Tekil Mesaj gösterimi
Alt 06 Ekim 2017, 20:35   Mesaj No:2

Medine-web

Medineweb Site Yöneticisi
Medine-web - ait Kullanıcı Resmi (Avatar)
Durumu:Medine-web isimli Üye şimdilik offline konumundadır
Medine No : 1
Üyelik T.: 14Haziran 2007
Arkadaşları:7
Cinsiyet:Erkek
Yaş:49
Mesaj: 2.985
Konular: 339
Beğenildi:1160
Beğendi:331
Takdirleri:7457
Takdir Et:
Konu Bu  Üyemize Aittir!
Standart

ÜNİTE-2
BİLİŞİM GÜVENLİĞİ VE TEMEL İLKELERİ

Bilişim güvenliği konusu, genel olarak üç temel ilkeden oluşmaktadır. Bunlar; gizlilik (confidentiality), bütünlük (integrity) ve erişilebilirlik (availability) olarak sıralanabilir. Eğer bu üç ilkeden biri zarar görürse, güvenlik zarar görmüştür denilebilir bu temel ilkeleri ve aralarındaki ilişkiyi göstermektedir. Bazı kaynaklar, güvenlik ile ilgili bir takım başka ögelerin daha altını çizerek, bu temel ilkeleri biraz daha geliştirmişlerdir. Bunlar da; izlenebilirlik veya kayıt tutma (accountability), kimlik sınaması (authenti- cation), güvenilirlik (reliability/consisten) ve inkar edememe (non-repudiation) olarak sıralanabilir. İzleyen bölümlerde bu ilkeler ayrıntılı olarak açıklanmaktadır. 1. Gizlilik: Gizlilik ilkesi, kullanılan sistemin ve sistemdeki verilerin yetkisiz kişilerin eline geçme- sine, izinsiz erişilmesine ve kullanılmasına karşı korunmasıdır. Gizlilik ilkesi iki başlık altında incelenebilir: A)Veri gizliliği; özel ve gizli kalması gereken bilgilerin ve verinin yetkilendirilmemiş kimselerin eline geçmesinin ve bilginin izinsiz ifşa edilmesinin önlenmesi ile ilgilidir. B) Kullanıcı gizliliği; kullanıcıların sistemde hangi bilginin veya verinin kullanılıp, saklanacağına ve daha sonra kimler tarafından görülüp erişilebileceğine kendilerinin karar verebilmesi ve süreci kont- rol edebilmesi ile ilgilidir. 2. Bütünlük: Bütünlük ilkesi, sistemi ve sistemde bulunan veriyi olması gerektiği şekilde muhafaza etmektir. Bütünlük ilkesi; veri bütünlüğü ve sistem bütünlüğü olmak üzere ikiye ayrılır. A)Veri bütünlüğü; bilginin ve sistem programlarının önceden belirlenen ve yetkilendirilmiş kişiler tarafından değiştirilebilmesi ile ilgilidir. B)Sistem bütünlüğü ise; sistemin genel olarak, dışarıdan bir müdahale olmaksızın, yetkili kullanıcının istediği şekilde, sorunsuz çalışması ile ilgilidir. 3. Erişilebilirlik: Erişilebilirlik ilkesi, bilginin her an ulaşılabilir ve kullanılabilir olmasını gerektirmektedir. Bilişim sistemlerinin erişilebilirliği sadece kurum içi veya dışından gelecek saldırılar sonucu etkilenmez. Bilinçsiz, yanlış ve dikkatsiz kullanımlar sonucu yazılımlar çökebilir, donanım zarar görebilir veya yangın, yıldırım veya deprem gibi çeşitli etkenler de erişilebilirliğe zarar verebilir. 4. İzlenebilirlik: İzlenebilirlik ilkesi, sistemde geli şen tüm olayların, daha sonra incelenebilecek şekilde kayıt altında olması ile ilgilidir. 5. Kimlik Sınaması: Kimlik sınaması ilkesi, sistemi kullanmak üzere yetkilendirilen kişinin, sistem veya her- hangi bir program sorguladığında, aynı kişi olduğunu belgelemesi ile ilgilidir. 6. Güvenilirlik: Güvenilirlik ilkesi, sistemin öngörülen ve kendisinden beklenen performansı ile ortaya çıkan sonuçların tutarlılığı ile ilgilidir. 7. İnkar Edememe: İnkar edememe ilkesi, bilgilerin ve verinin paylaşıldığı kullanıcılar arasında doğabilecek anlaşmazlıkların, güvenli bir şekilde nasıl çözüldüğü ile ilgilidir. Bu güvenlik durumu, özellikle internet üzerinden ticaret ve bankacılık işlemlerinde oldukça önemli bir konudur.




