T.C. EGE ÜNİVERSİTESİ MÜHENDİSLİK FAKÜLTESİ BİLGİSAYAR MÜHENDİSLİĞİ BÖLÜMÜ BİLGİ TEKNOLOJİLERİNDE GÜVENLİK VE KRİPTOGRAFİ LİSANS TEZİ HAZIRLAYAN Tahir Emre KALAYCI DANIŞMAN Prof. Dr. Levent TOKER Haziran, 2003 İZMİR
T.C. EGE ÜNİVERSİTESİ MÜHENDİSLİK FAKÜLTESİ BİLGİSAYAR MÜHENDİSLİĞİ BÖLÜMÜ BİLGİ TEKNOLOJİLERİNDE GÜVENLİK VE KRİPTOGRAFİ LİSANS TEZİ HAZIRLAYAN Tahir Emre KALAYCI DANIŞMAN Prof. Dr. Levent TOKER Haziran, 2003 İZMİR
TEŞEKKÜR Tez çalışması sırasında ilgi ve desteğini üzerimden eksik etmeyen tez danışmanım Prof. Dr. Levent TOKER e teşekkürü bir borç bilirim.sahip olduğu insani değerlerle bana örnek teşkil eden ve tezde dahil olmak üzere her türlü çalışmamda yakın ilgi gösteren bölümümün tez koordinatörü Yrd. Doç. Dr. Aybars UĞUR a minnetimi belirtmek isterim. Ayrıca bu tezi hazırlarken gereksinim duyduğum bilgi birikimini bana kazandıran bölümdeki tüm öğretim görevlilerine, arkadaşlarıma ve aileme teşekkür ederim.
ÖZET Bu tez çalışmasına, bilgisayar ve ağ sistemlerindeki güvenlik mekanizmalarının işleyişine duyduğum merak sebep olmuştur. Bilimsel çalışmaların kaynağını oluşturan merak beni de bu konuda geniş bir araştırma yapmaya zorlamış oldu. Geleneksel bilgi teknolojileri güvenliğini araştırmaya başlayıp az bilinen ama en çok kullanılan güvenlik mekanizmalarından olan kriptografi araştırmasıyla yoluma devam ettim. Sonuçta tam olarak çalışan bir sistem üzerinde araştırmalarımı test etmeye zamanım yetmese de yaptığım bu çalışmanın bu tip çalışmalara ön ayak olmasını, kaynak teşkil etmesini umduğum bu belgeyi ortayta çıkarabildim. Bu belge içerisinde bilgi teknolojilerinin, bilgilerin güvenliğinin sağlanması için yöntemler, kriptografinin tarihçesi, bilgisayar çağında kriptografinin hızlı gelişimi, önemli algoritmalara örneklerle açıklamaya çalıştım. Belgeyi yazarken amacım olan yeterince algoritma inceleyip bunları anlamaya çalışmam belirgin bir sonuç vermiş olup, iç sayfalarda da göreceğiniz gibi ağırlıklı olarak ikinci bölümden itibaren algoritmalar üzerinden kriptografi tarihçesini anlatmaya çalıştım. Algoritmaların incelenmesi başlı başına bir bölüm olabileceği gibi burada olduğu gibi tarihsel olarak incelenebilir. Bu çalışmanın bu konudaki araştırma eksikliğini bir nebze olsun kapatmasını umduğum gibi gelecek çalışmalara kaynak teşkil etmesini ümit ediyorum.
İçindekiler Şekil Dizini Teşekkür Özet Önsöz Giriş I II III IV V VI 1. Bilgi Teknolojileri Güvenliği 1 1.1 Güvenlik Organizasyonu 1 1.1.1 Roller ve Sorumluluklar 1 1.1.2 Süreçler 3 1.1.3 Güvenlik Bilgi Merkezi 4 1.2 Bilginin Sınıflandırılması 5 1.2.1 Elde Edilebilirliğe Göre Sınıflandırma 5 1.2.2 Duyarlılığa Göre Sınıflandırma 6 1.3 Güvenlik Politikaları 7 1.3.1 Tüzel Politika 8 1.3.2 Bilgi Güvenliği Politikası 8 1.3.3 Personel Güvenlik Politikası 9 1.3.4 Bilgisayar ve Ağ Politikası 12 1.4 Fiziksel Güvenlik 13 1.4.1 Binalar 13 1.4.2 Verinin Taşınması 14 1.4.3 Yedeklemeler 14 1.4.4 Diskler 14 1.4.5 Dizüstü Bilgisayarlar 15
1.4.6 Yazıcılar 15 1.4.7 Bilgisayarlar 15 1.4.8 Temiz Masaüstü 16 1.5 Güvenlik Mekanizmaları 16 1.5.1 Kriptografi ve Dijital İmzalar 16 1.5.2 Kimlik Doğrulama 18 1.5.3 Erişim Kontrol Listeleri 18 2 Kriptografi Tarihçesi 19 2.1 Kağıt,Kalem Sistemleri 20 2.1.1 Basit Yerine Koyma Yöntemi Kriptoanalizi 21 2.1.2 Yer Değiştirme Yöntemleri 23 2.1.3 Yerine Koyma Yöntemini Geliştirmek 28 2.1.4 Kod Kitapları 42 2.2 Elektriksel ve Mekanik Şifreleme Makineleri 43 2.2.1 Erken Şifreleme Makineleri 43 2.2.2 Rotor Makineleri ve PURPLE Kuzenleri 47 2.2.3 Enigma:Eşsiz Rotor Makinesi 52 2.3 Bilgisayar Çağı 54 2.3.1 LUCIFER:İlk Blok Cipher 54 2.3.2 Data Encryption Standard 57 2.3.3 IDEA ( International Data Encryption Algorithm ) 61 2.3.4 Blowfish 64 2.3.5 ICE 66
2.3.6 Johnson Algoritması 67 2.4 128 Bit Çağı:AES ( Advanced Encryption Standard ) 69 2.4.1 Twofish 69 2.4.2 SERPENT 73 2.4.3 RC6 75 2.4.4 MARS 76 2.4.5 Rijndael (AES) 81 2.5 Açık (Bilinen) Anahtar Şifreleme ( Public Key Cryptography ) 85 2.5.1 Modüler Aritmetik 86 2.5.2 RSA (Rivest-Shamir-Adleman) 87 2.5.3 Diffie-Hellman 88 Kaynakça 90
