Bilisim

Biliim Gvenlii
(Srm 1.1)
www.oracle.com.tr
www.pro-g.com.tr
Bu kitapn hazrlanmasna katkda bulunan Oracle Trkiyeye teekkr ederiz.

Bu kitapk, Pro-G Proje Biliim Gvenlii ve Aratrma San. ve Tic. Ltd. ti tarafndan hazrlanm olup, tm haklar sakldr. Bu kitapn bir ksmnn yada tamamnn herhangi bir biimde (fotokopi, dier bir elektronik ya da mekanik oaltc) kopyas karlamaz, bilgisayar sistemlerine aktarlamaz ve bireysel kullanm dnda kullanlamaz.
2003, Pro-G Biliim Gvenlii ve Aratrma Ltd.
Biliim Gvenlii, Pro-G ve Oracle
ii
indekiler
1 2 GR..................................................................................................... 5 BLM GVENLNDEN NE ANLAMALIYIZ?................ 6 2.1 BLM GVENL NEDR? ........................................................... 6 2.2 GVENLK PRENSPLER ................................................................. 8 2.2.1 Gizlilik (Confidentiality)......................................................... 8 2.2.2 Veri Btnl (Data Integrity)............................................ 9 2.2.3 Sreklilik (Availability) ........................................................ 10 2.2.4 zlenebilirlik ya da Kayt Tutma (Accountability)................ 10 2.2.5 Kimlik Snamas (Authentication)........................................ 11 2.2.6 Gvenilirlik (Reliability - Consistency)................................ 11 2.2.7 nkr Edememe (Non-repudiation) ....................................... 11 2.3 TEHDTLER .................................................................................... 11 2.4 GVENLK BOLUU (VULNERABLTY) ...................................... 12 2.5 RSK ............................................................................................... 13 3 BLM GVENLNN SALANMASI................................ 15 3.1 3.2 3.3 4 BLM GVENL SRE ALANLARI ........................................ 16 BLM GVENL TEKNOLOJLER ............................................ 18 ETM .......................................................................................... 19
YNETSEL NLEMLER................................................................. 21 4.1 RSK YNETM ............................................................................. 22 4.1.1 Kurumsal Bilgi Kaynaklarna Deer Bime.......................... 22 4.1.2 Risk Analizi .......................................................................... 23 4.1.3 Tedbirlerin Seimi................................................................. 24 4.2 GVENLK POLTKALARI ............................................................. 25 4.3 STANDARTLAR, YNERGELER VE PROSEDRLER ........................ 27 4.4 GVENLK YAAM DNGS...................................................... 28 4.5 GVENLK DENETMLER ............................................................. 28
TEKNOLOJ UYGULAMALARI ................................................... 31 5.1 KRPTOGRAF ................................................................................ 31 iii
5.1.1 Simetrik Algoritmalar........................................................... 33 5.1.2 Asimetrik Algoritmalar......................................................... 33 5.1.3 zetleme Fonksiyonlar ........................................................ 34 5.2 SAYISAL MZA VE PKI .................................................................. 34 5.3 A BLMLENDRMES VE GVENLK DUVARLARI.................... 36 5.4 YEDEKLEME .................................................................................. 38 5.5 SALDIRI TESPT ............................................................................ 39 5.6 ERM DENETM.......................................................................... 41 5.6.1 Tanmlama ............................................................................ 42 5.6.2 Kimlik Snama....................................................................... 42 5.6.3 Yetkilendirme........................................................................ 43 5.7 ANT-VRS SSTEMLER............................................................... 44 6 7 8 ETM............................................................................................... 46 BLM GVENL STANDARTLARI ................................... 48 ORACLE VERTABANI GVENL ......................................... 50 8.1 8.2 8.3 8.4 8.5 9 10 11 KMLK BELRLEME VE YETKLENDRME METOTLARI .................. 51 KAYIT BAZINDA GVENLK ......................................................... 53 VERLERN FRELENMES ............................................................. 54 KULLANICI AKTVTESNN ZLENMES ........................................ 54 LETM GVENL ..................................................................... 55
ZET VE SONU............................................................................. 58 KAYNAKLAR................................................................................ 60 GVENLK TERMLER............................................................. 62
iv
1 Giri
zellikle 1990l yllardan balayarak yaanan hzl teknolojik gelimeler ve internetin yaygnlamasnn bir sonucu olarak biliim gvenlii son yllarda giderek nem kazanan bir konu haline gelmitir. Konunun nmzdeki dnemde kurumlarn ncelik listesinde giderek artan bir neme sahip olaca ve kurumlarn biliim gvenlii alanna gereken nemi vermeye baladklar, ilgili nlemleri alma abas iine girdikleri bilinmektedir. Ancak, biliim gvenliinin sadece teknolojik nlemlerle salanabilecei gibi genel bir yanlsamann olduu da gzlenmektedir. Bu dokmanda biliim gvenliinin temel kavramlar, en nemli bileenleri ele alnmaktadr. Konunun esas olarak ok boyutlu ve karmak bir sre olmasndan hareketle, biliim gvenliinin btnsel yaklamlarla ele alnmamasnn tehlikeleri aklanmaktadr. Dokmann ikinci blmnde biliim gvenliinin temel kavramlar ve bileenleri, nc blmde ise biliim gvenliinin nasl salanabilecei ele alnmaktadr. Drdnc blmde kurum ynetiminin almas gereken nlemler, beinci blmde gelitirilmi gvenlik teknolojileri uygulamalarnn balcalar, altnc blmde de gvenlik eitimi konusunda yaplmas gerekenler ilenmektedir. Yedinci blmde biliim gvenliine ilikin uluslararas standartlar ele alnmakta, sekizinci blmde ise Oracle veritaban ynetim sisteminin gvenlik zellikleri aklanmaktadr.
2 Biliim Gvenliinden Ne Anlamalyz?

2.1 Biliim Gvenlii Nedir?
1990l yllarda yaanan hzl teknolojik gelimelerin bir sonucu olarak bilgisayarlar, modern hayatn her alanna girmi ve vazgeilmez bir biimde kullanlmaya balanmtr. Hayatmzn birok alannda bilgisayar ve bilgisayar a teknolojileri olmazsa olmaz bir ekilde yer almaktadr. letiim, para transferleri, kamu hizmetleri, askeri sistemler, elektronik bankaclk, savunma sistemleri, bu alanlardan sadece birkadr. Teknolojideki bu gelimeler, bilgisayar alarn ve sistemlerini, ayn zamanda, bir saldr arac haline, kullandmz sistemleri de ak birer hedef haline getirmitir. Biliim sistemlerine ve bu sistemler tarafndan ilenen verilere ynelik gvenlik ihlalleri inanlmaz bir hzla artmaktadr. Biliim sistemlerine olan bireysel ve toplumsal bamllmz arttka bu sistemlerde meydana gelebilecek arza ve saldrlara kar duyarllmz da o denli artacaktr. Bu duyarllk arttka da bilgisayar sistemlerine ve alarna ynelik olarak gerekletirilecek olan saldrlarn sonucunda; para, zaman, prestij ve deerli bilgi kayb da artacaktr. Bu saldrlarn hastane biliim sistemleri gibi dorudan yaam etkileyen sistemlere ynelmesi durumunda ise kaybedilen insan hayat bile olabilir. Bilgisayar Gvenlii Enstits (Computer Security Institute - CSI) ve Federal Aratrma Brosu (FBI) tarafndan geleneksel olarak gerekletirilen Bilgisayar Sular ve Gvenlik Aratrmasnn 2001 yl raporuna gre biliim sular 1997- 2001 yllar arasnda her yl neredeyse ikiye katlanacak biimde artmtr. Ayn aratrma, gizli bilgilerin alnmas ve finansal kaytlarda yaplan yasad deiikliklerin, en ok maddi zarara neden olan iki saldr biimi olduunu gstermektedir. Biliim gvenlii konusunun, nmzdeki dnemde de biliim sektrnde giderek artan bir neme sahip olaca bilinmektedir.
zleyen paragraflarda son yllarda yaanm bilgisayar gvenlii ihlallerine ilikin baz rnekler verilmektedir. Melissa virs, 26 Mart 1999 tarihinde ilk kez ortaya km, anti virs programlarn atlatarak Windows 9x, NT iletim sistemleri altnda Word 97 ve Word 2000 programlarn kullanarak bilgisayarlara zarar vermitir. Melissa virs internete gnderilmi ve milyonlarca dolar zarar yol am kt amal (malicious) bir programdr ve e-posta yolu ile yaylmtr. Virsn 34 yandaki yaratcs David L. Smith, evdeki bilgisayar yardm ile virs internete gndermitir. Virs her bulat bilgisayardan 50 yeni bilgisayara bulama zelliine sahiptir. Bu nedenle ok hzl ve durdurulamaz bir ekilde yaylmtr. Smith virs ilk olarak biri alnt dieri kendine ait olan iki America Online hesabn kullanarak bir e-posta mesaj ile beraber bir haber grubuna (news group) gndermitir. Sz konusu e-posta mesajnda e-postann eklentisinin yetikin (adult) ierie sahip web sayfalarna giri parolalarn bulmay salayan bir program olduundan bahsedilmitir. Bu e-posta mesaj alr almaz kurbann bilgisayarna virs bulamaktadr. Daha sonra virs, Microsoft Outlook program yardm ile kendisini, kurbann adres defterindeki ilk 50 kullancya postalamaktadr. Olay hakknda delil toplama srecinde America Online yetkilileri de grev almlardr. 1 Nisan 1999da Smith, FBI ve New Jersey Yksek Teknoloji Sular Birimi grevlileri tarafndan kardeinin evinde yakalanm ve gz altna alnmtr. Smith, 2 Mays 2002 tarihinde 20 ay hapis cezasna arptrlm ve 3 yl gz hapsi ile 100 saat kamu hizmetinde alma cezasn almtr. Melisa virs saldrsnn 80 Milyon dolar zarara yol at tespit edilmitir. Bir zaman bombasnn geri dndrlemez zararlar vermesine bir rnek 1996 ylnda yaanmtr. Timothy Allen Lloyd (39), yksek teknoloji rn lme ve kontrol cihazlar reten Omega Mhendislik irketinde alan ef bilgisayar a program tasarmcs idi. Lloyd, Omegada 11 yl altktan sonra 10 Haziran 1996da irket ile ilikisi kesildi. Bunun zerine Lloyd hazrlad zaman bombas yardm ile Omegann tm karmak retim yazlmlarn geri dndrlemez bir ekilde sildi. Bu sabotaj sonucunda irket, satlar ve ileri tarihli anlamalar da gz nnde bulundurulduunda 10 Milyon dolarlk Biliim Gvenlii, Pro-G ve Oracle 7
bir kayba uramtr. Bu olay olduu srada, Amerikan Gizli Servisi tarihinde, benzer olaylar arasnda yol at zarar en yksek olan sabotajlardan biri olarak kayda gemitir. Olay ortaya karldnda, Lloyd 41 ay hapis ile cezalandrlmtr. 1999 ylnda Kanadada yaanan olay ise, elektronik sahtecilik konusunda verilebilecek en iyi rneklerdendir. Bu olay, Kosta Rika, ABD ve Kanada makamlarnn ortak almalar sonucunda ortaya karlm bir dolandrclktr. www.triwestinvest.com adl sitede, daha nceden sadece ok zengin yatrmclara sunulan, yllk %120lik bir kar marj olan ve para kayb riski olmayan bir yatrmdan sz edilmekteydi. Yatrmclardan, 1000 dolarlk paketler halinde paralarn yatrmalar istenmekteydi. Bu siteye paralarn ilk yatranlara, kr pay demesi altnda bir takm demeler de yaplarak siteyle daha fazla mterinin ilgilenmesi salanmtr. 1999 - 2001 yllar arasnda bu site aracl ile yatrm yapan 15.000 kurbann paralar ile Alyn Richard Waage; Mexico ve Kosta Rikada milyon dolarlk gayri menkuller, yatlar ve helikopterler satn almtr. Bunun yannda, dolandrd paralarn bir ksmn gizlemek iin de Kosta Rikada paravan irketler kurmu ve paralarn bir ksmn da bu irketlerden kazanm gibi gstermitir. Waage, internet zerinden dolandrclk yapmak ve bu yolla yatrmclar kandrarak 60 Milyon $ toplamaktan sulu bulundu, parann ou sahiplerine iade edildi. Bu rnekler, biliim gvenliinin gerek tehditler ve riskler, gerekse de alnmas gereken nlemler asndan ne denli nemli olduunu gstermektedir.
2.2
Gvenlik Prensipleri
Biliim Gvenliinin bir ok boyutu olmasna karn, temel olarak prensipten sz edilebilir: Gizlilik, Veri Btnl ve Sreklilik.
2.2.1
Gizlilik (Confidentiality)
Bilginin yetkisiz kiilerin eline gemesinin engellenmesidir. Gizlilik, hem kalc ortamlarda (disk, tape, vb.) sakl bulunan veriler hem de a zerinde bir gndericiden bir alcya gnderilen veriler iin sz konusudur. Saldrganlar, yetkileri olmayan verilere birok yolla Biliim Gvenlii, Pro-G ve Oracle 8
eriebilirler: Parola dosyalarnn alnmas, sosyal mhendislik, bilgisayar banda alan bir kullancnn, ona fark ettirmeden zel bir bilgisini ele geirme (parolasn girerken gzetleme gibi). Bunun yannda trafik analizinin, yani hangi gnderici ile hangi alc aras haberlemenin olduunun belirlenmesine kar alnan nlemler de gizlilik hizmeti erevesinde deerlendirilir.
Gizlilik
Btnlk
Sreklilik
ekil 1 - Temel Gvenlik Prensipleri
2.2.2
Veri Btnl (Data Integrity)
Bu hizmetin amac, veriyi gndericiden kt haliyle alcsna ulatrmaktr. Bu durumda veri, haberleme srasnda izledii yollarda deitirilmemi, araya yeni veriler eklenmemi, belli bir ksm ya da tamam tekrar edilmemi ve sras deitirilmemi ekilde alcsna ular. Bu hizmeti, geri dnm olan ve olmayan ekilde verebiliriz. yle ki; alcda iki tr btnlk snamas yaplabilir: Bozulma Snamas ya da Dzeltme Snamas. Bozulma Snamas ile verinin gndericiden alcya ulatrlmas srasnda deitirilip deitirilmediinin sezilmesi hedeflenmitir. Dzeltme Snamasnda Biliim Gvenlii, Pro-G ve Oracle 9
ise, Bozulma Snamasna ek olarak eer veride deiiklik sezildiyse bunu gndericiden kt haline dndrmek hedeflenmektedir.
2.2.3
Sreklilik (Availability)
Biliim sistemleri, kendilerinden beklenen ileri gerekletirirken, hedeflenen bir baarm (performance) vardr. Bu baarm sayesinde mteri memnuniyeti artar, elektronik ie gei sreci hzlanr. Sreklilik hizmeti, biliim sistemlerini, kurum iinden ve dndan gelebilecek baarm drc tehditlere kar korumay hedefler. Sreklilik hizmeti sayesinde, kullanclar, eriim yetkileri dahilinde olan verilere, veri tazeliini yitirmeden, zamannda ve gvenilir bir ekilde ulaabilirler. Sistem sreklilii, yalnzca kt amal bir hackern, sistem baarmn drmeye ynelik bir saldrs sonucu zedelenmez. Bilgisayar yazlmlarndaki hatalar, sistemin yanl, bilinsiz ve eitimsiz personel tarafndan kullanlmas, ortam artlarndaki deiimler (nem, s, yldrm dmesi, topraklama eksiklii) gibi faktrler de sistem srekliliini etkileyebilir. Aada, yukardaki temel prensibe ek olarak ikinci planda deerlendirilebilecek izlenebilirlik, kimlik snamas, gvenilirlik ve inkr edememe prensiplerinden bahsedilmitir.
2.2.4
zlenebilirlik ya da Kayt Tutma (Accountability)
Bu hizmetin hedefi sistemde gerekleen olaylar, daha sonra analiz edilmek zere kayt altna almaktr. Burada olay dendiinde, bilgisayar sistemi ya da a zerinde olan herhangi bir faaliyeti anlayabiliriz. Bir sistemde olabilecek olaylara, kullancnn parolasn yazarak sisteme girmesi, bir web sayfasna balanmak, e-posta almak gndermek ya da icq ile mesaj yollamak gibi rnekler verilebilir. Toplanan olay kaytlar zerinde yaplacak analiz sonucunda, bilinen saldr trlerinin rntlerine rastlanrsa ya da bulank mantk kullanlarak daha nce rastlanmayan ve saldr olasl yksek bir aktivite tespit edilirse alarm mesajlar retilerek sistem yneticileri uyarlr. Biliim Gvenlii, Pro-G ve Oracle 10
2.2.5
Kimlik Snamas (Authentication)
A gvenlii asndan kimlik snamas; alcnn, gndericinin iddia ettii kii olduundan emin olmasdr. Bunun yannda, bir bilgisayar programn kullanrken bir parola girmek de kimlik snamas erevesinde deerlendirilebilir. Gnmzde kimlik snamas, sadece bilgisayar alar ve sistemleri iin deil, fiziksel sistemler iin de ok nemli bir hizmet haline gelmitir. Akll karta ya da biyometrik teknolojilere dayal kimlik snama sistemleri yaygn olarak kullanmaya balanmtr.
2.2.6
Gvenilirlik (Reliability - Consistency)
Sistemin beklenen davran ile elde edilen sonular arasndaki tutarllk durumudur. Baka bir deyi ile gvenilirlik, sistemden ne yapmasn bekliyorsak, sistemin de eksiksiz ve fazlasz olarak bunu yapmas ve her altrldnda da ayn ekilde davranmas olarak tanmlanabilir.
2.2.7
nkr Edememe (Non-repudiation)
Bu hizmet sayesinde, ne gnderici alcya bir mesaj gnderdiini ne de alc gndericiden bir mesaj aldn inkr edebilir. Bu hizmet, zellikle gerek zamanl ilem gerektiren finansal sistemlerde kullanm alan bulmaktadr ve gnderici ile alc arasnda ortaya kabilecek anlamazlklarn en aza indirilmesini salamaya yardmc olmaktadr. Bu hizmetler, zaman iinde bilgisayar sistemlerine kar ortaya km tehditler ve yaanm olaylar sonucunda ortaya konmutur. Yani her bir hizmet, belli bir grup potansiyel tehdide kar sistemi korumaya yneliktir, denilebilir.
2.3
Tehditler
Tehdit, bir sistemin veya kurumun zarar grmesine neden olan istenmeyen bir olayn arkasndaki gizli neden, olarak tanmlanabilir. Her tehdidin bir kayna (threat agent) ve bu kaynan yararland sistemdeki bir gvenlik boluu vardr. Sistemi neye kar Biliim Gvenlii, Pro-G ve Oracle 11
korumalym? sorusuna verilecek cevap bir sisteme ynelik olan tehditleri belirlemekte yardmc olacaktr. Tehditler, tehdit kayna asndan bakldnda iki gruba ayrlarak incelenebilir: 1. nsan Kaynakl Tehditler: Bu tr tehditleri de kendi iinde iki alt gruba ayrabiliriz: a. Kt niyet olmayan davranlar sonucu oluanlar: Bir kullancnn, sistemi bilinsiz ve bilgisizce, yeterli eitime sahip olmadan kullanmas sonucu sistemde ortaya kma olasl olan aksaklklardr. Kt niyetli davranlar sonucu oluanlar: Sisteme zarar verme amacyla, sisteme ynelik olarak yaplacak tm kt niyetli davranlardr. Bu tr tehditlerde, tehdit kayna, sistemde bulunan gvenlik boluklarndan yararlanr.
b.
2.
Doa Kaynakl Tehditler: Bu tr tehditler genellikle nceden tespit edilemezler ve byk bir olaslkla olmalar engellenemez. Deprem, yangn, su baskn, sel, ani scaklk deiimleri, toprak kaymas, dmesi bu tr tehditlere rnek olarak verilebilir.
Tehdidin geli ynne gre de snflandrma yaplabilir. Buna gre i tehditler, kurum iinden kuruma ynelik yaplabilecek saldrlar, d tehditler ise kurum dndan kuruma ynelik olarak yaplabilecek saldrlar olarak tanmlanr.
2.4
Gvenlik Boluu (Vulnerability)
Gvenlik boluu (Vulnerability), sistem zerindeki yazlm ve donanmdan kaynaklanan ya da sistemi iletim kurallar ve/veya ynergelerindeki ak noktalar ve zayf kalm ynlerdir. Bir gvenlik boluu sayesinde bir saldrgan, sistemdeki bilgisayarlara ya da bilgisayar a zerindeki kaynaklara yetkisiz olarak eriebilir. Bir sunucu bilgisayar zerinde alan bir hizmet (rnein web sunucu ya da e-posta alma/gnderme hizmeti), modem zerinden ieri doru snrlandrlmam arama hizmeti, bir gvenlik duvar zerinde ak unutulmu bir eriim noktas (port), sunucu bilgisayarlarn Biliim Gvenlii, Pro-G ve Oracle 12
bulunduu odaya giri klarda fiziksel eriim denetimi eksiklii, sunucular zerinde belli bir politikaya dayandrlmadan belirlenen parolalar gvenlik boluklarna rnek olarak verilebilirler. Yazlm ya da donanmdan kaynaklanan gvenlik boluklar, program reticisi ya da baka bir kaynak tarafndan gelitirilen bir yama program yardmyla kapatlmal ve eldeki yazlm ve donanmlarn reticilerinin yaynlad yama listeleri srekli olarak takip edilmelidir ve kan yamalar vakit geirilmeden sisteme uygulanmaldr. Tehditler, bilgisayar sistemlerindeki gvenlik boluklarna ynelik olarak tanmlanrlar. Yani bir gvenlik boluu ortadan kaldrlrsa ya da yama program yardmyla dzeltilirse, sz konusu tehdit ortadan kaldrlr. Aadaki tablodan da anlalaca zere, bir tehdidin olumas iin bir gvenlik boluuna ve bu gvenlik boluundan yararlanabilecek bir tehdit kaynana ihtiya vardr.
2.5
Risk
Bir tehdit kaynann, bir sistemdeki gvenlik boluundan yararlanarak sisteme yetkisiz eriimde bulunmas olasl, bu tehdidin riski olarak ifade edilir. Tehdit kaynaklarnn ya da gvenlik boluklarnn azaltlmas, tehdide ait riskleri de ayn oranlarda azaltacaktr. Tablo-1de tehdit kayna - gvenlik boluu risk ilikisine rnekler verilmitir.
13
Tablo-1 Tehdit Kayna - Gvenlik Boluu - Risk likisine rnekler Tehdit Kayna
Virs Hacker
Etkileyebilecei Gvenlik Boluu

