Platform içeriði : bilgi güvenliðine Giriþ, Kurumsal bilgi güvenliði ile Að Destekli Ülke bilgi güvenliði hakkýnda bilgilendirmeler yapýlacaktýr.
Konu Baþlýklarý :
1 – bilgi güvenliði Ýlkeleri 2 – bilgi güvenliði Tehditleri 3 – bilgi güvenliðinde Güncel Geliþmeler 4 – bilgi Günliðinin Farkýndalýðý 5 – bilgi güvenliði Genel Tanýmlar 6 – ISO 27001 Aþamalarý 7 – BGYS nedir? 8 – BGYS Kurulmasý 9 – BGYS Gerçekleþtirme ve Ýþletilmesi 10 – BGYS Belgelendirme 11 - BGYS Dökümantasyon 12 – BGYS Ýzleme ve Gözden Geçirme 13 - BGYS Sürdürme ve Geliþtirme 14 – BGYS Yönetim Sorumluluðu 15 – Sosyal Mühendislik 16 – Kiþisel Güvenlik 17 – Fiziksel Güvenlik 18 – Haberleþme güvenliði 19 – bilgisayar ve Að güvenliði 20 – Kurumsal bilgi güvenliði 21 – Ülke bilgi güvenliði 22 – Ülke bilgi Sistemleri
bilgi güvenliðine Giriþ
Günümüzün geliþen að teknolojileri sayesinde artýk birçok iþ að üzerinden yapýlmaktadýr. bilgilerin, özellikle de deðerli bilgilerin herkese açýk bir ortam üzerinden taþýnmasý,ve bu ortamýn bir çok kiþi tarafýndan kullanýlmasý, verilerin izinsiz kullanýlmasýna olanak saðlar. Bunun yanýnda saldýrýlar að üzerindeki sunucularý da hedef alabilir ve sistemlerin çalýþmasýný engelleyebilir.
Bu saldýrýlardan korunmak için çeþitli sistemler geliþtirilmiþtir. Bunlardan bazýlarý muhtemel saldýrýlara karþý firewall yazýlýmlarý, e-maillerin virüslere karþý ve saldýrý kodlarýna karþý korunabilirliðini saðlayacak virüs yazýlýmlarý, saldýrýlarý tespit etmek için IDS(Intrusion Detection System) yazýlýmlarý, güvenli bir að altyapýsý için switch’li yapýlar, þube veya birimler de doðrudan Internet üzerinden deðil de Sanal Özel Aðlar (VPN) kullanýlarak internete çýkýlmasý, haberleþmede bilgilerin þifrelenerek gönderilmesi (Cryptology) yöntemleri kullanýlabilir.
bilgi güvenliði Ýlkeleri
bilgi güvenliði aþaðýdaki unsurlara dayanmaktadýr:
• Gizlilik – sadece kullanýcýya izin verilen bilgiye eriþim saðlama • Bütünlük – verilerin yetkisi olmayan kullanýcýlar tarafýndan tahrif edilmemesini ve deðiþtirilmemesini saðlamak • Kullanýlabilirlik – ihtiyaç duyulmasý halinde yetkisi olan kullanýcýlarýn sistem ve verileri kullanabilmesi.
Aþaðýdaki ilkeler ise bu üç dayanakla baðlantýlýdýr. Aslýnda, kontrolün nasýl oluþturulacaðýna karar verme aþamasýnda her dayanaðý da dikkate almak, saðlam bir güvenli kontrolü oluþturulmasýný destekleyecektir.
Saldýrý Yüzey Alanýný Küçültmek
Bir uygulamaya eklenen her özellik, bütün uygulamalar için belirli oranda risk teþkil eder. Güvenli geliþimin amacý saldýrý yüzey alanýný daraltarak genel risk oranýný azaltmaktýr.
Örneðin, bir web uygulamasý arama iþlevli online hizmet uygulamaktadýr. Arama iþlevi SQL enjeksiyon saldýrýlarýna karþý korumasýz olabilir. Eðer yardým özelliði yalnýzca yetkisi bulunan kullanýcýlarla sýnýrlandýrýlmýþ ise, saldýrý olasýlýðý azaltýlmýþ demektir. Eðer yardým özelliði merkezileþtirilmiþ veri geçerlilik kurallarý aracýlýðýyla açýlmýþsa, SQL enjeksiyonun gerçekleþtirebilme kapasitesi oldukça düþürülmüþ demektir. Ancak, yardým özelliði arama özelliðini ortadan kaldýrma (örneðin daha iyi kullanýcý ara alaný aracýlýðýyla) amacýyla yeniden yazýlmýþ ise, yardým özelliði Ýnternet üzerinden büyük ölçüde eriþilebilir olsa bile bu iþlem saldýrý yüzey alanýný hemen hemen ortadan kaldýracak demektir.
