Akif Murat CEYLAN Ağ ve Sistem Yönetimi Şb. Md.V . [email protected]

Akif Murat CEYLANAğ ve Sistem Yönetimi Şb. [email protected]

BİLGİ İŞLEM DAİRESİ Ağ ve Sistem Yönetimi Şubesi

Bilişim Sistemleri Güvenliği

Bilgi İşlem Dairesi Başkanlığı

Takdim

Güvenlik zaafları ve çözümleri

Elektronik Posta Güvenliği

Bakanlık Güvenlik Altyapısı

Bilişim Sistemi güvenliği

Bakanlık Güvenlik Politikası


Dış dünyaya hizmet veren bütün kurum ve kuruluşların vermiş oldukları hizmetlere ilişkin verilerinin yetkisiz kullanımını engellenmesine yönelik olarak alınan önlemlerin bütünü olarak tanımlanabilir.

İç TehditKişisel GizlilikGüvenli Yazılım GeliştirmeWeb Uygulamaları GüvenliğiKablosuz Ağlar ve RFID Güvenliği



Bilgi güvenliği tehditleri arasında, organizasyon bünyesinde çalışan kişilerin oluşturabileceği bilinçli veya bilinçsiz tehditler olarak tanımlayabileceğimiz tehdittir.

Organizasyonda çalışan kötü niyetli bir kişinin kendisine verilen erişim haklarını kötüye kullanmasını

Kişinin başka birine ait erişim bilgilerini elde ederek normalde erişmemesi gereken bilgilere erişerek kötü niyetli bir aktivite gerçekleştirmesini kapsar.

Bu tehlikeye karşın uygulamaların çalıştığı sistemlere ait giriş yetkileri düzenli olarak kontrol edilmekte ve sistem yöneticileri tarafından periyodik olarak erişim şifreleri değiştirilmektedir.


İÇ TEHDİT


Kişisel gizlilik, bir kişinin ya da bir grubun kendilerine ait bilginin kimlere ve hangi şartlar altında iletileceğinin bizzat o kişilerin/grubun onayı ile gerçekleştirilmesidir.

Alınması gereken tedbirler, erişim denetimi, yetkilendirme, sürekliliğin sağlanması gibi konuları içermektedir.

Kişisel verinin bir başka sistemle ihtiyaç dahilinde paylaşılmasında uygulanacak güvenlik tedbirleri ise, verinin içeriğinin kişi tarafından paylaşılması onaylanmamış kısmının filtrelenmesi, filtrelenmiş verinin ilgili sisteme güvenli aktarımı ve söz konusu verinin sadece veri sahibi kişiler tarafından onaylanmış organizasyonlarla paylaşılmasıdır.


KİŞİSEL GİZLİLİK


Gereksinim analizi aşamasında güvenlik gereksinimlerinin üzerinde durulması,

Yazılımın tehdit modellemesinin yapılması, Yazılım testlerinin fonksiyonellik yanında güvenlik testlerini de

içermesi gerekmektedir. Bu konularda yapılan yazılımların gerçek ortamda yayına

alınmadan önce bir süre test ortamında çalıştırılması ve gerekli açık ve bunlara ilişkin önlemlerin alınması gerekmektedir.


GÜVENLİ YAZILIM GELİŞTİRME


HTTP protokolü ilk tasarlandığında sadece statik web sayfalarının gösterimi amaçlanmıştır. Sonraları dinamik sayfalar da bu protokol kapsamında iletilmiş ve günümüzde internet bankacılığı gibi karmaşık ve kritik sistemlerin üzerine bina edildiği bir protokol haline gelmiştir.

Protokol baştan güvenlik düşünülerek tasarlanmadığı için özellikle protokol kapsamında birçok güvenlik açıklığı ortaya çıkmış ve bu açıklıkları kapatmak adına çözümler üretilmiştir.

Web uygulamaları açıklıklarının önemli bir kısmını da siteler arası betik yazma (cross-site scripting), sql-enjeksiyonu (sql-injection) ve dosya içerme (file include) açıklıkları oluşturmaktadır.

Geliştirilen yazılımlarda bahse konu açıklar ile ilgili önlemler alınması ve sistem güvenliğinin bunları engelleyecek şekilde tasarlanması gerekmektedir.


WEB UYGULAMALARI GÜVENLİĞİ


Genel yayın olması, çarpışma ve gecikmeden dolayı güvenirliği düşük haberleşme, Merkezi olarak yönetilse bile fiziksel tehditlere açık olması Taşıdığı önemli bilgilerlerden dolayı kablosuz mobil sensör ağlarında veri gizliği, veri

bütünlüğü, süreklilik, verilerin tazeliği, kendi kendine organize olma, zaman sekronizasyonu, güvenli yerleşim ve kimlik doğrulama güvenlik gereksinimleri mevcuttur.

