Ağ ve Sistem Yönetimi Şubesi Bilişim Sistemleri Güvenliği BİLGİ İŞLEM DAİRESİ Ağ ve Sistem Yönetimi Şubesi Akif Murat CEYLAN Ağ ve Sistem Yönetimi Şb. Md.V. akifceylan@ormansu.gov.tr
Bilgi İşlem Dairesi Başkanlığı Takdim Bilişim Sistemi güvenliği Bakanlık Güvenlik Altyapısı Bakanlık Güvenlik Politikası Elektronik Posta Güvenliği Güvenlik zaafları ve çözümleri Bilgi İşlem Dairesi Başkanlığı
Bilişim Sistemi güvenliği Dış dünyaya hizmet veren bütün kurum ve kuruluşların vermiş oldukları hizmetlere ilişkin verilerinin yetkisiz kullanımını engellenmesine yönelik olarak alınan önlemlerin bütünü olarak tanımlanabilir. İç Tehdit Kişisel Gizlilik Güvenli Yazılım Geliştirme Web Uygulamaları Güvenliği Kablosuz Ağlar ve RFID Güvenliği Bilgi İşlem Dairesi Başkanlığı
Bilişim Sistemi güvenliği İÇ TEHDİT Bilgi güvenliği tehditleri arasında, organizasyon bünyesinde çalışan kişilerin oluşturabileceği bilinçli veya bilinçsiz tehditler olarak tanımlayabileceğimiz tehdittir. Organizasyonda çalışan kötü niyetli bir kişinin kendisine verilen erişim haklarını kötüye kullanmasını Kişinin başka birine ait erişim bilgilerini elde ederek normalde erişmemesi gereken bilgilere erişerek kötü niyetli bir aktivite gerçekleştirmesini kapsar. Bu tehlikeye karşın uygulamaların çalıştığı sistemlere ait giriş yetkileri düzenli olarak kontrol edilmekte ve sistem yöneticileri tarafından periyodik olarak erişim şifreleri değiştirilmektedir. Bilgi İşlem Dairesi Başkanlığı
Bilişim Sistemi güvenliği KİŞİSEL GİZLİLİK Kişisel gizlilik, bir kişinin ya da bir grubun kendilerine ait bilginin kimlere ve hangi şartlar altında iletileceğinin bizzat o kişilerin/grubun onayı ile gerçekleştirilmesidir. Alınması gereken tedbirler, erişim denetimi, yetkilendirme, sürekliliğin sağlanması gibi konuları içermektedir. Kişisel verinin bir başka sistemle ihtiyaç dahilinde paylaşılmasında uygulanacak güvenlik tedbirleri ise, verinin içeriğinin kişi tarafından paylaşılması onaylanmamış kısmının filtrelenmesi, filtrelenmiş verinin ilgili sisteme güvenli aktarımı ve söz konusu verinin sadece veri sahibi kişiler tarafından onaylanmış organizasyonlarla paylaşılmasıdır. Bilgi İşlem Dairesi Başkanlığı
Bilişim Sistemi güvenliği GÜVENLİ YAZILIM GELİŞTİRME Gereksinim analizi aşamasında güvenlik gereksinimlerinin üzerinde durulması, Yazılımın tehdit modellemesinin yapılması, Yazılım testlerinin fonksiyonellik yanında güvenlik testlerini de içermesi gerekmektedir. Bu konularda yapılan yazılımların gerçek ortamda yayına alınmadan önce bir süre test ortamında çalıştırılması ve gerekli açık ve bunlara ilişkin önlemlerin alınması gerekmektedir. Bilgi İşlem Dairesi Başkanlığı
Bilişim Sistemi güvenliği WEB UYGULAMALARI GÜVENLİĞİ HTTP protokolü ilk tasarlandığında sadece statik web sayfalarının gösterimi amaçlanmıştır. Sonraları dinamik sayfalar da bu protokol kapsamında iletilmiş ve günümüzde internet bankacılığı gibi karmaşık ve kritik sistemlerin üzerine bina edildiği bir protokol haline gelmiştir. Protokol baştan güvenlik düşünülerek tasarlanmadığı için özellikle protokol kapsamında birçok güvenlik açıklığı ortaya çıkmış ve bu açıklıkları kapatmak adına çözümler üretilmiştir. Web uygulamaları açıklıklarının önemli bir kısmını da siteler arası betik yazma (cross-site scripting), sql-enjeksiyonu (sql-injection) ve dosya içerme (file include) açıklıkları oluşturmaktadır. Geliştirilen yazılımlarda bahse konu açıklar ile ilgili önlemler alınması ve sistem güvenliğinin bunları engelleyecek şekilde tasarlanması gerekmektedir. Bilgi İşlem Dairesi Başkanlığı
Bilişim Sistemi güvenliği Kablosuz Ağlar ve RFID Güvenliği Genel yayın olması, çarpışma ve gecikmeden dolayı güvenirliği düşük haberleşme, Merkezi olarak yönetilse bile fiziksel tehditlere açık olması Taşıdığı önemli bilgilerlerden dolayı kablosuz mobil sensör ağlarında veri gizliği, veri bütünlüğü, süreklilik, verilerin tazeliği, kendi kendine organize olma, zaman sekronizasyonu, güvenli yerleşim ve kimlik doğrulama güvenlik gereksinimleri mevcuttur. Kablosuz mobil sensör ağlarda yukarıda saydığımız ataklara karşı önlem almak için ve güvenlik gereksinimlerini karşılamak için kriptografik protokollerle savunma mekanizmaları kullanır. Bakanlık sistemlerinde kullanılan kablosuz ağ tek bir merkezden yönetilmekte bütün binada kullanıcı adı sorgulaması ile bağlanılmakta bakanlık kullanıcısı olmayan bağlantılar için ise MERNIS üzerinden kimlik doğrulaması yapılarak kullanıcılar sisteme dahil edilmektedir. Bilgi İşlem Dairesi Başkanlığı
Bilişim Sistemi güvenliği Bakanlık Güvenlik Alt Yapısı Bilgi İşlem Dairesi Başkanlığı
Bilişim Sistemi güvenliği Bakanlık Güvenlik Alt Yapısı İç Ağ Güvenlik Duvarı ve Vekil Sunucu Hizmeti Kurum içindeki personellerimizin ve misafir kullanıcılarımızın internete erişiminde güvenlik Microsoft TMG ile sağlanmaktadır. İnternete erişim için uygulanması kararlaştırılan kurallar bu sistem üzerinde oluşturulmaktadır. Yazılım tabanlıdır, üçüncü nesil güvenlik duvarlarından değildir. Belirlenecek Bilgi Teknolojileri Politikalarımıza uygun güvenlik kurallarını bu sistem üzerinde oluşturmamız mümkün olmayacaktır. (IPv6 Desteği bulunmamaktadır.) Yeni nesil, IPv6 desteği bulunan bir güvenlik duvarı ile sistemimiz daha güvenli ve modern yapıya kavuşacaktır. Bilgi İşlem Dairesi Başkanlığı
Bilişim Sistemi güvenliği Bakanlık Güvenlik Alt Yapısı İç Ağ Güvenlik Duvarı ve Vekil Sunucu Hizmeti Kurum içindeki personellerimizin ve misafir kullanıcılarımızın internete erişiminde güvenlik Microsoft TMG ile sağlanmaktadır. İnternete erişim için uygulanması kararlaştırılan kurallar bu sistem üzerinde oluşturulmaktadır. Yazılım tabanlıdır, üçüncü nesil güvenlik duvarlarından değildir. Belirlenecek Bilgi Teknolojileri Politikalarımıza uygun güvenlik kurallarını bu sistem üzerinde oluşturmamız mümkün olmayacaktır. (IPv6 Desteği bulunmamaktadır.) Yeni nesil, IPv6 desteği bulunan bir güvenlik duvarı ile sistemimiz daha güvenli ve modern yapıya kavuşacaktır. Bilgi İşlem Dairesi Başkanlığı
