SlideShare ist ein Scribd-Unternehmen logo

Ag Erisim Kontrolu(NAC)

Mustafa GOCMEN
Mustafa GOCMEN

2009-2010 Bahar Döneminde "İşletim Sistemleri Yönetimi" dersinde hazırlamış olduğum sunumdur.

Technologie
1 von 32
Downloaden Sie, um offline zu lesen
 Erişim KontrolüBir bilgi işlem sistemine hangi kullanıcının,hangi haklarla erişebileceğinin ve bu sistem üzerinde hangi işlemleri yapmaya yetkin olduğunun belirlenmesi ve yönetilmesidir.  Erişim Kontrolünün uygulanması sayesinde, yalnızca yeterli yetkiye sahip olan kullanıcıların sisteme ve üzerindeki veriye erişmesi sağlanır.  Erişim kontrolü ilkeleri belirlenirken iki temel gereksinim dikkate alınmalıdır:  Görevlerin Ayrılması  Mümkün Olan En Az Yetki
 Bu ilkeye göre, belli bir süreci gerçekleştirmek için birden çok kullanıcı görevlendirilir.  Görevlerin ayrılmasını gerçekleştirmek üzere yapılacak ilk şey, yapılacak islerin adımlarının belirlenmesidir. Bu ilkenin uygulanması ile, bir sürecin bastan sona kontrolünün tek bir kişinin elinde olması engellenmiş olur.  Görevlerin ayrılması ile, süreci kişisel kazanç haline dönüştürmek için birden fazla kişinin işbirliği gereklidir. Böylece güvenlik ihlali olasılığı azaltılmış olur.  Çünkü birden çok kişinin güvenliği ihlal etme olasılığı, bir kişinin ihlal etme olasılığına göre çok düşüktür.
 Sistemde bulunan süreçler ve kullanıcılar, sistem kaynaklarına erişirken, kendilerine atanmış görevlerini gerçekleştirmelerine yetecek kadar yetkiye sahiptirler.  Örneğin ,veritabanından raporlama amacıyla veri çeken bir sürecin, veritabanının sadece raporu oluşturacak olan tablolarında yalnızca “Okuma” yetkisine sahip olması yeterlidir.  Örneğin, başka bir tabloda yazma yetkisi ile Erişim hakkı tanımlamak, “Mümkün Olan En Az Yetki” ilkesine aykırıdır. Bu ilke “Bilmesi Gereken” ilkesi olarak da bilinir.
 Erişim Kontrolünün yeterince yapılamamasının sonucunda, temel güvenlik gereksinimleri olan, Gizlilik, Bütünlük, Elverişlilik gereksinimleri yeterince karşılanamaz hale gelebilir.  Veriye/Programlara, yetkisi olmayan kişilerin ya da süreçlerin erişmesi durumunda, Gizlilik İlkesi ihlal edilir.  Veriye/Programlara,yetkisiz olarak erişen kişiler bu veri/programları kişisel kazanç sağlamak amacıyla değiştirebilir, silebilir ya da yenilerini ekleyebilir. Bu durumda Bütünlük İlkesi ihlal edilmiş olur.  Programlara yetkisiz olarak erişen kişiler, programların çalışma şeklini değiştirebilir. Eriştikleri programların bilgisayar ağı üzerindeki band genişliğini doldurarak başkalarının erişmesini engelleyebilir. Eriştikleri sisteme yerleştirdikleri zaman bombalarını ya da diğer zararlı kodları(virüs, casus program, truva atı…vb) faaliyete geçirerek sistemi çalışmaz hale getirebilirler. Bunun sonucunda Elverişlilik İlkesi ihlal edilmiş olur.
 Erişimi sınırlandırmaya yönelik önlemler üç grupta incelenebilir:  Yönetimsel Önlemler  Teknik Önlemler  Fiziksel Önlemler
 Yönetimsel önlemler kapsamında kurumun Erişim denetim politikasının belirlenmesi ve bu politikanın uygulanmasına yönelik işletim prosedürlerinin yazılması yer alır. Bu sayede, kurum yönetiminin Erişim Denetimi üzerinde tam bir kontrolü olması sağlanır.  Belirlenen kuralların uygulanabilir olmasında en önemli etken, bu kurallara maruz kalacak olan personelin yeterli eğitimden geçmesine dayanır. Tüm personel, Erişim Denetimi konusunda yeterli eğitimi almalıdır.  Yönetimin gerekli görmesi durumunda, belirlenen kuralların uygulanmasının etkinleştirilmesi amacıyla, idari ceza yöntemlerine başvurulabilir. Bu tür yöntemlerin uygulanmasında birincil amaç, personeli yanlışından dolayı cezalandırmak değil,yönetimin politikaları konusundaki kararlılığını personele iletmek olmalıdır.
