Akif Murat CEYLAN Ağ ve Sistem Yönetimi Şb. Md.V . [email protected]
-
Upload
sierra-mcdowell -
Category
Documents
-
view
71 -
download
0
description
Transcript of Akif Murat CEYLAN Ağ ve Sistem Yönetimi Şb. Md.V . [email protected]
Akif Murat CEYLANAğ ve Sistem Yönetimi Şb. [email protected]
BİLGİ İŞLEM DAİRESİ Ağ ve Sistem Yönetimi Şubesi
Bilişim Sistemleri Güvenliği
Bilgi İşlem Dairesi Başkanlığı
Takdim
Güvenlik zaafları ve çözümleri
Elektronik Posta Güvenliği
Bakanlık Güvenlik Altyapısı
Bilişim Sistemi güvenliği
Bakanlık Güvenlik Politikası
Bilgi İşlem Dairesi Başkanlığı
Dış dünyaya hizmet veren bütün kurum ve kuruluşların vermiş oldukları hizmetlere ilişkin verilerinin yetkisiz kullanımını engellenmesine yönelik olarak alınan önlemlerin bütünü olarak tanımlanabilir.
İç TehditKişisel GizlilikGüvenli Yazılım GeliştirmeWeb Uygulamaları GüvenliğiKablosuz Ağlar ve RFID Güvenliği
Bilişim Sistemi güvenliği
Bilgi İşlem Dairesi Başkanlığı
Bilgi güvenliği tehditleri arasında, organizasyon bünyesinde çalışan kişilerin oluşturabileceği bilinçli veya bilinçsiz tehditler olarak tanımlayabileceğimiz tehdittir.
Organizasyonda çalışan kötü niyetli bir kişinin kendisine verilen erişim haklarını kötüye kullanmasını
Kişinin başka birine ait erişim bilgilerini elde ederek normalde erişmemesi gereken bilgilere erişerek kötü niyetli bir aktivite gerçekleştirmesini kapsar.
Bu tehlikeye karşın uygulamaların çalıştığı sistemlere ait giriş yetkileri düzenli olarak kontrol edilmekte ve sistem yöneticileri tarafından periyodik olarak erişim şifreleri değiştirilmektedir.
Bilişim Sistemi güvenliği
İÇ TEHDİT
Bilgi İşlem Dairesi Başkanlığı
Kişisel gizlilik, bir kişinin ya da bir grubun kendilerine ait bilginin kimlere ve hangi şartlar altında iletileceğinin bizzat o kişilerin/grubun onayı ile gerçekleştirilmesidir.
Alınması gereken tedbirler, erişim denetimi, yetkilendirme, sürekliliğin sağlanması gibi konuları içermektedir.
Kişisel verinin bir başka sistemle ihtiyaç dahilinde paylaşılmasında uygulanacak güvenlik tedbirleri ise, verinin içeriğinin kişi tarafından paylaşılması onaylanmamış kısmının filtrelenmesi, filtrelenmiş verinin ilgili sisteme güvenli aktarımı ve söz konusu verinin sadece veri sahibi kişiler tarafından onaylanmış organizasyonlarla paylaşılmasıdır.
Bilişim Sistemi güvenliği
KİŞİSEL GİZLİLİK
Bilgi İşlem Dairesi Başkanlığı
Gereksinim analizi aşamasında güvenlik gereksinimlerinin üzerinde durulması,
Yazılımın tehdit modellemesinin yapılması, Yazılım testlerinin fonksiyonellik yanında güvenlik testlerini de
içermesi gerekmektedir. Bu konularda yapılan yazılımların gerçek ortamda yayına
alınmadan önce bir süre test ortamında çalıştırılması ve gerekli açık ve bunlara ilişkin önlemlerin alınması gerekmektedir.
Bilişim Sistemi güvenliği
GÜVENLİ YAZILIM GELİŞTİRME
Bilgi İşlem Dairesi Başkanlığı
HTTP protokolü ilk tasarlandığında sadece statik web sayfalarının gösterimi amaçlanmıştır. Sonraları dinamik sayfalar da bu protokol kapsamında iletilmiş ve günümüzde internet bankacılığı gibi karmaşık ve kritik sistemlerin üzerine bina edildiği bir protokol haline gelmiştir.
