Erişim KontrolüBir bilgi işlem sistemine hangi

kullanıcının,hangi haklarla erişebileceğinin ve bu

sistem üzerinde hangi işlemleri yapmaya yetkin

olduğunun belirlenmesi ve yönetilmesidir.

Erişim Kontrolünün uygulanması sayesinde,

yalnızca yeterli yetkiye sahip olan kullanıcıların

sisteme ve üzerindeki veriye erişmesi sağlanır.

Erişim kontrolü ilkeleri belirlenirken iki temel

gereksinim dikkate alınmalıdır:

Görevlerin Ayrılması

Mümkün Olan En Az Yetki

Bu ilkeye göre, belli bir süreci gerçekleştirmek için birden çok kullanıcı görevlendirilir.

Görevlerin ayrılmasını gerçekleştirmek üzere yapılacak ilk şey, yapılacak islerin adımlarının belirlenmesidir. Bu ilkenin uygulanması ile, bir sürecin bastan sona kontrolünün tek bir kişinin elinde olması engellenmiş olur.

Görevlerin ayrılması ile, süreci kişisel kazanç haline dönüştürmek için birden fazla kişinin işbirliği gereklidir. Böylece güvenlik ihlali olasılığı azaltılmış olur.

Çünkü birden çok kişinin güvenliği ihlal etme olasılığı, bir kişinin ihlal etme olasılığına göre çok düşüktür.

Sistemde bulunan süreçler ve kullanıcılar, sistem

kaynaklarına erişirken, kendilerine atanmış görevlerini

gerçekleştirmelerine yetecek kadar yetkiye sahiptirler.

Örneğin ,veritabanından raporlama amacıyla veri çeken

bir sürecin, veritabanının sadece raporu oluşturacak

olan tablolarında yalnızca “Okuma” yetkisine sahip

olması yeterlidir.

Örneğin, başka bir tabloda yazma yetkisi ile Erişim hakkı

tanımlamak, “Mümkün Olan En Az Yetki” ilkesine

aykırıdır. Bu ilke “Bilmesi Gereken” ilkesi olarak da

bilinir.

Erişim Kontrolünün yeterince yapılamamasının sonucunda, temel güvenlik gereksinimleri olan, Gizlilik, Bütünlük, Elverişlilik gereksinimleri yeterince karşılanamaz hale gelebilir.

Veriye/Programlara, yetkisi olmayan kişilerin ya da süreçlerin erişmesi durumunda, Gizlilik İlkesi ihlal edilir.

Veriye/Programlara,yetkisiz olarak erişen kişiler bu veri/programları kişisel kazanç sağlamak amacıyla değiştirebilir, silebilir ya da yenilerini ekleyebilir. Bu durumda Bütünlük İlkesi ihlal edilmiş olur.

Programlara yetkisiz olarak erişen kişiler, programların çalışma şeklini değiştirebilir. Eriştikleri programların bilgisayar ağı üzerindeki band genişliğini doldurarak başkalarının erişmesini engelleyebilir. Eriştikleri sisteme yerleştirdikleri zaman bombalarını ya da diğer zararlı kodları(virüs, casus program, truva atı…vb) faaliyete geçirerek sistemi çalışmaz hale getirebilirler. Bunun sonucunda Elverişlilik İlkesi ihlal edilmiş olur.

Erişimi sınırlandırmaya yönelik önlemler üç

grupta incelenebilir:

Yönetimsel Önlemler

Teknik Önlemler

Fiziksel Önlemler

Yönetimsel önlemler kapsamında kurumun Erişim denetim politikasının belirlenmesi ve bu politikanın uygulanmasına yönelik işletim prosedürlerinin yazılması yer alır. Bu sayede, kurum yönetiminin Erişim Denetimi üzerinde tam bir kontrolü olması sağlanır.

Belirlenen kuralların uygulanabilir olmasında en önemli etken, bu kurallara maruz kalacak olan personelin yeterli eğitimden geçmesine dayanır. Tüm personel, Erişim Denetimi konusunda yeterli eğitimi almalıdır.

Yönetimin gerekli görmesi durumunda, belirlenen kuralların uygulanmasının etkinleştirilmesi amacıyla, idari ceza yöntemlerine başvurulabilir. Bu tür yöntemlerin uygulanmasında birincil amaç, personeli yanlışından dolayı cezalandırmak değil,yönetimin politikaları konusundaki kararlılığını personele iletmek olmalıdır.

