Transcript Bilişim Sistemi güvenliği

Bilişim Sistemleri Güvenliği
BİLGİ İŞLEM DAİRESİ
Ağ ve Sistem Yönetimi Şubesi
Akif Murat CEYLAN
Ağ ve Sistem Yönetimi Şb. Md.V.
akifceylan@ormansu.gov.tr
Takdim
Bilişim Sistemi güvenliği
Bakanlık Güvenlik Altyapısı
Bakanlık Güvenlik Politikası
Elektronik Posta Güvenliği
Güvenlik zaafları ve çözümleri
Bilgi İşlem Dairesi Başkanlığı
Bilişim Sistemi güvenliği
 Dış dünyaya hizmet veren bütün kurum ve
kuruluşların vermiş oldukları hizmetlere
ilişkin verilerinin yetkisiz kullanımını
engellenmesine yönelik olarak alınan
önlemlerin bütünü olarak tanımlanabilir.
İç Tehdit
Kişisel Gizlilik
Güvenli Yazılım Geliştirme
Web Uygulamaları Güvenliği
Kablosuz Ağlar ve RFID Güvenliği
Bilgi İşlem Dairesi Başkanlığı
Bilişim Sistemi güvenliği
 Bilgi güvenliği tehditleri arasında, organizasyon bünyesinde
çalışan kişilerin oluşturabileceği bilinçli veya bilinçsiz tehditler
olarak tanımlayabileceğimiz tehdittir.
 Organizasyonda çalışan kötü niyetli bir kişinin kendisine verilen
erişim haklarını kötüye kullanmasını
 Kişinin başka birine ait erişim bilgilerini elde ederek normalde
erişmemesi gereken bilgilere erişerek kötü niyetli bir aktivite
gerçekleştirmesini kapsar.
 Bu tehlikeye karşın uygulamaların çalıştığı sistemlere
ait giriş yetkileri düzenli olarak kontrol edilmekte ve
sistem yöneticileri tarafından periyodik olarak erişim
şifreleri değiştirilmektedir.
Bilgi İşlem Dairesi Başkanlığı
Bilişim Sistemi güvenliği
 Kişisel gizlilik, bir kişinin ya da bir grubun kendilerine ait bilginin
kimlere ve hangi şartlar altında iletileceğinin bizzat o
kişilerin/grubun onayı ile gerçekleştirilmesidir.
 Alınması gereken tedbirler, erişim denetimi, yetkilendirme,
sürekliliğin sağlanması gibi konuları içermektedir.
 Kişisel verinin bir başka sistemle ihtiyaç dahilinde paylaşılmasında
uygulanacak güvenlik tedbirleri ise, verinin içeriğinin kişi
tarafından paylaşılması onaylanmamış kısmının filtrelenmesi,
filtrelenmiş verinin ilgili sisteme güvenli aktarımı ve söz konusu
verinin sadece veri sahibi kişiler tarafından onaylanmış
organizasyonlarla paylaşılmasıdır.
Bilgi İşlem Dairesi Başkanlığı
Bilişim Sistemi güvenliği
 Gereksinim analizi aşamasında güvenlik gereksinimlerinin
üzerinde durulması,
 Yazılımın tehdit modellemesinin yapılması,
 Yazılım testlerinin fonksiyonellik yanında güvenlik testlerini de
içermesi gerekmektedir.
 Bu konularda yapılan yazılımların gerçek ortamda yayına
alınmadan önce bir süre test ortamında çalıştırılması ve gerekli
açık ve bunlara ilişkin önlemlerin alınması gerekmektedir.
Bilgi İşlem Dairesi Başkanlığı
Bilişim Sistemi güvenliği
 HTTP protokolü ilk tasarlandığında sadece statik web sayfalarının gösterimi
amaçlanmıştır. Sonraları dinamik sayfalar da bu protokol kapsamında iletilmiş
ve günümüzde internet bankacılığı gibi karmaşık ve kritik sistemlerin üzerine
bina edildiği bir protokol haline gelmiştir.