Protokol baştan güvenlik düşünülerek tasarlanmadığı için özellikle protokol kapsamında birçok güvenlik açıklığı ortaya çıkmış ve bu açıklıkları kapatmak adına çözümler üretilmiştir.
Web uygulamaları açıklıklarının önemli bir kısmını da siteler arası betik yazma (cross-site scripting), sql-enjeksiyonu (sql-injection) ve dosya içerme (file include) açıklıkları oluşturmaktadır.
Geliştirilen yazılımlarda bahse konu açıklar ile ilgili önlemler alınması ve sistem güvenliğinin bunları engelleyecek şekilde tasarlanması gerekmektedir.
Bilişim Sistemi güvenliği
WEB UYGULAMALARI GÜVENLİĞİ
Bilgi İşlem Dairesi Başkanlığı
Genel yayın olması, çarpışma ve gecikmeden dolayı güvenirliği düşük haberleşme, Merkezi olarak yönetilse bile fiziksel tehditlere açık olması Taşıdığı önemli bilgilerlerden dolayı kablosuz mobil sensör ağlarında veri gizliği, veri
bütünlüğü, süreklilik, verilerin tazeliği, kendi kendine organize olma, zaman sekronizasyonu, güvenli yerleşim ve kimlik doğrulama güvenlik gereksinimleri mevcuttur.
Kablosuz mobil sensör ağlarda yukarıda saydığımız ataklara karşı önlem almak için ve güvenlik gereksinimlerini karşılamak için kriptografik protokollerle savunma mekanizmaları kullanır.
Bakanlık sistemlerinde kullanılan kablosuz ağ tek bir merkezden yönetilmekte bütün binada kullanıcı adı sorgulaması ile bağlanılmakta bakanlık kullanıcısı olmayan bağlantılar için ise MERNIS üzerinden kimlik doğrulaması yapılarak kullanıcılar sisteme dahil edilmektedir.
Bilişim Sistemi güvenliği
Kablosuz Ağlar ve RFID Güvenliği
Bilgi İşlem Dairesi Başkanlığı
Bilişim Sistemi güvenliği
Bakanlık Güvenlik Alt Yapısı
Bilgi İşlem Dairesi Başkanlığı
Bilişim Sistemi güvenliği
Bakanlık Güvenlik Alt Yapısı
İç Ağ Güvenlik Duvarı ve Vekil Sunucu Hizmeti Kurum içindeki personellerimizin ve misafir kullanıcılarımızın internete
erişiminde güvenlik Microsoft TMG ile sağlanmaktadır. İnternete erişim için uygulanması kararlaştırılan kurallar bu sistem üzerinde
oluşturulmaktadır. Yazılım tabanlıdır, üçüncü nesil güvenlik duvarlarından değildir. Belirlenecek Bilgi Teknolojileri Politikalarımıza uygun güvenlik kurallarını bu
sistem üzerinde oluşturmamız mümkün olmayacaktır. (IPv6 Desteği bulunmamaktadır.)
Yeni nesil, IPv6 desteği bulunan bir güvenlik duvarı ile sistemimiz daha güvenli ve modern yapıya kavuşacaktır.
Bilgi İşlem Dairesi Başkanlığı
Bilişim Sistemi güvenliği
Bakanlık Güvenlik Alt Yapısı
İç Ağ Güvenlik Duvarı ve Vekil Sunucu Hizmeti Kurum içindeki personellerimizin ve misafir kullanıcılarımızın internete
erişiminde güvenlik Microsoft TMG ile sağlanmaktadır. İnternete erişim için uygulanması kararlaştırılan kurallar bu sistem üzerinde
oluşturulmaktadır. Yazılım tabanlıdır, üçüncü nesil güvenlik duvarlarından değildir. Belirlenecek Bilgi Teknolojileri Politikalarımıza uygun güvenlik kurallarını bu
sistem üzerinde oluşturmamız mümkün olmayacaktır. (IPv6 Desteği bulunmamaktadır.)
Yeni nesil, IPv6 desteği bulunan bir güvenlik duvarı ile sistemimiz daha güvenli ve modern yapıya kavuşacaktır.
