نوع مقاله : مقاله پژوهشی
نویسندگان
1 دانشیار گروه کتابداری و اطلاعرسانی، دانشگاه آزاد اسلامی، واحد علوم و تحقیقات تهران
2 کارشناس ارشد کتابداری و اطلاعرسانی دانشگاه آزاد اسلامی، واحد علوم و تحقیقات تهران
چکیده
کلیدواژهها
مقدمه و بیان مسئله
مزایای ذخیرهسازی اطلاعات به صورت الکترونیکی، کاربرد وسیع رایانهها در فعالیتهای حرفهای گوناگون را ناگزیر ساخته و استفاده از شبکههای رایانهای و بویژه اینترنت، تغییرات اساسی در روند ارائه خدمات به وجود آورده است. این امکانات سبب شده حجم بسیار زیادی از اطلاعات تنها به اندازة یک سرانگشت با کاربران فاصله داشته باشد. ناگفته پیداست، در این محیط پیچیده با این ارتباطات وسیع، مخاطرات گستردهای سیستمهای رایانهای، سامانههای اطلاعاتی و فعالیتها و زیرساختهای حیاتی وابسته به آنها را تهدید میکند (سادوسکای و دیگران،1384: 9).
سازمانها اغلب در معرض انواع تهدید مانند دستکاری اطلاعات مرجع و یا سرقت اطلاعات حیاتی و سرمایههای اطلاعاتی قرار دارند. در چنین شرایطی، چنانچه عواملی که میتوانند از مزایای سیستمها به شمار بروند (مثل سرعت و قابلیت دسترسی بالا) تحت کنترل نباشند، ممکن است باعث بروز آسیبپذیری شده، سوء استفادة افراد بد نیت از آنها به نفوذ و خرابکاری، کلاهبرداری و یا اخاذی بینجامد. علاوه بر این، مشکلات طبیعی و خطاهای غیرعمدی که توسط کاربران رایانهای رخ میدهد، درصورت نبود روشهای صحیح برای حفاظت از اطلاعات، میتواند نتایج مخربی را به بار آورد. چنان که «کریدا[1] و دیگران» (2005) تأکید میکنند، حفاظت سیستمهای اطلاعاتی از حملات امنیتی یک چالش مستمر است که بسیاری از سازمانها با آن مواجهند.
با این اوصاف، تدوین و اجرای تدابیر امنیتی در قبال این تهدیدهای گسترده، ضرورتی اجتناب ناپذیر برای سازمانهاست. اتخاذ تدابیر مناسب میتواند احتمال وقوع مخاطرات را به حداقل برساند و یا در صورت وقوع آنها، میزان خسارتهای وارده را در حد بسیار ناچیزی نگه دارد. اینگونه تدابیر امنیتی، موجب افزایش قابلیت واکنش سریع و مؤثر میشود و به این ترتیب سازمانها قادر خواهند بود برای ترمیم خسارتها از فرایندهای از پیش تعیین شده استفاده کنند و بهرهوری و ایمنی اطلاعات، افزایش یافته، کسب و کار به صورت مطمئنتری تداوم یابد (سادوسکای و دیگران، 1384: 9). امنیت اطلاعات عبارت است از حفاظت زیرساختهای فناوری اطلاعات و تضمین در دسترس بودن آن (ورمولن و سولمز[2]، 2002؛ هونان[3]، 2006). از همینرو، حیات کتابخانههای دیجیتالی، ارتباط نزدیکی با سیستمهای امنیت اطلاعات دارد.
قلمروِ توصیف شدة کتابخانههای دیجیتالی، برخلاف کتابخانههای سنتی، بسیار وسیع است. در کتابخانههای دیجیتالی، کاربر به مواد و منابع متنوعی دسترسی دارد و مجموعهها و امکانات موجود، نسبت به کتابخانههای سنتی در معرض مخاطرات بیشتری قرار دارند. این کتابخانهها نیازمند پیادهسازی برنامههای دقیقِ کنترل و سازوکارهای لازم برای نگهداری داراییهای اطلاعاتی خود در دراز مدت هستند. کتابخانة دیجیتالی، نهادی اجتماعی و چیزی بیش از مجموعهای از فناوریهاست و باید از سازوکارهای جدید برای نگهداری مواد استفاده کند (شارما؛ ویشواناتان[4]، 1385). دسترسی غیرمجاز به اطلاعات و حمله به کتابخانههای دیجیتالی، اتفاقهای محتملی هستند که به عنوان نمونههایی از آنها میتوان به دو رخنة امنیتی در دانشگاه ایندیانا در ایالات متحده آمریکا در تابستان 2002 و ماه می 2004 اشاره کرد که در هر دو مورد، زمان و تلاش زیادی برای بازگرداندن اطلاعات و ارتقای سیستم امنیتی جدید صرف شد (چنگ[5]، 2005). یک مورد دیگر از اینگونه حملهها، در یک کتابخانه در دانشگاه نوتردام رخ داد و در طی آن، اطلاعات موجود در معرض خطرهای امنیتی قرار گرفت (فاکس[6]، 2006). بیتردید، حفاظت بلند مدت دیجیتالی و ارتقای دسترسپذیری میراث مکتوب که هدفهای اساسی کتابخانههای دیجیتالی است، بدون لحاظ کردن مسائل امنیتی امکان تحقق نخواهد یافت. تحقیق جهانی امنیت اطلاعات «ارنست و یانگ[7]» در سال ۲۰۰۳ نشان میدهد ۹۰% سازمانها معتقدند امنیت اطلاعات برای دستیابی آنها به هدفهای کلیشان بسیار حایز اهمیت است (نقل در سادوسکای[8] و دیگران، 1384 : 121).
