Sunum yükleniyor. Lütfen bekleyiniz

Sunum yükleniyor. Lütfen bekleyiniz

BİLGİ GÜVENLİĞİ «Kimlik Doğrulama ve Yetkilendirme» Yrd. Doç

YayınlayanFunda Kunt Değiştirilmiş 10 yıl önce

Benzer bir sunumlar

... konulu sunumlar: "BİLGİ GÜVENLİĞİ «Kimlik Doğrulama ve Yetkilendirme» Yrd. Doç"— Sunum transkripti:

1 BİLGİ GÜVENLİĞİ «Kimlik Doğrulama ve Yetkilendirme» Yrd. Doç
BİLGİ GÜVENLİĞİ «Kimlik Doğrulama ve Yetkilendirme» Yrd. Doç. Malik YILMAZ Oğuz ŞENER

2 Bilgi, insanın ilk varoluşundan itibaren elde edilmeye, kullanılmaya ve üretilmeye çalışılan bir ihtiyaç olarak bilinmektedir. Türü ne olursa olsun bilgi, insan yaşamını kolaylaştırmak ve hızlandırmak gayesiyle üretilmiştir. Gelişen teknolojiyle paralel bir şekilde artan ve büyüyen bilginin de önemi hızlanmakta ve dünyanın en önemli ihtiyacı olarak güç kazanmaya devam etmektedir. Bu denli önemli olan bilginin korunabilirliği hususu ise bilginin güvenliği için bir takım çalışmalara gereksinim duyulmasına yol açmıştır. Bilgi güvenliğini, bilginin bir varlık olarak hasarlardan korunması olarak tanımlayabiliriz. Bilgiyle birlikte ortaya çıkan bir çok politikalardan olan kimlik doğrulama ve yetkilendirme politikalarına açıklık getirmeye çalışacağız.

3 Kimlik Doğrulama(Authentication) Sistemi kullanmak isteyen kimliğin bilgilerinin, sistemde tutulan kimlik bilgileri ile doğrulanmasıdır. Tümleşik Oturum(Single Sign-On, SSO) Kimlik doğrulama işleminin, ekosistem dahilindeki bütün uygulamalar için merkezileştirilmesi olarak tanımlanabilir. Kimlik Yönetim Sistemi(Identity Management System) Kaynakların, kimlik bilgilerinin saklandığı dizinlerin , kimlik yetki atamalarının yönetimini sağlayan sistemdir.

4 Kimliklendirme, Doğrulama, Yetkilendirme
• Kim Giriş İstiyor, Kimliği Doğrumu, Yetkileri Neler ? • Kimliklendirme; kullanıcının sistemlerde bir kimliğe sahip olması sürecidir. •Doğrulama; kullanıcı kimliğinin sistemlerdeki geçerliliğinin doğrulanması sürecidir. •Yetkilendirme; kullanıcının geçerliliği doğrulanan kimliğinde sahip olduğu yetkilerin kullanıcıya atanması sürecidir.

5

6 Doğrulama • Yöntemler – Kullanıcı Adı / Şifre – Tek Kullanımlık Şifre Cihazları – Akıllı Kartlar – Manyetik Kartlar – Sertifikalar – Biyometrik Sistemler • Çok Faktörlü Doğrulama – Bildiğiniz Şey (Şifre, Pin) – Sahip Olduğunuz Şey (Sertifika, Akıllı Kart, OTP Cihazları) – Olduğunuz Şey (Biyometrik Sistemler)

7 Doğrulama Yöntemleri • Şifreler – Düz Şifre, Şifre Karmaşıklığı, Şifre Politikaları • Ardışık Sorularla Doğrulama • Tek Seferlik Şifre Cihazları – Senkron (eş zaman-eşgüdüm) – Asenkron • Biyometrik Sistemler – Parmak izi, El geometrisi, Avuç içi, İris, Retina, Ses, Klavye Hareketi – Kullanıcıların Kabulü, Yaş, Cinsiyet, Fiziksel Engeller

