1. GİRİŞ Dünyada olduğu gibi ülkemizde de bilişim tek-nolojilerinin yaygınlaşması ve kullanımı hızla artmakta-dır (1–3). Bu teknolojilerin kullanımı ülkemizde hızla yaygınlaştırılmaya çalışılırken, geliştirilmesi ve etkin kullanımı konusunda birçok yetersizlik söz konusudur. Gelişen bilişim teknolojilerinin etkin kullanımında ol-ması gereken seviyenin oldukça altında bulunduğumuz ve bilgi toplumunun ana unsurları olan kullanım yay-gınlığı, etkin kullanım, kültür ve üretim gibi konularda ise gerilerde olduğumuz bilinmektedir (3). Bilişim tek-nolojileri ile bu teknolojilerin hammaddesi, girdisi ve çıktısı olan bilginin önemi tam olarak anlaşılmış değil-dir. Bilginin ne olduğu ve ne gibi bir öneme ve potansi-yele sahip olduğu yeterince anlaşılmadığından; bilişim teknolojileri ve bilgi güvenliği konusunda gereken ehemmiyet gösterilememektedir (3–9). Bu çalışmada; bilgi güvenliğine gerekli önemin verilebilmesi için ge-nel olarak önemli kavramlar incelenmiş, bilgi ve bilgi-sayar güvenliği konuları, unsurları ve süreçleri üzerinde durulmuş ve yüksek derecede bir güvenlik için uygu-lanması gerekenler açıklanmıştır. Bunun sonucunda; bilgi ve bilgisayar güvenliğine neden önem verilmesi gerektiği ve bilgi güvenliğinin en temel anlamda nasıl oluşturulabileceği gibi sorulara kapsamlı cevaplar aranmaya çalışılmıştır. Bu çalışmanın bilginin ve onun daha ilerisinde özbilginin önemi, bu önemi algılayıp elde bulunan ve kullanılan bilginin korunmasına yönelik güvenlik süreçlerinin oluşturulması aşamaları, belirli bir sistematik içerisinde açıklanmıştır. Bu çalışmada, Bölüm 2’de veri, bilgi ve özbilgi kavramları genel olarak incelenmektedir. Bilginin ne gibi özellikler içerdiği; gerçeklikten hikmete ulaşmak için aşılması gereken veri, bilgi ve özbilgi basamakları bu bölümde aktarılmaktadır. Bilgi kullanımında bilişim teknolojilerinin etkisi ve yaygınlığı yine bu bölümde istatistiklerle ortaya konulmuştur. Bilgi ve bilgisayar güvenliği ile bu sistemlere yapılan saldırılar Bölüm 3’de incelenmiştir. Eksiksiz bir bilgi güvenliğinin taşıması gerektiği unsurlar Bölüm 4’de aktarılmaktadır. Bilgi güvenliğinin bu unsurları karşılaması için oluşturulması gereken güvenlik politikasını meydana getiren temel güvenlik süreçleri; önleme, saptama ve karşılık verme Bölüm 5’de açıklanmıştır. Bölüm 6’da bu çalışmadan elde edilen sonuçlar ve yapılan değerlendirmeler sunul-muştur.

» Nüve Forum » akademik » Mühendislik Fakültesi » Bilgisayar Mühendisliği Bölümü »

