Bilginin Adresi Ana Sayfa
Forum Anasayfası Forum Anasayfası > Bilgisayar Güvenliği / Computer Security > Güvenlik / Security Makaleleri
  Aktif Konular Aktif Konular RSS - Bilgi Güvenliği Platformu !
  SSS SSS  Forumu Ara   Events   Kayıt Ol Kayıt Ol  GiriÅŸ GiriÅŸ

Bilgi Güvenliği Platformu !

 Yanıt Yaz Yanıt Yaz
Yazar
Mesaj
megabros Açılır Kutu Gör
Security Professional
Security Professional
Simge

Kayıt Tarihi: 08-06-2009
Konum: Turkey
Status: Aktif DeÄŸil
Points: 752
Mesaj Seçenekleri Mesaj Seçenekleri   Thanks (0) Thanks(0)   Alıntı megabros Alıntı  Yanıt YazCevapla Mesajın Direkt Linki Konu: Bilgi Güvenliği Platformu !
    Gönderim Zamanı: 08-06-2009 Saat 14:01

Platform içeriği : bilgi güvenliğine Giriş, Kurumsal bilgi güvenliği ile Ağ Destekli Ülke bilgi güvenliği hakkında bilgilendirmeler yapılacaktır.

Konu Başlıkları :

1 – bilgi güvenliği İlkeleri
2 – bilgi güvenliği Tehditleri
3 – bilgi güvenliğinde Güncel Gelişmeler
4 – bilgi Günliğinin Farkındalığı
5 – bilgi güvenliği Genel Tanımlar
6 – ISO 27001 Aşamaları
7 – BGYS nedir?
8 – BGYS Kurulması
9 – BGYS Gerçekleştirme ve İşletilmesi
10 – BGYS Belgelendirme
11 -  BGYS Dökümantasyon
12 – BGYS İzleme ve Gözden Geçirme
13 -  BGYS Sürdürme ve Geliştirme
14 – BGYS Yönetim Sorumluluğu
15 – Sosyal Mühendislik
16 – Kişisel Güvenlik
17 – Fiziksel Güvenlik
18 – Haberleşme güvenliği
19 – bilgisayar ve Ağ güvenliği
20 – Kurumsal bilgi güvenliği
21 – Ülke bilgi güvenliği
22 – Ülke bilgi Sistemleri

bilgi güvenliğine Giriş

Günümüzün gelişen ağ teknolojileri sayesinde artık birçok iş ağ üzerinden yapılmaktadır. bilgilerin, özellikle de değerli bilgilerin herkese açık bir ortam üzerinden taşınması,ve bu ortamın bir çok kişi tarafından kullanılması, verilerin izinsiz kullanılmasına olanak sağlar. Bunun yanında saldırılar ağ üzerindeki sunucuları da hedef alabilir ve sistemlerin çalışmasını engelleyebilir.

Bu saldırılardan korunmak için çeşitli sistemler geliştirilmiştir. Bunlardan bazıları  muhtemel saldırılara karşı firewall yazılımları, e-maillerin virüslere karşı ve saldırı kodlarına karşı korunabilirliğini sağlayacak virüs yazılımları, saldırıları tespit etmek için IDS(Intrusion Detection System) yazılımları, güvenli bir ağ altyapısı için switch’li yapılar, şube veya birimler de doğrudan Internet üzerinden değil de Sanal Özel Ağlar (VPN) kullanılarak internete çıkılması, haberleşmede bilgilerin şifrelenerek gönderilmesi (Cryptology) yöntemleri kullanılabilir.

bilgi güvenliği İlkeleri

bilgi güvenliği aşağıdaki unsurlara dayanmaktadır:

• Gizlilik – sadece kullanıcıya izin verilen bilgiye erişim sağlama
• Bütünlük – verilerin yetkisi olmayan kullanıcılar tarafından tahrif
edilmemesini ve değiştirilmemesini sağlamak
• Kullanılabilirlik – ihtiyaç duyulması halinde yetkisi olan kullanıcıların sistem ve verileri kullanabilmesi.

Aşağıdaki ilkeler ise bu üç dayanakla bağlantılıdır. Aslında, kontrolün nasıl
oluşturulacağına karar verme aşamasında her dayanağı da dikkate almak, sağlam bir güvenli kontrolü oluşturulmasını destekleyecektir.

Saldırı Yüzey Alanını Küçültmek

Bir uygulamaya eklenen her özellik, bütün uygulamalar için belirli oranda risk teşkil eder. Güvenli gelişimin amacı saldırı yüzey alanını daraltarak genel risk oranını azaltmaktır.