 Tanıma Kullanıcının kimliğini sisteme beyan etmesidir.  Örneğin kullanıcı adını yazmak bir tanıma şeklidir. Bunun yanında istasyon tanıma da web tabanlı bir uygulamada kullanılabilir. Uygulamaya erişen kullanıcının yanında, Erişimin gerçekleştirildiği bilgisayara ait bir özellik de (MAC adresi, IP adresi, WINS ismi gibi) tanıma amaçlı olarak kullanılabilir.  Kimlik DoğrulamaKimlik doğrulama kullanıcının beyan ettiği kişi olduğunu ispatlamasıdır. Kimlik doğrulama amacıyla en sık karşımıza çıkan yöntem parola kullanımıdır. Gmail ya da Yahoo’daki e-posta hesabımıza girerken ya da cep telefonumuzu açarken sık sık karşımıza çıkar. Daha genel olarak bakarsak üç tür kimlik doğrulama yöntemi karşımıza çıkar  Bilinen bir şey ile  Sahip olunan bir şey ile  Biyolojik bir özellik ile
Teknoloji Örnekler Açıklama Zayıf Yönleri Bilinen bir şey Parola Kullanıcı bildiği bir Parolanın parolayı sisteme beyan unutulması eder Başkası tarafından öğrenilmesi Sahip olunan bir Jeton Kullanıcı kendisine tahsis Kullanılan cihazın şey edilmiş cihazı kullanarak bozulması sisteme kendini tanıtır Akıllı kart Kullanılan cihazın kopyalanması Biyolojik bir Retina, Biyolojik özellik, daha Kullanıcının özellik İris, önce sisteme biyolojik Parmak izi, özelliğinin yanlış El ayası, algılanması Ses Yüz şekli Kaydedilen örnek ile karşılaştırılır
 Genel olarak yukarıda bahsedilen yöntemlerden yalnızca birinin kullanılmasıyla “Zayıf Kimlik Doğrulama” gerçekleştirmiş oluruz.  Eğer bu yöntemlerden iki ya da daha fazlası bir arada kullanılırsa “Güçlü Kimlik Doğrulama” gerçekleştirilir. Kritik sistemlerde güçlü kimlik doğrulama kullanılmalıdır.  Örnek olarak parola ve akıllı kart, jeton ve parmak izi tanıma aynı anda kullanılabilir.
 Zayıf kimlik doğrulama yöntemi olan parola kullanımı, en çok istismar edilen ve sistemde güvenlik boşluğu yaratan bir yöntem olarak karşımıza çıkar. Parolasını unutmak istemeyen kullanıcılar, sistemin izin vermesi durumunda çok basit parolalar seçebilir (Örneğin, kendi isimleri, doğum tarihleri…vb.)  Bu tür bir parolanın hatırlanmasının kolay olması dışında bir yararı yoktur. Özellikle parola kırmaya yönelik programlar, birkaç saat içerisinde basit bir parolayı elde edebilirler. Önlem olarak parolaların belli kurallara dayalı olarak yeterince karmaşık seçilmesi sağlanmalıdır.
 Bir kullanıcının kimliğinin doğrulanmış olması, o kullanıcının sistemdeki tüm kaynaklara erişebiliyor olması anlamına gelmez. Bu nedenle her kullanıcının hangi yetkilere sahip olduğunun, hangi sistem kaynaklarına hangi yetkilerle erişeceğinin açık, net ve anlaşılır bir şekilde belirlenmesi ve daha da önemlisi belirlenen yetkilerde yapılan geçici ve kalıcı değişikliklerin sıkı bir sekilde takip edilmesi gereklidir.  Yetkilendirme amacıyla kullanılabilecek yöntemler söyle özetlenebilir:  İsteğe Bağlı Erişim Kontrolü: Erişim yetkisini veri sahipleri belirler.  Zorunlu Erişim Kontrolü: Tüm kaynaklara Erişim merkezi bir noktadan belirlenir.  Aşağıda bu iki yöntemi de açıklayıcı örnekler verilmiştir!!!
İsteğe Bağlı Erişim Denetimi Kişi A Klasörü B Klasörü C Klasörü Yazıcı Ahmet Okuma Silme Değiştirme Var Bora Okuma Okuma Yazma Var Ayşe Yazma Okuma Yazma Var Zorunlu Erişim Denetimi Kişi Yetki Seviyesi Tanımlanmış Yetki Seviyeleri Açıklama Ahmet Tasnif Dışı Tasnif Dışı Halka açık belgelere erişim yetkisi. Memur kıdemindeki personel Bora Gizli Gizli Şef, Müdür Ayşe Gizli Çok Gizli Daire Bşk ve üstü personel
 Yetkilendirme işleminin yapıldığı yazılımlar ve bu yazılımların veritabanları (Örneğin,Güvenlik Duvarı) en az diğer kritik veri kadar iyi korunmalıdır. Bu noktaların sistemin en zayıf halkası durumuna gelmesi engellenmelidir.
 Sistemde gerçeklesen bir faaliyetin kaydıdır. İzleme kaydı oluşturulması için, sistemin belirli faaliyetleri kaydetmek üzere ayarlanması gerekir.  Sistem, Ağ Erişimi, Uygulama ve Kullanıcı Davranışlarının İzlenmesi, Sistem Güvenliği için bir gereksinimdir. İzleme kayıtları, periyodik olarak ya da ihtiyaç duyulduğunda gözden geçirilerek, ard arda gelen faaliyetler incelenip bilgi güvenliği ihlalleri tespit edilebilir.  Farklı detay seviyelerinde izleme yapılabilir. Az detay kullanmak, izlenen sistemde olan faaliyetler için daha az bilgi verecek ancak izleme kaydı verisi daha az yer kaplayacaktır.  Çok detaylı kayıt yapmak ise, sistemde gerçeklesen faaliyetler ile ilgili daha net bilgi verecek, ancak izleme kaydı verisi çok daha fazla yer kaplayacaktır.