2. VERİ, BİLGİ ve ÖZBİLGİ Bilginin yaşadığımız çağa damgasını vuran bir varlık olduğu bir gerçektir. Bu açıdan bakıldığında, çağımızın altın değerindeki hammaddesi olan bilgiyi tanımlamak, kavramak ve bilgi ile ilgili hususları incelemek, insanlığın başlangıcından itibaren geçen süreçte ileriye yönelik gelişimimizi şekillendirmenin en önemli anahtarıdır (6). Günümüzde bilgi ön plana çıkmış gibi gözükse de, aslında bilgi; dünün ve bugünün anahtarları iken, geleceğin şekillenmesinde de her zaman anahtar rollere sahiptir.
Bilginin doğası ile ilgili aşağıda derlenen sözler, bilginin değerini ve boyutlarını bir kez daha gözler önüne sermek açısından faydalı olabilir (10).
Bilgi;
• boşlukta ve zamanda yer kaplar.
• gürültü çıkarmadan hareket edemez.
• hareketi için enerji gerekir.
• yaşam ve herhangi bir düzenli etkinlik için gereklidir.
• hem maddesiz biçim, hem biçimsiz maddedir.
• ağırlığa sahiptir. Bir giga bayt, bir parmak izinden daha az ağırlıktadır.
• zaman içinde hareketli veya donmuş olabilir.
• bir soruya tatmin edici, belki de rahatsızlık verici bir cevaptır.
• katı hale sahiptir, donarak katılaşır (depolama).
• sıvı hale sahiptir, akar (iletişim).
• bir yerlerde bilgi hareket eder, evren gümbür-der ve gerçeği gürler.
• maddeden farklı olarak bilgi aynı anda birden fazla yerde olabilir.
• el sıkışma, baş sallama, bakış veya iç çekiştir.
• rastsallık denizinde parlar.
Bilgi çağında ilerlemek, bir merdivenin basamaklarını kullanarak bir üst seviyeye çıkmaya benzetilebilir (11). Şekil 1’de gerçeklik (reality) ile hikmet (wisdom) arasında gösterilen bu merdivenin basamakları, veri (data), bilgi (information), özbilgi (knowledge) basamaklarıdır. Çoğu durumda, her basamak, atlanmadan teker teker geçilir. Yukarıya çıktıkça elimizdeki şe-yin miktarı azalırken, değeri artar. Yine yukarıya çık-tıkça, bir sonraki basamağa adım atmak daha da zorlaşır veya daha çok çaba ister. Bu yüzden, merdivenin alt basamaklarında verinin ve bilginin paylaşımı daha kolay iken yahut insanlar veya çalışanlar elde ettikleri veri ve bilgileri paylaşmaya daha açık iken, daha yukarı çıkıldı-ğında özbilginin paylaşımı için aynı şey söylenemez (12). Genel olarak bilimin getirdiği yöntemlerden, ölçme ile eldeki gerçeklikten veriye, ispat ile veriden bilgiye ve kavrayış ile bilgiden özbilgiye ulaşılır (13). Özbilgiden hikmete ulaşma, sentezleme içeren bir düşünüş gerektirir. Bu düşünüş, fikirlerin öyle bir şekilde bir araya getirilmesidir ki ulaşılan bütün parçalarının toplamından daha büyüktür (14).
Bir başka gözlem de, merdivenin alt basamaklarında, daha algoritmik ve programlanabilir bir yakla-şıma ihtiyaç duyulurken, daha yukarı basamaklar, algoritmik olmayan ve programlanamayan bir yapı arz etmesidir (15). Veri ve bilginin iletiminde bilişim teknolojileri kullanılabilirken, özbilgi de buna ek olarak insan etkeni de işin içine girmektedir (16). Bir özbilginin gerçeklik haline dönüştürülmesi için yönetim biliminden yararlanılır.
Bilgi ve özbilgi kavramları veya basamakları, ülkemizde çoğu kez birbirleri ile karıştırılmaktadır (3). Bu sebepten dolayı, ilgili kavramlar takip eden paragraflarda detaylı olarak tanımlanmış ve açıklanmıştır.


» Nüve Forum » akademik » Mühendislik Fakültesi » Bilgisayar Mühendisliği Bölümü »

Verinin; İngilizce karşılığı olarak kullanılan “data”, Latince “datum” kelimesinden (çoğul şekli “data” ve “vermeye cesaret etmek” fiilinin geçmiş zamanı, dolayısıyla “verilen şey”) gelmektedir. Latince “data” (dedomena) kavramının M.Ö. 300 yıllarında Öklid’in bir çalışmasında geçtiği bildirilmektedir (17). Dilimizde de “verilen şey” anlamında, “veri” olarak kullanılmaktadır. Bilişim teknolojisi açısından veri, bir durum hakkında, birbiriyle bağlantısı henüz kurulmamış bilinenler veya kısaca, sayısal ortamlarda bulunan ve taşınan sinyaller ve/veya bit dizeleri olarak tanımlanabilir.
Bilgi; verinin belli bir anlam ifade edecek şe-kilde düzenlenmiş halidir. Bu aşamada, veri ve ilişkili olduğu konu, bilgi üretecek şekilde bir araya getirilir. İşlenmiş veri olarak da ifade edilebilecek bilgi, Shannon tarafından “bir konu hakkında var olan belirsizliği azaltan bir kaynak” olarak tanımlanmıştır. Kısaca, veri üzerinde yapılan uygun bütün işlemlerin (mantığa dayanan dönüşüm, ilişkiler, formüller, varsayımlar, basitleştir-meler, v.s.) çıktısı, bilgi olarak ifade edilebilir.
Özbilgi; tecrübe veya öğrenme şeklinde veya iç gözlem şeklinde elde edilen gerçeklerin, doğruların veya bilginin, farkında olunması ve anlaşılmasıdır.
Verileri bir araya getirilip, işlenmesiyle bilgiyi oluştursa da özbilgi, kullanılan bilgilerin toplamından daha üstte bir kavramdır. Bir güç oluşturabilecek, katma değer sağlayabilecek veya bir araç haline dönüşmek üzere, daha fazla ve özenli olarak işlenmiş bilgi, asıl değerli olan özbilgidir. Özbilgi, ne olduğunu (know-what), niçin olduğunu (know-why), nasıl olduğunu (know-how) ve kim olduğunu (know-who) bilmek şeklinde dört sınıftan oluşur. Ne olduğunu bilmek, gerçeklerin toplamıdır ve bilgiye en yakın olan sınıftır. Niçin olduğunu bilmek, teknolojik gelişmenin altında yatan ilke ve yasaların açıklandığı bilimsel özbilgidir. Nasıl olduğunu bilmek, bir şeyi yapabilme becerisidir. Kimin olduğunu bilmek, kimin neyi ve kimin neyi nasıl yapılacağını bildiğini bilmek olarak özetlenebilir (18).
Hikmet (wisdom), tasavvur, ileri görüş ve ufkun ötesini görme yetisi ile en ileri seviyede soyutlama ve bir kişinin özel bir iş sahasındaki meslek hayatı boyunca elde edilmiş deneyimin özüdür (19). Hikmet, ayrıca, güvenilir yargıda bulunmak ve karar vermek için özbilginin nasıl kullanılacağını kavramak olarak da tanımlanmaktadır (20).