Antivirs yazlmnn eksiklii Sunucu bilgisayar zerinde alan gl hizmet programlar letim sisteminde yanl ayarlanm bir parametre Yangn sndrme cihaznn eksiklii
Oluan Risk
Virs bulamas Gizli bilgilere yetkisiz eriim hakknn elde edilmesi Sistemin alamaz duruma gelmesi Bina ve bilgisayar sistemlerinin zarar grmesi ve can kayb olasl Grev-kritik bilgilerin zarar grmesi Ticari srlarn alnmas tampon tamas hatasnn alnmas Kymetli cihaz ve / veya bilgilerin fiziksel olarak alnmas Veri ileme programna verilen giri verileri ve k olarak elde edilen veriler zerinde deiiklikler yaplmas Bir hizmet durdurma saldrsnn gereklemesi 14
Kullanclar
Yangn
alanlar
orta olan bir firmann yetkilisi Saldrgan Kt niyetli ziyareti
Eriim denetim mekanizmalarnn yetersizlii Eriim denetim mekanizmalarnn yetersizlii Kt yazlm bilgisayar programlar Gvenlik Grevlisinin olmay
alan
Tutulan kaytlardaki yetersizlik
Saldrgan
Gvenlik Duvarnn ayarlarnn iyi yaplmam olmas
Potansiyel riskler, tedbirler yardm ile azaltlabilirler. Bir tedbir, bir gvenlik boluunu ortadan kaldrr ya da bir tehdit kaynann bir gvenlik boluunu kullanmas riskini azaltr. Tedbirler, yazlm, donanm ya da gelitirilen bir kullanm ynergesi eklinde karmza kabilirler. Tedbirlere, salam bir parola ynetim politikas, bir gvenlik grevlisi, bir iletim sistemi zerinde akll kartlara dayal bir eriim denetim mekanizmas, gvenlik konusunda kullanclarn eitimi gibi rnekler verilebilir. ekil-2de yukarda bahsedilen kavramlarn birbirleri ile etkileimleri gsterilmektedir.
Arttrr Tehdit Kayna Aa karr Tehdit Yol aar Gvenlik Boluu
Risk
Dorudan etkiler Sahip olunan deerler
Zarar verebilir
Aa kma
Neden olur
Kar Tedbirler
korunabilir
ekil 2 - Temel Gvenlik Kavramlarnn Birbirleri le Olan likileri