Bilişim Sistemi güvenliği Bakanlık Güvenlik Alt Yapısı İnternet Güvenlik Duvarı Kurumumuzun web hizmeti sunmakta olan sunucularına erişim bu cihaz üzerinden yapılmaktadır. Omurga cihazımız üzerinde bulunan bir modüldür. Dışarıdan kurumumuzun sunmakta olduğu web sitelerine erişim, genellikle http isteğine cevap veren 80. Port üzerinden sağlanmaktadır. Bu sebeple dışarıdan kurumumuzun sunduğu web hizmetine erişmek isteyen dış kullanıcılar için genellikle sadece 80 portundan(http) izin verilmektedir. Başka portlardan erişim sağlanması ihtiyacı duyulan uygulamalar için genellikle güvenli portların (443,8443) erişim için açılması Başkanlığımız tarafından uygun görülmektedir. Farklı port talepleri uygulama geliştiricilerin önerisi ve Başkanlığımızın onayından sonra karşılanmaktadır. Bilgi İşlem Dairesi Başkanlığı
Bilişim Sistemi güvenliği Bakanlık Güvenlik Alt Yapısı İnternet Güvenlik Duvarı İç kullanıcıların dış dünya ile olan bağlantılarının güvenlikleri bu cihaz ile yapılmaktadır. Taşra teşkilatının Fiber Optik alt yapı ile merkez sistemlere bağlanmasından itibaren aynı hizmetten taşra teşkilatımızda faydalanmaktadır. İç yerel ağ kullanıcılarının internet ortamına çıkışlarındaki güvenlik önlemleri bu cihaz ile alınmaktadır. Veri merkezine dışardan doğrudan erişim bulunmamaktadır. Bu erişim dış dünyaya hizmet veren ayrık bölge sunucuları ile veri merkezi arasında konumlanmış bir güvenlik duvarı ile kontrol edilmektedir. Dış dünyadan içeriye erişim kriptolu bir protokol olan IPSec/VPN cihazı ile kullanıcı adı doğrulaması yapılarak sağlanmaktadır. Bilgi İşlem Dairesi Başkanlığı
Bilişim Sistemi güvenliği Bakanlık Güvenlik Alt Yapısı Saldırı Tespit Sistemi Kurum ağını internetten gelen tehditlere karşı korumakla görevli bir cihazdır. İnternetin kurumda sonlandırıldığı cihazla güvenlik duvarı arasında fiziksel olarak konumlandırılmıştır. Cihazlarda saldırı tipi veri tabanının sürekli güncel tutulması büyük önem arz etmekte ve buna yönelik olarak periyodik olarak lisanslarının temini gerekmektedir. Bilgi İşlem Dairesi Başkanlığı
Bilişim Sistemi güvenliği Bakanlık Güvenlik Politikası Başkanlığımızca kurum içi ve kurum dışından sistemlerin kullanılması talepleri detaylı olarak incelenmekte ve Başkanlığımız onayı olmaksızın herhangi bir işlemin yapılmasına müsaade edilmemektedir. Bakanlığımıza ait bütün bilişim sistemleri yönetiminin tek bir birim tarafından yapılıyor olması büyük önem arz etmektedir. Bakanlık personellerinin kendi kurum içinde kullandıkları bilgisayarlarına yetkisiz bir şekilde herhangi bir programın kurulmasının engellenmesi, işletim sistemlerinin merkezi olarak kurulması, kurulan uygulamaların güncellemelerinin merkezden otomatik olarak yapılması, yasaklı olan sitelere erişimlerin kısıtlanması kurum içi bilgi güvenliğinin sağlanması açısından önem arz etmektedir. Bilgi İşlem Dairesi Başkanlığı
Bilişim Sistemi güvenliği Bakanlık Güvenlik Politikası Güvenlik cihazlarının ve uygulamalarının kural tanımlarının sürekli güncel tutulması bu kural ve politikaların uygunluğunun, güvenirliğinin testlerinin gerekiyorsa bağımsız otoriteler tarafından periyodik olarak yapılması gerekmektedir. Bilgi Güvenliği Yönetim Sistemi gereksinimlerini tanımlayan tek uluslararası denetlenebilir standart olan ISO/IEC 27001 için çalışmaların başlatılması gerekmektedir. İnternet ve bilgi güvenliği konularında bilgili olabilmek, ileride karşılaşılacak olası tehditlere karşı internet ve veri güvenliğimizin sağlanabilmesi ve yeni gelişmelerin takibi için konuyla ilgili eğitimlere kurum personelinin katılımının sağlanması faydalı olacaktır. Bilgi İşlem Dairesi Başkanlığı
