KYOCERA MFP ve Yazıcılar İçin Güvenlik Kılavuzu GENEL BİLGİLER

Transkript

1 KYOCERA MFP ve Yazıcılar İçin Güvenlik Kılavuzu GENEL BİLGİLER

2 İÇİNDEKİLER 1. GİRİŞ TANIMLAMA, DOĞRULAMA ve YETKİLENDİRME TANIMLAMA ve DOĞRULAMA Kullanıcı Doğrulaması Doğrulama Modu MFP de/yazıcıda Oturum Açma YETKİLENDİRME Yetkilendirme Modu Kullanıcı Yetkilendirme Yönetimi OTURUM YÖNETİMİ AĞ GÜVENLİĞİ GÜVENLİ İLETİŞİM AYARLARI IP Filtresi Ayarları Port Ayarları Güvenli Özetleme Algoritması Ayarları DOĞRULAMA PROTOKOLÜ IEEE802.1x SMTP Doğrulaması SMTP öncesinde POP İLETİŞİM KANALI KORUMASI SNMP v IPv IPSec TLS WI-FI DIRECT (OPSİYONEL/SADECE KDA İÇİN STANDART) E-POSTA GÖNDERME / ALMA KISITLAMASI İŞLEVİ E-Posta Gönderim Hedefi Kısıtlama İşlevi (İzin / Reddetme) E-Posta Göndericisi Kısıtlama İşlevi (İzin / Reddetme) DEPOLANAN VERİLERİN KORUNMASI VERİ KORUMASI HDD/SSD Şifreleme (Opsiyonel) HDD Üzerine Yazma-Silme (Opsiyonel) Güvenlik Verileri Temizliği ERİŞİM KISITLAMASI Kullanıcı Kutusu İş Kutusu Faks Kutusu YAZDIRMA GÜVENLİĞİ GÜVENLİ YAZDIRMA Özel Yazdırma... 16

3 5.2 İZİNSİZ KOPYALAMA ÖNLEME Metin Damgası / Bates Damgası Güvenlik Filigranı FAKS GÜVENLİĞİ FASEC (SADECE JAPONYA DA GEÇERLİ) FAKS ŞİFRELİ İLETİŞİM GÖNDERME / ALMA KISITLAMASI YANLIŞ İLETİM ÖNLEME Teyit Girişi Sayı Tuşlarıyla Faks Numarasını Doğrudan Girmeyi Yasaklama İletimden Önce Hedef Teyidi KULLANIM YASAKLAMA SÜRESİ ALT ADRES İLETİŞİMİ Alt Adres Gizli İletimi (Gönderme / Alma) Alt Adres Duyuru Panosu İletimi ( Gönderme / Alma) BELLEK YÖNLENDİRMESİ İZİNSİZ ERİŞİME KARŞI GÜVENLİK TEDBİRLERİ GÖNDERME GÜVENLİĞİ GÖNDERME ÖNCESİ HEDEF TEYİDİ TOPLU GÖNDERİM YASAĞI YENİ (ADRES) HEDEF GİRİŞİ ŞİFRELİ PDF FTP ŞİFRELİ GÖNDERİM CİHAZ YÖNETİMİ İŞ YÖNETİMİ İş Bilgileri Başvurusu Onayı DENETİM GÜNLÜĞÜ Oturum Açma Günlüğü Cihaz Günlüğü Günlük Yönetimi GÜNLÜK YÖNETİMİ İş Günlüğü Gönder (E-posta Adresi) GÜVENLİK İŞLEVLERİNİN BÜTÜNLÜĞÜ DOĞRULAMASI Yazılım Doğrulama Dijital İmzalı Aygıt Yazılımı KULLANIM KISITLAMASI Arayüz Engelleme USB Depolama Sınıfı Mantıksal Engeli İşletim Paneli Kilidi... 21

4 1. Giriş KYOCERA MFP'lerinde (çok fonksiyonlu yazıcı)/yazıcılarında standart olarak bir işletim sistemi bulunmaktadır. Aynı bir bilgisayara olduğu gibi, MFP'ye/yazıcıya da bir HDD veya SSD takmak mümkündür. Ofis kullanımına yönelik MFP'ler/yazıcılar, çeşitli türlerde hassas bilgileri işlerler. Ancak MFP'ler/yazıcılar, bir ağ aracılığıyla cihazlara izinsiz erişim, bir ağ üzerinde iletilmekte olan bilgilerin dökümünün alınması veya değiştirilmesi ve HDD'den bilgi sızıntısı gibi gelişmiş ve çeşitli tehditlere maruz kalabilirler. KYOCERA Document Solutions (buradan sonra KYOCERA olarak anılacaktır), müşterilerine MFP'lerde/yazıcılarda kurulu çeşitli yerleşik güvenlik işlevleri sunuyor. Müşterilerimizin KYOCERA MFP'lerini/yazıcılarını güvenli bir biçimde kullanabilmesi için bu tehditlere karşı her zaman proaktif bir şekilde karşı güvenlik tedbirleri alıyoruz. Buna ek olarak KYOCERA, güvenlik işlemlerinin üçüncü şahıs tarafından müşteri tarafında doğru olarak gerçekleştirilip gerçekleştirilmediğini objektif olarak doğrulayan Ortak Kriterler (Common Criteria, aynı zamanda ISO olarak da bilinmektedir) sertifikasına sahiptir. Bu doğrulama, uygun ürün tasarımı, üretimi ve teslimatını içeren kapsamlı bir süreci içermektedir. KYOCERA ürünleri gerekli güvenlik işlevlerine ve yeteneklerine sahip olacak şekilde tasarlanmıştır ve 2009 yılında basılı kopya cihazlarına yönelik uygulamaya giren bir uluslararası güvenlik standardı olan IEEE 'e uygun oldukları yönünde birkaç ay içerisinde belge alacaklardır. Ayrıca, ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) tarafından oluşturulan güvenlik standardıyla uyumlu Federal Bilgi İşleme Standardı (FIPS 140-2) onaylı şifreleme modülü de KYOCERA cihazlarında yer almaktadır. KYOCERA, standartlar geliştikçe veya yeni teknolojiler ortaya çıktıkça KYOCERA cihazlarını korumak için daha ileri seviye güvenlik iyileştirmelerini sürekli olarak sunmaya devam edecektir. Bu belgenin amacı MFP'lerimizde/yazıcılarımızda kurulu olan güvenlik işlevlerinin tehditlere karşı nasıl performans gösterdiğini açıklamak ve güvenlik yönetimini sürdürmemizi sağlamak, hedef kitlesi ise KYOCERA'nın satış şirketlerindeki çalışanlar, yerel bayiler ve müşterilerdir. Bu belgenin, KYOCERA'nın satış ve servis faaliyetleri veya müşteri kullanımı açısından faydalı olacağını ümit ediyoruz. 3

