موافقت خود را در پیروی از پروتکل‌های مدیریت حقوق دیجیتال اعلام کنند. یک نوع از این سیستم‌ها در شرکت‌هایی نظیر «نت لایبرری»[18] به کار می‌رود.

 

 

 در روزهای اولیه استفاده از «نت لایبرری»، مراجعین می‌بایست ابتدا نرم‌افزاری را پیاده می‌کردند تا بتوانند مواد را بخوانند. موادی که از طریق الکترونیکی امانت داده می‌شدند با یک مهر زمانی پیاده می‌شدند. این مهر باعث می‌شد دستیابی کاربر به مواد مزبور بعد از اتمام آن زمان خاص ناممکن گردد. برای امانت گرفتن مواد، بیشتر مراجعین مؤظف بودند ماده قبلی را برگردانند یا آن را مشاهده کنند. بعدها «نت لایبرری» سیستم درونخطی را برگزید و لازم بود که کاربر، مواد را به صورت درونخطی بخواند. به هر کاربر یک قفسه مجازی[19] کتاب داده می‌شد تا بتواند ماود مورد علاقه خود را ذخیره کند. حتی علائمی نیز ابداع گردیدند که به صورت درونخطی ذخیره می‌شدند. کاربران می‌توانستند بر مبنای ایجاد حق انحصاری اثر برای طرح فردی، کپی‌هایی به تعداد معین تهیه کنند. در هر حال این سیستم دارای ویژگی منحصر به فردی بود که کپی‌برداری سیستماتیک را کنترل می‌کرد. سیستم قادر است کتاب‌های الکترونیکی را به صورت‌های متفاوت و نیز در قالب پی‌دی‌اف نشان دهد. شکل 1 صفحه‌ای از این سیستم را نشان می‌دهد.
در هر حال باید توجه داشت که چنین پوسته امنیتی لزوماً با حق محرمانه بودن مسائل شخصی مغایرت دارد.
سیستم دیگری که برای ارسال مواد به کار می‌رود «آریل»[20] نام دارد. «آریل» سیستمی است که توسط «گروه تحقیقات کتابخانه‌ای» برای ارسال الکترونیکی مواد اسکن شده، ابداع شده است. در هر حال هرگاه در این سیستم، مواد را اسکن و ارسال کنند، دیگر به هیچ روی امکان کنترل کپی‌برداری‌های آتی مواد وجود ندارد. برای مواد بصری مانند تصاویر، شرکت‌هایی نظیر «کوربیس»[21] از سیستمی استفاده می‌کنند که تصاویر را به صورت قطعات کوچک و با عنوان تجاری حک شده بر روی آن‌ها نشان می‌دهد؛ تصاویر از کیفیت کافی برخوردارند و خریدار احتمالی می‌تواند بر اساس آن‌ها درباره سفارش نسخه اصلی تصمیم‌گیری کند. اما هرگاه نسخه اصلی به دست آید می‌توان آن را کپی کرد و منتشر نمود.
بنابراین لازم است به دنبال جستجوی شیوه‌ای برای نشانه‌گذاری مواد دیجیتالی بود که در عین حالی که کیفیت آن‌ها را پایین نیاورد اصل‌بودن آن‌ها را نیز تضمین کند. با توجه به ماهیت دیجیتالی مواد مورد نظر، چنین نشانه‌گذاریهایی کاملاً امکان‌پذیر است. نشانه‌گذاری مدیران کتابخانه‌های دیجیتالی را قادر می‌سازد جعل بودن آن‌ها را تشخیص دهند.
یکی از شیوه‌های نشانه‌گذاری، پنهان‌کردن داده‌های معینی (مجموعه، ناشر، مؤلف، تاریخ دیجیتالی شدن، و ...) است که اصالت ماده را در خود ماده دیجیتالی نشان می‌دهند. این شیوه پنهان‌کردن داده‌ها، پنهان‌نگاری[22] نامیده می‌شود. این واژه در اصل، یونای و به معنای «نگارش پوشیده»[23] است. اسناد حقوقی دولت مانند پول‌های کاغذی یا اوراق قرضه کوتاه مدت دارای داده‌هایی هستند که در خود آن‌ها مخفی است و اصالت آن‌ها را نشان می‌دهد. مثلاً پاسپورت‌های ایران دارای مشخصات امنیتی مخفی (داده‌های پنهان) است که در زیر نور «یو وی»، آشکار می‌شوند. شرکت آلمانی زیمنس نیز یک سیستم تأیید ویزا در جلسه ملاقات سران جامعه اطلاعاتی عرضه کرد که به وسیله آن، داده‌هایی مانند نام دارنده ویزا، آدرس او، مشخصات فیزیکی، و حتی تصویر او در ویزا حک می‌شود.
حک کردن یک نشانه دیجیتالی در یک ماده دیجیتالی «فیلیگران» مهر یا نشانه‌گذاری دیجیتالی[24] نامیده می‌شود. به دو طریق می توان نشانه‌گذاری دیجیتالی را انجام داد:
1. قابل مشاهده: نشانه دیجیتالی به طور عینی قابل مشاهده باشد.
2. غیر قابل مشاهده: نشانه دیجیتالی پنهان باشد.
 