8 Merkezi Doğrulama • Sorun : Çok sayıda kullanıcı, çok sayıda kullanıcı hesabı, birçok şifre, çok sayıda sistem ve ağ servisi • Merkezi doğrulama, tek bir sistemde kullanıcı kimliklerinin bulunması, ağ ve sistem servislerinin doğrulamayı bu sistem üzerinden yapması sürecidir. • Kullanıcı sadece merkezi doğrulama sunucusuna giriş yapar, istekte bulunduğu sistem ve ağ servisleri kullanıcının geçerliliğini merkezi doğrulama sistemine sormaktadır. • Kerberos, SESAME, Krypto Knight (IBM) ve NetSP, Thin Client

9 ULAKBİM; Kimlik Doğrulama
Kullanıcı adı + parola + diğer bilgilerin doğruluğu Yetkilendirme Servise erişim yetkisi kontrolü olarak tanımlamaktadır…

10 Kimlik Doğrulama ve Yetkilendirme Mekanizmaları ( Dağıtık )

11 Kimlik Doğrulama ve Yetkilendirme Mekanizmaları ( Dağıtık )
Dezavantajları -Kullanıcı açısından parola yönetimi -Yönetim ve bakım için harcanan işgücü Avantajları -Uygulaması kolay

12 Kimlik Doğrulama ve Yetkilendirme Mekanizmaları Tek Oturum Açma ( Single Sign-On)
Kerberos Shibboleth SimpleSAMLphp JBOSS SSO Google Apps SSO Athens Service OpenID

13 Avantajları Dezavantajları
Kimlik Doğrulama ve Yetkilendirme Mekanizmaları Tek Oturum Açma ( Single Sign-On) Avantajları Kullanıcı bilgileri kurum içinde ( Kısmen ) Kullanıcılar açısından parola yönetimi kolay Sistemci açısından kimlik yönetimi kolay İşgücü ve maliyet düşük Dezavantajları Tek bir TOA (SSO) sunucusu kullanmak Uygulamadaki zorluklar

14 Akıllı Kart Destekli Web Kimlik Doğrulama ve Yetkilendirme Yazılımı
Web tabanlı uygulamalarda klasik kimlik doğrulama olarak bilinen kullanıcı adı ve şifre kontrollü giriş yerine, daha güvenli olan akıllı kart destekli kimlik doğrulaması sağlayan bir çözümdür. Klasik kimlik doğrulama işleminde, giriş için kullanılan kullanıcı adı ve parola ikilisi çoğunlukla statik ve kullanıcı dışındaki kişiler tarafından ele geçirilebilecek bilgilerdir. Buna karşılık akıllı kart destekli kimlik doğrulama işleminde, doğrulama bilgileri sürekli değişmekte ve donanıma bağımlı hale getirilerek başkalarının erişimi kısıtlanmaktadır.

15 E-imza Bilişim’in sunduğu ve java applet olarak yapılandırılan Akıllı Kart Destekli Kimlik Doğrulama Kütüphanesi ile platformdan bağımsız çalışabilme imkânı bulunmaktadır. Bir başka ifade ile kurumun mevcut sisteminde var olan uygulamalarda herhangi bir değişikliğe gerek yoktur. Kullanımı ve yönetimi kolay olan bu çözüm sayesinde her türlü web tabanlı uygulama ve java tabanlı masaüstü yazılım güvenli kimlik doğrulamalı hale getirilebilmektedir.

16 Kimlik Federasyonu Kavramı
Belirli bir kural seti, Teknik Standartlar, altında tüm kimlik doğrulama ve yetkilendirme sistemlerinin birlikte çalışabilmesini amaçlar. Böylece ; Farklı altyapıların birlikte çalışabilmesi, Altyapılar arası güvenin sağlanması, Etki alanlarındaki servislerin ağ dışına da açılması, gibi isteklere çözüm getirir.

17 ULAKAAI Kimlik Federasyonu ( Pilot )
ULAKNET içerisindeki kdy sistemlerinin birleşmesini, Elektronik kaynakların ve servislerin tüm etki alanıyla paylaşılabilmesini, sağlamak amacıyla kurulmuş kimlik federasyonudur.