Örneğin, bir web uygulaması arama işlevli online hizmet uygulamaktadır. Arama işlevi SQL enjeksiyon saldırılarına karşı korumasız olabilir. Eğer yardım özelliği yalnızca yetkisi bulunan kullanıcılarla sınırlandırılmış ise, saldırı olasılığı azaltılmış demektir. Eğer yardım özelliği merkezileştirilmiş veri geçerlilik kuralları aracılığıyla açılmışsa, SQL enjeksiyonun gerçekleştirebilme kapasitesi oldukça düşürülmüş demektir. Ancak, yardım özelliği arama özelliğini ortadan kaldırma (örneğin daha iyi kullanıcı ara alanı aracılığıyla) amacıyla yeniden yazılmış ise, yardım özelliği İnternet üzerinden büyük ölçüde erişilebilir olsa bile bu işlem saldırı yüzey alanını hemen hemen ortadan kaldıracak demektir.

Güvenli Öntanımlar

Kullanıcılara “sıradışı” bir deneyim yaşatmanın pek çok yolu vardır. Ancak, bu deneyimin öntanımla güvenli olması sağlanmalıdır. Ayrıca, eğer yetkileri var ise, güvenliklerini azaltmak kullanıcıların kararına bırakılmalıdır.

Örneğin, şifre eskitme ve karmaşıklığın öntanımla yapılabilmesi sağlanmalıdır. Uygulamalarını kullanma süreçlerini basitleştirme ve risk oranlarını artırma konusunda yukarıda adı geçen iki özelliği uygulama dışı bırakmak için kullanıcılara yetki verilebilir.

En Az Öncelik İlkesi

En az öncelik ilkesi, hesapların iş süreçlerini gerçekleştirmek en düşük oranda öncelik kapsaması gerektiğini önermektedir. Bu işlem, kullanıcı hakları, CPU sınırlandırmaları gibi kaynak izinleri, bellek, ağ ve dosya sistem izinlerini kapsar.

Örneğin, bir aracı yazılım sunucusu, sadece ağ erişimi, veritabanı tablosunu okuma erişimi ve kayıt yazma kapasitesi gerektiriyorsa, verilmesi gereken tüm izinleri tanımlıyordur. Hiçbir koşulda bu sunucuya yönetimsel öncelikler tanınmamalıdır.

Kademeli Savunma İlkesi

Kademelei savunma ilkesi, bir kontrolün akılcı olduğu durumda, riske farklı
biçimlerde yaklaşan daha fazla sayıda kontrolün daha iyi olduğunu ifade eder. Kademeli olarak kullanıldıklarında kontroller, ciddi savunmasızlık durumlarınının kötüye kullanılmasını oldukça yüksek seviyede güçleştirir ve böylece oluşmalarını da engeller.

Güvenli kodlama ile, bu işlem dizi odaklı geçerlilik denetimi, erkezileştirilmiş
denetim kontrolleri halini alabilir ve kullanıcıları bütün sayfalarda oturum açmak zorunda bırakabilir.

Örneğin, üretim yönetim ağlarına erişimi doğru bir şekilde sağlıyor, yönetsel kullanıcı yetkilendirmesini kotrol ediyor ve bütün erişimi kaydediyorsa, hatalı bir yönetimsel arayüzün isimsiz saldırılara karşı savunmasız kalması olası değildir.

Güvenli Aksama

Uygulamalar pek çok sebepe bağlı olarak işlemleri gerçekleştiremeyebilirler. Bu aksaklığın nasıl ortaya çıktığı, uygulamanın güvenli olup olmadığını belirleyebilir.

Örneğin;

isAdmin = true;
try {
codeWhichMayFail();
isAdmin = isUserInRole( “Administrator” );
}
catch (Exception ex) {
log.write(ex.toString());
}

Eğer WhichMayFail() kodunda bir aksaklık ortaya çıkarsa, kullanıcı öntanımla bir admin olur. Bu, açık bir şekilde bir güvenlik sorunudur.

Dış Sistemlerin Güvenli Olmaması

Çok sayıda organizasyon, sizlerden farklı güvenlik sistem ve tutumları uygulayan üçüncü taraf ortakların işlem yapma kapasitelerini kullanmaktadırlar. Ana kullanıcılar, esas tedarikçiler ya da ortaklar olsalar da, dışarıdan üçüncü bir şahsı etkilemeniz ya da kontrol etmeniz mümkün değildir. Bu nedenle, dışarı kaynaklı yürütme sistemlerine güven garantisi verilemez. Bütün dış kaynaklı sistemler benzer bir tutumla dikkate alınmalıdır.