Veri, bilgi, özbilgi ve hikmet gibi kavramların bilişim teknolojilerinin temel yapı taşları olduğunu göz ardı etmemek gerekir. Bu bakış açısı, bilginin önemini ve bilgi ve bilgisayar güvenliğini her zaman öncelikli bir konumda tutmakta yardımcı olacaktır. Her ne kadar, bilgi ile ilgili belirtilen kavramlar, burada bilişim teknolojileri ve özbilgi yönetimi açısından değerlendirilse de bu kavramların altında binlerce yıllık bir insanlık medeniyetinin yattığını da hatırlatmak gerekir. Bilginin önemini kavrayan tarihteki her uygarlık, onu korumaya yönelik olarak, farklı güvenlik yöntemleri geliştirmiş-lerdir (7–9).
Günümüzde bilginin üretilme, depolanma, korunma, kullanılma, paylaşma, yayılma, etkileşme ve artma hızı, teknolojinin getirdiği hızlı bilgi işleme ve iletişim araçları ile baş döndürücü bir hal almıştır. Bilgisayar ve haberleşme teknolojilerinde yaşanan baş döndürücü gelişmeler ve özellikle İnternet’in katalizör etkisi ile insanların çalışma, iletişim kurma ve her türlü günlük ihtiyaçlarını karşılama biçimi sürekli bir dönüşüm halindedir (21).
İnternet’in ulaştığı boyutları ortaya koymak açısından yapılan bir çalışmanın sonuçlarını burada aktarmak yerinde olacaktır. Çizelge 1’de Kasım 2005 tarihi itibari ile dünyada İnternet kullanımının her bir bölge için ne kadar olduğu ve 2000–2005 yılları arasındaki İnternet kullanımı artışı gösterilmektedir. Sunulan raporda, dünya nüfusunun %15’i (964 289 701 kişi) İnternet kullanmaktadır. İnternet kullanıcı sayısındaki artış 2000–2005 yılları arasında %167,1’dir. Bu süreler zarfında kullanıcı artışının en çok olduğu bölgeler %428,7 ile Afrika, %370,4 ile Ortadoğu ve %302,9 ile Latin Amerika/Karayip bölgeleridir.
Ülkemizde bilişim teknolojilerin kullanımına yönelik bir araştırma mevcuttur. İstatistik Enstitüsü tarafından Nisan-Haziran 2005 aylarında 10151 hanedeki 27013 birey ile yapılan yüz yüze görüşme ile gerçekleştirilen Hanehalkı Bilişim Teknolojileri Kullanımı Araştırması sonuçlarına göre kent-kır ve cinsiyete göre bilgisayar ve İnternet kullanım oranları gösterilmektedir. Bu araştırmada, hanelerin %8,66’sının İnternet’e erişim imkânına sahip olduğu, bilgisayar ve İnternet kullanım oranlarının sırasıyla %17,65 ve %13,93 olduğu belirtilmektedir. Çizelge 1’den de görülebileceği gibi kırsal kesimde bilgisayar ve İnternet kullanımı kentlere göre daha düşüktür ve kullanıcıların çoğunluğu erkektir.
Çizelge 2’de verilen araştırma sonuçlarından da görülebileceği gibi gerek ülkemizde gerekse dünyada bilgisayar ve İnternet kullanımı gittikçe yaygınlaşmak-tadır. İnsanlar, İnternet’i bilgiye ulaşmak için daha uygun bir ortam olarak değerlendirmekte ve kullanmakta-dır. Amerika Birleşik Devletleri’nde 2003 Ocak ayında Google, AOL Search, Yahoo, MSN Search, Ask Jeeves, InfoSpace, AltaVista, Overture, Netscape, Earthlink, Looksmart ve Lycos İnternet arama motorlarında günlük yapılan arama sayısı toplam olarak 319 milyon olarak belirtilmiştir (22). Bu sayının günümüzde çok daha fazla olduğu değerlendirilmektedir.
Üretilen bilgilerin büyüklüğü, saklanması ve aktarılması da önemli konulardandır. Üretilen bilgi; kâğıt (kitap, gazete, büro belgeleri, süreli yayınlar, mektup v.s.), film (fotoğraf, sinema, televizyon film ve dizileri, video, x ışını), manyetik (video, ses ve sayısal bant, miniDV, disket, zip, flash ve sabit disk) ve optik (ses CD, CD ROM ve DVD) saklama ortamlarında depolanmakta; telefon, radyo, televizyon ve İnternet gibi elektronik kanallar aracılığıyla akmaktadır.
