Kurumsal Bilgi Güvenliği
Dr. Mehmet KARA
ISBN: 978-605-9594-50-9, Eylül 2018
344 sayfa, (16,5x24 cm2), 80 gr 1. hamur kağıt.
Bu kitap bir kurumda güvenli bir bilgi sistem alt yapısı kurulması için gerekli olan yönetimsel ve teknik konuların tamamını bütüncül bir bakış açısı ile ele almaktadır. Kurumlardaki bilgiler ve iş süreçleri hızlı bir şekilde kağıt ortamından sayısal ortam aktarılmaktadır. Sayısal ortama aktarılan bilgilerin gizlilik seviyelerine uygun olarak sınıflandırılması, korunması ve verilere yönelik tehditlerin çıkarılması için kullanılan risk analizi yöntemleri ele alınmıştır. Kurum içerisinde güvenliğin zayıf halkalarından biri olan kullanıcıların bilgi güvenliği konularında bilinçlendirilmesi ve farkındalıklarının artırılması için yapılması gerekenler anlatılmıştır.
Toplam bilgi güvenliği altyapısının oluşturulması ve değerlendirilebilmesi için bilgi sistem yöneticisi ve uzmanlarının bilmesi gereken kimlik doğrulama, erişim kontrolü, haberleşme güvenliği, kriptoloji gibi temel konular ayrıntılı olarak ele alınmıştır. Diğer sistemlerde olduğu gibi fiziksel güvenlik bilgi istemleri için de büyük önem taşımaktadır. Sunucuların sürekli bir şekilde çalışabilmesi için fiziksel erişim, yangın söndürme, ısıtma, soğutma, havalandırma sistemlerinin nasıl yapılandırılması gerektiği ayrıntılı olarak açıklamıştır. İş sürekliliği ve felaketten kurtarma ile bilgi sistemleri durdurmaya ve kesintiye uğratmaya yönelik tehditlerin neler olabileceği ve bunlara karşı alınabilecek önlemler incelenmiştir.
Yönetimsel konular yanında, internet ve kurumsal bilgisayar ağlarının temelini oluşturan OSI referans modeli ve bu modelde yer alan, ağ ve sınır güvenliği teknoloji ve cihazları da derinlemesine ele alınmıştır. Hali hazırdaki cihaz ve teknolojilerin güvenli kullanımı yanında kurumda geliştirilecek ürünlerin güvenlik bakış açısı ile oluşturulabilmesi için ayrıntılı bilgi verilmiştir.
Bilgi sistemleri üzerinden işlenen suçlar da her geçen gün artmaktadır. Bu konuda çıkarılan yasalar, yaşanan önemli olaylar, adli bilişim delil toplama ve etik konuları ele alınmıştır.
Bilgi güvenliği kurumsal düzeyde hem teknik hem de yönetimsel yönleriyle ele alınarak kurumda tam güvenliğin sağlanması hedeflenmektedir. Bu hali ile bilgi sistem uzmanları ve yöneticileri için temel başvuru kaynağı niteliğinde olup, üniversitelerde Ağ Güvenliği, Siber Güvenliğe Giriş, Bilgi Güvenliği ve Kriptoloji, Bilgi Güvenliği Yönetimi dersleri için kaynak kitap niteliğindendir.
