Sunum yükleniyor. Lütfen bekleyiniz

Sunum yükleniyor. Lütfen bekleyiniz

Kurumsal Bilgi Güvenli ğ i Yönetim Süreci B İ LG İ YÖNET İ M İ SEM İ NER İ ŞUBAT 2012 ANTALYA Mehmet Bertan KILIÇ Bilgisayar Mühendisi.

Benzer bir sunumlar


... konulu sunumlar: "Kurumsal Bilgi Güvenli ğ i Yönetim Süreci B İ LG İ YÖNET İ M İ SEM İ NER İ ŞUBAT 2012 ANTALYA Mehmet Bertan KILIÇ Bilgisayar Mühendisi."— Sunum transkripti:

1 Kurumsal Bilgi Güvenli ğ i Yönetim Süreci B İ LG İ YÖNET İ M İ SEM İ NER İ ŞUBAT 2012 ANTALYA Mehmet Bertan KILIÇ Bilgisayar Mühendisi

2 Ele Alınacak Konular Giriş Ulusal Güvenlik Kavramı Kurumsal Bilgi Güvenli ğ i ve Yönetimi Bilgi Sistemleri Güvenli ğ i Nedir? Bilgi Güvenli ğ i Tehdit Unsurları Bilgi Güvenli ğ i Sa ğ lama Araçları

3 Günümüzde bilgiye sürekli erişimi sa ğ lamak ve bu bilginin son kullanıcıya kadar bozulmadan, de ğ işikli ğ e u ğ ramadan ve başkaları tarafından ele geçirilmeden güvenli bir şekilde sunulması zorunluluk haline gelmiştir. Siber dünyada barış ve savaş durumunun zaman ve mekan sınırları belirsizleşmiştir. Giriş

4 Bilgi güvenli ğ i (BG) En genel tanımıyla bilginin, üretim ve hizmet süreklili ğ i sa ğ lamak, parasal kayıpları en aza indirmek üzere tehlike ve tehdit alanlarından korunmasıdır.

5 Bilgi Güvenli ğ inin Temel Amacı; Veri bütünlü ğ ünün korunması, Yetkisiz erişimin engellenmesi, Mahremiyet ve gizlili ğ in korunması Sistemin devamlılı ğ ının sa ğ lanmasıdır.

6 Tehdit Bir sistemin veya kurumun zarar görmesine neden olan istenmeyen bir olayın arkasındaki gizli neden, olarak tanımlanabilir.

7 TEHDİTLER TEHDİT KAYNAĞI AÇISINDAN İnsan Kaynaklı Tehditler Kötü Niyet Olmayan Davranışlar Sonucu Oluşan Kötü Niyet Olan Davranışlar Sonucu Oluşan Doğa Kaynaklı Tehditler TEHDİDİN GELİŞ YÖNÜNE GÖRE Kurum İçiKurum Dışı

8 Hedefler Yazılım Donanım Veri Depolama Ortamları Bilgi Aktarım Ortamları İ nsanlar

9 En Kolay Giriş Prensibi  Herhangi bir saldırgan, bir bilgisayar sistemine girmek için kullanılabilecek en kolay yolu deneyecektir.  En kolay yol demek, en belirgin, en çok beklenen, veya saldırılara karşı en çok önlemi alınmış olan yol demek de ğ ildir.

10 Siber Saldırı Türleri  Program manüplasyonu,  Sahtekarlık ve taklit,  Erişim araçlarının çalınması,  Kimlik çalma,  Ticari bilgi çalma,  İ stihbarat amaçlı faaliyetler,  Takip ve gözetleme,  “Hack” leme,  Virüsler, Solucanlar(worms), Truva atları (Slammer, MsBlaster, Sobig vb.),  Ajan yazılım (spyware),  Spam  Hizmeti durduran saldırılar

11 Siber saldırıları yolları-1  Tarama (Scanning) sisteme de ğ işken bilgiler göndererek sisteme giriş için uygun isim ve parolaları bulmak için kullanılır.  Sırtlama (Piggybacking), yetkili kullanıcı boşluklarından ve hatalarından yararlanarak sisteme girmektir.  Dinleme (Eavesdropping), iletişim hatlarına saplama yapmaktır.  Casusluk (Spying), önemli bilginin çalınmasına yönelik aktivitelerdir.  Yerine geçme (Masquerading), yetkisiz bir kullanıcının yetkili kullanıcı haklarını kullanarak sisteme girmek istemesidir.