5 2. Tanımlama, Doğrulama ve Yetkilendirme 2.1 Tanımlama ve Doğrulama Tanımlama ve Doğrulama, bir kullanıcının bir cihaza erişim veya kullanım izninin bulunup bulunmadığını doğrulayan önemli bir süreçtir. Kullanıcının kendisini cihaza tanıtmak için kullanıcı kimliği/adı ve kullanıcıya özel şifre gibi erişim bilgilerini girmesi gerekmektedir. (Şekil 1) Kullanıcıların tanımlama ve doğrulama işlevini kullanabilmeleri için, öncesinde MFP'lerde/Yazıcılarda bir kullanıcı adı ve şifre kaydetmeleri gerekmektedir. Sadece kaydı bulunan kullanıcıların MFP'ye/yazıcıya erişimine izin verilmesi için bu işlem gereklidir. KYOCERA MFP'leri/yazıcıları, kullanıcılara "genel kullanıcı" veya "yönetici" gibi farklı yetki seviyelerinin verilmesine ve yöneticinin bu yetkilendirmeleri yönetmesine yardımcı olabilir. MFP nin/yazıcının seçilmiş çeşitli işlevlerinin kullanıcı bazında kısıtlanması da mümkündür. MFP'leri/yazıcıları izinsiz kullanıma karşı koruyabilmek için kullanıcıların MFP/yazıcıları kullanmadan önce geçerli bir kullanıcı adı ve geçerli bir şifre girerek kimliklerini başarılı bir şekilde doğrulamaları gerekir. MFP'lere/yazıcılara kimin ne zaman ve nasıl erişim sağladığı, kullanıcı erişim günlükleri aracılığıyla takip edilebilmektedir Kullanıcı Doğrulaması Bu işlev, MFP'nin/yazıcının yetkili kullanıcısının kimliğinin belirlenmesinin ardından bilgilere erişimi kontrol ederek bilgileri korur. Verilere erişimin kontrol edilebilir oluşu verilerin güvenliğini garantiye alır. Bir kullanıcının girmiş olduğu kullanıcı adı ve şifre daha önceden kaydedilmiş olanlarla eşleştiğinde kullanıcı doğrulanır ve ardından MFP'ye/yazıcıya erişim sağlayabilir. Şifre Politikası Şirket politikası çerçevesinde kullanıcılar minimum uzunluk, karmaşıklık ve geçerlilik süresi gibi kıstaslar yoluyla güçlü şifreler kullanmaya teşvik edilebilirler. Bu işlev şifre politikasına uymayan şifrelerin cihaza tanımlanamamasını sağlar. Bu sayede kullanıcıların kolayca tahmin edilebilir, basit şifreler kullanmalarını önleyerek izinsiz erişimi engellemeye yardımcı olur. Hesap Kilitleme Politikası Hesap kilitleme, bir hesabın şifresi belli bir zaman aralığında bir ya da birden çok kez hatalı girildiğinde ilgili hesabı geçici olarak kilitleyen bir işlevdir. Hesabın kaç yanlış şifre girişinden sonra kilitleneceği (1-10 kez) ve ne kadar süreyle kilitli kalacağı (1-60 dakika) ayarlanabilir. Şifre üst üste ve belirlenenden fazla kez yanlış girildiğinde hesap otomatik olarak kilitlenir. Hesap kilitleme politikası ayarı, MFP lere/yazıcılara yönelik şifre kırma saldırılarının başarılı olma ihtimallerini en aza indirir Doğrulama Modu KYOCERA MFP'ler/yazıcılar, aşağıda belirtilen doğrulama modlarına sahiptir. Yerel Doğrulama Yerel doğrulama modu kullanıcıları MFP'lerin/yazıcıların yerel kullanıcı listesinde kayıtlı olan kullanıcı verilerine dayanarak doğrular. Bu modda sadece kayıtlı kullanıcılar MFP'lere/yazıcılara erişebilir. Ağ Doğrulaması Ağ doğrulaması modu, kullanıcıları bir doğrulama sunucusu aracılığıyla doğrular. Kullanıcılar, doğrulama sunucusunda kayıtlı olan kullanıcı verileriyle oturum açabilir. Bu mod NTLM ve Kerberos gibi sunucuları sağlar. Üçüncü şahıs sunucu bağlantısı da mevcuttur. Kerberos Doğrulaması Kerberos, kullanıcıları bir istemci ve bir ağ üzerinde yer alan doğrulama sunucusu arasında doğrular. Bu şekilde birden fazla sunucuyu ve kullanıcı doğrulama bilgisini bir araya getirir ve kullanıcıların Tek Oturum Açma işlemi yapmasına izin verir. Bu mod kullanılarak iletişim kanalları şifrelenebilir. 4

6 NTLM Doğrulaması NTLM, MFP'ler/yazıcılar ve ağ arasında bağlantı kurarken ağda oturum açmak için kullanılmaktadır. NTLM doğrulaması, ağda şifrelenmemiş bir şifreyi iletmekten kaçınmak üzere kimlik sorma-tepki modu kullanarak MFP/Yazıcı ve bir sunucu arasında gerçekleştirilir. Sunucudaki kimlik sorma verileri şifrelenmiştir ve şifreleme için bir şifre anahtarı olarak NTLM sağlaması kullanılır MFP de/yazıcı da Oturum Açma MFP ler/yazıcılar üzerinden oturum açmak için kullanıcı adı ve şifre girmenin dışında aşağıdaki yöntemler de kullanılabilir. Kimlik Kartı Doğrulaması (Opsiyonel) Kimlik kartı doğrulamasının iki yolu bulunmaktadır. Bunlardan bir tanesi sadece kimlik kartıyla oturum açmak, diğeri ise kimlik kartını bir kart okuyucunun yakınında veya üzerinde tutup ardından bir şifre girmektir. Kimlik kartı doğrulaması, yerel doğrulamada kullanılabilir. (Şekil 2). Kimlik kartı bilgileri öncesinde MFP'lerin/yazıcıların kullanıcı listesine, bir harici doğrulama sunucusuna veya bir üçüncü şahıs doğrulama sunucusuna kaydedildiğinde, doğrulanan kullanıcıya kendi kimlik kartını kullanarak cihazlara erişim hakkı sağlanır. Halihazırda kullanılmakta olan çalışan kartı gibi bir kimlik kartıyla oturum açıldığında Departman Yönetimi ve Kullanıcı Yönetimi özellikleri aktive olur. Kimlik kartlarıyla ilişkili kullanıcı bilgileri sayesinde belirli özellikler belirli kullanıcıların erişimine kapanabilir. (Şekil 3) 2.2 Yetkilendirme Şekil 2 Şekil 3 Yetkilendirme yöntemi ile renkli baskı, tam renkli fotokopi, gönderi, faks gönderimi, kutu depolama, harici bellek depolama ve benzeri işlemler istenen kullanıcılara kapatılabilir. Bu özellik, MFP'lerden bilgi sızıntısı olasılığını önemli ölçüde azaltır. MFP'de/yazıcıda bulunan çeşitli ayarlara erişim de "Kullanıcı", "yönetici" veya "cihaz yöneticisi" gibi çeşitli yetki seviyeleri tanımlanarak kısıtlanabilir. Bazı MFP'lerin/yazıcıların bir birleştirme, bir iki taraflı ve bir de EcoPrint kısıtlama özelliği bulunmaktadır. Bu özellikler, örneğin "birleştirme" ayarını yapma yetkisine sahip olmayan bir kullanıcının "2 yüzlüden 1 yüzlüye" ayarlama yapması veya birden fazla kopya alması gerektiğinde kullanışlı olabilir. Bu özellik olmadan kullanıcı kopya alamaz. 5

7 2.2.1 Yetkilendirme Modu MFP'ler/yazıcılar, aşağıda belirtilen yetkilendirme modlarına sahiptir. Yerel Yetkilendirme Yerel Yetkilendirme, yerel doğrulama yaparken MFP'de kayıtlı olan yerel bir kullanıcı listesini kullanan bir yetkilendirme modudur. Kullanım, kullanıcı tarafından sınırlandırılabilir. Ağ Yetkilendirmesi (Grup Yetkilendirmesi) Ağ Yetkilendirmesi, öncesinde MFP'lerde saklanan ağ doğrulaması ve grup yetkilendirmesi bilgileri üzerinden elde edilen bilgiler kullanılarak yapılan bir yetkilendirmedir. Sunucuya kayıtlı gruplara istenilen yetkilendirme ve kısıtlamalar uygulanabilir. MFP'lerin kullanımının sunucuda kayıtlı olan grupla sınırlandırılabilmesi MFP leri belli bir grubun kullanımı için daha güvenli hale getirir.. İşleve Göre Oturum Aç Oturum açma, işlevlere göre kısıtlanır; Yazdırma kısıtlaması, (Renkli) Yazdırma kısıtlaması, Kopyalama kısıtlaması, (Renkli) Kopyalama kısıtlaması, (Tam Renkli) Kopyalama kısıtlaması veya konuk yetkilendirmesi ayarlandığında EcoPrint kısıtlaması. Yetkilendirmenin yapılabilmesi için kısıtlanmış işlevleri kullanmak isteyen kullanıcıların bulunması gerekir. Böylece belli işlevlere yalnızca listeye kaydı yapılmış sınırlı sayıdaki kullanıcı tarafından erişilebilir. Güvenlik, kullanıcı dostu olmayı sürdürürken KYOCERA cihazlarından dışarı bilgi sızıntısını güçlü bir şekilde önleyebilmektedir Kullanıcı Yetkilendirme Yönetimi Kullanıcı yetkilendirme yönetiminde işlevlerin kullanımlarına, ilgili kullanıcılara verilen çeşitli yetkilendirme seviyelerine dayanarak tek bir yetkili kullanıcı tarafından izin verilmektedir. Bu yöntemle kullanıcılar Makine Yöneticisi, Yönetici ve Genel Kullanıcı olarak gruplanabilir. Böylece yetki sahibi olmayan kullanıcılar, izinsiz kullanıcılara izin verilmeyen belirli işlevleri yasa dışı bir şekilde kullanamaz. 2.3 Oturum Yönetimi Oturum yönetimi, kullanıcıların doğrulanmasının ardından MFP'lerde oturum açtıkları ve oturumlarını kapattıkları saat arasındaki oturum süresini yöneten bir işlevdir. Aşağıda belirtilen yönetim işlevleri mevcuttur. Otomatik Panel Sıfırlama Otomatik panel sıfırlama, belirli bir süre boyunca bir işlem yapılmadığında otomatik olarak oturumu kapatan, ayarları sıfırlayan ve ardından varsayılan ayarlara dönüş sağlayan bir işlevdir. Kullanıcılar, son işlemin ardından sıfırlamanın ne zaman yapılacağını belirleyebilir. Otomatik panel sıfırlama, son kullanıcı sistemde oturum kapatmadığında kötü niyetli saldırılara karşı MFP'lere izinsiz erişimi engellemeye yardımcı olur. 6