İÇİNDEKİLER
Önsöz
Bölüm 1. Bilgi Sistemleri Güvenlik Yönetimi
1.1. Güvenlik Yönetimi Kavramları 15
1.2. Güvenlik Kontrolünün Amaçları 16
1.3.1. Bilgi Sınıflandırmanın Amaçları ve Yararları 17
1.3.2. Bilgi Gizlilik Seviyeleri 18
1.3.3. Bilgi Sınıflandırma Kriterleri 19
1.3.4 Gizlilik Seviyeli Bilgilerin Dağıtımı 20
1.3.5. Bilgi Sınıflandırma Rolleri 20
1.5. Roller ve Sorumluluklar25
1.6. Bilgi Güvenliği Risk Yönetimi 26
1.7. Güvenlik Bilinçlendirmesi 36
1.8. Özet
1.9. Çalışma Soruları
Bölüm 2. Erişim Kontrolü ve Kimlik Doğrulama
2.1. Prensipler (İlkeler)
2.1.1. Bilmesi Gereken Prensibi 41
2.1.2. Geçmiş Değerlendirmesi 42
2.2. Erişim Kontrolü Tekniklerinin Özellikleri ve Uygulanabilirliği 44
2.3. Mevcut Erişim Kontrolü Teknikleri 44
2.3.1. Erişim Kontrolü Listeleri 44
2.4. Geliştirilen Erişim Kontrol Teknikleri 47
2.5. Erişim Kontrolü Tekniklerinin Özellikleri ve Uygulanabilirliği 47
2.5.1. İsteğe Bağlı Erişim Kontrolü 48
2.5.2. Zorunlu Erişim Kontrolü 49
2.5.3. Rol Temelli Erişim Kontrolü 51
2.6. Erişim Kontrol Türleri 53
2.6.4. Algılayıcı Yönetimsel 54
2.7. Kimlik ve Kimlik Doğrulama 55
2.7.3. Tek Noktadan Giriş (Single Sign On-SSO) 60
2.8. Erişim Kontrol Metodolojileri 68
2.8.1. Merkezi Erişim Kontrolü 68
2.8.2. Dağıtık Erişim Kontrolü 69
2.9. Erişim Kontrolü İle İlgili Konular69
2.10. Özet
2.11. Çalışma Soruları
Bölüm 3. OSI Başvuru Modeli ve Ağ Teknolojileri
3.2.1.2. Veri Bağlama Katmanı 76
3.4. Güvenliği Genişleten ve Güvenlik Odaklı Protokoller 85
3.5.Veri Ağları Temelleri 86
3.6.Veri Ağları Teknolojileri88
3.6.1. Yerel Alan Ağı Teknolojileri 88
3.6.1.1. Yerel Alan Ağı İletim Protokolleri 91
3.6.1.2. LAN İletim Metotları 92
3.6.2. Geniş Alan Ağı Teknolojileri 97
3.6.2.1. WAN Protokol ve Topolojileri 97
3.6.3. Uzak Erişim Teknolojileri 99
3.6.4. Kablosuz İletişim Teknolojileri 102
3.6.4.1. Kablosuz Yerel Alan Ağı Güvenliği 104
3.6.4.2. Bluetooth Güvenlik Mekanizmaları 106
3.7. Bulut Bilişim Teknolojileri 107
3.7.1. Bulut Bilişim Servis Modelleri 109
3.7.1.1. Yazılım Servisi (SaaS) 109
3.7.1.2. Platform Olarak Servis (PaaS) 110
3.7.1.3. Altyapı Servisi (IaaS)111
3.7.2.1. Genel Bulutlar 112
3.7.2.2. Özel Bulutlar 112
3.7.2.3. Melez Bulutlar 112
3.8. Mobil Bilişim Teknolojileri 112
3.8.3. Android İşletim Sistemi 117
3.8.3.1. Android İşletim Sistemi Katmanları 117
3.8.3.2. Android Güvenliği 118
3.8.4. IOS İşletim Sistemi 122
3.8.4.1. IOS Katmanları 123
3.9. Özet
3.10. Çalışma Soruları
Bölüm 4. Bilgi Sistemlere Yönelik Ataklar 127
