- Katılım
- 1 Aralık 2004
- Mesajlar
- 550
- Reaction score
- 0
Güvenlik ve Internet
Internet milyonlarca bilgisayarı birbirine bağlayan küresel bir ağdır. Dünyadaki binlerce bilgisayar sistemini birbirine bağlar. Bu sistemler bilgiyi bir bölgeden diğerine taşımada FTP ve HTTP gibi veri transferi protokolleri kullanabilirler (FTP - File Transfer Protocol, HTTP - Hyper Text Transfer Protocol). Internet başlangıçta ordu bilgileri alışverişinde kullanılmak üzere tasarlanmıştı. Günümüzde ise aşağıdakileri içeren pek çok farklı kullanım amacı vardır:
akademik araştırma
ticari transferler
elektonik posta
eğlence
hükümet birimleri arasında veri alışverişi
haber grupları
Internet`in en popüler kullanım alanlarından biri 'World Wide Web'dir. Bu bir browser ile erişilebilen büyük miktarda çoklu-medya bilgilerinin Internet üzerinde sayfalarda yayınlanması ile oluşmaktadır. Internet`i kullanan firmaların ve bireylerin ürün ve servisleri için geniş çapta izleyicisi vardır. Internet üzerinde reklam diğer medyalara oranla daha ucuzdur ve ticari işlemler istenilen herhangi bir vakitte gerçekleştirilebilir.
Bununla birlikte kullanıcı sayısı ve servisler hızlı olarak arttıkça güvenlikde önemli bir konu haline geldi.
Web teknolojisi çeşitli farklı medya tiplerine kolay erişimi sağlar. Internet üzerindeki bilgiye hızlı ve maliyeti-düşük erişim sağlar. Çok yönlü olmasına karşın kullanımı çok kolaydır.
Intranet özel bir ağda Internet teknolojisinin kullanılmasıdır. Örneğin bir firma kendi dahili ağında interaktif bilgi dağıtımı için web sunucuları, browser`lar ve Internet protokollerini kullanabilir. Intranet`ler özel ağlar için dizayn edilmiş olsa da kullanıcıların uygun olan yerlerde Internet`e erişimini de sağlarlar.
Bir Intranet içerisinde transfer edilen bilgi genelde aşağıdaki kategorilerden birine dahildir:
firma politika ve haberleri
departman bilgileri
firma mali bilgileri
çalışanların web sayfaları ve tartışma forumları
işle ilgili mesajlar ve aktivite takvimi
Güvenlik dahili ağlarda da önemli bir konudur. Firma çalışanları bazen veri hırsızlığı yapabilir yada sisteme virüs bulaştırabilir.
Extranet firma dışındaki kullanıcıların erişimine izin veren bir intranet`tir. Bu erişim dahili ağla küresel internet arasında güvenli haberleşme için belirli harici kullanıcılara ve belirli bilgilere erişilecek şekilde ayarlanır. Örneğin bir firma iş ortaklarıyla ürün bilgilerini paylaşmak isteyebilir. Veya müşterilerin sipariş verebilmesi için, malların teslimatında ve ödemeleri elektronik olarak işleme tabi tutmak için elektronik doküman değişimi (Electronic Document Interchange - EDI) kullanabilir.
Extranet`ler tipik olarak bir firmanın aşağıdaki kategorilerde bilgi paylaşmasını sağlar:
satış ve müşteri hizmetleri
ürün geliştirme ve pazarlama
eleman alımı
Önemli bilgilerin, mesela kredi kartı detaylarının, geniş bir ağda depolandığını varsayalım.
Bu tip veriye yetkisiz personel tarafından erişilmemesi önemlidir. Birisi başkasının kredi kartı bilgileri ile kendisine birşeyler satın alabilir.
Firmanız hangi ağ çözümünü uygularsa uygulasın güvenlik son derece önemlidir. Bilgisayar güvenliği bilgi, donanım ve yazılım gibi firmanın kaynaklarını koruyacak şekilde dizayn edilir.
Üst yönetim firma için uygun güvenlik politikalarının geliştirilmesi ve yürütülmesinden sorumludur. Ve bireysel kullanıcılar da bu politikalara uymaktan sorumludurlar. Ayrıca kullanıcılar kişisel bilgilerinin güvende olduğundan herhangi mevcut bir güvenlik mekanizması kullanarak emin olmalıdırlar.
Bilgisayar ve ağ servisleri sağlayıcıları yönettikleri sistemlerin ve sağladıkları servislerin güvenliğinden sorumludurlar. Ayrıca bütün kullanıcıların güvenlik politikalarından haberdar olduğundan emin olmalılar. Bu politikaları belirli aralıklarla güzden geçirmeli ve yapılan değişikliklerden kullanıcıları haberdar etmelidirler.
Eğer bir sistemin harici kullanıcıları varsa, doğru bilgilerin paylaşıldığından sistemin sahibi sorumludur. Üretici firmalar ve sistem geliştiriciler sağladıkları sistemlerin güvenli olduğundan emin olmalıdırlar. Ayrıca güvenlik kontrollerinin uygulanmasında kullanıcılar ve servis sağlayıcılar ile haberleşmelidirler.
Bilgi güvenliği ilkeleri
Kriptolama Internet teknolojisi ile transferde bilgiyi koruyan temel mekanizmaya verilen isimdir. Verinin özel bir kod yada anahtar kullanılmadan diğerleri tarafından anlaşılmayacak şekle dönüştürülmesidir. Dekriptolama veriyi bir anahtar kullanarak orjinal şekline dönüştürme işlemidir.
Kriptolama bilgi sistemlerinde aşağıdaki fonksiyonları sağlamak için kullanılabilir:
kimlik tanılama (authentication)
veri bütünlüğü (data integrity)
gizlilik/mahremiyet (confidentiality/privacy)
inkar edememe (non-repudation)
Çoğu sistemde kullanıcıların sisteme giriş yapmasına izin verilmeden önce doğru kullanıcı ismi ve şifre sağlamaları gerekmektedir. Kimliklerin doğrulanması işlemine 'authentication' (kimlik tanılama/doğrulama) denir.
Erişim kontrolü veya kimlik tanılama bir kullanıcının sistemde kullanabileceği bilgi ve servisleri belirler. Bireylere yada gruplara kimlik tanılama seviyelerine göre erişim izni verilir.
Kriptolama teknikleri dijital imzalarla mesajların kaynağını doğrulamada kullanılabilir. Bu imzalar mesajın yazarının kimliğini doğrular ve alıcı mesajın doğru kişiden geldiğine emin olur.
Dijital imzaları şifreler ile birlikte yada şifrelerin yerine kullanabilirsiniz.
Kriptolama transfer edilen verinin bütünlüğünü garantiler. Mesaj özetleri (digest) doküman ile birlikte dijital parmakizlerini yaratarak doküman ve dosyaların bütünlüğünü test eder. Bu dijital olarak imzalanmış mesaj özetleri verilerin transfer edilirken değiştirilmediğini kontrol etmede kullanılabilir. Kulakmisafiri (eavesdropper) olarak tabir edilen kişiler Internet üzerinde transfer edilen verileri yakalayan/dinleyen yetkisiz kişilerdir. Kriptolama veriyi karışık hale getirerek gizliliği korur.
Teyit servisleri bir mesajın yaratıcısını mesajın alınıp alınmadığı konusunda haberdar eder. Ayrıca mesajın transfer sırasında değiştirilmediği konusunda da haberdar edebilir. İnkar edememe mesajı gönderen kişinin daha sonra mesajı gönderdiğini inkar edememesi veya alıcının mesajı aldığını inkar edememesidir. Bu teknikler genelde kaynağın inkar edilememesi (nonrepudiation of origin) ve teslimatın inkar edilememesi (nonrepudiation of delivery) olarak adlandırılır. Emin olmak için kriptografik alındı mesajları yayınlanabilir.
Güvenli Hesaplama
Ağlar protokoller ile birbirleriyle haberleşirler. Bir veri transfer protokolü bilginin nasıl transfer edileceğini belirleyen bir kurallar grubudur. Bilgisayar ağları kavramsal olarak çoklu katmanlar şeklinde temsil edilebilir. Her bir katman diğerlerinden bağımsız olarak çalışır. Bu tip bir temsile örnek olarak Uluslararası Standartlar Organizasyonu (ISO) tarafından yaratılan OSI modeli verilebilir. Ve bu modelde her bir katman için farklı protokoller vardır. OSI modelinde link veya alt-ağ katmanı birbirine direk olarak bağlı iki ekipman arasında veri çerçeveleri (frame) transfer eden arabirimleri ve standartları tanımlar. (Burda kullanılan çerçeve terimi transfer için özel bir şekilde düzenlenen belirli sayıda byte veya veri dizisini temsil etmektedir.) Fakat genelde çerçeveleri birden fazla bilgisayara göndermeniz gerekir, bu sebeple ağ katmanı uzaktaki birimler arasında veri transferinde gerekli olan aktivitelerin tümü için standartları belirler.
Nakil (transport) katmanı ağ katmanı ile transfer edilen veri çerçevelerinin bir uygulamaya doğru sırada teslim edildiğinden ve hiçbirinin kaybolmadığından emin olmayı sağlar.
Oturum (session) katmanı bir kullanıcının ağ üzerinden bir makineye login olup dosya transfer edebilmesini sağlamak için nakil katmanını kullanır.
Sunum (presentation) katmanı veriyi gönderilmeden önce kodlar ve alındığında dekod eder.
Uygulama katmanında, çerçevelerin içeriği işlenir. Bu durumda kullanıcı kimlik tanılaması, yetkilendirme ve anahtar yönetimi güvenlik sisteminizde yüksek önceliğe sahip olmalıdır.
Diyelimki harici kullanıcıların ağınıza erişimine izin vermek istiyorsunuz. Tüm kriptolama sistemleri ve dijital imzalar anahtar yönetimi metodlarına ihtiyaç duyar (Bunlar anahtar yaratımı, dağıtımı, iptal etmeyi içerebilir).
Biyometrik-tabanlı kimlik tanılama talep sahibinin parmak izi gibi eşsiz fiziksel karakteristikleri üzerine dayalıdır.
Sisteme yakınlıkları dolayısıyla yetkili kişiler sahtecilik ve hırsızlık olaylarında sorumlu tutulabilirler. Bu sebeple kimlik tanılama ve erişim kontrolü intranet`te olduğu kadar extranet`de de önemlidir. Bireylerin dahili ağınızdaki işlemlerini izlemek için uygun denetleme sistemleri tasarlamalısınız. İhtiyaç olduğunda kullanıcıları yaptıklarından sorumlu tutmada bu bilgilerden yararlanabilirsiniz.
Bilgisayar virüsleri sadece PC`lere değil bütün platformlara saldırırlar. Yetkisiz yazılımların ağa girmesi birbirine bağlı tüm cihazlara virüs bulaşması tehditini ortaya çıkarır. Güvenli bilgisayar kullanımı virüsler gibi tehditlerin kontrolünü gerektirir.
Anti-virüs önlemleri firmanın intranetinde virüsün tehdit olabileceği her seviyede uygulanmalıdır:
masaüstü bilgisayarlar
sunucular
groupware veya e-posta sunucuları
web sunucuları
Internet milyonlarca bilgisayarı birbirine bağlayan küresel bir ağdır. Dünyadaki binlerce bilgisayar sistemini birbirine bağlar. Bu sistemler bilgiyi bir bölgeden diğerine taşımada FTP ve HTTP gibi veri transferi protokolleri kullanabilirler (FTP - File Transfer Protocol, HTTP - Hyper Text Transfer Protocol). Internet başlangıçta ordu bilgileri alışverişinde kullanılmak üzere tasarlanmıştı. Günümüzde ise aşağıdakileri içeren pek çok farklı kullanım amacı vardır:
akademik araştırma
ticari transferler
elektonik posta
eğlence
hükümet birimleri arasında veri alışverişi
haber grupları
Internet`in en popüler kullanım alanlarından biri 'World Wide Web'dir. Bu bir browser ile erişilebilen büyük miktarda çoklu-medya bilgilerinin Internet üzerinde sayfalarda yayınlanması ile oluşmaktadır. Internet`i kullanan firmaların ve bireylerin ürün ve servisleri için geniş çapta izleyicisi vardır. Internet üzerinde reklam diğer medyalara oranla daha ucuzdur ve ticari işlemler istenilen herhangi bir vakitte gerçekleştirilebilir.
Bununla birlikte kullanıcı sayısı ve servisler hızlı olarak arttıkça güvenlikde önemli bir konu haline geldi.
Web teknolojisi çeşitli farklı medya tiplerine kolay erişimi sağlar. Internet üzerindeki bilgiye hızlı ve maliyeti-düşük erişim sağlar. Çok yönlü olmasına karşın kullanımı çok kolaydır.
Intranet özel bir ağda Internet teknolojisinin kullanılmasıdır. Örneğin bir firma kendi dahili ağında interaktif bilgi dağıtımı için web sunucuları, browser`lar ve Internet protokollerini kullanabilir. Intranet`ler özel ağlar için dizayn edilmiş olsa da kullanıcıların uygun olan yerlerde Internet`e erişimini de sağlarlar.
Bir Intranet içerisinde transfer edilen bilgi genelde aşağıdaki kategorilerden birine dahildir:
firma politika ve haberleri
departman bilgileri
firma mali bilgileri
çalışanların web sayfaları ve tartışma forumları
işle ilgili mesajlar ve aktivite takvimi
Güvenlik dahili ağlarda da önemli bir konudur. Firma çalışanları bazen veri hırsızlığı yapabilir yada sisteme virüs bulaştırabilir.
Extranet firma dışındaki kullanıcıların erişimine izin veren bir intranet`tir. Bu erişim dahili ağla küresel internet arasında güvenli haberleşme için belirli harici kullanıcılara ve belirli bilgilere erişilecek şekilde ayarlanır. Örneğin bir firma iş ortaklarıyla ürün bilgilerini paylaşmak isteyebilir. Veya müşterilerin sipariş verebilmesi için, malların teslimatında ve ödemeleri elektronik olarak işleme tabi tutmak için elektronik doküman değişimi (Electronic Document Interchange - EDI) kullanabilir.
Extranet`ler tipik olarak bir firmanın aşağıdaki kategorilerde bilgi paylaşmasını sağlar:
satış ve müşteri hizmetleri
ürün geliştirme ve pazarlama
eleman alımı
Önemli bilgilerin, mesela kredi kartı detaylarının, geniş bir ağda depolandığını varsayalım.
Bu tip veriye yetkisiz personel tarafından erişilmemesi önemlidir. Birisi başkasının kredi kartı bilgileri ile kendisine birşeyler satın alabilir.
Firmanız hangi ağ çözümünü uygularsa uygulasın güvenlik son derece önemlidir. Bilgisayar güvenliği bilgi, donanım ve yazılım gibi firmanın kaynaklarını koruyacak şekilde dizayn edilir.
Üst yönetim firma için uygun güvenlik politikalarının geliştirilmesi ve yürütülmesinden sorumludur. Ve bireysel kullanıcılar da bu politikalara uymaktan sorumludurlar. Ayrıca kullanıcılar kişisel bilgilerinin güvende olduğundan herhangi mevcut bir güvenlik mekanizması kullanarak emin olmalıdırlar.
Bilgisayar ve ağ servisleri sağlayıcıları yönettikleri sistemlerin ve sağladıkları servislerin güvenliğinden sorumludurlar. Ayrıca bütün kullanıcıların güvenlik politikalarından haberdar olduğundan emin olmalılar. Bu politikaları belirli aralıklarla güzden geçirmeli ve yapılan değişikliklerden kullanıcıları haberdar etmelidirler.
Eğer bir sistemin harici kullanıcıları varsa, doğru bilgilerin paylaşıldığından sistemin sahibi sorumludur. Üretici firmalar ve sistem geliştiriciler sağladıkları sistemlerin güvenli olduğundan emin olmalıdırlar. Ayrıca güvenlik kontrollerinin uygulanmasında kullanıcılar ve servis sağlayıcılar ile haberleşmelidirler.
Bilgi güvenliği ilkeleri
Kriptolama Internet teknolojisi ile transferde bilgiyi koruyan temel mekanizmaya verilen isimdir. Verinin özel bir kod yada anahtar kullanılmadan diğerleri tarafından anlaşılmayacak şekle dönüştürülmesidir. Dekriptolama veriyi bir anahtar kullanarak orjinal şekline dönüştürme işlemidir.
Kriptolama bilgi sistemlerinde aşağıdaki fonksiyonları sağlamak için kullanılabilir:
kimlik tanılama (authentication)
veri bütünlüğü (data integrity)
gizlilik/mahremiyet (confidentiality/privacy)
inkar edememe (non-repudation)
Çoğu sistemde kullanıcıların sisteme giriş yapmasına izin verilmeden önce doğru kullanıcı ismi ve şifre sağlamaları gerekmektedir. Kimliklerin doğrulanması işlemine 'authentication' (kimlik tanılama/doğrulama) denir.
Erişim kontrolü veya kimlik tanılama bir kullanıcının sistemde kullanabileceği bilgi ve servisleri belirler. Bireylere yada gruplara kimlik tanılama seviyelerine göre erişim izni verilir.
Kriptolama teknikleri dijital imzalarla mesajların kaynağını doğrulamada kullanılabilir. Bu imzalar mesajın yazarının kimliğini doğrular ve alıcı mesajın doğru kişiden geldiğine emin olur.
Dijital imzaları şifreler ile birlikte yada şifrelerin yerine kullanabilirsiniz.
Kriptolama transfer edilen verinin bütünlüğünü garantiler. Mesaj özetleri (digest) doküman ile birlikte dijital parmakizlerini yaratarak doküman ve dosyaların bütünlüğünü test eder. Bu dijital olarak imzalanmış mesaj özetleri verilerin transfer edilirken değiştirilmediğini kontrol etmede kullanılabilir. Kulakmisafiri (eavesdropper) olarak tabir edilen kişiler Internet üzerinde transfer edilen verileri yakalayan/dinleyen yetkisiz kişilerdir. Kriptolama veriyi karışık hale getirerek gizliliği korur.
Teyit servisleri bir mesajın yaratıcısını mesajın alınıp alınmadığı konusunda haberdar eder. Ayrıca mesajın transfer sırasında değiştirilmediği konusunda da haberdar edebilir. İnkar edememe mesajı gönderen kişinin daha sonra mesajı gönderdiğini inkar edememesi veya alıcının mesajı aldığını inkar edememesidir. Bu teknikler genelde kaynağın inkar edilememesi (nonrepudiation of origin) ve teslimatın inkar edilememesi (nonrepudiation of delivery) olarak adlandırılır. Emin olmak için kriptografik alındı mesajları yayınlanabilir.
Güvenli Hesaplama
Ağlar protokoller ile birbirleriyle haberleşirler. Bir veri transfer protokolü bilginin nasıl transfer edileceğini belirleyen bir kurallar grubudur. Bilgisayar ağları kavramsal olarak çoklu katmanlar şeklinde temsil edilebilir. Her bir katman diğerlerinden bağımsız olarak çalışır. Bu tip bir temsile örnek olarak Uluslararası Standartlar Organizasyonu (ISO) tarafından yaratılan OSI modeli verilebilir. Ve bu modelde her bir katman için farklı protokoller vardır. OSI modelinde link veya alt-ağ katmanı birbirine direk olarak bağlı iki ekipman arasında veri çerçeveleri (frame) transfer eden arabirimleri ve standartları tanımlar. (Burda kullanılan çerçeve terimi transfer için özel bir şekilde düzenlenen belirli sayıda byte veya veri dizisini temsil etmektedir.) Fakat genelde çerçeveleri birden fazla bilgisayara göndermeniz gerekir, bu sebeple ağ katmanı uzaktaki birimler arasında veri transferinde gerekli olan aktivitelerin tümü için standartları belirler.
Nakil (transport) katmanı ağ katmanı ile transfer edilen veri çerçevelerinin bir uygulamaya doğru sırada teslim edildiğinden ve hiçbirinin kaybolmadığından emin olmayı sağlar.
Oturum (session) katmanı bir kullanıcının ağ üzerinden bir makineye login olup dosya transfer edebilmesini sağlamak için nakil katmanını kullanır.
Sunum (presentation) katmanı veriyi gönderilmeden önce kodlar ve alındığında dekod eder.
Uygulama katmanında, çerçevelerin içeriği işlenir. Bu durumda kullanıcı kimlik tanılaması, yetkilendirme ve anahtar yönetimi güvenlik sisteminizde yüksek önceliğe sahip olmalıdır.
Diyelimki harici kullanıcıların ağınıza erişimine izin vermek istiyorsunuz. Tüm kriptolama sistemleri ve dijital imzalar anahtar yönetimi metodlarına ihtiyaç duyar (Bunlar anahtar yaratımı, dağıtımı, iptal etmeyi içerebilir).
Biyometrik-tabanlı kimlik tanılama talep sahibinin parmak izi gibi eşsiz fiziksel karakteristikleri üzerine dayalıdır.
Sisteme yakınlıkları dolayısıyla yetkili kişiler sahtecilik ve hırsızlık olaylarında sorumlu tutulabilirler. Bu sebeple kimlik tanılama ve erişim kontrolü intranet`te olduğu kadar extranet`de de önemlidir. Bireylerin dahili ağınızdaki işlemlerini izlemek için uygun denetleme sistemleri tasarlamalısınız. İhtiyaç olduğunda kullanıcıları yaptıklarından sorumlu tutmada bu bilgilerden yararlanabilirsiniz.
Bilgisayar virüsleri sadece PC`lere değil bütün platformlara saldırırlar. Yetkisiz yazılımların ağa girmesi birbirine bağlı tüm cihazlara virüs bulaşması tehditini ortaya çıkarır. Güvenli bilgisayar kullanımı virüsler gibi tehditlerin kontrolünü gerektirir.
Anti-virüs önlemleri firmanın intranetinde virüsün tehdit olabileceği her seviyede uygulanmalıdır:
masaüstü bilgisayarlar
sunucular
groupware veya e-posta sunucuları
web sunucuları