Şekiller Şekil 2.1 Sf. 21 Spartalıların Scytale Yönteminin Kurşun Kalem Üzerinde Uygulanması Şekil 2.2 Sf. 45 Klasik Wheatstone Diski Şekil 2.3 Sf. 51 PURPLE Kablolamasını Gösteren Bir Resim Şekil 2.4 Sf. 51 Enigma nın Genel Yapısını Şekil 2.5 Sf. 55 LUCIFER in Bir Turundaki İşlemleri Gösteren Resim Şekil 2.6 Sf. 55 LUCIFER in S-Box Yapısı Şekil 2.7 Sf. 59 DES in f Fonksiyon Detayı Şekil 2.8 Sf. 59 DES in Genel Blok Cipher Yapısı Şekil 2.9 Sf. 62 IDEA Detayı Şekil 2.10 Sf. 63 IDEA Genel Şekil Şekil 2.11 Sf. 66 ICE Şekli Şekil 2.12 Sf. 67 Johnson Algoritmasının Bir Tur Şekli Şekil 2.13 Sf. 74 SERPENT ten Bir Kesit Şekil 2.14 Sf. 77 MARS ın Kriptografik Çekirdek İşlemleri Şekil 2.15 Sf. 78 MARS ın Genel Yapısı Şekil 2.16 Sf. 82 Rijndael in Bir Turunu Gösteren Şekil
1. BİLGİ TEKNOLOJİSİ GÜVENLİĞİ 1.1 Güvenlik Organizasyonu Bir bilginin güvenliğini sağlamak aşağıdaki işlemleri gerektirmektedir: 1. Güvenlik politika ve stratejilerinin belirlenmesi 2. Politikaların gerçekleştirilmesi:roller, sorumluluklar ve organizasyon: a. Bilgi Teknolojisi(BT) güvenliği organizasyonu için görev ve stratejilerin açık tanımlarını gerektirir. (Güvenlik roller ve işlem tanımları) b. Kullanıcılar, yöneticiler ve müdürler rol ve sorumluluklarını bilmeli ve haberdar olmalıdır. c. Kullanıcı ve destek personelinin kendi sorumlulukları hakkında bir eğitime ihtiyacı olabilir. 3. Güvenlik mekanizmaları ve kontrolleri güvenliğin yürüyebilmesi için verimli bir şekilde kullanılmalıdır. 4. Belli sistemler için tanımlı açık teknik noktalar ve kontroller elde olmalıdır. 5. Güvence(assurance) (düzenli denetimler, risklerin düzenli olarak gözden geçirilmesi) 1.1.1 Roller ve Sorumluluklar Şirketin büyüklüğüne bağlı olmak üzere roller ve sorumluluklar aşağıdaki şekilde eşlenebilir. Önemli olan nokta sorumluluklarının açık olması ve bu sorumluluğa sahip kişilerin bu sorumluluklarını kolayca yerine getirmeleri gerekmesidir. (örneğin önemli olan bazı kararları almada gerekli olan güç ve tecrübe/bilgiye sahip olmalı ve bunları kullanabilmeli) İdareciler(Executives):Yöneticiler, Üst yöneticiler ve denk olanlar güvenlik stratejilerinden sorumludurlar ve tehlikelere karşı kaynakların aktarılmasını sağlamalıdır. Bu kişiler ayrıca stratejiyi yaymak ve güvenlikten haberdara bir kültür oluşturmakla sorumludurlar. BT Güvenlik Müdürü:Bu kişi güvenlik girişimlerinden sorumludur. Ayrıca BT güvenlik rehberlerini işlemin sahibiyle birlikte hazırlar. Bu kişi güvenliği takip etmeli ve 1
gerekli durumlardan yönetimi bilgilendirmelidir. Risk analizini de yapmalıdır. Bu kişinin güncel güvenlik konularını/sorunlarını/çözümlerini bilmesi önemlidir. Ayrıca çözüm ortağı şirketler ve güvenlik organizasyonları ile eşgüdümü sağlaması da önemlidir. İş Süreci/Veri/İşlem sahibi:doğrudan doğruya özel bir süreç veya iş parçalarından sorumlu olup üst yönetime raporlar sunar. Kendisinin sorumlu olduğu verinin güvenliği ile ilgili rehberler/süreçler hazırlar ve güvenlik başarısızlıklarının etkilerini analiz eder. Denetimde bir etkisi yoktur. Sistem Sağlayıcı(Supplier):Sistemi kurar ve bakımını yapar. İki tarafında sorumluluklarını ve rollerini belirleyen servis antlaşması olmalıdır. Bu kişi dışarıdaki şirketlerden biri veya şirket içinden biri olabilir. Bu kişi güvenlik mekanizmalarının doğru kullanımından sorumludur. Sistem Tasarımcısı:Sistemi tasarlayan kişi olarak sistemin güvenle kullanılabilmesi için anahtar bir rolü vardır. Yeni geliştirilen projelerde güvenlik gereksinimlerini erken aşamalarda gözden geçirmelidir. Proje Liderleri:Güvenlik rehberlerinin projelerde uygulandığından emin olmalıdır. Hizmet Müdürleri:Personellerinin tam olarak güvenlik politikalarından haberdar olmalarından ve politikalarla çelişen amaçlar