 İzlemenin verimli yapılabilmesi ve doğru sonuç vermesi için, tüm sistemlerin saatlerinin senkronizasyonu gerçekleştirilmelidir.  Web tabanlı bir uygulamanın izleme kaydında, en az, aşağıdaki bilgi bulunmalıdır:  Tarih/Saat  Kullanıcı adı  IP adresi  Uygulama modülü  Gerçekleştirilen işlem(okuma,yazma,değiştirme,silme…vb.)  Durum (başarılı/başarısız)  Etkilenen satır sayısı
 İzleme kayıtları saf veri (raw data) olarak incelenebileceği gibi, incelenecek verinin yüksek miktarda olması durumunda, bir raporlama aracı kullanılabilir.İzlemenin periyodik yapıldığı durumlarda bu faaliyeti daha hızlı gerçekleştirebilmek amacıyla standart rapor türleri belirlenerek işlem otomatize edilebilir.  Bunun yanında, bilgi güvenliği ihlallerinin daha hızlı takip edilmesi ve cevap verilmesi gereken durumlarda izleme kayıtları olusurken, gerçek zamanlı olarak analize tâbi tutulabilir ve alarm durumlarında yetkili kişilere acil uyarı iletilebilir.  Bir alarm durumuna örnek olarak, bir kullanıcı adıyla üst üste 25 kere yanlış parola denenerek sisteme girilmek istenmesi verilebilir.
 Yetkisiz veri Erişiminde son savunma noktası, erişilmek istenen verinin şifrelenmesidir. şifreleme protokolü belirlenirken su noktalara dikkat edilmelidir  Şifreleme Şemasının Belirlenmesi Şifreleme Algoritmaları,Anahtar Boyları,Şifreleme Parametreleri…vb  Hangi Verinin Hangi Şifreleme Şeması İle Şifreleneceği Bu aşamada eldeki veri, risk analizi sonucunda tasnif edilerek farklı gizlilik derecelerine farklı şifreleme semaları atanabilir.  Şifreleme BaşarımıŞifrelemenin yapılması, sistemde yavaşlamaya yol açabilir. Bu yavaşlama kabul edilebilir seviyenin altında olmalıdır.  Şifrelemenin YeriŞifreleme disk seviyesinde, dosya sistemi seviyesinde ya da veritabanı seviyesinde yapılabilir.  Anahtar değişimiŞifrelemede kullanılan anahtarlar periyodik olarak değiştirilmelidir.  Bunun yanında, sistemlere erişirken kullanılan kullanıcı adı ve parola gibi bilgilerin doğrulanmak üzere, ağ üzerinden giderken şifrelenmesi de bir gereksinimdir. Bir bilgisayar ağını dinlemek de geçen trafiğin analiz edilerek bir takım Erişim Bilgilerinin elde edilmesi de çok kolaydır.
 Uygulama veya veriye uzaktan Erişimin denetimi kadar, bu uygulama ve verinin bulunduğu bilgi işlem ortamlarına fiziksel Erişimlerinde sıkı önlemlerle sınırlandırılması büyük önem taşır. Bilgi işlem sistemlerinin bulunduğu mekanlara, isi olmayan kişilerin girmesi kesinlikle yasaklanmalıdır.  Yetki seviyesi değişimlerinde,kurum içi atamalarda, ayrılan ve yeni başlayan personel durumlarında, Erişim denetim listeleri tekrar gözden geçirilmelidir. Eğer mümkünse, fiziksel Erişim kontrollerinden birden fazlası aynı anda kullanılarak, kimlik taklidinin önüne geçilmelidir.  Örneğin, Erişim yetkisi olan bir personel , Erişim yetkisi olmayan bir personele kimlik kartını vererek bilgi işlem merkezine girmesini sağlayabilir.  Sistemlerin Konsol Erişimleri en üst düzeyde sınırlandırılmalıdır. Sistemlerin bulunduğu dolaplara, aktif ağ cihazlarına ve elektrik panolarına Erişim sıkı kurallara bağlanmalıdır.
 Erişim kontrolünde, diğer bilgi güvenliği ile ilgili alanlarda da olduğu gibi, tek bir önlem alarak bir sonuç elde etmek ne yazık ki mümkün değildir.  Sistemlerimiz web tabanlı hale geldikçe, karşı karşıya olduğumuz tehditler ve bunlara bağlı olarak da riskler, acımasız bir sekilde artmaktadır. Bu nedenle, derinlemesine güvenlik Erişim denetiminde temel strateji olarak seçilmelidir.  Kurum içinden ya da dışından gelen saldırganlar, bilgi güvenliği sınırlarını ihlal ettiklerinde, yetkisiz olarak erişmek istedikleri sisteme ulasana kadar, birçok engelle karşılaşmalıdırlar. Değerli bilgilerimizi kötü niyetli kişilerden korumanın tek yolu budur.
070702006MUSTAFA GÖÇMEN

Empfohlen

Network access control
Network access controlNetwork access control
Network access controlSinem Altan
 
Radore Veri Merkezi Topolojisi
Radore Veri Merkezi TopolojisiRadore Veri Merkezi Topolojisi
Radore Veri Merkezi TopolojisiRadore Veri Merkezi Hizmetleri A.Ş.
 
4S Bilgi Teknolojileri Hakkında
4S Bilgi Teknolojileri Hakkında4S Bilgi Teknolojileri Hakkında
4S Bilgi Teknolojileri HakkındaSerdar Zeybek
 
Veri merkezlerinin şehir efsanesi: TIER
Veri merkezlerinin şehir efsanesi: TIERVeri merkezlerinin şehir efsanesi: TIER
Veri merkezlerinin şehir efsanesi: TIERRadore Veri Merkezi Hizmetleri A.Ş.
 
Sinan Olgun Dinamikler 2016
Sinan Olgun Dinamikler 2016Sinan Olgun Dinamikler 2016
Sinan Olgun Dinamikler 2016Dinamikler
 
ISO 27001:2013 versiyonu ile gelen değişiklikler
ISO 27001:2013 versiyonu ile gelen değişikliklerISO 27001:2013 versiyonu ile gelen değişiklikler
ISO 27001:2013 versiyonu ile gelen değişikliklerBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Bilgisayar Ağları Ders Notları
Bilgisayar Ağları Ders NotlarıBilgisayar Ağları Ders Notları
Bilgisayar Ağları Ders Notlarıercanbulus
 
Bilgisayar Ağları Ders Notları
Bilgisayar Ağları Ders NotlarıBilgisayar Ağları Ders Notları
Bilgisayar Ağları Ders Notlarıercanbulus
 

Empfohlen

Network access control
Network access controlNetwork access control
Network access controlSinem Altan
 
Radore Veri Merkezi Topolojisi
Radore Veri Merkezi TopolojisiRadore Veri Merkezi Topolojisi
Radore Veri Merkezi TopolojisiRadore Veri Merkezi Hizmetleri A.Ş.
 
4S Bilgi Teknolojileri Hakkında
4S Bilgi Teknolojileri Hakkında4S Bilgi Teknolojileri Hakkında
4S Bilgi Teknolojileri HakkındaSerdar Zeybek
 
Veri merkezlerinin şehir efsanesi: TIER
Veri merkezlerinin şehir efsanesi: TIERVeri merkezlerinin şehir efsanesi: TIER
Veri merkezlerinin şehir efsanesi: TIERRadore Veri Merkezi Hizmetleri A.Ş.
 
Sinan Olgun Dinamikler 2016
Sinan Olgun Dinamikler 2016Sinan Olgun Dinamikler 2016
Sinan Olgun Dinamikler 2016Dinamikler
 
ISO 27001:2013 versiyonu ile gelen değişiklikler
ISO 27001:2013 versiyonu ile gelen değişikliklerISO 27001:2013 versiyonu ile gelen değişiklikler
ISO 27001:2013 versiyonu ile gelen değişikliklerBTRisk Bilgi Güvenliği ve BT Yönetişim Hizmetleri
 
Bilgisayar Ağları Ders Notları
Bilgisayar Ağları Ders NotlarıBilgisayar Ağları Ders Notları
Bilgisayar Ağları Ders Notlarıercanbulus
 
Bilgisayar Ağları Ders Notları
Bilgisayar Ağları Ders NotlarıBilgisayar Ağları Ders Notları
Bilgisayar Ağları Ders Notlarıercanbulus
 
Ubuntu Isletim Sistemi-Surecler ve Yonetimi
Ubuntu Isletim Sistemi-Surecler ve YonetimiUbuntu Isletim Sistemi-Surecler ve Yonetimi
Ubuntu Isletim Sistemi-Surecler ve YonetimiMustafa GOCMEN
 
Ubuntu TV
Ubuntu TVUbuntu TV
Ubuntu TVMustafa GOCMEN
 
Z Skor(Z-Score)
Z Skor(Z-Score)Z Skor(Z-Score)
Z Skor(Z-Score)Mustafa GOCMEN
 
Acik Anahtarli Kripto Sistemler
Acik Anahtarli Kripto SistemlerAcik Anahtarli Kripto Sistemler
Acik Anahtarli Kripto SistemlerMustafa GOCMEN
 
TIVIBU Nedir?
TIVIBU Nedir?TIVIBU Nedir?
TIVIBU Nedir?Mustafa GOCMEN
 
TIVILOG
TIVILOGTIVILOG
TIVILOGMustafa GOCMEN
 

Weitere ähnliche Inhalte

Mehr von Mustafa GOCMEN

Ubuntu Isletim Sistemi-Surecler ve Yonetimi
Ubuntu Isletim Sistemi-Surecler ve YonetimiUbuntu Isletim Sistemi-Surecler ve Yonetimi
Ubuntu Isletim Sistemi-Surecler ve YonetimiMustafa GOCMEN
 
Acik Anahtarli Kripto Sistemler
Acik Anahtarli Kripto SistemlerAcik Anahtarli Kripto Sistemler
Acik Anahtarli Kripto SistemlerMustafa GOCMEN
 

Mehr von Mustafa GOCMEN (6)

Ubuntu Isletim Sistemi-Surecler ve Yonetimi
Ubuntu Isletim Sistemi-Surecler ve YonetimiUbuntu Isletim Sistemi-Surecler ve Yonetimi
Ubuntu Isletim Sistemi-Surecler ve Yonetimi
 
Ubuntu TV
Ubuntu TVUbuntu TV
Ubuntu TV
 
Z Skor(Z-Score)
Z Skor(Z-Score)Z Skor(Z-Score)
Z Skor(Z-Score)
 
Acik Anahtarli Kripto Sistemler
Acik Anahtarli Kripto SistemlerAcik Anahtarli Kripto Sistemler
Acik Anahtarli Kripto Sistemler
 
TIVIBU Nedir?
TIVIBU Nedir?TIVIBU Nedir?
TIVIBU Nedir?
 
TIVILOG
TIVILOGTIVILOG
TIVILOG
 

Ag Erisim Kontrolu(NAC)

  • 1.
  • 2.
  • 3. Erişim KontrolüBir bilgi işlem sistemine hangi kullanıcının,hangi haklarla erişebileceğinin ve bu sistem üzerinde hangi işlemleri yapmaya yetkin olduğunun belirlenmesi ve yönetilmesidir.  Erişim Kontrolünün uygulanması sayesinde, yalnızca yeterli yetkiye sahip olan kullanıcıların sisteme ve üzerindeki veriye erişmesi sağlanır.  Erişim kontrolü ilkeleri belirlenirken iki temel gereksinim dikkate alınmalıdır:  Görevlerin Ayrılması  Mümkün Olan En Az Yetki
  • 4.
  • 5. Bu ilkeye göre, belli bir süreci gerçekleştirmek için birden çok kullanıcı görevlendirilir.  Görevlerin ayrılmasını gerçekleştirmek üzere yapılacak ilk şey, yapılacak islerin adımlarının belirlenmesidir. Bu ilkenin uygulanması ile, bir sürecin bastan sona kontrolünün tek bir kişinin elinde olması engellenmiş olur.  Görevlerin ayrılması ile, süreci kişisel kazanç haline dönüştürmek için birden fazla kişinin işbirliği gereklidir. Böylece güvenlik ihlali olasılığı azaltılmış olur.  Çünkü birden çok kişinin güvenliği ihlal etme olasılığı, bir kişinin ihlal etme olasılığına göre çok düşüktür.
  • 6. Sistemde bulunan süreçler ve kullanıcılar, sistem kaynaklarına erişirken, kendilerine atanmış görevlerini gerçekleştirmelerine yetecek kadar yetkiye sahiptirler.  Örneğin ,veritabanından raporlama amacıyla veri çeken bir sürecin, veritabanının sadece raporu oluşturacak olan tablolarında yalnızca “Okuma” yetkisine sahip olması yeterlidir.  Örneğin, başka bir tabloda yazma yetkisi ile Erişim hakkı tanımlamak, “Mümkün Olan En Az Yetki” ilkesine aykırıdır. Bu ilke “Bilmesi Gereken” ilkesi olarak da bilinir.
  • 7.
  • 8. Erişim Kontrolünün yeterince yapılamamasının sonucunda, temel güvenlik gereksinimleri olan, Gizlilik, Bütünlük, Elverişlilik gereksinimleri yeterince karşılanamaz hale gelebilir.  Veriye/Programlara, yetkisi olmayan kişilerin ya da süreçlerin erişmesi durumunda, Gizlilik İlkesi ihlal edilir.  Veriye/Programlara,yetkisiz olarak erişen kişiler bu veri/programları kişisel kazanç sağlamak amacıyla değiştirebilir, silebilir ya da yenilerini ekleyebilir. Bu durumda Bütünlük İlkesi ihlal edilmiş olur.  Programlara yetkisiz olarak erişen kişiler, programların çalışma şeklini değiştirebilir. Eriştikleri programların bilgisayar ağı üzerindeki band genişliğini doldurarak başkalarının erişmesini engelleyebilir. Eriştikleri sisteme yerleştirdikleri zaman bombalarını ya da diğer zararlı kodları(virüs, casus program, truva atı…vb) faaliyete geçirerek sistemi çalışmaz hale getirebilirler. Bunun sonucunda Elverişlilik İlkesi ihlal edilmiş olur.
  • 9. Erişimi sınırlandırmaya yönelik önlemler üç grupta incelenebilir:  Yönetimsel Önlemler  Teknik Önlemler  Fiziksel Önlemler
  • 10. Yönetimsel önlemler kapsamında kurumun Erişim denetim politikasının belirlenmesi ve bu politikanın uygulanmasına yönelik işletim prosedürlerinin yazılması yer alır. Bu sayede, kurum yönetiminin Erişim Denetimi üzerinde tam bir kontrolü olması sağlanır.  Belirlenen kuralların uygulanabilir olmasında en önemli etken, bu kurallara maruz kalacak olan personelin yeterli eğitimden geçmesine dayanır. Tüm personel, Erişim Denetimi konusunda yeterli eğitimi almalıdır.  Yönetimin gerekli görmesi durumunda, belirlenen kuralların uygulanmasının etkinleştirilmesi amacıyla, idari ceza yöntemlerine başvurulabilir. Bu tür yöntemlerin uygulanmasında birincil amaç, personeli yanlışından dolayı cezalandırmak değil,yönetimin politikaları konusundaki kararlılığını personele iletmek olmalıdır.
  • 11.
  • 12. Tanıma Kullanıcının kimliğini sisteme beyan etmesidir.  Örneğin kullanıcı adını yazmak bir tanıma şeklidir. Bunun yanında istasyon tanıma da web tabanlı bir uygulamada kullanılabilir. Uygulamaya erişen kullanıcının yanında, Erişimin gerçekleştirildiği bilgisayara ait bir özellik de (MAC adresi, IP adresi, WINS ismi gibi) tanıma amaçlı olarak kullanılabilir.  Kimlik DoğrulamaKimlik doğrulama kullanıcının beyan ettiği kişi olduğunu ispatlamasıdır. Kimlik doğrulama amacıyla en sık karşımıza çıkan yöntem parola kullanımıdır. Gmail ya da Yahoo’daki e-posta hesabımıza girerken ya da cep telefonumuzu açarken sık sık karşımıza çıkar. Daha genel olarak bakarsak üç tür kimlik doğrulama yöntemi karşımıza çıkar  Bilinen bir şey ile  Sahip olunan bir şey ile  Biyolojik bir özellik ile
  • 13.
  • 14. Teknoloji Örnekler Açıklama Zayıf Yönleri Bilinen bir şey Parola Kullanıcı bildiği bir Parolanın parolayı sisteme beyan unutulması eder Başkası tarafından öğrenilmesi Sahip olunan bir Jeton Kullanıcı kendisine tahsis Kullanılan cihazın şey edilmiş cihazı kullanarak bozulması sisteme kendini tanıtır Akıllı kart Kullanılan cihazın kopyalanması Biyolojik bir Retina, Biyolojik özellik, daha Kullanıcının özellik İris, önce sisteme biyolojik Parmak izi, özelliğinin yanlış El ayası, algılanması Ses Yüz şekli Kaydedilen örnek ile karşılaştırılır
  • 15. Genel olarak yukarıda bahsedilen yöntemlerden yalnızca birinin kullanılmasıyla “Zayıf Kimlik Doğrulama” gerçekleştirmiş oluruz.  Eğer bu yöntemlerden iki ya da daha fazlası bir arada kullanılırsa “Güçlü Kimlik Doğrulama” gerçekleştirilir. Kritik sistemlerde güçlü kimlik doğrulama kullanılmalıdır.  Örnek olarak parola ve akıllı kart, jeton ve parmak izi tanıma aynı anda kullanılabilir.
  • 16.
  • 17. Zayıf kimlik doğrulama yöntemi olan parola kullanımı, en çok istismar edilen ve sistemde güvenlik boşluğu yaratan bir yöntem olarak karşımıza çıkar. Parolasını unutmak istemeyen kullanıcılar, sistemin izin vermesi durumunda çok basit parolalar seçebilir (Örneğin, kendi isimleri, doğum tarihleri…vb.)  Bu tür bir parolanın hatırlanmasının kolay olması dışında bir yararı yoktur. Özellikle parola kırmaya yönelik programlar, birkaç saat içerisinde basit bir parolayı elde edebilirler. Önlem olarak parolaların belli kurallara dayalı olarak yeterince karmaşık seçilmesi sağlanmalıdır.
  • 18.
  • 19. Bir kullanıcının kimliğinin doğrulanmış olması, o kullanıcının sistemdeki tüm kaynaklara erişebiliyor olması anlamına gelmez. Bu nedenle her kullanıcının hangi yetkilere sahip olduğunun, hangi sistem kaynaklarına hangi yetkilerle erişeceğinin açık, net ve anlaşılır bir şekilde belirlenmesi ve daha da önemlisi belirlenen yetkilerde yapılan geçici ve kalıcı değişikliklerin sıkı bir sekilde takip edilmesi gereklidir.  Yetkilendirme amacıyla kullanılabilecek yöntemler söyle özetlenebilir:  İsteğe Bağlı Erişim Kontrolü: Erişim yetkisini veri sahipleri belirler.  Zorunlu Erişim Kontrolü: Tüm kaynaklara Erişim merkezi bir noktadan belirlenir.  Aşağıda bu iki yöntemi de açıklayıcı örnekler verilmiştir!!!
  • 20. İsteğe Bağlı Erişim Denetimi Kişi A Klasörü B Klasörü C Klasörü Yazıcı Ahmet Okuma Silme Değiştirme Var Bora Okuma Okuma Yazma Var Ayşe Yazma Okuma Yazma Var Zorunlu Erişim Denetimi Kişi Yetki Seviyesi Tanımlanmış Yetki Seviyeleri Açıklama Ahmet Tasnif Dışı Tasnif Dışı Halka açık belgelere erişim yetkisi. Memur kıdemindeki personel Bora Gizli Gizli Şef, Müdür Ayşe Gizli Çok Gizli Daire Bşk ve üstü personel
  • 21. Yetkilendirme işleminin yapıldığı yazılımlar ve bu yazılımların veritabanları (Örneğin,Güvenlik Duvarı) en az diğer kritik veri kadar iyi korunmalıdır. Bu noktaların sistemin en zayıf halkası durumuna gelmesi engellenmelidir.
  • 22. Sistemde gerçeklesen bir faaliyetin kaydıdır. İzleme kaydı oluşturulması için, sistemin belirli faaliyetleri kaydetmek üzere ayarlanması gerekir.  Sistem, Ağ Erişimi, Uygulama ve Kullanıcı Davranışlarının İzlenmesi, Sistem Güvenliği için bir gereksinimdir. İzleme kayıtları, periyodik olarak ya da ihtiyaç duyulduğunda gözden geçirilerek, ard arda gelen faaliyetler incelenip bilgi güvenliği ihlalleri tespit edilebilir.  Farklı detay seviyelerinde izleme yapılabilir. Az detay kullanmak, izlenen sistemde olan faaliyetler için daha az bilgi verecek ancak izleme kaydı verisi daha az yer kaplayacaktır.  Çok detaylı kayıt yapmak ise, sistemde gerçeklesen faaliyetler ile ilgili daha net bilgi verecek, ancak izleme kaydı verisi çok daha fazla yer kaplayacaktır.
  • 23.
  • 24. İzlemenin verimli yapılabilmesi ve doğru sonuç vermesi için, tüm sistemlerin saatlerinin senkronizasyonu gerçekleştirilmelidir.  Web tabanlı bir uygulamanın izleme kaydında, en az, aşağıdaki bilgi bulunmalıdır:  Tarih/Saat  Kullanıcı adı  IP adresi  Uygulama modülü  Gerçekleştirilen işlem(okuma,yazma,değiştirme,silme…vb.)  Durum (başarılı/başarısız)  Etkilenen satır sayısı
  • 25.
  • 26. İzleme kayıtları saf veri (raw data) olarak incelenebileceği gibi, incelenecek verinin yüksek miktarda olması durumunda, bir raporlama aracı kullanılabilir.İzlemenin periyodik yapıldığı durumlarda bu faaliyeti daha hızlı gerçekleştirebilmek amacıyla standart rapor türleri belirlenerek işlem otomatize edilebilir.  Bunun yanında, bilgi güvenliği ihlallerinin daha hızlı takip edilmesi ve cevap verilmesi gereken durumlarda izleme kayıtları olusurken, gerçek zamanlı olarak analize tâbi tutulabilir ve alarm durumlarında yetkili kişilere acil uyarı iletilebilir.  Bir alarm durumuna örnek olarak, bir kullanıcı adıyla üst üste 25 kere yanlış parola denenerek sisteme girilmek istenmesi verilebilir.
  • 27. Yetkisiz veri Erişiminde son savunma noktası, erişilmek istenen verinin şifrelenmesidir. şifreleme protokolü belirlenirken su noktalara dikkat edilmelidir  Şifreleme Şemasının Belirlenmesi Şifreleme Algoritmaları,Anahtar Boyları,Şifreleme Parametreleri…vb  Hangi Verinin Hangi Şifreleme Şeması İle Şifreleneceği Bu aşamada eldeki veri, risk analizi sonucunda tasnif edilerek farklı gizlilik derecelerine farklı şifreleme semaları atanabilir.  Şifreleme BaşarımıŞifrelemenin yapılması, sistemde yavaşlamaya yol açabilir. Bu yavaşlama kabul edilebilir seviyenin altında olmalıdır.  Şifrelemenin YeriŞifreleme disk seviyesinde, dosya sistemi seviyesinde ya da veritabanı seviyesinde yapılabilir.  Anahtar değişimiŞifrelemede kullanılan anahtarlar periyodik olarak değiştirilmelidir.  Bunun yanında, sistemlere erişirken kullanılan kullanıcı adı ve parola gibi bilgilerin doğrulanmak üzere, ağ üzerinden giderken şifrelenmesi de bir gereksinimdir. Bir bilgisayar ağını dinlemek de geçen trafiğin analiz edilerek bir takım Erişim Bilgilerinin elde edilmesi de çok kolaydır.
  • 28.
  • 29. Uygulama veya veriye uzaktan Erişimin denetimi kadar, bu uygulama ve verinin bulunduğu bilgi işlem ortamlarına fiziksel Erişimlerinde sıkı önlemlerle sınırlandırılması büyük önem taşır. Bilgi işlem sistemlerinin bulunduğu mekanlara, isi olmayan kişilerin girmesi kesinlikle yasaklanmalıdır.  Yetki seviyesi değişimlerinde,kurum içi atamalarda, ayrılan ve yeni başlayan personel durumlarında, Erişim denetim listeleri tekrar gözden geçirilmelidir. Eğer mümkünse, fiziksel Erişim kontrollerinden birden fazlası aynı anda kullanılarak, kimlik taklidinin önüne geçilmelidir.  Örneğin, Erişim yetkisi olan bir personel , Erişim yetkisi olmayan bir personele kimlik kartını vererek bilgi işlem merkezine girmesini sağlayabilir.  Sistemlerin Konsol Erişimleri en üst düzeyde sınırlandırılmalıdır. Sistemlerin bulunduğu dolaplara, aktif ağ cihazlarına ve elektrik panolarına Erişim sıkı kurallara bağlanmalıdır.
  • 30.
  • 31. Erişim kontrolünde, diğer bilgi güvenliği ile ilgili alanlarda da olduğu gibi, tek bir önlem alarak bir sonuç elde etmek ne yazık ki mümkün değildir.  Sistemlerimiz web tabanlı hale geldikçe, karşı karşıya olduğumuz tehditler ve bunlara bağlı olarak da riskler, acımasız bir sekilde artmaktadır. Bu nedenle, derinlemesine güvenlik Erişim denetiminde temel strateji olarak seçilmelidir.  Kurum içinden ya da dışından gelen saldırganlar, bilgi güvenliği sınırlarını ihlal ettiklerinde, yetkisiz olarak erişmek istedikleri sisteme ulasana kadar, birçok engelle karşılaşmalıdırlar. Değerli bilgilerimizi kötü niyetli kişilerden korumanın tek yolu budur.