Bilgisayar Sistemleri Güvenliği

Slides:



Advertisements
Benzer bir sunumlar
.NET FRAMEWORK -MASAÜSTÜ VE SUNUCU YAZILIMLARI
Advertisements

AKILLI FAKS.
SİSTEM YÖNETİMİ KOORDİNATÖRÜ
Bilgi Güvenliği Farkındalık Eğitimi
Kalite Koordinasyon Grubu, Genel Bilgilendirme Toplantıları
Windows Intune ile Modern Cihaz Yönetimi
Information Security Muhammet Baykara.
RİSK KAVRAMI RİSKLERİN BELİRLENMESİ
“IT Manager” Ünvanına Sahip Olun örnekler, kısa tanıtımlar
MODÜL 4 Organizasyon.
ŞUBEMİZİN GÖREV VE SORUMLULUKLARI
Örnek Kampüs Uygulamaları ODTÜ Ulaknet Sistem Yönetim Konferansı - Güvenlik.
İÇERİK Ağ İzleme Ağ güvenliği için Tehlikeli Protokoller
BİLGİ GÜVENLİĞİ MEHTAP KILIÇ
 Yapılan işler  Yapılan işlerin süreci  Personel.
6331 Sayılı İş Sağlığı ve Güvenliği Kanunu
BTP 108 BİLGİSAYAR AĞ SİSTEMLERİ AĞ KAVRAMI Birden çok bilgisayarın birbirine bağlı olarak kullanılmasıyla oluşturulan çalışma biçimine bilgisayar ağı.
AĞ GÜVENLİĞİ.
Bilişim Güvenliğinde Yaşam Döngüsü ve Derinlik
(FIREWALLS) GÜVENLİK DUVARI GİRİŞ
İNTERNET VE AĞ GÜVENLİĞİ
SON KULLANICI HATALARI BİLGİ İŞLEM DAİRE BAŞKANLIĞI SON KULLANICI HATALARI Cengiz Acartürk 03 Ekim 2003.
T.C. OKAN ÜNİVERSİTESİ SOSYAL BİLİMLER ENSTİTÜSÜ SAĞLIK YÖNETİMİ YÜKSEKLİSANS 1.PROGRAM SAĞLIK HUKUKU ÖDEVİ-II HAZIRLAYAN Dr Beytullah ŞAHİN AKADEMİK DANIŞMAN.
Windows Server 2008’e Genel Bakış Microsoft Windows Server 2008, bilgi teknolojileri (BT) uzmanlarının altyapıları üzerindeki kontrollerini maksimum seviyeye.
ANADOLU SU HAVZALARI REHABİLİTASYON PROJESİ İZLEME & DEĞERLENDİRME Dolunay KANATLI.
Strateji Geliştirme Başkanlığı. Strateji Geliştirme Başkanlığı.
Şişecam S ayısal Yönetimle Verim VIII. "Türkiye'de İnternet" Konferansı 20 ARALIK 2002 Canan Özcan Türkiye Şişe ve Cam Fab. A.Ş.
ŞİŞECAM’DA BİLGİ GÜVENLİĞİ
Bilgi Teknolojisinin Temel Kavramları
BİLGİSAYARDA GÜVENLİK
İÇ KONTROL UYUM EYLEM PLANI VE YOL HARİTASI. İÇ KONTROL İç kontrol genel olarak idarenin amaçlarına, belirlenmiş politikalara ve mevzuata uygun olarak;
Bilgisayar ve Veri Güvenliği
Microsoft Windows Server 2003
ISO/TS 16949:2009 (Hafta 8) ISO 9001:2008’E GÖRE FARKLAR.
İŞ GÜVENLİĞİ UYGULAMALARINDA YÖNETİM SİSTEMLERİNİN ENTEGRASYONU