içermemelerinden sorumludur. Bu kişi politikaların yapılmasını zorlar ve olağan ilerlemeden sorumludur. Kullanıcılar:Kullanıcılar veya bilgi işleyiciler/operatörleri kendi hareketlerinden sorumludurlar. Güvenlik politikalarının farkında olmalıdırlar. Ayrıca yaptıkları hareketlerinin sonuçlarını anlamalı buna göre hareket etmelidirler. İstedikleri gibi kullanabilecekleri güvenlik mekanizmaları vardır. Ve bunlarla güvenlik düzeyini aşmamak üzere diledikleri gibi uğraşabilirler. Kullanıcılar sınıflandırılmamış gizli bilgi aldıkları zaman bu bilgiyi sınıflandırmadan ve dağıtmadan sorumludurlar. Denetleyici:İçeriden yada dışarıdan olabilecek bağımsız bir kişidir. BT güvenliğinin durumunu kontrol ve takip eder, hesaplar kayıtlarının geçerliliğini kontrol eder. Bu kişinin bağımsız olması, güvenlik yönetiminden olmaması önemlidir. Genellikle dışarıdan getirilen danışmanlar politikalar, süreçler, organizasyon ve mekanizmalar hakkında daha objektif bir bakış açısıyla değerlendirme yapabilirler. 2
1.1.2 Süreçler Güvenlik Yardım Masası: Kullanıcı hesap yönetiminden sorumludur. Kullanıcılar bir problemleri olduğunda ararlar. Eğer yardım masası sorunu çözemezse problemi takip edip sistem yöneticilerini ve satıcıları bilgilendirmekten sorumludur. Kullanıcılar bu masaya erişip şifrelerini unuttukları zaman şifrelerini öğrenebilmelidirler. Telefon üzerinde şifrelerin nasıl değiştirileceği bu süreçte önemlidir. Bir şekilde kanıtlama mekanizması gereklidir. Değiştirme Yönetimi: Donanımı ve yazılımı kim kuracak ve güncelleyecek? Yeni kurulan yazılımın test edilmesi gerekir. Değişiklikler dikkatlice belirlenmeli ve gerçekleştirilmelidir. Değişiklikler negatif bir etkiye sebep olursa kolayca eski haline döndürülebilmelidir. Donanım değişikliklerinde donanıma zarar verebilecek statik elektriği önleyecek giysiler giyilmeli, uygun araçlar kullanılmalıdır. KISS( Keep It Simple, Stupid ) denilen yöntemi takip etmek gerekir. Bozulmadıkça onarma, anlayışı geçerli olmalıdır. Sadece güncellemeleri kurmak gerekliyse kurulmalıdır. Sistem Takibi, Gözlemlenmesi:Sistemin kim tarafından, nasıl hangi araçlarla takibinin yapılacağı sürecidir. Büyük organizasyonlarda merkezi olmayan takip en etkili yol olmaktadır. Veri Yedekleme/Eski Haline Getirme:Süreçler ve sorumluluklar güvenilir yedeklerin alınması ve gerektiğinde eski hale getirmelerin sağlanması içi iyi tanımlanmalıdır. Eski haline getirme politikası düzenli olarak test edilmelidir. Sistem Denetimleri: Sunucular düzenli olarak denetlenmelidir. (Örneğin yılda bir kere) 3
Basitlik için her güvenlik düzeyi/işletim Sistemi için denetim kontrol listeleri oluşturulmalıdır. Denetleyici yöneticilerden bağımsız ve objektif olmalıdır. Denetleyici şunları kontrol etmelidir:rehberler, politikalar, kullanıcılar, yönetim, BT Güvenlik müdürleri, yöneticiler, BT kaynakları. Kriz Yönetimi/Felaket Planlaması/Tehlike Yanıt Takımı:Katı güvenlik politikasına rağmen eğitimli kullanıcı ve yöneticilerden oluşturulmuş tehlike hali takımı oluşturulması ve felaket senaryoları ile planlar kurulması önemlidir. Takımda kimler vardır?ve ciddi bir güvenlik açığında nasıl davranmalıdır? Eğer iç personelin yeterince deneyimi yoksa dışarıdan bir şirket ile tehlikeler için antlaşma imzalanmalıdır. Bir güvenlik kazası durumunda kimin talimatlardan sorumlu olacağı ve komuta zinciri (süreçler/sorumluluklarla birlikte) iyice belirlenmelidir. Önemli isimler, telefon numaraları ve elektronik posta adreslerinin kağıtlara da yazılması gerekir. Bilgisayardaki verilerin bir tehlike anında erişilemez olma ihtimali yüksektir. 1.1.3 Güvenlik Bilgi Merkezi Doğru zamanda doğru bilgiye sahip olmak önemlidir. Geçerli güvenlik konularıyla ilgili kitaplara sahip olmak, İnternet güvenlik haber gruplarına, e-posta listelerine, www sunucularına ve dosya transfer sunucularına erişebilmek tavsiye edilmektedir. Güvenlik ve standartlarla ilgili şirket dokümanları ulaşılabilir olmalıdır. Kuralların, politikaların, dokümanların ve adreslerin kağıt üstünde yer alması faydalı olacaktır. İçsel birimlere aşağıdaki servisler sunulabilir: Güvenlik Kütüphanesi (yukarıda anlatıldığı gibi) Risk Analizi 4
