Sayfayı Yazdır | Pencereyi Kapat

Bilgi Güvenliði Platformu !

Nereden Yazdırıldığı: Bilginin Adresi
Kategori: Bilgisayar Güvenliði / Computer Security
Forum Adı: Güvenlik / Security Makaleleri
Forum Tanımlaması: Bilgisayarýnýzý Her Türlü Saldýrýya Karþý Korumak Ýçin Yapmanýz Gerekenler
URL: https://www.bilgineferi.com/forum/forum_posts.asp?TID=7671
Tarih: 28-03-2024 Saat 17:47


Konu: Bilgi Güvenliði Platformu !
Mesajı Yazan: megabros
Konu: Bilgi Güvenliði Platformu !
Mesaj Tarihi: 08-06-2009 Saat 14:01

Platform içeriði : bilgi güvenliðine Giriþ, Kurumsal bilgi güvenliði ile Að Destekli Ülke bilgi güvenliði hakkýnda bilgilendirmeler yapýlacaktýr.

Konu Baþlýklarý :

1 – bilgi güvenliði Ýlkeleri
2 – bilgi güvenliði Tehditleri
3 – bilgi güvenliðinde Güncel Geliþmeler
4 – bilgi Günliðinin Farkýndalýðý
5 – bilgi güvenliði Genel Tanýmlar
6 – ISO 27001 Aþamalarý
7 – BGYS nedir?
8 – BGYS Kurulmasý
9 – BGYS Gerçekleþtirme ve Ýþletilmesi
10 – BGYS Belgelendirme
11 -  BGYS Dökümantasyon
12 – BGYS Ýzleme ve Gözden Geçirme
13 -  BGYS Sürdürme ve Geliþtirme
14 – BGYS Yönetim Sorumluluðu
15 – Sosyal Mühendislik
16 – Kiþisel Güvenlik
17 – Fiziksel Güvenlik
18 – Haberleþme güvenliði
19 – bilgisayar ve Að güvenliði
20 – Kurumsal bilgi güvenliði
21 – Ülke bilgi güvenliði
22 – Ülke bilgi Sistemleri

bilgi güvenliðine Giriþ

Günümüzün geliþen að teknolojileri sayesinde artýk birçok iþ að üzerinden yapýlmaktadýr. bilgilerin, özellikle de deðerli bilgilerin herkese açýk bir ortam üzerinden taþýnmasý,ve bu ortamýn bir çok kiþi tarafýndan kullanýlmasý, verilerin izinsiz kullanýlmasýna olanak saðlar. Bunun yanýnda saldýrýlar að üzerindeki sunucularý da hedef alabilir ve sistemlerin çalýþmasýný engelleyebilir.

Bu saldýrýlardan korunmak için çeþitli sistemler geliþtirilmiþtir. Bunlardan bazýlarý  muhtemel saldýrýlara karþý firewall yazýlýmlarý, e-maillerin virüslere karþý ve saldýrý kodlarýna karþý korunabilirliðini saðlayacak virüs yazýlýmlarý, saldýrýlarý tespit etmek için IDS(Intrusion Detection System) yazýlýmlarý, güvenli bir að altyapýsý için switch’li yapýlar, þube veya birimler de doðrudan Internet üzerinden deðil de Sanal Özel Aðlar (VPN) kullanýlarak internete çýkýlmasý, haberleþmede bilgilerin þifrelenerek gönderilmesi (Cryptology) yöntemleri kullanýlabilir.

bilgi güvenliði Ýlkeleri

bilgi güvenliði aþaðýdaki unsurlara dayanmaktadýr:

• Gizlilik – sadece kullanýcýya izin verilen bilgiye eriþim saðlama
• Bütünlük – verilerin yetkisi olmayan kullanýcýlar tarafýndan tahrif
edilmemesini ve deðiþtirilmemesini saðlamak
• Kullanýlabilirlik – ihtiyaç duyulmasý halinde yetkisi olan kullanýcýlarýn sistem ve verileri kullanabilmesi.

Aþaðýdaki ilkeler ise bu üç dayanakla baðlantýlýdýr. Aslýnda, kontrolün nasýl
oluþturulacaðýna karar verme aþamasýnda her dayanaðý da dikkate almak, saðlam bir güvenli kontrolü oluþturulmasýný destekleyecektir.

Saldýrý Yüzey Alanýný Küçültmek

Bir uygulamaya eklenen her özellik, bütün uygulamalar için belirli oranda risk teþkil eder. Güvenli geliþimin amacý saldýrý yüzey alanýný daraltarak genel risk oranýný azaltmaktýr.