Bilişim Güvenliği Hazırlayan: Ümüt EZER. Bili ş im Güvenli ğ i : Sahip oldu ğ umuz bili ş im altyapısının sadece i ş süreçleri için tanımladı ğ ımız amaçlar.
Ağlar ve Veri İletişimi
BİLGİ GÜVENLİĞİ Bilgi Gizliliği ve Güvenliği Zararlı Yazılımlar
Türk Hava Kurumu Üniversitesi
İnsan Kaynakları Yönetim Sistemi
Planlama ve Politika. Güvenlik Problemi Çalışanların Sorumlu Olduğu Olaylar %70-80 Dış Saldırılar %20-30 Bilgisayar Kötü Kullanımı  Kullanım hataları.
Bilgisayar ve Ağ Güvenliği
WİNDOWS SERVER 2003’te KULLANICI VE GRUP HESAPLARI.
Akademik Becerilerin İzlenmesi ve DEğerlendirilmesi
(Proje Yönetimi ve Danışmanlık Metodları)
Kurumsal Ağlarda Uzak ve Merkezi İşlem Birimlerinin Sanallaştırılması: Bir Uygulama Emrah ÇOLAK, SGK Aydın ÇETİN, Gazi Üniversitesi ŞUBAT 2016.
BİLİŞİM SUÇLARI ve ALINACAK TEDBİRLER
GZFT(SWOT) ANALİZİ.
Ulusal Bilgi Sistemleri Güvenlik Programı Bilge KARABACAK 8 Haziran 2007, Ankara.
DİSASTER CENTER FELAKET MERKEZİ. Felaket Kurtarma (Disaster Recovery) Her kurum için, vermekte olduğu hizmeti herhangi bir nedenden dolayı veremez duruma.
BILIŞIM KOMISYONU Kurumsallıkta Bilişimin Önemi ve Bilgi Güvenliği Ocak 2016.
SQL Server 2008 ile Verileriniz Daha Güvenli Selçuk UZUN Yazılım Geliştirme Teknolojileri Yöneticisii Microsoft Türkiye.
Kaynak Kodu Güvenliği Hazırlayanlar; Emine NUMANOĞLU Evren TANRIVERDİ Musa Kasım BAYINDIR.
Network Access Kontrol Ağ Erişim Kontrolü (NAC) Hüsnü DemirHüseyin YüceGökhan Akın ODTÜMarmara.
Üniversiteler Ortamında Açık Kaynak Kodlu Bulut Bilişim Kullanımı
ANTİVİRÜS ÇEŞİTLERİ ve ARALARINDAKİ FARKLAR
Bilgisayar Ağlarında Güvenlik
BİLİŞİM TEKNOLOJİLERİ VE YAZILIM DERSİ
haZIRLAYAN: ELİF KARAOĞLU
BİLGİ VE AĞ GÜVENLİĞİ DERSİ ÖDEVİ Ödev Konuları: 1) Dağıtık sistemler nedir avantajı nelerdir ? 2) Arp zehirlenmesi nedir? 3) Günümüzde kullanılan en güncel.
Bilgisayar ve Veri Güvenliği
Active Directory.
BİLGİ GÜVENLİĞİ. Bilgi güvenliği elektronik ortamda kaydetmiş olduğumuz bilgilerimizin güvenli olması anlamında önemlidir. Elektronik ortamdaki bilgilerimizin.
Felaket Merkezi Berk Aydoğdu
TURKHAREKAT.COM Siber Güvenlik Eğitimlerine Hoşgeldiniz.
Kullanıcıların Bilgilendirilmesi
BİLİŞİM TEKNOLOJİLERİ VE YAZILIM DERSİ
SİBER GÜVENLİK VERİNİZİ VE GİZLİLİĞİNİZİ KORUYUN
GÜVENLİ İNTERNET KULLANIMI
Sunum transkripti:

Bilgisayar Sistemleri Güvenliği Murat Erentürk Microsoft Danışmanlık Hizmetleri Microsoft Türkiye

Güvenlik ve sonuçlar Güvenlik, Maaliyet ve üretkenlik arasında bir dengedir. Uygulanacak güvenlik sonucunda, yönetimsel zorluklar ve kullanıcı performans kayıpları göz önünde tutulmalıdır. Güvenlik Üretkenlik Maaliyet Örnek: Internet’ten gelen viruslere karşı Firewall kullanımı, ağ yönetim maliyetini arttırdığı gibi kullanıcıların belirli protokolleri ve siteleri kullanmalarını engellemesi sebebiyle üretkenliği düşürecektir.

Risk Yönetimi En uygun güvenlik aşağıdakilere göre belirlenmelidir Korunması gereken değerlerin ve alınabilecek risklerin belirlenmesi Risk alma potansiyeli Risk altındaki bilginin değeri Kesin güvenlik ulaşılabilir değildir! Örnek: Haftada bir çalışan bir raporlama sunucusu vardır. Bu sunucu diğer sistemlere göre farklı bir uygulama platformu üzerinde çalıştığından patch yüklenmesi insan gücü ve zaman olarak masraflıdır. Eğer üretilen raporlama sisteminin sistemin yeniden kurulması kabul edilebilir hizmet veremediği süreden daha az ise ve barındırdığı bilgi çok değerli değilse, hiç patch yüklenmeden çalışmaya devam edebilir. Güvenli olma Maliyeti Korunanların değeri (Korumama maliyeti)

Güvenlik Risk Analizi Kurumsal değerlerin ve bunlara yöneltilen tehditlerin analizi Tehditlerin sonuçunda oluşacak zaafiyetlerin değerlendirilmesi Zaafiyetleri kapatmak için alınacak önlemlerin değerlendirilmesi Saldırı durumunda uygulanacak reaksiyon planlarının değerlendirilmesi Sorulması gereken sorular: Neyi, neden(hangi tehditlerden) korumak istiyoruz? Koruyacağımız şeylerin bizim için değeri nedir? Alınacak kademeli önlemler nelerdir? Önlemler işe yaramazsa , nasıl hareket edilmeli?

Güvenlik tehditleri Güvenlik Politikaları Kötü niyet Olmadan oluşan İyi Güvenlik Politikaları saldırıları Durdurabilir. Güvenlik Politikaları Değerler Kötü niyet Olmadan oluşan tehditler Teknikler Ve Metodlar Zaafiyetler Kötü niyetli tehditler Hedefler Teknikler Ve Metodlar Teknikler Ve Metodlar Doğal Afetler Yetersiz Güvenlik Politikaları saldırılara izin verebilir. Güvenlik Politikaları zarar verilmesini engelleyemeyebilir.

Derinlemesine Güvenlik Bir katmanın geçilmiş olması sistemin ele geçirildiği anlamına gelmez. Güvenliğin her açıdan ele alınmasını sağlar. Başarıya ulaşması için idari kararlarla desteklenmesi gereklidir. Veri Güvenliği Uygulama Güvenliği Sunucu Güvenliği Çevresel Güvenlik Ağ Güvenliği Fiziksel Güvenlik Güvenlik Politikaları

Güvenliğe etki eden faktörler Teknoloji İşlemler İnsanlar Teknoloji: Ürünlerin güvenlik altyapısı yetersiz olabilir. Ürünlerde bug olabilir. Ürünlerin dayanacağı güvenlik standartları olmayabilir. İşlemler: İşlemler güvenlik amaçlı tasarlanmamış olabilir. Roller ve sorumluluklar açıkça belirlenmemiştir. Değişimler izlenmiyor olabilir. Olaylara cevap planları hazırlanmamış olabilir. İnsanlar: İnsanların bilgi seviyesi yetersiz olabilir. İnsanların uygulayacak motivasyonu olmayabilir. İnsanlar hata yapabilir.