Yıllara göre üretilen toplam bilgiyi çıkartmaya yönelik bir araştırmaya göre 2002 yılında bu dört bilgi saklama ortamında depolanan yeni bilginin kapasitesi toplam 5 eksa bayt’tır (1018 bayt’tır). Amerikan Kongresi Kütüphanesinde var olan basılı koleksiyonun tamamının 10 tera bayt’lık bir bilgi kapasitesinde olduğu düşünülürse, 2002 yılında üretilip depolanan yeni bilgi, 100 000 Amerikan Kongresi Kütüphanesindeki bilgiye denk düşmektedir. 2002 yılında üretilen 5 eksa bayt’lık verinin %92’si çoğunlukla sabit disk olmak üzere manyetik ortamda saklan-maktadır. Yine bu araştırmanın sonuçlarına göre 2002 yılında 18 eksabayt’lık yeni bilgi telefon, radyo, televizyon ve İnternet aracılığıyla akmaktadır. Bu bilginin %98’i hem ses hem de veri dâhil olmak üzere telefon aracılığıyla gönderilmiş ve alınmıştır. 2002 yılında İnternet üzerinden akan veri miktarı 0,5 eksa bayt’tır (23).
Günümüz insanı, günlük yaşamında bile yoğun bir bilgi bombardımanı altındadır. Bu yüzden bilgiye erişimde seçici yöntemler kullanılarak, doğrudan ula-şılmak istenilen bilgiye eriştirecek yöntemler geliştiril-melidir. Bilgiye etkin bir şekilde ulaşım ve bilgi işleme ile ilgili bu konular bu çalışmanın kapsamı dışındadır.
Bilgi ile ilgili bir başka önemli konu da, bilginin taşıdığı değerdir. Bilginin değerli veya değersiz oldu-ğunu belirlemek veya bilginin taşıdığı değeri ölçmek, en az bilginin kendisi kadar önemlidir. Elde edilen bilgiyi değerlendirirken, bilginin kalitesini gösteren özelliklere bakılması gerekir. Doğruluk, güncellik, konuyla ilgili olma, bütünlük ve öz, gereksinimlere uyum gösterme, iyi sunulma ve fiziksel ve idrak yolu ile erişim gibi ölçütler bilginin kalitesini belirleyen etmenlerden bazıla-rıdır (24).
Bilginin çok önemli bir varlık olması, ona sahip olma ile ilgili bazı konuların düzenlenmesi ve yeni şartların getirdiği özelliklere göre ayarlanmasını gerekmektedir. Bilgi, en basit benzetme ile para gibi bir me-tadır. Kişiler, kurumlar ve ülkeler için bilgi, elde edilmesi zor, aynı zamanda elde tutulması da zor bir meta-dır. Entelektüel mülk (intellectual capital, property) olarak tanımlanan bu meta, bir kurumun bilgi ve özbilgi varlığıdır (25). Bu mülkün korunması, hayati bir önem arz etmektedir. Bu korunma, hem bilgi kullanımındaki karmaşayı, yozlaşmayı ve kötüye kullanımı önleyeceği gibi hem de bilgiyi bir çaba göstererek elde eden tüzel veya gerçek kişilerin haklarının korunmasını da sağlayacaktır. Bu sayede firmalar, çetin rekabet ortamında, sahip oldukları fark yaratan ve aynı zamanda koruyabildikleri entelektüel mülk ile avantajlı konumlarını koruyabilmektedirler (26). İşte bu yüzden patent, telif hakkı ve ticari marka gibi haklar, entelektüel mülkü korumak amacıyla oluşturulmuştur (27). Fakat bilginin korunması, daha doğrusu bilginin güvenliği, özellikle elektronik ortamda çok daha kapsamlı bir konudur.
Bilginin değerinin olması, bu değeri elde etmek için emek ve zamanın harcanması ve kazanılan bilginin fark yaratması nedeniyle bilgi, korunması gereken bir varlık olarak görülmektedir (28). Bu açıdan bilginin korunmasına yönelik olarak, bilgi güvenliği, dünya gündeminde olan ve bundan sonra daha da önemini arttırarak devam eden bir konu olarak karşımıza çıkmaya devam edecektir.


