Would you like to react to this message? Create an account in a few clicks or log in to continue.



 
AnasayfaGaleriAramaLatest imagesKayıt OlGiriş yap

 :: Bilgisayar Dünyası :: BİLGİSAYAR & İNTERNET BİLGİSİ
 

 Erişim Denetimi

Aşağa gitmek 
YazarMesaj
mustafasar
....::: Site Admin® :::...
....::: Site Admin® :::...
mustafasar


Mesaj Sayısı : 1046
Yaş : 44

Erişim Denetimi Empty
MesajKonu: Erişim Denetimi   Erişim Denetimi Icon_minitimeÇarş. Kas. 07, 2007 7:41 pm
1 Erişim Denetimi Nedir?
Erişim Denetimi (ing. Access Control), bir bilgi işlem sistemine hangi kullanıcının,
hangi haklarla erişebileceginin ve bu sistem üzerinde hangi işlemleri yapmaya yetkin
oldugunun belirlenmesi ve yönetilmesidir. Erişim Denetiminin uygulanması
sayesinde, yalnızca yeterli yetkiye sahip olan kullanıcıların sisteme ve üzerindeki
veriye erişmesi saglanır.

Erişim denetimi ilkeleri belirlenirken iki temel gereksinim dikkate alınmalıdır:

• Görevlerin ayrılması (ing. Seperation of Duties)
• Mümkün olan en az yetki (ing. Least Priviledge)

1.1 Görevlerin Ayrılması
“Görevleri ayrılması” ilkesine göre, belli bir süreci gerçeklestirmek için atılacak
adımları gerçeklestirmek üzere birden çok kullanıcı görevlendirilir. Görevlerin
ayrılmasını gerçeklestirmek üzere yapılacak ilk sey, yapılacak islerin adımlarının
belirlenmesidir. Bu ilkenin uygulanması ile, bir sürecin bastan sona kontrolunun tek
bir kişinin elinde olması engellenmiş olur. Bu sayede bu tek kişinin sürecin adımlarını
kendi kişisel çıkarlarına uygun bir biçimde degistirmesinin önüne geçilir. Görevlerin
ayrılması ile, süreci kişisel kazanç haline dönüstürmek için birden fazla kişinin işbirliği
gereklidir. Böylece güvenlik ihlali olasılıgı azaltılmış olur. Çünkü birden çok kişinin
güvenligi ihlal etme olasılıgı, bir kişinin ihlal etme olasılıgına göre çok düsüktür.

1.2 Mümkün Olan En Az Yetki
“Mümkün Olan En Az Yetki” ilkesi çerçevesinde sistemde bulunan süreçler ve
kullanıcılar, sistem kaynaklarına erisirken, kendilerine atanmış görevlerini
gerçeklestirmelerine yetecek kadar yetkiye sahiptirler. Örneğin veritabanından
raporlama amacıyla veri çeken bir sürecin, veritabanının sadece raporu olusturacak
olan tablolarında yalnızca “Okuma” yetkisine sahip olması yeterlidir. Bu sürece,
örneğin, baska bir tabloda yazma yetkisi ile Erişim hakkı tanımlamak, “Mümkün Olan
En Az Yetki” ilkesine aykıdır. Bu ilke “Bilmesi Gereken” ilkesi (ing. Need-to-Know) olarak da bilinir.

2 Gizlilik Bütünlük Elverişlilik ilişkisi

Erişim Denetiminin yeterince yapılamamasının sonucunda, temel güvenlik
gereksinimleri olan, Gizlilik, Bütünlük, Elverişlilik gereksinimleri yeterince
karşılanamaz hale gelebilir.

Veriye/programlara, yetkisi olmayan kişilerin ya da süreçlerin erişmesi durumunda,
Gizlilik ilkesi ihlal edilir.

Veriye/programlara, yetkisiz olarak erişen kişiler bu veri/programları kişisel kazanç
sağlamak amacıyla degistirebilir, silebilir ya da yenilerini ekleyebilir. Bu durumda
Bütünlük ilkesi ihlal edilmiş olur.

Programlara yetkisiz olarak erişen kişiler, programların çalısma şeklini degistirebilir.
Eriştikleri programların bilgisayar agı üzerindeki band genişligini doldurarak
baskalarının erişmesini engelleyebilir. Eriştikleri sisteme yerlestirdikleri zaman
bombalarını ya da diğer zararlı kodları (virüs, casus program, truva atı gibi) faaliyete
geçirerek sistemi çalısmaz hale getirebilirler. Bunun sonucunda Elverişlilik
ilkesi ihlal edilmiş olur.