Güvenlik için yapılması gerekenler Teknoloji Zaafiyetleri bulmak ve gidermek Gerekli yamaların yüklenmesi İşlemler Bütün sistemlerin gözlemlenmesi Güvenlik politikaları oluşturmak Genel güvenlik ilkelerini izlemek İnsanlar İnsanların bilgi seviyesini arttırmak Güvenlik alışkanlıkları oluşturmak

Teknoloji: Zaafiyetleri bulmak ve gidermek Önleme (Prevention) Önleme (Prevention) Olayları olmadan durdurmayı hedefler. Genellikle teknolojik eksiklikleri giderir. Daha önceden belirlenmiş saldırılara karşı etkilidir. Fark Etme (Detection) Önlemenin sağlayamadığı durumlarda işe yarar. Hem daha önceden bilinen, hemde yeni ortaya çıkacak saldırılara karşı etkilidir. İyi idare edilen teknolojik altyapı gerektirir. delil toplanmasını sağlar. Tepki verme (Reaction) Olay durumunda normale dönmeyi içerir. Olaya yol açan sebebi bulunasını sağlar. Gerekiyorsa suçlunun yakalanması sağlar. Hatalardan ders alınmasını sağlar. Tepki verme (Reaction) İzleme ve Fark Etme (Detection)

Teknoloji: Gerekli yamaların yüklenmesi Microsoft ürün güncellemeleri Service Packler Rollup-patchler Hotfixler Güvenlik hotfixleri uygulama yöntemleri Windows Update MBSA Software Update Services (SUS) Service Management Server (SMS) Microsoft Destek Hattı (212) 33 66 999 virüs ve güvenik konularında ücretsiz destek

İşlemler: Bütün sistemlerin gözlenmesi Sistemlerde nelerin gözleneceğinin belirlenmesi Karar destek sistemlerinin oluşturulması Microsoft Operations Manager (MOM) Microsoft Audit Colletion System (MACS) Sistemlerde nelerin loglarının tutulacağına ve ne kadar tutulacağına karar verilmesi İzlenen sistemlerden gelen bilgilerin anlaşılabilir hale getirilmesi

İşlemler: Güvenlik politikaları oluşturmak Fiziksel Güvenlik Ağ Güvenliği Uygulama Güvenliği Sunucu Güvenliği Çevresel Güvenlik Veri Güvenliği Derinlemesine Güvenlik Hazırlanan bütün güvenlik ilkeleri en az iki aşamalı olacak şekilde hazırlanmalıdır. Bilgi güvenliği birimi Üst yönetim tarafından desteklenmelidir. Bu birim güvenlik stratejisini belirlemeli ve politikalarını oluşturmalıdır. Diğer birimler bu politikalara göre hareket etmelidir. Personeli bilgilendirmek ve yeni alışkanlıklar kazandıracak kurslar, bilgilendirme panoları , e-posta bültenleri hazırlamalıdır.

İşlemler ve İnsanlar: Güvenlik politikaları oluşturmak Yerel ağ güvenlik politikaları Kullanılacak güvenlik doğrulama protokolleri Bağlanacak uçların özellikleri Dış bağlantı güvenlik politikaları Internet erişim politikaları Internet’ten erişim politikaları Laptop güvenlik politikaları Kullanıcı hakları politikaları Kullanıcı bilgisayarlarında olması gereken yazılımlar Kullanıcı bilgisayarları yetkilendirmeleri Fiziksel güvenlik politikaları Bilgisayar odaları standartları Yetkili personel görevleri

İşlemler: Genel güvenlik ilkelerini izlemek Temel bilgi güvenliği yasaları Herkes güvenlik konusunda başına gelinceye kadar kendini güvende zanneder. Güvenlik sadece, güvenli yol aynı zamanda en kolay yol ise sağlanabilir. Güvenlik yamalarını yüklemezseniz, bilgisayar ağınız uzun süre sizin kontrolünüzde kalmaz. Baştan güvenliği sağlanmamış, bilgisayarlara hotfix yüklemek, o bilgisayarı güvenli yapmaz. Güvende olmak ancak sürekli uyanık ve tetikte olarak sağlanabilir.

İşlemler: Genel güvenlik ilkelerini izlemek Parolanızı bulmaya çalışan biri mutlaka vardır. En güvenli ağ, en iyi yönetilen ağdır. Ağın güvenliğini sağlamak, ağın karmaşıklığına paralel olarak zorlaşır. Güvenlik, riskleri azaltmak değil, riskleri yönetmekle gerçekleşir. Teknoloji, bütün güvenlik sorunlarına çözüm olamaz. Güvenlik bir hedef değil, yolculuktur.