(Shon Harris, CISSP All-in-One Exam Guide)
3 Biliim Gvenliinin Salanmas

Biliim sistemlerinin gvenli hale getirilmesi konusu, kapsaml ve btnleik bir yaklamla ele alnmad takdirde, baar kazanmak Biliim Gvenlii, Pro-G ve Oracle 15
byk olaslkla mmkn olmayacaktr. Biliim gvenliinin salanmas temel adan ele alnabilir. Bu sre alan unlardr: 1. 2. 3. Ynetsel nlemler Teknoloji Uygulamalar Eitim ve Farkndalk Yaratma
Y NETSEL NLEM LER
TEK NO LOJ UYGULAM ALARI
ETM VE FARKINDALIK YARATM A
ekil 3 - Bilgi Gvenliinin Salanmasnda Btnleik Yaklam
3.1
Biliim Gvenlii Sre Alanlar
Gl bir gvenlik altyaps kurabilmek iin bu paray birbiri ile btnletirmek ve hepsini birlikte btnsel bir yaklamla ele almak gerekir. Bu bahsedilen sre alanlarnn iinde, bilgisayar ve biliim gvenlii teknolojilerinin dnda kalan farkl alanlar da bulunmaktadr. Dier bir deyile, bir kurumun, kurumsal biliim gvenliini salamak amacyla, sadece biliim teknolojilerini devreye sokarak baarya ulama ans olduka azdr.
16
Btn bunlara ek olarak, bu sre alanndan her biri, baarya ulamak iin dier iki sre alannn tam ve eksiksiz alyor olmasna ihtiya duyar. Bu alan birbirileri ile ayrlmaz ve sk balara sahiptir. Birlikte almalarndan oluacak sinerji, kuruma biliim gvenlii ynnden tehdit oluturacak tm etkenlere kar gl bir kalkan grevini stlenecektir. Ynetsel nlemler, gvenlik ynetimi ile ilgili bir dizi kuraln ortaya koyulmas ve uygulanmas eklinde zetlenebilir. Hemen her konuda olduu gibi, biliim gvenliinin ynetiminde de baar; iyi bir planlama ve st dzey politikalarn doru ve tutarl bir ekilde belirlenmesi ile elde edilebilir. Bunun ardndan, belirlenenlerin yazya dklmesi, yani prosedr, ynerge ve talimatlar gibi dokmanlarn oluturulmas gelmelidir. Gnmzde basnda ve haber bltenlerinde ok yksek maddi kayplara yol aan virsleri, bilgisayar alarna ynelik saldrlardan zarar gren irketleri konu alan haberler ska yer almaktadr. Bununla birlikte, bir sistem yneticisinin ve gvenlik uzmannn urat ilerin, her zaman gazete haberlerinde kanlarla snrl olduu dnlmemelidir. Bunlar dnda, gnlk ya da periyodik olarak gerekletirilecek bir takm iler vardr ki ite ynetsel nlemler, bu tr ileri kapsayan ve tanmlayan bir sre alandr. Bu sre alann oluturan temel sreler unlardr: 1. 2. 3. 4. Risk Ynetimi Gvenlik Politikalar Standartlar, Ynergeler ve Prosedrler Gvenlik Denetimleri
Ynetsel nlemlerin uygulanmas, teknoloji uygulamalar ve eitim srelerinin yannda fiziksel gvenlik uygulamalar ile de desteklenmelidir.
17
Fiziksel nlemler Teknolojik nlemler Ynetsel nlemler Kurumsal gizlilik tayan veri ve kaynaklar
ekil 4 - Kurumun Sahip Olduu Deerli Varlklarn Korunmas
Ynetsel nlemlerle ortaya konulan kurumun gvenlik ihtiyalarnn karlanmasnda, teknolojik uygulamalardan da faydalanlr. Gnmzde bir bilgisayar ana ya da tek bana bir bilgisayara yaplacak bir saldrnn sonulanmas saniyelerle ifade edilen ok ksa bir sre iinde oluur. Bu tr saldrlara, ancak teknolojik bir takm nlemler ile kar koyulabilir. Bunun yannda kullanlan teknolojiler, gvenlik yneticilerinin hayatnn kolaylatrlmas ve kurumun, biliim gvenlii asndan btn resminin grlmesi gibi yararlar da getirirler.
3.2
Biliim Gvenlii Teknolojileri
Biliim Gvenliinin salanmasnda kullanlan teknolojilerden bazlar aadaki listede verilmitir. Unutulmamaldr ki, gvenlik uygulamalarnn btn bunlarla snrl deildir. Burada en yaygn kullanlan ve en popler teknolojilerden bahsedilmitir: 1. 2. 3. ifreleme (Kriptografi) Saysal mza ve PKI A Blmlemesi ve Gvenlik Duvarlar
18
4. 5. 6. 7. 8.
Yedekleme Saldr Tespiti ve zleme Eriim Denetimi Gvenlik Derinlii Anti-Virs
3.3
Eitim
Eitim ve Farkndalk Yaratma sreci, bir kurumun biliim gvenlii asndan kar karya bulunduu riskleri azaltmada kullanlmas gereken ana yntemlerden biridir. Gnlk faaliyetlerini biliim teknolojisini kullanarak gerekletiren kullanclarn, gvenlik konusunda eitimlerle bilinlendirilmesi, onlarn bir gvenlik boluu ve kurum asndan risk oluturacak bir etken olmalar olasln en aza indirecektir. rnein biliim gvenlii konusunda bilinsiz kullanclardan oluan bir kurum dnelim. Bu kurumun corafi olarak farkl illere dalm kollar ve ubeleri olsun. Her kurumda olduu gibi bu kurumda da ubeler ve merkez arasnda; pazardaki durum, yaplan bir toplantya ilikin grler, yeni teknolojilerin kullanlmas hakknda alnacak kararlar ve bunlara dayanarak stratejik ynetim planlarn hazrlanmas, finansal durum, gelecee ynelik tahminler ve bunlar gibi daha birok konuda bilgi akn gerekletirmek gerekir. Kurumun bu bilgi akn, u anda rahat ve hzl bir teknoloji olan eposta yoluyla gerekletirdiini varsayalm. Kurumdaki kullanclar, e-posta gvenlii konusunda eitilmemilerse, gnderdikleri e-postalarn bakalarnn eline gemesinin, gnmz teknolojisi ile ok basit olduu hakknda bilgi sahibi deillerse, gnderdikleri bilgilerin kar tarafa ulatrlmas srasnda, araya giren bir saldrgan tarafndan verilerde deiiklik yaplabileceini bilmiyorlarsa, bu kurumun biliim gvenlii ynnden alaca btn teknolojik nlemler boa kacaktr.
19
Kullanc bilinlendirilmesi olmadan, biliim gvenliinden sz edilemez. Kullanclarn eitim ve farkndalk yaratma sreleri ile bilinlendirilmesi, sosyal faktrlerin biliim gvenlii asndan oluturduklar riskin de azaltlmasn salayacaktr. Eitim ve Farkndalk yaratma sre alan da aadaki srelerle ifade edilebilir: 1. Bilinlendirme Eitimleri : Bu tr bir eitimde, konu hakknda temel bilgilendirme ve genel bir bilgi vermek amalanr. Bu tr eitimlere teknik olmayan personel ile ynetici dzeyindeki personel katlabilir. Kullanc Eitimleri: Belli bir teknolojinin ya da uygulamann teknik olmayan kullanclar dzeyinde kullanm konusunda bilgi verme amal eitimlerdir. Bilinlendirme eitimlerine gre daha derinlemesine bir eitim trdr. Katlacak kullanclar teknik olmayan son kullanclardr. Teknik Eitimler: Belli bir teknolojinin ynetilmesi, gerektiinde yeni dzenlemelerin ve ayarlarn yaplmas konusunda verilen derinlemesine eitimlerdir. Kurumun gvenlik ynetiminden sorumlu personeli katlabilir.
2.
3.
20
4 Ynetsel nlemler
Bir kurumun elindeki bilgisayarlar ve bu bilgisayarlar zerinde bulunan veriler, genellikle, kurumun kritik amalar ve hedefleri ile dorudan balantldr. Bu nedenle, kurumun st ynetimi, bu kaynaklarn korunmasn kendine bir grev olarak almal ve gerekli zaman, para ve insan kaynann bu tr faaliyetlere tahsisi gerekletirmelidir. Ynetsel nlemler, biliim gvenlii asndan en yukardaki st yneticilerden en alttaki son kullanclara kadar, hiyerarik bir sorumluluk yapsn ortaya koyar. nce, nelerin hangi dzeyde bir gvenlik ihtiyac olduu belirlenmelidir. Yasal platformda, yrrlkte olan ve biliim gvenlii konularn da kapsayan kanunlarn ve tanmlanan sorumluluklarn anlalmas ve kurumun bir btn olarak bu sorumluluklar yerine getirmesinin salanmas, ynetsel nlemler asndan deerlendirilmelidir. Bu durumda, bir kurumun gvenlik ynetimi biriminin temel grevi, gvenlik ynetimine ynelik ynerge ve direktifler oluturmak deil, ncelikle st ynetimden gvenlik ynetimi ile ilgili gelen istekleri yerine getirmek olmaldr. st ynetimin destei olmadan, kurumsal tabanda bir ii gerekletirmek hayli zordur. Bu nedenle st ynetim ile gvenlik ynetimi arasnda ak bir iletiim kanal kurulmal ve her iki ynde de kusursuz bir bilgi ak salanmaldr. Bu sayede, yrtlen gvenlik ynetim program st ynetimden ihtiyac olan destei alr, st ynetim de gerektiinde devreye girerek gerekli stratejik kararlar verir. Biliim Gvenlii asndan uzun soluklu bir stratejinin oluturulmas, kurumun bireylerden bamsz olarak bir gvenlik altyaps kurmas iin gerekli bir n kouldur. Bu amala gelitirilecek olan gvenlik politikalarnda kullanlan dil, girilecek ayrnt seviyesi, politikann yazl biimi gibi faktrler dikkate alnmaldr. Gvenlik politikasnn yalnzca teoride ve lafta kalan bir dokman deil, bunun yerine uygulamaya dnk bir ierie sahip olmas iin gereken aba gsterilmelidir. Biliim Gvenlii, Pro-G ve Oracle 21
Gvenlik ynetiminin yetersiz olmas, kurum baznda gvenlik alannda gerekletirilen tm abalarn boa gitmesinin sebebi olabilir. Eer st ynetim, gvenlik gereksinimlerini tam olarak anlayamaz ise, ynetimin dier hedeflerinin yannda pahal, gereksiz, grnrde hibir yarar olmayan bir faaliyet olarak grebilir ve yeterli destei salamayabilir. Byle bir durumda, biliim gvenlii alanndaki en gl teknolojiler satn alnsa bile, ynetim destei olmad takdirde verimsiz ve tl birer yatrm olarak kalacaklardr.
4.1
Risk Ynetimi
Risk, kuruma zarar verici bir olayn gerekleme olasl, olarak tanmlanabilir. Risk ynetimi ise, kurumun kar karya bulunduu risklerin tanmlanmas, bu risklere deer biilmesi, risklerin kabul edilebilir bir seviyenin altna indirilmesi ve srekli bu seviyenin altnda kalmalarn salayacak mekanizmalarn devreye sokulmasdr. Yzde yz gvenli bir alma ortam kurmak imkanszdr. Her alma ortamnda, bir takm gvenlik boluklar ve bunlara bal riskler mevcuttur. Yaplmas gereken, kar karya olduumuz riskleri, doru bir ekilde ynetmektir. Biliim Gvenlii asndan karmza kabilecek riskler, aadaki ekilde snflandrlabilir: Fiziksel zarar nsan hatas Donanm hatas Gizli verilerin ifas/deitirilmesi Verilerin yok olmas Yazlm uygulamalarnn hatal almas
4.1.1
Kurumsal Bilgi Kaynaklarna Deer Bime
Kurumsal bilgi kaynaklarna deer biilirken, farkl alardan bakmak gerekebilir. rnein, bir sunucu bilgisayarn satn alma maliyeti 5 Milyar TL ise bu kaynaa 5 Milyar TL deer bimek doru deildir. Deer bime srasnda gz nnde bulundurulmas gereken bir takm Biliim Gvenlii, Pro-G ve Oracle 22
hususlar unlardr (Burada belirtilen hususlarn tm her bilgi kayna iin uygun olmayabilir) : Kaynan yeniden satn alnmas ya da gelitirilmesi maliyeti Kaynan idamesi ve korunmas maliyeti Kaynan sahipleri ve kullanclar asndan maliyeti Kaynan, kurumun rakipleri asndan maliyeti Fikir haklar asndan maliyeti Baka kurumlarn kaynaa sahip olma maliyeti Kaynan yok olmas durumunda retimin etkilenmesi ve operasyonel adan yarataca etkiler sonucunda ortaya kacak olan maliyet Kaynan aa kmas durumunda doacak sorumluluun maliyeti Kaynan kullanll asndan maliyeti
4.1.2
Risk Analizi
Risk analizi, risklerin gerekleme olaslklarnn, gereklemeleri durumunda yol aacaklar kayplarn doru bir ekilde belirlenmesi ve buna gre uygun tedbirlerin devreye sokulmasdr. Risk analizinin temel amac vardr: Risklerin belirlenmesi Tehditlerin potansiyel etkisinin belirlenmesi Riskin gereklemesi durumunda getirecei zararla, bu riskten korunmak iin seilecek tedbir arasnda ekonomik bir denge kurulmas
23
Kurumsal Bilgi Kaynaklarna Deer Bime
Risk Analizi ve Deerlendirme
Kar-tedbirlerin belirlenmesi ve gereklenmesi
ekil 3 - Risk Ynetiminin Admlar Dorudan ve dolayl maliyetler dikkate alnmadnda, bir kurum iin, kat stnde ok gvenli bir gvenlik altyaps kurmak kolaydr. Ancak kurumun hedefi, kendisi iin yeterli, etkin ve ynetilebilir bir gvenlik altyapsn oluturmak olmaldr. Bu yeterlilik dzeyini belirlemekte risk analizi nemli bir role sahiptir. Risk analizi yardmyla kurumlar, kar karya bulunduklar riskleri ncelik srasna koyabilir ve her bir riske kar alnacak nlemlerin ve tedbirlerin getirecei maliyetleri deerlendirebilirler. Risk analizi sayesinde kurum alanlar bir maliyet/yarar analizi yapabilirler. Kullanlacak tedbirlerin yllk maliyetleri ile bir tehdidin gereklemesi durumunda neden olaca zarar karlatrlabilir. rnein gizli bir bilginin deeri 100 Milyar TL ise, bu veriyi korumak iin 150 Milyar TL harcamann bir anlam yoktur. Risk analizi yardm ile, kurumun biliim gvenlii konusundaki amalar ile dier kurumsal amalar btnletirilebilir. Bu btnletirme derecesi, amalara ulamada dorudan bir etkendir.
4.1.3
Tedbirlerin Seimi
Tedbir, ya da baka bir deyile koruyucular, maliyet-etkin ve kendisine harcanan parann hakkn verecek ekilde seilmelidir. Bir koruyucunun kullanmnda karlalabilecek maliyetler aadaki tabloda gsterilmitir: alma ortamnda yaplmas beklenen deiiklikler retkenlie Etkisi damesi iin gereksinimler Dier tedbirlerle uyumlu alabilme Test gereksinimleri Biliim Gvenlii, Pro-G ve Oracle 24
Gerektiinde onarm/yerine yenisini koyma ve gncelleme maliyetleri Tasarm/Planlama Operasyon ve Destek
4.2
Gvenlik Politikalar
Gvenlik Politikas, kurumda gvenliin oynad roln genel bir anlatmdr. Gvenlik Politikas st ynetim, seilmi bir Kurul ya da bir Komite tarafndan yazlabilir. Gvenlik Politikalar, bireylerden ve teknolojiden bamsz hazrlanmaldr. Kurumda uygulanacak gvenlik kontrolleri, ayrntya girilmeden kavramsal olarak tanmlanmaldr. Internet Week dergisinin 2000 yl sonunda st dzey yneticiler arasnda yapt bir aratrmaya gre, aratrmaya katlanlarn %70i kurumlarnda gvenlik teknolojisinin kullanlmakta olduunu bildirmi, ancak yalnzca %38i yazl bir gvenlik politikasna sahip olduklarn sylemilerdir. Gvenlik politikasnn kuruma yararndan bahsedilebilir: 1. 2. Kurum alanlarn ve nc taraflar yasal sorumluluktan kurtarmak, Kuruma zel gizli bilgileri; hrszla, suistimale, yetkisiz kiilerin eline gemesine, ifaya ve deitirilmeye kar korumak, Kurumun bilgi-ilem yeteneini oluturan israfn ve boa kullanmn engellemek. kaynaklarn
3.
Bir kurum iin hiyerarik olarak farkl dzeylerde gvenlik politikalarndan bahsedilebilir: 1. Kurumsal Gvenlik Politikas: st ynetim tarafndan, kurumda biliim gvenlii programnn ereve almas ifade edilir. Bu tr bir politika, kurumun gelecekteki tm gvenlik faaliyetlerini kapsamas ve ynlendirmesi asndan nem tar. Politika ierisinde; programn amalar, verilecek 25
sorumluluklar, gvenliin stratejik/taktik adan nemi ve uygulamada yaplacak iler, genel hatlar ile kavramsal olarak tarif edilir. Kurumsal Gvenlik Politikas ierisinde, ilgili kanunlara, yasal dzenlemelere ve dier ynerge ve prensiplere bavurular yaplabilir. st ynetimin, biliim gvenlii asndan kabul edilebilir bulduu risk dzeyi de bu tr bir politikada yer alabilir. 2. Konuya zel Gvenlik Politikas: st ynetim, belli konularda alanlarn daha fazla bilgilendirmek, daha ayrntl bilgi vermek, bu konuyu kapsaml bir ekilde ifade etmek istediinde bu tr bir politika gelitirilebilir. rnein, e-posta gnderme alma konusunda, st ynetimin kararlarn, haklarn, yapp-yapamayacaklarn bu tr bir politika ierisinde ifade etmek uygun olacaktr. st ynetimin, gerekli grldnde alanlarn e-postalarn okuyabilecei, epostalar yoluyla gizlilik dereceli bilgilerin gnderilip alnamayaca gibi hususlar, e-posta zel politikas ierisinde ifade edilir. Sisteme zel Gvenlik Politikas: st ynetimin, bilgisayarlar, bilgisayar alar ve uygulamalar ve kurumsal veriler hakknda ald ayrntl kararlar ierir. Bu tr bir politika ierisinde, kullanlmasna izin verilen yazlmlar, veritabanlarnn nasl korunaca, bilgisayarlara uygulanacak eriim denetim kriterleri, gvenlikle ilgili kullanlan yazlm ve donanmlarn nasl kullanlaca gibi konular aklanabilir.
3.
Gvenlik politikalarn desteklemek zere daha ayrntl bir takm dokmanlar oluturulabilir. Politika ile bu dokmanlarn ilikisi ekil6da verilmitir. Kurumun stratejik ve taktik hedefleri arasndaki farkllk, politika ile standart, ynerge ve prosedrler arasndaki farkllkta da kendini gsterir. Gvenlik Politikas, kurumun stratejik bir hedeflerini ierirken; standart, ynerge ve prosedrler taktik dzeyde olan hedefler ierir. Taktik hedefler, stratejik hedefleri gerekletirmek amacyla ortaya konur.
26
4.3
Standartlar, Ynergeler ve Prosedrler
Bir kurumun gvenlik standartlar, o kurumdaki bilgisayar yazlm ve donanmlarnn nasl kullanlaca hakknda bilgi verir. Kullanlan teknolojilerin ve uygulamalarn, her bir kullanm srasnda tanmlanm standartlara uygun olarak kullanlmasn garanti eder. Ynergeler, kurumsal bir standardn belli bir uygulamada kullanlmasnda glk ekildiinde, yol gsterici bir takm neriler ierecek ekilde hazrlanrlar. Standartlar, gerek hayatta ve uygulamada karlalabilecek btn durumlar ele alamayabilir. Bu durumda bir ynerge yardm ile standartta yeterince ak olmayan gri alanlar akla kavuturulur. Prosedrler, belli bir ii gerekletirmeye yardmc olmak amacyla hazrlanm olan ve atlacak admlar ayrntl olarak ieren dokmanlardr. rnein bir yazlmn yklenmesi, bir donanmn kurulmas, yazlm ya da donanmn ayarlarnn deitirilmesi/dzeltilmesi, sistemde yeni bir kullanc hesabnn tanmlanmas, yok edilmesi gereken malzemenin nasl imha edilecei gibi konularda prosedrler hazrlanabilir. Tanmlanmasnda byk yarar olan prosedrler unlardr: Konfigrasyon Ynetim Prosedr Yedekleme ve Yedekleme Ortamlarn Saklama Prosedr Olay Mdahale Prosedr Sreklilii ve Felaket Kurtarma Prosedr
Prosedr, ynerge ve standartlar, birbirleri ile btnlk iinde ve birbirlerini destekleyecek ekilde hazrlanmaldr. rnein bir ynergede, kullancnn bir sisteme girmesi iin kimlik snamasndan gemesi gerektii yazyorsa, ilgili prosedrde de bu tr bir kimlik snamas iin yaplmas gereken faaliyetler adm adm ve okuyann anlayaca bir ekilde belirtilmelidir. Prosedr, ynerge ve standartlar, tek bir byk dokmann iine sktrmak yerine, modler bir ekilde hazrlamak, kullanm kolayl ve esneklik asndan daha verimli bir alma salayacaktr. nk Biliim Gvenlii, Pro-G ve Oracle 27
bu trlerden her birinin kullanm alan ve kullanacak kiiler farkllk gsterir bu ekilde dokmanlarn kullanclarna datlmas ve gerektiinde gncellenmeleri kolaylam olur.
4.4
Gvenlik Yaam Dngs
eitli teknik ve ynetsel ynlerini vurgulam olduumuz biliim gvenlii kavramlarnn etkinliini salamak, konuyu srekli canlln koruyacak bir yaayan proje olarak ele almakla mmkn olacaktr. Tehditlerin srekli olarak yenilenmesi ve eitlilik kazanmas, kullanlan altyaplarn sk aralklarla gncelleme, iyiletirme, genileme ve benzeri deiikliklere uramas ve yazlm sistemlerindeki srekli deiimler, herhangi bir anda gvenli kabul edilebilecek bir sistemin takip eden srede gvenli kalmasn garanti edemez. Bu nedenle, gvenlik almalar bir yaam dngs ile modellenmektedir. Genel kabul grm yaklamlardan biri olan CERT (Computer Emergency Response Team) tarafndan nerilen yaam dngs, aadaki admlar iermektedir: Sistem Glendirme (Harden / Secure) Hazrlk (Prepare) Saldr / Sorun Tespiti (Detect) Tespit edilen olaya zg nlemlerin alnmas / kurtarma (Respond) yiletirme, tespit edilen olayn tekrarn nleyecek nlemler (Improve) Bu admlarn tekrarl bir biimde gerekletirilmesi sayesinde, srekli olarak potansiyel sorunlar tespit edilebilir ve zamannda nlem alnarak sistem gvenlii azami seviyede korunmaya allr.
4.5
Gvenlik Denetimleri
Gvenlik denetimi, bir kurumun gvenlik altyapsnn, gvenlik politikasnn, prosedrlerinin ve personelinin ayrntl bir biimde ele Biliim Gvenlii, Pro-G ve Oracle 28
alnmas, zayf ynlerin tespiti ve bu zayflklarn giderilmesi iin neriler sunulmasdr. Baarl bir denetim, tm ilgili taraflarn ibirlii ile gerekletirilebilir. Genelde gvenlikle ilgili bir denetim sz konusu olduunda, birok insan olumsuz bir nyargya kaplr ve rahatsz olur. Bununla birlikte, gvenlik denetimi kurum iinde gvenlik politikasna uygun allp allmadnn tespitinde kullanlabilecek tek yoldur. Denetlenecek faaliyetler arasnda; bilgisayarlara giri/klar, dosya ilemleri ve sistem ve a eriim haklarnn deitirilmesi olarak saylabilir. Bir denetim srasnda sorgulanabilecek konulardan bazlar unlardr: Hangi veriler salt okunur, hangileri yazlabilirdir? nemli verileri kim/ne deitirebilir? Sistem eriimini ve kaynak kullanmn ne engelleyebilir? Sistem zerindeki deiiklikler nasl yaplmaktadr? Sisteme nasl eriilebilir? Bilgisayarlar, bilgisayar alar ve bunlarn bulunduklar binalar fiziksel adan gvenli mi? Sistemde yaplan deiiklikler izleniyor mu? Sistemde aksaklk ktnda, bunun nedenleri ortaya karlabiliyor mu? Kullanc gruplar tanmlanm m? Hangi kullanclarn eriim yetkileri, dierlerine nazaran daha fazla? Tm kullanclarn sahip olduu haklar neler? ki tip denetim vardr. Biri kurumun kendi personeli tarafndan gerekletirilen Denetim, dieri ise kurum d, bamsz bir kurulu tarafndan gerekletirilen D Denetimdir. Baarl bir denetim iin iki temel nokta gz nne alnmaldr:
29
1.
Planlama: Bir denetim plannda, kurumun hangi alardan denetlenecei ve sonularn nasl deerlendirilecei ortaya konur. Kullanlan Aralar: Denetimin yaplmasna yardmc olacak belge, yazlm, kamusal bir takm kriterler bu snfa girerler.
2.
30
5 Teknoloji Uygulamalar
Bu blmde, gvenlik tedbirlerinde kullanlan teknolojilerden bahsedilmitir. Tm teknolojiler burada bahsedilenlerle snrl deildir. Bunun yannda burada ad geen teknolojiler, biliim gvenlii sz konusu olduunda ilk akla gelenlerdir. Srasyla Blm 5.1de Kriptografi, Blm 5.2de Saysal mza ve PKI, Blm 5.3de A Blmlemesi ve Gvenlik Duvarlar, Blm 5.4de Yedekleme, Blm 5.5de Saldr Tespiti ve zleme, Blm 5.6da Eriim Denetimi ve Blm 5.7de Anti-virs teknolojilerinden bahsedilmitir.
5.1
Kriptografi
Kriptografi, veriyi yalnzca okumas istenen ahslarn okuyabilecei bir ekilde saklamak ve gndermek amacyla kullanlan bir teknolojidir. Kriptografide veri, matematiksel yntemler kullanlarak kodlanr ve bakalarnn okuyamayaca hale getirilir. Bu matematiksel kodlamaya kripto algoritmas ad verilir. lk bilinen kripto algoritmalar 4000 yl kadar nce ortaya kmtr. Zaman getike, kullanlan teknikler ve cihazlar gelimi ve her geen gn yeni teknikler kullanlr ve yeni algoritmalar retilir olmutur. Bu teknoloji u anda biliim gvenliinin vazgeilmez bir parasdr.
A m k etin
ifrelem e
m ifreli etin
e ifre zm
A m k etin
ekil 5 - Temel Kriptografi Mekanizmas ifrelenmemi bir bilgiye ak metin (clear text) denir. Ak metin, bir insann okuyabilecei bir yaz ya da bir bilgisayarn anlayabilecei altrlabilir (.exe, .com) bir program ya da bir veri dosyas (.txt) olabilir. Bir kripto algoritmas kullanlarak, herkesin okuyamayaca bir ekilde kodlanm bilgiye ise ifreli metin (ciphered text) denir. Ak metinden ifreli metne geme ilemi ifreleme, ifreli metinden Biliim Gvenlii, Pro-G ve Oracle 31
ak metne geme ilemi ise ifre zme olarak adlandrlr. ifreleme ve ifre zme yapan bir sistem de kriptosistem olarak adlandrlr. Bir kriptosistemin, ifreleme ve ifre zme yapan hem donanm hem de yazlm bileenleri olabilir. Algoritmalar, ak metin zerinde yaplan karmak ilemlerden oluan matematiksel formllerdir. Bir algoritma, hem yazlmla hem de donanm bileenleri ile gerekletirilebilir. Birok algoritma, ifreleme ve ifre zme ilemini gerekletirmek amacyla, ak metinden baka, anahtar denen bir deer de kullanr. Anahtar 0 ve 1lerden oluan uzun bir bit dizisidir. Her algoritmann kulland anahtar boylar farkldr. Genellikle anahtar boyu arttka, olas anahtar says arttndan, saldrgann bu ifreyi zmesi gleir, ama ayn zamanda da ifreleme ve ifre zme hz yavalar. Bir algoritmann olas tm anahtarlar olaslklarnn oluturduu toplulua anahtar uzay denir. ekil-7de bir saldrgann hatt dinleyerek mesaj ele geirmesi gsterilmitir. Ancak saldrgan mesaja sahip olsa bile, mesaj kriptolu olduundan ierii konusunda bilgi sahibi olamaz. Kripto sistemleri, ilk blmde bahsedilen Gizlilik, Veri Btnl, Kimlik Snamas ve nkr Edememe hizmetlerinde kullanlr.
Alc Gnderici
ifreli mesaj QIda2%421oh!2fyowh!f01f
P C
Saldrgan
P C
P QIda2%421oh!2fyowh!f01f
ekil 7 - Hatt Dinleyen Bir Saldrgana Kar ifrelemenin Kullanl Biliim Gvenlii, Pro-G ve Oracle 32
Kripto algoritmalar temelde ikiye ayrlrlar: Simetrik Algoritmalar ve Asimetrik algoritmalar. Aadaki blmlerde bu iki algoritma tr srasyla tantlmtr. Blm 5.1.3de ise zetleme fonksiyonlarndan bahsedilmitir.
5.1.1
Simetrik Algoritmalar
Simetrik algoritmalarda ifreleme ve ifre zme iin ayn anahtar kullanlr. Bu anahtara gizli anahtar (secret key) denir. Bu gizli anahtar iki tarafa da (gnderici ve alc) bilinir. Simetrik algoritmalar asimetrik algoritmalara nazaran daha hzl alrlar. Bununla beraber, asimetrik algoritmalara nazaran saldrya kar daha az direnlidirler. Simetrik algoritmalara rnek olarak AES, DES, 3DES, Blowfish, IDEA, RC4 ve SAFER algoritmalar verilebilir.