برخی از مهمترین مسائل مربوط به امنیت در کتابخانههای دیجیتالی میتواند شامل امنیت سختافزارها و دیتا سنترها، جایگاه فیزیکی دیتاسنترها و سرورها، امنیت تبادل اطلاعات، امنیت نرمافزارهای کاربردی مورد استفاده، امنیت نرمافزارهای ضد ویروس و فایروال، الگوی قوانین و مقررات حاکم بر سایت باشد. علاوه بر آن، دیجیتالی کردن آثار، خطر تجاوز به حقوق مؤلفان و پدیدآوران را نیز افزایش میدهد، زیرا یکی از مهمترین ویژگیهای محیط دیجیتالی، شکلپذیری و قابلیت تغییر شکل آثار به میزان بالاست. ناشران الکترونیک و کتابخانههای دیجیتالی به عنوان نگهبانان حقوق معنوی، نقش فراوانی در جلوگیری از اخلال حقوق مؤلفان دارند؛ زیرا پس از انتشار یک اثر به صورت آنلاین، امکان نسخهبرداری الکترونیکی آن و دسترسی به حجم عظیمی از اطلاعات وجود دارد. بدیهی است، چنین سرقتی در محیط چاپی امکانپذیر نیست (زایلینسکی، 1377). جلوگیری از ورودهای غیرمجاز، از آن جهت نیز اهمیت دارد که اشتراک پایگاههای اطلاعاتی دارای بار مالی است و مرکز اطلاعرسانی خود نیز اقدام به دریافت وجه در قبال اطلاعات ارائه شده به مراجعان میکند. علاوه بر آن، جلوگیری از آسیبهای احتمالی از سوی هکرها و نفوذگران به شبکة اینترنت نیز مسئله امنیت و حفاظت از منابع اطلاعاتی در کتابخانههای دیجیتالی را به عنوان یک امر حایز اهمیت مطرح میکند (علیپور حافظی؛ مطلبی، 1382).
نحوة استفاده و کنترل دستیابی به منابعی که به اشتراک گذاشته شدهاند، از مهمترین هدفهای یک سیستم امنیتی در شبکه است. هر سازمان برای حفاظت از اطلاعات ارزشمند، باید به یک راهبرد خاص پایبند باشد و بر اساس آن سیستم امنیتی را پیادهسازی و اجرا نماید(برینی[9]، 2001). با وجود اهمیت حفظ امنیت در محیطهای اطلاعرسانی، این امر مهم در مقایسه با موضوعهایی مانند کمیّت و کیفیت سایتها و پایگاههای اطلاعاتی تحت وب، کمتر مورد توجه پژوهشگران قرار گرفته است. از همین رو، این پژوهش، مسائل امنیتی در کتابخانههای دیجیتالی ایران را بر اساس کنترلهای امنیتی استاندارد ISO/IEC 27002 که از پراستفادهترین استانداردهای امنیت اطلاعات است، مورد مطالعه قرار میدهد.
سؤالهای پژوهش
فرضیههای پژوهش
بین میانگین شاخصهای امنیت اطلاعات کتابخانههای دیجیتالی تفاوت معناداری وجود دارد.
بین کتابخانههای دیجیتالی دانشگاهی و غیردانشگاهی برحسب امنیت اطلاعات تفاوت معناداری وجود دارد.
پیشینة پژوهش
«محمودزاده و راد رجبی»(1385) در پژوهشی، مدیریت امنیت در سیستمهای اطلاعاتی و تأثیر عواملی که سیستمهای اطلاعاتی سازمانها را با خطر سرقت، نابودی و یا تغییر اطلاعات مواجه میسازند، مورد مطالعه قرار داد. نتایج پژوهش نشان داد مولفة آگاهی نداشتن کاربران بالاترین تهدید و پس از آن «امنیت نیروی انسانی» دومین تهدید برای امنیت اطلاعات سیستمهای رایانهای است. «طاهری» (1386) چارچوبی برای نقش عوامل انسانی در امنیت سیستمهای اطلاعاتی ارائه داده است. به طور خاص، هدف پژوهش یادشده، شناسایی و مدلسازی سازههای مدیریتی مؤثر بر اثربخشی امنیت سیستمهای اطلاعاتی بود. در این راستا، سازههای حمایت مدیریت عالی، آموزش امنیتی، فرهنگ امنیتی، مهارت امنیتی، تقویت خطمشی امنیتی، تجربیات و خودباوری افراد به عنوان عوامل مؤثر بر اثربخشی امنیت سیستمهای اطلاعاتی معرفی شدند.