3 Erişim Denetimini sağlamaya Yönelik Önlemler

Erişimi sınırlandırmaya yönelik önlemler üç grupta incelenebilir:

• Yönetimsel
• Teknik
• Fiziksel

3.1 Yönetimsel Önlemler
Yönetimsel önlemler kapsamında kurumun Erişim denetim politikasının belirlenmesi
ve bu politikanın uygulanmasına yönelik işletim prosedürlerinin yazılması yer alır. Bu
sayede, kurum yönetiminin Erişim denetimi üzerinde tam bir kontrolü olması saglanır.
Kurumsal düzeyde alınan kararlar, işletim prosedürleri yardımıyla en uç noktaya
kadar iletilerek uygulanır. Belirlenen politikanın uygulanması periyodik olarak
denetlenir. Aynı zamanda politikanın ihtiyaçlara uygunlugu da periyodik olarak
gözden geçirilir.

Belirlenen kuralların uygulanabilir olmasında en önemli etken, bu kurallara maruz
kalacak olan personelin yeterli egitimden geçmesine dayanır. Tüm personel, Erişim
denetimi konusunda yeterli egitimi almalıdır.

Yönetimin gerekli görmesi durumunda, belirlenen kuralların uygulanmasının
etkinleştirilmesi amacıyla, idari ceza yöntemlerine basvurulabilir. Bu tür yöntemlerin
uygulanmasında birincil amaç, personeli yanlışından dolayı cezalandırmak degil,
yönetimin politikaları konusundaki kararlılıgını personele iletmek olmalıdır.

3.2 Teknolojik Önlemler

3.2.1 Tanıma
Tanıma (ing. identification) kullanıcının kimliğini sisteme beyan etmesidir. Örneğin
kullanıcı adını yazmak bir tanıma şeklidir. Bunun yanında istasyon tanıma da web
tabanlı bir uygulamada kullanılabilir. Uygulamaya erişen kullanıcının yanında,
Erişimin gerçeklestirildigi bilgisayara ait bir özellik de (örneğin MAC adresi, IP adresi,
WINS ismi gibi) tanıma amaçlı olarak kullanılabilir.

3.2.2 Kimlik Doğrulama
Kimlik doğrulama (ing. authentication), kullanıcının beyan ettiği kişi oldugunu
ispatlamasıdır. Kimlik doğrulama amacıyla en sık karşımıza çıkan yöntem parola
kullanımıdır. Gmail ya da yahoo’daki e-posta hesabımıza girerken ya da cep
telefonumuzu açarken sık sık karşımıza çıkar. Daha genel olarak bakarsak üç tür
kimlik doğrulama yöntemi karşımıza çıkar:

1. Bilinen bir sey ile
2. Sahip olunan bir sey ile
3. Biyolojik bir özellik ile


Teknoloji Örnekler Açıklama Zayıf Yönleri
Bilinen bir sey Parola Kullanıcı bildigi bir parolayı sisteme beyan eder Parolanın unutulması
Başkası tarafından öğrenilmesi
Sahip olunan bir şey
Jeton
Akıllı kart
Tek seferlik parola
Cep telefonu Kullanıcı kendisine tahsis edilmiş cihazı kullanarak sisteme kendini tanıtır Kullanılan cihazın bozulması
Kullanılan cihazın kopyalanması
Biyolojik bir özellik Retina, İris, Parmak izi, El ayası, Ses,
Yüz şekli Biyolojik özellik, daha önce sisteme
kaydedilen örnek ile karşılaştırılır Kullanıcının biyolojik özelliginin yanlış algılanması




Genel olarak yukarıda bahsedilen yöntemlerden yalnızca birinin kullanılmasıyla
“Zayıf Kimlik Doğrulama” gerçeklestirmiş oluruz. Eğer bu yöntemlerden iki ya da
daha fazlası bir arada kullanılırsa “Güçlü Kimlik Doğrulama” gerçeklestirilir. Kritik
sistemlerde güçlü kimlik doğrulama kullanılmalıdır. Örnek olarak parola ve akıllı kart,
jeton ve parmak izi tanıma aynı anda kullanılabilir.

Zayıf kimlik doğrulama yöntemi olan parola kullanımı, en çok istismar edilen ve
sistemde güvenlik boslugu yaratan bir yöntem olarak karşımıza çıkar. Parolasını
unutmak istemeyen kullanıcılar, sistemin izin vermesi durumunda çok basit parolalar
seçebilir (örneğin kendi isimleri, dogum tarihleri ya da sözlükte bulunabilecek baska
bir sözcük). Bu tür bir parolanın hatırlanmasının kolay olması dısında bir yararı
yoktur. Özellikle parola kırmaya yönelik programlar, binlerce parolayı arka arkaya
deneyerek birkaç saat içerisinde basit bir parolayı elde edebilirler. Önlem olarak
parolaların belli kurallara dayalı olarak yeterince karmasık seçilmesi saglanmalıdır.