Eğitim:Kullanıcılar, yöneticiler, hizmet müdürleri, vb. için BT güvenlik kursları Her önemli İşletim Sistemi / uygulama / sistem için ve güvenlik geliştirmede çalışan teknik uzmanlar. Her uzman tüm yeni güvenlik problem ve çözümlerden haberdar olmalıdır. Yeni sistemlerin geliştirilmesinde ve alınmasında rehberlik Yeni sistemlerin test edilmesi Sistemler ve süreçlerin tek bir kere gerçekleşen ve politikalara uygunluklarının ve zayıflıklarının tespit edildiği denetimlerin gerçekleştirilmesi İstatiksel analizler:sistem kullanımının düzenli raporları, performans, kullanıcı davranışları, teknolojik modalar ve dışsal kullanım hakkında raporlar. 1.2 Bilginin Sınıflandırması Farklı tipteki bilgilerin farklı şekillerde korunması gerekmektedir. Bu yüzden bir sınıflandırma sistemi bilgi içinde gereklidir. Böylece politikalar bilginin sınıfına ve kullanılacak mekanizmaya göre rahatça yazılıp kullanılmaya zorlanabilir. 1.2.1 Elde Edilebilirliğe( availability ) Göre Sınıflandırma Burada dört adet elde edilebilirlik sınıfı olan bir sınıflandırma sistemi önerilmektedir. Bu tamamen Sean Boran ( IT Security Cookbook yazarı) tarafından tavsiye edilen ve kendi tecrübelerine dayanan sınıflandırmadır, bu tip sınıflandırma için belli bir standart yoktur. Elde edilebilirliği arttırmak için, engelleyici ölçüler (preventative measures) downtime olasılığını düşürür, eski haline getirme ölçüleri(recovery measures) ise bir olaydan sonraki downtime ı düşürür. Sınıf 1.Seviye 2.Seviye 3.Seviye 4.Seviye Her olayda azami izin verilen sunucu downtime 1 Hafta 1 Gün 1 Saat 1 Saat Çalışma Günleri? Pazartesi- Pazartesi- Pazartesi- 7 Gün 5
Cuma Cuma Cuma Çalışma Saatleri? 07:00-18:00 24s Beklenen ulaşılabilirlik (availability) değeri? 80% 95% 99. 5% 99. 9% Beklenen azami downtime 1 gün/hafta 2 saat/hafta 20dk. /hafta 12dk. /ay Tablo 1.1 Bilgilerin Sınıfları ve Özellikleri 1.2.2 Duyarlılığa(sensitivity) Göre Sınıflandırma Bu sınıflandırma sisteminde bilgiyi/süreçleri dört seviyeye ayırmayı teklif etmektedir. En düşük seviye en az duyarlı, en üst seviye ise en önemli bilgi/süreç içindir. Kavramlar: Her bilginin bir sahibi vardır. Verinin yada sürecin sahibi bilgiyi güvenlik seviyelerinden biri olarak yasal sorumluluklara, maliyete, politika ve iş ihtiyaçlarına göre tanımlamalıdır. Eğer sahibi verinin hangi seviyede olması gerektiğini bilmiyorsa 3. seviyeyi kullanmalıdır. Sahibi veriye kimin erişebileceğini bildirmelidir. Sahibi bu veriden sorumludur ve güvenliğini sağlamalıdır veya seviyesini uygun olarak belirtip güvenliğinin güvenlik yöneticileri tarafından sağlanmasından emin olmalıdır. Tüm belgeler sınıflandırılmalı ve bu sınıfları en azından başlık sayfada yazılmalıdır. Bir sist em aşağıdaki sınıflar yardımıyla sınıflandırıldıktan sonra bu sistem aşağıdaki belirtilen kendi sınıfının yönergelerine göre kurulmalıdır. Bu sınıflandırmada her sınıf bir önceki sınıfın yönergelerini de içerir. Örneğin sistem için 3 numaralı sınıfı seçersek bu sistem için 1, 2 ve 3. seviye yönergeleri takip etmeliyiz. 6
1. Seviye(Genel/Sınıflandırılmamış bilgi):bu tip sistemlerdeki veriler şirket için bir zarar yaratmadan kamuya ulaşabilir. Veri bütünlüğü (data integrity) çok gerekli değildir. İstenmeyen saldırılar sonucu servisin kaybı kabul edilebilir tehlikelerdir. Örnekler:Gizli bilgi içermeyen test servisleri, kamusal bilgi servisleri, geniş alanlara dağıtılan ürün broşürleri, kamusal alandaki veriler,... 