Güvenli Öntanýmlar
Kullanýcýlara “sýradýþý” bir deneyim yaþatmanýn pek çok yolu vardýr. Ancak, bu deneyimin öntanýmla güvenli olmasý saðlanmalýdýr. Ayrýca, eðer yetkileri var ise, güvenliklerini azaltmak kullanýcýlarýn kararýna býrakýlmalýdýr.
Örneðin, þifre eskitme ve karmaþýklýðýn öntanýmla yapýlabilmesi saðlanmalýdýr. Uygulamalarýný kullanma süreçlerini basitleþtirme ve risk oranlarýný artýrma konusunda yukarýda adý geçen iki özelliði uygulama dýþý býrakmak için kullanýcýlara yetki verilebilir.
En Az Öncelik Ýlkesi
En az öncelik ilkesi, hesaplarýn iþ süreçlerini gerçekleþtirmek en düþük oranda öncelik kapsamasý gerektiðini önermektedir. Bu iþlem, kullanýcý haklarý, CPU sýnýrlandýrmalarý gibi kaynak izinleri, bellek, að ve dosya sistem izinlerini kapsar.
Örneðin, bir aracý yazýlým sunucusu, sadece að eriþimi, veritabaný tablosunu okuma eriþimi ve kayýt yazma kapasitesi gerektiriyorsa, verilmesi gereken tüm izinleri tanýmlýyordur. Hiçbir koþulda bu sunucuya yönetimsel öncelikler tanýnmamalýdýr.
Kademeli Savunma Ýlkesi
Kademelei savunma ilkesi, bir kontrolün akýlcý olduðu durumda, riske farklý biçimlerde yaklaþan daha fazla sayýda kontrolün daha iyi olduðunu ifade eder. Kademeli olarak kullanýldýklarýnda kontroller, ciddi savunmasýzlýk durumlarýnýnýn kötüye kullanýlmasýný oldukça yüksek seviyede güçleþtirir ve böylece oluþmalarýný da engeller.
Güvenli kodlama ile, bu iþlem dizi odaklý geçerlilik denetimi, erkezileþtirilmiþ denetim kontrolleri halini alabilir ve kullanýcýlarý bütün sayfalarda oturum açmak zorunda býrakabilir.
Örneðin, üretim yönetim aðlarýna eriþimi doðru bir þekilde saðlýyor, yönetsel kullanýcý yetkilendirmesini kotrol ediyor ve bütün eriþimi kaydediyorsa, hatalý bir yönetimsel arayüzün isimsiz saldýrýlara karþý savunmasýz kalmasý olasý deðildir.
Güvenli Aksama
Uygulamalar pek çok sebepe baðlý olarak iþlemleri gerçekleþtiremeyebilirler. Bu aksaklýðýn nasýl ortaya çýktýðý, uygulamanýn güvenli olup olmadýðýný belirleyebilir.
Örneðin;
isAdmin = true; try { codeWhichMayFail(); isAdmin = isUserInRole( “Administrator” ); } catch (Exception ex) { log.write(ex.toString()); }
Eðer WhichMayFail() kodunda bir aksaklýk ortaya çýkarsa, kullanýcý öntanýmla bir admin olur. Bu, açýk bir þekilde bir güvenlik sorunudur.
Dýþ Sistemlerin Güvenli Olmamasý
Çok sayýda organizasyon, sizlerden farklý güvenlik sistem ve tutumlarý uygulayan üçüncü taraf ortaklarýn iþlem yapma kapasitelerini kullanmaktadýrlar. Ana kullanýcýlar, esas tedarikçiler ya da ortaklar olsalar da, dýþarýdan üçüncü bir þahsý etkilemeniz ya da kontrol etmeniz mümkün deðildir. Bu nedenle, dýþarý kaynaklý yürütme sistemlerine güven garantisi verilemez. Bütün dýþ kaynaklý sistemler benzer bir tutumla dikkate alýnmalýdýr.
Örneðin, baðlý bir program tedarikçisi Ýnternet Bankacýlýðý tarafýndan kullanýlan bir veri sunmaktadýr. Bunun yanýnda, ödül puanlarýný ve potansiyel geri alým kalemlerine yönelik küçük bir liste vermektedir. Ancak, bu verilerin en son kullanýcýlara görüntülenmesinin güvenli olmasýný saðlamak adýna kontrol edilmesi, ödül puanlarýnýn pozitif bir sayý olduðu ve büyük olmalarýnýn imkansýz olduðundan emin olunmasý gerekmektedir.
Görevlerin Ayrýmý
Görevlerin ayrýmý, dolandýrýcýlýða karþý kullanýlabilecek temel bir kontrol aracýdýr.
Örneðin, bir bilgisayar isteyen biri ayný zamanda kayýt olamaz ya da bilgisayarý doðrudan alamaz. Böylece, kullanýcýnýn çok sayýda bilgisayar istemesi ve eline ulaþmadýðýný iddia etmesi engellenmiþ olacaktýr. Belirli görevlerin, normal kullanýcýlara göre farklý güven seviyeleri vardýr. Özellikle, yöneticiler normal kullanýcýlardan farklýdýr. Genelde, yöneticiler uygulama kullanýcýlarý olmamalýdýrlar.
Örneðin, bir yönetici sistemi açabilmeli ya da kapatilmeli, þifre politikasýný belirleyebilmeli ancak süper öncelikli bir kullanýcý gibi depo bölümünde oturum açýp diðer kullanýcýlar adýna eþya “satýn” alamamalýdýr.
Belirsizlik Yolu ile Güvenliðe Güvenmeyin
Belirsizlik yolu ile güvenlik zayýf bir güvenlik kontrolüdür. Tek kontrol aracý olduðu pek çok durumda da hemen hemen her zaman baþarýsýz olur. Sýr tutmanýn kötü bir fikir olduðu anlamýna gelmemekle birlikte, kilit sistemlerin güvenliðinin ayrýntýlarýn gizli tutulmasý esasýna dayandýrýlmamasý ifade edilmektedir.
Örneðin, bir uygulamanýn güvenliði, gizlenen bir kaynak kod bilgisine dayandýrýlmamalýdýr. Güvenlik pek çok etmene dayandýrýlmalýdýr. Akla yatkýn þifre politikalarý, kademeli savunma, iþ baðlamýnda iþlem sýnýrlamalarý, saðlam að mimarisi, dolandýrýcýlýk ve denetim kontrolleri de dikkate alýnmalýdýr. Linux, oldukça pratik bir örnektir. Linux kaynak kodu geniþ ölçüde eriþilebilirdir. Bununla birlikte doðru bir þekilde güvence altýna alýndýðýnda, zorlu, güvenli ve saðlam bir iþlem sistemidir.
Basitlik
Saldýrý yüzey alaný ve basitlik yakýndan iliþkilidir. Belirli yazýlým mühendisliði akýmlarý, diðer bir þekilde doðrudan ve basit olabilecek kodlara yönelik oldukça karmaþýk yaklaþýmlar izlemektedirler. Daha basit yaklaþýmlarýn daha hýzlý ve basit olacaðý durumlarda, sistem geliþtiricilerin de çifte negatif ve karmaþýk mimari kullanýmýnda kaçýnmalarý gerekmektedir.
Örneðin, ayrý bir aracý yazýlým sunucusunda çok sayýda tek varlýk kullanýmý çok moda olsa da, yarýþ durumlarýna karþý korunma amacýyla uygun mutex mekanizmasýyla birlikte küresel deðiþkenler kullanmak hem daha güvenli hem de daha hýzlýdýr.
Güvenlik Sorunlarýný Uygun Þekilde Ele Alýn
Bir güvenlik sorunu belirlendiðinde, sorun için bir test süreci oluþturmak ve soruna yol açan esas meselenin anlaþýlmasý önemlidir. Tasarým biçimleri kullanýldýðýnda, güvenli sorununun bütün kod tabanlarýna yayýlmýþ olmasý olasýdýr.
Bu nedenle gerilemelere yol açmadan doðru çözüm yolunu geliþtirmek esastýr. Örneðin, bir kullanýcý, cookielerini uyumlaþtýrarak diðer bir kullanýcýnýn bakiyesini görebilmektedir. Direk çözüm yolu ortadadýr, ancak cookie kullaným kodu bütün uygulamalalar tarafýndan paylaþýlmaktadýr, bu nedenle yalnýzca bir uygulama üzerinde yapýlacak deðiþiklik bütün diðer uygulamalrý etkileyecektir. Çözüm yolu, etkilenen bütün uygulamalar üzerinde denenmelidir.
Saygýlar..
|