Örneðin, bir web uygulamasý arama iþlevli online hizmet uygulamaktadýr. Arama iþlevi SQL enjeksiyon saldýrýlarýna karþý korumasýz olabilir. Eðer yardým özelliði yalnýzca yetkisi bulunan kullanýcýlarla sýnýrlandýrýlmýþ ise, saldýrý olasýlýðý azaltýlmýþ demektir. Eðer yardým özelliði merkezileþtirilmiþ veri geçerlilik kurallarý aracýlýðýyla açýlmýþsa, SQL enjeksiyonun gerçekleþtirebilme kapasitesi oldukça düþürülmüþ demektir. Ancak, yardým özelliði arama özelliðini ortadan kaldýrma (örneðin daha iyi kullanýcý ara alaný aracýlýðýyla) amacýyla yeniden yazýlmýþ ise, yardým özelliði Ýnternet üzerinden büyük ölçüde eriþilebilir olsa bile bu iþlem saldýrý yüzey alanýný hemen hemen ortadan kaldýracak demektir.

Güvenli Öntanýmlar

Kullanýcýlara “sýradýþý” bir deneyim yaþatmanýn pek çok yolu vardýr. Ancak, bu deneyimin öntanýmla güvenli olmasý saðlanmalýdýr. Ayrýca, eðer yetkileri var ise, güvenliklerini azaltmak kullanýcýlarýn kararýna býrakýlmalýdýr.

Örneðin, þifre eskitme ve karmaþýklýðýn öntanýmla yapýlabilmesi saðlanmalýdýr. Uygulamalarýný kullanma süreçlerini basitleþtirme ve risk oranlarýný artýrma konusunda yukarýda adý geçen iki özelliði uygulama dýþý býrakmak için kullanýcýlara yetki verilebilir.

En Az Öncelik Ýlkesi

En az öncelik ilkesi, hesaplarýn iþ süreçlerini gerçekleþtirmek en düþük oranda öncelik kapsamasý gerektiðini önermektedir. Bu iþlem, kullanýcý haklarý, CPU sýnýrlandýrmalarý gibi kaynak izinleri, bellek, að ve dosya sistem izinlerini kapsar.

Örneðin, bir aracý yazýlým sunucusu, sadece að eriþimi, veritabaný tablosunu okuma eriþimi ve kayýt yazma kapasitesi gerektiriyorsa, verilmesi gereken tüm izinleri tanýmlýyordur. Hiçbir koþulda bu sunucuya yönetimsel öncelikler tanýnmamalýdýr.

Kademeli Savunma Ýlkesi

Kademelei savunma ilkesi, bir kontrolün akýlcý olduðu durumda, riske farklý
biçimlerde yaklaþan daha fazla sayýda kontrolün daha iyi olduðunu ifade eder. Kademeli olarak kullanýldýklarýnda kontroller, ciddi savunmasýzlýk durumlarýnýnýn kötüye kullanýlmasýný oldukça yüksek seviyede güçleþtirir ve böylece oluþmalarýný da engeller.

Güvenli kodlama ile, bu iþlem dizi odaklý geçerlilik denetimi, erkezileþtirilmiþ
denetim kontrolleri halini alabilir ve kullanýcýlarý bütün sayfalarda oturum açmak zorunda býrakabilir.

Örneðin, üretim yönetim aðlarýna eriþimi doðru bir þekilde saðlýyor, yönetsel kullanýcý yetkilendirmesini kotrol ediyor ve bütün eriþimi kaydediyorsa, hatalý bir yönetimsel arayüzün isimsiz saldýrýlara karþý savunmasýz kalmasý olasý deðildir.

Güvenli Aksama

Uygulamalar pek çok sebepe baðlý olarak iþlemleri gerçekleþtiremeyebilirler. Bu aksaklýðýn nasýl ortaya çýktýðý, uygulamanýn güvenli olup olmadýðýný belirleyebilir.

Örneðin;

isAdmin = true;
try {
codeWhichMayFail();
isAdmin = isUserInRole( “Administrator” );
}
catch (Exception ex) {
log.write(ex.toString());
}

Eðer WhichMayFail() kodunda bir aksaklýk ortaya çýkarsa, kullanýcý öntanýmla bir admin olur. Bu, açýk bir þekilde bir güvenlik sorunudur.

Dýþ Sistemlerin Güvenli Olmamasý

Çok sayýda organizasyon, sizlerden farklý güvenlik sistem ve tutumlarý uygulayan üçüncü taraf ortaklarýn iþlem yapma kapasitelerini kullanmaktadýrlar. Ana kullanýcýlar, esas tedarikçiler ya da ortaklar olsalar da, dýþarýdan üçüncü bir þahsý etkilemeniz ya da kontrol etmeniz mümkün deðildir. Bu nedenle, dýþarý kaynaklý yürütme sistemlerine güven garantisi verilemez. Bütün dýþ kaynaklý sistemler benzer bir tutumla dikkate alýnmalýdýr.

