Sunum yükleniyor. Lütfen bekleyiniz

Sunum yükleniyor. Lütfen bekleyiniz

6.1 Copyright © 2014 Pearson Education, Inc. Bilişim Sistemlerinin Güvenliği Chapter 8 VIDEO CASES Case 1: Stuxnet and Cyber Warfare Case 2: Cyber Espionage:

Benzer bir sunumlar


... konulu sunumlar: "6.1 Copyright © 2014 Pearson Education, Inc. Bilişim Sistemlerinin Güvenliği Chapter 8 VIDEO CASES Case 1: Stuxnet and Cyber Warfare Case 2: Cyber Espionage:"— Sunum transkripti:

1 6.1 Copyright © 2014 Pearson Education, Inc. Bilişim Sistemlerinin Güvenliği Chapter 8 VIDEO CASES Case 1: Stuxnet and Cyber Warfare Case 2: Cyber Espionage: The Chinese Threat Case 3: UBS Access Key: IBM Zone Trusted Information Channel Instructional Video 1: Sony PlayStation Hacked; Data Stolen from 77 million users Instructional Video 2: Zappos Working To Correct Online Security Breach Instructional Video 3: Meet the Hackers: Anonymous Statement on Hacking SONY

2 8.2 Copyright © 2016 Pearson Education Ltd. Management Information Systems Chapter 8: Securing Information Systems Güvenlik: –Bilişim sistemlerine yönelik yetkisiz erişim, değiştirme, hırsızlık veya fiziksel hasarları engellemek için var olan kurallar, prosedürler ve teknik tedbirleri ifade eder. Kontroller: –Örgütün varlıklarının; tutulan kayıtların doğruluğunun, güvenilirliğinin ve yönetim standartlarına uyumunun güvenliğinin sağlanması için var olan yöntemler, kurallar ve örgütsel prosedürlerdir. Sistem Açıkları ve Suistimal

3 8.3 Copyright © 2016 Pearson Education Ltd. Management Information Systems Chapter 8: Securing Information Systems Sistemler Neden Suistimale Açıklar? –Ağlara Erişilebilirlik –Donanım Problemleri (arızalar, yanlış yapılandırma, hatalı ya da suça yönelik kullanım nedeniyle oluşan hasarlar) –Yazılım Problemleri (Programlama hataları, kurulum hataları, yetkisiz değişiklikler) –Afetler –Firmanın kontrolü dışında bilgisayarların/ağların kullanımı –Taşınabilir aygıtların/cihazların kaybı veya çalınması Sistem Açıkları ve Suistimal

4 8.4 Copyright © 2016 Pearson Education Ltd. Management Information Systems Chapter 8: Securing Information Systems The architecture of a Web-based application typically includes a Web client, a server, and corporate information systems linked to databases. Each of these components presents security challenges and vulnerabilities. Floods, fires, power failures, and other electrical problems can cause disruptions at any point in the network. FIGURE 8-1 ÇAĞDAŞ GÜVENLİK ZORLUKLARI VE GÜVENLİK AÇIKLARI

5 8.5 Copyright © 2016 Pearson Education Ltd. Management Information Systems Chapter 8: Securing Information Systems İnternet Açıkları – Herkese açık bir ağ – İnternetin boyutları yaşanacak suistimalin etkilerinin çok fazla hissedileceği anlamına gelebilir. – Sabit internet adresi (statik IP) / DSL modemlerin kullanımı hackerlar için öncelikli hedef haline getirir. – Şifrelenmemiş/Kriptosuz VOIP – , P2P, IM Ele geçirme Kötü niyetli yazılımları içeren ekler Ticari bilgilerin yayımlanması Sistem Açıkları ve Suistimal

6 8.6 Copyright © 2016 Pearson Education Ltd. Management Information Systems Chapter 8: Securing Information Systems Kablosuz Güvenliğin Zorlukları –Hizmet Seti Tanımlayıcılar / SSIDs Erişim noktalarını saptar. Birden fazla yayın yaparlar. Algılayıcı programlar (sniffer) tarafından saptanabilirler. Araç Destekli Ağ Takibi (War Driving) –Gizli dinleyiciler (Eavesdroppers) binaların yanından geçerler ve bu esnada SSID tespit etmeye ağ ya da kaynaklara erişmeye çalışırlar. Erişim noktasının güvenliği aşıldığında, «davetsiz misafir» işletim sistemini kullanarak ağ üzerindeki disk ve klasörlere erişebilir. Sistem Açıkları ve Suistimal