8 3. Ağ Güvenliği 3.1 Güvenli İletişim Ayarları KYOCERA MFP'ler/yazıcılar, bir ağ üzerindeki iletişimleri belirli bir IP adresi ve Port numarası aralığı ile sınırlandırabilir. Gelecek dönemde Güvenli Özetleme Algoritması (Secure Hash Algorithm) da TLS sunucu sertifikaları için kullanılabilir olacaktır. Bu algoritma verilerin cihazdan yasal olmayan yollarla alınmasını, değiştirilmesini ve ağ üzerinden maskelenmesini engeller IP Filtresi Ayarları IP filtresi, IP adreslerinin aralıklarını veya protokol tiplerini ayarlayarak MFP'lere/yazıcılara olan ağ erişimini kısıtlayan bir işlevdir. Bu işlev, erişimine izin verilecek olan IP adreslerinin aralığını (ve alt ağ maskesi kombinasyonunu) belirler ve sadece belirtilen aralıktaki IP adresine sahip olan istemcilerin makinelere erişimine izin verir. Bu ayar kullanılarak ayrıca izin verilen iletişim protokolleri de seçilip etkin hale getirilebilir. IPv4 ve IPv6 desteği olarak, tek veya birden fazla bilgisayardan iletişimin yanı sıra IPP (yazdırma işlerinin uzaktan yönetimi için ağ protokolü) ve HTTP (web sunucusu ve web tarayıcısı arasında veri iletimi protokolü) ayarlanabilir. Söz konusu ayarlar MFP'lere/yazıcılara izinsiz erişimi engellemeye yardımcı olur Port Ayarları IPP veya SMTP gibi protokolleri kullanarak iletişim kurmak için sadece gerekli port numaraları ayarlanır ve böylece izin verilmeyen port numaraları devre dışı bırakılır. Protokol Port No. Ayar Not FTP Server TCP 21 HTTP TCP 80 NetBEUI TCP 139 HTTPS TCP 443 IPP over TLS TCP 443 LPD TCP 515 IPP TCP 631 ThinPrint TCP 4000 WSD Scan TCP 5358 WSD Print TCP 5358 FTP sunucusu, bir belgenin alınmasına ilişkin bir protokoldür. HTTP, www sunucusu ve tarayıcısı arasında bir web sayfasından veri alırken / bir web sayfasına veri gönderirken kullanılan bir protokoldür. NetBEUI, dosya paylaşımı ve yazdırma hizmetleri ve ayrıca bir belgenin alınması için kullanılan küçük bir ağa yönelik bir protokoldür. HTTPS, TLS kullanılarak şifrelemenin gerçekleştirildiği bir protokoldür. IPP over TLS, bir kanalı şifreleyen TLS'yi internetten yazdırma için kullanılan IPP ile birleştiren bir protokoldür. Buna ek olarak, IPP over TLS geçerli bir sertifikaya sahip olabilir. LPD, metin dosyalarını veya ekleri yazdırmak için kullanılan bir yazdırma protokolüdür. IPP, internet dahil olmak üzere TCP/IP veya yazdırma cihazları aracılığıyla yazdırılan verileri göndermeyi/almayı kontrol eden bir protokoldür. ThinPrint, Thin istemci ortamında mevcut bir yazdırma teknolojisidir ve TLS'yi de desteklemektedir. Windows Vista WSD, MFP/yazıcıların bir ağ bağlantısına sahip olması sağlayan bir protokoldür. Bu özellik, kullanıcıların MFP'leri/yazıcıları kurmasını ve verileri kolay göndermesini/almasını da sağlar. MFP'den/yazıcıdan taranan orijinal belgenin görüntüsü, bir dosya olarak WSD PC'de saklanabilir. Windows Vista WSD, MFP/yazıcıların bir ağ bağlantısına sahip olmasını sağlayan bir protokoldür. Bu özellik, kullanıcıların MFP'leri/Yazıcıları kurmasını ve verileri daha kolay göndermesini / almasını da sağlar. 7

9 Enhanced WSD Enhanced WSD over TLS RAW TCP 9090 TCP 9091 TCP SNMPv1/v2 UDP161 SNMPv3 UDP161 DSM Scan FTP Client LDAP LADP over TLS POP3 POP3 over TLS SMTP SMTP over TLS SMB Client escl escl over TLS LLTD Privet Enhanced WSD, bir ağa bağlı olan ve bu ağı kullanan çeşitli cihazlar arasında kolay bağlantı sağlayan bir prosedürdür. MFP'nin/yazıcının durumu, 9090 sayılı bu port aracılığıyla durum izleyici tarafından takip edilebilir. Enhanced WSD (TLS), TLS kullanılarak bir güvenlik protokolü ve ayrıca gelişmiş bir WSD'dir. Bu özellik şifreleme, doğrulama ve güvenlik (değişikliğe karşı koruma) sağlar. RAW protokolü, yazdırmayla ilgili olarak LPR'ye oranla farklı adımlara sahiptir. Genel olarak MFP/yazıcı 9100 sayılı portu, yazıcı durumunu yapılandırmak ve takip etmek için ise SNMP veya MIB kullanır. SNMP protokolü, ağ yönetimi sisteminde kullanılmaktadır. Normal iletişim, okuma ve yazma topluluk isimleri kullanılarak gerçekleştirilir. SNMP protokolü, ağ yönetimi sisteminde kullanılmaktadır. Normal iletişim, kullanıcı adı ve şifre kullanılarak gerçekleştirilir. Doğrulama seçeneği veya şifreleme seçeneği kullanılabilir. DSM (Dağıtılmış Tarama Yönetimi), büyük organizasyonlarda yüksek miktardaki kullanıcı verilerini yönetmek için kullanılan Windows Server 2008 R2'yi kullanmaktadır. FTP istemcisi, bir ağ aracılığıyla bir dosyanın iletilmesi için kullanılan bir iletişim protokolüdür. LDAP sunucusundaki Adres Defteri, bir harici adres defteri olarak ele alınır. Faks numarası ve posta adresi hedef olarak belirlenebilir. TLS over LDAP, bir kanalı LDAP iletişiminin güvenliğini sağlamak amacıyla şifrelemek için TLS kullanan bir protokoldür. POP3, e-postaların alınmasına ilişkin standart bir protokoldür. POP3 over TLS, bir e-posta almak için kullanılan POP3'ü ve bir kanalı şifrelemek için kullanılan TLS'yi birleştiren bir protokoldür. SMTP, e-postaların gönderilmesine ilişkin bir protokoldür. SMTP over TLS, bir e- posta göndermek için kullanılan SMTP'yi ve bir kanalı şifrelemek için kullanılan TLS'yi birleştiren bir protokoldür. SMB, bir ağ aracılığıyla dosya veya yazıcı paylaşımını gerçekleştiren bir protokoldür. SMB İstemcisi, V3.0'ı destekler. escl, Mac OS X'ten uzaktan tarama için kullanılan bir protokoldür. escl over TLS, TLS sertifikası kullanan escl iletişim protokolüdür. Tüm escl over TLS iletişimleri şifrelenmektedir. LLTD, ağ topolojisi bulmaya ve hizmet teşhisi kalitesine yönelik bir protokoldür. Privet, yerel ağdaki buluta bağlı aygıtların bulunmasına olanak tanıyan, aygıtla ilgili bilgi edinmek ve yerel olarak bir yazdırma işi göndermek gibi bazı işlemleri gerçekleştirmek için arabirimler sağlayan bir protokoldür. REST 8 REST, dağıtılmış bir hipermedya sisteminde birden fazla yazılımı destekleyen web uygulamasının yazılım