«آرام» (1388) شاخصهای مؤثر بر مدیریت امنیت اطلاعات در فناوری اطلاعات شرکت گاز پارس جنوبی را مورد سنجش قرار داد. در این پژوهش، ابتدا شاخصهای تأثیرگذار بر مدیریت امنیت اطلاعات تعیین گردید، سپس با استفاده از تحلیل اطلاعاتی که از طریق پرسشنامه جمعآوری شده بود، به رتبهبندی و تعیین جایگاه شاخصها و عوامل کلیدی موثر بر بهبود سیستم مدیریت امنیت اطلاعات و تعیین مؤثرترین شاخصها پرداخته شد. نتایج پژوهش حاکی از تأثیرگذاری بیشتر عوامل انسانی از دیدگاه کارشناسان فناوری اطلاعات بود و پس از آن شاخصهای مربوط به عوامل مدیریتی، فنی و مالی قرار داشت.
«زنده دل نوبری» (1389) مدلی برای رتبهبندی سازمانها بر مبنای اندازهگیری و شناسایی میزان بلوغ امنیت اطلاعات در آنها ارائه نمود. بدین منظور، پس از تعیین شاخصهای امنیت اطلاعات در قالب دو دستة کلیِ فنی و مدیریتی و با توجه به معیارهای سهگانة «امنیت»، «ایمنی» و «پایداری»، نظرهای خبرگان فناوری اطلاعات بخشهای انفورماتیک در سه سازمان مطالعه شد. با توجه به یافتهها، از نظر بلوغ امنیت، بانک پاسارگارد رتبة اول، دانشگاه تهران رتبة دوم و بانک تجارت رتبة سوم را به دست آوردند.
«چانگ و هو[10]»(2006) به عوامل سازمانی مؤثر در پیادهسازی مدیریت امنیت اطلاعات پرداختند. این پژوهشگران ضمن تأکید بر نیاز سازمانها به ساختارهای مدیریتی برای حفظ داراییهای اطلاعاتی، اینگونه ساختارهای امنیتی را سلاحی مؤثر برای بقا در عرصة رقابت عنوان میکنند. براساس یافتههای پژوهش، توانایی مدیران فناوری اطلاعات و نبود اطمینان محیطی، تأثیر مثبتی بر روی سازمانها در پیادهسازی مدیریت امنیت اطلاعات و استاندارد BS7799 داشته است. همچنین، یافتهها نشان داد عوامل سازمانی شامل اندازة سازمان و نوع صنعت، به نحو قابلتوجهی کاربرد مدیریت امنیت اطلاعات را تحت تأثیر قرار میدهد. «کوزما»[11] (2010) به آسیبپذیری امنیت در کتابخانههای دیجیتالی اروپا پرداخت و با استفاده از یک نرمافزار آزمایش خطرپذیری وب سایت، مسائل امنیتی 80 کتابخانة دیجیتالی اروپایی را بررسی نمود. نتایج نشان داد اکثر کتابخانههای دیجیتالی نقص امنیتی جدی در برنامههای کاربردی تحت وب خود دارند. اکثر کتابخانههای اروپای غربی، مشکلات امنیتی بحرانی (25 %) و یا در سطح متوسط (40 %) داشتند که منجر به تجارت ناامن آنلاین شده بود. همچنین، یافتهها حاکی از این بود که با وجود قوانین مربوط به حفاظت اطلاعات، کتابدارن اقدامهای لازم برای ایمنسازی سیستمهای اطلاعاتی آنلاین را اجرا نمیکنند.
«محابی[12]»(2010) آگاهی از امنیت اطلاعات از دیدگاه مدیران سیستم و کاربران نهایی در دانشگاه ایالتی فلوریدا را مطالعه نمود. نتایج نشان داد مدیران سیستم تأکید بیشتری بر تهدیدهای خارجی و فنی نسبت به تهدیدهای داخلی و غیر فنی ناشی از عوامل مختلف مانند دسترسی منابع، رفتار با کاربران و رضایت از ابزار فنی دارند. بخش دوم مطالعه که به بررسی کاربران نهایی مربوط بود، حاکی از نیاز به آموزش کاربران و ارتقای آگاهیهای آنها بود تا بتوانند از خود در برابر تهدیدهای امنیتی محافظت کنند. نتایج این مطالعه، اهمیت عوامل انسانی در امنیت اطلاعات را مورد تأکید قرار داد. «تینتاماسیک[13]»(2010) به بررسی رابطه بین سیستمهای سازمان و آگاهی امنیت اطلاعات پرداخت. تمرکز این پژوهش بر روی بررسی رابطة حیاتی بین سیستمهای سازمان در چارچوب نظریة رفتار سازمانی و آگاهی امنیت اطلاعات (ISA) در چارچوب نظریة امنیت اطلاعات بود. مسئله اصلی در این مطالعه، آگاهی نداشتن کاربران از مسائل امنیتی به عنوان یک عامل بازدارنده برای سازمانها در دفاع در برابر حملات سایبر بود. بر اساس یافتهها، ارتباط معناداری بین آگاهی کاربران از امنیت اطلاعات و ابعاد ساختار سازمان رسمی، ابعاد فرهنگ سازمانی و روشها و سیاستهای منابع انسانی وجود دارد.