» Nüve Forum » akademik » Mühendislik Fakültesi » Bilgisayar Mühendisliği Bölümü »

3. BİLGİ VE BİLGİSAYAR GÜVENLİĞİ
Bilgi güvenliği, elektronik ortamlarda verilerin veya bilgilerin saklanması ve taşınması esnasında bilgilerin bütünlüğü bozulmadan, izinsiz erişimlerden ko-runması için, güvenli bir bilgi işleme platformu oluş-turma çabalarının tümüdür. Bunun sağlanması için, uygun güvenlik politikasının belirlenmeli ve uygulanmalı-dır. Bu politikalar, faaliyetlerin sorgulanması, erişimlerin izlenmesi, değişikliklerin kayıtlarının tutulup değer-lendirilmesi, silme işlemlerinin sınırlandırılması gibi bazı kullanım şekillerine indirgenebilmektedir. Bilgi güvenliği daha genel anlamda, güvenlik konularını de-taylı olarak ele alan “güvenlik mühendisliği”nin bir alt alanı olarak görülmektedir.
Bilgi ve bilgisayar güvenliğinde, karşı taraf, kötü niyetli olarak nitelendirilen kişiler (korsanlar veya saldırganlar) ve yaptıkları saldırılardır. Var olan bilgi ve bilgisayar güvenliği sistemini aşmak veya atlatmak, zafiyete uğratmak, kişileri doğrudan veya dolaylı olarak zarara uğratmak, sistemlere zarar vermek, sistemlerin işleyişini aksattırmak, durdurmak, çökertmek veya yık-mak gibi kötü amaçlarla bilgisayar sistemleri ile ilgili yapılan girişimler saldırı veya atak olarak adlandırıl-maktadır. Saldırganlar, amaçlarına ulaşmak için çok farklı teknikler içeren saldırılar gerçekleştirmektedirler. Saldırı türlerinin bilinmesi, doğru bir şekilde analiz edilmesi ve gereken önlemlerin belirlenmesi, bilgi güvenliği için büyük bir önem arz etmektedir.
Bilgi güvenliği, “bilginin bir varlık olarak hasarlardan korunması, doğru teknolojinin, doğru amaçla ve doğru şekilde kullanılarak bilginin her türlü ortamda, istenmeyen kişiler tarafından elde edilmesini önleme olarak” tanımlanır. Bilgisayar teknolojilerinde güvenli-ğin amacı ise “kişi ve kurumların bu teknolojilerini kullanırken karşılaşabilecekleri tehdit ve tehlikelerin analizlerinin yapılarak gerekli önlemlerin önceden alınmasıdır”.
Özellikle ülkemizde, ne yazık ki, birçok kurum ve kuruluşun ve her seviyeden bilgisayar kullanıcısının çoğunlukla bilgi ve bilgisayar sistemlerine ve bilgi güvenliğine bakış açısının yeterli seviyede olmadığı tespit edilmiştir (4, 29). Kasım-Aralık 2004 tarihleri arasında yapılan bir araştırmada, 800 civarında ADSL abonesi ve 500’ün üzerinde şirketin güvenlik sisteminin denetlenmesi ile gerçekleştirilen “Türkiye İnternet Güvenliği Araştırması” sonuçlarına göre şirketlerin %27'sinin bilişim sistemlerinde çok yüksek seviyede açıklar gözlenmiş, ADSL abonelerinin %72’sinin güvenlik duvarı yapılandırmalarında ciddi açıklar görülmüştür (4).
Türkiye Bilimsel ve Teknik Araştırma Kurumu TÜBİTAK’ın Yönlendirme Kurulu, yapmış olduğu “Bilim ve Teknoloji Strateji Belgesi” çalışmasında (30), ülkemizin 2023 yılına ışık tutacak bilim, teknoloji ve yenilik ufkunu belirlerken, bilgi toplumuna geçiş için, teknolojik altyapının güçlendirilmesi hedefi doğrultu-sunda yapılması gerekenler arasında bilgi güvenliği konusunun göz ardı edilmeyip çeşitli stratejilerin belirlen-miş olması ümit vericidir.
Şekil 2’de gösterildiği gibi, saldırılar zamanla ve gelişen teknoloji ile oldukça farklılıklar göstermektedir. Parola tahmin etme ya da işyerlerinde kâğıt notların atıldığı çöpleri karıştırma gibi basit saldırılar, günümüzde artık yerini daha kapsamlı olan çapraz site betikleme (cross site scripting), oto koordineli (auto coordinated), dağıtık (distributed) ve sahnelenmiş (staged) saldırılara bırakmıştır. Saldırılar veya saldırı-larda kullanılan araçlar, teknik açıdan gittikçe karma-şıklaşırken, bu saldırıyı yürütecek saldırganın ihtiyaç duyduğu bilginin seviyesi de gittikçe azalmaktadır. Bu durum saldırı ve saldırgan sayısını, saldırılar sonucunda oluşacak zararları artırırken, saldırıyı önlemek için yapılması gerekenleri de zorlaştırmaktadır.
Son günlerde, bilgi sistemlerinde bilgi güvenliği konusunda zafiyet oluşturan, virüsler, solucanlar, Truva atları, arka kapılar, mesaj sağanakları, kök kullanıcı takımları, telefon çeviriciler, korunmasızlık sömürücüleri, klavye dinleme sistemleri, tarayıcı soyma ve casus yazılımların yanında, reklâm, parazit, hırsız, püsküllü bela yazılım, tarayıcı yardımcı nesnesi, uzaktan yönetim aracı, ticari RAT, bot ağı, ağ taşkını, saldırgan ActiveX, Java ve betik, IRC ele geçirme savaşı, nuker, paketle-yici, ciltçi, şifre yakalayıcılar-soyguncular, şifre kırıcı-lar, anahtar üreticiler, e-posta bombardımanı, kitle pos-tacısı, web böcekleri, aldatmaca, sazan avlama, web sahtekârlığı-dolandırıcılığı, telefon kırma, port tarayıcı-lar, sondaj aracı, arama motoru soyguncusu, koklayıcı, kandırıcı, casus yazılım ve iz sürme çerezleri, turta, damlatıcı, savaş telefon çeviricileri ve tavşanlar adı altında ve her biri farklı amaçlara yönelik değişik yöntemler kullanan çok çeşitli kötücül yazılımın var olduğu da tespit edilmiştir (6).
Bu saldırılar ve zafiyetler karşısında, bilgi güvenliğini sağlamak için bu güvenliği oluşturan unsurların belirlenmesi gereklidir. Bu unsurların yokluğu veya bu unsurlarda oluşabilecek zafiyetler, doğrudan oluştu-rulmak istenen güvenliğin etkinliğini belirleyecektir.
Bilgilerin, istenmeyen hasarlardan korunması için, en temel açıdan atılması gereken adımlar, güvenlik unsurlarının yerine getirilmesi ile sağlanmaktadır. Bu konu Bölüm 4’de ayrıntılı olarak incelenmiştir.


