Yeni web sitem bunyamingur.com.tr'dir ziyaret edebilirsiniz.
AŞAĞIDAKİ LİNKTE TIKLAYARAK ZİYARET EDEBİLİRSİNİZ.
Yeni web sitem bunyamingur.com.tr'dir ziyaret edebilirsiniz.
İnternete Nasıl Bağanılır
İNTERNET
İnternete Bağlanırken Gerekli Olanlar
İnternete bağlanırken çeşitli bilgi teknolojilerine ihtiyaç vardır. Bunlar aşağıda verilmiştir.
Web Sunucusu
İnternette veya webde yayımlanacak her bir web sitesi, bir web sunucusun içinde bulunmalıdır ve bu olmaz ise çalışmaz. Bu durumu göz önünde bulundurursak bir web sunucusunun asıl görevi bir web tarayıcı tarafından çağrılan bir web sitesi ile ilgili belgeleri ve kaynakları, istemciye aktarmaktır. İnternet ortamında bulunan her bir kaynak (bilgisayar, web sitesi, akıllı telefon ) gibi, her bir web sunucusunun da eşsiz bir İp adresi olmak zorunda (Ege, BÖRTEÇİN, İnternet Nasıl Çalışıyor? , S.70, 2013).
HTML (Hypertext Markup Language)
Yine
Tim Berners-Lee öncülüğünde web protokollerine paralel olarak geliştirilen
HTML, günümüzde de web sayfalarının oluşturulmasında kullanılan ana
teknolojilerden biridir. HTML, bir programlama lisanından çok bir metin
işaretleme lisanıdır. Başlıca görevi web sayfalarının birbirlerine bağlanmasını
ve bu sayfalarda yer alan görsellerin ve metinlerin web tarayıcılarda doğru bir
şekilde görüntülenmesini sağlamaktır. Tıpkı diğer protokoller gibi Html’in
geliştirilmesinden de World Wide Web Consortium (W3C) sorumludur (Ege,
BÖRTEÇİN, İnternet Nasıl Çalışıyor? , S.68, 2013).
IP Adresi (Internet Protocol
Address)
Tıpkı
başka iletişim ağlarında olduğu gibi internet ortamında bulunan cihazların da
(bilgisayar, akıllı telefon, televizyon, tablet, yazıcı, kamera) ihtiyaç
duyduğunda kendi aralarında iletişim kurması gerekir, bunun için de hepsinin
bir adrese ihtiyacı vardır. İnternet ortamında bulunan cihazların mecburi
olarak bir tane IP adresi olmak zorundadır. İnternete bir IP adresiyle sadece
bir veya birden çok cihaz bağlanabileceği gibi (örneğin çok yöne doğru yayın
yapan cihazlar) bir cihazın birden çok IP adresine sahip olması da olası. Bu
açıdan bakıldığında bir cihazın IP adresi posta adresine benzer, ama fiziksel
bir posta adresinin aksine sanal ortamdaki bu adresler belirli bir zaman ve
mekân kavramına bağlı değildir. IP adresi sayesinde dünyanın rastgele bir
yerinden bir cihaza gönderilen bilgi paketçikleri, bu uzun yolda otomatik
olarak devreye giren ve paketçikler bir ağdan diğerine geçtikçe bu paketçiklerin
rotasını her seferinde yeniden çizen yönlendiriciler (router) tarafından büyük
bir hızla amaçlarına ulaştırılır. (Ege, BÖRTEÇİN, İnternet Nasıl Çalışıyor? , S.69,
2013).
World
Wide Web(www)
Kısaltılmış
ismi W3C olan World Wide Web Consortium
1 Ekim 1994’te Massachusetts Teknoloji Enstitüsü’nde (ABD) kurulmuştur. Başta
Avrupa ve Asya ile başlayarak dünyanın pek çok ülkesinde temsilcilikleri
vardır. W3C’nin asıl görevi World Wide Web protokolü hakkında olan
teknolojilerin geliştirilmesi, kullanımlarının daha çok yaygınlaştırılması yani
genel olarak kullanılmasıdır. Kurucusu ve başkanı, aynı zamanda World Wide Web
‘in mucidi olan Tim Berners-Lee’dir. W3C tarafından geliştirilen bazı
teknolojiler şunlardır: HTML, CSS, XML, XHTML, RDF, OWL, SKOS ve SPARQL
World
Wide Web, birbirlerine hiper bağlarla bağlı olan web sayfalarının HTTP ya da
HTTPS protokolleri üzerinden çağrılmasını ve görüntülenmesini sağlayan hizmet.
Bu açıdan bakarsak WWW protokolünün en önemli kısmı HTTP (Hypertext Transfer
Protocol) ve HTTPS (Hypertext Transfer Protocol Secure) protokolleri, web
adreslerini tanımlayan URL’ler (Uniform Resource Locator) ve HTML (Hypertext
Markup Language) adlı metin tabanlı işaretleme dili oluşturuyor.
HTTP
protokolü, HTML işaretleme dili ve ilk (metin tabanlı) web tarayıcıdır. 1990’lı
yılların başlarında, İngiliz bilgisayar bilimci Tim Berners-Lee yönetimindeki
bir ekip tarafından, CERN’in İsviçre’deki ve Fransa’daki, farklı teknolojik
altyapıya sahip temsilciliklerinin birbirine bağlanması ve birbirleriyle sıkıntı
yaşamadan bilgi alışverişinde bulunabilmesi için geliştirilmişti. İnternetin
NSF tarafından dünyanın kullanımına açılması kararından sonra CERN de World
Wide Web servisinin tüm dünyanın hizmetine sunulması gerektiğini düşündü ve
bunu gerçekleştirirken de büyük ölçüde ARPANET’ten miras kalan teknolojik
altyapıdan faydalandı. (Ege, BÖRTEÇİN, İnternet Nasıl Çalışıyor? , S.68, 2013).
HTTP (Hypertext Transfer
Protocol)
HTTP,
verilerin bir iletişim ağı aracılığı ile paylaşılmasını sağlayan bir araç
durumundadır. World Wide Web ’de bulunan web sayfalarının kullanılan web
tarayıcıya yüklenmesini sağlıyor. 1989’dan itibaren CERN’de Tim Berners-Lee’nin
yanı sıra Roy Fielding ve başka bazı CERN çalışanlarının çabasıyla
geliştirilmeye başlanan HTTP protokolünün ilk sürümü 1991’de yayımlandı (HTTP
0.9). HTTP bağlantıları için kullanılan standart port numarası 80’dir. (Ege,
BÖRTEÇİN, İnternet Nasıl Çalışıyor? , S.68, 2013).
HTTPS (Hypertext Transfer
Protocol Secure)
Güvenli
HTTPS protokolü, Http’nin bir sürümü. Http’nin tersine web sunucusu ile web
tarayıcı arasındaki iletişimin şifrelenmiş bir biçimde gerçekleşmesini sağlar.
Netscape tarafından 1994’te HTTP protokolüne SSL protokolünün bütünleşmiş
edilmesiyle geliştirilmiş, özellikle son yıllarda siber saldırıların gereğinden
fazla artması ve kablosuz internetin yaygınlaşmasıyla çok fazla önem kazanan
bir protokol haline gelmiştir. HTTPS bağlantıları için kullanılan standart port
numarası 443’dür
(Ege,
BÖRTEÇİN, İnternet Nasıl Çalışıyor? , S.68, 2013).
Web Tarayıcı
Web
tarayıcılar World Wide Web ’de saklanan bilgilerin, verilerin ve web
sayfalarının görüntülenmesi için geliştirilen özel yazılımlardır, yani www’in
görüntülenen bölümüdür. Sadece metin tabanlı fonksiyon gören ilk web
tarayıcıların aksine günümüz web tarayıcıları çok gelişmiştir. (Ege, BÖRTEÇİN,
İnternet Nasıl Çalışıyor? , S.68, 2013).
Web
Adresi
İnternette
gireceğiniz sitenin web sayfasının adresi, kısa adı URL olan (Uniform Resource
Locator, yani standart kaynak konumlayıcı) bir bağlantı adresiyle gösterilir
(örnek: http https://bunyamingur.com/Kısa adı URI olan (Uniform Resource
Identifier) standart kaynak tanımlayıcılardan türetilen URL’ler, günlük dilde
web adresi ve internet adresiyle eş anlamlı olarak kullanılıyor. (Ege,
BÖRTEÇİN, İnternet Nasıl Çalışıyor? , S.69, 2013).
(Domain Name System)
DNS,
1983 yılında ABD’li bilgisayar bilimci Paul Mockapetris tarafından icat edilmiş
ve geliştirilmiştir. Dünya geneline yaygınlaşmış olup binlerce sunucudan oluşan
ve ağaç şeklinde hiyerarşik bir yapısı olan DNS protokolü sayesinde, bütün
internetteki alan adları işlevsel hale gelir.
1984
yılında kullanıma geçen DNS, 255 karaktere kadar büyüyebilen host adlarını IP
adreslerine çevirmek amacıyla kullanılan mükemmel bir sistemdir. Host adı,
tümüyle tanımlanmış etki alanı adı (fully qualified domain name) olarak da
bilinir ve hem bilgisayarın adını, hem de bilgisayarın bulunduğu Internet etki
alanını gösterir. Örneğin, anasunucu.bunyamingur.com adı. Bu adda
“bunyamingur.com” ifadesi Internet etki alanını, “ana sunucu” ifadesi ise bu
etki alanındaki tek bir makineyi belirtir.
(YILDIRIMOĞLU,
Her Yönüyle İnternetin Alt Yapısı, S.131,2009).
Bilgisayarı
Veya Başka Bir Cihaz İle Web Tarayıcınızı Açıp Web Adresine Girdiğimizi Zaman
Şu İşlemler Gerçekleşecektir.
Tarayıcıyı açtığınız
sırada web adresi ilk olarak World Wide Web ’in esas bileşenlerinden biri olan
DNS sistemi sayesinde girdiğiniz web sayfasının ismini bulunduğu web
sunucusunun IP adresine çevirir. İkinci adımda ise bulunan IP adresi web
tarayıcınıza sevk edilir. Üçüncü başka bir deyişle son evrede ise mevzubahis
web sayfasının internet tarayıcınızın o web sunucusundan sayfayı istemesi ve
görüntülenmesi gerekir. Yüksek performanslı olan bu çevrim sisteminin en
ehemmiyetli kısmı DNS’dir. DNS, kullanıcılar tarafından girilen web adreslerini
IP adreslerine çevren sistemdir.Sistem Güvenliği
SİSTEM
GÜVENLİĞİ (SYTEM SECRUTY)
Sistem
Güvenliği
Sistem güvenliği kavramı, risklerin daha önceden bulunup belirlenmesine
ve tahlil edilmesine direnen bir tehlike yönetimi taktiği ve sisteme dayalı iyi
bit iyileştirici kontrol yöntemidir. Sistem güvenliği, geleneksel güvenlik
yöntemlerinden farklıdır. Geleneksel güvenlik yöntemleri, beklenmedik
olaylardan ve nedenlerden sakınmak için eş epidemiyolojik tahlillere ya da
geçmiş olayların araştırılmasını özenle bekler. İhtimalli tehlike tahlili
bilgilerinin elde edilmesi göründüğü kadar kolay olmadığına, sistem güvenliği
kavramı, günümüzdeki teknolojinin yeterli olup olmadığını tahlil etmesine
katkıda bulunur.
Arkasındaki ilke sinerjidir: genel etki, tüm bileşenlerin etkilerinin
toplamından daha fazladır. Sistematik bir yaklaşım için emniyet sistemine ya da
projenin, yazılım, etkinlik ya da mahsulün hayat döngüsü süresince bilim,
teknoloji ve idare marifetlerinin uygulanmasını gerektirir. Tehlike tanımlama,
tehlike analizini uygulayın ve tehlikeleri ortadan yok edin, kontrol edin veya
yönetin. Tehlike ve işletile bilirlik Analizi (HAZOP), tehlike tanımlama
yollarından birisidir.
(Vikipedia, https://bit.ly/3toDdQd, 2021).
1.1. Güvenlik Çağrışımı
Sistemin
güvenliği aşağıda belirtilen içerir.
1. Sistemdeki
muhtelif kaynakları doğal ve insan kaynaklı zararlardan gözetin.
2. İşletim
sistemine müteveccih muhtelif tehditleri ve özel meselelerini varsayım edin.
3. Karşılaşılan
tehlikeleri en aza düşürmek için tesirli geliştirme ve uygulama güvenlik
siyasetleri sistem tarafından,
4. Yıkım ya da
hamleler anında sistemin sıradana dönmesini sağlamak amacıyla uygun acil vaziyet
ihtiyatlarını hazırlayın.
5. Muhtelif
güvenlik yönetimi tedbirlerinin uygulanmasını kumpaslı olsun.
Wang Lu, https://bit.ly/33ja4er, 2020).
Sistem
güvenliği, bilgi sistemlerinin kurulum ve yapılandırmalarının doğru bir şekilde
yapılmış olması, en önemli ve ilk önemli adımıdır. Bununla birlikte
uygulanabilir güvenlik politikalarının oluşturulması bir zorunluluk haline
gelmiştir. Bu bağlamda bütün sistem bileşenlerinin yüksek bir düzeyde güvenliğinin
sağlanması için sağlayıcı.
·
IT politikalarının belirlenmesi, uygulanması,
·
Yapılandırma ve güncellemelerinin yapılması,
·
Açık ve zafiyet denetim ve yönetimi,
·
Şifreleme(encryption),
·
Anti virüs yazılımları,
·
Host tabanlı IPS Konularında hizmet vermektedir.
Sistemler, yazılımlar ve internet ağında gelişmeler her zaman olduğu gibi
yaşanmaya devam etmektedir. Bu nedenle şirketlerin veri güvenliğinin sağlanması
için sadece network yapısıyla değil, güvenlik çözümlerini her zaman her alanda
sağlamak zorunlu duruma gelmiştir.
Sistem
güvenliği, gizli bilgileri güvenli bir şekilde tutmaya yardımcı olan çeşitli yöntembilim
olarak tanımlanabilir. Bilgileri hırsızlık, yolsuzluk ve diğer türden
zararlardan korur ve gözetir. Önemli bilgiler bulunduran bütün sistem
kaynaklarına sistem güvenliği tarafından erişilebilir. Ayrıca,
verileri korumak için güvenlik duvarı, veri şifreleme ve biyometri gibi farklı
yaklaşımlar kullanılması gerekir. Birçok Alanda kullanılır.
1.2. Güvenlik
Önlemleri
Temel olarak, işletim sistemlerinin güvenliği çoğunlukla üreticiler
tarafından sağlanmaktadır. Son zamanlarda, birçok işletim sistemi, ağ
işlevlerini sistemin çekirdeğine entegre edilerek gerçek bir ağ işletim sistemi
haline gelmiştir. Bu sebeple sistemin güvenliği akla geldiğinde ağın
güvenliğini de gözden geçirmek gerekir yani bu kitapta tanıtılan farklı
güvenlik teknolojilerinin çoğu işletim sistemi içerisinde de bulunmaktadır.
İşletim sisteminin gerektirdiği güvenlik teknolojilerini şu şekilde
sınıflandırılır.
1.2.1.
Parola Ve
Kullanıcı Kimlik Doğrulaması
Parola, kullanıcının sisteme girmesi için en son adımdır. Ne yazık ki,
kullanıcı parolası sistemdeki belirlenmiş bir dosyada gizlenmelidir. Tabi iki,
şifrenin tam metnini hiçbir zaman bir dosyada gizlemeyeceksiniz. Fakat dosyayı
dosyaya kaydetmeden önce özel işlemlerden (tuzlama gibi) geçeceğiz, ancak, bir
müşteri sisteme girdiği zaman, belirli bir kimlik doğrulama protokolü
müşterinin Kimlik Doğruluğunu belirlemek için kullanılacaktır, en basit yöntem
"sorgulama / yanıttır, elbette pek çok sistem, güvenliğini artırmak için
Kerberos kimlik doğrulama protokolünü kullanır.
1.2.2.
Kaynak
yetkilendirme ve tahsisi
Her
kullanıcının kaynakları kullanma izinleri açık bir biçimde bölünmelidir.
Özellikle dağıtılmış bir işleme ortamında, kullanıcının nereden geleceğine dair
tahminde bulunmak bizim için zor bir iştir. Genellikle sistemdeki her bir dosya
için eksiksiz bir "Erişim Kontrol Listesi" ( ACL ) tutulur, kullanıcı
dosyaya erişim sağladığında yetki kapsamında olup olmadığı karşılaştırılır.
1.2.3.
Güvenlik
Denetimi
Güvenli
bir işletim sistemi(OS), hangi dosyalara yanlış erişim sağlandığının kontrolünü
sağlamak amacıyla bir kontrol yapmalıdır. Bu önemli bir güvenlik
mekanizmasıdır. Yöneticiler, kayıtlardan görünmez veya davetsiz misafirleri
bulmak için herhangi bir zamanda denetim kayıtlarını gözden geçirmelidir.
1.2.4.
Erişim
Kayıtları
Erişim
Kayıtları, Kullanıcılar ya da dosyalar (veya günlük dosyaları) için erişilebilen
kayıtlar. Genel bir şekilde anlatırsak, bu kayıt dosyası çok büyük olabilir ve
özel bir veri tabanı sistemi yardımıyla analiz edilmeli ve sayılmalıdır;
istatistiksel bilgiler dosya erişimi olgusunu anlamak için faydalanılabilir ve
ayrıca davetsiz misafirlerin ipuçlarını da bulabilir.
1.2.5.
Kaynak
Yedekleme
Kaynak Yedekleme,
yöneticilerin sürekli yaptığı bir görevdir. Bununla beraber, güvenlik işletim
sistemi ayrıca günlük veri yedekleme ve periyodik genel yedekleme için araçlar
sağlamalıdır.
1.2.6.
Virüs Önleme
Virüs Önleme başka bir
deyişle virüs engelleme, mevcut sistemdeki asla vazgeçilmez unsurdur ve aynı
zamanda davetsiz misafirlerin sisteme girmesi için en direkt olan araçtır.
Veri Tabanı Güvenliği
Veri
tabanı güvenliği, çok çeşitli bilgi güvenliği kontrollerinin kullanımı ile ilgilidir
ve veri tabanlarının(imkân dâhilinde verileri, veri tabanı uygulamalarını veya
kayıt edilmiş işlevleri(stored function), veri tabanı sistemlerini, veri tabanı
sunucularını ve ilişkili ağ bağlantılarını içerir.) gizliliğini, bütünlüğünü ve
erişilebilirliğini saldırılara karşı korur. Teknik, idari, yargı ve fiziksel
gibi çeşitli türde ve kategoride kontroller veri tabanı güvenliği kapsamı
içerisine girer. Bilgisayar güvenliği,
bilgi güvenliği ve risk yönetimi alanları içerisinde, veri tabanı güvenliği
uzmanlık gerektiren bir konudur.