18 ULAKAAI Kimlik Federasyonu

19 Federasyonsuz KDY Kimlik Sağlayıcı Servis Sağlayıcı
1) Erişebilir miyim? 2) Yetkin Var mı???? 3) Kullanıcı adı ve Parola Versem? Kimlik Sağlayıcı Servis Sağlayıcı Kullanıcı kimlik ve nitelik bilgileri herkesçe biliniyor Servis Sağlayıcı gereğinden fazla ve ihtiyacından daha az veriye sahip Kurumların değerli bilgileri, servislere dağıtılıyor

20 Federasyonlu KDY Kimlik Sağlayıcı Servis Sağlayıcı
3) Yetkim Var mı? 1) Erişebilir miyim? 2) Yetkin Var mı? Kimlik Sağlayıcı Servis Sağlayıcı 4) Kimlik Bilgileri ve Yetkileri Kullanıcı kimlik bilgileri kurum içerisinde kalıyor Servis Sağlayıcı sadece ihtiyacın olanı biliyor Dağıtılan nitelikler azalıyor ve daha kontrollü gerçekleşiyor

21 Kimlik doğrulama ve yetkilendirme hususunda kurum ve kuruluşların genel politikaları:
1. Bilgi sistemleri üzerinden gerçekleşen işlemler için uygun bir kimlik doğrulama mekanizması kurulur. Hangi kimlik doğrulama tekniklerinin kullanılacağına, üst düzey yönetim tarafından yapılacak risk değerlendirmesi sonucuna göre karar verilir. Risk değerlendirmesi, bilgi sistemleri üzerinden gerçekleştirilmesi planlanan işlemlerin türü (tipi, niteliği, varsa doğuracağı finansal ve finansal olmayan etkilerinin büyüklüğü gibi), işleme konu verinin hassaslık derecesi ve kimlik doğrulama tekniğinin kullanım kolaylığı da göz önünde bulundurularak gerçekleştirilir. 2. Uygulanacak kimlik doğrulama mekanizması, müşterilerin ve personelin bilgi sistemlerine dâhil olmalarından, işlemlerini tamamlayıp sistemden ayrılmalarına kadar geçecek tüm süreci kapsayacak şekilde tesis edilir. Kimlik doğrulama bilgisinin oturumun basından sonuna kadar doğru olmasını garanti edecek gerekli önlemler alınır.

22 3. Bilgi sistemlerine erişim için kullanılan kimlik doğrulama verilerinin tutulduğu veri tabanlarının güvenliğini sağlamaya yönelik gerekli önlemler alınır. Bu amaçla alınacak önlemler asgari olarak kimlik doğrulama verilerinin veri tabanlarında şifreli olarak muhafaza edilmesi, yapılacak her türlü kontrolsüz değişikliği algılayacak sistemlerin kurulması, yeterli denetim izlerinin tutulması ve bu denetim izlerinin güvenliğinin sağlanması hususlarını içerir. Ayrıca bu veriler kimlik doğrulama amacıyla aktarılırken şifrelenir ve verilerin aktarımı sırasında gizliliğinin sağlanmasına yönelik önlemler alınır. 4. Ayrıcalıklı yetkilere sahip kullanıcı ve sistem hesapları için ek denetim izleri tutulur ve periyodik olarak gözden geçirilir.

23 5. Ayrıcalıklı yetkilere sahip kullanıcılar, yetkilerinin başka kişilerce kullanımının önlenmesinin önemi konusunda yeterli düzeyde bilinçlendirilir. 6. Acil durumlar için, yetkili personele ulaşılamaması nedeniyle geçici olarak gerçekleştirilen yetkilendirmelerde, bu yetkilendirme süresince gerçekleştirilecek işlemlerin yeterli düzeyde takibine izin verecek şekilde detaylı denetim izlerinin tutulması sağlanır. 7. Bilgi sistemleri alt yapısına yönelik yetkisiz fiziksel ve mantıksal erişimleri engelleyecek kontroller ve gözetim süreçleri tesis edilir.

24 SORU VE ÖNERİLER ? TEŞEKKÜRLER

"BİLGİ GÜVENLİĞİ «Kimlik Doğrulama ve Yetkilendirme» Yrd. Doç" indir ppt

Benzer bir sunumlar

AKILLI FAKS.

