Benim Verim Herkesin Verisi:

Transkript

1 Benim Verim Herkesin Verisi: Mahremiyet ve Güvenilirlik Üzerine Dr. Tuğkan TUĞLULAR SOFTIN Teknoloji

2 Gündem Kaynak:

3 Bilgi Güvenliği Problemi Kişilerin Hatalı / Sorumlu Olduğu Olaylar % Bilgisayar Kötü Kullanımı Kullanım hataları Atıl kullanımlar Kötüye kullanımlar Bilgisayar suçları Dış Saldırılar % Aksayan İşleyiş Yanlış Sonuçlar Maddi / Manevi Kayıplar

4 Bilgi Güvenliği Çözümü Alışkanlık Yetenek İstek Bilgi Birikimi Risk Analizi Politikalar Önlemler

5 Bilgi Güvenliği Bilginin 4 özelliğinin korunmasını hedefleyen güvenlik anlayışına «Bilgi Güvenliği» denir. 1. Gizliliği 2. Doğruluğu ve Bütünlüğü 3. Özgünlüğü ve Reddedilememesi 4. Erişilebilirliği Paylaştığınız kişi ve kitle Kaynağında olduğu gibi ve verilmek istendiği gibi Kaynak: E-Ticaret ve Bilgi Güvenliği.ppt

6 Bilgi Güvenliği Senaryoları INTERNET Sniffer Man-in-the-Middle

7 Bilgi Güvenliği Senaryoları INTERNET Man-in-the-Middle

8 Bilgi Güvenliği Senaryoları INTERNET Man-in-the-Middle

9 Bilgi Güvenliği Senaryoları INTERNET IP Spoofing

10 Bilgi Güvenliği Senaryoları NO, NO, NO... INTERNET

11 Bilgi Güvenliği Senaryoları - Özet

12 Değer Varlık, Zayıflık, Tehdit, Risk, Saldırı, Zarar kırılgan

13 Bilgi Güvenliğine Saldırılar Sahtekarlık ve taklit, Erişim araçlarının çalınması, Kimlik çalma, Ticari bilgi çalma, İstihbarat amaçlı faaliyetler, Takip ve gözetleme, Hack leme, Virüsler, Kurtçuklar (worms), Truva atları, Ajan yazılım (spyware), Spam Hizmeti durduran saldırılar Kaynak: Türksel KAYA BENSGHIR-TODAİE güvenlik.ppt

14 Bilgi Güvenliği için Önlemler kırılgan

15 Bilgi Güvenliği için Önlemler Şifreleme

16 Bilgi Güvenliği için Önlemler Şifreleme Simetrik Algoritmalar Asimetrik Algoritmalar Özetleme Fonksiyonları Kaynak: Türksel KAYA BENSGHIR-TODAİE güvenlik.ppt

17 Bilgi Güvenliği için Önlemler Sayısal İmza Sayısal Sertifikalar Sertifikasyon Otoriteleri Kaynak: Türksel KAYA BENSGHIR-TODAİE güvenlik.ppt

18 Bilgi Güvenliği için Önlemler Erişim Denetimi

19 Bilgi Güvenliği için Önlemler Erişim Denetimi Özne Kimlik Denetimi Yetki Denetimi Bilgi özneler roller işlemler bilgi tipleri bilgiler

20 Savunma Derinliği CAYDIRMA ÖNLEME FARK ETME DÜZELTME

21 En Kolay Giriş Prensibi Herhangi bir saldırgan, bir bilgisayar sistemine girmek için kullanılabilecek en kolay yolu deneyecektir. En kolay yol demek, en belirgin, en çok beklenen, veya saldırılara karşı en çok önlemi alınmış olan yol demek değildir. Saldırının getireceği fayda saldırı maliyetinin çok üstünde olmalıdır. Kaynak: Türksel KAYA BENSGHIR-TODAİE güvenlik.ppt

22 Gerektiği Kadar Koruma Prensibi Değerli şeyler (yazılım, donanım, veri) sadece değerleri geçerli olduğu sürece korunmalı. Korumak için harcanan süre, çaba ve para, korunan şeyin değeriyle orantılı olmalı. Kaynak: Türksel KAYA BENSGHIR-TODAİE güvenlik.ppt

23 Yeni Sanal Dünya Düzeni Kaynak: sosyalmedyayonetimi.ppt

24 Karşılaştırmak Gerekir ise Web 1.0 Web 2.0 Platforms Netscape, Internet Explorer Google Services, AJAX, Flock Web Pages Personal Websites Blogs Portals Content Management Systems Wikis Encyclopediæ Britannica Online Wikipedia Talk Netmeeting Skype, Asterisk Knowledge Directories, Taxonomies Tagging, Folksonomies Referencing Stickiness Syndication Content Akamai BitTorrent, P2P Events Evite Upcoming.org Kaynak: Semantic Web 2.0, Creating Social Semantic Information Spaces

25 Web 2.0 Ekosistemi

26 E-Ticaret E-Ticareti yapan taraflar arasında gizli kalması, erişilebilir veya tutarlı olması hedeflenen bilgilerin korunması amaçlanır. MAIL ORDER Bu bilgiler: Kredi Kartı Bilgisi Özlük Bilgisi Bu ödeme türü güvenli bir ödeme türü değildir. Fatura Bilgileri Ve benzeri bilgiler Kaynak: E-Ticaret ve Bilgi Güvenliği.ppt