روششناسی پژوهش
روش پژوهش، پیمایشی تحلیلی و جامعة پژوهش، کتابخانههای دیجیتالی ایران است. در پژوهش حاضر، منظور از کتابخانههای دیجیتالی ایران، کتابخانههایی هستند که بر اساس خطمشی خاص و با بهرهگیری از کارکنان متخصص، منابع اطلاعاتی دیجیتال را گردآوری و یا تولید کرده، به شکل دیجیتالی ذخیره، سازماندهی و از طریق ارائه خدمات به کاربران خود اشاعه میدهند. این کتابخانهها شامل کتابخانههایی هستند که از نرمافزارهای کتابخانههای دیجیتالی مانند نوسا، پارس آذرخش، پروان پژوه، پاپیروس، پیام مشرق، وستا و ارم استفاده میکنند. همچنین، کتابخانة دیجیتالی مانند نورلایب، تبیان، دید که دارای نرمافزارهای خود ساخته بودند، جزء جامعه آماری پژوهش هستند. پس از بررسیهای به عمل آمده، تعداد 58 کتابخانة دیجیتالی فعال در ایران در زمان پژوهش (تابستان 1390) شناسایی شد.
با توجه به هدفهای پژوهش، بهترین راه جمعآوری اطلاعات، استفاده از پرسشنامه بود که بر مبنای استانداردISO/IEC 27002 تهیه گردید. پرسشنامه شامل 79 سؤال دو وجهی (یک برای بلی و صفر برای خیر) برای سنجش یازده شاخص امنیت اطلاعات در کتابخانههای دیجیتالی ایران بود. این شاخصها عبارتند از: خطمشی امنیت، سازماندهی امنیت اطلاعات، مدیریت داراییها، امنیت منابع انسانی، امنیت فیزیکی و محیطی، مدیریت ارتباطات و عملیات، کنترل دسترسی، تهیه، توسعه و نگهداری سیستمهای اطلاعاتی، مدیریت حوادث امنیت اطلاعات، مدیریت تداوم کسب و کار و انطباق.
اعتبار صوری و محتوایی پرسشنامه پس از بررسی دقیق متخصصان کتابداری و اطلاعرسانی و متخصصان و کارشناسان فناوری اطلاعات، تأیید شد. پایایی پرسشنامه نیز با محاسبه آلفای کرونباخ بررسی و با آلفای 92/. تأیید گردید. پرسشنامهها توسط مسئولان فناوری اطلاعات و مدیران کتابخانههای دیجیتالی پاسخ داده شدند. (برای اطلاع از شاخصهای مورد بررسی در پژوهش، نمونة پرسشنامه در پیوست آمده است).
برای تعیین سطح امنیت در تحلیل دادهها، میانگین پاسخها در بازة صفر تا 1 به سه سطح تقسیم شده است؛ به این ترتیب که میانگین 0 – 34/0 نشانگر سطح ضعیف، 34/0- 67/0 سطح متوسط و 67/0- 1 سطح قوی است. برای آزمون فرضیۀ تفاوت معنادار بین میانگین شاخصهای امنیت کتابخانههای دیجیتالی از آنالیز واریانس و برای آزمون فرضیه وجود تفاوت معنادار بین امنیت اطلاعات در کتابخانههای دیجیتالی دانشگاهی و غیردانشگاهی، از آزمون t استفاده شد. تحلیل دادهها با استفاده از نسخه 16 نرمافزاری آماری SPSS انجام گرفت.
یافتههای پژوهش
یافتهها در مورد سیستم عامل مورد استفاده در سرور اصلی سایت کتابخانههای دیجیتالی ایران نشان داد بیشترین تعداد (4/84%) کتابخانهها از ویندوز و کمترین تعداد (6/15%) از لینوکس استفاده میکنند. در بررسی نوع سرور نیز مشخص شد سرور به صورت اختصاصی با 8/97 % بیشترین فراوانی و سرور به صورت اجارهای با 2/2% کمترین فراوانی را دارد. همچنین، تمام سرورهای کتابخانههای دیجیتالی با درصد فراوانی 100 در داخل ایران مستقر بوده، 39 کتابخانه دیجیتالی با درصد فراوانی 7/86 دارای آیپی اختصاصی هستند.
برای کسب اطلاعات زمینهای در مورد کتابخانههای دیجیتالی ایران، نرمافزارهای مورد استفاده در این کتابخانهها نیز مورد پرسش قرار گرفت که یافتههای مربوط، در جدول 1 نشان داده شده است.
جدول 1. توزیع فراوانی نرمافزارهای مورد استفاده کتابخانههای دیجیتالی
نرمافزار |
فراوانی |
درصد فراوانی |
پیام مشرق |
14 |
1/31 |
پارس آذرخش |
14 |
1/31 |
نوسا |
5 |
1/11 |
پروان پژوه |
4 |
9/8 |
خود ساخته |
4 |
9/8 |
پاپیروس |
2 |
4/4 |
ارم |
1 |
2/2 |
وستا |
1 |
2/2 |
کل |
45 |
100 |
جدول 1 نشان میدهد نرمافزار پارس آذرخش و پیام مشرق بالاترین فراوانی (1/31٪) و نرم افزار ارم و وستا کمترین فراوانی (2/2٪) را دارند.