AKILLI FAKS.
HASSAS GÖREV Hakan YÜKSEL 26-27 Mart.

HASSAS GÖREV Hakan YÜKSEL Mart.
VERİTABANI YÖNETİM SİSTEMLERİ

VERİTABANI YÖNETİM SİSTEMLERİ
Windows Intune ile Modern Cihaz Yönetimi

Windows Intune ile Modern Cihaz Yönetimi
Kurumlar Arasındaki Alan-Kesiştirici İşbirliği İlişkisi İçin Kerberos Güvenlik Sistemini Geliştirme: “Gelişen & Doğrulanabilir E-Toplum” İçin Yenilikçi.

Kurumlar Arasındaki Alan-Kesiştirici İşbirliği İlişkisi İçin Kerberos Güvenlik Sistemini Geliştirme: “Gelişen & Doğrulanabilir E-Toplum” İçin Yenilikçi.
Gelir İdaresi Başkanlığı Uygulamalarında GELİR İDARESİ DAİRE BAŞKANI

Gelir İdaresi Başkanlığı Uygulamalarında GELİR İDARESİ DAİRE BAŞKANI
BİLGİ GÜVENLİK TALİMATI

BİLGİ GÜVENLİK TALİMATI
Sağlık Provizyon Sistemleri

Sağlık Provizyon Sistemleri
Elektronik ticarette güvenlik konusunda değerlendirilmesi gereken diğer bir konu da alıcıların elektronik ticaret sitelerinden alışveriş yapmak için vermek.

Elektronik ticarette güvenlik konusunda değerlendirilmesi gereken diğer bir konu da alıcıların elektronik ticaret sitelerinden alışveriş yapmak için vermek.
ULAKAAI Kimlik Federasyonu

ULAKAAI Kimlik Federasyonu
ARTEV Management Platform ‘Intellectual Asset Management at Enterprises ARTEV Consortium Partners Entelektüel Varlık Yönetimi - Mevzuat Altyapısının Ekonomik.

ARTEV Management Platform ‘Intellectual Asset Management at Enterprises ARTEV Consortium Partners Entelektüel Varlık Yönetimi - Mevzuat Altyapısının Ekonomik.
Dijital Dünyada Yaşamak

Dijital Dünyada Yaşamak
Biyometrik Yaşama Geçiş Murat Yüksel Genel Müdür Teknoloji

Biyometrik Yaşama Geçiş Murat Yüksel Genel Müdür Teknoloji
Biyometrik Çözümlerde

Biyometrik Çözümlerde
HR-WEB TANITIM SUNUMU’2013

HR-WEB TANITIM SUNUMU’2013
HR-WEB TANITIM SUNUMU’2014

HR-WEB TANITIM SUNUMU’2014
HR-WEB Web Tabanlı İnsan Kaynakları Uygulamaları

HR-WEB Web Tabanlı İnsan Kaynakları Uygulamaları
AB 2010, MuğlaAyhan Alkan, Melih Kırlıdoğ Kurumsal Kimlik Yönetiminde Güncel Sorunlar AB 2010, Muğla Ayhan Alkan – Sun Microsystems Melih Kırlıdoğ – Marmara.

AB 2010, MuğlaAyhan Alkan, Melih Kırlıdoğ Kurumsal Kimlik Yönetiminde Güncel Sorunlar AB 2010, Muğla Ayhan Alkan – Sun Microsystems Melih Kırlıdoğ – Marmara.
Copyright © 2007 - The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the Creative Commons Attribution-ShareAlike.

Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the Creative Commons Attribution-ShareAlike.
Windows7 Kullanıcı Hesapları Yönetimine Ulaşabilmek İçin Birkaç Adımı Takip Etmemiz Gerekecek.Öncelikle Windows Masa Üstünün Sol Al Köşesinde Bulunan BAŞLAT’ı.

Windows7 Kullanıcı Hesapları Yönetimine Ulaşabilmek İçin Birkaç Adımı Takip Etmemiz Gerekecek.Öncelikle Windows Masa Üstünün Sol Al Köşesinde Bulunan BAŞLAT’ı.

Benzer bir sunumlar

Google Reklamları