مهم‌ترین مرحله نشانه‌گذاری، تولید نشانه است. نشانه شامل اطلاعات منحصربه‌فردی درباره مالک مواد دیجیتالی است. بعضی از کتابخانه‌های دیجیتالی دولتی‌ (مانند آن دسته که با مقولات امنیت ملی سر و کار دارند) برای تولید چنین نشانه‌هایی از منابع ایمن خدشه‌ناپذیری استفاده می‌کنند. اما هزینه تولید نشانه‌های ویژه و تأییدکننده اصالت سند برای اکثر کتابخانه‌های دیجیتالی کمرشکن است. در نتیجه غالباً پیشنهاد می‌شود این خدمات را از خارج از کتابخانه و مثلاً از شرکت‌هایی اخذ کنند که این خدمات را عرضه می‌کنند. این شرکت‌ها نه تنها امضاهای خاص و الگوریتم‌های پنهان تولید می‌کنند، بلکه نرم‌افزاری نیز برای خواندن آن‌ها ارائه می‌دهند. یکی از انواع این نرم‌افزارها، «دیجیمارک» (متعلق به شرکت مدیابریج)[25] است. که یک تصویر اسکن‌شده یا عکس‌برداری شده از ماده مورد نظر تهیه می‌کند و سپس نشانه پنهان شده در آن را می‌خواند. اگر قبلاً نشانه سند به وسیله همین نرم‌افزار تولید شده باشد، شامل اطلاعاتی خواهد بود که به عنوان یک شاخص منحصر به فرد عمل می‌کند. این شاخص در سرور «دیجیمارک» جستجو می‌شود و به یک لینک وب اشاره می‌کند. سپس این لینک باز می‌شود و اطلاعات مربوط به مؤلف یا تصویر، نشان داده می‌شود و حتی نرم‌افزار لازم ذخیره می‌گردد. این فرایند بدون مشارکت بیشتر کاربر یا ارائه اطلاعات از طرف او، و در حقیقت به طور خودکار انجام می‌شود. گفته می‌شود که نشانه مانند «پلی» بین تصویر و اطلاعات عمل می‌کند. دن از این رو است که در نام این نرم‌افزار و شرکت نیز این واژه گنجانده شده است. اخیراً در بازار، چندین نرم‌افزار عرضه شده‌اند که می‌توانند به مدیران مجموعه‌ها درحک‌کرد نشانه‌های مختلف در مواد دیجیتالی کمک کنند.