» Nüve Forum » akademik » Mühendislik Fakültesi » Bilgisayar Mühendisliği Bölümü »

4. GÜVENLİK UNSURLARI
Gizlilik (confidentiality), bütünlük (integrity), kullanılabilirlik (availability), kimlik kanıtlama (authentication) ve inkâr edememe (non-repudiation) bilgi güvenliğinin en temel unsurlardır. Bunun dışında sorumluluk (accountability), erişim denetimi (access control), güvenilirlik (reliability) ve emniyet (safety) etkenleri de bilgi güvenliğini destekleyen unsurlardır. Bu unsurların tamamının gerçekleştirilmesiyle ancak bilgi güvenliği tam olarak sağlanabilecektir. Şekil 3’den de görülebileceği gibi, bu unsurların bir veya birkaçının eksikliği, güvenlik boyutunda aksamalara sebebiyet verebilecektir. Bu unsurların birbirini tamamlayıcı unsurlar olduğu hiçbir zaman unutulmamalıdır.
TSE-17799 “Bilgi Güvenliği Yönetim Standardı” belgesinde, gizlilik, “bilginin sadece erişim hakkı olan yetkili kişilerce erişilebilir olmasının temini” olarak; bütünlük, “bilgi ve bilgi işleme yöntemleri ile veri içeri-ğinin değişmediğinin doğrulanması” olarak; kullanıla-bilirlik, “yetkili kullanıcıların ihtiyaç duyulduğunda bilgi ve ilişkili varlıklara erişme hakkının olmasının temini” olarak tanımlanmıştır (32). Kimlik kanıtlama, geçerli kullanıcı ve işlemlerin tanınması ve doğrulanması ile bir kullanıcının veya prosesin hangi sistem kaynaklarına erişme hakkının olduğunun belirlenmesi sürecidir. İnkâr edememe, bir bilgiyi alan veya gönderen tarafların, o bilgiyi aldığını veya gönderdiğini inkâr edememesini sağlama işlemidir.
Sorumluluk, belirli bir eylemin yapılmasından, kimin veya neyin sorumlu olduğunu belirleme yeteneği-dir. Tipik olarak etkinliklerin kayıtlarını tutmak için bir kayıt tutma (logging) sistemine ve bu kayıtları araştıracak bir hesap inceleme (auditing) sistemine ihtiyaç duyar. Erişim denetimi, bir kaynağa erişmek için belirli izinlerin verilmesi veya alınması olarak tanımlanabilir. Güvenilirlik, bir bilgisayarın, bir bilginin veya iletişim sisteminin şartnamesine, tasarım gereksinimlerine sürekli ve kesin bir şekilde uyarak çalışması ve bunu çok güvenli bir şekilde yapabilme yeteneğidir. Emniyet, bir bilgisayar sisteminin veya yazılımın işlevsel ortamına gömülü olduğunda, kendisi veya gömülü olduğu ortam için istenmeyen potansiyel veya bilfiil tehlike oluştura-cak etkinlik veya olayları önleme tedbirlerini içermektedir.
Telekomünikasyon Kurumu tarafından 15 Ocak 2004 tarih ve 5070 sayılı “Elektronik İmza Kanunu”na temel alınarak hazırlanmış olan “Elektronik İmza Kanununun Uygulanmasına İlişkin Usul ve Esaslar Hakkında Yönetmelik”te bilgilerin gizliliği ve ko-runması ile ilgili gerekli hususların sunulması ise bilgi ve bilgisayar güvenliği konusunda dünya ülkeleriyle beraber gerekli adımları zamanında atıyor olmamız açısın-dan, bir diğer olumlu adım olarak değerlendirilmektedir (5).
Güvenlik unsurların gereklerini yerine getirmek, güvenlik süreçlerini ve politikalarını oluşturma ve uygulamayla başarıya ulaşacaktır. Güvenlik süreçleri Bölüm 5’de incelenmişte detaylı olarak incelenmiştir.


» Nüve Forum » akademik » Mühendislik Fakültesi » Bilgisayar Mühendisliği Bölümü »