Veri tabanı sistemi Güvenlik Riskleri
Veri tabanı sistemlerine yönelik güvenlik riskleri şunları kapsar.
Yetkili Veri Tabanı Kullanıcıları
Veri tabanı yöneticileri,
ağ/sistem yöneticileri, yetkisiz kullanıcılar ya da bilgisayar korsanları
tarafından yanlış kullanılması veya bu bireyler tarafından yapılan istenmeyen
tavırlar (şu şekilde örnek verirsek bilgi tabanlarındaki kritik bilgilere, meta
bilgilere veya işlevlere uygun olmayan ulaşım ya da bilgi tabanı
programlarında, yapılarında veya güvenlik yapılandırmalarında uygun olmayan
farklılıklar).
Zararlı Yazılım Etkileri
Yetkisiz ulaşım, şahsi ve kişisel
bilgilerinin sızdırılması veya ifşa edilmesi, bilgilerin ve programların
silinmesi veya zarar alması, bilgi tabanına yetkili ulaşımın kesilmesi veya
yalanlanması, diğer sistemlere yapılan hücumlar ve bilgi tabanı hizmetlerinin beklenmeyen
başarısızlıklara neden olan vakalara yol açan hasarlı yazılım enfeksiyonları;
Fazla Yüklenmeler
Performans kısıtlamaları ve kapasite meselelerinden dolayı,
yetkili kullanıcıların bilgi tabanlarını kastedildiği gibi kullanamamaları;
Bilgisayar Odasında Oluşabilecek Yangınlar
Su Baskınlar, fazla ısınmalar,
aydınlatmalar, kaza neticeyi akışkan dökülmeleri, sabit elektrik boşalmaları,
elektronik arızalar/ teçhizat arızaları ve daha öncekimeler gibi bilgi tabanı
sunucusuna fiziksel zarar veren gidişatlar;
Veri Tabanları İçerisindeki Program Açıkları Ve
Tasarım Hataları
İlişkili programların ve
sistemlerin oluşturduğu çeşitli güvenlik açıkları(örneğin yetkisiz hak
artırma), veri kayıpları/ bozulmaları, performans düşüşleri vb.
Geçersiz Veri Veya Komutların Girilmesinden Kaynaklanan
Veri Bozulması Ve/Veya Kaybı
Veri tabanı veya sistem yönetim
süreçlerinde yapılan hatalar, sabotaj/kriminal hasar vb.
DOS Saldırıları
Hizmet yasaklama atağı
olarak adlandırılan DOS hamleleri ağ makinelerine veya bilgilere ulaşımı
yasaklayan bir hamle cinsidir. Bilgi tabanı sistemlerine karşı gerçekleştirilen
DOS hücumlarında, sistemde büyük oranda bir kaynak kullanımına neden olan arama
yapma ve istek yollama operasyonları asıllaştırılarak sunucuya fazla yük
bindirilmesi ve hizmet veremez hale getirilmesi hedeflenir.
(Beyaz Net Web Sitesi, https://bit.ly/3b7Jfyc,
2021).
Bilgi Güvenliği Kontrolünün Veri tabanlarına Uygun Birçok Türü Ve Katmanları Vardır.
·
Erişim kontrolü
·
Denetim
·
Kimlik doğrulama
·
Şifreleme
·
Bütünlük kontrolleri
·
Yedekleri
·
Uygulama güvenliği
·
İstatistik Metotla
Veri tabanı Güvenliği
Veri
Tabanı Denetleme
·
Veri tabanlarının
denetimi, sistemde var olan hata ve zafiyetlerin ortaya çıkarılıp
düzeltilmesine ve önlem alınmasına yardımcı olur.
·
Erişim ve kimlik doğrulama
denetimi: Veri tabanına kimlerin ne zaman hangi metotla ve hangi içeriğe
ulaştığı gibi önemli bilgileri tutan logların kaydedilmesi
·
Güvenlik aktiviteleri
denetimi: Veri tabanında gerçekleştiren yetkisiz ve şüpheli aktivitelerin tüm
listesinin oluşturulup raporlarının tutulması
·
Zafiyet ve tehdit
denetimi: Zafiyetlerin tespit edilip düzeltilmesini amaçlayan bu denetim
yönteminde aynı zamanda bu açıklıkları istismar etmeye çalışan kullanıcıların
da saptanmaya çalışılması
·
Denetimde
değişiklikler: Denetim süreci için ilk etapta basit bir yapılandırmanın
uygulanıp sonra gereksinimlere bağlı olarak denetim politikalarının
değiştirilmesi ve uyarlanması
(Fatih
Çolak Web Sitesi, https://bit.ly/2R30PMZ,
2021).