7 8.7 Copyright © 2016 Pearson Education Ltd. Management Information Systems Chapter 8: Securing Information Systems Birçok wi-fi ağı saldırganların sniffer (paket dinleyici programlar) kullanarak kolayca sızmalarına imkan verir. Bu programlar yetki olmaksızın bir ağın kaynaklarına erişmek için gereken bir adresi bulmak için kullanılırlar. ŞEKİL 8-2 WI-FI GÜVENLİK ZORLUKLARI

8 8.8 Copyright © 2016 Pearson Education Ltd. Management Information Systems Chapter 8: Securing Information Systems Kötü Amaçlı Yazılım - Malware –Virüsler Genellikle kullanıcının bilgisi ve izni dışında çalıştırılması için kendini diğer programlara veya dosyalara ekleyen kötü amaçlı yazılım. –Solucanlar Bir ağ üzerinde yer alan bir bilgisayardan bir diğerine kendini kopyalayabilen bağımsız programlar. –Solucanlar ve Virüslerin Yayılımı Dosya İndirme (harici indirme yazılımları aracılığıyla) E-posta veya Anlık Mesajlaşma Ekleri Web siteleri ve Sosyal ağlar üzerinden indirmeler Sistem Açıkları ve Suistimal

9 8.9 Copyright © 2016 Pearson Education Ltd. Management Information Systems Chapter 8: Securing Information Systems Kötü Amaçlı Yazılımlar (Devam) –Akıllı telefonlar da bilgisayarlar kadar suistimale açıktırlar Bir çalışmaya göre akıllı telefonlar için geliştirilmiş tür kötü amaçlı yazılım bulunmaktadır. –Truva Atı - Trojan horses Zararsız görünen fakat beklenilenden farklı işlemler yapabilen yazılım (Virüs ve solucanlara kapı açmak) –SQL Enjeksiyon Saldırıları - SQL injection attacks Hackerlar Web formlara sitenin korunmasız yazılımından yararlanacak veri girerler ve sonrasında veritabanına zararlı SQL sorgulamaları gönderirler. –Ransomware (bilgi şifreleyerek fidye talep etme) Sistem Açıkları ve Suistimal

10 8.10 Copyright © 2016 Pearson Education Ltd. Management Information Systems Chapter 8: Securing Information Systems Kötü Amaçlı Yazılımlar (Devam) –Casus Yazılım - Spyware Kendilerini bilgisayarlara gizlice yükleyerek kullanıcıların internet faaliyetlerini takip eden ve bu bilgileri internet üzerinden belirli bir sunucuya ileten küçük programlar. Klayve Kayıtçıları - Key loggers –Şifreler ve seri numaraları gibi bilgileri çalmak adına tüm klavye hareketlerini kayıt altına alan programlardır. Diğer Türler: –İnternet tarayıcısının anasayfasını sıfırlama –Arama sorgularını yönlendirme –Bilgisayar hafızasını meşgul ederek performansı yavaşlatma Sistem Açıkları ve Suistimal

11 8.11 Copyright © 2016 Pearson Education Ltd. Management Information Systems Chapter 8: Securing Information Systems Bilgisayar Korsanları ve Suçlar – Bilgisayar Korsanı (Hackers, Crackers) – Faaliyetleri: Sisteme izinsiz girme Sisteme zarar verme Sibervandalizm – Şirket bilgi sistemini ya da internet sitesini kasten bozmak veya imha etmek. Sistem Açıkları ve Suistimal

12 8.12 Copyright © 2016 Pearson Education Ltd. Management Information Systems Chapter 8: Securing Information Systems Kimlik Gizleme - Spoofing –Bilgisayar korsanlarının sahte posta adresleri kullanarak veya bir başkasıymış gibi maskeleme yaparak kendi gerçek kimliklerini gizlemeleri. –İnternet bağlantılarını gidilmek istenen adresten farklı bir adrese yönlendirme. Dinleme - Sniffer –Ağ üzerinde taşınan bilgileri dinleme yaparak (kulak misafiri olarak) ele geçiren bir program türüdür. –Korsanların ağdaki herhangi bir yerden e-posta, firma dosyaları veya gizli raporlar dahil özel bilgilerine ulaşmalarına imkan verir. Sistem Açıkları ve Suistimal

