Bilişim Teknolojileri Kullanımında Güvenlik Temel Kavramlar ve Bilgi Güvenliği
İşletim Sistemlerinin Yönetilmesinde Güvenlik İlkeleri Güvenilir bir işletim sisteminde uygulamaya geçirilmiş olması gereken 4 ana ilke bulunmaktadır. Bu 4 ana ilke ideal olarak işletim sistemlerinde bulunmalıdır fakat her işletim sisteminde güvenlik dışındaki kullanılabilirlik, kullanıcı gerekleri, pazar payının korunması, maliyet gibi sebeplerden dolayı bu ilkeler farklı şekilde yorumlanmış ve tam olarak uygulanmamış olabilir.
1. Bilgilerin Bölmelere Ayrılması Sistemde saklanan bilgilere erişim, erişim niyetinde bulunan kullanıcının genel olarak sistem üzerindeki ayrıcalığından etkilenmeyecek şekilde kısıtlanabilmelidir. Bu sayede sistem yöneticisi dahil tüm kullanıcıların ve uygulamaların bir kaynağa ya da bilgiye ulaşırken eğer gerçekten erişim hakkı var ise erişebilmesi sağlanır ve erişimine izin verilmemiş bilgilere sahip olması engellenir.
2. Rollerin Belirlenmesi Sistem üzerindeki hiçbir kullanıcı, sistemde mümkün olan tüm işlemleri yapabilecek erişim haklarına sahip olmamalıdır. Kullanıcı silinmesi, kullanıcı şifre değiştirilmesi, aygıt eklenmesi, sistemin yeniden başlatılması gibi kritik işlemler gerçekleştirilmeden önce en az iki kullanıcının onayının alınması, saldırgan tarafından ele geçirilmiş bir kullanıcı hesabının kullanılmasıyla meydana gelebilecek zararları da azaltabilir.
3. En Az Erişim Hakkı İşletim sistemleri prosesleri ve kullanıcılar, sadece ihtiyaç duydukları işlemleri yerine getirebilecek erişim haklarına sahip olmalıdırlar. Mesela bir e-posta sunucusu, sistem yöneticisi kullanıcı ile çalışıyor olsa bile web servisi dosyalarını değiştirememelidir. Benzer şekilde herhangi bir sistem kullanıcısı iş tanımında bulunan işlemler dışındaki işlemleri yapabilecek erişim haklarına sahip olmamalıdır.
4. Çekirdek Seviyesinde Yürütme Güvenlik mekanizmaları, kullanıcı seviyesinde yapılacak herhangi bir müdahale ile etkilenemeyecek sistem seviyesinde uygulanmalıdır. İşletim sistemi çekirdeği seviyesinde güvenlik mekanizmalarının zorlanması, verilecek erişim kararlarına kullanıcıların müdahale edememesini ve uygulamaya doğrudan uygulanabilmesini mümkün kılar.
İşletim Sistemlerinde Yer Alan Güvenlik Mekanizmaları Kullansak da kullanmasak da aslında işletim sistemlerinde birçok yerleşik güvenlik ilkesi ve bileşeni bulunmaktadır. Bunları kullanmak öncelikle farkında olmayı gerektirir.
1. Kullanıcı Tanıma ve Kimlik Doğrulama Kullanıcı Tanıma, herhangi bir sistem kaynağına erişim isteği yapılacağı zaman erişim niyetinde bulunan kullanıcının kendisini sisteme tanıtmak için kullandığı bir kullanıcı bilgisinin sisteme tanıtılmasıdır. Kimlik Doğrulama, Kullanıcı Tanıma safhasında öğrenilen kullanıcının gerçekten o kullanıcı olduğunun kabul edilmesinden önce yapılan kontrol işlemleridir.
2. Yetkilendirme Yetkilendirme Mekanizması, bir sistemdeki kullanıcıların niyet ettikleri işlemleri gerçekleştirebilmesi için gerekli erişim haklarının verilmesini sağlar. Yönetici-kısıtlı kullanıcı gibi. Yetkilendirme işlemi güvenilir bir Kimlik Doğrulama mekanizmasına ihtiyaç duyar.