10 REST over TLS Bonjour mimarisidir. REST over TLS, TLS sertifikası kullanan REST iletişim protokolüdür. Tüm REST over TLS iletişimleri şifrelenmektedir. Bonjour, kullanıcıların cihazları otomatik olarak bulmalarını sağlayan bir ağ teknolojisidir Güvenli Özetleme Algoritması Ayarları TLS şifreleme teknolojisinde kullanılan güçlü Güvenli Özetleme Algoritması'nın gelecek dönemde kendiliğinden basılı sertifikalar ve CSR sertifikası için desteklenmesi planlanmaktadır. Bu işlev aynı zamanda ileride yeni güvenlik önlemleri alınması planlanan kullanıcı ortamlarına da uygulanabilir. 3.2 Doğrulama Protokolü Doğrulama protokolü, güvenli iletişim için doğrulama elde etmeyi amaçlayan bir iletişim protokolüdür. KYOCERA MFP'ler/yazıcılar, IEEE802.1x ağ doğrulamasını, SMTP doğrulamasını ve e-posta gönderme özelliğiyle birlikte SMTP öncesi POP doğrulama protokolünü destekler. Bu protokol IP maskelemeyi engeller IEEE802.1x IEEE802.1x, IEEE (Elektrik ve Elektronik Mühendisleri Enstitüsü) tarafından tanımlanmış olan, port tabanlı doğrulamalara ilişkin bir standarttır. Bu protokol, ağa bağlantı sırasında sadece izin verilen kullanıcıların (doğrulanmış cihazlar) iletişimine izin verir ve böylece izinsiz cihazların ağa bağlanmasını önler. Yukarıda görebileceğiniz üzere KYOCERA cihazları, doğrulanmamış istemciler tarafından ağa izinsiz erişime izin vermeyerek bilgilerin izinsiz bir şekilde ifşa edilmesini engelleyen IEEE802.1x'i destekler. KYOCERA MFP'ler/yazıcılar, aşağıda anlatıldığı şekilde dört doğrulama modu kullanmaktadır. PEAP-TLS/PEAP (Korumalı Genişletilebilir Kimlik Doğrulama Protokolü-Aktarım Katmanı Güvenliği) İstemci, ID ve sertifikaya dayanarak doğrulanır ve doğrulama sunucusunun sertifikası aynı anda kontrol edilir. EAP-PEAP (Genişletilebilir Kimlik Doğrulama Protokolü-Korumalı Genişletilebilir Kimlik Doğrulama Protokolü) İstemci, kullanıcı adına (ID)/şifreye dayanarak doğrulanır ve sadece doğrulama sunucusu sertifikasının ortak adı kontrol edilir. EAP-FAST (Genişletilebilir Kimlik Doğrulama Protokolü-Güvenli Tünel ile Esnek Kimlik Doğrulama) EAP-FAST, Cisco System, Inc. tarafından geliştirilen bir IEEE802.1.x/EAP doğrulama yöntemidir. Kullanıcı ID'si ve şifresine dayanarak istemci ve doğrulama sunucusunda karşılıklı olarak doğrulama gerçekleştirilir ve PAC (Korumalı Erişim Referansı), benzersiz ortak gizli anahtara dayanarak kullanıcı için bir tünel belirler. EAP-TTLS (Genişletilebilir Kimlik Doğrulama Protokolü-Tünelli Aktarım Katmanı Güvenliği) İstemci ID ve şifreye dayanarak, doğrulama sunucusu da elektronik sertifikaya dayanarak doğrulanır. EAP-TLS'de doğrulama için istemci ve sunucu elektronik sertifikaları gerekirken, EAP-TTLS'de ise istemci sertifikası yerine kullanıcı ID'si ve şifresi kullanılır. Bu, EAP-TLS ile karşılaştırıldığında EAP-TTLS'nin kullanımını daha kolay kılar. Elektronik sertifikalar, doğrulama sunucusunun geçerliliğini kanıtlamak üzere kullanılır. Böylece iletişim daha güvenli biçimde sağlanır SMTP Doğrulaması SMTP doğrulaması, ancak ID ve şifre SMTP sunucusunda başarılı bir şekilde doğrulandığında e-posta gönderilmesine izin veren bir işlevdir. Bu işlev, SMTP sunucusuna erişimi sınırlandırarak izinsiz 9

11 kullanıcıların SMTP sunucusu aracılığıyla e-posta göndermesini engeller SMTP Öncesinde POP SMTP Öncesinde POP, SMTP sunucusundan e-posta gönderilmesinden önce POP doğrulaması yapar. E- postalar, POP doğrulamasının tamamlanmasının ardından belirli bir süre içerisinde gönderilebilir. Bir e- posta gönderilmeden önce POP doğrulamasının yapılması IP maskelemeyi önler. İletişim kanalı koruması, ağ iletişimi kanalının güvenli bir şekilde korunmasını sağlamaktadır. Bu koruma türünde amaçlara veya şifreleme düzenlerine bağlı olarak çeşitli protokoller mevcuttur. KYOCERA MFP'leri/yazıcıları, aşağıda tanımları verilen protokolleri destekler ve böylece ağ aracılığıyla değişikliklere veya sızıntılara karşı verileri etkin bir şekilde korur SNMP v3 SNMP, ağa bağlanan cihazları takip ve kontrol eden standart bir protokoldür. Ayrıca SNMPv3, doğrulama ve şifreleme aracılığıyla verilerin gizliliğini de korur IPv6 IPv6, IPv4'ye göre daha yeni bir IP protokolüdür. KYOCERA, Aşama 2'ye kadar IPv6'ya Uygun Logosu almıştır. KYOCERA MFP'lerinde/yazıcılarında mevcut olan IPv6 desteği, routera bağlanabilir ve ping gibi temel bir kontrol protokolü kullanabilir. Yukarıda belirtilen temel bağlantılara ek olarak, kapsamlı güvenlik tedbirlerini uygulamaya sokarak daha güvenli bir bağlantı sağlanır IPSec IPSec, ilgili IP paketlerini şifreleyerek aktarımdaki verileri çalınmaya veya değiştirilmeye karşı koruma işlevine sahip bir protokoldür. IPSec kullanarak gönderim/alım için, IPSec özelliğine sahip bilgisayar ile aynı özelliğe sahip MFP'ler/yazıcılar ağa bağlanır ve ardından her MFP'ye/yazıcıya yazdırma verisi gönderildiğinde ve bir MFP'den bir bilgisayara taranmış veriler gönderileceği zaman uygulanmaktadır. Bu nedenle IPSec, daha güvenli bir veri alışverişini destekler TLS TLS, verileri web erişimi ve benzeri diğer iletimler için şifrelemek üzere kullanılan bir sistemdir ve iletişimin hedefi olan tarafların karşılıklı iletişim için güvenilir olup olmadıklarını kontrol etme işlevine sahiptir. KYOCERA MFP'leri/yazıcıları, TLS1.0, TLS1.1 ve TLS1.2 başta olmak üzere TLS şifreleme protokollerini destekler ve böylece verilerin değiştirilmesini veya ağ üzerinden alınmasını engeller. Aşağıda belirtilenler TLS şifreleme protokolleridir. IPP over TLS IPP over TLS, internet veya TCP/IP ağı üzerinde yazdırma verilerini ileten IPP ve iletişim kanalının şifrelenmesi için kullanılan TLS'nin bir birleşimi olarak işlev gören bir internet yazdırma protokolüdür. Bu özellik, kullanıcıların ağ aracılığıyla MFP'lere/yazıcılara güvenli bir şekilde yazdırma komutunu göndermesini sağlar. HTTP over TLS HTTP over TLS, verilerin web tarayıcısından veya benzer uygulamalar üzerinden gönderilmesi ve alınması için kullanılan HTTP'nin ve iletişim kanalının şifrelenmesi için kullanılan TLS'nin bir birleşimi olarak işlev gören bir protokoldür. Bir bilgisayar ve bir MFP/yazıcı arasında veri iletimi sırasında bu özellik, verilerin izinsiz kullanıcılar tarafından değiştirilmesi ve sızdırılması riskini azaltır. FTP over TLS FTP over TLS, TCP/IP ağı üzerinde bir dosyanın iletilmesi için kullanılan FTP'nin ve iletişim kanalının şifrelenmesi için kullanılan TLS'nin bir birleşimi olarak işlev gören bir protokoldür. Taranmış verilerin bir MFP'den/yazıcıdan bir FTP protokolü kullanılarak gönderilmesi sırasında, kanala TLS şifrelemesi uygular ve bu sayede daha güvenli iletimler sağlar. ThinPrint over TLS (Option) ThinPrint over TLS, bant genişliği kontrolü ve yazdırma işi sıkıştırması için kullanılan ThinPrint'in ve iletişim kanalının şifrelenmesi için kullanılan TLS'nin bir birleşimi olarak işlev görür. Böylece, güvenli ve hızlı bir 10