13 8.13 Copyright © 2016 Pearson Education Ltd. Management Information Systems Chapter 8: Securing Information Systems Hizmet Vermeyi Engelleyen Saldırılar Denial-of-service attacks (DoS) –Bir ağ/web sunucusuna çok sayıda sahte talepte (hizmet isteği) bulunarak sunucunun yoğunluktan hizmet vermeyi durdurmasını sağlamak. Hizmet Vermeyi Engelleyen Dağıtık Saldırı Distributed denial-of-service attacks (DDoS) –Çok sayıda bilgisayarla yapılan Dos Saldırısı –Robot Ağ - Botnets Kötü amaçlı yazılım sızmış «zombi» bilgisayarların oluşturduğu ağ. Dünya genelinde; istenmeyen e-postaların %90’ı, kötü amaçlı yazılımların %80’i bu biçimde gerçekleşir. Grum botnet: Kontrol edilebilen 560 bin ila 840 bin bilgisayar Sistem Açıkları ve Suistimal

14 8.14 Copyright © 2016 Pearson Education Ltd. Management Information Systems Chapter 8: Securing Information Systems Bilgisayarların Hedef Olduğu Bilgisayar Suçları –Gizli ve korunmuş bilgilerin çalınması, –Sisteme yetkisiz erişim, –Bir bilgisayara kötü niyetli işlemler için kasten erişim, –İsteyerek/istemeyerek korunan bir bilgisayara erişim, –Korunan bir bilgisayara zarar vermek amacıyla bir program veya kod göndermek, –Korunan bir bilgisayara zarar verecek tehditlerde bulunmak. Sistem Açıkları ve Suistimal

15 8.15 Copyright © 2016 Pearson Education Ltd. Management Information Systems Chapter 8: Securing Information Systems Suç Aracı Olarak Bilgisayarlar –Telif hakkı ile korunan bir bilgiyi bilgisayar yardımı ile çoğaltmak, –Tehdit ve zarar amacıyla e-posta göndermek, –Bilerek ve kasten bir iletişimi bozmak, kesintiye uğratmak, –Çocuk pornografisi iletmek veya bu sitelere girmek. Sistem Açıkları ve Suistimal

16 8.16 Copyright © 2016 Pearson Education Ltd. Management Information Systems Chapter 8: Securing Information Systems Kimlik Hırsızlığı - Identity theft –Sahtekarlıkla kimlik numarası, kredi kartı numarası, sosyal güvenlik numarası vb. gibi kişiyi özgün olarak tanımlayabilecek kişisel bilgilerinin önemli bir bölümünü ele geçirme suçu. Yemleme - Phishing –Sahte bir internet sitesi kurulması veya kişisel bilgilerin ele geçirilmesi için yasal bir şirketten geliyor gibi görünen e-posta gönderimi. Şeytan İkizler - Evil twins –Havalimanları, oteller veya kafelerdeki gibi güvenli wi-fi hizmeti sunuyormuş izlenimi veren kablosuz ağlardır. Kullanıcıların şifre ve kredi kartı bilgileri hedeflenir. Sistem Açıkları ve Suistimal

17 8.17 Copyright © 2016 Pearson Education Ltd. Management Information Systems Chapter 8: Securing Information Systems Sahte Siteye Yönlendirme - Pharming – Kullanıcıları internet sayfasının adresini doğru yazsalar dahi sahte internet sayfalarına yönlendirir. Tıklama Hilesi - Click fraud – Ürünü satın alma veya reklam veren işletme ile ilgili daha çok bilgi edinme niyetinde olmaksızın bir reklama hileli şekilde tıklama yapan programlar. Reklamı verenler her bir tıklama için siteye ödeme yaparlar. Siber terörizm ve Siber savaş Sistem Açıkları ve Suistimal

18 8.18 Copyright © 2016 Pearson Education Ltd. Management Information Systems Chapter 8: Securing Information Systems İç tehditler: Çalışanlar –İşletmeye yönelik tehditler genellikle işletme içinden oluşturdukları güvenlik açıkları nedeniyle oluşmaktadır. –Çalışanların ayrıcalıklı bilgiye erişim hakkı –Özensiz iç güvenlik kuralları Kullanıcıların yeterli bilgiye sahip olmaması –Toplum Mühendisliği: Sisteme erişim yolu arayanlar zaman zaman işletmenin yetkili kullanıcılarına rol yaparak şifrelerini elde etmek için kandırmaya çalışırlar. Sistem Açıkları ve Suistimal