12 Siber saldırıları yolları-2  Çöpleme (Scavenging), gerçekleştirilen işlem sonucu kalan kullanılabilir bilgilerin toplanmasıdır.  Süperzap yöntemi (Superzapping), sistem programının gücünden yararlanarak işlem yapmaktır.  Truva atı (Trojan Horse),dışarıdan cazibesine kapılarak indirilen veya sisteme kopyalanan programlardır.  Virüsler, kendi başına çalışamayan, ancak başka programlar aracılı ğ ı ile çalışıp kendini taşıyan programlardır.  Kapanlar (Trap doors), tasarımcıların ve geliştiricilerin sistem bakımında yararlanmak üzere bıraktıkları programlardır. Kötü amaçla kullanılabilirler.

13 Siber saldırıları yolları-3  Solucanlar (worms), kendi kendini çalıştırabilen ve kopyalayabilen programlardır.  Mantık Bombaları (Logic bomb), önceden belirlenmiş koşullar gerçekleşince harekete geçen programlardır.  Salami teknikleri (Salami Techniques), dikkati çekmeyecek büyüklükte sistem kayna ğ ı veya kaynakların zimmete geçirilmesi.  Koklama (Sniffing), a ğ üzerindeki paketlerin izlenmesi.  Aldatma (Spoofing), a ğ a saplama yapılarak bilgilerin de ğ iştirilmesi adres de ğ işikli ğ i yapılması.  Kırmak (Cracking), sistem güvenlik önlemlerinin kırılması

14 Güvenlik Açıkları (Donanım)  Kasıtsız Zarar  Yiyecek-içecek  Hayvanlar  Toz  Yıldırım  Kaba kullanım  Kasıtlı Zarar  Hırsızlık  Fiziksel zararlar (kırma, bozma, parçalama)

15 Güvenlik Açıkları (Yazılım)  Silinme  Kasıtsız  Kasıtlı  De ğ iştirilme  Truva Atları  Virüsler  Arka kapılar  Bilgi sızdırma  Hırsızlık  Lisanssız kullanım  İ zinsiz kopyalama

16 Güvenlik Açıkları (Veri)  Gizlili ğ in ihlali  Dinleme (dinleyiciler, alıcılar, sniffer)  Bilgi sızdırma (insanlar yoluyla)  Engelleme  Silme  Ulaşılamaz, ya da kullanılamaz hale getirme  Bütünlü ğ ün bozulması  Veri de ğ işikli ğ i  Sahte veri

17 Bilgi-Bilişim Güvenli ğ i Nasıl Sa ğ lanır? Yönetsel Önlemler Teknoloji Uygulamaları Eğitim ve Farkındalık Yaratma

18 Bilgi Güvenli ğ i Sa ğ lama Araçları Fiziksel Güvenlik: Fiziksel önlemlerle (güvenli ortam vb) güvenli ğ inin sa ğ lanması. Kullanıcı Do ğ rulaması Yöntemleri: Akıllı kart, tek kullanımlı parola, token ve Public Key Certificate gibi araçlar ve RADIUS gibi merkezi kullanıcı do ğ rulama sunucularının kullanılması. Şifreleme: Güvensiz a ğ lar üzerinden geçen verilerin güvenli ğ i için Virtual Private Network veya şifreleme yapan donanımların kullanılması. Ayrıca web tabanlı güvenli veri transferi için SSL ve Public Key şifrelemenin kullanılması. Donanım tabanlı şifreleme çözümleri de mümkündür. E-imza

19 Anti-Virüs Sistemleri  Bilgisayar virüsleri, “Kötü amaçlı program kodu” olarak tanımlanabilir.  Anti-virüs yazılımları, bilinen virüsleri tanıyabilen ve temizleyebilen programlardır.  E-posta yoluyla virüsler, gerçek hayattaki virüslerden farksız bir hızla yayılmaktadırlar. Nasıl Korunurum?  Anti-virüs yazılımının her zaman güncel tutulması  Kullanılan yazılım yamalarının güncel tutulması  Yabancı birinden gelen bir e-posta ekinin açılmaması  Bilinen birinden gelse bile, ne oldu ğ unu bilmedikçe bir e-posta ekteki dosyanın açılmaması

20 Mehmet Bertan KILIÇ Bilgisayar Mühendisi TEŞEKKÜRLER


"Kurumsal Bilgi Güvenli ğ i Yönetim Süreci B İ LG İ YÖNET İ M İ SEM İ NER İ ŞUBAT 2012 ANTALYA Mehmet Bertan KILIÇ Bilgisayar Mühendisi." indir ppt

Benzer bir sunumlar


Google Reklamları