 Protokol baştan güvenlik düşünülerek tasarlanmadığı için özellikle protokol
kapsamında birçok güvenlik açıklığı ortaya çıkmış ve bu açıklıkları kapatmak
adına çözümler üretilmiştir.
 Web uygulamaları açıklıklarının önemli bir kısmını da siteler arası betik yazma
(cross-site scripting), sql-enjeksiyonu (sql-injection) ve dosya içerme (file
include) açıklıkları oluşturmaktadır.
 Geliştirilen yazılımlarda bahse konu açıklar ile ilgili önlemler
alınması ve sistem güvenliğinin bunları engelleyecek şekilde
tasarlanması gerekmektedir.
Bilgi İşlem Dairesi Başkanlığı
Bilişim Sistemi güvenliği
 Genel yayın olması, çarpışma ve gecikmeden dolayı güvenirliği düşük haberleşme,
 Merkezi olarak yönetilse bile fiziksel tehditlere açık olması
 Taşıdığı önemli bilgilerlerden dolayı kablosuz mobil sensör ağlarında veri gizliği, veri
bütünlüğü, süreklilik, verilerin tazeliği, kendi kendine organize olma, zaman
sekronizasyonu, güvenli yerleşim ve kimlik doğrulama güvenlik gereksinimleri
mevcuttur.
 Kablosuz mobil sensör ağlarda yukarıda saydığımız ataklara karşı önlem almak için ve
güvenlik gereksinimlerini karşılamak için kriptografik protokollerle savunma
mekanizmaları kullanır.
 Bakanlık sistemlerinde kullanılan kablosuz ağ tek bir merkezden yönetilmekte
bütün binada kullanıcı adı sorgulaması ile bağlanılmakta bakanlık kullanıcısı
olmayan bağlantılar için ise MERNIS üzerinden kimlik doğrulaması yapılarak
kullanıcılar sisteme dahil edilmektedir.
Bilgi İşlem Dairesi Başkanlığı
Bilişim Sistemi güvenliği
Bilgi İşlem Dairesi Başkanlığı
Bilişim Sistemi güvenliği





İç Ağ Güvenlik Duvarı ve Vekil Sunucu Hizmeti
Kurum içindeki personellerimizin ve misafir kullanıcılarımızın internete
erişiminde güvenlik Microsoft TMG ile sağlanmaktadır.
İnternete erişim için uygulanması kararlaştırılan kurallar bu sistem üzerinde
oluşturulmaktadır.
Yazılım tabanlıdır, üçüncü nesil güvenlik duvarlarından değildir.
Belirlenecek Bilgi Teknolojileri Politikalarımıza uygun güvenlik kurallarını bu
sistem üzerinde oluşturmamız mümkün olmayacaktır. (IPv6 Desteği
bulunmamaktadır.)
Yeni nesil, IPv6 desteği bulunan bir güvenlik duvarı ile sistemimiz daha güvenli
ve modern yapıya kavuşacaktır.
Bilgi İşlem Dairesi Başkanlığı
Bilişim Sistemi güvenliği





İç Ağ Güvenlik Duvarı ve Vekil Sunucu Hizmeti
Kurum içindeki personellerimizin ve misafir kullanıcılarımızın internete
erişiminde güvenlik Microsoft TMG ile sağlanmaktadır.
İnternete erişim için uygulanması kararlaştırılan kurallar bu sistem üzerinde
oluşturulmaktadır.
Yazılım tabanlıdır, üçüncü nesil güvenlik duvarlarından değildir.
Belirlenecek Bilgi Teknolojileri Politikalarımıza uygun güvenlik kurallarını bu
sistem üzerinde oluşturmamız mümkün olmayacaktır. (IPv6 Desteği
bulunmamaktadır.)
Yeni nesil, IPv6 desteği bulunan bir güvenlik duvarı ile sistemimiz daha güvenli
ve modern yapıya kavuşacaktır.
Bilgi İşlem Dairesi Başkanlığı
Bilişim Sistemi güvenliği




İnternet Güvenlik Duvarı
Kurumumuzun web hizmeti sunmakta olan sunucularına erişim bu cihaz
üzerinden yapılmaktadır.