19 8.19 Copyright © 2016 Pearson Education Ltd. Management Information Systems Chapter 8: Securing Information Systems Yazılımların Güvenlik Açıkları –Ticari yazılımlar ağı dışarıdan izinsiz girişlere açan güvenlik açıkları da içerirler. Gizli hatalar - Hidden bugs (kodlardaki kusurlar) –Büyük programlardan tüm hataların (bugs) ayıklanması sanal olarak imkansızdır. Kusurlar ağı saldırganlara açan güvenlik zaafiyetlerine yol açarlar. –Yamalar - Patches Kusurları onarmak adına kodlanan küçük yazılım parçaları Exploits Sistem Açıkları ve Suistimal

20 8.20 Copyright © 2016 Pearson Education Ltd. Management Information Systems Chapter 8: Securing Information Systems Başarısız bilgisayar sistemleri işletmenin tüm ya da önemli fonksiyonlarının kaybına neden olabilir. Firmalar günümüzde hiç olmadıkları kadar saldırıya açık durumdalar. –Gizli kişisel ve finansal veriler –Ticari sırlar, yeni ürünler, stratejiler Bir güvenlik ihlali firmanın pazar değerini anında düşürebilir. Yetersiz güvenlik ve kontroller başka sorumluluk problemleri oluşturabilir. Güvenlik ve Kontrolün İşletme Değeri

21 8.21 Copyright © 2016 Pearson Education Ltd. Management Information Systems Chapter 8: Securing Information Systems Elektronik kayıt yönetimi için yasal ve düzenleyici gereksinimler –HIPAA: Sağlık hizmeti sağlayanlar arasında bilgilerin transferi ve faturalandırılmasını, otomatikleştirilmesini ve yönetilmesini basitleştirmek için prosedürler ve medikal gizlilik ve güvenlik için kurallar –Gramm-Leach-Bliley Act: Finansal şirketlerin verileri güvenli ortamlarda saklamaları, bilgilerin iletiminde gerekli güvenlik önlemlerini alarak korumaları konularında uymak zorunda oldukları yasa. –Sarbanes-Oxley Act: Yatırımcıların korunması adına içeride kullanılan veya dışarıya verilen finansal bilgilerin bütünlüğü ve doğruluğunun sağlanması ve yönetimi için işletmelere getirilen yasal zorunluluk. Güvenlik ve Kontrolün İşletme Değeri

22 8.22 Copyright © 2016 Pearson Education Ltd. Management Information Systems Chapter 8: Securing Information Systems Dijital Kanıt - Electronic evidence – Beyaz yaka suçlarının kanıtları genelde dijital biçimdedir. Bilgisayardaki veriler, e-posta, anlık mesajlaşma, ticari işlem kayıtları vb. – Etkili bir belge saklama yöntemi elektronik belgelerin ve kayıtların iyi düzenlenmesini ve erişimini sağlar; yasal erişim taleplerine yanıt vermede firmaya zaman ve para tasarrufu sağlar. Adli Bilişim - Computer forensics: – Mahkeme tarafından kanıt olarak kullanılabilecek, bilgisayar saklama birimlerinde saklanan bilgilerin bilimsel olarak elde edilmesi, toplanması, analizi ve korunması, kontrol edilmesidir. – Ortam verisi ya da gizli verilerin kurtarılmasını da içerir. Güvenlik ve Kontrolün İşletme Değeri

23 8.23 Copyright © 2016 Pearson Education Ltd. Management Information Systems Chapter 8: Securing Information Systems Bilişim Sitemlerinde Kontroller –Elle ve Otomatik Kontroller –Genel ve Uygulama Kontrolleri Genel Kontroller –Tasarım, güvenlik ve bilgisayar programlarının kullanımı ile, genel olarak örgütün enformasyon teknolojileri altyapısı içerisinde yer alan veri dosyalarının güvenliğini ele alır. –Bilgisayara uyarlanmış uygulamalardan yararlanır. –Daha bütüncül bir kontrol için; donanım, yazılım ve elle yürütülen prosedürlerin bileşiminden oluşur. Güvenlik ve Kontrol İçin Kurumsal Bir Çerçeve Oluşturulması