بسیاری از این نرم‌افزارها در جهت محافظت از مواد متنی و تصویری طراحی شده‌اند، اما نرم‌افزارهای معدودی نیز وجود دارند که می‌توان برای نشانه‌گذاری برنامه‌های جریان دیجیتال[26]، دی‌وی‌دی[27]، دیجیتال اودیو[28] و نیز سی‌دی‌رام[29] به کار گرفت. در حقیقت نشانه دیجیتالی در یک نرم‌افزار نقش کنترل‌کننده دستیابی را ایفا می‌کند. در این سیستم، نشانه دیجیتالی در نشانه کاغذی نقش می‌شود. سی‌دی‌رام حاوی برنامه‌ای است که می‌تواند چنین نشانه‌های دیجیتالی را تشخیص دهد. برای دستیابی به سی‌دی‌رام، لازم است که کاربر این برنامه را اجرا کند، سپس نشانه کاغذی حاوی نشانه دیجیتالی را اسکن کند و در صورتی که اجازه خواندن مطالب را داشته باشد، مطالب سی‌دی‌رام را به صورت رمزگشایی شده[30]، برای استفاده بر روی نمایشگر مشاهده کند.‌ البته بسته به اهمیت اطلاعاتی که منتشر می‌گردد یا در اختیار کاربران نهاده می‌‌شود باید از یک یا چند برچسبی استفاده کرد که به بهترین نحو، متناسب با ملاحظات امنیتی باشند. «دی ال اس پی» چند پارامتر عملیاتی را در اختیار می‌گذارد. به عنوان مثال در مورد اسناد حقوقی، نشانه نه تنها حاوی داده‌های مجموعه است، بلکه حتی ممکن است حاوی داده‌های مربوط به ترمینال‌های انتقال دهنده و دریافت کننده نیز باشد. مثلاً در «آریل»، سند عرضه شده ممکن است شامل اطلاعات مخفی درباره سفارش مورد نظر، و شخصی که آن را سفارش داده نیز باشد.
باید آگاه بود که هر چه قدرت مقاومت یک نشانه در برابر جعل بیشتر باشد، هزینه طراحی و بازبینی آن نیز بیشتر خواهد بود. «دی ال اس پی» نشان می‌دهد که کدام بخش مجموعه دیجیتالی نیازمند مقاومت در برابر استعمال است و کدام بخش نیاز به مقاومت ندارد. کلید این کار ایجاد توازن بین اقدامات مؤثر فعال، و اقدامات مؤثر انفعالی است. برای پیشگیری از تقلب، نشانه محکمی لازم است. با وجود این، استفاده از نشانه‌هایی که تا حدودی در مقابل جعل شدن مقاومت می‌کنند، مفید و کم‌هزینه است. این نوع نشانه‌ها، نشانه‌های شکننده نامیده می‌شوند. همه نشانه‌های شکننده در هنگام تکثیرهای بدون مجوز می‌شکنند، مگر سخت‌ترین آن‌ها.
باید توجه داشت که فرد متقلب در هنگام کپی برداری از سندی که دارای امضای دیجیتالی است، غالباً از شیوه‌هایی مانند فشرده‌سازی با پرت بالا[31] (تغییر قالب تصویر)، حشو زوائد[32]، یا پیکسل کردن مجدد[33] استفاده می‌کند. با این شیوه‌ها ممکن است نشانه دیجیتالی کشف شود یا از کار بیفتد.