Veri
Tabanı Güvenliği Yöntemleri
Veri Tabanındaki Datanın Önem Derecesine Göre
Sınıflandırılması
Bu
yöntemle asıl güvene alınması gereken hassas verilerin daha kolay
tanımlanabilmesinin sağlar.
Veri Tabanı Sunucularının Varsayılan(Default) Olarak Sahip
Olduğu Denetim Mekanizmalarının Kullanılması
Bu
yöntem denetim mekanizması fazla karmaşık olmayan sistemler için
kullanılabilir.
Üçüncü Parti Bir Denetim Yazılımı Ve Ağ Cihazı Kullanılması
Hem
koruma hem de Monitoring servisi veren bu aygıtlar bilgi tabanı sunucusundan
ayrı olarak kuruldukları için sunucuya ek yük bindirmezler. Kullanıcının
lüzumlarına göre özelleştirilebilen bu çözümler birçok özelliğe sahip olmasının
yanı gizeme aynı zamanda yüksek oranda tahlil neticeyi alabilmek için ayrıntılı
teftiş yaparlar.
Veri
tabanı güvenliğinin önemli bileşenlerinden biri de data şifreleme yöntemidir. Durağan
haldeki datanın şifrelenmesi kadar hareket halindeki datanın da güçlü kimlik
doğrulama kontrolleri ile mesajımı da büyük ehemmiyet taşımaktadır. Durağan
haldeki bilgiler için AES şifreleme algoritması önerilmektedir. Her bir
uygulamanın güvenliğinin öncelik derecesine göre seçilebilecek değişik
şifreleme algoritmaları arasında DES, Triple DES, DESX, 128-bit AES, 192-bit
AES, 256-bit AES sayılabilir.
Veri
Tabanı Güvenliğinin Sürekli Sağlanması İçin Periyodik Olarak Uygulanması
Gereken Adımlar Şunlardır.
·
Tahlil edilip güvenliğinin sağlanması gereken
bilgi tabanını tespit etmek
·
Lüzumluluklar göz önüne alınarak sistemin veya
bilginin güvenlik önceliğine göre sınıflandırılması
·
Bilgi tabanını zafiyetler, yanlış
yapılandırmalar ve kritik farklılıklar için taramak
·
Dataların sınıflandırılması temel alınarak
yüksek ehemmiyetteki açıklıkların yüksek öncelik verilerek kapatılması
·
Zafiyetler için uygun bir düzenleme tespit
etmek, zafiyetleri kapatmak ve sistemi aktüellemek için yamaları uygulamak
·
Zafiyet düzenleme harekâtlarının tesirini ölçmek
için düzenlemeden sonra teftiş operasyonu yinelenmelidir ve bu döngü periyodik
olarak yinelenmelidir.
(Beyaz Net Web Sitesi, https://bit.ly/2PZ80p8,
2021).
Veri
Tabanının Güvenliği İçin Neler Yapmalıyız?
İç Veri Tabanı Güvenlik
İç
veri tabanı güvenliği aşağıdaki maddelerde şu şekilde gösterilmiştir.
·
Kullanıcıların
parolaları karışık, kolay bulunabilecek biçimde verilmelidir. Büyük harf,
sembol, noktalama işaretleri vb. gibi yöntemlerle zorlayıcı olmalıdır.
·
Dolayısıyla öncelikle
iç tehditleri bertaraf etmek ve transparanlığı sağlamak gerek, daha sonra dış
tehditlere odaklanabiliriz.
·
Kullanıcıların
yetkileri sınırlanalım olmalıdır. Bütün kullanıcılar bilgi tabanı idareyicisi
de dâhil istediği tabloya rahatça ulaşıp bilgi kıskanmalıdır.
·
Bu yetkileri idareden,
sınırlayan ve tanıyan birey ile bilgi tabanının yönetimden mesul olan
şahısların değişik olması çok daha tehlikesiz olacaktır. Aksi halde zannedilen
olarak bir bilgi tabanı idareyicisi dilediği tabloya ve bilgiye erişebilir. Bu
da çok güveli bir yöntem olarak düşünülemez.
·
Bilgi tabanında
bulunan ve uzun zamandır giriş yapmamış kullanıcılar düşürülmelidir,
silinmelidir. Bunu bir güvenlik sarihi olarak tanımlarız.
·
Hele ki bu
kullanıcılarda geniş yetkiler varsa ve parolaları da kolay hipotez edilebilirse
muhteşem bir güvenlik sarihi oluştururlar.
·
Bilgi tabanındaki
Veritabanı operasyonları transaction kaydolun malıdır. Belki hepsi değil ama
özellikle kritik tablolarda lüzumludur.