5.1.2
Asimetrik Algoritmalar
ifreleme ve ifre zme iin ayr anahtarlar kullanlr. Bu anahtarlardan birine ak anahtar (public key), dierine zel anahtar (private key) denir. Kullanlacak bu iki anahtar birlikte retilirler. Bununla birlikte bu anahtarlardan herhangi birine sahip olan bir ahs, dier anahtar retemez, bu matematiksel olarak imkansz denebilecek derecede zordur. Asimetrik algoritmalar, simetrik algoritmalara gre daha gvenli ve krlmas zor algoritmalardr. Bununla birlikte, baarmlar (performans) simetrik algoritmalara gre olduka dktr. Asimetrik algoritmalarda her ahsn bir anahtar ifti vardr. Bir ahsn zel anahtar, yalnzca kendi kullanm iindir ve bakalarnn eline gememesi gerekir. Bu ahsn ak anahtar ise, bu ahsa mesaj gndermek isteyen herhangi biri tarafndan kullanlabilir. Gnderici mesaj, alcnn ak anahtar ile ifreler. Alc, gelen mesaj kendi zel anahtar ile aar. Mesaj gnderebileceimiz kullanclarn says arttka, elde etmemiz gereken ak anahtar says da artacaktr. Sistemde 100 kullanc varsa, her bir kullancnn ayr bir ak anahtar olacandan, tm bu ak anahtarlar, eriilebilir olmaldr. Bu problem de saysal sertifikalar Biliim Gvenlii, Pro-G ve Oracle 33
teknolojisi yardm ile zlebilmektedir. Blm 5.2de bu teknoloji aklanmaktadr. Asimetrik algoritmalara rnek olarak RSA, ECC, Diffie-Hellman ve El Gamal algoritmalar verilebilir. Grld gibi simetrik ve asimetrik algoritmalarn birbirlerine gre bir takm stnlkleri ve zayf ynleri vardr. Her iki algoritma grubunun stnlklerinden faydalanarak zayf ynlerini bir kenara brakmak amacyla hibrid kripto sistemler kullanlmaktadr. Bu tr sistemlerde hem simetrik hem de asimetrik algoritmalarla hem baarm hem de gvenlii yksek ifreleme yaplabilmektedir.
5.1.3
zetleme Fonksiyonlar
Bir zetleme fonksiyonu, herhangi bir uzunluktaki metni, giri deeri olarak alr ve sonu olarak sabit uzunluklu bir deer retir. Bu deere mesaj zeti (message digest) ad verilir. Burada retilen zet, fonksiyona giren metnin karakterini tamaktadr denilebilir. Giri metninde yaplacak tek bir karakter deiiklii bile retilecek zette byk deiikliklere yol aar. Ayrca, zetleme fonksiyonu tek ynl olduundan, zetten asl metne geri dn yoktur. zetleme fonksiyonlar, uzun metinlerin, asimetrik bir algoritma ile ifrelenmeleri srasnda, asimetrik algoritmann baarm dezavantajn ortadan kaldrmak amacyla kullanlrlar. Tm mesaj metni deil de yalnzca mesajn zeti alnarak asimetrik algoritmayla ifrelenir. zetleme algoritmalarna rnek olarak SHA-1 , DSS, MD2, MD4, MD5 algoritmalar verilebilir.
5.2
Saysal mza ve PKI
Bir saysal imza, ifrelenmi bir zet (hash) deeridir. Saysal imzalar yardmyla, alc taraf gndericinin kimliinin snamasn yapar ve gndericinin kim olduundan tam olarak emin olur. Bunun yannda, saysal imza teknolojisi, gnderilen verilerin btnlk snamasnda da kullanlabilir. Buna gre saysal imza teknolojisi, ilk blmde bahsedilen Kimlik Snamas ve Veri Btnl prensiplerinin gerekletirilmesinde kullanlrlar.
34
Saysal imzalar, gerek hayatta kullanlan ve elle atlan imzann (slak imzann) biliim dnyasndaki karl olarak grlebilir. Bir saysal imza, imzalad ieriin, imzaland andan itibaren deimediinin kantlanmasnda kullanlabilir. Saysal imzalama, asimetrik kripto algoritmalar yardm ile yaplr. Saysal imzalama, mesaj bir mektup zarfna konulduunda zerinin mhrlenmesi gibi dnlebilir. Saysal imzalar, bilgisayar alar yoluyla yaplan finansal ilemlerin gvenli bir ekilde yaplmas ve veritaban btnlnn kontrol gibi kullanm alanlar bulmulardr. Saysal imzalar, Ak Anahtar Altyaps (Public Key Infrastructure PKI) teknolojisinin de belkemiini oluturur. PKI, ok geni bir corafi alana yaylm kullanclar arasnda, gvenli bir haberleme altyaps kurmay hedefleyen bir teknolojidir. Ak Anahtar Altyapsn oluturan elemanlardan balcalar unlardr: 1. Saysal sertifikalar: Bir saysal sertifika, gerek hayatta kullanlan bir kimlik kartnn, biliim gvenliindeki karldr. Bir sertifikann iinde; sahibinin kimlik bilgileri, yetki derecesi, sertifikann son kullanma tarihi, sahibinin kripto anahtar bilgisi yer alr. Bir saysal sertifika, bir kullancnn bir sisteme girerken kimlik snamasnn yaplmasnda ya da kriptolu e-posta mesajlarnn
Dosya
zel Anahtar zetleme fonksiyonu
Saysal mza
ZET
Saysal mza
FRELENM ZET
ekil 8 - Bir Mesajn Saysal mzasnn Oluturulmas Biliim Gvenlii, Pro-G ve Oracle 35
gnderilmesinde kullanlabilir. Saysal sertifikalar iin ISO tarafndan X.509 standard yaynlanmtr ve bu standart yaygn olarak kullanlmaktadr. 2. Sertifikasyon Otoriteleri: Bir PKI sistemine dahil olan kullanclar iin saysal sertifika retim ve saklama merkezleridir. Bir kullancya mesaj gnderilirken ya da gelen bir mesajdaki saysal imzann doruluunun snanrken, o alcnn ak anahtarna ihtiya duyulur. Bu ak anahtar elde etmek iin, sertifikasyon otoritesinden, kullancnn kimlii yardm ile kullancnn saysal sertifikas elde edilir. Kullancnn ak anahtar, bu sertifika ierisinden alnarak kullanlr.
5.3
A Blmlendirmesi ve Gvenlik Duvarlar
Gvenlik duvar (firewall), bir kurumun a gvenlii politikasnn uygulanmasnda kullanlan bir teknolojidir. Gvenlik duvarlar, bir bilgisayar andan baka bir bilgisayar ana geii snrlarlar. Birok kurum, kendi bilgisayarlarna, internet zerinden gelebilecek saldrlara kar gvenlik duvarlarn kullanr. Bunun yannda, kurum ii bir a blm ile yine kurum ii baka bir a blm arasndaki gei snrlamasnda da gvenlik duvar kullanlabilir. Bir gvenlik duvar, a zerindeki bir boum noktas olarak dnlebilir. nk iki ya da daha ok a arasndaki tm trafik gvenlik duvarndan gemek zorundadr. Gvenlik duvarlar, yazlm olarak gerekletirilebildikleri gibi, yksek trafik ak olan noktalarda donanmla gereklenmi gvenlik duvarlar da kullanlmaktadr. Birok kurum gvenlik duvarlarn, arnm blge (demilitarized zone) kurulumu iin kullanr. Bu dzenlemede gvenlik duvarnn baca vardr: Birinci bacak d a ile irtibat ikinci bacak i a ile irtibat salar. nc bacak ise i ve d a arasnda kalan arnm bir blge kurmay salar. Bu nc bacan olduu blgeye, kurumun dar ak, web, e-posta ve DNS gibi bir takm hizmetlerinin sunulduu bilgisayar kaynaklar koyulabilir. nk bu kaynaklar, saldrganlar tarafndan ilk olarak saldrya maruz kalmas beklenen kaynaklardr. Gnmzde arnm blgelerin ounda Biliim Gvenlii, Pro-G ve Oracle 36
kurulan bir Saldr Tespit Sistemi (Intrusion Detection System - IDS) yardmyla saldrgan davranlar izlenerek gerekli tedbirler alnmaktadr. Gvenlik duvarlar, a adres dnm (Network Address Translation - NAT) hizmeti yardm ile, i adaki bilgisayarlarn IP adreslerini, dardaki saldrganlardan gizler. Gvenlik duvarlar, i adaki bilgisayarlara vekil (proxy) hizmeti verebilirler. Bu ekilde, rnein i adaki bir kullancnn bilgisayar ile bu kullancnn internet zerinde baland web sayfas arasnda dorudan bir balant kurulmaz. Bunun yerine kullanc ile vekil sunucu ve vekil sunucu ile internet sayfas arasnda kurulan iki balant sz konusudur. Vekil sunucunun grevi, kullancya, kendi varln hissettirmeden, balantlar arasnda verilerin tanmas ve bu srada da tanmlanm gvenlik politikasna gre de gelip geen verilerin kontrol edilmesidir. Internet zerinde belli a blmlerine ya da hizmetlere eriilmesini engellemek ya da internet zerinden kurumsal alardaki kaynaklara eriimi dzenlemek iin de gvenlik duvarnn paket eleyici (packet filtering) hizmetinden faydalanlr. Bir paket eleyici, kendisine gelen veri paketinin 5 zelliine bakarak paketin, dier a blmne geiine izin verip vermeme kararn verir. Bu zellikler unlardr: 1. 2. 3. 4. 5. Kaynak IP adresi Kaynak hizmet noktas (port) Hedef IP adresi Hedef hizmet noktas Balant tipi (TCP, UDP, ICMP, vb.)
Paket eleyicilerin karar vermede kullandklar politika tablosu da iki tr olabilir: 1. Tanml olmayanlara izin verilmesi: Paket eleyicinin politika tablosunda tanml olan kurallar dndaki tm trafiin geiine izin verilir. rnein kurum, kendi kullanclarnn
37
ICQya ve IRCye balanmalarn istemiyorsa bu kurallar yazlr ve geri kalan tm trafiin geiine izin verilir. 2. Tanml olmayanlara izin verilmemesi: Paket eleyicinin politika tablosunda tanm olan kurallar dndaki hibir trafiin geiine izin verilmez. Bu tr almaya rnek olarak, kurum, kullanclarn yalnzca web sayfalarna balanmasn istiyorsa, burada web sayfalarna eriimde kullanlan HTTP protokolnn hizmet numaras (port number) olan 80 tanmlanr. Bu ekilde herhangi bir sunucu zerinde 80 numaral porta eriimler hari hibir trafie izin verilmez.
Bir kurumda birden fazla gvenlik duvar art arda konularak alma verimi ve salanan gvenlik arttrlabilir. Daha yksek gvenlik dzeyi gerektiren kurumsal blmlerin a girilerine de gerekirse ikinci bir gvenlik duvar koyulabilir.
5.4
Yedekleme
Bir sistemin yedeini almak ve bunu dzenli olarak yapmak insanlara genellikle hep zor gelir; ta ki sistemlerinin devre d kald, verileri kaybolduu ya da bozulduu gne kadar. Srekli ve tutarl bir ekilde, altmz verilerin yedeini almak, bir gn yaayacamz bir saldr ya da doal bir afetin sonularnn bizi en az ekilde etkilemesini salayabilir. Bir yedek alma sisteminin kurulmasnn maliyeti, retilmesi uzun zaman alan verimizi kaybettikten ya da veritabanmzdaki tm kaytlar silindikten sonra yeniden kazanma maliyetinden ok daha dktr. Doal olarak, sistemdeki her verinin yedei alnmamaldr. Bu tr bir alma yedekleme sistemimizin maliyetini olduka arttracaktr. Bu nedenle, hangi verinin bizim iin kritik, nemli ve yedei alnmas gerekli veri olduunun tespiti gerekir. Bu ekilde, farkl veri gruplarnn yedekleme asndan ncelik sralar belirlenir. Yedei alnacak verilerin ve yedek alma sklnn doru tespiti ile, yedekleme srecini, sistemin gnlk ileyiini en az ekilde etkileyecek ekilde dzenlemek gerekir.
38
zellikle doal afetlere kar, yedeklerin farkl bir corafi blgede saklanmas gerekir. Bu tr bir yedeklemede veriler, evrim-ii ve evrim-d ekilde aktarlabilir. evrim ii aktarmda veriler, farkl blgedeki merkeze, periyodik olarak bilgisayar a zerinden aktarlr. evrim-d yolu ile yaplan yedeklemede ise, veriler, yksek kapasiteli bir saklama nitesi (teyp, flash bellek, tanabilir hard disk, CDROM, DVD-rom gibi) zerine yazlarak gvenli bir ekilde yedek alnan blgeye ulatrlr. Veritaban yedeklemesi, i-srekliliinin salanmasnda nemli bir faktrdr. Kurumun veritabanlarn farkl bilgisayarlarda yedeklenmi ekilde tutmak (replicated database), bir veritaban sunucusunda meydana gelebilecek arza ya da sistem gncelleme gibi durumlara kar tm sistemi toleransl hale getirecektir. Sistemlerin, elektrik kesilmelerine ve g kayna arzalanmalarna kar korunmas da yedekleme konusunda ele alnabilir. Elektrik kesilmesi, hem kesinti boyunca almamzn durmasna neden olur, hem de alan sunucumuz, shutdown gibi bir komut verilerek deil de sanki bir anda fii ekilerek kapatldndan, sunucuda geri dnlemez donanm ya da yazlm arzalar meydana gelebilir. Bu tr durumlardan korunmak amacyla, sistemler kesintisiz g kaynaklar ve yedek g niteleri ile desteklenmelidir.
5.5
Saldr Tespiti
Saldr tespit Sistemleri (Intrusion Detection System - IDS), bilgisayarlarn ve bilgisayar alarnn faaliyetlerini izlemek, kaydetmek ve olas saldrlar tespit etmek amal olarak tasarlanan sistemlerdir. ki tip saldr tespit sistemi vardr: 1. A Tabanl (Network Based): Bir bilgisayar ann tamamn ya da belli bir ksmn izlerler. A zerinde herhangi bir noktadan altrlabilirler. Konak Tabanl (Host Based): Belli bir bilgisayar izlerler. Bu tr sistemler, izlenecek olan bilgisayar zerinde alrlar. zlenen bilgisayar kullanan kullanclarn yapacaklar hatalardan dolay oluacak zararlar nlemeye yneliktirler. 39
2.
Bu tr hatalar, sistem dosyalarnn silinmesi, nemli ayarlarn deitirilmesi gibi ekillerde karmza kabilirler. yi bir saldr tespit sistemi, ok az kullanc mdahalesi ile alabilmeli, sistem kaynaklarn en az dzeyde kullanmal, sistemde zaman iinde yaplacak deiikliklere kar uyum salayabilir (adaptive) olmal, sistemdeki normal davran ile normal d davran ayrt edebilmelidir. Saldr tespit Sistemleri, temelde bilgi tabanl ve imza tabanl olmak zere iki farkl manta gre kurulmaktadrlar. Daha nce karlalan saldr ekilleri ayrntl olarak analiz edilerek elde edilen bilgiler, yani saldrnn imzas, saldr tespit sisteminin bilgi tabanna kaydedilir. Her tanmlanm saldrnn bir imzas vardr. Saldr imzalar dnda kalan her faaliyet, normal olarak alglanr. Bu ekilde alan bir saldr tespit sisteminin verimli almas iin, srekli saldr imzalarn gncelleyerek sistemi, yeni saldr tiplerini de tarayacak ekilde gncel tutmak gerekir. Bilgi tabanl saldr tespitinde ise, sistem kullanclarnn, normal davranlarndan farkl olarak gsterdikleri davran ekillerine gre alma yaplr. Bu yntem, tahmine dayal bir sistemdir ve genellikle uzman sistemler ve bulank mantk teknolojilerinden faydalanlr. Bir saldr tespit sisteminin, a zerindeki faaliyetleri izlemek iin a zerindeki farkl noktalarda alc cihazlarn ve yazlmlarn kurmak gerekebilir. Bu cihaz ve yazlmlarn grevi, sorumlu olduklar a blm zerinde gerekleen faaliyet bilgilerini, saldr tespit sistemi merkezine aktarmaktr. Bir Saldr tespit Sistemi, bir hata yaptnda bu hata iki ekilde olabilir. 1. Yanl pozitif (False Positive): Saldr Tespit Sistemi, sistemdeki normal bir davran saldr olarak alglayarak hata yapmtr. Yanl negatif (False Negative): Bu tr bir hata, yanl pozitife gre ok daha vahim sonular dourabilir. Bir yanl-
2.
40
negatif hatas, saldr tespit sisteminin iini yapmad ve bir saldry tespit edemediinin bir ifadesidir. Saldr tespiti ve saldrgan davranlarnn ortaya karlmasnda son zamanlarda ortaya karlan bir yntem de tuzak sistem (honey-pot) yntemidir. Bu yntemde a zerinde kurulan bir bilgisayar, zerinde alan hizmetler ve korunmasz grnts ile saldrganlarn ilgisini ekerek bu bilgisayara saldrmaya zendirmektedir. Bu bilgisayar, gerek operasyonel bir sistem grnts vermekte ve ayn zamanda saldrgann tm faaliyetleri kaydedilmektedir. Saldr sonucu bu sistem devre d kalp kse dahi, tm saldrgan davranlar kaydedilmi olmakta, elde edilen bu veriler yardmyla yeni saldr imzalar ve yntemleri kefedilebilmektedir.
5.6
Eriim Denetimi
Biliim gvenliinde en nemli konularda biri, kaynaklara kimin nasl eritiini kontrol etmek, bu sayede bilgi zerinde yetkisiz deitirme ve aa karma olaylarn engellemektir. Bu amala yaplan faaliyetlere genel olarak eriim denetimi (access control) denir. Bir kullanc bilgisayarndan a zerindeki bir dizine ulamak istediinde ona kullanc ad ve parola soran bir ekranla karlamas, eriim denetimine rnek olarak verilebilir. Eriim denetimi, yazlm ve donanm tabanl olarak salanabilir. Eriim denetimi yardm ile kullanc ve sistemlerin, dier sistemlerle nasl etkileimde bulunduklar belirlenir. Eriim denetimi kontrolleri ile, kaynaklara yetkisiz eriimler engellenir ve yetkili kullanclarn da yetki derecelerine gre eriimleri snrlandrlr. Eriim denetiminde karmza kan iki nemli kavram vardr: Bunlar kullanclar ifade eden zneler ve kaynaklar ifade eden nesnelerdir. Eriim, bir zne ile bir nesne aras veri ak olarak ifade edilir. zneler, bir nesne ierisindeki bir veriye eriimi talep eden varlklardr. Nesneler, bir bilgisayar program, veritabannda saklanan veriler ya da bir bilgisayar olabilir. Eriim denetimi aamal olarak gerekletirilebilir: 1. Tanmlama (Identification)
41
2. 3.
Kimlik Snama (Authentication) Yetkilendirme (Authorization)
Blm 5.6.1de Tanmlama, Blm 5.6.2de Kimlik Snama, Blm 5.6.3de ise Yetkilendirme konusuna deinilmitir
5.6.1
Tanmlama
Deerli bir kaynaa, yalnzca ona erimeye hakk olanlara eriim yetkisi verilmelidir. Bu eriim yetkisinin denetimi srasnda, kullanclardan iki tr bilgi istenir. Birinci bilgi herkesin bildii kullancya ait ve kullancnn kimliini belirten bir bilgidir. Sosyal gvenlik numaras, alt kurumdaki sicil numaras, kullancnn ad soyad, sistemden tanmlanm kullanc ad, kullanc kimliine rnek olarak verilebilir. kinci tr bilgi ise, yalnzca kullancnn bildii zel bir bilgidir. Bu konu Blm 5.6.2de ele alnmtr.
5.6.2
Kimlik Snama
Kimlik snama, bir kiinin Blm 5.6.1de anlatlan kimlie sahip kii olduunun tespit edilmesidir. Bu ispat bir parola, bir akll kartn kullanm, tek seferlik bir parola, bir saysal imza bilgisi, biyometrik bir zelliin belirlenmesi eklinde karmza kabilir. Giri parolas, en yaygn kullanlan kimlik snama biimidir. Kullanm kolaylnn yannda, bakalarnn eline gemesi kolay olduundan gvenlik boluu oluturmaya aday bir teknolojidir. Bununla beraber parolamzla ilgili uyulacak birka basit kural, parolamzn bakalarnn eline gemesini engelleyecektir: 1. 2. Parola Deitirme: Parolalar ok uzun sre kullanmamal, belli aralklarla deitirmeliyiz. Sisteme Girii Snrlama: Eer bir kullanc kimlii yanl parolayla defalarca sisteme girmeye abalyorsa, bu parolamz tahmin etmeye ynelik bir alma olabilir. Sistem, belli bir sayda yanl giriten sonra bu kullancnn 42
eriim hakkn askya alarak, kendini ve asl bu kimlie sahip olan kullancy korumu olur. 3. Parola Seimi ve Saklama: Kesinlikle bo parola kullanlmamaldr. Parola en az 6 karakter olmal iinde, harf, rakam, dier zel karakterler (%, !, ?, = gibi) grubundan en az birer karakter iermelidir. Parola, bilinen ya da tahmin edilebilecek bir kelimeden (soyad, evcil hayvan ad, ehir ad gibi) ya da szlklerde bulunan szcklerden olumamaldr.
Biyometrik tanma, bir kiinin vcudunda bulunan ve yalnzca ona has zellikler tayan bir zelliin sisteme tantlmasdr. Bu zelliklere el ayas, el geometrisi, retina taramas, iris taramas, parmak izi, ses, yz ekli, tulara basma hz gibi rnekler verilebilir. Sisteme verilecek zel bilgi olarak sahip olunan bir akll kart ya da jeton (hardware token) da kullanlabilir. Son yllardaki hzl geliimleri ile akll kartlar, hem fiziksel hem de mantksal eriim denetim sistemlerinde yaygn kullanm alan bulmaktadrlar. Bir akll kart, kullancsna zel bir takm veriler tar. Tek bir akll kart, okluuygulama destei sayesinde birden ok uygulamada kullanlabilir, bylece czdanmzn bir kart cennetine dnmesinden kurtuluruz. rnein bir niversite kamps ierisinde, hem kapdan girerken, hem otopark cretini derken, ktphaneden dn kitap alrken, genel kullanml bir bilgisayara giri yaparken, yemekhanede cret derken ve daha saysz birok uygulamada kullanlabilen akll kartlar mevcuttur. Yukarda belirtilen kimlik snama yntemlerinden birden fazlasnn birlikte kullanlmas, eriim denetim gvenliini arttracaktr.
5.6.3
Yetkilendirme
Aslnda yetkilendirme ile kimlik snamas birbirine kartrlabilir. Yetkilendirme, sisteme kendini kimlii ile tantm ve kimlik snamas yaplm (yani belirttii kimlie sahip olan kii olduunu ispatlam) kullanclara, sistem kaynaklarna eriim izni verilmesidir. Kullanc, kimlik snamas yapldktan sonra, a zerindeki bir kaynaktaki bir dosyaya erimek istediinde, ncelikle bu kullancnn bu kaynaa Biliim Gvenlii, Pro-G ve Oracle 43
eriim yetkisi olup olmad snanr. Eer yetkisi varsa, kaynaa erimesine izin verilir. Yani bir kullanc, kimlik snamas yapldktan sonra, tm kaynaklara erime yetkisine sahip olmaz. Eriim yetkisi, kendisine verilen yetki dzeyi ile snrldr.
5.7
Anti-Virs Sistemleri
Bilgisayar virsleri, Kt amal program kodu olarak tanmlanabilir. Korumasz bir bilgisayar ve bilinsiz bir kullanc, bir bilgisayara virs bulamas iin yeterlidir. nk e-posta yoluyla gnderilen, kullanclara cazip neriler sunan (erikin sitelerine cretsiz eriim hakk ya da kln kprdatmadan para kazanma gibi) ve tek yapmalar gerekenin ekteki program kurmak olduunu iddia eden e-postalar yoluyla virsler, gerek hayattaki virslerden farksz bir hzla yaylmaktadrlar. Anti-virs yazlmlar, bilinen virsleri tanyabilen ve temizleyebilen programlardr. Bir anti-virs yazlm yalnzca bildii tr virsleri tanyabilir. Yeni ortaya km bir virs tanmas imkanszdr. rnein 1999 ylnda ortaya kan Melissa ve 2000 ylnn ortaya kan IloveYou virsleri anti-virs programlar kendilerini tanyana kadar ciddi zararlara ve maddi kayplara yol amlardr. Bir virsn kimliine o virsn imzas da denir. Bir kurum, elindeki anti-virs yazlmlarn, reticilerinin yeni yaynlad virs imza listeleri ile srekli gncellemelidir. Yeni virslere kar da kullanc bilinlendirmesi yoluyla nlem alnabilir. Kullanclar, tanmadklar kimselerden gelen, cazip neriler ieren e-postalar amamal, gerektiinde sistem ve gvenlik yneticilerini vakit kaybetmeden konu hakknda bilgilendirmelidirler. Bunun yannda anti-virs programlar, artk gvenlik duvarlar ve e-posta sunucular ile birlikte alabilmektedir. Bu ekilde tedbirlerin btnleik almas sonucu, virs bulama riski en aza indirilmeye allmaktadr.
44
Bu blmde ele alnan teknolojilerin, birbirleri ile etkileimli alacak ekilde kullanlmas sonucu, kurumun daha etkin korunmas gerekletirilebilir. Saldrgann karsna her bir engeli ya da tedbiri atnda karlacak olan yeni bir tedbir, sistemin saldrganlara kar caydrcln arttracak ve sistemin verdii gvenlik hizmetlerini tamamlayc olacaktr.
45
6 Eitim
Bir kurumda biliim gvenliinin yerine getirilmesi amacyla, politikalar, prosedrler oluturulabilir. Bu prosedrleri yerine getirebilmek iin yksek miktarlarda paralar harcanarak tedbirler konulabilir. Tm bunlarla birlikte, harcanan bu kadar parann ve hazrlklarn anlaml olabilmesi iin, sistem ierisinde yer alacak olan kullanclarn eitilmesi ve kurulan gvenlik sistemi ile ilgili bilinlendirilmesi gerekir. Eitim programnn amac, kurumdaki her bireyin, gvenlik programnn bir btn olarak kurum iin ve her bir birey iin nemini kavramas olmaldr. Eitimler, kurum iinde en azndan farkl grup iin tasarlanmaldr: Yneticiler, orta kademe yneticiler ve teknik grup. Ynetici eitimleri, mmkn olduu kadar ksa tutulmaldr. erik olarak, kurumsal kaynaklardan, bunlarn deerinden, korunmas ve saldrlara kar alnan tedbirler iin yaplan harcamadan bahsedilmelidir. Orta kademe yneticilere verilecek eitimlerde, st dzey yneticilere verilenden farkl bir eitim ierii hazrlanmaldr. Her orta kademe yneticinin sorumlu olduu blmn, kurumsal gvenlik asndan nemine yer verilmeli, kurumsal gvenlik programnn srdrlmesi ve baar kazanmas iin kendi sorumluluklarnda alan personelin gvenli bir alma ortamnda almas amacna nasl katkda bulunabilecekleri aktarlabilir. Teknik blmlerde alan insanlar iin ise, gvenliin onlarn gnlk faaliyetlerini nasl etkileyeceine ynelik bir eitim verilmelidir. Dier gruplara gre, teknik gruba, zerinde altklar sistemlerin nasl etkilenecei, olas gvenlik ihlallerinin neler olabilecei bilgilerini ieren daha ayrntl bir eitim verilmelidir. Her grubun yeleri de bir gvenlik ihlali ile karlamalar durumunda, ne yapacaklar, kime bilgi verecekleri konusunda bilgilendirilmelidirler. Hibir alan, bir saldr ile karlatnda bununla kendisi mcadele etmeye ya da saldrya kar koymaya uramamaldr. Biliim Gvenlii, Pro-G ve Oracle 46
Kurulan gvenlik sisteminin ortadan kalkmas durumunda kullanclarn nasl etkilenecekleri, sistemin yarar konusunda kullanclar bilinlendirmek asndan uygun bir yntem olacaktr. Bu tr eitimlerde, uygun ve uygunsuz davranlara birok rnek verilerek, sistemin kullan ile ilgili bilgiler, rneklerle desteklenebilir. Bu rnekler arasnda, yetkisiz bir personelin kurumun giri/k kontroll bir blgesinde neden bulunduunun sorgulanmas, e-postalarn beklenen kullanm ekilleri, internetin doru bir ekilde kullanlmas, irkete ait bilgi ve belgelerin kullanm ekilleri gibi konular olabilir. Eitimlerin sonunda, kullanclara, gvenlik konusunda ald eitimde grd konular hakknda bilgi sahibi olduuna ve kurumun gvenliini ihlal ynnde bir faaliyette bulunmayacan taahht ettiine dair bir belge imzalatlabilir.
47
7 Biliim Gvenlii Standartlar