سؤال اول پژوهش: وضعیت امنیت اطلاعات در کتابخانههای دیجیتالی ایران چگونه است؟
جدول 2. شاخصهای میانگین و انحراف معیار امنیت اطلاعات در کتابخانههای دیجیتالی ایران
شاخصهای آماری متغیر |
میانگین |
انحراف معیار |
تعداد |
امنیت اطلاعات |
79/0 |
165/0 |
45 |
در جدول 2 شاخصهای میانگین و انحراف معیار امنیت اطلاعات در کتابخانههای دیجیتالی نشان داده شده است. میانگین امنیت اطلاعات کل کتابخانههای دیجیتالی 79/0 است که در سطح قوی ارزیابی میشود.
سؤال دوم پژوهش: آسیبپذیرترین نقاط امنیتی در کتابخانههای دیجیتالی ایران بر اساس شاخصهای مورد مطالعه کدامند؟
جدول3. میانگین و انحراف معیار شاخصهای امنیت اطلاعات کل کتابخانههای دیجیتالی ایران
شاخصها |
میانگین |
انحراف معیار |
امنیت فیزیکی و محیطی |
87/0 |
21/0 |
مدیریت تداوم کسب و کار |
84/0 |
30/0 |
مدیریت داراییها |
83/0 |
24/0 |
مدیریت ارتباطات و عملیات |
82/0 |
20/0 |
کنترل دسترسی |
79/0 |
18/0 |
تهیه، توسعه و نگهداری سیستمهای اطلاعاتی |
78/0 |
23/0 |
انطباق |
78/0 |
25/0 |
سازماندهی امنیت اطلاعات |
71/0 |
27/0 |
مدیریت حوادث امنیت اطلاعات |
70/0 |
27/0 |
خطمشی امنیت |
63/0 |
42/0 |
امنیت منابع انسانی |
63/0 |
30/0 |
در جدول3 مشاهده میشود که شاخصهای «خطمشی امنیت» با میانگین63/0 و «امنیت منابع انسانی» با میانگین 63/0 پایینترین میانگین را دارند و آسیبپذیرترین نقاط امنیتی کتابخانههای دیجیتالی ایران هستند.
سؤال سوم پژوهش: رتبهبندی کتابخانههای دیجیتالی ایران بر حسب امنیت اطلاعات چگونه است؟
جدول4. شاخصهای میانگین و انحراف معیار امنیت اطلاعات کتابخانههای دیجیتالی ایران به ترتیب نزولی
کتابخانة دیجیتال |
میانگین |
انحراف معیار |
کتابخانة دیجیتال مؤسسه نشر امام خمینی(ره) |
1 |
0 |
کتابخانه دیجیتال پژوهشگاه نیرو |
1 |
0 |
کتابخانه دیجیتال فرهنگستان هنر |
1 |
0 |
کتابخانه دیجیتال علوم انسانی شهرداری تهران |
1 |
0 |
کتابخانه دیجیتال شرکت برق منطقهای خراسان |
1 |
0 |
کتابخانه دیجیتال دانشگاه تبریز |
1 |
0 |
کتابخانه دیجیتال مجلس |
99/0 |
11/0 |
کتابخانه دیجیتال علوم پزشکی و خدمات بهداشتی درمانی شهید بهشتی |
99/0 |
13/0 |
کتابخانه دیجیتال شرکت ملی مناطق نفتخیز جنوب |
99/0 |
11/0 |
کتابخانه دیجیتال دانشگاه علوم پزشکی گیلان |
97/0 |
22/0 |
کتابخانه دیجیتال شهرک علمی و تحقیقاتی اصفهان |
96/0 |
27/0 |
کتابخانه دیجیتال مرکز مخابرات ایران |
91/0 |
30/0 |
کتابخانه دیجیتال مرکز اطلاعات و مدارک علمی ایران (ایران داک) |
90/0 |
26/0 |
کتابخانه دیجیتال مرکزی تبریز |
90/0 |
38/0 |
کتابخانه دیجیتال شهرداری تهران (کتابخانه مرکزی شهرداری تهران) |
89/0 |
35/0 |
کتابخانه دیجیتال دانشگاه امیرکبیر |
86/0 |
37/0 |
کتابخانه دیجیتال دانشگاه علوم پزشکی زنجان |
85/0 |
36/0 |
کتابخانه دیجیتال دانشگاه علوم پزشکی شهید صدوقی یزد |
84/. |
43/0 |
کتابخانه دیجیتال دانشگاه علوم پزشکی تهران |
83/0 |
38/0 |
کتابخانه دیجیتال شرکت ملی صنایع پتروشیمی تهران |
82/0 |
42/0 |
کتابخانه دیجیتال پژوهشکده تحقیقات فضایی |
82/0 |
38/0 |
کتابخانه دیجیتال دانشگاه صنعتی اصفهان |
81/0 |
40/0 |
کتابخانه دیجیتال ارم |
80/. |
40/0 |
کتابخانه دیجیتال کتابخانه ملی ایران |
80/0 |
43/0 |
کتابخانه دیجیتال دانشگاه علوم پزشکی بیرجند |
79/0 |
42/0 |
کتابخانه دیجیتال دانشگاه علوم پزشکی شیراز |
78/0 |
44/0 |
کتابخانه دیجیتال دانشگاه علوم پزشکی و خدمات درمانی ایلام |
77/0 |
42/0 |
کتابخانه دیجیتال دانشگاه آزاد اسلامی واحد نجفآباد |
77/0 |
45/0 |
کتابخانه دیجیتال دانشگاه یزد |
76/0 |
46/0 |
کتابخانه دیجیتال دانشگاه صنعتی شریف |