·
Kim, ne zaman hangi
tabloya, hangi sorguyu gönderdi, hangi tablodan, hangi bilgileri sildi, bu
operasyonu ne zaman yaptı, neyi aktüelledi gibi suallerin cevabının verilmesi
gereken harekâtların tarihçesi kesinlikle yakalanmalıdır. Daha sonra da
anlaşılabilir olması düşünülerek raporlanmalıdır.
·
Bir bilgi tabanı
idareyicisi, bilgi tabanının içine kaydolunan bu bilgileri bilerek ya da
bilmeyerek silebilir. İşte bu sebeple operasyonlar işletim sistemine OS
yazılmalıdır. OS, başka bir deyişle işletim sistemi, başka birisi tarafından
idarendekinden, bilgi tabanı idareyicisi bile ters bir harekât yapsa, bu
kaydolunur.
·
İşletim sistemine
kaydedilen bu bilgileri bir bilgi tabanı idareyicisi silemeyebilir. Böyle
olduğundan bütün iç güvenlikten laf edebiliriz.
·
Bilgi tabanını
yedeklenirken AES şifreleme ile yedeklemeli ve mümkün kayıplarda bilgilerin
görüntülenmesi yasaklanmalıdır.
·
Vaziyete göre Müessese
içi ağın da şifrelenmesi gerekebilir. Böylelikle bilgi aktarımı sırasında
oluşacak kayıpların önüne geçilebilir.
Dış Veri Tabanı Güvenlik
Dış
veri tabanı güvenliği aşağıdaki maddelerde şu şekilde gösterilmiştir.
Bilgi tabanına
müessese dışından gelecek tüm tehditleri içermektedir.
·
Bir bilgi tabanı
internete sarihse, dış tehditlere de sarih demektir.
·
Yapılan bilimsel
araştırmalar gösteriyor ki bir bilgi tabanında hırsızlık olduğunda bu, %80
oranında içeriden, %20 dışarıdan tehditle.
·
Dışarıdan gelebilecek
tehditlere karşı kesinlikle bir SQL güvenlik gidişatı olması gerekiyor. SQL’ in
yapısı anlık olarak araştırılmalıdır.
·
SQL injection olarak
bilinen bir hamle ile bilgi tabanına dışarıdan girerek, içerideki sarihleri
bulup, bilgi hırsızlığı yapılabiliyor.
·
SQL injection’da
yapısı bozuk SQL geldiğinden ve bilgi tabanı bunu zannedilen olarak
kavramadığından güvenlik Çin araya yazılımlar konumluyoruz.
·
Bütün bunları göz
önünde bulundurarak çalışan bir müessese sorgulanabilir, sarih transparan
denilebilir bir gidişattadır. Hem kendini, hem de çalışanlarını korur.
·
İşte bu noktada bulut
olarak adlandırılan depolamam bilişim sistemleri akla geliyor. Bu sistemlerin
bugün tüm dünyada yaygınlaşmasının sebebi de işte budur, hesap verilebilirlik.
·
İşte bu operasyonlar
Karya Teknoloji ve Danışmanlık Hizmetleri AŞ. Tarafından sağlandığından ve
kontrat altında olduğundan bir kasvet çıkmaz.
(Karya BT Web Sitesi, https://bit.ly/3um4ZOu, 2021).
Sistem Güvenlik Denetimi
Web
Uygulama Güvenliği Denetimi
Günümüzde müessesesel
güvenlik zincirinin en cılız halkalarından biri web uygulamalarının ve
servislerinin güvenliğidir. Her ne kadar web uygulama geliştirmek için
kullanılan .NET, JEE, PHP, vb. uygulama çatıları daha öncekine oranla daha
tehlikesiz hale gelmiş olsalar da, en ciddi güvenlik zafiyetleri uygulama
tabakasında ortaya çıkarılmaktadır. Enforsec, web uygulama sızma testi ile web
uygulamalarında bulunabilecek hem syntactic hem de iş manayı zafiyetlerin
bulunması ve çözüm tekliflerinin listelenmesi kastedilir. Enforsec, web
uygulama sızma testi metodolojisi olarak OWASP Testing Guide ve Web Uygulama
Güvenliği Kontrol Listesi’ni kullanmaktadır.
Mobil
Uygulama Güvenliği Denetimi
Uslu makinelerin popülerliğine paralel olarak mobil uygulamaların kullanımı da yaygınlaşmıştır. Uygulama marketlerinde mobil uygulamaların indirilme rakamları çoktan milyarlar aşmış olup, bu uygulamaların web versiyonlarından daha az tehlikesiz olması birçok müessesesel firma için netlikle kabul edilebilir bir vaziyet değildir. Mobil uygulamalarının teftişi, hem banal web uygulama teftişlerini hem de platforma özgü ayrıntılı client side süreç tahlillerini kapsamaktadır. Android, IOS başta olmak üzere Blackberry, Windows Mobile gibi mobil platform uygulamalarının Enforsec sızma testleri ile native ve mobil web uygulamalarındaki güvenlik zafiyetlerinin bulunması ve çözüm tekliflerinin sunulması kastedilir.