3. Zorunlu Kimlik Doğrulama Eğer bir öznenin sahip olduğu güvenlik kleransı erişmek istediği nesnenin güvenlik etiketi için yeterli ise erişim başarılı olur. Aksi takdirde erişim engellenir.
4. İsteğe Bağlı Kimlik Doğrulama İsteğe bağlı kimlik doğrulama mekanizmalarında, bir nesne üzerinde hangi öznelerin hangi erişim haklarına sahip oldukları belirtilir. Erişim Kontrol Listeleri isteğe bağlı kimlik doğrulama bilgilerini taşır. Erişim kontrol listeleri bir nesneye özel olarak düzenlenebilir ve o nesneye üzerinde hangi öznelerin (aktif kullanıcı veya prosesler) gerçekleştirebilecekleri işlemleri tanımlar.
5. İsteğe Bağlı Olmayan Kimlik Doğrulama İsteğe bağlı kimlik doğrulama mekanizmalarından farkı, nesnelere erişim hakları düzenlenirken tek tek kullanıcılar yerine belirli bir görevi yerine getiren veya belirli bir rolü üstlenen kullanıcı profiline erişim hakkı verilmesidir. Bu sayede sık sık kullanıcıların değiştiği bir sistemde erişim kontrol listelerinin tekrardan düzenlenmesi gereği ortadan kalkmaktadır.
6. Denetim/Yönetilebilirlik Çoğu işletim sisteminde uygulamaya geçirilmiş olan denetleme mekanizması, sistem kullanıcılarının sistem üzerinde yaptıkları işlemlerin kayıtlarını tutar. Kayıt dosyalarının boyutlarının hızlı şekilde büyümesi ve kayıt tutma işleminden dolayı performansın olumsuz yönde etkilenmesi dolayısıyla denetleme politikaları iyi belirlenmelidir.
7. Nesnelerin Tekrar Kullanımı kullanıcılara tahsis edilecek yeni nesnelerin tahsis edilmeden önce temizlenmesi veya üzerinden bilgi edinilmeyecek şekilde değiştirilmesini gerektirir.
8. Saldırılara Dayanıklılık Tüm güvenlik önlemleri alınmış olsa dahi bir işletim sistemi, açıklıklarından veya zayıflıklarından kaynaklanabilecek saldırılara karşı dayanıklı olacak şekilde tasarlanıp derlenmiş olmalıdır.
9. Saldırı Tespit İşletim sistemi üzerinde bulunan kritik bilgi ve sistemlerin devamlı olarak izlenmesi ve yetkili ya da yetkisiz kullanıcılar tarafından gerçekleştirilen normal dışı aktivitelerin tespit edilmesi amacıyla saldırı tespit mekanizmasının bulunması gerekmektedir. Saldırı tespit algılayıcıları sistem üzerindeki olayları takip edebileceği gibi ağ trafiğin dinleyip ağ üzerindeki zararlı aktiviteleri tespit etmek amacıyla da kullanılabilir.
10. Sistem Sıkılaştırma Sistem sıkılaştırılması, işletim sistemi üzerindeki gereksiz servislerin durdurulup devre dışı bırakılması, işletim sisteminin minimum özellikler ile konfigüre edilmesi, kullanıcıların ve uygulamaların sadece çekirdek görevin yerine getirilebilmesine yetecek şekilde düzenlenmesi gibi işlemleri içerir. Ayrıca hizmet verilen servisler dışındaki servislerin portlarının kapatılması ve sistem/güvenlik kritik tüm yamaların uygulanması gerekmektedir.
11. Güvenlik Garanti Seviyesi Bu güvenlik mekanizmalarının gerçekten de işletim sistemi geliştiricileri tarafından iddia edildiği şekilde çalıştığının ispatlanması da kullanıcı ihtiyaçlarının karşılanacağının garanti edilmesi açısından oldukça önemlidir. Sistemin güvenirlik düzeyi üretici ve bağımsız kuruluşların sistem üzerinde belirli standartları test etmesi ile ölçülür.
İnternette Alışveriş Web üzerinde güzel ve çekici görünen her site alışveriş, kişisel bilgilerinizin gizliliği ve kredi kartı gibi değerli bilgilerinizin kötüye kullanılması açısından güvenilir olmayabilir. İnternetten alış-veriş yapmak söz konusu olunca ilk akla gelen çok sayıda müşteriye güvenle hizmet vermiş, tanıdıklarınızın olumlu görüş belirttiği yani referansı iyi olan siteleri tercih etmektir.