Omurga cihazımız üzerinde bulunan bir modüldür. Dışarıdan kurumumuzun
sunmakta olduğu web sitelerine erişim, genellikle http isteğine cevap veren 80.
Port üzerinden sağlanmaktadır. Bu sebeple dışarıdan kurumumuzun sunduğu
web hizmetine erişmek isteyen dış kullanıcılar için genellikle sadece 80
portundan(http) izin verilmektedir.
Başka portlardan erişim sağlanması ihtiyacı duyulan uygulamalar için genellikle
güvenli portların (443,8443) erişim için açılması Başkanlığımız tarafından uygun
görülmektedir.
Farklı port talepleri uygulama geliştiricilerin önerisi ve Başkanlığımızın
onayından sonra karşılanmaktadır.
Bilgi İşlem Dairesi Başkanlığı
Bilişim Sistemi güvenliği





İnternet Güvenlik Duvarı
İç kullanıcıların dış dünya ile olan bağlantılarının güvenlikleri bu cihaz ile
yapılmaktadır.
Taşra teşkilatının Fiber Optik alt yapı ile merkez sistemlere bağlanmasından
itibaren aynı hizmetten taşra teşkilatımızda faydalanmaktadır.
İç yerel ağ kullanıcılarının internet ortamına çıkışlarındaki güvenlik önlemleri bu
cihaz ile alınmaktadır.
Veri merkezine dışardan doğrudan erişim bulunmamaktadır. Bu erişim dış
dünyaya hizmet veren ayrık bölge sunucuları ile veri merkezi arasında
konumlanmış bir güvenlik duvarı ile kontrol edilmektedir.
Dış dünyadan içeriye erişim kriptolu bir protokol olan IPSec/VPN cihazı ile
kullanıcı adı doğrulaması yapılarak sağlanmaktadır.
Bilgi İşlem Dairesi Başkanlığı
Bilişim Sistemi güvenliği
Saldırı Tespit Sistemi
 Kurum ağını internetten gelen tehditlere karşı korumakla görevli bir cihazdır.
 İnternetin kurumda sonlandırıldığı cihazla güvenlik duvarı arasında fiziksel
olarak konumlandırılmıştır.
 Cihazlarda saldırı tipi veri tabanının sürekli güncel tutulması büyük önem arz
etmekte ve buna yönelik olarak periyodik olarak lisanslarının temini
gerekmektedir.
Bilgi İşlem Dairesi Başkanlığı
Bilişim Sistemi güvenliği
 Başkanlığımızca kurum içi ve kurum dışından sistemlerin kullanılması talepleri
detaylı olarak incelenmekte ve Başkanlığımız onayı olmaksızın herhangi bir
işlemin yapılmasına müsaade edilmemektedir.
 Bakanlığımıza ait bütün bilişim sistemleri yönetiminin tek bir birim tarafından
yapılıyor olması büyük önem arz etmektedir.
 Bakanlık personellerinin kendi kurum içinde kullandıkları bilgisayarlarına
yetkisiz bir şekilde herhangi bir programın kurulmasının engellenmesi, işletim
sistemlerinin merkezi olarak kurulması, kurulan uygulamaların
güncellemelerinin merkezden otomatik olarak yapılması, yasaklı olan sitelere
erişimlerin kısıtlanması kurum içi bilgi güvenliğinin sağlanması açısından önem
arz etmektedir.
Bilgi İşlem Dairesi Başkanlığı
Bilişim Sistemi güvenliği
 Güvenlik cihazlarının ve uygulamalarının kural tanımlarının sürekli güncel
tutulması bu kural ve politikaların uygunluğunun, güvenirliğinin testlerinin
gerekiyorsa bağımsız otoriteler tarafından periyodik olarak yapılması
gerekmektedir.
 Bilgi Güvenliği Yönetim Sistemi gereksinimlerini tanımlayan tek uluslararası
denetlenebilir standart olan ISO/IEC 27001 için çalışmaların başlatılması
gerekmektedir.