4.1.1. Web Tabanlı Keşif ve Saldırı Araçları 128
4.3. Açıklık Taraması 137
4.4. Giriş Yetkisi Kazanma 141
4.5. Fidyecilik Saldırıları 149
4.6. Servis Dışı Bırakma Saldırıları 153
4.7. Erişimi Devam Ettirme Saldırıları155
4.8. Sosyal Mühendislik Saldırıları 160
4.9. İçeriden Gelen Tehditler162
4.10. Özet
4.11. Çalışma Soruları
Bölüm 5. Kriptografi ve Ağ Güvenliği
5.1. Kriptografi Tanımları 165
5.2. Kriptografinin Tarihçesi168
5.3. Kriptografik Teknolojiler 170
5.3.1. Simetrik Anahtarlı Kriptoloji 170
5.3.1.1. DES 171
5.3.1.2. 3DES 173
5.3.1.3. International Data Encription Algorithms (IDEA) 173
5.3.1.6. Advanced Encryption Standard (AES) 174
5.3.2. Asimetrik Anahtarlı Kriptolama 175
5.3.2.1. RSA Algoritması 177
5.3.2.2. Diffie-Hellman Anahtar Değişimi 179
5.3.3. Açık Anahtar Kripto Sistem Algoritma Kategorileri 180
5.3.4.1. Sayısal İmza ve Güvenli Özet Standardı 182
5.3.4. Kriptografik Ataklar 182
5.4. Ağ Güvenliği Cihazları 184
5.4.1. Sanal Özel Ağ Cihazları (VPN) 184
5.4.1.2. İkinci Katman VPN Tünelleri 185
5.4.1.3. IPSec Tabanlı VPN Bağlantı Türleri 186
5.4.1.4. IPSec Protokolleri 189
5.4.1.5. Güvenlik Politikası Veritabanı 193
5.4.1.7. IPSEC Protokollerinde Kullanılan Algoritmalar 197
5.4.2.2. Paket Filtreleme Güvenlik Duvarları 199
5.4.2.3. Uygulama Katmanı Güvenlik Duvarları 200
5.4.2.4. Durumsal Güvenlik Duvarı 200
5.4.2.5. Dinamik Paket Filtreleme Güvenlik Duvarları 200
5.4.2.6. Çekirdek Vekil Sunucu 201
5.4.2.7. Yeni Nesil Güvenlik Duvarları 201
5.4.2.8. Güvenlik Duvarı Mimarileri 202
5.4.2.9. Ağ Adres Dönüşümü 203
5.4.3. Saldırı Tespit/Önleme Sistemleri 204
5.4.3.1. Ağ Tabanlı Saldırı Önleme Sistemleri 205
5.4.3.2. Sunucu Tabanlı Saldırı Önleme Sistemleri206
5.4.3.3. SÖS Algılama Yöntemleri 206
5.5. Özet
5.6. Çalışma Soruları
Bölüm 6. Güvenlik Mimarisi ve Modelleri
6.1.1. Merkezi İşlem Birimi 210
6.1.2. Bellekler 212
6.1.3. Giriş/Çıkış Yapıları 214
6.1.5. Yazılım ve Programlama 218
6.2. Güvenli Mimari Gereksinimi 220
6.3. Önemli Güvenlik Koruma Mekanizmaları 221
6.4. Güvenlik Garanti Sistemleri 222
6.4.1.1. Ortak Kriterlerin İçeriği 225
6.4.1.2. Ortak Kriterlerin Yapı Taşları 226
6.4.1.3 Ortak Kriterlerin Tarafları 231
6.4.1.4. Akreditasyon ve Onay233
6.4.2. Yetenek ve Olgunluk Modeli ( CMMs) 234
6.4.3. Microsoft Güvenli Geliştirme Yaşam Döngüsü 236
6.4.4. OWASP SAMM Güvenlik Modeli 240
6.5. Özet
6.6. Çalışma Soruları
Bölüm 7. İş Sürekliliği ve Felaketten Kurtarım Planlaması
7.1. Tanımlar 244
7.2.1. Sürekliliği Bozucu Olaylar 245
7.2.2. İş Sürekliliği Planlamasının Elemanları