Kurumsal lekte biliim gvenliinin salanmas, teknik bir problem olmann yansra, ynetimsel bir problemdir. Biliim gvenliini salamaya ynelik tedbirler, teknolojiler, bunlarn kurum iinde kullanm, iletilecek sreler ve bunlarn sahipleri gibi pek ok konuda kalc ve etkin kararlarn verilmesi, bu karar ve bilgilerin belgelerle desteklenmesi ve konunun bir yaam dngs bak asyla canl tutulmas gereklidir. Bu amala eitli standartlarn oluturulmas ve uygulanmas bir yntem olarak benimsenmitir. BS 7799, gvenlik politikas gelitirme ve gvenlik denetlemesi yapma konularn kapsayan uluslararas bir standarttr. Bu Standart, 10 alt blmden oluur. Her blmde, o blmde anlatlan konunun, kurumsal gvenlik politikasna nasl dahil edilecei ve bu faaliyetlerin nasl denetlenecei ile ilgili bilgiler vardr. ISO, BS 7799u baz alarak ISO 17799 standardn hazrlamtr. Aadaki listede, standardn her blmnn ksa birer tantm yer almaktadr: Srekliliinin Planlanmas: Kritik i kaynaklar tanmlanr ve bu kaynaklara zarar vermeye ve onlarn srekliliini etkilemeye ynelik olan faaliyetlerle mcadele iin tedbirler alnr. Burada bahsedilen zarar, kk ya da byk bir zarar olabilir. Sistem Eriim Denetimi: Eriim denetimine ihtiyac olan kaynaklar belirlenir. Yetkisiz gerekleen faaliyetler tespit edilmeli ve uygun bir ekilde kotarlmaldrlar. Sistem Gelitirme ve Srdrme: Bilginin gizlilii, btnl ve kimlik snamas korunmaldr. Tm biliim faaliyetleri gvenli bir ekilde gerekletirilebilmelidir. Uygulama yazlmlarn ve bunlara ilikin verinin gvenlii de gz nnde bulundurulmaldr. Fiziksel Gvenlik ve evre Gvenlii: Kuruma ait bina ve benzeri yerlere giri klar kontrol altnda tutulmaldr. Bu sayede verilerin, bilgisayar ve bilgisayar alarna ilikin cihazlarn alnmasn ve zarar grmesi engellenir. Biliim Gvenlii, Pro-G ve Oracle 48
Uygunluk: Yasal olarak yaplm dzenlemelere, kurumsal olarak ortaya konulan politika ve kurallara uygunluk salanmaldr. Kurum alanlarnn Gvenlii: Kullanclar, potansiyel tehditler ve kurumsal gvenlik politikasn desteklemek zere nasl davranlaca hakknda bilgi sahibi olmaldrlar. Gvenlik Organizasyonu: Kurum iinde bilgi gvenliinin ynetimi yaplmaldr. Bilgi-ilem hizmetleri, baka bir firma yardmyla d kaynaktan alnyor olsa bile, kuruma zel bilgiler, yine kurum iersinde korunmaldr. Bilgisayar ve A Ynetimi: Bilgi ilem ve iletiim kaynaklar korunmal ve bu kaynaklarn btnl ve sreklilii salanmaldr. Kaynak Snflandrmas ve Kontrol: Bilgi kaynaklar iin uygun snflandrma yaplmal ve her snflandrma dzeyi iin gerekli koruyucular devreye sokulmaldr. Gvenlik Politikas: Kurumsal gvenlik programnn temeli olarak bir gvenlik politikas oluturulmaldr.
49
Oracle Veritaban Gvenlii
Veri, bir kurumun belki de en deerli varldr. Bugn herhangi bir sebeple tamamen kullanlmaz hale gelen bir demirba yenilemek mmknken, yitirilmi bir verinin kurum iin kimi zaman telafisi mmkn olmayabiliyor. Dolaysyla, kurumlara ait verinin gvenlikli ortamlarda saklanmas; sadece yetkili kullanclara ve bu kullanclarn yetkileri dahilinde sunulmas byk nem arz etmektedir. Veri gvenlii, aslnda bilgi ilem kadar eski bir kavramdr. Ancak zellikle internet/intranet kullanmnn yaygnlamas, pek ok kurum yada kuruluun internet zerinde e-i modelini benimsemesi doal olarak veri gvenliine de yeni bir boyut getirmi durumda. E-i modelinin bilgi ileme yansmasysa, kritik verinin kurum d kullanclara (mteriler, i ortaklar, tedarikiler, vs.) almas sonucu kullanc says ve eitliliinde grlen art, artan veri trafii ve platformu oluturan yap talarndaki farkllklar (veri taban sunucular, web/uygulama sunucular, a yaps, son kullanc ortamlar, vb.) olarak karmza kyor. Bunlarsa geleneksel veri gvenlii mekanizmalarnn zaman zaman yetersiz kalmalarna yol aabilmektedir. E-i modeli ve internet mimarisi aadaki kriterleri kurumsal gvenlik mekanizmalar iin nem arz eder hale getiriyor: Kullanclarn kimlik belirleme ilemi, kullancnn nereden balant kurduuna bal olmakszn etkin bir ekilde yaplabilmeli. Veriye eriim en az kullanc baznda kontrol salayacak ekilde detaylandrlabilmeli. letiim srasnda veri, a zerinde yetkisiz kiiler tarafndan dinlenebilme olaslna kar, korunabilmeli. Gvenlik sistemi kolay kurulabilir ve ynetilebilir olmal. Oracle Veri Taban Ynetim Sistemi (VTYS) yukarda saylan kriterleri salamak adna kullanclarna pek ok zellik sunmaktadr: Biliim Gvenlii, Pro-G ve Oracle 50
8.1 Kimlik Belirleme ve Yetkilendirme Metotlar