Kablosuz mobil sensör ağlarda yukarıda saydığımız ataklara karşı önlem almak için ve güvenlik gereksinimlerini karşılamak için kriptografik protokollerle savunma mekanizmaları kullanır.

Bakanlık sistemlerinde kullanılan kablosuz ağ tek bir merkezden yönetilmekte bütün binada kullanıcı adı sorgulaması ile bağlanılmakta bakanlık kullanıcısı olmayan bağlantılar için ise MERNIS üzerinden kimlik doğrulaması yapılarak kullanıcılar sisteme dahil edilmektedir.


Kablosuz Ağlar ve RFID Güvenliği



Bakanlık Güvenlik Alt Yapısı




İç Ağ Güvenlik Duvarı ve Vekil Sunucu Hizmeti Kurum içindeki personellerimizin ve misafir kullanıcılarımızın internete

erişiminde güvenlik Microsoft TMG ile sağlanmaktadır. İnternete erişim için uygulanması kararlaştırılan kurallar bu sistem üzerinde

oluşturulmaktadır. Yazılım tabanlıdır, üçüncü nesil güvenlik duvarlarından değildir. Belirlenecek Bilgi Teknolojileri Politikalarımıza uygun güvenlik kurallarını bu

sistem üzerinde oluşturmamız mümkün olmayacaktır. (IPv6 Desteği bulunmamaktadır.)

Yeni nesil, IPv6 desteği bulunan bir güvenlik duvarı ile sistemimiz daha güvenli ve modern yapıya kavuşacaktır.




İnternet Güvenlik Duvarı Kurumumuzun web hizmeti sunmakta olan sunucularına erişim bu cihaz

üzerinden yapılmaktadır. Omurga cihazımız üzerinde bulunan bir modüldür. Dışarıdan kurumumuzun

sunmakta olduğu web sitelerine erişim, genellikle http isteğine cevap veren 80. Port üzerinden sağlanmaktadır. Bu sebeple dışarıdan kurumumuzun sunduğu web hizmetine erişmek isteyen dış kullanıcılar için genellikle sadece 80 portundan(http) izin verilmektedir.

Başka portlardan erişim sağlanması ihtiyacı duyulan uygulamalar için genellikle güvenli portların (443,8443) erişim için açılması Başkanlığımız tarafından uygun görülmektedir.

Farklı port talepleri uygulama geliştiricilerin önerisi ve Başkanlığımızın onayından sonra karşılanmaktadır.




İnternet Güvenlik Duvarı İç kullanıcıların dış dünya ile olan bağlantılarının güvenlikleri bu cihaz ile

yapılmaktadır. Taşra teşkilatının Fiber Optik alt yapı ile merkez sistemlere bağlanmasından

itibaren aynı hizmetten taşra teşkilatımızda faydalanmaktadır. İç yerel ağ kullanıcılarının internet ortamına çıkışlarındaki güvenlik önlemleri bu

cihaz ile alınmaktadır. Veri merkezine dışardan doğrudan erişim bulunmamaktadır. Bu erişim dış

dünyaya hizmet veren ayrık bölge sunucuları ile veri merkezi arasında konumlanmış bir güvenlik duvarı ile kontrol edilmektedir.

Dış dünyadan içeriye erişim kriptolu bir protokol olan IPSec/VPN cihazı ile kullanıcı adı doğrulaması yapılarak sağlanmaktadır.




Saldırı Tespit Sistemi Kurum ağını internetten gelen tehditlere karşı korumakla görevli bir cihazdır. İnternetin kurumda sonlandırıldığı cihazla güvenlik duvarı arasında fiziksel

olarak konumlandırılmıştır. Cihazlarda saldırı tipi veri tabanının sürekli güncel tutulması büyük önem arz

etmekte ve buna yönelik olarak periyodik olarak lisanslarının temini gerekmektedir.




Başkanlığımızca kurum içi ve kurum dışından sistemlerin kullanılması talepleri detaylı olarak incelenmekte ve Başkanlığımız onayı olmaksızın herhangi bir işlemin yapılmasına müsaade edilmemektedir.

Bakanlığımıza ait bütün bilişim sistemleri yönetiminin tek bir birim tarafından yapılıyor olması büyük önem arz etmektedir.

Bakanlık personellerinin kendi kurum içinde kullandıkları bilgisayarlarına yetkisiz bir şekilde herhangi bir programın kurulmasının engellenmesi, işletim sistemlerinin merkezi olarak kurulması, kurulan uygulamaların güncellemelerinin merkezden otomatik olarak yapılması, yasaklı olan sitelere erişimlerin kısıtlanması kurum içi bilgi güvenliğinin sağlanması açısından önem arz etmektedir.