24 8.24 Copyright © 2016 Pearson Education Ltd. Management Information Systems Chapter 8: Securing Information Systems Genel Kontrol Türleri –Yazılım Kontrolleri –Donanım Kontrolleri –Bilgisayar İşlemleri Kontrolleri –Veri Güvenliği Kontrolleri –Uygulama Kontrolleri –Yönetim Kontrolleri Güvenlik ve Kontrol İçin Kurumsal Bir Çerçeve Oluşturulması

25 8.25 Copyright © 2016 Pearson Education Ltd. Management Information Systems Chapter 8: Securing Information Systems Uygulama Kontrolleri –Ödeme ve sipariş işlemleri gibi bilgisayara uyarlanmış uygulamaların her biri için tek ve özel olan kontrollerdir. –Hem otomatik hem de elle uygulanan kuralları kapsar. –Bu kurallar uygulamanın yalnızca yetki verilmiş veriler üzerinde tam ve doğru bir biçimde işlem yapmasını sağlar. –Uygulama kontrolleri şunları içerir; Girdi kontrolleri İşlem kontrolleri Çıktı kontrolleri Güvenlik ve Kontrol İçin Kurumsal Bir Çerçeve Oluşturulması

26 8.26 Copyright © 2016 Pearson Education Ltd. Management Information Systems Chapter 8: Securing Information Systems Risk Değerlendirmesi: Belirli bir faaliyet veya süreç uygun kontrol edilmediği taktirde işletmenin karşı karşıya olacağı riskin seviyesini belirler. Tehdit türleri Yıl boyunca oluşma olasılığı Potansiyel kayıplar, tehdit değeri Beklenen yıllık zarar Güvenlik ve Kontrol İçin Kurumsal Bir Çerçeve Oluşturulması Maruz Kalınan OlayOlasılıkOrtalama Zarar Aralığı Beklenen Yıllık Zarar Güç Kaybı30%$5K–$200K ($102,500)$30,750 Zimmete Para Geçirme 5%$1K–$50K ($25,500)$1,275 Kullanıcı Hatası98%$200–$40K ($20,100)$19,698

27 8.27 Copyright © 2016 Pearson Education Ltd. Management Information Systems Chapter 8: Securing Information Systems Güvenlik Politikası –Enformasyon risklerini derecelendiren, kabul edilebilir güvenlik hedeflerini belirleyen ve bu hedeflere ulaşmak için gereken mekanizmaları belirleyen ifadelerden meydana gelir. –Güvenlik Politikası Şu Politikaları Yürütür: Kabul Edilebilir Kullanım Politikası –İşletmenin enformasyon kaynaklarının bilgi işlem ekipmanlarının (bilgisayarlar, telefonlar vb.) kabul edilebilir kullanımlarını belirler. Yetki Politikaları –Sistemin farklı seviyelerdeki kullanıcılarını ve erişim yetkilendirmesini belirler. Güvenlik ve Kontrol İçin Kurumsal Bir Çerçeve Oluşturulması

28 8.28 Copyright © 2016 Pearson Education Ltd. Management Information Systems Chapter 8: Securing Information Systems Kimlik Yönetimi – Bir sistemin geçerli kullanıcılarını tanımlamak ve sistem kaynaklarına erişimlerini kontrol etmek için iş süreçlerinden ve yazılım araçlarından meydana gelir. Farklı kategorilerdeki kullanıcıları belirler ve yetkilendirir. Kullanıcıların hangi bilgilere erişebileceğine yönelik izinleri tanımlar Kullanıcıları kimliklerini doğrulanması ve saklanması için gerekli süreç ve teknolojileri de içerir. – Kimlik Yönetim Sistemleri Farklı seviyelerdeki kullanıcılar için erişim kurallarını kapsar. Güvenlik ve Kontrol İçin Kurumsal Bir Çerçeve Oluşturulması

29 8.29 Copyright © 2016 Pearson Education Ltd. Management Information Systems Chapter 8: Securing Information Systems Bu iki örnek bir personel sisteminde bulunabilecek iki güvenlik profilini veya veri güvenlik örneğini temsil etmektedir. Erişim kurallarına göre, bir kullanıcı bir örgütteki çeşitli sistemlere, alanlara veya verilere erişimde belirli kısıtlamalara maruz kalacaktır. ŞEKİL 8-3 BİR PERSONEL SİSTEMİ İÇİN GÜVENLİK PROFİLİ