Bilgi İşlem Dairesi Başkanlığı
Bilişim Sistemi güvenliği
Bakanlık Güvenlik Alt Yapısı
İnternet Güvenlik Duvarı Kurumumuzun web hizmeti sunmakta olan sunucularına erişim bu cihaz
üzerinden yapılmaktadır. Omurga cihazımız üzerinde bulunan bir modüldür. Dışarıdan kurumumuzun
sunmakta olduğu web sitelerine erişim, genellikle http isteğine cevap veren 80. Port üzerinden sağlanmaktadır. Bu sebeple dışarıdan kurumumuzun sunduğu web hizmetine erişmek isteyen dış kullanıcılar için genellikle sadece 80 portundan(http) izin verilmektedir.
Başka portlardan erişim sağlanması ihtiyacı duyulan uygulamalar için genellikle güvenli portların (443,8443) erişim için açılması Başkanlığımız tarafından uygun görülmektedir.
Farklı port talepleri uygulama geliştiricilerin önerisi ve Başkanlığımızın onayından sonra karşılanmaktadır.
Bilgi İşlem Dairesi Başkanlığı
Bilişim Sistemi güvenliği
Bakanlık Güvenlik Alt Yapısı
İnternet Güvenlik Duvarı İç kullanıcıların dış dünya ile olan bağlantılarının güvenlikleri bu cihaz ile
yapılmaktadır. Taşra teşkilatının Fiber Optik alt yapı ile merkez sistemlere bağlanmasından
itibaren aynı hizmetten taşra teşkilatımızda faydalanmaktadır. İç yerel ağ kullanıcılarının internet ortamına çıkışlarındaki güvenlik önlemleri bu
cihaz ile alınmaktadır. Veri merkezine dışardan doğrudan erişim bulunmamaktadır. Bu erişim dış
dünyaya hizmet veren ayrık bölge sunucuları ile veri merkezi arasında konumlanmış bir güvenlik duvarı ile kontrol edilmektedir.
Dış dünyadan içeriye erişim kriptolu bir protokol olan IPSec/VPN cihazı ile kullanıcı adı doğrulaması yapılarak sağlanmaktadır.
Bilgi İşlem Dairesi Başkanlığı
Bilişim Sistemi güvenliği
Bakanlık Güvenlik Alt Yapısı
Saldırı Tespit Sistemi Kurum ağını internetten gelen tehditlere karşı korumakla görevli bir cihazdır. İnternetin kurumda sonlandırıldığı cihazla güvenlik duvarı arasında fiziksel
olarak konumlandırılmıştır. Cihazlarda saldırı tipi veri tabanının sürekli güncel tutulması büyük önem arz
etmekte ve buna yönelik olarak periyodik olarak lisanslarının temini gerekmektedir.
Bilgi İşlem Dairesi Başkanlığı
Bilişim Sistemi güvenliği
Bakanlık Güvenlik Politikası
Başkanlığımızca kurum içi ve kurum dışından sistemlerin kullanılması talepleri detaylı olarak incelenmekte ve Başkanlığımız onayı olmaksızın herhangi bir işlemin yapılmasına müsaade edilmemektedir.
Bakanlığımıza ait bütün bilişim sistemleri yönetiminin tek bir birim tarafından yapılıyor olması büyük önem arz etmektedir.
Bakanlık personellerinin kendi kurum içinde kullandıkları bilgisayarlarına yetkisiz bir şekilde herhangi bir programın kurulmasının engellenmesi, işletim sistemlerinin merkezi olarak kurulması, kurulan uygulamaların güncellemelerinin merkezden otomatik olarak yapılması, yasaklı olan sitelere erişimlerin kısıtlanması kurum içi bilgi güvenliğinin sağlanması açısından önem arz etmektedir.
Bilgi İşlem Dairesi Başkanlığı
Bilişim Sistemi güvenliği
Bakanlık Güvenlik Politikası
Güvenlik cihazlarının ve uygulamalarının kural tanımlarının sürekli güncel tutulması bu kural ve politikaların uygunluğunun, güvenirliğinin testlerinin gerekiyorsa bağımsız otoriteler tarafından periyodik olarak yapılması gerekmektedir.
Bilgi Güvenliği Yönetim Sistemi gereksinimlerini tanımlayan tek uluslararası denetlenebilir standart olan ISO/IEC 27001 için çalışmaların başlatılması gerekmektedir.