5. GÜVENLİK SÜREÇLERİ
Bilgi güvenliği çerçevesinde kurulacak güvenlik sistemi altyapısının ve politikasının doğru bir şekilde belirlenebilmesi için, korunmak istenen bilginin değer-lendirilmesi ve güvenlik yönetiminin doğru ve eksiksiz bir şekilde yapılması gerekir. Güvenlik yönetimi, bilgi ve bilgisayar güvenliğini olumsuz yönde etkileyecek faktörlerinin belirlenmesi, ölçülmesi ve en alt düzeye indirilmesi sürecidir.
ISO Rehber 73’e göre risk, bir olayın ve bu olayın sonucunun olasılıklarının birleşimi olarak tanım-lanmaktadır. Risk yönetiminin bir adımı olan risk değerlendirmesi, risklerin tanımlandığı ve tanımlanan bu risklerin etkilerinin ve önceliklerinin belirlendiği bir süreçtir. Risk yönetimi, kabul edilebilir düzeyde bir riskin belirlenmesi, hali hazırdaki riskin değerlendirilmesi, bu riskin kabul edilebilir düzeye indirilebilmesi için gerekli görülen adımların atılması ve bu risk düzeyinin sürdürülmesidir. Bilgi ve diğer varlıklar, bu varlıklara yönelik tehditler, var olan sistemde bulunan korunmasızlıklar ve güvenlik sistem denetimleri, mevcut riski tayin eden bileşenlerdir. Korunması gereken bilgi ya da varlıkların belirlenmesi; bu varlıkların kuruluşlar açısından ne kadar değerli olduğunun saptanması; bu varlıkların başına gelebilecek bilinen ve muhtemel tehditlerden hangilerinin önlenmeye çalışılacağının ortaya konulması; muhtemel kayıpların nasıl cereyan edebileceğinin araştırıl-ması; her bir varlığın maruz kalabileceği muhtemel tehditlerin boyutlarının tanımlanması; bu varlıklarda gerçekleşebilecek zararların boyutlarını ve ihtimallerini düşürmek için ilk planda yapılabileceklerin incelenmesi ve ileriye yönelik tehditleri asgari seviyede tutmak için atılması gereken adımların planlanması, risk değerlen-dirmesinin belli başlı safhalarındandır (35).
Risk yönetimi sonucunda kurulacak ve yürütülecek güvenlik sisteminin maliyeti, dikkate alınması gereken bir başka önemli husustur. Güvenlik sisteminin maliyeti, korunan bilginin değeri ve olası tehditlerin incelenmesiyle belirlenen risk ile sınırlı olmalıdır. %100 güvenliğin olmayacağı ilkesi ile beraber, bilgi güvenliğinin ideal yapılandırılması üç süreç ile gerçekleştirilir. Bu süreçler, önleme (prevention), saptama (detection) ve karşılık vermedir (response ya da reaction).
Şekil 4’de güvenlik süreçlerine bir örnek verilmiştir. Bu şekilde, 4 farklı saldırı [1]-[4] ile göste-rilmiştir. Şekilden de açıkça görülebileceği gibi, [1] numaralı saldırı, hemen önleme safhasında engellenirken; [2], [3] ve [4] numaralı saldırılar bu safhada önle-nememiştir. Önleme sürecini atlatan bu saldırılardan [2] numaralı saldırı, saptama aşamasında tespit edilip, bertaraf edilirken; [3] ve [4] numaralı saldırılar, saptama aşamasından da geçebilmiştir. Belirlenen tolerans ile ta-sarlanmış son aşama olan karşılık verme safhasında, [3] numaralı saldırı önlenirken; bütün aşamaları atlatıp geçen [4] numaralı saldırı, bütün güvenlik süreçlerini geçip, sisteme zarar vermiştir. Takip eden kısımda güvenlik süreçlerinin her biri, temel özellikleri ile açıklan-maktadır.
Güvenlik süreçleri takip eden kısımda alt başlık-lar halinde açıklanmaktadır.

» Nüve Forum » akademik » Mühendislik Fakültesi » Bilgisayar Mühendisliği Bölümü »

Önleme
Önleme, güvenlik sistemlerinin en çok üzerinde durduğu ve çalıştığı süreçtir. Bir evin bahçesine çit çekmek, çelik kapı kullanmak gibi güncel hayatta kullanılan emniyet önlemleri gibi, bilgisayar sistemlerine yönelik tehdit ve saldırılara karşı, sistemin yalıtılmış ol-ması için çeşitli önlemler geliştirilmektedir. Kişisel bilgisayar güvenliği ile ilgili, virüs tarama programlarının kurulu olması, bu programların ve işletim sistemi hizmet paketlerinin ve hata düzeltme ve güncellemelerinin düzenli aralıklarla yapılması, bilgisayarda şifre korumalı ekran koruyucu kullanılması, bilgisayar başından uzun süreliğine ayrı kalındığında sistemden çıkılması, kullanılan şifrelerin tahmininin zor olacak şekilde belirlenmesi, bu şifrelerin gizli tutulması ve belirli aralıklarla değiştirilmesi, disk paylaşımlarında dikkatli olunması, İnternet üzerinden indirilen veya e-posta ile gelen dosyalara dikkat edilmesi, önemli belgelerin parola ile ko-runması veya şifreli olarak saklanması, gizli veya önemli bilgilerin e-posta, güvenlik sertifikasız siteler gibi güvenli olmayan yollarla gönderilmemesi, kullanılmadığı zaman İnternet erişiminin kapatılması, önemli bilgi ve belgelerin düzenli aralıklarla yedeklerinin alın-ması gibi önlemler, basit gibi gözükebilecek ama hayat kurtaracak önlemlerden bazılarıdır.
Kurumsal ortamlarda bilgisayar güvenliğinde uy-gulanması gereken önleme adımları daha geniş ve karmaşıktır. Güvenlik ile ilgili uzmanlaşmış kişilerin çalış-tığı bu tür sistemlerde, önleme ile ilgili yapılanlardan bazıları:
• işletim sistemi ve yazılımların servis paketlerinin ve güncellemelerin düzenli aralıklarla incelenmesi,
• kullanıcı haklarının asgari seviyede tutulması, kullanılmayan protokol, servis, bileşen ve proseslerin çalıştırılmaması,
• veri iletişiminde şifreleme tekniklerinin, korun-masızlık tarayıcıları, Sanal Özel Ağ (Virtual Private Network) kullanılması,
• Açık Anahtar Altyapısı (Public Key Infrastruc-ture) ve e-imza kullanımı ile
• biyometrik tabanlı sistemlerin kullanımı
olarak sıralanabilirler.
Aslında önleme sürecinde belirlenen işleyiş mükemmel olabilseydi, daha sonraki süreçlere hiç ihtiyaç duyulmazdı. Yapılan bütün saldırılar en baştan önlenmiş olurdu. Fakat hiç bir güvenlik ürünü kusursuz veya eksiksiz değildir. Ayrıca, hemen hemen her gün, işletim sistemleri, İnternet servisleri, web teknolojileri ve güvenlik uygulamalarında çeşitli açıklar tespit edilmektedir. Bu açıdan bakıldığında saptama ve karşılık verme süreçlerini kullanmak şarttır.