Örneðin, baðlý bir program tedarikçisi Ýnternet Bankacýlýðý tarafýndan kullanýlan bir veri sunmaktadýr. Bunun yanýnda, ödül puanlarýný ve potansiyel geri alým kalemlerine yönelik küçük bir liste vermektedir. Ancak, bu verilerin en son kullanýcýlara görüntülenmesinin güvenli olmasýný saðlamak adýna kontrol edilmesi, ödül puanlarýnýn pozitif bir sayý olduðu ve büyük olmalarýnýn imkansýz olduðundan emin olunmasý gerekmektedir.

Görevlerin Ayrýmý

Görevlerin ayrýmý, dolandýrýcýlýða karþý kullanýlabilecek temel bir kontrol aracýdýr.

Örneðin, bir bilgisayar isteyen biri ayný zamanda kayýt olamaz ya da bilgisayarý doðrudan alamaz. Böylece, kullanýcýnýn çok sayýda bilgisayar istemesi ve eline ulaþmadýðýný iddia etmesi engellenmiþ olacaktýr. Belirli görevlerin, normal kullanýcýlara göre farklý güven seviyeleri vardýr. Özellikle, yöneticiler normal kullanýcýlardan farklýdýr. Genelde, yöneticiler uygulama kullanýcýlarý olmamalýdýrlar.

Örneðin, bir yönetici sistemi açabilmeli ya da kapatilmeli, þifre politikasýný
belirleyebilmeli ancak süper öncelikli bir kullanýcý gibi depo bölümünde oturum açýp diðer kullanýcýlar adýna eþya “satýn” alamamalýdýr.

Belirsizlik Yolu ile Güvenliðe Güvenmeyin

Belirsizlik yolu ile güvenlik zayýf bir güvenlik kontrolüdür. Tek kontrol aracý
olduðu pek çok durumda da hemen hemen her zaman baþarýsýz olur. Sýr tutmanýn kötü bir fikir olduðu anlamýna gelmemekle birlikte, kilit sistemlerin güvenliðinin ayrýntýlarýn gizli tutulmasý esasýna dayandýrýlmamasý ifade edilmektedir.

Örneðin, bir uygulamanýn güvenliði, gizlenen bir kaynak kod bilgisine
dayandýrýlmamalýdýr. Güvenlik pek çok etmene dayandýrýlmalýdýr. Akla yatkýn þifre politikalarý, kademeli savunma, iþ baðlamýnda iþlem sýnýrlamalarý, saðlam að mimarisi, dolandýrýcýlýk ve denetim kontrolleri de dikkate alýnmalýdýr. Linux, oldukça pratik bir örnektir. Linux kaynak kodu geniþ ölçüde eriþilebilirdir. Bununla birlikte doðru bir þekilde güvence altýna alýndýðýnda, zorlu, güvenli ve saðlam bir iþlem sistemidir.

Basitlik

Saldýrý yüzey alaný ve basitlik yakýndan iliþkilidir. Belirli yazýlým mühendisliði
akýmlarý, diðer bir þekilde doðrudan ve basit olabilecek kodlara yönelik oldukça karmaþýk yaklaþýmlar izlemektedirler. Daha basit yaklaþýmlarýn daha hýzlý ve basit olacaðý durumlarda, sistem geliþtiricilerin de çifte negatif ve karmaþýk mimari kullanýmýnda kaçýnmalarý gerekmektedir.

Örneðin, ayrý bir aracý yazýlým sunucusunda çok sayýda tek varlýk kullanýmý çok moda olsa da, yarýþ durumlarýna karþý korunma amacýyla uygun mutex
mekanizmasýyla birlikte küresel deðiþkenler kullanmak hem daha güvenli hem de daha hýzlýdýr.

Güvenlik Sorunlarýný Uygun Þekilde Ele Alýn

Bir güvenlik sorunu belirlendiðinde, sorun için bir test süreci oluþturmak ve
soruna yol açan esas meselenin anlaþýlmasý önemlidir. Tasarým biçimleri
kullanýldýðýnda, güvenli sorununun bütün kod tabanlarýna yayýlmýþ olmasý olasýdýr.

Bu nedenle gerilemelere yol açmadan doðru çözüm yolunu geliþtirmek esastýr. Örneðin, bir kullanýcý, cookielerini uyumlaþtýrarak diðer bir kullanýcýnýn bakiyesini görebilmektedir. Direk çözüm yolu ortadadýr, ancak cookie kullaným kodu bütün uygulamalalar tarafýndan paylaþýlmaktadýr, bu nedenle yalnýzca bir uygulama üzerinde yapýlacak deðiþiklik bütün diðer uygulamalrý etkileyecektir. Çözüm yolu, etkilenen bütün uygulamalar üzerinde denenmelidir.

Saygýlar..




Sayfayı Yazdır | Pencereyi Kapat