Güvenlik cihazlarının ve uygulamalarının kural tanımlarının sürekli güncel tutulması bu kural ve politikaların uygunluğunun, güvenirliğinin testlerinin gerekiyorsa bağımsız otoriteler tarafından periyodik olarak yapılması gerekmektedir.

Bilgi Güvenliği Yönetim Sistemi gereksinimlerini tanımlayan tek uluslararası denetlenebilir standart olan ISO/IEC 27001 için çalışmaların başlatılması gerekmektedir.

İnternet ve bilgi güvenliği konularında bilgili olabilmek, ileride karşılaşılacak olası tehditlere karşı internet ve veri güvenliğimizin sağlanabilmesi ve yeni gelişmelerin takibi için konuyla ilgili eğitimlere kurum personelinin katılımının sağlanması faydalı olacaktır.




Kurumumuz bünyesinde elektronik posta ileticisi olarak Microsoft Exchange 2010 sistemi kullanılmaktadır.

Sistem en güncel Microsoft Aktif Dizin 2008 R2 versiyonu ile tam entegre çalışmaktadır.

Aktif dizin üst düzey yöneticisi şifresi başkanlığımız içinde iki parçalı olarak tutulmakta şifre tek bir kişinin erişemeyeceği şekilde aynı anda iki personelin şifrenin farklı bölümlerini girmesi ile kullanılabilecek şekilde düzenlenmiş durumdadır.

Exchange 2010 sisteminde son dönemde önemli güncelleme ve çalışmalar yapılarak kullanıcı e-postalarının güvenliği arttırılmıştır.

Gerek aktif dizin üzerinde gerekse de e-posta sistemi üzerinde yapılan bütün çalışmalara ilişkin erişim kayıtları zaman damgalı ve değiştirilemez şekilde tutulmakta ve sistem yöneticilerine anlık olarak yapılan çalışma ve düzenlemeler bildirilmektedir.




E-posta sistemine entegre çalışan virus kontrol mekanizması ve spam kontrol mekanizması sayesinde kullanıcılara gelecek olan gereksiz ve tehlike içeren e-postalar sisteme giriş yapmadan engellenmektedir.

E-posta sunucuları yedekli olarak çalışmakta ve herhangi bir fiziksel problem durumunda bir sunucu bütün istekleri karşılayabilecek durumdadır.



Güvenlik Zaafları ve Çözümleri

Kurumumuzdaki en büyük güvenlik zaafı kullanıcıların kendi erişim şifre ve kullanıcı adlarının harici kişiler ile paylaşıyor olmasıdır.

Kurum personeline tahsis edilmiş olan kullanıcı adı sistem üzerinde yapılan bütün işler için o kişinin kimlik doğrulamasının yapıldığı ve kayıtlara ilgili kişiyi temsil eden bilgi olduğundan dolayı paylaşılan şiflerin kullanılmasından kaynaklı problemler ilgili kişiyi zor durumda bırakacaktır.

Bu durumu çözmek için belirli zaman aralıklarında son kullanıcıların bilişim sistemleri kullanımına yönelik bilgilendirilmesi ve şifrelerinin belirli aralıklar ile kişiler tarafından değiştirmelerinin sağlanması gerekmektedir.

Bir diğer güvenlik zaafı başkanlığımız bilgisi dahilinde olmayan yazılımların geliştirilerek kullanıma sunulmasıdır.



Güvenlik Zaafları ve Çözümleri

İlerleyen teknolojin gerekliliği olarak IPv6 protokolünün yakın zamanda kullanıma geçeceği düşünüldüğünde alt yapıda bu protokolün desteğine yönelik yatırımların yapılması gerekmektedir.

Kurum personelinin bilgisayarlarının aktif dizin ile entegrasyonu işletim sistemlerinin güncellemelerinin güncel bir şekilde alınması ve işletim sisteminde doğan güvenlik açıklıklarının otomatik olarak kapatılması açısından önemlidir.

Başkanlığımız yetkili personellerinin bilgilerinin güncel tutulması açısından son teknolojiler ile ilgili eğitimlerin alınmasında bu zamana kadar gösterilmiş olan özenin devamı önemlidir.

• TEŞEKKÜR EDERİM

Akif Murat CEYLAN Ağ ve Sistem Yönetimi Şb. Md.V . [email protected]

Documents

Transcript of Akif Murat CEYLAN Ağ ve Sistem Yönetimi Şb. Md.V . [email protected]