BİLGİSAYAR SİSTEM VE AĞ GÜVENLİĞİNİ TEHDİT EDEN KÖTÜ AMAÇLI YAZI LIMLAR

Kötü Amaçlı Yazılımlar (Malw are) Bilgisayar sistemlerine zarar vermek, bilgi çalmak, kötü amaçla kullanmak, kullanıcıları rahatsız etmek ve benzeri nedenlerle hazırlanmış yazılımlara genel olarak kötü amaçlı yazılımlar denir. 1. Virüsler: Kötü amaçlı yazılımların en sık rastlanılan ve bilinen türü olan virüsler, kullanıcının izni veya bilgisi olmaksızın sistemin işleyişini değiştiren ve kendisini diğer program veya dosyaların içinde gizleyen programlardır. Virüslerin temelde, iki işlevi bulunur: Kendilerini çoğaltmak ve belirli bir zamanda kendilerini çalıştırmak (harekete geçmek). Buna göre başlıca virüs türleri; dosya sistemi virüsleri, ön yükleme (boot sector) bölümü virüsleri, makro yazılım virüsleri, web komut dosyası (web scripting) virüsleridir. Bu ünitede bunların yanında ağ virüsleri ve yazılım bombaları da ele alınmaktadır. A) Dosya Sistemi Virüsleri: Bu tür virüsler en sık rastlanılan virüslerdendir ve çalıştırılabilir (executable) dosyalara bulaşırlar. Bu dosyaların uzantıları genellikle “.exe” veya “.com”dur.Bu tür virüslerin sisteme yayılarak sistemdeki sabit diskleri yeniden biçimlendirdiği, dolayısıyla tüm bilgi ve verileri sildiği de görülmüştür. Virüs, sisteme verdiği zararı, bulunduğu programın kodlarını virüsü içerecek ve bir dahaki sefere program çalıştığında virüsü etkinleştirecek şekilde değiştirir. 2011 ve 2012 yıllarında en çok rastlanan 10 dosya virüsü arasında Win32/Sality başta gelenler arasındaydı. Bilinen diğer dosya virüsleri arasında; MrKlunky, Randex, Meve gibi virüsleri saymak mümkündür. B)Ön Yükleme (Boot Sector) Virüsleri: Bu tür virüsler, bilgisayar sistemindeki sabit diskin ilk sektörü olan ve hangi bilginin nerede olduğuna dair verileri içeren “Master Boot Record” (MBR) bölümünü etkiler. ön yükleme virüsleri bulaştığında, artık buradaki küçük program içinde bulunan komutlar yerine, virüsün kendi içinde bulunan ve zarar vermek üzere programlanmış komutlar devreye girer ve sistem zarar görmeye başlar. Ancak, CD-ROM ve DVD teknolojisiyle bu virüs türü, diğerlerine göre daha az görülmeye başladı. Bilinen ön yükleme virüs türleri arasında Polyboot.B ve AntiEXE örnek olarak gösterilebilir. C)Makro Yazılım Virüsleri: Bu tür virüsler makrolar içeren (Microsof Ofice’in Word, Excel, PowerPoint uygulamaları gibi) çeşitli program ve uygulamalarca oluşturulan dosyalara bulaşırlar. Bu tür virüsler genellikle eposta veya diğer elektronik paylaşımlardaki eklentiler, modemler ve ağlar üzerinden yayılırlar. Bilgisayar ağları üzerinde yayılma özellikleri, makro virüslerini oldukça yaygın ve tehlikeli kılmaktadır. Bilinen makro virüsler arasında Relax, Melissa. A ve Bablas örnek olarak sayılabilir. DİKKAT: Bilinenen ünlü ve zarar verici makro virüsü, 1999 yılında David Smith tarafından geliştirilen virüstür. Smith,virüse Melissa ismini vermiştir. Bazı kayıtlara göre, bu isim Miami’deki bir dansçının adıdır. Eklenti olan word belgesi sisteme indirildikten sonra, kendini kullanıcının e-posta hesabında çoğaltarak listedeki ilk 50 kişiye otomatik olarak posta göndermek üzere programlanmıştır. Böylece, virüslü eklentiyi e-posta yoluyla alan herkesin listesindeki ilk 50 kişiye postalanarak yayılmaya devam etmiştir. Smith daha sonra yakalanarak 10 yıl hapse mahkum olmuş, hapiste 20 ay kaldıktan sonra kalan süre 5000 dolar para cezasına çevrilmiştir. Bu makro virüsün sebep olduğu hasar toplam 80 milyon dolar olarak rapor edilmiş ve 1 milyondan fazla bilgisayar sistemine bulaştığı ifade edilmiştir. D)Web Komut Dosyası Virüsleri: Web üzerinde gezinti yapan hemen herkesin karşılaşma ihtimali çok yüksek olan bu virüs türü, genellikle web sayfalarında bulunan reklam ve benzeri paylaşımlardan bulaşır ve bu yüzden oldukça yaygındır. Web komut dosyası virüsleri, sosyal ağlar, kullanıcı görüş ve yorumları, e-posta gibi yoğun katılımcı sayısı olan sitelerde daha yaygın görülür. Script” ön adlı olurlar (Script.Redlof gibi) ve Javasc- ript gibi ileri programlama dilleri ile yazılırlar. Virüs, yığın (çöp) posta göndermek, sistem dosyalarına zarar vermek ve kullanıcıları farklı şekillerde yanıltarak verilerin izinsiz kullanımı ve paylaşılmasına neden olmak gibi bir çok zarar ve soruna neden olabilir. E)Ağ Virüsleri: Ağ virüsleri, diğer yollarla bilgisayar sistemlerine bulaşan virüslerden farklıdır. Bu virüsler, yerel ağlarda veya İnternet üzerinde, bilgisayar sistemleri arasında paylaşılan kaynaklar ya da klasörler üzerinden yayılarak, ağdaki diğer sistemlere de bulaşan virüs türleridir. Ağ virüsleri, diğer virüs türlerinin verdiği benzer zararlar yanında, banka hesapları, elektronik posta, sosyal ağ hesapları ve diğer kişisel bilgi ve verileri de bulup, diğer şahıslarla paylaşabilir. F)Yazılım Bombaları: Yazılım bombaları, gerekli şartlar oluşana dek atıl durumda kalan ve özel bir kodu devreye sokan yazılımlardır. Etkinleşen bu zararlı programlar, genellikle kullanıcıya mesajlar gönderirler veya sistemdeki dosyaların silinmesini sağlarlar. Bu tehlikeli yazılımların en bilinen türü saatli bombalardır. Bu virüsler, yazılım bombalarının bir alt kümesi olarak değerlen- dirilebilir. Saatli bomba virüslerine örnek olarak ünlü “Friday the 13th” virüsü verilebilir. 2. Solucanlar: Solucanlar, virüsler gibi bilgisayar sistemlerini olumsuz yönde etkileyen ve zarar veren diğer bir kötü amaçlı yazılım türüdür. solucanlar, daha çok e-posta ile gönderilen ekler, çeşitli web siteleri ve ağ üzerinden paylaşılan dosyalar aracılığıyla yayılırlar. Solucanlar için en büyük sistem zafiyeti, işletim sistemlerinin hata veya açıklarıdır. Bunu önlemenin en güvenli yolu, işletim sistemlerinin en güncel sürümlerini kurmak ve güncelleştirmeleri sürekli takip etmek olacaktır. Bunun yanında sisteme kişisel bir güvenlik duvarı (firewall) kurmak da solucanlar ve diğer kötü amaçlı yazılımlardan mümkün olduğunca uzak durulmasını sağlayacaktır. 3. Truva Atlar ı: Bir başka kötü amaçlı yazılım türü olan Truva atları, solucan ve virüslerden biraz daha farklı çalışırlar. Truva atı, kullanıcılara kendisini faydalı bir yazılım olarak göstererek, başka bir sistemden yüklenilmesini sağlar. Truva atları, virüs veya solucanlardan farklı olarak doğrudan kişisel ve önemli belgelere erişmek, çalmak veya silmek amaçlı olduğundan biraz daha tehlikeli olarak değerlendirilebilir. 