12 yazdırma ortamı sağlar. SMTP over TLS SMTP over TLS, e-posta iletiminin ve iletişim kanalının şifrelenmesi için kullanılan TLS'nin bir birleşimi olarak işlev gören bir protokoldür. Bu özellik; maskelemeyi, aktarım halindeki verilerin alınmasını veya değiştirilmesini engeller. POP3 over TLS POP3 over TLS, bir e- posta alım protokolü olan POP3'ün ve iletişim kanalının şifrelenmesi için kullanılan TLS'nin bir birleşimi olarak işlev gören bir protokoldür. Bu özellik; maskelemeyi, aktarım halindeki verilerin alınmasını veya değiştirilmesini engeller. 3.4 Wi-Fi Direct (Opsiyonel/Sadece KDA için standart) Wi-Fi Direct cihazları, bir erişim noktasından geçmelerine gerek olmadan birbirleri arasında bağlantı kurabilmektedir. Yani cihazlar arası bağlantı için erişim noktası kullanmanız gerekmemektedir. Bunun nedeni, Wi-Fi Direct cihazlarının gerek duyulduğunda kendi geçici ağlarını kurabilmeleridir. Ağlar, her türlü altyapı ağından bağımsız bir güvenlik etki alanında çalışmaktadır. Wi-Fi Direct, kullanıcıların bağlantıyı ve WPA2-PSK'yi (Kişisel) kolay bir şekilde ayarlayabildiği Wi-Fi Korumalı Kurulum kullanmaktadır. Bu, cihazların MFP/yazıcı tarafından sağlanan bağımsız ağa izinsiz olarak bağlanmalarını önler. 3.5 E-posta Gönderme / Alma Kısıtlaması İşlevi E- posta gönderirken / alırken KYOCERA sistemi, aşağıda belirtildiği şekilde e-posta gönderme / alma kısıtlaması uygulamaktadır ve böylece yanlış e-postaların gönderilmesini veya izinsiz kullanıcıların kötü niyetli saldırılarını engellemektedir E-posta Gönderim Hedefi Kısıtlama İşlevi (İzin / Reddetme) E-posta gönderim hedefi işlevi kullanılarak e-postaların belirli hedeflere gönderilmesi engellenebilir. İzin verilen gönderim hedef alan adları önceden kayıt altına alınır, böylece e-postalar sadece daha önceden kaydedilmiş olan ve izin verilen hedeflere gönderilebilir. Reddedilen gönderim hedef alan adları da önceden kayıt altına alınarak bu hedeflere e-posta gönderilmesi engellenir. Bu işlev yanlış e-postaların gönderilmesini önler E-posta Göndericisi Kısıtlama İşlevi (İzin / Reddetme) KYOCERA MFP'leri/yazıcıları, e-postalara ekli olan dosyaları yazdırma işlevine sahiptir. E-posta alınması, e-posta göndericisi kısıtlama işlevi aracılığıyla ve önceden yapılan ayara dayanarak kısıtlanabilir. İzin verilen gönderici alan adları önceden kayıt altına alınır, böylece e-postalar sadece daha önceden kaydedilmiş olan göndericilerden alınabilir. Reddedilen gönderici alan adları da önceden kayıt altına alınır, böylece daha önceden kaydedilen reddedilmiş gönderici adlarından gelen e-postalar reddedilebilir. Bu şekilde spam e-postalar gibi kötü niyetli saldırılara karşı gerekli güvenlik tedbirleri önceden alınmış olur. 11

13 4. Depolanan Verilerin Korunması 4.1 Veri Koruması HDD veya SSD'de saklanan hassas veya gizli bilgilerin, MFP'lerden/yazıcılardan dışarı sızmamaları gerekir. KYOCERA, aşağıda belirtilen işlevler aracılığıyla depolanan bilgilere karşı güvenlik koruması tedbirleri uygulamakta ve böylece müşterilerimizin KYOCERA MFP'lerini/yazıcılarını güvenli bir şekilde kullanmasını sağlamaktadır HDD/SSD Şifreleme (Opsiyonel) HDD/SSD şifreleme işlevi, MFP içerisinde HDD veya SSD'de saklanacak olan belgeleri, kullanıcı ayarlarını ve cihaz bilgilerini şifreleyen bir güvenlik işlevidir. Şifreleme, 128-bit ve 256-bit AES (Gelişmiş Şifreleme Standardı: FIPS PUB 197) algoritması kullanılarak veriye uygulanmaktadır. MFP'lere/yazıcılara FIPS onaylı HDD eklenebilmektedir. HDD veya SSD kötü niyetli bir kişi tarafından MFP'den çıkartılsa bile, HDD veya SSD içerisinde saklanan hassas veya gizli bilgiler açığa çıkmaz HDD Üzerine Yazma-Silme (Opsiyonel) HDD üzerine yazıma-silme işlevi, üçüncü şahısların HDD'de saklanan kullanıcı ayarları, cihaz bilgileri, görüntü verileri ve benzeri çeşitli verileri okumasını önleyen bir başka güvenlik işlevidir. Taranan veriler geçici olarak HDD'de saklanır ve ardından MFP'den çıkar. Kullanıcılar da çeşitli ayarları kaydedebilir. Kullanıcılar tarafından verilerin dışarı aktarılması veya silinmesinin ardından bile, verilerin üzerine diğer veriler yazılana kadar gerçek veriler HDD'de kalmaya devam eder. Bu nedenle, geriye kalan gerçek verilerin özel araçlar ve başka yollar kullanılarak geri yüklenmesi olasılığı bulunmaktadır ve bu da bilgilerin sızdırılmasına neden olabilir. HDD üzerine yazma-silme işlevi, dışa aktarılan veya silinen verilerin gerçek veri alanlarının üzerine anlamsız veriler yazılması ve böylece gerçek verilerin geri yüklenemez hale gelmesi esasına göre çalışır. HDD üzerine yazma-silme süreci otomatik olarak gerçekleştirilir. Bu nedenle, manuel işlem gerekmemektedir. İlgili işler işlem sırasında veya tüm iş tamamlandıktan hemen sonra iptal edilse bile HDD verilerinin üzerine yazma işlevi anında gerçekleşir. Modele bağlı olarak üç üzerine yazma-silme yöntemi vardır. Bir Kez Üzerine Yazma-Silme Gereksiz veri alanlarının üzerine boş veriler yazılır ve böylece verilerin geri yüklenmesi veya kurtarılması zor hale gelir. Üç Kez Üzerine Yazma-Silme İstenmeyen veri alanlarının üzerine iki kez rastgele veriler, bir kez de boş veri yazılır. Böylece, toplamda üç kez üzerine yazma-silme işlemi gerçekleşir. Üç kez üzerine yazma-silme işlevi, verilerin, son derece gelişmiş yöntemlerle dahi, geri yüklenebilmelerinin önüne geçer. Bu yöntem, bir kez üzerine yazma-silme yöntemiyle karşılaştırıldığında daha kapsamlıdır. Toplu verilerin üzerine yazılması-silinmesi durumunda, üç kez üzerine yazma-silme işlemi bir kez üzerine yazma-silme işlemine göre daha uzun sürebilir. ABD Savunma Bakanlığı DoD M (Üç geçiş) ABD DoD M uyumlu üç geçişli üzerine yazma, son derece güçlü bir üzerine yazma-silme modelidir. İstenmeyen veri alanlarının (üzerine yazma durumunda) veya tüm alanların (sistem başlatma durumunda) üzerine herhangi bir karakterle (birinci geçiş), tamamlayıcısıyla (ikinci geçiş), rastgele karakterle (son geçiş) üzerine yazılır ve ardından doğrulama yapılır. Böylece, ABD DoD M üç geçiş modu, öncelikle istenmeyen verileri siler, ardından ise bunların tamamen silinmiş olduğundan emin olur. Böylece, tamamen silinmiş verilerin en sofistike geri alma süreçleriyle dahi tekrar okunur hale gelmeleri önemli ölçüde zorlaşır. DoD M üç geçiş, yukarıda belirtilen "Bir Kez Üzerine Yazma-Silme" ve "Üç Kez Üzerine Yazma-Silme" korumaları ile karşılaştırıldığında çok daha güçlü bir güvenlik modudur. Bilgi sızıntısı riskini oldukça azaltmaktadır. (Şekil 4) SSD aşınma seviyesi ayarlarının üzerine yazma-silme işlemlerine olan ihtiyacı ortadan kaldırdığını unutmayınız. 12