Sistem gvenliinin temel kilometre ta, kullanclarn kimliklerinin doru belirlenmesi ve yetkilendirme ilemidir. Eer sistemdeki bir kullancnn kimlii belirlenemiyorsa kiilerin yaptklarndan sorumlu olmas mmkn olmayacandan, kaos kanlmaz son olacaktr. Oracle9i, muhtelif kimlik belirleme teknolojilerini desteklemektedir: Birinci yntem kullanc kimliklerinin VTYS tarafndan belirlenmesidir. Oracle VTYSde tm kullanclarn kullanc adlar ve ifreleri vardr. letim sisteminde tanml olan bir kullanc VTYSye balanabilmek iin kendi kullanc adn ve ifresini veri tabanna sunmak durumundadr. Oracle VTYSnin ifre ynetim mekanizmas, ifre gvenliini salamak iin aadaki ilevsellie sahiptir: ifrelere minimum uzunluk kstlamas konabilir. ifrelerin tahminini gletirmek adna kullanc ifrelerinde alfabetik karakterlerin yan sra say ve sembol kullanm da zorunlu hale getirilebilir. Belirli sayda hatal giri denemesinden sonra bir kullancnn VTYS hesab geici olarak kullanma kapatlabilir. Kullancnn soyad, kurum ad gibi kolay tahmin edilebilecek ifrelerin kullanlmas engellenebilir. ifreler belirli bir kullanm sresinin ardndan sistem tarafndan geersiz hale getirilebilir. Kullanclarn ifre gemii tutularak, gemiteki bir ifrenin bir sre iin (yada sonsuza dek) bir daha kullanlmas engellenebilir. ifre uygulama kurallar, kurum, kullanc gruplar yada tek tek kullanclar baznda ayarlanabilmektedir. Oracle VTYS ayrca, a kimlik belirleme servisleri, akll kart, biyometrik kimlik belirleme gibi muhtelif teknolojileri de desteklemektedir. Bu yntemler ifrelerden daha gl gvenlik mekanizmalardr. rnein akll kart kimlik belirlemede iki faktrden Biliim Gvenlii, Pro-G ve Oracle 51
yararlanr. Bunlar kullancya ait bir nesne (kart) ile sadece kullancnn bildii bir bilgidir (kiisel numara - PIN). Yine, Oracle VTYS tarafndan sunulan Kerberos, RADIUS, vb. destekli gvenlik mekanizmalar benzer ekilde sistem gvenliini artrc yap talar olarak karmza kmaktadrlar. Oracle VTYS, datk veri taban ortamlarnda kullanclarn tek bir noktadan sisteme girilerini (single sign-on) desteklemektedir. Secure Sockets Layer (SSL) zerinden X.509 (versiyon 3) sertifikalarnn kullanm yoluyla salanan bu fonksiyon ile kurum iindeki kullanclarn kimlikleri pheye yer vermeyecek ekilde belirlenebilmektedir. Kullanlan SSL teknolojisi ayrca veri gvenliinin ve tutarllnn da garantilenmesini salamaktadr. Oracle VTYSdeki LDAP (Lightweight Directory Access Protocol) destei sayesinde, kurum iindeki farkl veri kaynaklarna erime hakkna sahip kullanclarn yetkileri tek bir noktadan belirlenebilmekte ve ynetilebilmektedir. Bylelikle, datk yapdaki kullanclarn ynetimi kolaylatrlmaktadr. nternet ortamnda sklkla gzlemlenen bir problem de uygulama sunucusu zerinde alan web tabanl uygulamalarn veri taban ile yksek nceliklere sahip tek bir VTYS kullancs zerinden balant kurmasdr. Byle bir ortamda gerek web kullanclarnn tanm uygulama sunucusunda yaplmak durumundadr. Bu yaklam ise, verinin sakland ve gvenlik mekanizmalarnn belki de kullanc baznda dzenlenmesini gerektiren veri taban ortamnda kullanc bilgisinin kaybolmasna neden olabilmekte, yada sistem denetiminin yapld kaytlara (AUDIT) bu bilgiler yanstlamamaktadr. Oracle VTYS, internet/intranet ortamlarnda son kullanc bilgisinin de saklanabilmesi ve denetimlerin kolaylkla ve yksek detayda yaplabilmesini salamak adna klasik veri taban balant mekanizmasna bir yenilik getirmektedir. Bu yntemle tek bir veri taban balants kullanlarak VTYS zerinde farkl kullanc oturumlar yaratmak mmkn hale gelmitir. nternet/intranet ortamndaki son kullanc web sunucusundaki bir uygulamay altrdnda, web sunucusu VTYSye altrlan uygulama iin bir uygulama balants kurmakta ve bu balanty kullanarak, Biliim Gvenlii, Pro-G ve Oracle 52
kendisine balanan son kullanc adna VTYSde bir oturum yaratmaktadr. Bir baka son kullanc ayn uygulamay altrdnda ise, VTYSde yeni kullanc adna bir oturum yaratlrken yeni bir balantya gerek kalmadan daha nce yaplm olan uygulama balants kullanlmaktadr. Bu mekanizma ile gerek uygulama balants gerekse adna oturum yaratlm olan son kullanc bilgileri denetlenebilmektedir. Gerek uygulama balantlarnn gerekse son kullanc oturumlarnn denetim kaytlarnn tutulabilmesi, internet/intranet ortamlarnn utan uca gvenliinin salanmasnda yeni bir r amaktadr.
8.2 Kayt Baznda Gvenlik

Kurum iindeki ve dndaki kullanclara kritik sistem verilerine eriim hakknn verilmesi, i aklarn hzlandrmak, daha iyi servis vermek gibi avantajlara sahip olmakla birlikte, gvenlik asndan dikkat edilmesi gereken bir ak kap olabilir. Kurumlar veriyi yetkisiz kiilerden gizlerken ayn zamanda veriyi, ou zaman kullanc baznda ayrabilmek durumundadrlar. Oracle 9i, Sanal Kiisel Veri Taban zellii (Virtual Private Database) ile, gvenlik kavramna yeni bir standart getirmektedir: kullanclarn kritik verilere direk eriimini salayan, sunucu merkezli kayt baznda gvenlik mekanizmas. Sanal Kiisel Veri Taban zellii, VTYSdeki kaytlarn tutulduu tablolara eriimin kullanc baznda ayarlanabilmesini salamaktadr. Kullanclar veri tabanna ne ekilde eriirlerse erisinler bir tabloda sadece kendilerinin grmelerine izin verilmi olan kaytlara ulaabilmektedirler. Bu filtreleme ilemi VTYS Yneticisi tarafndan veri taban dzeyinde tanmlanmaktadr. Bylelikle daha nce olduu gibi gvenliin veriye ulaan tm uygulamalarda ayr ayr kodlanmas gerei ortadan kalkmaktadr. Karmak ve hataya ak olan bu eski yntemlere gereksinim kayt baznda gvenlik yaklamyla ortadan kalkmtr. Ayrca uygulamay kullanmak yerine bir baka yntemle, rnein bir raporlama aracyla, veri tabanna ulaan kullancnn bu gvenlik mekanizmasn amas engellenmi olmaktadr.
53
Sanal Kiisel Veri Taban zellii kapsamnda, tablolara eklenen filtreler dinamik olarak kullanc baznda ayarlanabilmekte, ayrca ayn kullancnn, sisteme baland gn, saat, yada son kullanc terminaline bal olarak farkl kaytlara erimesinin salanmas da mmkn olmaktadr. Bylelikle szgelimi, kullancnn hafta ii i saatlerinde ulaabildii veri ile hafta sonu evinden sisteme balandnda ulaabilecei veri farkl olabilmektedir.
8.3 Verilerin ifrelenmesi

Bugn, klasik bir VTYSye bakldnda veri tabannn yneticisi durumundaki kullancnn yetkilerinin, o veri tabanndaki tm kullanclara ait nesne ve verilere snrsz eriim hakk salad grlmektedir. Kurumlar, veri tabanlarnda tutulan kritik verinin, veri taban yneticisi de dahil hibir yetkisiz kullanc tarafndan grlememesini arzu edebilmektedirler. Oracle9i, bu amaca ynelik olarak veri tabanndaki verilerin ifrelenebilmesini salayabilmektedir. Belli bir anahtar deere bal olarak VTYSdeki kaytlarn tamam yada bir ksm ifrelenerek saklanlabilmekte, evrim ii yada evrim d olarak tutulan bu kaytlar ancak ifreleme srasnda kullanlan anahtar tekrar kullanldnda alabilmektedir. Dolays ile bir kullancya ait kritik veriler (kredi kart numaras, gvenlikli sisteme gei ifresi, vb.), VTYS yneticisi dahil tm kullanclardan gizlenebilmektedir.
8.4 Kullanc Aktivitesinin zlenmesi

Oracle VTYS, gvenlikle ilgili izleme amacyla integrated security auditing ad verilen bir yetenee sahiptir. Bu yetenek ile, basit bir AUDIT (DENETLE) komutu, veri eriimlerini, gncellemeleri ve ilem balama/ilem kapatma ilemlerini her bir oturum, nesne ve kullanc iin denetlemektedir. Kullanc, tarih, zaman, nesne ve ilem, bir veri taban tablosuna veya d denetleme izelgesine kaydedilmektedir. Oracle VTYSde, her bir kullanc iin sistem haklarnn denetlenebilmesi mmkndr. Bylelikle, sistem yneticisi VTYSde sregelen pheli faaliyetleri izleyebilmektedir. Aadaki durumlarda denetlemeler yaplabilmektedir : Biliim Gvenlii, Pro-G ve Oracle 54
Default olarak denetlenen durumlar; Veritabannn balatlmas Veritabannn kapatlmas Administrator yetkisi ile veritabanna balantlar stek zerine denetlenen durumlar; Cmle (Statement) baznda denetleme Belirli bir nesne trn ilgilendiren herhangi bir VTYS komutu altrldnda denetleme mekanizmas devreye girer. Yetki (Privilege) baznda denetleme Belirli bir VTYS yetkisini kullanmay gerektiren bir komut altrldnda denetleme yaplmasn salar. Nesne (Object) baznda denetleme Belirli bir kullanc nesnesini ilgilendiren bir altrldnda denetleme yaplmas amacyla kullanlr. komut
Bu denetlemeler baarl ya da baarsz (WHENEVER SUCCESSFUL / WHENEVER NOT SUCCESSFUL) durumlar iin de yaplabilmektedir. Yani bir kullanc, yetkisi dnda bir ilem yapmaya alrsa, bunun da denetlenmesi mmkn olmaktadr. Yukarda anlatlanlara ek olarak, Oracle VTYS, ince ayarlanm denetleme zelliini de (Fine-Grained Auditing) sunmaktadr. FineGrained Auditing ile, bir kullanc tablosuna yaplan tm eriimlerin denetlenmesi yerine, ancak tablodaki gvenlik dzeyi yksek ierie eriilmesi durumunda denetleme yaplabilmektedir. Szgelimi gnlk ilem hacmi 100 milyar TLden fazla olan kaytlar sorgulandnda, ya da kaytlarn kredi kart kolonlar listelendiinde VTYS otomatik olarak denetleme yapabilmektedir.
8.5 letiim Gvenlii