75/0 |
46/0 |
کتابخانه دیجیتال دانشگاه شیراز |
74/0 |
39/0 |
کتابخانه دیجیتال آستان قدس احمدی و محمدی (شاه چراغ) |
74/0 |
45/0 |
کتابخانه دیجیتال تبیان |
74/0 |
47/0 |
کتابخانه دیجیتال شهرداری اصفهان |
71/0 |
48/0 |
کتابخانه دیجیتال نور |
67/0 |
50/0 |
کتابخانه دیجیتال معاونت توسعه و فناوری اطلاعات و تجارت الکترونیکی وزارت بازرگانی |
65/0 |
48/0 |
کتابخانه دیجیتال مدیریت بحران شهرداری تهران |
64/0 |
49/0 |
کتابخانه دیجیتال دانشگاه ولیعصر رفسنجان |
62/0 |
49/0 |
کتابخانه دیجیتال دانشگاه ارومیه |
60/0 |
50/0 |
کتابخانه دیجیتال سازمان بورس و اوراق بهادار تهران |
60/0 |
49/0 |
کتابخانه دیجیتال سازمان فرهنگی هنری شهری تهران(کتابخانه عمومی تهران) |
59/0 |
50/0 |
کتابخانه دیجیتال پردیس علوم دانشگاه تهران |
55/0 |
50/0 |
کتابخانه دیجیتال موسسه تحقیقات و نشر معارف اهلالبیت |
49/0 |
50/0 |
کتابخانه دیجیتال دانشگاه صنعتی جندی شاپور |
41/0 |
50/0 |
کتابخانه دیجیتال دانشکده کارآفرینی تهران |
37/0 |
49/0 |
چنانکه در جدول 4 مشاهده میشود، کتابخانههای دیجیتال مؤسسه نشر امام خمینی، پژوهشگاه نیرو، فرهنگستان هنر، کتابخانه دیجیتال علومانسانی شهرداری تهران، کتابخانه دیجیتال شرکت برق منطقهای خراسان، کتابخانه دیجیتال دانشگاه تبریز با میانگین 1 بالاترین میانگین را داشته، در سطح قوی قرار ارزیابی میشوند. کتابخانه دیجیتال دانشکده کارآفرینی تهران با میانگین 37/. دارای پایینترین میانگین است و در سطح متوسط ارزیابی میشود.
جدول5. توزیع فراوانی سطوح امنیت اطلاعات در کتابخانههای دیجیتالی ایران
کتابخانههای دیجیتال |
فراوانی |
درصد فراوانی |
سطح قوی |
34 |
55/75 |
سطح متوسط |
11 |
46/24 |
سطح ضعیف |
0 |
0 |
جمع |
45 |
100 |
جدول 5 نشان میدهد بیشترین درصد (55/75 %) کتابخانههای دیجیتالی از نظر امنیت اطلاعات در سطح قوی قرار دارند. سطح امنیت در 46/24 % کتابخانهها متوسط است.
فرضیه اول: بین میانگین شاخصهای امنیت اطلاعات کتابخانههای دیجیتالی تفاوت معناداری وجود دارد.
برای آزمون تفاوت معنادار بین شاخصهای امنیت اطلاعات، از آنالیز واریانس یک راهه در سطح اطمینان 95 % استفاده گردید. نتایج آزمون در جدول 6 نشان داده شده است.
جدول6. نتایج آزمون آنالیز واریانس برای مقایسة میانگینهای شاخصهای امنیت اطلاعات کتابخانههای دیجیتالی
شاخصها |
تعداد |
میانگین |
انحراف معیار |
مقدار آماره f |
درجه آزادی |
p-value |
نتیجه آزمون |
خطمشی امنیت |
43 |
63/0 |
42/0 |
95/3 |
10 |
00/0 |
اختلاف معنادار |
سازماندهی امنیت اطلاعات |
44 |
71/0 |
27/0 |
||||
مدیریت داراییها |
43 |
83/0 |
24/0 |
||||
امنیت منابع انسانی |
45 |
63/0 |
30/0 |
||||
امنیت فیزیکی و محیطی |
45 |
87/0 |
21/0 |
||||
مدیریت ارتباطات و عملیات |
45 |
82/0 |
20/0 |
||||
کنترل دسترسی |
45 |
79/0 |
18/0 |
||||
تهیه، توسعه و نگهداری سیستمهای اطلاعاتی |
45 |
78/0 |
23/0 |
||||
مدیریت حوادث امنیت اطلاعات |
44 |
70/0 |
27/0 |
||||
مدیریت تداوم کسب و کار |
42 |
84/0 |
30/0 |
||||
انطباق |
43 |
78/0 |
25/0 |
چنانکه در جدول 6 مشاهده میشود، مقدار سطح معناداری برابر صفر است و با توجه به اینکه این مقدار کمتر از 05/0 است، فرضیة اول پژوهش تأیید میشود و تفاوت میانگین در بین شاخصهای مختلف معنادار است. نتایج آزمون تعقیبی توکی نشان داد میانگین شاخص امنیت فیزیکی و محیطی به نحو معناداری بیش از سایر شاخصهاست و کتابخانهها در این شاخص به نحو معناداری قویتر هستند. همچنین، آزمون توکی حاکی از این بود که میانگین شاخص امنیت منابع انسانی به نحو معناداری کمتر از سایر شاخصهاست.