Kullanıcılar parolalarının mahremiyetine özen göstermelidirler. Parola, sadece akıla
yazılmak üzere belirlenen kişiye özel bir bilgidir. İnsanlar nasıl diş fırçalarını baskası
ile paylasmıyorsa parolalarını da baskasıyla paylasmamaya özen göstermelidirler.
Parolaların, post-it kagıtlarına yazılıp ekrana yapıstırılmasına, tüm dünyada
rastlanmaktadır.

3.2.3 Yetkilendirme
Bir kullanıcının kimliğinin doğrulanmış olması, o kullanıcının sistemdeki tüm
kaynaklara erisiebiliyor olması anlamına gelmez. Bu nedenle her kullanıcının hangi
yetkilere sahip oldugunun, hangi sistem kaynaklarına hangi yetkilerle eriseceginin
açık, net ve anlasılır bir sekilde belirlenmesi ve daha da önemlisi belirlenen yetkilerde
yapılan geçici ve kalıcı degiYasak Kelime liklerin sıkı bir sekilde takip edilmesi gereklidir.

Yetkilendirme (ing. Authorization) amacıyla kullanılabilecek yöntemler söyle
özetlenebilir:

1. İsteğe bağlı Erişim Denetimi: Erişim yetkisini veri sahipleri belirler.
2. Zorunlu Erişim Denetimi: Tüm kaynaklara Erişim merkezi bir noktadan
belirlenir.
Asagıda bu iki yöntemi de açıklayıcı örnekler verilmistir:


İstege bağlı Erişim Denetimi

Kişi A Klasörü B Klasörü C Klasörü Yazıcı
Ahmet Okuma Silme Değiştirme Var
Bora Okuma Okuma Yazma Var
Ayşe Yazma Okuma Yazma Var



Zorunlu Erişim Denetimi


Kişi Yetki Seviyesi Tanımlanmış Yetki Seviyeleri
Açıklama

Ahmet Tasnif Dışı Tasnif Dışı Halka açık belgelere erişim yetkisi. Memur kıdemindeki personel

Bora Gizli Gizli Şef, Müdür
Ayşe Gizli Çok Gizli Daire Bşk ve üstü personel



Yetkilendirme işleminin yapıldıgı yazılımlar ve bu yazılımları veritabanları (Örneğin
güvenlik duvarı), en az diğer kritik veri kadar iyi korunmalıdır. Bu noktaların sistemin
en zayıf halkası durumuna gelmesi engellenmelidir.

3.2.4 İzleme
İzleme kaydı (ing. audit trial), sistemde gerçeklesen bir faaliyetin kaydıdır. zleme
kaydı olusturulması için, sistemin belirli faaliyetleri kaydetmek üzere ayarlanması
gerekir. Sistem, ağ Erişimi, uygulama ve kullanıcı davranıslarının izlenmesi, sistem
güvenligi için bir gereksinimdir. zleme kayıtları, periyodik olarak ya da ihtiyaç
duyuldugunda gözden geçirilerek, ardarda gelen faaliyetler incelenip bilgi güvenligi
ihlalleri tespit edilebilir.

İzleme kaydı için belli bir standard yoktur. Her sistemin kendi ihtiyaçlarına göre bu
belirlenmelidir.

Farklı detay seviyelerinde izleme yapılabilir. Az detay kullanmak, izlenen sistemde
olan faaliyetler için daha az bilgi verecek ancak izleme kaydı verisi daha az yer
kaplayacaktır. Çok detaylı kayıt yapmak ise, sistemde gerçeklesen faaliyetler ile ilgili
daha net bilgi verecek, ancak izleme kaydı verisi çok daha fazla yer kaplayacaktır.

İzlemenin verimli yapılabilmesi ve doğru sonuç vermesi için, tüm sistemlerin
saatlerinin sekronizasyonu gerçeklestirilmelidir.
Web tabanlı bir uygulamanın izleme kaydında, en az, asagıdaki bilgi bulunmalıdır:

• Tarih/Saat
• Kullanıcı adı
• IP adresi
• Uygulama modülü
• Gerçekleştirilen işlem (okuma, yazma, değistirme, silme, vb gibi)
• Durum (basarılı/basarısız)
• Etkilenen satır sayısı
İzleme kayıtları saf veri (raw data) olarak incelenebilecegi gibi, incelenecek verinin
yüksek miktarda olması durumunda, bir raporlama aracı kullanılabilir. zlemenin
periyodik yapıldıgı durumlarda bu faaliyeti daha hızlı gerçeklestirebilmek amacıyla
standard rapor türleri belirlenerek işlem otomatize edilebilir.
Bunun yanında, bilgi güvenligi ihlallerinin daha hızlı takip edilmesi ve cevap verilmesi
gereken durumlarda izleme kayıtları olusurken, gerçek zamanlı olarak analize tâbi
tutulabilir ve alarm durumlarında yetkili kişilere acil uyarı iletilebilir. Bir alarm
durumuna örnek olarak, bir kullanıcı adıyla üst üste 25 kere yanlış
parola denenerek sisteme girilmek istenmesi verilebilir.