İnternette Alışveriş 2 Bazı kötü amaçlı kişiler bu sitelerin görüntüsünü kopyalayarak ya da taklit ederek insanları kandırma yoluna gidebilmektedirler. Bu nedenle sitenin görünümü dışında adresinin de doğrulanması gerekir. Alışveriş için siteye kayıt olurken, şifre belirlerken ve ödeme yaparken sitenin güvenilirlik açısından akredite olduğunu gösteren güvenli bağlantı simgesine mutlaka dikkat edilmelidir.
İnternette Alışveriş 3 Alışveriş yapmak istediğimiz sitenin güvenli bölgelerinde dolaştığımızda bu simgeye tıklayarak site yolunun doğruluğunu, kullanılan şifreleme türünü ve parmak izini görüntüleyebiliriz. Bazı kullanıcılar, zayıf yönleri olduğu ortaya çıkmış, şaibeli şifreleme algoritması kullanan siteleri bu yolla belirleyerek bu sitelerden alış-veriş yapmama yolunu seçerler.
İnternette Alışveriş 4 Alışveriş yapılacak sitenin güvenilir olması dışında kullanılan bilgisayarın ve bağlantının da güvenilir olması önemli bir konudur. İnternet evi, okul vb. ortak paylaşım alanlarındaki bilgisayarları kullandığımızda bilgisayara kurulu bir izleme yazılımı kişisel bilgilerimizi, kredi kartı bilgimizi kopyalıyor olabilir. Fiziksel olarak bilgisayar ekranına yönelik bir güvenlik kamerası da kişisel bilgilerimizin çalınmasına yol açabilir.
İnternette Alışveriş 5 Ödeme hizmetlerini daha güvenli kullanmanın bazı yolları şunlardır: Ödeme hizmetlerinin parolalar veya kimliğinizin belirlenmesini sağlayan diğer bilgiler gibi hesap ayrıntılarını onaylamanızı isteyen e-posta iletilerini kesinlikle yanıtlamayın. Bu e-posta iletileri kimlik avı hırsızlığı dolandırıcılık girişimi olabilir. Ürününüzü alacağınız siteyi karar vermeden önce sitelerin İnternet'teki tanınırlığını araştırın, site hakkında değerlendirme yapmış insanların fikirlerine önem verin. Ürününüzü almadan ve bilgilerinizi vermeden önce kesinlikle şirket ile aranızda olacak olan şartnameyi okuyun. Hesabınızı tanımadığınız bir kişi adına havale yapmak amaçlı kullanmayın.
İnternette Alışveriş 6 Ödeme hizmetlerini daha güvenli kullanmanın bazı yolları şunlardır: Eğer değerli ürün veya ürünler alacaksanız, stoklarda olduğu şeklinde bilgi veriliyor olmasına dikkat edin. Kimlik ve bilgi avcılığı için en çok kullanılan yöntemler elektronik posta yoluyla olanlardır. Örneğin hesabınızı doğrulayın, piyangoyu kazandınız gibi postalara kesinlikle cevap vermeyiniz, çünkü işletmeler kullanıcı adı, şifre, sosyal güvenlik numarası gibi bilgileri posta yoluyla sormamalıdır. Dolandırıcılar resmi sitenin birebir aynısı gibi görünen bir açılır pencereye götüren bağlantı ekleyebilir.
İnternette Alışveriş 6 Alınabilecek önlemlerden biri antivirüs programı veya casus yazılımlara karşı koyabilen güncel programlar araştırıp bulmak ve kullanmaktır. Eğer İnternet tarayıcınız güncel ise; Örneğin İnternet Explorer 8 kimlik avı filtresi bu korsanlığa karşı önemli bir önlem olabilir. Yani İnternet tarayıcınızı da güncellemenizde fayda bulunmaktadır.
İnternette Alışveriş 7 Yaygın olarak kullanılan ücretli ve ücretsiz güvenlik araçları için http://www.chip.com.tr/konu/en-iyi-20-guvenlik-yazilimi_17662.html adresini ve bu notların en son sayfasında verilen web kaynaklarını inceleyebilirsiniz.