4. Casus Yazılımlar (Spyw are)Çoğu zaman “adware” olarak da isimlendirilen casus yazılımlar, bilgisayar sistemlerine farklı bir çok yöntemle bulaşabilen zararlı programlardır. Casus yazılımlar, sistemde bulunan şifre, kullanıcı belge ve dosyaları, banka ve kredi kart numaraları, e-posta adresleri, diğer kişilerle paylaşılan belgeler, web gezinti geçmişi gibi pek çok kişisel bilginin çalınmasına ve istenmeyen kimselerle paylaşılmasına neden olabilirler. 5. Çöp e-Posta (Spam) : Spam veya yığın mesaj olarak da adlandırılan çöp e-postalar, kullanıcıların isteği olmadan kendilerine gönderilen ve genellikle reklam içerikli olan elektronik postalardır.

Çöp e-postaların bir diğer yayılma türü de virüslerdir.

KÖTÜ AMAÇLI YAZI LIMLARA KARŞI KORUNMA

Antivirüs ve Casus Önleyici (Antispyw are) Yazılımlar Bilgisayar sistemlerini virüslere karşı koruyan programlara antivirüs, casus yazılımlara karşı koruyan programlara da casus önleyici (antispyware) yazılımlar denir. Antivirüs ve casus önleyici yazılımların genellikle kullanıcılara sağladığı yararlar şöyle sıralanabilir: *Bilgisayar sistemlerini kötü amaçlı yazılımlara karşı belirli aralıklarla veya kullanıcının istediği bir zamanda tarar. *Bilgisayar sistemine bulaşan kötü amaçlı yazılımları bulur, siler veya etkisiz duruma getirir. *Kullanıcıların sistemdeki kişisel verilerini korur. *İnternet sitelerinden kullanıcıların sistemlerine bulaşmak isteyen virus, solucan, truva atı, casus yazılım gibi kötü amaçlı yazılımların sisteme sızmalarını engeller. *Kullanıcının bilgisayarındaki işletim sisteminin düzgün ve güvenilir çalışmasına yardım eder. *Kullanıcının sistemdeki e-posta hesabından gelebilecek kötü amaçlı yazılımlara karşı sistemi korur. *Kullanıcının dosya ve belge alış-verişleri için sisteme taktığı harici belleklerden (taşınabilir disk, hafıza kartları vb.) sisteme sızabilecek kötü amaçlı yazılımları engeller. Bu tür yazılımlara örnek olarak; - Bitdefender, -Antivirus, -Kaspersky Antivirus, -Nor- ton Antivirus, -F-Secure Antivirus, -avg Antivirus, -BullGuard Antivirus, -G Data Antivirus, -Panda Antivirus, -Avast! Pro Antivirus, -McAfee Antivirus programları sayılabilir. Kötü Amaçlı Yazılımlardan Korunmak İçin Al ınabilecek Önlemler Bunlar şöyle sıralanabilir: *Bilgisayar sisteminize güvenilir (lisanslı) bir antivirüs programı kurun ve virüs tanım ve listelerinin güncel olduğundan emin olun. *Eğer antivirüs programınız kişisel güvenlik duvarı programını içermiyorsa, antivürüs programının yanında, sisteminize kişisel bir güvenlik duvarı kurun ve çalıştırın. *Antivirüs ve casus önleyici türünden programların sisteminizde gerçek zamanlı çalışmalarını ve olası tehdit ve atakları sistem genelinde gerçekleştirmeleri için yapılması gereken ayarları sağlayın. *Yazılım ve işletim sistemi açıklarını kullanarak sisteminize bulaşması mümkün olan kötü amaçlı yazılımlara karşı, gerek işletim sisteminizi, gerekse diğer yazılımlarınıza ait güncellemeleri ve program yamalarını zamanında ve eksiksiz