 İnternet ve bilgi güvenliği konularında bilgili olabilmek, ileride karşılaşılacak
olası tehditlere karşı internet ve veri güvenliğimizin sağlanabilmesi ve yeni
gelişmelerin takibi için konuyla ilgili eğitimlere kurum personelinin katılımının
sağlanması faydalı olacaktır.
Bilgi İşlem Dairesi Başkanlığı
Bilişim Sistemi güvenliği
 Kurumumuz bünyesinde elektronik posta ileticisi olarak Microsoft Exchange
2010 sistemi kullanılmaktadır.
 Sistem en güncel Microsoft Aktif Dizin 2008 R2 versiyonu ile tam entegre
çalışmaktadır.
 Aktif dizin üst düzey yöneticisi şifresi başkanlığımız içinde iki parçalı olarak
tutulmakta şifre tek bir kişinin erişemeyeceği şekilde aynı anda iki personelin
şifrenin farklı bölümlerini girmesi ile kullanılabilecek şekilde düzenlenmiş
durumdadır.
 Exchange 2010 sisteminde son dönemde önemli güncelleme ve çalışmalar
yapılarak kullanıcı e-postalarının güvenliği arttırılmıştır.
 Gerek aktif dizin üzerinde gerekse de e-posta sistemi üzerinde yapılan bütün
çalışmalara ilişkin erişim kayıtları zaman damgalı ve değiştirilemez şekilde
tutulmakta ve sistem yöneticilerine anlık olarak yapılan çalışma ve
düzenlemeler bildirilmektedir.
Bilgi İşlem Dairesi Başkanlığı
Bilişim Sistemi güvenliği
 E-posta sistemine entegre çalışan virus kontrol mekanizması ve spam kontrol
mekanizması sayesinde kullanıcılara gelecek olan gereksiz ve tehlike içeren epostalar sisteme giriş yapmadan engellenmektedir.
 E-posta sunucuları yedekli olarak çalışmakta ve herhangi bir fiziksel problem
durumunda bir sunucu bütün istekleri karşılayabilecek durumdadır.
Bilgi İşlem Dairesi Başkanlığı
Bilişim Sistemi güvenliği
 Kurumumuzdaki en büyük güvenlik zaafı kullanıcıların kendi erişim şifre ve
kullanıcı adlarının harici kişiler ile paylaşıyor olmasıdır.
 Kurum personeline tahsis edilmiş olan kullanıcı adı sistem üzerinde yapılan
bütün işler için o kişinin kimlik doğrulamasının yapıldığı ve kayıtlara ilgili kişiyi
temsil eden bilgi olduğundan dolayı paylaşılan şiflerin kullanılmasından
kaynaklı problemler ilgili kişiyi zor durumda bırakacaktır.
 Bu durumu çözmek için belirli zaman aralıklarında son kullanıcıların bilişim
sistemleri kullanımına yönelik bilgilendirilmesi ve şifrelerinin belirli aralıklar ile
kişiler tarafından değiştirmelerinin sağlanması gerekmektedir.
 Bir diğer güvenlik zaafı başkanlığımız bilgisi dahilinde olmayan yazılımların
geliştirilerek kullanıma sunulmasıdır.
Bilgi İşlem Dairesi Başkanlığı
Bilişim Sistemi güvenliği
 İlerleyen teknolojin gerekliliği olarak IPv6 protokolünün yakın zamanda
kullanıma geçeceği düşünüldüğünde alt yapıda bu protokolün desteğine
yönelik yatırımların yapılması gerekmektedir.
 Kurum personelinin bilgisayarlarının aktif dizin ile entegrasyonu işletim
sistemlerinin güncellemelerinin güncel bir şekilde alınması ve işletim
sisteminde doğan güvenlik açıklıklarının otomatik olarak kapatılması açısından
önemlidir.
 Başkanlığımız yetkili personellerinin bilgilerinin güncel tutulması açısından son
teknolojiler ile ilgili eğitimlerin alınmasında bu zamana kadar gösterilmiş olan
özenin devamı önemlidir.
Bilgi İşlem Dairesi Başkanlığı
• TEŞEKKÜR EDERİM