14 4.1.3 Güvenlik Verileri Temizliği Şekil 4 MFP'lerin/Yazıcıların kiralama dönemi sona erdiğinde veya cihaz ömrü sona erdiğinde özel, hassas veya gizli verilerin MFP'lerin/yazıcıların içerisinde kalması halinde, bu verilerin dışarıya sızması riski bulunmaktadır. Güvenlik verileri temizliği"; üç kez üzerine yazma-silme veya ABD DoD M üç geçiş yöntemini (desteklenen modellere bağlı olarak) kullanarak cihazların içerisinde kalan verileri tamamen ortadan kaldıran bir güvenlik işlevidir. Bu işlev yöneticiler tarafından uygulanabilir. Bu şekilde cihaz fabrika ayarlarına döndürülebilir. 4.2 Erişim Kısıtlaması MFP lerin içinde veri saklamaya yarayan Kullanıcı Kutusu, İş Kutusu ve Faks Kutusu gibi alanlar oluşturularak bunlarda saklanan verilere erişim kısıtlanabilir Kullanıcı Kutusu Kullanıcılar, MFP'lerde veri saklamak için "Kullanıcı Kutusu" oluşturabilir. İlgili kutular için kutu kullanımı kısıtlaması, veri koruma süresi ve şifre ayarlanabilir. (Şekil 5) Şekil 5 Kutu Şifresi Kullanıcıların belli bir kutuya erişimleri; söz konusu kutu için bir şifre belirlenerek kısıtlanabilir. Kısıtlama durumunda kullanıcıların ilgili kutudaki verilere erişebilmeleri için önceden belirlenmiş, uzunluğu 16 karaktere (büyük harf, küçük harf, sayı ve özel karakterler başta olmak üzere çeşitli karakterlerin kullanıldığı) kadar artabilen uygun bir şifreyi girmeleri gerekir. Kutu Kullanım Kısıtlaması HDD kapasitesini yönetmek amacıyla kutu kapasitelerinin kullanımı kısıtlanabilir. Sahip Ayarı Kullanıcı kutusuna, sadece ilgili kutunun sahibi olarak kaydedilmiş bir kullanıcı erişebilir. Böylece yetkisiz kullanıcıların klasöre erişimi engellenmiş olur. "Ortak Kutu" seçeneğiyle bir kutunun paylaşılıp paylaşılmayacağı ayarlanabilir. Ortak olarak paylaşılan kutulara sahip olarak kaydedilmemiş kullanıcılar da 13

15 erişim sağlayabilir. Bu ayarın sağladığı kullanım kolaylığıyla kutular izinsiz erişime karşı etkin biçimde korunur ve güvenlik süreçleri gerektiği gibi sürdürülür. Belge Saklama Süresi Saklanan belge verileri, uzun saklama sürelerinin önüne geçmek amacıyla belirli bir sürenin ardından otomatik olarak silinebilir. Böylece, veri sızıntısı riski azaltılmış olur. Silme Zamanlaması Yazdırma işlemi tamamlandığında, bir kutu içerisinde saklanan belge verileri otomatik olarak silinir. Böylece, kullanıcıların verileri silmeyi unutmalarının doğurabileceği riskler ortadan kalkar. Bu işlem, verilerin izinsiz üçüncü şahıslar tarafından görüntülenmesini engeller İş Kutusu "Özel Yazdırma", "Hızlı Kopya" "Sınama ve Tutma" ve "Saklanan İş" verileri bir İş Kutusu içerisinde saklanabilir, ancak bu kutu kullanıcılar tarafından ne silinebilir ne de oluşturulabilir. Kutu, PIN koduyla korunabilir. Bu şekilde kutuya erişim kısıtlanır. (Şekil 6) Şekil 6 Geçici Belge Veri Deposunun Otomatik Silinmesi "Özel İş", "Hızlı Kopya" ve "Sınama ve Tutma" kutusunda geçici olarak kaydedilen iş verileri; belirtilen süre boyunca saklandıktan sonra otomatik olarak silinebilir. Veriler, yalızca gerekli olan süre boyunca tutulur. Böylece, verilerin açığa çıkması riski önemli ölçüde azaltılır Faks Kutusu MFP içerisinde bulunan ve alınan faks verilerini saklayan kutuya "Faks Kutusu" denilmektedir. Alınan faks verileri, bellek iletme işlevi kullanılarak faks kutusunda saklanabilir. Ayrıca alınan faks verileri, gönderici alt adreslerine veya faks numaralarına göre ilgili kutulara atanabilir, böylece önemli belgeler hızlı bir şekilde ve kolayca teyit edilebilir. Alınan faks verileri MFP panelinde teyit edilebilir. İstenen fakslar doğrudan yazdırılabilirken, istenmeyen fakslar anında silinebilir. (Şekil 7) Şekil 7 Kutu Şifresi Belli kullanıcıların bir kutuya erişmelerini engellemek için kutu şifreleme yöntemine başvurulabilir. Bir 14

16 kullanıcının bir kutuya erişebilmek için önceden belirlenmiş, 16 karaktere (büyük harf, küçük harf, sayı ve özel karakterler başta olmak üzere çeşitli karakterlerin kullanıldığı) kadar oluşturulmasına izin verilen uygun bir şifreyi girmesi gerekir. Sahip Ayarı Bir kutuya yalnızca ilgili kutunun sahibi olarak kaydedilmiş bir kullanıcı erişebilir. Böylece yetkisiz kullanıcıların klasöre erişimi engellenmiş olur. "Ortak Kutu" seçeneğiyle bir kutunun paylaşılıp paylaşılmayacağı ayarlanabilir. Ortak olarak paylaşılan kutulara sahip olarak kaydedilmemiş kullanıcılar da erişim sağlayabilir. Bu ayarın sağladığı kullanım kolaylığıyla kutular izinsiz erişime karşı etkin biçimde korunur ve güvenlik süreçleri gerektiği gibi sürdürülür. Silme Zamanlaması Yazdırma işlemi tamamlandığında, bir kutu içerisinde saklanan belge verileri otomatik olarak silinir. Aksi takdirde, verilerin gerekenden daha uzun bir süre tutulması çeşitli riskler doğurabilir. Verilerin zamanında silinmesi, etkili güvenlik koşullarının sürdürülmesine yardımcı olur. 15