2. Seviye(İçsel bilgi):bu bilgiye dışarıdan erişim engellenmektedir. Bu bilginin kamuya açıklanması çok kritik sonuçlar doğurmaz. ( Örneğin sadece şirketi sıkıntıya sokar). İçsel erişim seçimliktir. Veri bütünlüğü önemlidir ama hayati değildir. Bu tip veriye örnekler geliştirme gruplarında bulunur(elde yaşayan veri bulunmadığı), bazı üretim kamu servisleri, bazı müşteri bilgileri, normal çalışma belgeleri ve proje/toplantı protokolleri, telefon defterleri,... 3. Seviye(Gizli bilgi):bu sınıftaki veriler şirket içinde sır şeklindedir ve dışarıdan erişim tamamen yasaklanmıştır. Bu verilerin dışarıdan erişilmesi şirketin verimini, parasal gelirini düşürebilir, rakip firmalara önemli kazançlar sağlayabilir ve müşteri güvenini düşürebilir. Veri bütünlüğü yaşamsal öneme sahiptir. Örnekler:Ücretler, personel verileri, hesap verileri, şifreler, şirket güvenliğinin zayıflık bilgileri, çok gizli müşteri verileri ve gizli antlaşmalar,... 4. Seviye(Çok gizli bilgi):yetkisiz içeriden yada dışarıdan erişimin engellendiği verilerdir. Bu tip erişimler şirket için çok kritik sonuçlar doğurabilir. Veri bütünlüğü yaşamsal öneme sahiptir. Bu tip veriye ulaşan insan sayısı çok az olmalıdır. Bu tip verinin kullanımında çok kesin kurallar koyulmalıdır. Örnekler:Askeri veri, çok gizli antlaşmalar 1.3 Güvenlik Politikaları Güvenlik politikası güvenlik için uygulanan yönetim stratejisine verilen addır. Bir politika kesin bir güvenlik konusunu irdelemeli, neden gerekiyor/önemli olduğunu ve neye izin var neye yok konularının açıklamasını yapabilmelidir. Değişikliklerin çok fazla gerekmemesi için yeterince genel olmalıdır. Mimariye yada sisteme bağlı olmayan genel yönergeler içermelidir. Politikalar ayrıca yürütmenin de üstesinden gelmelidir ki:politika uygulanmadığı zaman verilecek ceza ölçüleri açık olmalıdır. 7
Politikalar öz olmalıdır, yaratıcılığın ve güvenliğin dengede olması gerekir, uygun araçlarla yedeklenebilmeli ve kolay anlaşılmalıdır. Hizmet müdürleri politikanın uygulanmasında sorumludurlar. Sistem yöneticileri personel politikasını, geliştiriciler de hem personel hem de yönetim politikasını bilmelidirler. Politika personel politikasının mümkün olduğunca kullanıcı dostu ve kısa olabilmesi için farklı bölümlere ayrılmıştır. Böylece personelin onları okuma şansı da artmaktadır. Kritik Başarı Faktörleri:Bilgi güvenliğinin başarılı bir şekilde gerçekleştirimi aşağıdaki şartlara bağlıdır: 1. Güvenlik amaçları ve aktiviteleri iş amaçları ve gereksinimlerini esas almalıdır ve liderliği iş yönetimi tarafından yapılmalıdır. 2. Üst yönetimin gözle görülür destek ve garantisi olmalıdır. 3. Şirketin niteliklerine ve organizasyondaki güvenlik düzeyine göre güvenlik risklerinin(tehditler ve açıklar) iyi anlaşılmış olması gerekir. 4. Güvenlik tüm müdürlere ve çalışanlara iyi anlatılmalı, pazarlanmalıdır. 5. Tüm çalışanlara ve iş ortaklarına güvenlik politikaları ve standartları hakkında ayrıntılı rehberler dağıtılmalıdır. Politika ifadeleri aşağıdaki başlıklar şeklinde gruplanmaktadır: 1.3.1 Tüzel Politika Her iş birimi kendi güvenlik politikasını yaratmaktan sorumludur. Bu politika içerilen risk/tehditlere karşı iş veri ve süreçlerinin korunması için kurallar ve değerlerini, yararlarını ortaya koymalıdır. 1.3.2 Bilgi Güvenliği Politikası Tüm başlıca bilgilerin bir sahibi olmalıdır. Sahipleri bilgiyi sınıflandırmalıdır. Bu sınıflandırma yukarıda anlatılan duyarlılığa göre sınıflandırma ile yapılmalı ve gerekli politikalar yukarıda anlatıldığı gibi olmalıdır. Ayrıca sahipleri bilgilerini korumaktan sorumludur. Sahipleri bu bilgiye kimin ulaşabileceğini açıklamalıdır. 8