Bilindii gibi ak alar doalar gerei gvenli deildirler. nk, hat zerinde akan veri paketleri, dost yada dman herkes tarafndan okunabilmektedir. Bu sebeple kritik verinin sunucudan son Biliim Gvenlii, Pro-G ve Oracle 55
kullancya, son kullancdan sunucuya ve/veya sunucudan bir baka sunucuya aktarlmas srasnda yabanc kiiler tarafndan grlmesinin veya deitirilmesinin engellenmesi, yani ifrelenebilmesi byk nem tamaktadr. E-i modelini benimseyen bir kurumun veri akna baklrsa; genelde, bir veri kaynanda tutulan veri, bu veri kaynana bal bir uygulama sunucusu zerinde alan bir uygulama araclyla son kullanc durumundaki kiilerin kiisel bilgisayarlarna tanmakta, yine bu kiiler tarafndan retilen bilgi ise ayn hat zerinden veri kaynana gnderilmektedir. Byle bir mimaride veri kayna ile uygulama sunucusu arasndaki iletiim hatt ve uygulama sunucusu ile son kullanc arasndaki hat dardan dinlenebilme tehlikesine aktr. Oracle9i ve Oracle9i Application Server rnleri her iki iletiim hattnn da SSL ile ifrelenebilmesini salamakta, ayrca gerek son kullanc bilgisayaryla uygulama sunucusu gerekse uygulama sunucusu ile veri taban arasndaki hatlara gvenlik duvarlarnn (firewall) yerletirilebilmesini desteklemektedir. Sonu olarak, internet/intranet mimarisi kurumlara, i aklarn elektronik ortama tayarak kurumsal proseslerini hzlandrma, son kullanclara daha iyi hizmet verme, artan veri ak sonucu oluan bilgiyi kurumsal karar alma srecinin daha salkl hale gelmesinde kullanabilme gibi pek ok avantaj sunmaktadr. Ancak, bu ekilde biriken verinin korunmas, sadece yetkili kiilere, yetkileri dahilinde sunulmasnn garanti edilmesi, veri altyapsnn gerek i gerekse d tehditlere kar gvenlik altna alnmas ise bu mimarinin kurumlar iin getirdii, zerinde ok ciddi dnlmesini gerektiren yeni zorluklar. Oracle, gerek veri tabannda gerekse internet platformunu oluturan dier rn gruplarnda kurumsal gvenlie son derece nem vermektedir. Bu yzdendir ki, Oracle VTYS rn ailesi bamsz kurulular tarafndan 15 farkl gvenlik sertifikas ile dllendirilmitir. Bu yazda anlatlan gvenlik mekanizmalar (iletiim hatlarnn ifrelenebilmesi, gelimi kimlik belirleme mekanizmalar, son derece detayl olarak ayarlanabilen veriye eriim kstlamalar, gvenlik duvar destei, vb.) kurumlarn veri gvenlii ihtiyalarn detayl, esnek ve gl bir ekilde karlamak zere gelitirilmi Oracle gvenlik teknolojisinin ana hatlarn Biliim Gvenlii, Pro-G ve Oracle 56
oluturmaktadr. Gemite olduu gibi gnmzde de Oracle, kurumlarn gvenlik ihtiyalarn karlamak adna teknolojinin en gelimi rnlerini sunan almalarn durmakszn srdrmektedir.
57
9 zet ve Sonu
Biliim sistemlerine bamllmz gn getike arttndan, bu sistemlerin ve bunlar zerinde ilenen, retilen, saklanan ve iletilen bilginin gvenliinin nemi de bamlla paralel olarak artmaktadr. Biliim sistemlerinin ve bu sistemler tarafndan ilenen bilgilerin gvenliinin salanmas ancak tm kurum alanlarnn kolektif abas ile mmkn olabilir. Temel gvenlik prensipleri olan gizlilik, veri btnl ve sreklilik kavramlarnn anlalmas ve kurum iin hedef olarak konulmas gerekir. Bu hedefe ulamak iin, ynetsel nlemler, teknolojik uygulamalar ve eitim sreleri tanmlanmal ve bu sreler, uygulamadan alnacak geri besleme ile srekli olarak iyiletirilmelidirler. st ynetim, kurumun biliim gvenliini salamada ynetsel katklar salamaldr. Kurumu tehdit eden riskler ve bunlarn kabul edilebilir bir dzeyin altna indirilmesi iin gerekli mekanizmalar belirlenmelidir. Kurumun yazl gvenlik politikas oluturulup, buna bal olarak uygulamaya dnk ve daha ayrntl ynerge ve prosedrler yazlmaldr. Bu yazlan dokmanlardaki uygulamalar, yaplacak i ve d gvenlik denetimleri ile srekli izlenmeli, uygulamadaki ya da dokmanlardaki hatalar bu ekilde tespit edilmeli ve dzeltilmelidir. Risk ve tehditlere kar mcadelede kullanlabilecek tedbirler ve teknolojiler konusunda bilgi sahibi olunmaldr. Bu teknolojilerden seilenlerin maliyet-etkin bir ekilde kurumun biliim altyapsna dahil edilmesi salanmaldr. Kullanc eitimleri, en az uygulanan teknolojiler ve ynetsel nlemler kadar nemsenmelidir. Kurumdaki farkl kullanc gruplarna, onlarn biliim gvenliine hedeflenen katklar dorultusunda farkl ierikte eitimler hazrlanmal ve verilmelidir. Doal olarak, st ynetim, orta kademe yneticiler ve teknik personele verilecek eitimler farkl olacaktr. Alnan ynetsel nlemler, uygulanan teknolojiler ve verilen gvenlik eitimlerinin birlikte ele alnarak deerlendirilmeli ve bu Biliim Gvenlii, Pro-G ve Oracle 58
srecin birlikte almalarndan ortaya kacak sinerjiden faydalanlmaldr. Bu alan birbirileri ile ayrlmaz ve sk balara sahiptir. Birlikte almalarndan oluacak sinerji, kuruma biliim gvenlii ynnden tehdit oluturacak tm etkenlere kar gl bir kalkan grevini stlenecektir. Uluslararas standartlar, uzun deneyimlerin ve almalarn rn olarak ortaya karlm dokmanlardr. BS 7799 / ISO 17799, gvenlik politikas gelitirme ve gvenlik denetlemesi yapma konularn kapsayan uluslararas standartlardr. Kurumun biliim altyaps kurulurken gerektiinde bu standart dokmanlarna bavurulabilir. Kurumsal gvenlik politikasnn belirlenmesi ve bu dorultuda ynetsel, operasyonel ve teknik denetimlerin yerletirilmesi ve tm kurum alanlarn dzenli ve kesintisiz eitiminin ve bilinlendirilmesinin salanmas, biliim gvenliinin salanmas iin en uygun yaklam olacaktr. Unutulmamas gereken biliim gvenliinin bir son durum deil, hi bitmeyen bir sre olduudur. Biliim gvenliinin salanmasna ynelik abalar bitmeyen ve devaml iyiletirmeler ile gncel tutulmas gereken bir faaliyet olmaldr. Kurumsal biliim gvenlii ok bileenli, nemli ve ynetimi zor bir sretir. Bu nedenle ve olas saldrlarn sonularnn yarataca tahribat nedenleri ile yneticiler tarafndan zellikle nem verilmesi gereken bir alandr.
59
10 Kaynaklar
Aadaki kaynaklar, biliim gvenlii alannda bavurulabilecek ok eitli kaynaklarn bir ksmn oluturmaktadr. nerimiz zellikle elektronik kaynaklarn etkin kullanmn salayacak yntemlere ncelik verilmesidir. Pro-G web sitesi (www.pro-g.com.tr) zerinde Aratrma bal altnda Pro-G Ktphanesi iin bir ak-metin arama arayz sunulmaktadr. bin kadar elektronik makale ve kitabn yer ald ktphane zerinde anahtar szckler ile arama yapmak ve seilen kaynaklar iin evrim ii istekte bulunmak bu arayz sayesinde mmkn olmaktadr.
NIST Special Publication 800-12, An Introduction to Computer Security: The NIST Handbook, October 1995 Avolio, F.M., A Multidimensional Approach to Internet Security. ACM Networker Magazine, 2 (2), pp. 15-22, Apr/May 1998. Lau, O., The Ten Commandments of Security. Computers & Security 17 (2), pp. 119-123, 1998. NIST Special Publication 800-18, Guide for Developing Security Plans for Information Technology Systems, December 1998. Baskerville, R., Information Systems Security Design Methods: Implications for Information Systems Development, ACM Computing Surveys, 25 (4), pp. 375414, December 1993. zgit, A., Biliim Gvenliinden Ne Anlyoruz?, TBD BIMY-10 Bildiriler Kitabi, Nisan 2003. Dayolu, B., A ve letim Sistemi Gvenlii, TBD BIMY-9 Bildiriler Kitab, Nisan 2002.
60
Pro-G Web Sitesi, http://www.pro-g.com.tr Oracle Web Sitesi, http://www.oracle.com CERT/CC Web Sitesi, http://www.cert .org SANS Enstits Web Sitesi, http://www.sans.org SecurityFocus Web Sitesi, http://www.securityfocus.com Dikey8 Web Sitesi, http://www.dikey8.com Olympos Web Sitesi, http://www.olympos.org
61
11 Gvenlik Terimleri
Aadaki terimler, biliim gvenlii alannda Trke terimler retme yolunda yrttmz almann gncel bir ara sonucudur. Sunulan liste, ngilizce terimlerin harf sras ile verilmitir.
Eriim (Access): Bilgiyi ilemek ya da bir sistem tarafndan ilenen bilgiyi edinmek zere bir sistem ile etkileime ya da etkileime geme becerisi ve yntemi. Eriim Denetim Listesi (Access Control List): Eriime izinli sistem varlklarnn kimliklerinin listelenmesi yolu ile bir sistem kaynana eriimi salayan mekanizma. Hesap (Account): Bir bilgisayar ya da a zerinde, hesap ad, parolas ve kullanm kstlar gibi bilgiler ieren kullanc eriim alan kayd. Eylem (Action): Bir kullanc ya da sre tarafndan bir sonuca ulamak amacyla atlan adm. Anormallik (Anomaly): Normalden ya da sradandan farkllk gsteren ve bu nedenle tatminkar olmayan bir kural ya da ilem. Anonim (Anonymous): Bilinmeyen ya da gizlenmi bir isim tama durumu. Asimetrik ifreleme (Asymmetrc Cryptography): ki farkl anahtarn sz konusu olduu (ak ve gizli anahtar), algoritmann farkl admlarnda anahtarlarn deimeli kullanld modern bir ifreleme daldr. Saldr (Attack): Yetkisiz biimde bir takm sonulara ulamak amacyla bir saldrgan tarafndan gerekletirilen bir dizi adm. Saldrgan (Attacker): Bir amaca ulaabilmek zere bir ya da daha fazla saldry deneyen birey. Yetkilendirilmi (Authorized): Sahibi ya da yneticisi tarafndan onaylanm. Arka Kap (Back Door): Sistem ve sistem kaynaklarna sradan prosedr dnda bir yntem ile ulalmasn salayan, sistem tasarmclar ya da iletmenleri tarafndan bilerek braklm olan ya da kamunun yaygn bilgisi dahilinde olmayan yazlm ya da donanm mekanizmas. Snr Deer (Boundary Value): Bir sistem ya da bileen iin tanmlanm en kk ya da en byk girdi ya da kt deeri. Atlatma (Bypass): Bir hedefe eriim iin alternatif bir yntem izleyerek bir sreci geersiz klma. Bileen (Component): Bir bilgisayar ya da bir a oluturan paralardan birisi. Mahremiyet (Confidentiality): Bilgilerin yetkilendirilmemi kiiler, varlklar ya da srelerce eriilemez olmasn salayan nitelik. Yaplandrma Zafiyeti (Configuration Vulnerability): Sistemin yaplandrmasndaki bir hatadan kaynaklanan zafiyet. Sistem hesaplarnn ntanml parolalar ile
62
braklmas, yeni dosyalara herkes-yazabilir izni ile almas ya da zafiyeti olan hizmetlerin aktif hale getirilmesi yaplandrma zafiyetlerine birer rnektir. Koordineli Saldr (Coordinated Attack): Saldrnn btnleik doasn gizlemek ve daha hzl ilerlemek adna, paralel oturumlar kullanma ve bir patlatmann birden ok adma blnerek gerekletirilmesi. Hizmet Kesintisi (Denial Of Service) : Sistem kaynaklarna yetkilendirilmi eriimlerin engellenmesi ya da sistem ileyiinin yavalatlmas. Tasarm Zafiyeti (Design Vulnerability): Mkemmel bir uygulamann bile nleyemedii, bir donanmn ya da yazlmn tasarmna ya da belirtimine ilikin zafiyet. Dizin (Directory): Bilgi salayan bir veritaban ya da baka bir sistem. Bilginin Aa Vurulmas (Disclosure Of Information): Bilginin erimek iin yetkilendirilmemi herhangi birisine ulamas. Datk Ara (Distrbuted Tool): Birden ok bilgisayar sistemine datlabilen ve daha sonra tm sistemlerden tek bir hedefe koordineli bir saldr gerekletirmek iin kullanlan, saldrgann kimliinin de gizlenebildii ara. Olay (Event): Bir hedefe ynlendirilmi ve sonuta hedefin durumunu deitirmeyi amalayan eylem. Patlatma (Exploit): Sistemdeki bir zafiyetten faydalanarak, bir biimde, bir amac gerekletirmeye almak. Sel (Flood): Kapasitesinin snrn zorlamak amac ile bir hedefe sk, ardk eriim. Gerekletirim Zafiyeti (Implementation Vulnerability): Tatminkar bir tasarma sahip yazlm ya da donanmn uygulanmas ya da gerekletirimi srasnda yaplan bir hatadan kaynaklanan zafiyet. Olay (Incident): Saldrganlarn, saldrlarn, amalarn, sitelerin ve zamanlamann farkll nedeniyle dier saldrlardan ayrt edilebilen bir saldr grubu. Btnlk (Integrity): Yetkilendirilmemi biimde ya da kaza ile deitirilmediini, yok edilmediini ya da kaybedilmediini gsteren nitelik. verilerin
Saldr (Intrusion): Bir kaynan btnln, gizliliini ya da bulunurluunu bozmay hedefleyen her trl eylem. Saldr Tespiti (Intrusion Detection): Yetkilendirilmemi biimde bilgisayar sistemlerini kullanmaya alan bireyleri (kullanclar ya da otomatik saldrganlar) ya da eriim hakkna sahip olan ancak yetkilerini ktye kullanmaya alan bireyleri tespit etme. Ama (Objective): Bir olayn gerekesi ya da nihai hedefi. Szma (Penetration): Bir sistemin gvenlik mekanizmalarnn baar ile atlatlmas. Yoklama (Probe): Karakteristik zelliklerini belirlemek zere bir hedefe eriim.
63
Sre (Process): Programn altrlabilir halini, verilerini, ytn, program sayacn, yt gstergecini ve dier yazmalarn ieren btn halinde alr durumdaki bir program. Arta Kalan Risk (Residual Risk): Gvenlik nlemleri uygulandktan sonra kalan risk blm. Risk (Risk): Belirli bir tehditin sistemin belirli bir zafiyetinden faydalanarak sisteme zarar verme ihtimali. Risk Analizi (Risk Analysis): Gvenlik risklerinin, bu risklerin leklerinin ve nlem alnmas gereken alanlarn belirlenmesi sreci. Risk Ynetimi (Risk Management): Sistem kaynaklarn etkileyebilecek belirsiz olaylarn belirlenmesi, denetlenmesi, yok edilmesi ya da en aza indirgenmesini kapsayan sre. Risk analizi, fayda-maliyet analizi, seim, gerekletirim, snama, nlemlerin gvenlik deerlendirmesi ve komple gvenlik gzden geirmesini ierir. Tarama (Scan): Hangilerinin belirli karakteristie sahip olduunu grmek zere bir hedef kmesine sra ile eriim. Gvenlik (Security): Art niyetli eylemlerden ve etkilerinden korunmak zere alnan ve srdrlen koruyucu nlemlerin sonucunda oluan durum. Gvenlik Deerlendirmesi (Security Evaluation): Hassas bilgilerin ilenmesinde kullanlan sistemlerin gvenilirlik dzeyini deerlendirme ve belirleme ilemi. artma (Spoof): A iletiiminde kendisini baka bir varlk olarak gstererek saklanma. alma (Steal): Bir kopyasn kaynak yerinde brakmadan bir hedefin denetimini ele geirme. Hedef (Target): Bir bilgisayar, mantksal a varl (hesap, sre ya da veri) ya da fiziksel varlk (bileen, bilgisayar, a ya da alar a). Ara Takm (Toolkit): Betikler, programlar ve bamsz ajanlardan oluan ve zafiyetlerden faydalanmak zere derlenmi yazlm paketi. Yaygn biimde grlen rootkitler ara takmna bir rnektir. Truva At (Trojan Horse): Kullanl ve masum grnen, ancak yetkisiz veri toplama, deitirme ve yok etmeye izin veren gizli program paralar tayan program. Yetkilendirilmemi (Unauthorized): Sahibi ya da yneticisi tarafndan onaylanmam. Zafiyet (Vulnerability): Bir sistemde yetkilendirilmemi eylemlere izin veren zayflk. Kurt (Worm): Bamsz olarak alabilen, iler durumdaki kopyalarn a zerindeki baka bilgisayarlara aktarabilen ve zarar verecek biimde sistem kaynaklarn tketen bilgisayar program.
64
Gvenliiniz Geleceinizdir...
Youn AR-GE almalar ve akademik aratrmalar ile elde ettiimiz birikimimizi yerli biliim gvenlii rnleri ve hizmetlerine dntrerek geleceinize k tutuyoruz.
http://www.pro-g.com.tr
Pro-G Biliim Gvenlii ve Aratrma Ltd.

rnlerimiz
ARES-Sensor: A temelli saldr tespit gerekletirilen saldrlar gerek zamanl durdurabilir. sistemidir. A zerinden olarak kayt edebilir ve
ARES-Console: Merkezi alarm konsolu, tm gvenlik sistemlerinin alarmlarn merkezi olarak kayt eder ve ok boyutlu incelenmesine imkan salar. ARES-Honeypot: Saldrganlar cezbetmeye ve yanltmaya ynelik bir tuzak sistemdir. Sinsi ve dikkatli saldrganlar tespit etmek iin kullanlr. ARES-LogHunter: Heterojen bir a ortamnda retilen her trl logu merkezi bir biimde veritabanna depolar, yedekler ve ok boyutlu analizine imkan verir. ARES-Integrity: Heterojen bir a ortamnda sunucular zerindeki kritik dosya ve dizinlerdeki deiiklikleri tespit eder ve alarm retir. Ares-Wall: Durum korumal inceleme ve entegre bant genilii ynetimi gibi becerilere sahip gelimi bir gvenlik duvar sistemidir.
Profesyonel Hizmetlerimiz
Gvenlik Denetimleri Penetrasyon Testleri Stratejik Biliim Planlamas Gvenlii rn Seimi ve Kurulumlar
Olay Mdahalesi ve Delil nceleme Gvenlik Ynetimi
Gvenlik Mimarisi Tasarm
Eitim Hizmetlerimiz
Biliim Gvenliinin Temelleri Gvenlik Duvarlar Saldr Tespiti Saldr Teknikleri ve Aralar UNIX Gvenlii
Web Gvenlii Linux Sistem Ynetimi A Teknolojileri ve TCP/IP

Bilisim

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Bilisim

Uploaded by

Copyright:

Available Formats

Biliim Gvenlii

Bu kitapn hazrlanmasna katkda bulunan Oracle Trkiyeye teekkr ederiz.

2003, Pro-G Biliim Gvenlii ve Aratrma Ltd.

Biliim Gvenlii, Pro-G ve Oracle

TEKNOLOJ UYGULAMALARI ................................................... 31 5.1 KRPTOGRAF ................................................................................ 31 iii

Biliim Gvenlii, Pro-G ve Oracle

ZET VE SONU............................................................................. 58 KAYNAKLAR................................................................................ 60 GVENLK TERMLER............................................................. 62

Biliim Gvenlii, Pro-G ve Oracle

Biliim Gvenlii, Pro-G ve Oracle

2 Biliim Gvenliinden Ne Anlamalyz?

Biliim Gvenlii, Pro-G ve Oracle

ekil 1 - Temel Gvenlik Prensipleri

Veri Btnl (Data Integrity)

zlenebilirlik ya da Kayt Tutma (Accountability)

Kimlik Snamas (Authentication)

Gvenilirlik (Reliability - Consistency)

nkr Edememe (Non-repudiation)

Gvenlik Boluu (Vulnerability)

Biliim Gvenlii, Pro-G ve Oracle

Etkileyebilecei Gvenlik Boluu

orta olan bir firmann yetkilisi Saldrgan Kt niyetli ziyareti

Tutulan kaytlardaki yetersizlik

Gvenlik Duvarnn ayarlarnn iyi yaplmam olmas

Biliim Gvenlii, Pro-G ve Oracle

Dorudan etkiler Sahip olunan deerler

ekil 2 - Temel Gvenlik Kavramlarnn Birbirleri le Olan likileri

3 Biliim Gvenliinin Salanmas

Y NETSEL NLEM LER

TEK NO LOJ UYGULAM ALARI

ETM VE FARKINDALIK YARATM A

ekil 3 - Bilgi Gvenliinin Salanmasnda Btnleik Yaklam

Biliim Gvenlii Sre Alanlar

Biliim Gvenlii, Pro-G ve Oracle

Biliim Gvenlii, Pro-G ve Oracle

ekil 4 - Kurumun Sahip Olduu Deerli Varlklarn Korunmas

Biliim Gvenlii Teknolojileri

Biliim Gvenlii, Pro-G ve Oracle

Yedekleme Saldr Tespiti ve zleme Eriim Denetimi Gvenlik Derinlii Anti-Virs

Biliim Gvenlii, Pro-G ve Oracle

Biliim Gvenlii, Pro-G ve Oracle

Kurumsal Bilgi Kaynaklarna Deer Bime

Biliim Gvenlii, Pro-G ve Oracle

Kurumsal Bilgi Kaynaklarna Deer Bime

Risk Analizi ve Deerlendirme

Kar-tedbirlerin belirlenmesi ve gereklenmesi

Gerektiinde onarm/yerine yenisini koyma ve gncelleme maliyetleri Tasarm/Planlama Operasyon ve Destek

Biliim Gvenlii, Pro-G ve Oracle

Biliim Gvenlii, Pro-G ve Oracle

Standartlar, Ynergeler ve Prosedrler

Gvenlik Yaam Dngs

Biliim Gvenlii, Pro-G ve Oracle

Biliim Gvenlii, Pro-G ve Oracle

ifreli mesaj QIda2%421oh!2fyowh!f01f

Saysal mza ve PKI

Biliim Gvenlii, Pro-G ve Oracle

zel Anahtar zetleme fonksiyonu

A Blmlendirmesi ve Gvenlik Duvarlar

Biliim Gvenlii, Pro-G ve Oracle

Biliim Gvenlii, Pro-G ve Oracle

Biliim Gvenlii, Pro-G ve Oracle

Biliim Gvenlii, Pro-G ve Oracle

Biliim Gvenlii, Pro-G ve Oracle

Kimlik Snama (Authentication) Yetkilendirme (Authorization)