17 5. Yazdırma Güvenliği 5.1 Güvenli Yazdırma Güvenli yazdırma, MFP lerde/yazıcılarda kullanılabilen bir yazdırma işlevidir. Bu işlev; yazdırılan belgelerin savunmasız bir şekilde başkalarının yanında bırakılmasından veya cihaz üzerinde üçüncü şahıslar tarafından görülmesinden kaçınmak amacıyla, şirketin gizli belgelerinin veya kişisel belgelerin yazdırılması sırasında kullanılabilir Özel Yazdırma Özel yazdırma, kullanıcı MFP'lerin/yazıcıların işletim paneli aracılığıyla şifresini doğru olarak girene kadar bir bilgisayardan MFP ye/yazıcıya gönderilen yazdırma komutunu bekleten bir işlevdir. Uygulama yazılımı, kullanıcının bilgisayardan MFP ye/ yazıcıya bir yazdırma işi gönderirken yazıcı sürücüsüne bir erişim kodu girmesini, bir belgeyi yazdırırken ise ilgili cihazın paneline yine doğru kodu girmesini zorunlu kılar. Yazdırma işleminin tamamlanmasının ardından veriler silinir. Yazdırma işleminden önce ana güç düğmesi kapatılmış olsa bile veriler silinir. Bu, cihaz üzerinde çok daha yüksek bir güvenliğin sağlanmasına yardımcı olur. 5.2 İzinsiz Kopyalama Önleme Kopyalama sırasında aşağıda belirtilen işlevler, belge güvenliği özelliklerini arttırarak izinsiz kopyalamayı engelleyebilir Metin Damgası / Bates Damgası Dokümantasyonların önem derecelerinin ilk bakışta anlaşılmasına yardımcı olan metin damgası özelliği sayesinde, kullanıcılar belgeleri "Özel", "Çoğaltmayınız" veya "Gizli" gibi bazı damgalar arasından seçim yaparak etiketleyebilirler. Bunun yanı sıra metin damgalarını istedikleri biçimde düzenleyebilmeleri de mümkündür. Bates damga işlevi "Seri Numarası", yazdırma için kullanılan makinenin seri numarasını yazdırır ve "Numaralandırma" işlevi de yazdırılan belgelere sıralı olarak sayfa numarası ekler. Buna ek olarak, "Tarih" ve "Kullanıcı Adı" işlevleri de mevcuttur Güvenlik Filigranı Belge içeriğinin üzerine, bir güvenlik filigranı desenini veya bir metin yerleştirilebilir. Desen içeren yazılı materyal kopyalandığında, güvenlik filigranı deseni görünür hale gelir. Bu, alınanın izinsiz bir kopya olduğunu açık bir şekilde gösterir. (Şekil 8) Şekil 8 16

18 6. Faks Güvenliği 6.1 FASEC (sadece Japonya da geçerli) FASEC, Japonya İletişim ve Bilgi Ağı Derneği (CIAJ) tarafından yürürlüğe sokulan faks iletişimi güvenlik tüzüğüdür. FASEC logosu, yanlış iletimini, çevir sesi algılama ile yanlış bağlantıyı, alınan faks sayfalarını başıboş bırakmayı engellemeye ve verinin doğru olarak iletilmesini teyit etmeye yönelik işlevsel gereksinimleri karşılayan faks özellikli MFP'lerde faksimile uygulanmaktadır. KYOCERA faks güvenliği işlevleri, işlevsel gereksinimlere uyar ve bu nedenle KYOCERA, MFP lerinde bu logoyu kullanma hakkına sahiptir. 6.2 Faks Şifreli İletişim Bu, orijinal verilerin gönderim işleminden önce gönderici tarafında şifrelendiği bir iletişim yöntemidir. Böylece, aktarılan görüntü verileri üçüncü şahıslar tarafından alınamaz. Bu özellik sayesinde, üçüncü şahısların içeriği görme ve öğrenme imkanı ortadan kalkmaktadır. Alıcı tarafında ilk olarak gelen verilerin şifresi çözülür, ardından da bu veriler yazdırılır. Bu, açığa çıkmaması gereken hassas ve gizli belgeleri iletirken tercih edilebilecek son derece etkili bir iletişim yöntemidir. Bu özellik, sadece aynı şifreli iletişim işlevini destekleyen KYOCERA cihazları arasında mevcuttur. Aynı şifreleme anahtarı, gönderen ve alan tarafta (cihazda) orijinal iletişim verilerini şifrelemek / şifresini çözmek için kullanılır. Gönderen ve alan tarafta (cihazda) anahtarlar aynı değilse, şifreli iletişim gerçekleştirilemez. Bu nedenle iki tarafın (gönderen ve alan taraf), şifreli iletişim öncesinde sırasıyla aynı şifreleme anahtarını belirlemesi ve kaydetmesi gerekir. 6.3 Gönderme / Alma Kısıtlaması Bu, cihazın sadece önceden belirlenen koşullar (örn. izin verilen faks numarası ve izin verilen kimlik numarası) karşılandığında faks gönderebilmesini/alabilmesini sağlayan bir işlevdir. İşlev, iletişimde faks hedefinin kısıtlanmasına olanak tanır. Bir listeye alım kısıtlaması uygulandığında, bu reddedilen faks numaraları listesinde kayıtlı bulunan ve yerel faks numarasını kaydettirmeyen göndericilerden gelen fakslar reddedilir. Faks, iletimi söz konusu olduğunda ise, fakslar yalnızca izin verilen telefon listesinde ve bir adres defterinde kayıtlı olan hedeflere iletilebilir. 6.4 Yanlış İletim Önleme Önemli belgelerin yanlış hedeflere iletilmesini önlemek için kullanıcılardan faks iletimi öncesinde alıcının faks numarasını iki kez girmeleri istenir. Yanlış iletim önleme işlevi, bir adres defteri, on tuş ve hızlı arama için ayarlanabilir. Buna ek olarak işlev, adres hedeflerinin hatırlanmasını engeller. Önceki hedef hafızada tutulmaz ve böylece daha önce gönderim yapılan hedefe bir başka belgenin iletilmesi önlenir. Bu, hedeflerin diğer kişiler tarafından görülememesi nedeniyle bilgi sızıntısını engellemede de etkilidir. Ayrıca, kullanıcı doğrulaması açık olduğunda, oturumun kapatılmasının ardından hedef bilgileri hemen silinir Teyit Girişi Kullanıcılardan, sayı tuşlarıyla doğrudan bir faks numarası girerek bir faks göndermek istediklerinde teyit için aynı faks numarasını iki kez girmeleri istenir. Gönderim hedefi, aynı faks numarası iki kez doğru girilerek teyit edildiğinde etkinleşir. Bu özellik, yanlış tuşlara basarak yapılan yanlış iletimleri engeller. İşlev, kullanıcılar tarafından ayarlanabilir Sayı Tuşlarıyla Faks Numarasını Doğrudan Girmeyi Yasaklama Kullanıcıların faks iletimleri için işletim paneli üzerinde yer alan sayı tuşlarını kullanarak alıcı adresini doğrudan girmeleri engellenebilir. Bu işlev, kullanıcıların sadece bir hedef listesinde kayıtlı olan gönderim hedeflerine faks gönderebilmelerini sağlar. Böylece kullanıcılar, adres defterinde veya tek tuş gönderimde belirtilen alıcılar dışında birine faks gönderemez. Bu özellik, yanlış faks numaralarının girilmesini ve izinsiz kullanım nedeniyle ortaya çıkan yanlış gönderimleri önlemeye yardımcı olur İletimden Önce Hedef Teyidi Hedef teyidi işlevi etkin olduğunda; kullanıcılar faks göndermek üzere [Start] tuşuna bastıktan sonra girilen 17