Güvenli
Kaynak Kod Analizi Denetimi
Uygulamalar
üzerinde yapılabilecek ve neticeleri olarak en belirleyici teftiş biçimi
yazılım kaynak kod tahlilidir. Bu teftişte hedef yazılımın kaynak kodları,
belirli bir zaman zarfında otomatik ve manuel teftişten geçirilirler. Kaynak
kod tahlili, banal web/mobil uygulama teftişinde çıkabilecek güvenlik
problemlerini bulabileceği gibi bulunması güç iş manayı güvenlik zafiyetlerini
de ortaya çıkarabilir. Kaynak kodu tahlili ile direk güvenlik zafiyetlerinin
yanında dolaylı olarak güvenliği etkileyebilecek kararlılık ve performans
problemleri de kolaylıkla bulunmaktadır. Enforsec kaynak kod tahlili ile hem
otomatik hem de manuel olarak kodlar araştırılması ve problemlerin, çözüm
teklifleri ile beraber sunulması kastedilmektedir. Enforsec kaynak kod tahlili
metodoloji olarak OWASP Secure Coding Practices ve OWASP ASVS projelerini baz
almaktadır.
Network
Güvenlik Denetimi
Günümüzde tehlikesiz bir biçimde
iletilmesi, işlenmesi ve saklanması operasyonları hayati ehemmiyet
taşımaktadır. Network güvenlik teftişi ile müesseseler için bilginin
iletilmesinde kullanılan IT alt yapısını oluşturan bileşenlerin sunucular,
kullanıcı bilgisayarları, network aygıtları vb. zafiyetlerin bulunması ve çözüm
tekliflerinin sunulması kastedilir.
Endüstriyel
Uygulamalar (SCADA) Güvenlik Denetimi
Müesseselerin
yapım ve dağıtım sistemleri gibi kritik alt yapılarının idare ve izlenmesinde
kullanılan uygulamaların SCADA güvenlik problemlerinin ortaya çıkartılması ve
bu problemlere endüstriyel IT bakış açısı ile çözümler sağlanması
kastedilmektedir.
Veritabanı
Güvenlik Denetimi
Veri tabanları kurum içinde
hassas veriyi doğrudan sistemler olması
sebebiyle saldırganların son hedef noktalarının başında kazanç. Her ne kadar
uzaktan ulaşımlara sarih olmayan ve izole etraflarda içeren sistemler olsalar
bile, gerek uygulama tabakaları üzerinden gerekse de müessese iç ağlarından
yapılabilecek ataklara maruz kalmaktadırlar. Veri tabanı güvenlik teftişleri
ile veri tabanlarına özgü güvenlik zafiyetlerinin çıkartılması ve bunların
çözüm yöntemlerinin sunulması kastedilir.
Sosyal
Mühendislik Testi
Sosyal Mühendislik testleri ile
bilgi güvenliğinde insan etmeninin
değerlendirilmesi kastedilmektedir. Bu testler, müessesenin iş kolu göz önünde
bulundurularak güvenlik siyasetlerinin yeterliliği, çalışanların güvenlik
farkındalığı, fiziksel güvenlik tedbirlerinin denenmesi gibi beşeri zafiyetler
de tespit edilir. Teftişler sırasında genel sosyal mühendislik test yöntemleri
kullanıldığı gibi müesseseye ve müessesenin iş kollarına özgü test senaryoları
da hazırlanmaktadır.
Wireless
Güvenlik Denetimi
Wireless
Ağ Sızma Teftişleri kapsamında hedef alınan kablosuz ağ altyapısı, belirlenen
lokasyonlar üzerinden kablosuz ağların bulguyu, tespit edilen kablosuz ağlarda
bulunabilecek güvenlik zafiyetlerinin tespiti ve çözüm tekliflerinin sunulması
kastedilmektedir.
DoS/DDoS
Testi
DoS/DDoS
hücumları, sistemlerin veya uygulamaların hizmet veremez vaziyete gelmelerini
hedefleyen bir hamle çeşididir. Günümüz de saldırganlar tarafından yaygın
biçimde kullanılan hamle cinslerinden bir tanesidir. Gerçekleştirilecek
DoS/DDoS testleri, sistemlerin veya uygulamaların DoS/DDoS ataklarına karşı
dayanıklılığını ölçmenize ve bulunan problemlerin giderilmesine katkı sunacak
çözüm tekliflerine imkân sağlayacaktır.
(Enforsec Web Sitesi, https://bit.ly/3h5R2jQ, 2021).