27 Sosyal Medya Bir uygulama veya web sitesinin sosyal medya olarak tanımlanabilmesi için, 1. Yayıncıdan bağımsız üyeleri olması, 2. Kullanıcı kaynaklı içeriğe imkan vermesi, 3. Kullanıcılar arasında etkileşim sağlamayı gerektirir. Kaynak: sosyalmedyayonetimi.ppt

28

29 Güvenlikte Hiyerarşik Yaklaşım

30 Güvenlik Bir Kalite Bileşeni Bilgi Teknolojileri Kullanma Bilinci Eğitimi Alışkanlığı Kültürü GÜVENLİK bir gereksinim

31 Zihin Açıcı Sorular Güvenlik olmadan Mahremiyet olur mu? Görmediğimiz duymadığımız gerçekte var olduğundan emin olmadığımız kişilere, şirketlere nasıl güveniyoruz? Başkalarına yorum yazmak güzel de, bize yorum yazarlarsa ne olacak? Bizi koruyan birileri var mı? Kaynak:

32 Mahrem mi? Kendisini Paylaşanlar Kaynak:sosyalmedyayonetimisunumu.ppt

33 Mahrem mi? Sizi Paylaşanlar Kaynak: sosyal medya yönetimi sunumu.ppt

34 Mahrem mi? Güvenilir mi? Kaynak: sosyal medya yönetimi sunumu.ppt

35 Güvenilir mi? Kaynak: sosyal medya yönetimi sunumu.ppt

36 Gerçek / Doğru Olan Hangisi? Kaynak:

37 Güven Ağı (Web of Trust) Kaynak:

38 Bilgi Sızıntısı Kurumun bilişim teknolojileri ile kullandığı, işlediği ya da ürettiği verilerin ya da kişisel verilerin bilinçli ya da bilinçsiz bir şekilde kurum dışına taşınarak, belirlenmiş bilgi güvenliği yasa ve kurumsal politikalarının ihlalidir. Dışarıya veri akışının mümkün olduğu her ağda, veri sızıntısı riski bulunmaktadır. Kaynak: mydlp.ppt

39 Ortamlar Bilgi Sızıntısı Ortam ve Araçları Veri Kaybının Gerçekleştiği Ortamlar Dizüstü Bilgisayarlar Taşınabilir Ortamlar (CDROM, USB, vb) Basılı Materyal Masaüstü Bilgisayarlar Dosya Sunucusu Diğer Mobil Cihazlar (PDA, Cep Telefonu, vb) 0% 10% 20% 30% 40% 50% 60% 70% Diğer M obil Cihazlar (PDA, Cep Telefonu, Dosya Sunucusu M asaüstü Bilgisayarlar Seri 1 24% 29% 29% 29% 34% 60% Oran Basılı M ateryal Taşınabilir Ortamlar (CDROM, USB, Dizüstü Bilgisayarlar Kaynak: mydlp.ppt

40 Wikileaks Wikileaks belgelerini sızdıran Bradley Manning hikayesini şöyle anlatıyor: Kaynak: mydlp.ppt Üzerinde Lady Gaga gibi bişey yazan bir yeniden yazılabilir CD ile geleceğim... müziği sil... sonra ayrı bir sıkıştırılmış dosya yap. Kimse hiçbir şeyden şüphelenmedi... Muhtemelen ABD tarihinin en geniş bilgi döküntüsünü sızdırırken Lady Gaga nın Telephone şarkısını dinleyip dudaklarımı oynatıyordum.

41 Araştırmacılar ve Meraklıları için

42 Anlamsal Ağ Yığıtı Buradayız!

43 Fonksiyonlar Hizmet Ontolojisi Seçim Önkoşul Yayılma Ontoloji Yönetimi Girdi Çıktı Maliyet Çağrı Keşif Atomik Hizmet Ardkoşul Yayınlama Oluşturma SWS Bileşik Hizmet Kategori Kayıtçı Çöpçatan Ayrıştırıcı Anlamlandırıcı Mimari Çağırıcı

44 SWS Güvenlik Gereksinimleri Güvenlik, Mahremiyet ve Güvenilirlik Fonksiyonel: Anlamsal olarak tanımlanan güvenlik politikaları. Anlamsal olarak tanımlanan mahremiyet politikaları. Bireysel istemci gereksinimlerine saygı gösterme. Mimari: Hizmet güvenlik politikaları ve yetkilendirme gereksinimlerini yayınlamak ve tanımlamak için protokoller. Anlamsal politika değerlendirme mekanizmaları. Anlamsal olarak kontrol edilen politika uygulaması. Güven-tabanlı doğrulama ve yetkilendirme. Güvenlik değerlendirme sonuçlarının iletilmesi ve kaydı. Kaynak: Security in Semantic Web Services, Role of Security, Authorization, Privacy and Trust in Semantic Web.ppt

45 Anlamsal Yürütme Ortamı Dağıtık Kayıt (UDDI / ebxml RR) Politika Ontolojisi Alan Ontolojisi Güven Müzakeresi Dağıtık Güven (Güven Ağı) Güven Müzakerecisi Güven Ambarı Hizmet İstemcisi Hizmet Keşfi Dağıtık Ontoloji Arşivi Yetkilendirme Yöneticisi Anlamsal Ağ Hizmeti Hizmet istemcinin yetkilendirme bilgisini istemciye gönderir Hizmet Çağrısı Anlamsal Gereksinimler İstemcinin Yetkilendirme Bilgisi

46 Sonuç olarak Web 1.0 da Güvenlik Yaklaşımı GÜVENME Web 2.0 da Güvenlik Yaklaşımı GÜVEN(ME) ama DOĞRULA

47 İlginize teşekkür ederim.