3.2.5 şifreleme
Yetkisiz veri Erişiminde son savunma noktası, erisilmek istenen verinin
şifrelenmesidir. şifreleme protokolü belirlenirken su noktalara dikkat edilmelidir:

• şifreleme semasının belirlenmesi: şifreleme algoritmaları, anahtar boyları,
şifreleme parametreleri gibi.
• Hangi verinin hangi şifreleme seması ile şifrelenecegi: Bu asamada eldeki
veri, risk analizi sonucunda tasnif edilerek farklı gizlilik derecelerine farklı
şifreleme semaları atanabilir.
• şifreleme başarımı: şifrelemenin yapılması, sistemde yavaslamaya yol
açabilir. Bu yavaslama kabul edilebilir seviyenin altında olmalıdır.
• şifrelemenin yeri: şifreleme disk seviyesinde, dosya sistemi seviyesinde ya
da veritabanı seviyesinde yapılabilir.
• Anahtar değişimi: şifrelemede kullanılan anahtarlar periyodik olarak
değiştirilmelidir.

Bunun yanında, sistemlere erisirken kullanılan kullanıcı adı ve parola gibi bilgilerin
doğrulanma üzere ağ üzerinden giderken şifrelenmesi de bir gereksinimdir. Bir
bilgisayar agını dinlemek de geçen trafigin analiz edilerek bir takım Erişim bilgilerinin
elde edilmesi de çok kolaydır.

3.3 Fiziksel Önlemler
Uygulama veya veriye uzaktan Erişimin denetimi kadar, bu uygulama ve verinin
bulundugu bilgi işlem ortamlarına fiziksel Erişimlerinde sıkı önlemlerle
sınırlandırılması büyük önem tasır. Bilgi işlem sistemlerinin bulundugu mekanlara, isi
olmayan kişilerin girmesi kesinlikle yasaklanmalıdır. Yetki seviyesi degisimlerinde,
kurum içi atamalarda, ayrılan ve yeni baslayan personel durumlarında, Erişim
denetim listeleri tekrar gözden geçirilmelidir. Eğer mümkünse, fiziksel Erişim
kontrollerinden birden fazlası aynı anda kullanılarak, kimlik taklidinin önüne
geçilmelidir. Örneğin Erişim yetkisi olan bir personel , Erişim yetkisi olmayan bir
personele kimlik kartını vererek bilgi işlem merkezine girmesini saglayabilir.

Sistemlerin konsol Erişimleri en üst düzeyde sınırlandırılmalıdır. Sistemlerin
bulundugu dolaplara, aktif ağ
cihazlarına ve elektrik panolarına Erişim sıkı kurallara
baglanmalıdır.

4 Sonuç
Erişim denetiminde, diğer bilgi güvenligi ile ilgili alanlarda da oldugu gibi, tek bir
önlem alarak bir sonuç elde etmek ne yazık ki mümkün değildir. Sistemlerimiz web
tabanlı hale geldikçe, karşı karşıya oldugumuz tehditler ve bunlara bağlı olarak da
riskler, acımasız bir sekilde artmaktadır. Bu nedenle, derinlemesine güvenlik
(defense in depth), Erişim denetiminde temel strateji olarak seçilmelidir. Kurum
içinden ya da dısından gelen saldırganlar, bilgi güvenligi sınırlarını ihlal ettiklerinde,
yetkisiz olarak erişmek istedikleri sisteme ulasana kadar, birçok engelle
karşılaşmalıdırlar. Değerli bilgilerimizi kötü niyetli kişilerden korumanın tek yolu
budur.
Sayfa başına dön Aşağa gitmek
https://mustafasar.yetkin-forum.com
 
Erişim Denetimi
Sayfa başına dön 
1 sayfadaki 1 sayfası

Bu forumun müsaadesi var:Bu forumdaki mesajlara cevap veremezsiniz
 :: Bilgisayar Dünyası :: BİLGİSAYAR & İNTERNET BİLGİSİ-
Buraya geçin: