Security Basics
Güvenlik Nedir?
Öncelikle güveni tanımlamamız şarttır. Güven insanların sizin umduğunuz gibi davranmasıdır.Güven genellikle geçmiş deneyimlere dayanır.İnsanlar genellikle güvendiği birisinin tanıdığı yabancılara güvenebilir. Bir yabancıya asla tümden güvenemezsiniz.Fakat zamanla güvenilirliğinden emin olabilirsiniz.
Bilgi Güvenliği Nedir?
Bilginin izinsiz kullanım, kötüye kullanım ve değiştirilmesine mani olmak ve tedbir almaktır.
GÜVENLİĞİN TARİHÇESİ
Bilgi güvenliği yeni bir kavram değildir.Teknolojinin gelişmesi ile sürekli evrim geçirerek gelişmiştir .Güvenliğin evrimini bilmek şu an ne ihtiyacımız olduğunu anlamak açısından gereklidir.Tarihi bilirsek aynı hataları tekrar etmemiş oluruz.
Fiziksel Güvenlik
Tarihin başlangıcında her şey fiziksel olarak ifade ediliyordu .Önemli bilgiler önce taşa sonradan kağıda yazılarak saklanıyordu.Liderler önemli bilgileri kimseyle konuşmuyor paylaşmıyordu.(Belki de bu en iyi güvenlik şekliydi. Sun Tzu bunu “İki kişinin bildiği sır değildir.” Sözüyle ifade eder.)Belgelerin korunması için fiziksel güvenlik yöntemleri kullanılıyordu. Korumalar duvarlar kilitli kapılar vb.
İletişim Güvenliği
Bir mesaj iletilirken yolda ele geçirilirse düşman mesajın içeriğini öğrenebiliyordu. Bu problemi çözmek için Jül Sezar Sezar şifresini oluşturmuştu (Caesar cipher) Bu metot alfabede ki her harfin 3 ileri ötelenmesi ile oluşuyordu.A->D B-> E harfine dönüşüyordu.
Bu yöntem gelişerek 2.dünya savaşında da Almanların Enigma adını verdiği makinede de kullanıldı.Almanlar bu yöntemin kırılamayacağına inanıyordu.O yüzden iletişimde çok yoğun bir şekilde kullandılar.Fakat kullanan operatörlerin yaptığı bazı hatalar ve bir Enigma’nın ele geçirilmesi ile şifrelemenin kırılması ve iletişimin takip edilir hale gelmesi uzun sürmedi.
2. Dünya savaşından sonrada Ruslar tek kullanımlık pedler kullanarak iletişimi şifrelediler.Bu pedlerin her sayfasında rastgele numaralar bulunmaktaydı.Her sayfa sadece bir mesaj için ve sadece bir kez kullanılmaktaydı.Eğer dikkatli kullanılırsa bu şifrenin kırılması imkansızdı.Fakat bazı kullanıcıların tek kullanımlık sayfaları birden fazla kullanmasından dolayı bu bazı mesajlar çözülebildi.
Bilgisayar Güvenliği
Bilgisayarın kullanılmaya başlamasıyla beraber bilgi erişimi için bilgisayarlar ve bilginin elektronik formatta saklanması gündeme geldi.1970’lerin başında David Bell ve Leonard La Padula bilgi güvenliği için yeni bir model geliştirdiler.Bu model temel alınarak devlet bazında kullanılan güvenlik seviyeleri oluşturuldu.
Bu Seviyeler
Unclassified
Confidential
Secret,
Top Secret
Olarak ayrılır
Bu sistemde personel ve dosyalar yukarıdaki seviyelere ayrılmıştı.Her kullanıcı ancak kendi seviyesi ve altındaki dosyalara erişim sağlayabiliyordu.Tüm bu sistem standart hale getirilerek 1983 yılında Orange Book hazırlandı ve güvenlik standardı olarak kullanılmaya başlandı.
Ağ Güvenliği
Bilgisayarların ağlarla birbirine bağlanması ile birlikte yeni güvenlik açıkları çıktı. Eskiden bilinen güvenlik açıkları ise yükselişe geçti. Orange book ağlardaki güvenlik açıkları ile ilgili bilgi içermiyordu.Bu yüzden 1987 yılında Red book hazırlandı ve resmi kullanıma sunuldu.
GÜVENLİK SÜREKLİLİK GEREKTİREN BİR İŞLEMDİR
Güvenlik ihtiyaçları sürekli değişim içindedir. Sadece bir ürün kullanarak sisteminizi güvenilir hale getiremezsiniz.Sürekli olarak yeni ortaya çıkan açıklara karşı sistemi güncellemeli ve gelişen teknoloji ile beraber yeni güvenlik ürünlerini sisteminize dahil etmelisiniz.Bu güvenlik ürünlerini kategoriler halinde incelemek istersek.
Anti Virüs Yazılımları
Anti virüs yazılımları güvenlik sisteminin vazgeçilmez bir parçasıdır. Sisteme iyi entegre edilir ve konfigüre edilirlerse sistemi zararlı yazılımlara ve virüslere karşı çok iyi bir şekilde koruyabilir ve sistemin performansını arttırabilirler.Fakat anti virüs yazılımları sisteme içeriden müdahale eden yazılımlara karşı yeterli değildir.Bu yüzden bu erişimleri yapabilmek için erişim kontrol sistemleri gereklidir.
Erişim Kontrol Sistemleri
Bütün kontrol sistemleri dosya erişim sistemine sahiptir .Eğer dosya erişimleri ve kullanıcı yetkileri düzgün bir şekilde ayarlanırsa sisteme zarar vermek isteyenlerin erişimleri engellenebilir.Yönetici hakkına sahip olan kullanıcı tüm dosyalara erişebilir ve izinleri düzenleyebilir.Fakat yöneticinin sisteme erişimi engellenerek sisteme zarar verme yada çalışmasını aksatma denemeleri yapılabilir.Bu yüzden ateş duvarları geliştirilmiştir.
Ateş Duvarları (Firewalls)
Ateş duvarları sisteme dışarıdan erişimi ve saldırıları engellemek ve düzenlemek amacıyla kullanılır. Doğaları gereği iç ve dış ağları birbirinden ayırmaya yararlar .İyi konfigüre edilmiş bir ateş duvarı ağ güvenliğinin vazgeçilmezidir.Örneğin bir web server dışarıdan gelen bağlantılara cevap verebilmeli ama saldırı amaçlı bağlantıları reddetmelidir.Ateş duvarı dış ağlara karşı iyi bir güvenlik sağlar fakat iç ağlardaki kullanıcılar için farklı çözümler gerekir.
Akıllı Kartlar
Kullanıcı erişimini kontrol edebilmek için şifreler yeterli olmamaktadır. Çünkü başkası tarafından öğrenilen şifreniz ile sizinle aynı yetkilere sahip olunabilir. Akıllı kartlar buna bir çözüm getirmektedir.Akıllı kartlar kopyalanmaması için özel tekniklerle üretilir.Dış erişimlere karşı korumalar içerir.Akıllı kartlar salt şifreye göre çok daha iyi bir güvenlik sağlar fakat kaybedildiğinde bir güvenlik riski oluşturur.Bu yüzden asla kaybetmeyeceğimiz ve sadece bize özgü bilgi içeren özelliklerimizi kullanan biometrik sistemler geliştirilmiştir.
Biometrik Sistemler
Biometrik sistemler kimlik doğrulamada insanın kendine has tekil özelliklerini parmak izi, retina vb kullanan sistemlerdir.Akıllı kartlar gibi kaybolma riski taşımazlar. Diğer doğrulama sistemleri ile beraber yüksek güvenlik sağlarlar.
Intrusion Detection
Bu sistemler ağ trafiğini sürekli izleyerek olağandışı bir durum yada tehlikeli bir paketle karşılaştığında ağ yöneticisine haber verir firewall da gerekli portu kapatır.
Kural Yönetimi
Kurallar ve prosedürler bir güvenlik sistemi için çok önemlidir.Kullanıcıların bu kurallara uyması halinde güvenlik zafiyeti yaşanmaz.Sistem inşa edilirken bu kurallar ve prosedürlere harfiyen uyulmalıdır.
Güvenlik Açığı Tarayıcıları
Güvenlik açıklarını güvenlik zafiyeti oluşmadan tesbit etmek sistemin güvenliği için çok önemlidir.Potansiyel giriş noktaları ve açıklar tespit edilerek açıklar kapatılır ve sistem korunur.
Şifreleme
Güvenli iletişimin birincil mekanizması şifrelemedir.Şifreleme mesajı taşınırken korur.Şifreleme depolanan bilgiyi korur.Dosyalara sadece yetkili kullanıcıların erişimini garantiler.
Fiziksel Güvenlik Mekanizmaları
Fiziksel güvenlik diğer tüm mekanizmaları tamamlayana bir sistemdir.Sistemi oluşturan donanımı fiziksel müdahale ve tehlikelere karşı korumak gerekir.Fakat bu işlemi yaparken çalışanların erişimini zorlaştırmamak ve iş akışını yavaşlatmamak gerekir.
Bu yazıyı sevdiniz mi? Niye bir yorum yazmıyor ve tartışmaya devam etmiyorsunuz, yada abone olabilir ve yazıları otomatik olarak takip edebilirsiniz.
Yorumlar
Henüz yorum yapılmamış.
Üzgünüz, yorum formu şimdilik kapalı.