Sahibi verisinden sorumludur ve veriyi güvenli kılmak yada sınıflandırarak başkaları tarafından güvenli kılınmasını sağlamalıdır. 1.3.3 Personel Güvenlik Politikası Etik:Kullanıcılar:hesapları ve şifreleri paylaşmak, sistem şifre dosyalarında şifre kırıcılar çalıştırmak, ağ veri yakalayıcı (sniffer) çalıştırmak, diğer hesapları kırıp girmek, servisi bozmak, sistem kaynaklarını kötüye kullanmak, e-postayı yanış kullanmak, sahibine sormadan diğer bilgisayarlarla ilgilenmek, dosyalarla uğraşmak, PC çalıştırılabilir dosyaları izinsiz indirmek, lisanslanmamış yazılımları kopyalamak ve dağıtmaktan men edilmelidirler. Şifre Politikası:Kullanıcı adı ve şifre kullanıcıyı sisteme tanıtan önemli bir çifttir. İyi bir şifre politikası istenmeyen erişimler için en önemli bariyerdir. İçerik:Sayıların, harflerin, noktalama işaretlerinin karışımı olmalıdır. Bir yere yazmadan hatırlanabilir olmalıdır. Hızlı yazabilme imkanı olmalıdır böylece izleyici takip etmekte zorlanır. Örnekler:Bir şiir veya şarkının birkaç satırındaki kelimelerin ilk harflerini kullanma, iki küçük harfin garip bir karakterle birlikte kullanımı, bir kısaltma yaratımı. Kötü Örnekler:Ayların, günlerin, kişilerin, hayvanların isimleri; telefon, adres, kayıt numaraları; yaygın sözlük kelimeleri; tanımlanabilir harf, sayı serileri, takip edilebilen klavye kombinasyonları;yukarıdaki örneklerin başına yada sonuna sayı getirilmiş hali. Rehberler:bir yere yazma, e-posta ile gönderme, default şifreleri kullanma, başkalarına şifre verme, eğer şifreler ele geçirildiyse hemen değiştir, yönetici şifresini paylaşmaktan kaçın, farklı sistemlerde aynı şifrelerin kullanılabilmesine olanak sağla böylece kullanıcı tek şifreyi aklında tutacağı için daha iyi bir seçim yapar, kullanıcıları şifrelerin çalınma yöntemleri hakkında bilgilendir, kurulan programların default şifrelerini değiştir, şifreler girilirken görülmemelidir(* karakteri gözükebilir), şifreler için minimum yaş, maksimum yaş, minimum uzunluk ve geçmiş listesi tanımlanmalıdır, izin verilmiş şifreler için belli tanımlar olmalıdır ve seçilen bu tanımlara göre şifre kontrol edilip uygunsa kabul edilmelidir, kullanıcılar başkasının şifresini değiştirememelidir ama hesap operatörleri bunu yapabilmelidir, ilk girişte şifre değiştirmeye kullanıcıyı zorla, daha güçlü tanıma sistemlerini kullanmayı düşünün, mümkünse kullanıcıya otomatik şifre üretme mekanizması sun, zayıf şifreler için bir şifre kontrolcüsü haftada bir sistemi test etmelidir. Genel Yazılım Politikası: 9
Genel alan yazılımları 1 ve 2. seviyelerde TCB (DOS/Windows olmayan) ile çalışan sistemlerde kullanılmalıdır, eğer sistem yöneticisi kurulumdan sorumlu ise sahip/kaynakların entegrasyonundan sorumludur. 3. Seviyede genel alan yazılımlarından kaçınılmalıdır. Eğer gerekli ise kaynak kodun incelenmesi yada (kaynak kod çok büyükse) bu yazılımlar daha önce test edilmiş güvenilir bir yazılımsa kullanılmalıdır. Lisanslanmamış yazılımlar kullanılmamalıdır. Unix set-user-id (SUID) ve set-group-id (SGID) scriptleri yasaklanmalıdır. Güvenilir perl yada derlenmiş programlar kullanılmalıdır. (SUID ve SGID scriptleri güvenli değilse sisteme giren normal bir kullanıcının bunları kullanarak sisteme yönetici olarak bağlanmasını sağlayabilir.) Ağlar: 1. Gizli Bilgi:Ağlar üzerinden gönderilen önemli, gizli bilgiler şifrelenmelidir. 2. Ağlara Bağlantı: Şirketin ağı dışından bir yerden kullanıcı ağdaki makinelere bağlanamaz. Dış ağlara bağlanmak için bir ateş duvarı kullanılmalıdır. Tüm ateş duvarları şirket güvenliği tarafından kurulmalı ve bakımı yapılmalıdır. 3. Modemler:Kullanıcılar kendi makineleri üzerinden modem bulundurmamalıdır. Dışarıdan modemle şirket ağına bağlantı sadece belli bazı kullanıcıların hakkı olmalı ve bunlar çok güvenli tek-seferlikşifre mantığı gibi mekanizmalar kullanmalıdır. 4. E-Posta:Gizlilik yada iletildiğine dair belge sunmayan geleneksel e- posta sistemlerinden kaçınmak gerekir. Çoğu sistemde sistem yöneticisi e-postaları okuyabilmektedir. 2. Seviye veriler iç ağ üzerinde şifrelenmeden gönderilebilirken 3. seviye veriler şifrelenmelidir. 4. Seviye verilerin e-posta ile gönderilmemesi iyi olur. Sadece 1. seviye yada sadece belli projeler için izin verilmiş olan veriler e-posta ile gönderilmelidir. Kullanıcılar e-posta ile gelen herhangi bir dokümanı açmaktan kaçınmalıdır güvenli olduğundan emin olduktan sonra açmalıdır. 10