30 8.30 Copyright © 2016 Pearson Education Ltd. Management Information Systems Chapter 8: Securing Information Systems Felaket Eylem Planlama: Bir felaket gerçekleştikten sonra bilgi işlem ve iletişim hizmetlerinin kesintiye uğradıktan sonra eski haline getirilmesi için gerekli planların yapılmasıdır. İş Sürekliliği Planlama: Bir felaket gerçekleştikten sonra işletmenin faaliyetlerini eski haline nasıl getirileceğine odaklanılır. İşletmenin en kritik iş süreçlerini belirler ve sistemlerin çökmesi durumunda yaşamsal işlevlerin idare edilebilmesi için gerekli faaliyet planlarını tanımlar. Her iki plan da kritik iş süreçlerinin belirlenmesini gerektirir. Güvenlik ve Kontrol İçin Kurumsal Bir Çerçeve Oluşturulması

31 8.31 Copyright © 2016 Pearson Education Ltd. Management Information Systems Chapter 8: Securing Information Systems Bilişim Sistemleri Denetimi –Bireysel bilgi sistemlerinin yönetimleri ve bunun yanı sıra işletmenin tüm güvenlik ortamını inceler. –Teknolojileri, prosedürleri, belgelemeyi, eğitimi ve personeli gözden geçirir. –Bir felaket senaryosu simüle ederek teknolojiyi, bilişim çalışanlarını ve diğer çalışanların tepkilerini test edebilir. –Denetim sistemindeki zayıflıkları ve meydana gelme olasılıklarını listeler ve derecelendirir. –Her bir tehdidin finansal ve kurumsal etkilerini değerlendirir. Güvenlik ve Kontrol İçin Kurumsal Bir Çerçeve Oluşturulması

32 8.32 Copyright © 2016 Pearson Education Ltd. Management Information Systems Chapter 8: Securing Information Systems Bu çizelge yerel bir ticari bankanın kredi verme sisteminde bir denetimcinin bulabileceği kontrol zayıflıkları listesinden alınan örnek bir sayfadır. Bu form denetimciye kontrol zayıflıklarını kaydedip, değerlendirmesi için yardım etmekte ve yönetimle bu zayıflıklar üzerine yaptığı görüşmelerin sonuçlarını göstermektedir. Ayrıca yönetim tarafından düzeltmeye yönelik yapılan faaliyetleri de göstermektedir. ŞEKİL 8-4 ZAYIFLIKLARIN KONTROL LİSTESİ ÖRNEĞİ

33 8.33 Copyright © 2016 Pearson Education Ltd. Management Information Systems Chapter 8: Securing Information Systems Kimlik Doğrulama Yazılımı – Tüm kullanıcıların ve erişim izinlerinin takibini otomatik hale getirir. – Kullanıcıları doğrular, kimlikleri korur ve erişimleri kontrol eder. Doğrulama – Şifreleme sistemleri – Password systems – Jetonlar - Tokens – Akıllı kartlar - Smart cards – Biyometrik doğrulama - Biometric authentication – İki-faktörlü doğrulama - Two-factor authentication Güvenlik İçin Gerekli Teknoloji ve Araçlar

34 8.34 Copyright © 2016 Pearson Education Ltd. Management Information Systems Chapter 8: Securing Information Systems Güvelik Duvarı - Firewall: – Yetkisiz kullanıcıların özel ağa erişimini engelleyen donanım ve yazılım kombinasyonlarıdır. – Güvenlik Duvarları Şu Teknolojileri Barındırır: Paket Filtreleme Durum Denetimi Ağ Adresi Dönüştürme Uygulama Vekil (proxy) Filtreleme Güvenlik İçin Gerekli Teknoloji ve Araçlar

35 8.35 Copyright © 2016 Pearson Education Ltd. Management Information Systems Chapter 8: Securing Information Systems The firewall is placed between the firm’s private network and the public Internet or another distrusted network to protect against unauthorized traffic. ŞEKİL 8-5 KURUMSAL BİR GÜVENLİK DUVARI

36 8.36 Copyright © 2016 Pearson Education Ltd. Management Information Systems Chapter 8: Securing Information Systems Saldırı Algılama Sistemleri: –Saldırganların algılanması veya engellenmesi için işletme ağının en zayıf noktaları veya hareketli kısımlarına yerleştirilmiş sürekli izleme araçları sağlar. –Sistem şüpheli veya anormal bir durum saptadığında bir uyarır verir. Virüs ve Casus Yazılım Önleyici Yazılımlar: –Bilgisayarları kötü amaçlı yazılımların (malware) varlığına yönelik tarar ve genellikle onları sistemden kaldırırlar. –Son virüsleri tanımak adına sürekli güncelleştirme gerektirir. Birleşik Tehdit Yönetim Sistemleri Güvenlik İçin Gerekli Teknoloji ve Araçlar

37 8.37 Copyright © 2016 Pearson Education Ltd. Management Information Systems Chapter 8: Securing Information Systems Kablosuz Ağları Güvenliği –WEP aşağıdaki faaliyetlerle bazı güvenlik önlemleri sunabilir: Ağın SSID’sine eşşiz bir isim atanması atanan ismin yayımlanmasının önlenmesi Sanal Özel Ağ (VPN) ile kullanma imkanı –Wi-Fi Alliance WEP stardartının yerini alan WPA2 güvenlik standartlarını sunmuştur. Sürekli değişen daha uzun anahtarlar Merkezi bir doğrulama sunucusu sayesinde ağa yalnızca yetkili kullanıcıların erişmesine izin verir. Güvenlik İçin Gerekli Teknoloji ve Araçlar

38 8.38 Copyright © 2016 Pearson Education Ltd. Management Information Systems Chapter 8: Securing Information Systems Şifreleme: –Düz bir metin veya verinin gönderen ve alıcının dışında hiç kimse tarafından okunamayacak biçimde şifreli bir hale dönüştürülmesi işlemidir. –Ağ trafiğini şifrelemek için iki yöntem Güvenli Yuva katmanı - Secure Sockets Layer (SSL) ve Ulaşım Katmanı Güvenliği - Transport Layer Security (TLS) Güvenli Bağlantılı Metin Aktarım Protokolü – Secure Hypertext Transfer Protocol (S-HTTP) Güvenlik İçin Gerekli Teknoloji ve Araçlar

39 8.39 Copyright © 2016 Pearson Education Ltd. Management Information Systems Chapter 8: Securing Information Systems Şifreleme İçin İki Alternatif Yöntem –Simetrik Anahtar Şifreleme Gönderen ve Alıcı tek ve paylaşılan bir anahtar kullanırlar –Açık Anahtar Şifreleme Matematiksel olarak ilişkili iki anahtar kullanılır. Açık Anahtar ve Saklı Anahtar Gönderici mesajı alıcının açık anahtarı ile şifreler Alıcı şifreyi saklı anahtarı ile çözer. Güvenlik İçin Gerekli Teknoloji ve Araçlar

40 8.40 Copyright © 2016 Pearson Education Ltd. Management Information Systems Chapter 8: Securing Information Systems Bir açık anahtarlı şifreleme sistemi iletilirken veriyi kilitleyip alındığında da kilidi açan bir dizi açık ve saklı anahtar olarak görülebilir. Gönderici alıcının açık anahtarını biz dizine yerleştirir ve bir mesajı şifrelemek için onu kullanır. Mesaj internet veya özel ağda şifrelenmiş haliyle gönderilir. Şifrelenmiş mesaj yerine ulaştığında, alıcı saklı anahtarını veriyi deşifre etmek için kullanır ve mesajı okur. ŞEKİL 8-6 PUBLIC KEY ENCRYPTION

41 8.41 Copyright © 2016 Pearson Education Ltd. Management Information Systems Chapter 8: Securing Information Systems Dijital Sertifika: –Çevrimiçi işlemlerin korunması için kullanıcıların ve elektronik varlıkları kimliklerinin oluşturulmasında kullanılan veri dosyalarıdır. –Güvenilir üçüncü bir makamdan (onay makamı - CA) kullanıcının kimliğinin geçerliliğini tespit etmek için yardım alır. –CA kullanıcının kimliğini tasdik eder ve CA sunucusunda sahibinin kimlik bilgileri ve açık anahtarının bir kopyasının bulunduğu şifrelenmiş dijital sertifikayı üretir. Açık Anahtar Altyapısı (PKI) –CA ile çalışan açık anahtar şifreleme sistemi –Genellikle e-ticaret ortamında kullanılmaktadır. Güvenlik İçin Gerekli Teknoloji ve Araçlar