فرضیه دوم: بین کتابخانههای دیجیتالی دانشگاهی و غیردانشگاهی برحسب امنیت اطلاعات تفاوت معناداری وجود دارد.
برای آزمون فرضیه دوم، از آزمونt برای دو نمونة مستقل در سطح اطمینان 95 % استفاده شد. نتایج در جدول 7 نشان داده شده است.
جدول7. نتایج آزمونt برای مقایسه امنیت اطلاعات کتابخانههای دیجیتالی دانشگاهی و غیردانشگاهی ایران
متغیر |
تعداد |
میانگین |
انحراف معیار |
آمارهt |
درجه آزادی |
سطح معناداری |
کتابخانههای دیجیتال دانشگاهی |
20 |
75/0 |
17/0 |
46/1- |
43 |
15/0 |
کتابخانههای دیجیتال غیردانشگاهی |
25 |
82/0 |
15/0 |
چنانکه در جدول 7 مشاهده میشود، با توجه به سطح معناداری که برابر 15/. شده و بیشتر از 05/. میباشد، فرض صفر آزمون پذیرفته میشود. به این ترتیب، وجود تفاوت معنادار بین دو گروه تأیید نمیشود و در نتیجه فرضیه دوم پژوهش رد میشود.
بحث و نتیجهگیری
یافتههای پژوهش مبنی بر وضعیت امنیت اطلاعات در کتابخانههای دیجیتالی ایران، نشان داد میانگین امنیت کل کتابخانههای دیجیتالی 79/0 است. با توجه به میانگین یادشده، امنیت اطلاعات در کتابخانههای دیجیتالی ایران در سطح قوی ارزیابی میشود. سایر یافتهها حاکی از این بود که آسیبپذیرترین نقاط امنیتی در کتابخانههای دیجیتالی ایران بر اساس شاخصهای مورد مطالعه، شاخص «خطمشی امنیت» با میانگین 63/0 است. وجود خطمشی امنیت از مهمترین شاخصهای تعیین کنندة برنامههای سازمان برای حفظ امنیت منابع دیجیتالی است. «خط مشی امنیت گامهای لازم برای حفاظت سرمایهها را تعریف میکند. نخست، مشخص میکند از چه چیزی حفاظت میشود و چرا. دوم، مسئولیت مربوط به تأمین این حفاظت را مشخص میکند. سوم، زمینهای برای تفسیر و حل مشکلات آتی ارائه میدهد» (سادوسکای و دیگران، 1384: 150). با توجه به اهمیت تدوین خطمشی امنیتی در کتابخانههای دیجیتالی، یافتههای پژوهش حاضر توجه مسئولان را به این شکاف امنیتی در کتابخانههای دیجیتالی ایران جلب میکند.
دومین شاخصی که بر اساس یافتهها، کمترین میانگین را در کتابخانههای دیجیتالی ایران دارد، «امنیت منابع انسانی» با میانگین 63/0 است که پس از شاخص خطمشی، آسیبپذیرترین نقاط امنیتی کتابخانههای دیجیتالی ایران است. یافتههای این پژوهش با نتایج پژوهش «آرام» (1388)، «محمودزاده و راد رجبی» (1384) مبنی بر تعیین عوامل تأثیرگذار بر امنیت اطلاعات همخوانی دارد. در آن پژوهشها نیز، امنیت نیروی انسانی بالاترین تهدید برای امنیت اطلاعات سیستمهای رایانهای بود. امنیت منابع انسانی، شامل تمامی موارد مربوط به کارکنان است. برخی مطالعات نشان داده است بیش از 80% جرایم سنگین رایانهای را افرادی مرتکب میشوند که یا از دسترسی قانونی به دادهها برخوردارند و یا در گذشتة نزدیک از آن برخوردار بودهاند. از همین رو، بخش مهمی از یک طرح امنیتی خوب مربوط به ادارة کارکنان با دسترسیهای طبقهبندی شده است (سادوسکای و دیگران، 1384: 159). با توجه به ضعف امنیتی کتابخانههای دیجیتالی ایران در رابطه با امنیت نیروی انسانی، لازم است ردههای مدیریتی کتابخانههای دیجیتالی تمهیدات لازم را برای تأمین امنیت اطلاعات از این جنبه اتخاذ نمایند.