Internet:Çağımızda İnternete bağlanmak şirketler ve geliştirme birimleri için bir olmazsa olmaz şartlardan biri olmuştur. Fakat İnternetin yapıdan ve kontrolden yoksun olması beraberinde bir sürü tehlike getirmesine olanak sağlamaktadır: Gizli bilginin açığa çıkması Hacker denilen kırıcılar tarafından şirket ağının saldırıya uğrayıp zarar görmesi Verinin silinebilme veya değiştirilme olasılığı Sisteme erişim sistemin aşırı yüklenmesi sonucu zorlaşabilir(dos Saldırıları-Denial of Service) Eğer kullanıcılar İnternete erişebileceklerse İnternetin tehlikelerinden, tehditlerinden haberdar olmalı ve şirketin belirleyeceği politikalara uymalıdırlar. Tüm İnterne te erişim ve İnternete gönderilen veriler şirket güvenliği için onaylanmış gateway ler üzerinden sağlanmalıdır. Kim standart (WWW) İnternet erişimi hakkına sahiptir? Ne zaman erişime izin verilmiştir? Hangi İnternet istemci yazılımına izin verilmiştir? Internet ne için kullanılamaz?(örneğin pornografik sitelere erişim, tehlikeli lisanslanmamış yazılım indirme, vb.) Kim İnternet servislerini hangi şartlarda sağlamalıdır?(örneğin kabul edilen ateş duvarı politikası, sadece 1. seviye verilerin yayınlanması gibi) Dizüstü ve taşınabilir bilgisayarlar:çalışanların yolda daha verimli olmalarını sağlayan ve mekan önemi olmadan çalışmalarını sağlayan dizüstü/taşınabilir bilgisayarlar verinin çalınması, açığa çıkması ve şirket ağına izinsiz giriş gibi riskler yaratabilir. Bu yüzden özel bir politikaya ihtiyaçları vardır. Önemli noktaları şöyle sıralayabiliriz: Dizüstü bilgisayar kullanımı konusunda kullanıcılar eğitilmeli Bazı programlarda şifre koyup koruma yöntemi işini bilen kişiler için aşılması çok kolay bir yöntemdir. Yeterli değildir. Genellikle taşınabilir disk kullanımı bu diskin daha güvenli yerlerde, cepte, çantada taşınmasına olanak sağlayabilir, tercih edilmelidir. 11
Aşağıda da mümkün olabilecek politikalar görülmektedir: Dizüstü bilgisayarlar işin uzmanı BT çalışanları tarafından kurulmalı, bakımı yapılmalıdır. Mümkünse bir dosya şifreleme programı standart olarak kullanılsın. Unix, NT ve türevlerinden oluşan işletim sistemleri kullanılmalı böylece normal bir kullanıcı sisteme tam erişim sağlayamaz. Şirket dışında her kullanıcı kullandığı dizüstü bilgisayarından sorumludur. Otomatik şifre soran ekran koruyucular ve bilgisayar ilk çalıştığında şifre soran mekanizmalar kullanılmalıdır. Aktif bir virüs tarayıcısı kurulu olmalıdır. Genel taşıma araçlarında dizüstü bilgisayarlar özel çantasıyla elde taşınmalıdır. 3. Seviye veriler şifrelenmedikçe dizüstü bilgisayarlarla taşınmamalıdır. Kullanmıyorken bilgisayarı kapatmalı Başka ağlardan ulaşabilen bilgisayarlarda şifreler saklanmamalıdır. İletişim: o Şifrelenmemişse 3. seviye verileri güvensiz ağlarda iletmemeli. (İnternet, Mobil-GSM, Kızılötesi vb.) o Şirketin yerel ağına erişim ağ erişim politikasında tanımlanmalıdır. o Kullanmıyorken modemler kapatılmalıdır. 1.3.4 Bilgisayar ve Ağ politikası Sistem Yönetim Politikası: Yönetim politikasını kim ve nerede günceller? Kimin hak verme, kullanım izni verme hakkı vardır?kim sistem yönetim haklarına sahiptir? Yöneticinin hak ve sorumlulukları nelerdir? 12
Kullanıcılar kendi iş istasyonlarında yönetici hakkına sahip olma iznine sahip mi? Geçerli dizin hiçbir zaman yönetici kullanıcıların dizin arama yolunda olmamalıdır. (Trojan atlarından korunmak için) Erişim Kontrolü: Tüm kullanıcılar doğrulanmalıdır. Kullanıcılar kendi alanlarındaki kendi nesnelerinin haklarını ayarlayabilmelidir. Kullanıcılar paylaşılan dizinlerde başka kullanıcıların dosyalarını silmekten men edilmelidir. 3. Seviye:Sadece konsol yardımıyla root erişim izni verilmesi uygundur. 3. Seviye:Sistemdeki tüm nesnelere kullanıcı erişiminin kontrolü belli bir politikaya göre mümkün olmalıdır. 3. Seviye:Kullanıcılar diğer kullanıcılara verilen erişim kontrolünü gözden geçirmemelidir. Verilerin seviyelerine göre etiketlenmesi mümkün olmalıdır. 4. Seviye:Zorunlu erişim kontrolü mümkün kılınmalıdır. 1.4 Fiziksel Güvenlik 1.4.1 Binalar Alanlar belirlenmelidir. Örneğin: o 1. Alan:Kamuya açık alanlar o 2. Alan:Sadece şirket çalışanlarına açık alanlar o 3. Alan:Korunan alanlar. Sadece kimlikle girilebilen alanlar, erişim katı bir şekilde kontrol edilir. İçeriden eşlik edilmeyen dış erişimlere izin verilmez. Binalar ofis saatleri dışında mutlaka kilitlenmelidir. Ofis saatlerinde de erişim resepsiyon üzerinden yapılmalıdır. 13