42 8.42 Copyright © 2016 Pearson Education Ltd. Management Information Systems Chapter 8: Securing Information Systems Dijital sertifikalar kişilerin veya elektronik varlıkların kimliklerini oluşturmaya yardım eder. Çevrimiçi işlemleri, güvenli ve şifreli çevrimiçi iletişim sağlayarak korurlar. ŞEKİL 8-7 DİJİTAL SERTİFİKALAR

43 8.43 Copyright © 2016 Pearson Education Ltd. Management Information Systems Chapter 8: Securing Information Systems Sistem Erişilebilirliğinin Garanti Edilmesi –Çevrimiçi iş işleme faaliyetleri kesinti yaşanmaksızın %100 erişilebilirlik gerektirir. Aksaklığa Dayanıklı Bilgisayar Sistemleri –Sürekli erişilebilirlik için, Örn: Borsa İşlemleri –Gereğinden fazla donanım, yazılım ve güç destek bileşenleri barındırır ki sürekli ve kesintisiz hizmet sağlayacak bir ortam oluşturulsun. Güvenlik İçin Gerekli Teknoloji ve Araçlar

44 8.44 Copyright © 2016 Pearson Education Ltd. Management Information Systems Chapter 8: Securing Information Systems Ağ Trafiğinin Kontrolü –Derin paket inceleme (DPI) – Veri dosyalarını incelemekte ve çevrimiçi materyale düşük öncelik verirken, işletme için kritik dosyaları yüksek önceliklendirmektedir. Video ve müzik indirmelerini engelleyebilir. Güvenlik İçin Dış Kaynaklardan Yararlanma Güvenlik Hizmeti Sağlayıcıları (MSSPs) Güvenlik İçin Gerekli Teknoloji ve Araçlar

45 8.45 Copyright © 2016 Pearson Education Ltd. Management Information Systems Chapter 8: Securing Information Systems Bulut Bilişimde Güvenlik –Hesap verme yükümlülüğü ve sorumluluk halen veriye sahip olan işletme aittir. –Bulut bilişimden yararlanan firmaların, hizmet sağlayıcıdan belirli başlıklarda açıklama istemeleri gerekir: Veriler nerede saklanmaktadır? Kurumsal gereksinimleri ve hukuki gizlilik kanunlarını karşılama Diğer bulut hizmeti alanların verileriden ayrıştırma yöntemleri Denetim ve güvenlik sertifikaları –Hizmet Seviyesi Anlaşması (SLAs) Güvenlik İçin Gerekli Teknoloji ve Araçlar

46 8.46 Copyright © 2016 Pearson Education Ltd. Management Information Systems Chapter 8: Securing Information Systems Mobil Platformların Güvenliği –Güvenlik politikaları mobil aygıtların özel gereksinimlerini karşılayacak biçimde kapsamlı olmalıdır. Platformların ve uygulamaların kullanımına yönelik kılavuzlar –Mobil aygıt yönetim araçları Kullanımdaki mobil cihazları yetkilendirmek Envanter kayıtlarını tutmak Uygulamaların güncellemelerini kontrol etmek Kayıp/arızalı cihazları kilitlemek Şifreleme Güvenlik İçin Gerekli Teknoloji ve Araçlar

47 8.47 Copyright © 2016 Pearson Education Ltd. Management Information Systems Chapter 8: Securing Information Systems Yazılım Kalitesinin Garanti Edilmesi – Yazılım metrikleri: sistemin dijital değerlerle objektif olarak değerlendirilmesidir. Gerçekleşen işlem sayısı Çevrimiçi yanıtlama süresi Bir saatte basılan ödeme çeki sayısı Program kodunun her yüz satırındaki bilinen hata sayısı – Erken ve Düzenli Testler – Yapısal Denetim (Walkthrough): Sınanacak konular üzerindeki yeteneklerine bağlı olarak özenle seçilmiş küçük bir grup insan tarafından, özellik ve tasarım belgelerinin gözden geçirilmesidir. – Hata Ayıklama (Debugging) Güvenlik İçin Gerekli Teknoloji ve Araçlar


"6.1 Copyright © 2014 Pearson Education, Inc. Bilişim Sistemlerinin Güvenliği Chapter 8 VIDEO CASES Case 1: Stuxnet and Cyber Warfare Case 2: Cyber Espionage:" indir ppt

Benzer bir sunumlar


Google Reklamları