در اینجا نیز موضوع رعایت ملاحظات امنیتی در برابر جریان آزاد اطلاعات، در درجه اول اهمیت قرار می‌گیرد. همان‌گونه که قبلاً نیز ذکر شد نگرانی‌هایی درباره افشای مسائل شخصی افراد هست. من شخصاً معتقدم که بین نشانه‌گذاری دیجیتالی و حفظ مسائل شخصی هیچ مغایرت خاصی وجود ندارد، بلکه این دو، حوزه‌های کاملاً متفاوتی را شامل می‌شوند. «وریساین»[34] یک شرکت کالیفرنیایی امنیت اینترنتی است که در برابر حق عضویت سالانه 95/14 دلار امریکا به هریک از کاربران یک شناسه[35] دیجیتالی می‌دهد. این شناسه‌های دیجیتالی را می‌توان یا به نشانی الکترونیکی کاربران ارسال کرد و بدین طریق اطمینان حاصل نمود که فقط کاربر مورد نظر آن را دریافت می‌کند، یا برای رمزگشایی محتوای نشانی الکترونیکی و پیوست‌های آن، مورد استفاده قرار داد. در «دی ال اس پی» سیستم مشابهی وجود دارد که به وسیله آن، کاربران با شناسه‌های دیجیتالی که دریافت می‌کنند نه تنها قادرند نشانه مطالب ذخیره شده را تغییر دهند، بلکه می‌توانند داده‌ها را به گونه‌ای نشانه‌دهی کنند که تکثیر‌های مجاز (یا غیرمجاز) را تشخیص دهند.
افزون بر این، این احتمال وجود دارد که مواد شما در نشریات دیگر (چه نشریات وب یا دیگر نشریات) مورد استفاده قرار گیرند و خواننده بخواهد به اصالت آن مواد پی ببرد. کتابخانه‌های دیجیتالی ابزارهایی در اختیار کاربران قرار می‌دهند که توسط آن‌ها کاربران می‌توانند به اصالت مواد پی ببرند بدون این که به نشانه‌های شکننده داده‌های کلیدی، آسیبی وارد کنند. در حقیقت «وریبات» برای همی کار ابداع شده بود. در هر حال اخیراً هیچ استاندارد دقیقی برای ایجاد چنین واسطه‌هایی وجود ندارد و برای این منظور ممکن است از روش‌های تجارت الکترونیکی مانند تأیید و رمزگشایی درونخطی «اس اس ال» استفاده شود.
«شوتایم عربیا»[36]‌ شرکت پیام‌پراکنی در امارات متحده عربی است که از کارت‌های هوشمند برای رمزگشایی و ارسال برنامه‌های خود استفاده می‌کند. دوره فعال‌سازی فقط یک ساله است. در هر حال امکان استفاده از همین فناوری برای افشای مسائل شخصی افراد وجود دارد. سیگنال مورد نظر ممکن است دارای نشانه حک‌شده‌ای باشد که حامل داده‌های منحصر به فرد کارت هوشمند باشد. بنابراین حتی اگر فردی یک کپی از این برنامه تهیه کند، باز هم امکان ردیابی آن وجود دارد. شکل 4 یک نمونه از این سیستم را نشان می‌دهد. این نمونه برای تأیید و اثبات برنامه‌های دیجیتالی اختصاص داده شده است. این فرایند به طور کلی «انگشت‌نگاری دیجیتالی» نامیده می‌شود. انگشت‌نگاری دیجیتالی یکی از شیوه‌های ردیابی کپی‌های غیرقانونی است. سیستم‌هایی نظیر آن‌هایی که مورد تحقیق «ان اچ کی» قرار گرفتند دارای سرمایه‌گذاری‌های اولیه کلانی هستند، زیرا برای حک داده‌ها در نشانه‌ها، الگوریتم‌های امنیتی متعددی به کار می‌رود. نشانه‌های هر یک از مواد دیجیتالی، متفاوت از نشانه‌های دیگر مواد دیجیتالی است. این نشانه‌ها دارای مقاومت امنیتی هستند و حتی در برابر جعل از نوع دیجیتال به آنالوگ و کاربردهای دیجیتالی مجدد، مقاومت می‌کنند
 