yaptığınızdan emin olun. *Gerekirse virüslere karşı günlük sistem taraması yaptırın. *Eğer otomatik olarak ayarlanmadıysa, gerek sisteminizde kullandığınız taşınabilir bellekleri gerekse internetten indirdiğiniz dosya ve belgeleri virüs taramasından geçirin. *Zararlı bir yazılımın bulaştığını belirlediğiniz bilgisayardaki tüm etkinlikleri ve yaptığınız işleri sonlandırarak, antivirüs programının yönlendirmelerine uyun. *Herhangi bir yazılımı veya programı sisteminize kurmadan veya kopyalamadan önce, bir antivirüs programı yardımıyla kötü amaçlı yazılım içerip içermediğine yönelik taratın ve sistem bütünlüklerini kontrol edin. *Sistemdeki program, bilgi ve verilerinizi düzenli bir şekilde yedekleyin. *İnternet üzerinde işlenen suçlar ve dolandırıcılıklar ile ilgili bilgi edinin ve uyanık olun. *Sabit diskinizde ani bir kapasite sorunu veya değişimi, internet erişimizdeki aşırı yavaşlama gibi olağan üstü durumları görmezden gelmeyin. *Uygulama ve programlarınızın güvenlik ayarlarını etkinleştirin. *Hiçbir şart ve koşulda güvenilirliğinden emin olmadığınız yazılımı sisteminize kurup çalıştırmayın. *Size farklı açılardan cazip gelse bile, bilmediğiniz web sitelerinde gezinmeyin ve bu adreslerden herhangi bir bağlantıyı çalıştırmayın veya dosya/program indirmeyin. *Arkada şınızdan geliyor gözükse de, ne olduğundan veya işlevinden emin olmadığınız bir e-posta ekini veya anlık mesajla paylaşılan bir bağlantıyı kesinlikle açmayın. *Çok gerekmedikçe, herkese açık ağlarda veya bilmediğiniz bilgisayar sistemlerinde banka, e-posta veya sosyal medya hesaplarınıza ait şifrelerinizi veya diğer kişisel bilgilerinizi girip kullanmayı tercih etmeyin. Kişisel Güvenlik Duvarı (Firew all): Kişisel güvenlik duvarı, İnternet üzerinden gelen verileri denetleyerek, kullanıcının oluşturduğu ayarlar çerçevesinde ağ yoluyla bilgisayar sistemlerine sızıp yayılmaya çalışan kötü amaçlı yazılımları engelleyen, kullanıcının izin verdiği verilerin de geçmesine olanak tanıyan yazılımlardır. sistemleridir. Bu yazılımlar, farklı filtreleme özellikleri ile, ağlar yolu ile bilgisayar sistemine gelen ve giden paketler şeklinde İnternet trafiğini gözetim altında tutarlar. Bu farklı filtreleme özelliklerinden bazıları; IP filtreleme, port filtreleme, web filtreleme ve içerik filtreleme olarak sıralanabilir. Güvenlik duvarı belirli bir bilgisayar sistemini denetlemek için o bilgisayar üzerine (host-based) kurulabileceği gibi, o bilgisayar sisteminin ait olduğu bir bilgisayar ağını denetlemek için de kurulabilir. İnternette Güvenilir Bilgiye Ulaşma Dikkat etmemiz gereken bazı önemli noktalar; *Kaynağı belirtiliyor mu? Kaynak veya kaynaklar güvenilir bir kurum veya kişi mi? *Farklı kaynaklar ulaşılan bilgiyi doğruluyor mu? *Yazarı/aktaran kim? Güvenilir mi? Başka bilgi veya çalışmalarına ulaşılabiliyor mu? *Yeterince güncel mi? İçerik bilimsel mi yoksa popülerlik veya reklam amaçlı mı? *İçerikte yer alan bilgiler güvenilir referanslar içeriyor mu? *Erişilen site adresi “edu”, “gov” gibi uzantılara sahip mi? İçerikte bu tür sitelere yönelik bağlantılar var mı? *İçeriği denetleyen ve onaylayan