Bilgi ve Bilgisayar Sistemleri Güvenliği (Information and Computer Systems Security) Bu bölümde; Bilgi Güvenliği ve Önemi Güvenliğin Sınıflandırılması, Bilgi Güvenliği Tehditleri, İhtiyaç Duyulan Alanlar, Nasıl Bir Bilgi Güvenliği, Karşılaşılabilecek Güvenlik Açıkları ile ilgili konular anlatılacaktır.
Bilgi Güvenliği Bilgi güvenliği, bilgiye sürekli olarak erişilebilirliğin sağlandığı bir ortamda, bilginin göndericisinden alıcısına kadar gizlilik içerisinde, bozulmadan, değişikliğe uğramadan ve başkaları tarafından ele geçirilmeden, bütünlüğünün sağlanması ve güvenli bir şekilde iletilmesi sürecidir. GİRİŞ: Globalleşen dünya da kurum, kuruluş ve organizasyonların birbirleri ile rekabet etme noktasında ayakta kalabilmeleri için bilgi ve bilgisayar sistemlerini doğru bir şekilde tanımlamaları ve kurmaları gerekmektedir. Bilgi ve bilgi ile ilişkili bütün kavram, yöntem ve stratejilerin bu sistemler üzerinde doğru ve güvenli bir şekilde uygulanması hayati öneme sahiptir. Bilginin değerli olması, bu değeri elde etmek için emek ve zaman harcanması ve kazanılan bilginin fark yaratması nedeniyle, bilgi korunması gereken bir varlık olarak görülmelidir. Bilginin paylaşılması bile belirli kurallar çerçevesinde yapılmalıdır. Bu paylaşım esnasında bilgiyi gönderen, alan veya saklayan hiçbir taraf zarar görmemelidir. Bilgi ve bilgi sistemlerinin öneminin artması ile ona karlı yönelen kötü niyetli yaklaşımlar artmıştır. Bu noktada bilgi güvenliğinin önemi ön plana çıkmaktadır. Celal Bayar Üniversitesi
Güvenliğin Sınıflandırılması Fiziksel Güvenlik: Çit, kameralar, duvarlar, özel güvenlik görevlileri, şifreli oda girişleri vb. Haberleşme Güvenliği: Steganografi. Yayılım Güvenliği: TEMPEST(TEMPEST, kısaca elektromanyetik enerji yayılımları sonucu oluşan bilgi kaçakları olarak tanımlanabilir) Bilgisayar Güvenliği: Güvenli Bilgisayar Sistemi Değerlendirme Kriterleri (Trusted Computer System Evaluation Criteria – TCSEC). Ağ Güvenliği: Kablolu – Kablosuz Ağlar, IDS(Saldırı Tespit Sistemleri ), IPS(Arka kapı saldırılarını ve diğer malwareleri (kötücül yazılımları) otomatik olarak tespit etmek ve engellemek için geliştirilmiş İzinsiz Giriş Önleme Sistemi ). Bilgi Güvenliği: Kriptografi. Celal Bayar Üniversitesi
Bilgi Güvenliği (devam) Bilgi güvenliğini sağlama unsurları… Celal Bayar Üniversitesi
Güvenliğin Sınıflandırılması (devam) Güvenlik duvarı yapılandırmasına bir örnek… Celal Bayar Üniversitesi
Güvenliğin Sınıflandırılması (devam) Saldırı tespit sistemine bir örnek… Celal Bayar Üniversitesi
Bilgi Güvenlik Sistemi Kişisel güvenlik Sertifikalandırma, Akreditasyon, ve Güvenlik Tespitleri Giriş Kontrol Mekanizmaları Tanıma ve Yetkilendirme Mekanizmaları (biometrics, tokens, passwords) Denetim Mekanizmaları Şifreleme mekanizmaları Güvenlik duvarları ve ağ güvenlik mekanizmaları Saldırı tespit sistemleri Celal Bayar Üniversitesi
Bilgi Güvenlik Sistemi (devam) Risk analizi Güvenlik planlama Güvenlik politikaları ve prosedürleri Olay karşı koyma planlama Güvenlik bilinci ve eğitim Fiziksel güvenlik Güvenlik konfigürasyon kurulumları Anti-viral yazılımlar Akıllı kartlar Celal Bayar Üniversitesi
Bilgisayar Güvenliği Farkındalığı Erişilen ve saklanan veriler ile bilgisayar sistemlerinin korunması... Masaüstü PC’ler Dizüstü Bilgisayarlar Sunucular El Bilgisayarları Taşınabilir Bellekler Kurumsal Bilgiler Sınırlı Bilgiler Kişisel bilgiler Arşivler Veritabanları Celal Bayar Üniversitesi
Bilgisayar Güvenliği Farkındalığı (devam) Kişisel olarak neden bilgisayar güvenliğini almak zorundayız? Bu bir "Bilgi ve İletişim Teknolojileri" problemi değil mi? Bilgi güvenliğinin sağlanmasından herkes sorumludur. Bilgisayarını ve bilgisini korumak zorunda... İKİNCİ MADDENİN DEVAMI: Bu sorumluluklar yasal olarak da ifade edilmiş ve 5651 sayılı kanun "İnternet ortamında yapılan yayınların düzenlenmesi ve bu yayınlar yoluyla işlenen suçlarla mücadele edilmesi" amacı ile düzenlenmiştir. Celal Bayar Üniversitesi
Bilgisayar Güvenliği Farkındalığı (devam) İyi bir güvenlik için pratik olarak “90/10” Kuralı Güvenlik koruma sistemleri 10% teknik kullanıcılara veya sistem yöneticilerine 90% diğer faktörlere bağlı… Celal Bayar Üniversitesi
Bilgisayar Güvenliği Farkındalığı (devam) Güvenliği zayıflatan unsurlar nelerdir? Sürekli kendine ve hizmet aldığı birime suç bulmak, Kaybolan verileri tekrar elde ederim düşüncesi, Kimlik hırsızlıkları, Verilerin bozulması veya kaybolması, İşveren ve herkese güven, Sabırsızlık ve zafiyetler, Farkındalık eksikliği. Celal Bayar Üniversitesi
Bilgi Koruma ile İlgili 10 Temel Kural Kural-1: Gizli bilgileri taşınabilir ortamlarda bulundurma. Kural-2: Verini Yedekle. Kural-3: Şifrelerini koru. Kural-4: Anti-viral çözümler kullan. Kural-5: Bilmediğin yazılımı kullanma. Kural-6: Güvenli e-posta kullan. Kural-7: Güvenli internet kullan. Kural-8: Kullanım alanını koru. Kural-9: Verilerini fiziksel olarak koru Kural-10: Ekran koruyucu kullan. Celal Bayar Üniversitesi
Kural-1: Gizli bilgileri taşınabilir ortamlarda bulundurma Kayıp olabilir. Çalınabilir. Düşürülebilir. Kopyası kolaylıkla çıkarılabilir. Zarar görebilir. Celal Bayar Üniversitesi
Kural-2: Verini Yedekle Düzenli bir plan çerçevesinde veriyi yedekle. İdeali günde bir kez... Yedeklemeyi silinebilir ortamlarda tut. Taşınabilir HD, CD, ve DVD sürücüleri veya USB bellek. Yedekleme ünitelerinizi güvenli ortamlarda tutunuz. PC’den farklı bir ortamda tutmanız önerilir. Yazdıklarınız, çizdikleriniz, hazırladığınız tablolar, kayıp olursa ne kadar verimli olabilirsiniz? Bu kadar veriyi tekrar geri elde etmek ne kadar zaman alır? Celal Bayar Üniversitesi
Kural-3: Şifrelerini Koru Şifrelerini belirli sürelerde değiştir. Kolaylıkla tahmin edilmeyen şifreler kullan. Şifrelerinizi görünebilir bir yere yazma. Hiçbir kimseyle paylaşma. Celal Bayar Üniversitesi
Kural-4: Anti-viral çözümler kullan Anti-virüs, Anti-casus, Anti-spam, Güvenlik duvarı, ve bunlara ilişkin güncel yamalar kullan. Celal Bayar Üniversitesi
Kural-5: Bilmediğin yazılımı kullanma İnternet üzerinden indirilen ve temelini bilmediğin yazılımları bilgisayarına yükleme, Lisansız yazılım kullanma. Celal Bayar Üniversitesi
Kural-6: Güvenli e-posta kullan Bilmediğiniz dosyaları açmayınız, yönlendirmeyiniz. Şüpheli e-postalara cevap vermeyiniz. Tanımadığınız kişilerden gelen e-posta eklerini açmayınız. E-postalarda gelen web adreslerine tıklamayınız. Spamları siliniz. Kişisel ve gizli bilgilerinizi isteyen e-postalara cevap vermeyiniz. Celal Bayar Üniversitesi
Kural-7: Güvenli internet kullan İnternet ortamında erişilen herhangi bir web sitesinden bu web sitesine erişen bilgisayarın adı ve yerine ulaşılabilmektedir. Şüpheli veya soru işareti olabilecek sitelere erişme; spam, virüs ve casus yazılımın bilgisayarınıza indirilmesini sağlayabilir. Kural-5’te belirtildiği gibi bilinmeyen programları bilgisayara indirme ve lisansız yazılımları kullanmaya heveslenme. Celal Bayar Üniversitesi
Kural-8 ve 9: Kullanım alanını ve verilerini fiziksel olarak koru Dosyalarını ve taşınabilir cihazlarını koru. Örn: USB memory’ler... Dizüstü bilgisaylarınızı kilitli ortamlarda ve kilitlenebilir şekilde koruyunuz. ID’lerinizi, giriş şifrelerinizi, kartlarınızı, veya anahtar gibi kullanılan cihazlarınızı hiçbir kimseyle paylaşmayınız. Celal Bayar Üniversitesi
Kural-10: Ekran koruyucu kullan. Bilgisayarlar ve dizüstü bilgisayarlar için: Bilgisayarın açılışına veya uyanması esnasında şifre koyunuz. <L> Celal Bayar Üniversitesi