İnternet ve bilgi güvenliği konularında bilgili olabilmek, ileride karşılaşılacak olası tehditlere karşı internet ve veri güvenliğimizin sağlanabilmesi ve yeni gelişmelerin takibi için konuyla ilgili eğitimlere kurum personelinin katılımının sağlanması faydalı olacaktır.
Bilgi İşlem Dairesi Başkanlığı
Bilişim Sistemi güvenliği
Elektronik Posta Güvenliği
Kurumumuz bünyesinde elektronik posta ileticisi olarak Microsoft Exchange 2010 sistemi kullanılmaktadır.
Sistem en güncel Microsoft Aktif Dizin 2008 R2 versiyonu ile tam entegre çalışmaktadır.
Aktif dizin üst düzey yöneticisi şifresi başkanlığımız içinde iki parçalı olarak tutulmakta şifre tek bir kişinin erişemeyeceği şekilde aynı anda iki personelin şifrenin farklı bölümlerini girmesi ile kullanılabilecek şekilde düzenlenmiş durumdadır.
Exchange 2010 sisteminde son dönemde önemli güncelleme ve çalışmalar yapılarak kullanıcı e-postalarının güvenliği arttırılmıştır.
Gerek aktif dizin üzerinde gerekse de e-posta sistemi üzerinde yapılan bütün çalışmalara ilişkin erişim kayıtları zaman damgalı ve değiştirilemez şekilde tutulmakta ve sistem yöneticilerine anlık olarak yapılan çalışma ve düzenlemeler bildirilmektedir.
Bilgi İşlem Dairesi Başkanlığı
Bilişim Sistemi güvenliği
Elektronik Posta Güvenliği
E-posta sistemine entegre çalışan virus kontrol mekanizması ve spam kontrol mekanizması sayesinde kullanıcılara gelecek olan gereksiz ve tehlike içeren e-postalar sisteme giriş yapmadan engellenmektedir.
E-posta sunucuları yedekli olarak çalışmakta ve herhangi bir fiziksel problem durumunda bir sunucu bütün istekleri karşılayabilecek durumdadır.
Bilgi İşlem Dairesi Başkanlığı
Bilişim Sistemi güvenliği
Güvenlik Zaafları ve Çözümleri
Kurumumuzdaki en büyük güvenlik zaafı kullanıcıların kendi erişim şifre ve kullanıcı adlarının harici kişiler ile paylaşıyor olmasıdır.
Kurum personeline tahsis edilmiş olan kullanıcı adı sistem üzerinde yapılan bütün işler için o kişinin kimlik doğrulamasının yapıldığı ve kayıtlara ilgili kişiyi temsil eden bilgi olduğundan dolayı paylaşılan şiflerin kullanılmasından kaynaklı problemler ilgili kişiyi zor durumda bırakacaktır.
Bu durumu çözmek için belirli zaman aralıklarında son kullanıcıların bilişim sistemleri kullanımına yönelik bilgilendirilmesi ve şifrelerinin belirli aralıklar ile kişiler tarafından değiştirmelerinin sağlanması gerekmektedir.
Bir diğer güvenlik zaafı başkanlığımız bilgisi dahilinde olmayan yazılımların geliştirilerek kullanıma sunulmasıdır.
Bilgi İşlem Dairesi Başkanlığı
Bilişim Sistemi güvenliği
Güvenlik Zaafları ve Çözümleri
İlerleyen teknolojin gerekliliği olarak IPv6 protokolünün yakın zamanda kullanıma geçeceği düşünüldüğünde alt yapıda bu protokolün desteğine yönelik yatırımların yapılması gerekmektedir.
Kurum personelinin bilgisayarlarının aktif dizin ile entegrasyonu işletim sistemlerinin güncellemelerinin güncel bir şekilde alınması ve işletim sisteminde doğan güvenlik açıklıklarının otomatik olarak kapatılması açısından önemlidir.
Başkanlığımız yetkili personellerinin bilgilerinin güncel tutulması açısından son teknolojiler ile ilgili eğitimlerin alınmasında bu zamana kadar gösterilmiş olan özenin devamı önemlidir.
• TEŞEKKÜR EDERİM