 

 

(Courtesy of Japan Broadcasting Systems NHK)



هر مقداری که «دی‌ال‌‌اس‌پی»، شما از پروتکل ضد جعل یا ضد تکثیر غیرمجاز برخوردار باشد، باز هم در هنگام استفاده در سیستم شما، باید دارای شرایط زیر باشد:
شفافیت: نشانه‌گذاری نباید به کیفیت محتوای ارسال‌شده (چه تصویر باشد یا مواد سمعی و بصری یا متن)، لطمه وارد کند.
مقاومت: داده‌های نشانه باید زمانی که در معرض تحریف‌ها یا تغییر شکل‌های متفاوت (از جمله خرابی سیستم حمل و نقل اینترنت، فشرده‌سازی و رپیکسل شدن) قرار می‌گیرند، مقاومت کنند و در برابر آن‌ها تاب بیاورند. لازم به ذکر است که تحریف‌ها و تغییرات، محدود به سه مورد مذکور نیستند.
ظرفیت یا توانایی پذیرش داده‌ها: شیوه نشانه‌گذاری باید از ظرفیت پذیر بالایی برای انتقال داده‌ها برخوردار باشد و همچنین بتواند - در موارد لزوم - از بخشی از محیط خارج شود. از یک نظر، این مفهوم شبیه مفهوم صفحات اولیه تصاویر تمام‌نگار[37] است. یک تصویر تمام نگار شامل داده‌های تصویری و نیز الگوهای تداخل است. بنابراین حتی اگر آن را بشکنید، باز هم می‌توانید بخشی از آن را از روی قطعات، مجدداً بسازید.
کارآیی: رمزگذاری / رمزگشایی داده‌های نشانه باید نسبتاً ارزان، و به لحاظ «منبع‌خور بودن»[38] (پردازش و محاسبه) در پایین‌ترین سطح باشد.
امنیت: نشانه‌ها باید در برابر تغییرات و تقلبات عمدی، مقاوم باشند.

جمع‌بندی:
در کشورهایی همانند ایران که دارای زیرساختار اطلاعاتی ناهمخوانی می‌باشند، هر گونه ابتکار در زمینه کتابخانه‌های دیجیتالی به سرعت در ورطه سیاست‌های امنیتی غیرمکفی یا مارپیچ ابدی بهسازی مداوم و بی‌سرانجام می‌افتند. به خاطر هزینه کمرشکن درونی‌سازی ملاحظات امنیتی، وابستگی به اعتبارات دولتی و نیز کمبود شرکت‌های رقیب در امر رایانه‌ای، اقدامات مربوط به مدیریت امنیت مطالب و حقوق دیجیتال، غالباً چندان کارآمد و موثر نیستند. شاید در چنین مواردی بهتر باشد ذینفعان در کتابخانه‌های دیجیتالی یک کنسرسیوم امنیتی تشکیل دهند و بدین وسیله هزینه کمرشکن این کار را در میان خود تقسیم کنند. یک شیوه دیگر این است که بودجه دولتی برای تأسیس یک کتابخانه مرجع امنیت دیجیتالی استفاده شود. این کتابخانه نشانه‌های دیجیتالی منحصر به فردی را برای آن دسته از افراد که مایل به نشر مطالب خود به صورت دیجیتالی یا در شبکه هستند، صادر خواهد کرد.
پیشنهاد دیگر این است که هزینه محافظت از مجموعه‌های دیجیتالی را بر مبنای اهمیتشان، در آن‌ها سرشکن کنیم. مطالعات هزینه - فایده در شناخت این اموال به ما کمک می‌کند و نیز برآوردی از هزینه اقدامات مناسب حفاظتی به دست می‌دهد. به هر شکل، لازم است که پروتکل تأیید مقاومی برای نشانه‌گذاری مواد دیجیتالی وجود داشته باشد تا استنباطی که کاربران از اعتبار منابع در ذهن خود دارند، حفظ شود. مسئله مهم در اینجا، انتقال اصول اعتباردهی ساری در فضای کتابخانه‌های فیزیکی، به فضای مجازی است. تراکنش‌های دیرین کتابخانه‌ای و مدل‌های اطمینان‌سازی ممکن است در هنگام این گذار، دستخوش تبدیل و تطور شوند و در نتیجه، استفاده از مدل‌های تجارت الکترونیکی، در اطمینان‌سازی لازم شود.
 