hakem kurulu veya editör var mı? *Site belirli aralıklarla yenilenen, güncellenen ve sürekliliği olan bir adres mi? *Farklı kaynaklar da, ulaşılan bu bilgiyi referans olarak gösteriyor mu? E-Ticaret (Elektronik Ticaret) Güvenliğini Sağlama: E-ticaret (e-commerce), her türlü mal ve hizmetin bilgisayar teknolojisi, elektronik iletişim kanalları ve ilgili teknolojiler aracılığı ile satın alınmasını ve satılmasını içeren bir kavramdır. Başka bir yaklaşımla e- ticaret, ödeme ve bedelin alınma işlemlerinin internet üzerinde gerçekleştiği alış-verişleri ifade eder. E-ticaretteki en önemli güvenlik sorunu, alıcı ve satıcının diğer ticaret şekillerinde olduğu gibi yüz yüze olmamalarıdır. E-ticaret yapan kurumlar, kredi kartı bilgilerinin ve kişisel bilgilerin güvenliği ve gizliliğini sağlamak için yaygın olarak SSL ve SET gibi güvenlik standartlarını kullanmaktadırlar. SSL (Secure Sockets Layer) teknolojisi, hem istemci (bilgi alan) hem de sunucu (bilgi gönderen) bilgisayarda bir kimlik sınama/doğrulama (authentication) sürecini olanaklı kılar. SET (Secure Electronic Transaction) teknolojisi ise, özellikle çevrimiçi (online) kredi kartı bilgilerinin paylaşımı için geliştirilmiş bir standarttır. Sosyal Ağlarda Güvenliği Sa ğlama: Sosyal ağları kullanırken bazı önemli noktaları göz ardı etmememiz gerekir:
*Sosyal ağlara üye olurken kişisel bilgilerinizin tümünü paylaşmamaya özen gösterin.
*Çok gerekmedikçe, özel fotoğraflarınızı paylaşmayın, paylaştığınız durumda da bu fotoğrafa kimlerin ulaşabileceği ile ilgili ayarları mutlaka denetleyin.
*Sosyal ağlarda kullanılan uygulama ve içerikleri sisteminize indirirken sisteminize kötü amaçlı yazılımların bulaşma riskini göz ardı etmeyin. *Ödül veya cazip teklifler içeren mesaj ve payla şımlara itibar etmeyin.
*Paylaşımlarınızda, başkalarına ait e-posta adresi, telefon numarası veya şifre gibi kişisel bilgileri, onların izni olmadan paylaşmayın.
*Sosyal ağlardaki bazı uygulamaların kimlik bilgileri çalma veya virüs yayma işlevi olabileceğini unutmayın.
*Çalıştığınız kurumdaki diğer kişileri, yöneticileri veya kurum politikalarını bu ortamlarda hakarete varacak şekilde eleştirmemeye, kişiliklerine ve özel hayatlarına müdahale etmemeye, onları küçük düşürecek paylaşımlardan uzak durmaya özen gösterin.
*Sosyal ağlarda yaptığınız yorumların kişisel ve kurumsal itibarınızı zedeleyebileceğini unutmayın.
*Paylaştığınız mesaj veya bilgilerin, kişi veya kurumların telif haklarını ihlal edebileceğini aklınızdan çıkarmayın.
*Paylaşımda bulunduğunuz diğerlerine karşı tavrınızın ve paylaşımlarınızın sert ve saldırgan olmamasına özen gösterin.
*Özel hayatınıza ait fotoğraflarınızı veya düşüncelerinizi, genel paylaşıma açmak yerine, ağlarda kendi iradeniz ile oluşturacağınız daha sınırlı gruplarda paylaşmayı tercih edin.
*Çok sinirli ve üzgün hallerinizde, mümkünse paylaşımda bulunmamaya, yorum yapmamaya özen gösterin. *Siyaset, spor, din, terör, cinsellik gibi konularda yorum yaparken veya mesajlar paylaşırken iki kez düşünün.
__________________

Büyükler fikirleri,Ortalar olayları,Küçükler kişileri tartışır.
Alıntı ile Cevapla