Örneğin, bağlı bir program tedarikçisi İnternet Bankacılığı tarafından kullanılan bir veri sunmaktadır. Bunun yanında, ödül puanlarını ve potansiyel geri alım kalemlerine yönelik küçük bir liste vermektedir. Ancak, bu verilerin en son kullanıcılara görüntülenmesinin güvenli olmasını sağlamak adına kontrol edilmesi, ödül puanlarının pozitif bir sayı olduğu ve büyük olmalarının imkansız olduğundan emin olunması gerekmektedir.

Görevlerin Ayrımı

Görevlerin ayrımı, dolandırıcılığa karşı kullanılabilecek temel bir kontrol aracıdır.

Örneğin, bir bilgisayar isteyen biri aynı zamanda kayıt olamaz ya da bilgisayarı doğrudan alamaz. Böylece, kullanıcının çok sayıda bilgisayar istemesi ve eline ulaşmadığını iddia etmesi engellenmiş olacaktır. Belirli görevlerin, normal kullanıcılara göre farklı güven seviyeleri vardır. Özellikle, yöneticiler normal kullanıcılardan farklıdır. Genelde, yöneticiler uygulama kullanıcıları olmamalıdırlar.

Örneğin, bir yönetici sistemi açabilmeli ya da kapatilmeli, şifre politikasını
belirleyebilmeli ancak süper öncelikli bir kullanıcı gibi depo bölümünde oturum açıp diğer kullanıcılar adına eşya “satın” alamamalıdır.

Belirsizlik Yolu ile Güvenliğe Güvenmeyin

Belirsizlik yolu ile güvenlik zayıf bir güvenlik kontrolüdür. Tek kontrol aracı
olduğu pek çok durumda da hemen hemen her zaman başarısız olur. Sır tutmanın kötü bir fikir olduğu anlamına gelmemekle birlikte, kilit sistemlerin güvenliğinin ayrıntıların gizli tutulması esasına dayandırılmaması ifade edilmektedir.

Örneğin, bir uygulamanın güvenliği, gizlenen bir kaynak kod bilgisine
dayandırılmamalıdır. Güvenlik pek çok etmene dayandırılmalıdır. Akla yatkın şifre politikaları, kademeli savunma, iş bağlamında işlem sınırlamaları, sağlam ağ mimarisi, dolandırıcılık ve denetim kontrolleri de dikkate alınmalıdır. Linux, oldukça pratik bir örnektir. Linux kaynak kodu geniş ölçüde erişilebilirdir. Bununla birlikte doğru bir şekilde güvence altına alındığında, zorlu, güvenli ve sağlam bir işlem sistemidir.

Basitlik

Saldırı yüzey alanı ve basitlik yakından ilişkilidir. Belirli yazılım mühendisliği
akımları, diğer bir şekilde doğrudan ve basit olabilecek kodlara yönelik oldukça karmaşık yaklaşımlar izlemektedirler. Daha basit yaklaşımların daha hızlı ve basit olacağı durumlarda, sistem geliştiricilerin de çifte negatif ve karmaşık mimari kullanımında kaçınmaları gerekmektedir.

Örneğin, ayrı bir aracı yazılım sunucusunda çok sayıda tek varlık kullanımı çok moda olsa da, yarış durumlarına karşı korunma amacıyla uygun mutex
mekanizmasıyla birlikte küresel değişkenler kullanmak hem daha güvenli hem de daha hızlıdır.

Güvenlik Sorunlarını Uygun Şekilde Ele Alın

Bir güvenlik sorunu belirlendiğinde, sorun için bir test süreci oluşturmak ve
soruna yol açan esas meselenin anlaşılması önemlidir. Tasarım biçimleri
kullanıldığında, güvenli sorununun bütün kod tabanlarına yayılmış olması olasıdır.

Bu nedenle gerilemelere yol açmadan doğru çözüm yolunu geliştirmek esastır. Örneğin, bir kullanıcı, cookielerini uyumlaştırarak diğer bir kullanıcının bakiyesini görebilmektedir. Direk çözüm yolu ortadadır, ancak cookie kullanım kodu bütün uygulamalalar tarafından paylaşılmaktadır, bu nedenle yalnızca bir uygulama üzerinde yapılacak değişiklik bütün diğer uygulamalrı etkileyecektir. Çözüm yolu, etkilenen bütün uygulamalar üzerinde denenmelidir.

Saygılar..



Düzenleyen megabros - 08-06-2009 Saat 14:01
Yukarı Dön
 Yanıt Yaz Yanıt Yaz

Forum Atla Forum İzinleri Açılır Kutu Gör



Bu Sayfa 0.188 Saniyede Yüklendi.