BİH 605 Bilgi Teknolojisi Bahar Dönemi 2015

Ebat: px

Şu sayfadan göstermeyi başlat:

Download "BİH 605 Bilgi Teknolojisi Bahar Dönemi 2015"

Onur Yeşilnil
8 yıl önce
İzleme sayısı:

1 BİH 605 Bilgi Teknolojisi Bahar Dönemi 2015 Ders- 14 Bilgisayar Güvenliği Yrd. Doç. Dr. Burcu Can Buğlalılar Bilgisayar Mühendisliği Bölümü

2 İçerik Bilgi güvenliği Tehdit türleri Dahili tehdit unsurları Harici tehdit unsurları Güvenlik uygulamaları Kriptolama

3 Bilgi Güvenliği Bilgi güvenliği: Bilişim ürünleri/cihazları ile bu cihazlarda işlenmekte olan verilerin bütünlüğü ve sürekliliğini korumayı amaçlayan çalışma alanıdır. Güvenilirlik: Yetki verilmemiş erişimden verinin korunması. 3

verilerin bütünlüğü ve sürekliliğini korumayı amaçlayan

4 Bilgi Güvenliğinin Amacı Veri bütünlüğünün korunması Erişim deneqmi Mahremiyet ve gizliliğin korunması Sistem devamlılığının sağlanması 4

5 Yıllara Göre Rapor Edilen Olay Sayısı Cert/CC Yıllara Göre Rapor Edilen Olay Sayısı

Sayısı 21756 9859 6 132 252 406 773 1334 2340 2412 2573 2134

6 Tehdit Türleri Tehdit Türleri Dahili Tehdit Unsurları Bilgisiz ve Bilinçsiz Kullanım Kötü Niyetli Hareketler ~ % 80 Harici Tehdit Unsurları Hedefe Yönelmiş Saldırılar Hedef Gözetmeyen Saldırılar ~ % 20

7 Dahili Tehdit Unsurları Bilgisiz ve Bilinçsiz Kullanım Temizlik Görevlisinin Sunucunun Fişini Çekmesi EğiQlmemiş Çalışanın Veritabanını Silmesi Kötü Niyetli Hareketler İşten Çıkarılan Çalışanın, Kuruma Ait Web Sitesini DeğişQrmesi Bir Çalışanının, Ağda Sniffer Çalışararak E- postaları Okuması Bir YöneQcinin, GelişQrilen Ürünün Planını Rakip Kurumlara Satması

Çıkarılan Çalışanın, Kuruma Ait Web Sitesini DeğişQrmesi Bir Çalışanının, Ağda Sniffer

8 Harici Tehdit Unsurları Hedefe Yönelmiş Saldırılar Bir Saldırganın Kurum Web Sitesini DeğişQrmesi Bir Saldırganın Kurum Muhasebe Kayıtlarını DeğişQrmesi Birçok Saldırganın Kurum Web Sunucusuna Hizmet Aksatma Saldırısı Yapması Hedef Gözetmeyen Saldırılar Virüs Saldırıları (Melissa, CIH Çernobil, Vote) Worm Saldırıları (Code Red, Nimda) Trojan Arka Kapıları (Netbus, Subseven, Black Orifice)

Hizmet Aksatma Saldırısı Yapması Hedef Gözetmeyen Saldırılar Virüs Saldırıları (Melissa, CIH

9 Saldırı Yöntemleri Hizmet Aksatma Saldırıları Ticari Bilgi ve Teknoloji Hırsızlıkları Web Sayfası İçeriği DeğişQrme Saldırıları Kurum Üzerinden Farklı Bir Hedefe Saldırmak Virüs, Worm, Trojan Saldırıları İzinsiz Kaynak Kullanımı

DeğişQrme Saldırıları Kurum Üzerinden Farklı Bir Hedefe

10 Saldırıya Uğrayabilecek Değerler Kurum İsmi, Güvenilirliği ve Markaları Kuruma Ait Özel / Mahrem / Gizli Bilgiler İşin Devamlılığını Sağlayan Bilgi ve Süreçler Üçüncü Şahıslar Taralndan Emanet Edilen Bilgiler Kuruma Ait Adli, Ticari Teknolojik Bilgiler

Devamlılığını Sağlayan Bilgi ve Süreçler Üçüncü Şahıslar

11 Görülebilecek Zararın Boyutu Müşteri MağduriyeQ Kaynakların TükeQmi İş Yavaşlaması veya Durması Kurumsal İmaj Kaybı Üçüncü Şahıslara Karşı Yapılacak Saldırı MesuliyeQ

12 Güvenlik Uygulamaları Güvenlik Duvarları Saldırı Tespit Sistemleri AnQ- Virüs Sistemleri Sanal Özel Ağ Sistemleri Şifreleme Sistemleri Sistem Güçlendirme (Hardening) Doğrulama ve Yetkilendirme Sistemleri İçerik Kontrol Yazılımları Yedekleme Sistemleri

Şifreleme Sistemleri Sistem Güçlendirme (Hardening) Doğrulama

13 CIA in Bilgi Güvenliği Piramidi Verinin sadece uygun mekanizmalar taralndan değişqrilebildiğinin garanqsi Yetkilendirilmemiş erişimden verinin korunması Yasal amaçlar için hangi dereceye kadar yetki verilmiş kullanıcıların bilgiye erişebileceği 13