» Nüve Forum » akademik » Mühendislik Fakültesi » Bilgisayar Mühendisliği Bölümü »

Saptama
Güvenlik, sadece önleme ile sağlanabilecek bir mesele değildir. Örneğin bir müzede iyi bir korunmanın sağlanmış olması, müzenin çevresinin çitlerle çevrili olması, kapıların kapalı ve kilitli olması, o müzede geceleri bekçi kullanılmamasını gerektirmez. Aynı şekilde bilgisayar sistemlerinde de saldırı girişimlerini saptayacak yöntemlerin de kullanılması şarttır. Önleme, saldı-rıları güçleştiren (ama imkânsız kılmayan) veya saldır-ganların cesaretini kıran (ama yok etmeyen) bir engel inşa etmeyi sağlar. Saptama ve karşılık verme olmadan önlemenin ancak sınırlı bir faydası olabilir. Sadece önleme ile yetinilseydi, yapılan çoğu saldırıdan haberdar bile olunamazdı. Saptama ile daha önce bilinen veya yeni ortaya çıkmış saldırılar, rapor edilip, uygun cevaplar verebilir. Saptamada ilk ve en temel basamak, sistemin bütün durumunun ve hareketinin izlenmesi ve bu bilgilerin kayıtlarının tutulmasıdır. Bu şekilde ayrıca, saldırı sonrası analiz için veri ve delil toplanmış olur. Güvenlik duvarları, saldırı tespit sistemleri (intrusion detection system), ağ trafiği izleyiciler, kapı (port) tara-yıcılar, bal çanağı (honeypot) kullanımı, gerçek zamanlı koruma sağlayan karşı virüs ve casus yazılım araçları, dosya sağlama toplamı (checksum) kontrol programları ve ağ yoklayıcı (sniffer) algılayıcıları, saptama sürecinde kullanılan en başta gelen yöntemlerden bazılarıdır.


» Nüve Forum » akademik » Mühendislik Fakültesi » Bilgisayar Mühendisliği Bölümü »

Karşılık Verme
Bekçiler, köpekler, güvenlik kameraları, algılayı-cılarla donatılmış bir yerin, hırsızların dikkatini çekmesi gibi, gerçek zamanlı saptama sistemlerine sahip bilgisayar sistemleri de bilişim korsanları ve saldırganlara cazip gelir. Hızlı karşılık verme, bu saldırıları püskürtmek için güvenlik sistemini tamamlayan esaslı bir öğe olarak ortaya çıkmaktadır. Karşılık verme, önleme süreci ile baş edilemeyen ve saptama süreçleri ile belir-lenmiş saldırı girişimlerini, mümkünse anında veya en kısa zamanda cevap verecek eylemlerin ifa edilmesi olarak tanımlanabilir. Saldırı tespit sistemleri, bu tespite cevap verecek birilerinin veya bir sistemin olması ile anlam kazanabilir. Aksi takdirde bu durum, hiç kimsenin duyup da önemsemediği bir araba alarmının getireceği faydadan öteye gitmez. Bu açıdan karşılık verme güvenlik sürecini tamamlayan önemli bir halkadır. Saldırı tam olarak önlenmese bile; sistemin normal durumuna dönmesine, saldırıya sebep olan nedenlerin belirlenmesine, gerektiği durumlarda saldırganın yakalanmasına, güvenlik sistemi açıklarının belirlenmesine ve önleme, saptama ve karşılık verme süreçlerinin yeniden düzenlenmesine olanak verir. Saldırı tespit edilince yapılması gereken işlerin, daha önceden iyi bir şekilde planlanması, bu sürecin etkin bir şekilde işlemesini ve zaman ve para kaybetmemeyi sağlayacaktır. Yıkım onarımı (disaster recovery), bu aşama için gerçekleştirilen ve en kötü durumu ele alan esaslı planların başında gelir.


» Nüve Forum » akademik » Mühendislik Fakültesi » Bilgisayar Mühendisliği Bölümü »