19 tüm gönderim hedefleri kullanıcının bir kez daha kontrol etmesi için cihaz ekranında görünür. Faks gönderimine imkan veren tamamlama teyit tuşu, ancak tüm hedefler ekranda gösterildikten sonra etkinleşir. Kullanıcılar faksları göndermeden önce hedefleri yeniden teyit edebileceğinden, işlev yanlış iletimleri önlemeye yardımcı olur. 6.5 Kullanım Yasaklama Süresi Bu, alınan faksların yazdırılmasını belli bir zaman aralığı boyunca engelleyen bir güvenlik işlevidir. Kullanım yasaklama süresi ayarlandığında, yazdırma, kopyalama, alınan e-postayı yazdırma veya USB, iletim ve ağ üzerinden faks iletimi ve ayıca faks yazdırma başta olmak üzere tüm işlemler belirtilen süre boyunca yasaklanır. Bu özellik PIN koduyla korunmaktadır ve geçici olarak iptal edilebilir. Bu işlev, MFP lerin işyerinde daha az insanın bulunduğu akşam saatlerinde izinsiz kullanılmalarını engeller. 6.6 Alt Adres İletişimi Alt Adres İletişimi, verilerin ITU-T (Uluslararası Telekomünikasyon Birliği Telekomünikasyon Standardizasyonu Sektörü) tavsiyesine uygun biçimde, bir alt adres ve şifre kullanılarak gönderilmesini / alınmasını sağlayan bir iletişim işlevidir. Alt adres iletişimi işlevi, önceden yalnızca KYOCERA makineleri arasında gerçekleştirilebilen gizli iletişim (örn. alıcı makinenin belirli bir kutusuna gönderim) veya oylama iletişimi (örn. alıcı makinede yapılan işlemle gönderici makinede orijinal belgenin alınması) gibi işlevlerin diğer şirketlere ait makinelerle kurulan iletişimde de kullanılabilmesini sağlar. Alt adres iletişimi işlevi kullanıldığında, gelen veriler alt adres kutusuna kaydedilir. Böylece işlev, iletişimin daha güvenli hale gelmesini destekler Alt Adres Gizli İletimi (Gönderme / Alma) Alıcı makinede alt adres gizli kutusu oluşturulduktan sonra, diğer kişilere ifşa edilmemesi gereken önemli belgeler bir alt adres ve şifre belirlenerek bu kutuya gizlilik içinde gönderilebilir. Bu işlev aktifken alınan belgeler hemen yazdırılmak yerine daha önceden oluşturulmuş olan kutuya kaydedilirler. Böylece alınan veriler, kimse görmeden yazdırılabilir Alt Adres Duyuru Panosu İletimi (Gönderme / Alma) Alıcı makine alt adres duyuru panosu iletimi işlevini destekliyorsa, kullanıcının dokümantasyonu herhangi bir bilgi sızıntısı olmadan güvenli bir şekilde hedefe iletilir. 6.7 Bellek Yönlendirmesi Bu işlev sayesinde, görüntüler faksın alınmasının hemen ardından diğer faks makinelerine veya bilgisayarlara iletilebilir ya da yazdırılabilir. Yönlendirme ayarı açık olduğunda, alınan tüm görüntüler daha önceden belirlenmiş olan adreslere (hedeflere) iletilir. Bu işlem başka bir faks adresine gönderim, e-posta gönderimi, SMB (dosya gönderimi) ve FTP gönderimi söz konusu olduğunda uygulanabilir. Ayrıca, alınan görüntüler MFP'de ayarlanan bir kutuya iletilip burada saklanabilir. Bu işlev, alınan faksların cihazın tepsisinde başıboş bırakılmasını önler. (Şekil 9) Şekil İzinsiz Erişime Karşı Güvenlik Tedbirleri Faks işlevi ve ağ işlevi, yapısal olarak birbirinden ayrılmaktadır. Bir telefon hattı aracılığıyla gelen veriler, faks işlevi tarafından işlenir. Güvenlik tedbirleri bir MFP tarafından gerçekleştirilen bir faks işlevi aracılığıyla telefon hattından ağa izinsiz erişimi engeller. 18

20 7. Gönderme Güvenliği 7.1 Gönderme Öncesi Hedef Teyidi Kullanıcılar, gönderim hedefini (örn. adres numaralarını) ve konuyu, gönderim öncesinde ekranda teyit edebilir., Bu teyit işlemi yanlış adrese gönderimin engellenmesine yardımcı olur. Gönderme öncesi hedef teyidi işlevi kullanıcılar tarafından ayarlandığında; söz konusu bilgiler her gönderim işletim panelinde gösterilebilir. 7.2 Toplu Gönderim Yasağı Toplu gönderim, aynı belgeyi tek seferde birden fazla hedefe iletmek için kullanılan bir işlevdir. Yayın iletimi yasağı, yöneticilerin bu işleve yönelik kısıtlama ve izinleri ayarlayabilmelerini sağlar. Yasak ayarı yapılırken, 2 veya daha fazla gönderim hedefi içeren gruplar seçilemez. Bu, belgelerin gruba yanlışlıkla eklenen bir hedefe iletilmesini engeller. 7.3 Yeni (Adres) Hedef Girişi Sadece önceden hedef listesine kaydedilmiş (bir adres defteri veya tek tuş ayarlı adresler gibi) gibi daha hedeflere gönderim yapılabilmesi için işletim paneli üzerinden doğrudan giriş kısıtlanır. Bu, izinsiz kullanımı ve yanlış faks numarasının girilmesi nedeniyle gerçekleşen yanlış gönderimleri etkin bir şekilde engeller. 7.4 Şifreli PDF Şifreli PDF işlevi, kullanıcıların dosya formatı olarak PDF veya yüksek oranda sıkıştırılmış PDF yi seçmelerine imkan tanır ve taranan verileri şifreleyerek güvenli bir şekilde korunmalarını sağlar. Kısıtlama, doğru şifrenin girilmesiyle alınan PDF dosyası açıldığında, yazdırıldığında veya değiştirildiğinde uygulanabilir. 7.5 FTP Şifreli Gönderim FTP Şifreli Gönderim, iletişim kanalını şifrelemek üzere TLS kullanıldığında gerçekleştirilir. Bu şekilde, aktarılmakta olan veriler güvende kalır. Bu işlev, aktarımdaki verilerin değiştirilmesi veya alınması risklerini büyük ölçüde azaltır. 19

21 8. Cihaz Yönetimi 8.1 İş Yönetimi Kuyruktaki veya günlüklerdeki işlerle ilgili bilgiler, cihaz üzerinden kontrol edilebilir. Print Job (işi yazdır), Send Job (işi gönder), Stored Job (kayıtlı iş) ve Reserved Job (ayrılmış iş) dahil olmak üzere dört durum tipi ve Print job, Send Job ve Stored Job dahil olmak üzere üç kayıt tipi mevcuttur. İhtiyaç duyulduğunda takip amaçlı olarak kullanıcı adı, zaman ve hedef gibi işe özel ayrıntılı bilgilere başvurulabilir ve bu bilgiler kullanılabilir. Ayrıca, dosyanın iş adı olarak kullanılıp kullanılmadığına bakılmaksızın, yazdırma işi sırasında yazıcı sürücüsünün kullanımı ayarlanabilir. (Şekil 10) Şekil İş Günlüğü Başvurusu Onayı İş Günlüğü Başvurusu Ekranı, kullanıcının yetkisine göre değiştirilebilir. İş bilgileri ve faks iletimi günlüğüne başvurma yetkisi, sırasıyla ayrıntılı iş durumu bilgisi ve iş günlüğü için ayarlanır. Kimlik doğrulama fonksiyonu etkin olduğunda kullanıcılar yalnızca kendilerine ait iş günlüğü verilerini görüntüleyebilir ve kontrol edebilirler. Yönetici yetkisiyle oturum açıldığında tüm iş günlüğü bilgileri ekranda gösterilir. 8.2 Denetim Günlüğü MFP'ler/yazıcılar için denetim günlüğü alınabilir ve bu günlükler kullanılarak cihazın kullanıcı adı, tarih, saat ve sonuçları içeren işletim kaydı kontrol edilebilir. Denetim günlüğünün içerisinde oturum açma günlüğü, cihaz günlüğü ve güvenlik iletişimi hata günlüğü yer almaktadır. Yönetici yetkisine sahip kişiler günlüğe başvurarak cihazın güvenli bir şekilde kullanılıp kullanılmadığını ya da çeşitli riskli durumlara maruz kalıp kalmadığını kontrol edebilir Oturum Açma Günlüğü MFP lerde/yazıcılarda kullanıcı oturum açma günlüğü saklanabilir. Bu günlük izinsiz işlem, dokümantasyonların değiştirilmesi veya sızdırılması gibi durumlarda izinsiz erişimin soruşturulmasına ve takibine yardımcı olmak üzere kullanılır Cihaz Günlüğü Aygıt yazılımı güncellemeleri ve ayar değişiklikleri MFP'lerde/yazıcılarda günlüklenebilir. Bu işlev aktifken yönetici yetkisine sahip kullanıcıların sistem menüsünde yaptıkları içerik değişiklikleri de kaydedilir İletişim Güvenliği Hata Günlüğü Yönetici ağ iletişimi güvenliği hata günlüğünü kontrol ederek ağ iletişiminin düzgün işleyip işlemediğini teyit edebilir. İletişim arızalarına dair kayıtlara sık rastlanması halinde, muhtemel bir izinsiz erişim durumunun varlığı sorgulanabilir. 8.3 Günlük Yönetimi Günlük Yönetimi, denetim ve iş günlüklerinin yönetilmesine yardımcı olur. Bu özelliğiyle potansiyel güvenlik problemlerinin kaynaklarını bulmayı kolaylaştırır. 20