Yetkilendirilmemiş erişimden verinin korunması Yasal amaçlar

14 Bilgi Güvenliği Risk Analizi: Veri üzerinde oluşabilecek risklerin tespiti Hedef, sistemi risk altında bırakabilecek her türlü tehlikeyi en aza indirmek. 14

15 Yetkisiz Erişimin Engellenmesi Kimlik doğrulama: Bilgisayara erişimde kimliklerin tanıalması için kullanılan bilgi n Kullanıcı bilgisi: Ad, soyad, PIN n Akıllı kart: İçinde gömülü bellek çipi bulunan kart. n Biyometrik bilgi: Parmak izi, reqna veya ses bilgisi gibi kişiye ait özellikler.

soyad, PIN n Akıllı kart: İçinde gömülü bellek çipi bulunan kart.

16 Yetkisiz Erişimin Engellenmesi Şifre belirlerken nelere dikkat etmeli? Haarlaması kolay, tahmin etmesi zor. Aile veya hayvan isimleri kullanmayın. Erişilebilir yapmayın. Büyük harf/küçük harf, rakam veya özel karakterlerin birleşimi olarak belirleyin. Bilgisayara giriş yapaktan sonra bilgisayarın yanından ayrılmayın. Kimseye söylemeyin. E- postada şifre bilgisi kesinlikle yazmayın. Farklı yerlerde aynı şifreyi kullanmayın.

Büyük harf/küçük harf, rakam veya özel karakterlerin birleşimi olarak belirleyin.

17 Yetkisiz Erişimin Engellenmesi Şifre kriterleri: 6 veya daha fazla karakterden oluşur. En az bir tane büyük harf ve küçük harf içerir. En az bir rakam içerir. En az bir özel karakter içerir. 17

18 Kötü Şifre Örnekleri abcdef aaaaa bbbbbbb deniz deniz1998 Deniz123

19 Yetkisiz Erişimin Engellenmesi CAPTCHA Kullanıcının başka bir bilgisayar olmadığını doğrulayan yazılım Neden bu yöntem çalışır? 19

20 Yetkisiz Erişimin Engellenmesi Parmak izi analizi: Undergroundarts.co.uk/ShuoerStock, Inc. 20

21 Bilgisayar Güvenliği Kötücül kod: Yetkilendirilmemiş işlemleri yapmak veya kimlik doğrulama işlemlerini geçmek için yazılmış bilgisayar programı Worm: Ağ kaynaklarını hedef alır. Trojan horse: İyicil kaynak gibi kendisini gizleyebilir. Virus: Kendi kendisini çoğaltabilir. Logic bomb: Bir sistem olayında çalışmak üzere programlanır. 21

22 Antivirüs Yazılımı Kötücül kodları tespit etmek ve kaldırmak için kurulan yazılım: Bilinen kötücül yazılımları tanır ve kaldırır. Kötücül yazılımlara ait genel özelliklerden yararlanarak sezgilere dayalı stratejiler gelişqrir. 22

23 Kriptografi (Şifreleme) Şifreleme Kodlanmış bilgi üzerine çalışan alan. Kriptolama (Encryption) Düz metni şifreli metne dönüştürme işlemi Şifre çözme (Decryption) Şifrelenmiş metni düz metne dönüştürme işlemi 23

24 Kriptografi (Şifreleme) Kriptolama Düz me'n mesajı Şifrelenmiş me'n Şifre çözme 24

25 Çevrimiçi Verinin Korunması Facebook kullanıcılarının %25 i güvenlik kontrollerini kullanmıyor ya da var olduğunu bilmiyor. Sosyal medya kullanıcılarının %40 ı doğum tarihi bilgisini paylaşıyor. 25

26 Güvenlik ve Taşınabilir Cihazlar Akıllı telefonlar, tabletler ve dizüstü bilgisayarlar konum bilgisi de dahil olmak üzere farklı kullanıcı bilgilerini topluyor: Apple iphone ve Google log kullanıcılar hakkında veri topluyor. Yasa yaparımı bu veriyi cezai soruşturmalarda kullanabiliyor. 26

27 5651 Sayılı Kanun İnternet ortamında yapılan yayınların düzenlenmesi ve bu yayınlar yoluyla işlenen suçlarla mücadele edilmesi hakkında kanun (kabul tarihi: 4/5/2007) Madde 1:Bu Kanunun amaç ve kapsamı, içerik sağlayıcı, yer sağlayıcı, erişim sağlayıcı ve toplu kullanım sağlayıcılarının yükümlülük ve sorumlulukları ile internet ortamında işlenen belirli suçlarla içerik üzerinden mücadeleye ilişkin esas ve usulleri düzenlemektir.

28 Kaynaklar Computer Science Illuminated, Nell Dale, John Lewis, 5 th ediqon FaQh Özavcı, Bilgi Güvenliği - Temel Kavramlar

Benzer belgeler

Ders İçeriği

BİLGİ GÜVENLİĞİ Ders İçeriği Bilgi Nedir Öğrenme, araştırma veya gözlem sonucu elde edilen gerçek ve ilkelerin bütününe verilen addır. İşlenmiş veridir. Bilgi diğer önemli iş kaynakları gibi kurum için