Bilişim Sistemi güvenliği Elektronik Posta Güvenliği Kurumumuz bünyesinde elektronik posta ileticisi olarak Microsoft Exchange 2010 sistemi kullanılmaktadır. Sistem en güncel Microsoft Aktif Dizin 2008 R2 versiyonu ile tam entegre çalışmaktadır. Aktif dizin üst düzey yöneticisi şifresi başkanlığımız içinde iki parçalı olarak tutulmakta şifre tek bir kişinin erişemeyeceği şekilde aynı anda iki personelin şifrenin farklı bölümlerini girmesi ile kullanılabilecek şekilde düzenlenmiş durumdadır. Exchange 2010 sisteminde son dönemde önemli güncelleme ve çalışmalar yapılarak kullanıcı e-postalarının güvenliği arttırılmıştır. Gerek aktif dizin üzerinde gerekse de e-posta sistemi üzerinde yapılan bütün çalışmalara ilişkin erişim kayıtları zaman damgalı ve değiştirilemez şekilde tutulmakta ve sistem yöneticilerine anlık olarak yapılan çalışma ve düzenlemeler bildirilmektedir. Bilgi İşlem Dairesi Başkanlığı
Bilişim Sistemi güvenliği Elektronik Posta Güvenliği E-posta sistemine entegre çalışan virus kontrol mekanizması ve spam kontrol mekanizması sayesinde kullanıcılara gelecek olan gereksiz ve tehlike içeren e-postalar sisteme giriş yapmadan engellenmektedir. E-posta sunucuları yedekli olarak çalışmakta ve herhangi bir fiziksel problem durumunda bir sunucu bütün istekleri karşılayabilecek durumdadır. Bilgi İşlem Dairesi Başkanlığı
Bilişim Sistemi güvenliği Güvenlik Zaafları ve Çözümleri Kurumumuzdaki en büyük güvenlik zaafı kullanıcıların kendi erişim şifre ve kullanıcı adlarının harici kişiler ile paylaşıyor olmasıdır. Kurum personeline tahsis edilmiş olan kullanıcı adı sistem üzerinde yapılan bütün işler için o kişinin kimlik doğrulamasının yapıldığı ve kayıtlara ilgili kişiyi temsil eden bilgi olduğundan dolayı paylaşılan şiflerin kullanılmasından kaynaklı problemler ilgili kişiyi zor durumda bırakacaktır. Bu durumu çözmek için belirli zaman aralıklarında son kullanıcıların bilişim sistemleri kullanımına yönelik bilgilendirilmesi ve şifrelerinin belirli aralıklar ile kişiler tarafından değiştirmelerinin sağlanması gerekmektedir. Bir diğer güvenlik zaafı başkanlığımız bilgisi dahilinde olmayan yazılımların geliştirilerek kullanıma sunulmasıdır. Bilgi İşlem Dairesi Başkanlığı
Bilişim Sistemi güvenliği Güvenlik Zaafları ve Çözümleri İlerleyen teknolojin gerekliliği olarak IPv6 protokolünün yakın zamanda kullanıma geçeceği düşünüldüğünde alt yapıda bu protokolün desteğine yönelik yatırımların yapılması gerekmektedir. Kurum personelinin bilgisayarlarının aktif dizin ile entegrasyonu işletim sistemlerinin güncellemelerinin güncel bir şekilde alınması ve işletim sisteminde doğan güvenlik açıklıklarının otomatik olarak kapatılması açısından önemlidir. Başkanlığımız yetkili personellerinin bilgilerinin güncel tutulması açısından son teknolojiler ile ilgili eğitimlerin alınmasında bu zamana kadar gösterilmiş olan özenin devamı önemlidir. Bilgi İşlem Dairesi Başkanlığı
TEŞEKKÜR EDERİM