Kamuya açık alanlarda ateş duvarı olmadan iç bilgiye erişen bilgisayarlar olmamalıdır. 3. Seviye sunucu odaları kilitlenmeli ve mümkünse elektronik kart ile erişim sağlanmalıdır. 3. Seviye sunucuları uzaktan monitör izlenmesi, modem izlenmesi, radyasyon ölçümü ile monitör görüntüsü yaratılması(van Eck Radyasyon yöntemi ile gözetleme(snooping)) yöntemlerine karşı korumak gerekir. Sistemler elektromanyetik akımlara karşı korumak gerekir. 4. Seviye sunucu odaları kilitlenmelidir, erişim kartı kullanılmalı ve çok az insanda bu kart olmalıdır. 4. Seviye sunucu odaları 24 Saat/7 Gün güvenlik personeli tarafından gözlem altında tutulmalıdır. 3. Seviye için bir felaket, yangın, çalınma, patlama, vb. olaylarda kullanılmak üzere felaket planları, senaryoları yapılmalıdır. 1.4.2 Verinin Taşınması Verinin ne şekilde(aleni, gizli, şirket içi,..), hangi tip ürünlerle(disk, CD, disket, kaset, kağıt, bilgisayar,..) taşınacağı hakkında şirket içinde bir politika olması gerekmektedir. Ve her seviye güvenlik için bu politika gerekiyorsa değişmelidir. 1.4.3 Yedeklemeler 3. Seviye verilerin yedekleme üniteleri kilitli dolaplarda veya kilitli odalarda tutulmalıdır. Ayrıca bu veriler için alınan bazı düzenli yedeklemeler (örneğin ayda bir alınan) alandan başka bir yerde saklanmalıdır. (Başka bir bina, departman, vb.) Yedeklemeler sadece güvenli yöntemlerle taşınmalıdır. (Para transferinde olduğu gibi) 1.4.4 Diskler Disketler ve taşınabilir diskler sıklıkla virüs ve yasal olmayan yazılımlar için kaynak olmaktadır(e-postada bu durumdadır). Ayrıca bunlar gizli bilgilerin yasal olmayan bir şekilde kopyalanmasında kullanılabilir. Disketlerden veri silindiği zaman bu veriler bir daha geri getirilemeyecek şekilde silinmelidir. Kullanıcılar güvenilir ağ, ağ yazıcıları, dosya sunucuları, ve e-postaya sahiplerse disket sürücülere gerek yoktur. 14
Taşınabilir diskler ve disketler(bu kelimeyle sadece disketler değil tüm taşıma ürünleri kastedilmektedir.) sadece gerekli olduklarında kullanılmalıdırlar. 3. Seviye verilerin disketlere kopyalanmaması gerekir. 3. Seviye verilerin güvenliği eğer güvenli bir ağ varsa disket sürücülere gerek yoktur. Taşınabilir diskler daha uygundur ama bunlar kilitli bir kasada tutulmalıdır. 4. Seviye veriler şifrelenmelidir. Eğer iç ağın yeterince güvenilir olmadığı düşünülüyorsa kaydedilebilir. dosyalar yerel olarak şifrelenip daha sonra ağ sunucusuna 3. Seviye veri güvenliği için gizli disklerin onarılması engellenmelidir, yok edilmelidir. Veri diskleri sınıflandırılmalı ve seviyeleri üzerlerine yazılmalıdır. Saklama ürünlerini etkileyecek elektromanyetik akımlara karşı korumak gerekir. 1.4.5 Dizüstü Bilgisayarlar 3. Seviye veri içeren dizüstü bilgisayarların sabit diskleri şifrelenmelidir ve korunmalıdır. Ve bir bilgisayarı korumakta kullanılan mekanizmalarla güvenlik güçlendirilmelidir. (Ateş duvarları, antivirüs yazılımları, vb.) 1.4.6 Yazıcılar Gizli bilgileri yazdırmada sadece yöneticilerin odalarındaki yada erişimin kısıtlandığı odalardaki yazıcılar kullanılmalıdır. 1.4.7 Bilgisayarlar EPROM şifreleri kullanılmalıdır. Açmak için de güvenli işletim sistemleri ve şifre ile erişim kullanılmalıdır. Şifreyle durdurulan ve 15 dakikada devreye giren ekran koruyucuları kullanılmalıdır. Bilgisayarlar mümkünse kilit altında tutulmalıdır. Güvenlik mekanizmaları mutlaka her bilgisayarda bulunmalıdır. 15