پانوشتها:

 

1- Ninety-ninety rule
2- Transition
3- Transformation
4- Technology intensive
5- Life cycle
6- Profile
7- Return On Investment (ROI) Profile
8- upgrade
9- Tempest Standard: NATO classification for hardened electronics
10- Cyberterrorism
11- Risk management plan
12- Digital Library Security Plan (DLSP)
13- Trade-off
14- veribot
15- ripping
16- Code-breakers

17- اکنون در ایران بازی‌هایی مانند “Medal of Honor” به زبان فارسی موجود است.

18- www.netlibrary.com
19- Virtual bookshelf
20- Ariel
21- Corbis
22- steganography
23- Covered writing
24- Digital water-marking
25- Digimarc by mediabridge
26- Digital stream
27- Digital Video Disc
28- Digital Audio
29- CD-ROM
30-Decrypted
31- Lossy Compression
32- Cropping
33- Re-pixelization
34- Verisign
35- ID
36- www.showtimearabia.com
37- hologram
38- Resource intensive

  
منابع:

1) Arnold, Michael; Schmuker, Martin; Wolthusen, Stephen D. Techniques and Application of Digital Watermarking and Content Protection, (e-book), Artech House Computer Security Series, Artech House, Boston, Mass, 2003.
2) Clifton, Chris; Bishop, Matt; Watermarking, Computer Forensics, Risk Management, Legal and Ethical Issues, Course on Computer Security, School of Information Science, University of Pittsburg PA, 2003.
3) Doll, Mark W.; Rai, Sanjay; Granado, Jose. Defending the Digital Frontier, (e-book), John Wiley and Son, Hoboken NJ, 2003. European Council of Museums, Archives and Libraries. Technical Guidelines for Digital Cultural Content Creation Program, Working Draft Version 0.01, http://WWW.minervaeurope.org/structure/workinggroups/servprov/documents/techguid001draft.pdf
4) Matsuura, Jeffery H. Managing Intellectual Assets in Digital Age, (e-book), Artech House, Boston MA, 2003.
5) Barg, Alexander; Blakely, G.R.; Kabatiansky, Grigory A. Digital Fingerprinting Codes: Problem Statements, Constructions and Identification of Traitors. IEEE Transactions on Information Theory, Vol 49 No. 4, pp 852-865, April 2003.
6) Maiwald, Eric; Sieglein, William. Security Planning and Disaster Recovery. (e-bbok), Artech House Computer Security Series, Artech House, Boston MA, 2002.
7) Library of Congress. Building a National Strategy for Digital Preservation: Issues in Digital Media Archiving, Council on Library and Information Resources, Washington DC, 2002.
8) DeMaio, Harry B. B2B and Beyond: New Business Models Built on Trust, (e-book), John Wiley and Sons, New York NY, 2001.
9) Katzenbeisser, Stefan; Petitcolas, Fabian A.P. Information Hiding Techniques for Steganography and Digital Watermarking, (e-book), Artech House Computer Security Series, Artech House, Boston, Mass, 2000.
 

 منابع پیشنهادی برای مطالعه بیشتر:


1) The art of deception: Controlling the human element of Security / Kevin D. Mitnick and William L. Simon. (2002)
2) Bigelow’s virus troubleshooting Pocket reference / Ken Dunham; edited by Michael Sprague. (2000)
3) Borders in cyberspace: information policy and the global information infrastructure / edited by Brian Kahin and Charles Nesson. (1997)
4) Check Point NG: next generation security administration / Drew Simonis… [et al.]; Cherie Amon, technical editor; Allen Keele, technical reviewer. (2002)
5) The complete idiot’s guide to protecting yourself online / by Preston Galla. (1999)
6) Database integrity: challenges and solutions / Jorge H. Doom, Laura C. Rivero. (2002)
7) Database nation: the death of privacy in the 21st century / Simon Garfinkel. (2000)
8) Defending the digital frontier: a security agenda / mark W. Doll, Sajay Rai, Jose Granado. (2003)
9) Designing security architecture solutions / Jay Ramachandran. (2002)
10)  Developing secure distributed systems with CORBA / Ulrich Lang, Rudolf Schreiner. (2002)
11)  The global internet trust register / Ross J. Anderson, et al. (1999)
12)  Hack proofing XML / ‘ken’@ftu … [et al.]; Larry Loeb, technical editor. (2002)
13)  Hack proofing your identity in the information age: protect your family on the internet! / Teri Bidwell; Michael Cross, technical editor; Ryan Russell, technical reviewer. (2002)
14)  Hack proofing Cold Fusion / Greg Meyer … [et al.]; Steven Casco, technical editor. (2002)
15)  Hack proofing your network / David R. Mirza Ahmad … [et al.]; Ryan Russell, technical editor. (2002)
16)  Hack proofing your wireless network / Christian Barnes, et al.; Neal O’Farrell, technical editor. (2002)
17)  Hack attacks testing: how to conduct your own security audit / John Chirillo. (2003)
18)  Introduction to communication electronic warfare systems / Richard Poisel. (2002)
19)  Introduction to cryptography with Java applets / David Bishop. (2003)
20)  ISA server and beyond: real world security for Microsoft enterprises networks / Thomas W. Shinder and Debra Littlejohn Shinder, Martin Grasdal, editor. (2002)
21)  Java security / Scott Oaks. (1998)
22)  Local area network management design, and security: a practical approach / Arne Mikalsen and Per Borgeson.
23)  Legislating privacy: technology, social values, and public policy / Priscilla M. Regan. (1995)
24)  Managing Cisco network security / Eric Knipp, et al.; Edgar Danielyan, technical editor. (2002)
25)  Mastering Web services security / Bret Hartman … [et al.]. (2003)
26)  Mission – critical security planner: when hackers will not  take no for an answer / Eric Greenberg. (2003)
27)  Nokia network security: solutions handbook / Doug Maxwell, Cherie Amon. (2002)
28)  Planning for survivable networks: ensuring business continuity / Annlee Hines. (2002)
29)  Practical guide for implementing secure intranets and extranets / Kaustaubh M.Phaltankar. (2000)
30)  Privacy defended: Protecting yourself online / Gary Bahadur, William Chan, Chris Weber. (2002)
31)  Privacy in the information age / Fred H. Cate (1997)
32)  Privacy on the line: the politics of wiretapping and encryption / Whitfield Diffie, Susan Landau. (1998)
33)  Protect your digital privacy! : survival skills for the information age / Glee Harrah Cady, Pat McGregor. (2002)
34)  Scene of the cybercrime: computer forensics handbook / Debra Littlejohn Shinder; Ed Tittel, technical editor. (2002)
35)  Security planning & disaster recovery / Eric Maiwald, William Sieglein. (2002)
36)  Security+ : study guide & DVD training system / Michael Cross, Norris L. Johnson, Jr., Tony Piltzcker; Robert J. Shimonski, Debra Littlejohn Shinder, technical editors. (2002)
37)  Technology and Privacy : the new landscape / edited by Philip E. Agre and Marc Rotenberg. (1997)
38)  Terminal compromise / by Winn Schwartau. (1999)
39)  Trust in cyberspace / Fred B Schneider, editor; Committee on Information Systems Trustworthiness, Computer Science and Telecommunications Board, Commission on Physical Sciences, Mathematics and Applications, National Research Council. (1999)
40) Wireless security: models, threasts, and solutions / Randall K. Nichols, Panos C. Lekkas. (2002)

نظرات 0 + ارسال نظر
برای نمایش آواتار خود در این وبلاگ در سایت Gravatar.com ثبت نام کنید. (راهنما)
ایمیل شما بعد از ثبت نمایش داده نخواهد شد