7.2.2.1. Kapsam ve Plan Başlatma 246
7.2.2.2. İş Etki Analizi 248
7.2.2.3. İş Sürekliliği Planı Geliştirme 252
7.2.2.4. Plan Onaylatma ve Gerçekleme 253
7.3. Felaketten Kurtarma Planı 254
7.3.1. Felaketten Kurtarma Planının Amaç ve Hedefleri
7.3.2. Felaketten Kurtarma Planı Süreçleri 254
7.3.2.1. Veri İşleme Sürekliliği Planlaması
7.3.2.2. Felaket Kurtarma Planı Bakımı 259
7.3.2.3. Test Belgelerinin Oluşturulması 259
7.3.2.4. Felaketten Kurtarım Planı Tipleri
7.3.2.5. Felaketten Kurtarım Prosedürleri
7.4. İş Sürekliliği Standartları 262
7.5. Özet
7.6. Çalışma Soruları
Bölüm 8. İşletme Güvenliği
8.1. İdari Yönetim 266
8.1.1. Güvenlik ve Ağ Yönetimi 267
8.1.2. İzlenebilirlik 268
8.1.3. İşlem Sorumluluğu 269
8.1.4. Veri Kaçağı 269
8.2. Varlık İşletim Güvenliği Kontrolleri 270
8.2.1. Garanti Seviyeleri 270
8.2.2. Varlık Tanıma ve Yönetimi270
8.2.3. Sistem Kontrolleri 270
8.2.4 Giriş Çıkış Kontrolleri 271
8.2.5. Sistem Sıkılaştırma 271
8.3. Ağ Güvenliği Yönetim Konseptleri 272
8.3.1. Uzak Erişim Güvenlik Yönetimi 272
8.3.2. Saldırı Tespiti/Önleme ve Cevaplama272
8.3.3. Bilgisayar Olaylarına Müdahale Ekibi
8.3.4. Tek Nokta Hatasının Yönetilmesi 278
8.3.4.1. Kablolama Hataları 278
8.3.4.2. Topoloji Hataları 279
8.3.5. DDoS Engelleme Sistemi 279
8.4. Güvenlik Test ve Denetimleri 280
8.4.1. Bilgi Sistem Güvenlik Denetimi 283
8.4.2. Bilgi Sistemleri Sızma Testi 283
8.5. Özet
8.6. Çalışma Soruları
Bölüm 9. Yasalar, Uyumluluk ve Delil Toplama ve Etik
9.1. Siber Hukukun Değişik Yönleri 286
9.1.1. Etik 286
9.1.2. İnternet Mimarisi Yönetim Kurulu 288
9.2. Motivasyon, Fırsat ve Suç İşleme 288
9.2.1. Bilgisayar Korsanları ve Siber Saldırganlar
9.3. Bilişim Suçlarını Hukuki Yönden Takip Etme
9.3.1. Sorumluluk ve Sonuçları 295
9.4. Kanun Tipleri 296
9.5. Bilgisayar Suçlarını Soruşturma 301
9.5.1. Kanıt 302
9.5.2. Kanıtın Kabul Edilebilirliği303
9.5.3. Kanıt Türleri 303
9.6. Yasalar, Düzenlemeler ve Uyumluluk 306
9.7. Türk Ceza Kanunundaki Bilişim ve Bilişim Suçları
9.8. Özet
9.9. Çalışma Soruları
Bölüm 10. Fiziksel Güvenlik
10.1. Fiziksel Güvenliğe Yönelik Tehditler 312
10.2. Fiziksel Güvenlik Kontrolleri 313
10.2.1. Yönetimsel Kontroller 314
10.2.2. Çevresel ve Yaşam Güvenliği Kontrolleri
10.2.3. Yangın Tespiti ve Söndürme 319
10.2.4. Isıtma, Havalandırma ve Klima 323
10.2.5. Fiziksel ve Teknik Kontroller 324
10.2.6. Bilgisayar Envanter Kontrolü 330
10.2.7. Saklama Ortamı Gereksinimleri 331
10.3. Özet
10.4. Çalışma Soruları
Kaynakça
Dizin
|
|
|
|
|