رتبهبندی کتابخانههای دیجیتالی ایران به لحاظ امنیت اطلاعات، نشان داد کتابخانههای دیجیتالی مؤسسه نشر امام خمینی(ره)، پژوهشگاه نیرو، فرهنگستان هنر، کتابخانة دیجیتال علومانسانی شهرداری تهران، کتابخانه دیجیتال شرکت برق منطقهای خراسان، کتابخانه دیجیتال دانشگاه تبریز با میانگین 1 از حداکثر میانگین لازم برخوردار بوده، در سطح قوی قرار دارند. کتابخانه دیجیتال دانشکده کارآفرینی تهران با میانگین 37/0 پایینترین میانگین را دارد و در سطح متوسط ارزیابی میشود. براساس یافتههای پژوهش، بیشترین درصد کتابخانههای دیجیتالی (55/75 %) در سطح قوی قرار دارند و کتابخانههای دیجیتالی در سطح متوسط، 46/24% را تشکیل میدهند. با در نظر گرفتن این یافتهها و همچنین نتایج پژوهش «کوزما» (2010) مبنی بر نقصهای امنیتی کتابخانههای دیجیتالی اروپا، مشاهده میشود که کتابخانههای دیجیتالی ایران از نظر امنیت اطلاعات در مقایسه با کتابخانههای دیجیتالی اروپا وضعیت مناسبتری دارند. چنانکه پیشتر اشاره شد، پژوهش «کوزما» (2010) نشان داد در 25 % کتابخانههای دیجیتالی اروپا، مشکلات امنیتی در سطح بحرانی و در 40 % کتابخانه در سطح متوسط بوده است.
بر اساس سایر یافتههای پژوهش، مشخص شد تفاوت معناداری بین میانگین شاخصهای امنیت اطلاعات کتابخانههای دیجیتالی وجود دارد و با توجه به نتایج آزمون تعقیبی توکی، میانگین شاخص «امنیت فیزیکی و محیطی» به نحو معناداری بیشتر از سایر شاخصهاست و کتابخانهها در این شاخص به نحو معناداری قویتر و در شاخص «امنیت منابع انسانی» به نحو معناداری ضعیفتر هستند. همچنین، نتایج آزمون t نشان داد تفاوت معناداری بین کتابخانههای دیجیتالی دانشگاهی و غیردانشگاهی به لحاظ امنیت اطلاعات وجود ندارد. به نظر میرسد سطح دانش در خصوص امنیت اطلاعات محیط دیجیتالی در فضاهای دانشگاهی و غیر دانشگاهی دارای پراکندگی یکسانی است.
پیشنهادهای پژوهش
با توجه به نتایج بهدست آمده از پژوهش، پیشنهادهایی برای رفع نقایص امنیتی کتابخانههای دیجیتالی ایران ارائه میشود. یافتههای پژوهش نشان داد آسیبپذیرترین نقاط امنیتی کتابخانههای دیجیتالی «خطمشی امنیت» و «امنیت نیروی انسانی» است. با توجه به این یافتهها پیشنهاد میشود:
- نقشها و مسئولیتهای امنیتی کارکنان، پیمانکاران و کاربران ثالث بر اساس خطمشی امنیت اطلاعات سازمان تعریف و مستندسازی شود.
- اقدامهای نظارتی در خصوص تأیید پیشینة تمامی نامزدهای استخدامی، پیمانکاران و کاربران ثالث باید بر اساس قوانین، مقررات و معیارهای اخلاقی مربوط و متناسب با الزامهای تجاری، طبقهبندی اطلاعاتی که قرار است در دسترس قرار گیرند و ریسکهای شناخته شده، انجام شود.
- کارکنان، پیمانکاران و کاربران ثالث ملزم شوند پیمان حفظ اسرار یا عدم افشای آن را به عنوان بخشی از تعهدات، شرایط و ضوابط قرارداد استخدامی قبول و امضا نمایند.
- مسئولیتهای کارکنان، پیمانکاران و کاربران ثالث و سازمان در قبال امنیت اطلاعات باید به نحو روشن و دقیق در قرارداد استخدامی تصریح گردد.
- مدیریت ملزم شود تا از کارکنان، پیمانکاران و کاربران ثالث بخواهد امنیت را بر اساس خطمشیهای تعیین شده و روّیههای سازمان به مورد اجرا بگذارد.
- تمامی کارکنان سازمان و بر حسب مورد پیمانکاران و کاربران ثالث ملزم شوند تا دورههای آموزشی و آگاهسازی در خصوص خطمشیها و روّیههای سازمان را در زمینة امنیت اطلاعات بر حسب نوع شغلخود طی کنند.
- در مورد آن دسته از کارکنانی که مرتکب نقض امنیت میشوند، وجود یک فرایند تنبیهی رسمی الزامی باشد.
- مسئولیتها در قبال فسخ استخدام یا تغییر آن باید به صراحت تعیین و واگذار گردد.
- تمامی کارکنان، پیمانکاران و اشخاص ثالث ملزم باشند به محض فسخ استخدام، قرارداد یا موافقتنامه خود، نسبت به عودت داراییهای سازمان که در اختیارشان قرار داشته است، اقدام نمایند.
- حق دسترسی تمامی کارکنان، پیمانکاران و کاربران ثالث به اطلاعات و مراکز پردازش اطلاعات باید به محض فسخ استخدام، قرارداد یا موافقتنامه حذف شده و یا به محض هرگونه تغییر، مورد تعدیل قرار گیرد.
پیشنهاد میشود مدیران کتابخانههای دیجیتالی ایران قبل از هرگونه اقدامی، برای توسعة منابع کتابخانههای خود برای حصول اطمینان بیشتر از امنیت نرمافزارها و سختافزارهای مورد استفاده، با استفاده از تکنیکهای پدافند غیرعامل و با مشارکت تیمهای امنیتی نسبت به طراحی حملات هکری اقدام نموده و با شناسایی حفرههای امنیتی، تلاش کنند تا آنها را ترمیم نمایند.