Tanıma Kullanıcının kimliğini sisteme beyan etmesidir. Örneğin kullanıcı adını yazmak bir tanıma şeklidir. Bunun yanında

istasyon tanıma da web tabanlı bir uygulamada kullanılabilir. Uygulamaya erişen kullanıcının yanında, Erişimin gerçekleştirildiği bilgisayara ait bir özellik de (MAC adresi, IP adresi, WINS ismi gibi) tanıma amaçlı olarak kullanılabilir.

Kimlik DoğrulamaKimlik doğrulama kullanıcının beyan ettiği kişi olduğunu ispatlamasıdır. Kimlik doğrulama amacıyla en sık karşımıza çıkan yöntem parola kullanımıdır. Gmail ya da Yahoo’daki e-posta hesabımıza girerken ya da cep telefonumuzu açarken sık sık karşımıza çıkar. Daha genel olarak bakarsak üç tür kimlik doğrulama yöntemi karşımıza çıkar Bilinen bir şey ile

Sahip olunan bir şey ile

Biyolojik bir özellik ile

Teknoloji Örnekler Açıklama Zayıf Yönleri

Bilinen bir şey Parola Kullanıcı bildiği bir

parolayı sisteme beyan

eder

Parolanın

unutulması

Başkası tarafından

öğrenilmesi

Sahip olunan bir

şey

Jeton Kullanıcı kendisine tahsis

edilmiş cihazı kullanarak

sisteme kendini tanıtır

Kullanılan cihazın

bozulması

Akıllı kart Kullanılan cihazın

kopyalanması

Biyolojik bir

özellik

Retina,

İris,

Parmak izi,

El ayası,

Ses

Biyolojik özellik, daha

önce sisteme

Kullanıcının

biyolojik

özelliğinin yanlış

algılanması

Yüz şekli Kaydedilen örnek ile

karşılaştırılır

Genel olarak yukarıda bahsedilen yöntemlerden

yalnızca birinin kullanılmasıyla “Zayıf Kimlik

Doğrulama” gerçekleştirmiş oluruz.

Eğer bu yöntemlerden iki ya da daha fazlası bir

arada kullanılırsa “Güçlü Kimlik Doğrulama”

gerçekleştirilir. Kritik sistemlerde güçlü kimlik

doğrulama kullanılmalıdır.

Örnek olarak parola ve akıllı kart, jeton ve

parmak izi tanıma aynı anda kullanılabilir.

Zayıf kimlik doğrulama yöntemi olan parola kullanımı,

en çok istismar edilen ve sistemde güvenlik boşluğu

yaratan bir yöntem olarak karşımıza çıkar. Parolasını

unutmak istemeyen kullanıcılar, sistemin izin vermesi

durumunda çok basit parolalar seçebilir (Örneğin, kendi

isimleri, doğum tarihleri…vb.)

Bu tür bir parolanın hatırlanmasının kolay olması

dışında bir yararı yoktur. Özellikle parola kırmaya

yönelik programlar, birkaç saat içerisinde basit bir

parolayı elde edebilirler. Önlem olarak parolaların belli

kurallara dayalı olarak yeterince karmaşık seçilmesi

sağlanmalıdır.

Bir kullanıcının kimliğinin doğrulanmış olması, o

kullanıcının sistemdeki tüm kaynaklara erişebiliyor olması

anlamına gelmez. Bu nedenle her kullanıcının hangi yetkilere

sahip olduğunun, hangi sistem kaynaklarına hangi yetkilerle

erişeceğinin açık, net ve anlaşılır bir şekilde belirlenmesi ve

daha da önemlisi belirlenen yetkilerde yapılan geçici ve

kalıcı değişikliklerin sıkı bir sekilde takip edilmesi

gereklidir.

Yetkilendirme amacıyla kullanılabilecek yöntemler söyle

özetlenebilir:

İsteğe Bağlı Erişim Kontrolü: Erişim yetkisini veri sahipleri belirler.

Zorunlu Erişim Kontrolü: Tüm kaynaklara Erişim merkezi bir

noktadan belirlenir.

Aşağıda bu iki yöntemi de açıklayıcı örnekler verilmiştir!!!

İsteğe Bağlı Erişim

Denetimi

Kişi A Klasörü B Klasörü C Klasörü Yazıcı

Ahmet Okuma Silme Değiştirme Var

Bora Okuma Okuma Yazma Var

Ayşe Yazma Okuma Yazma Var

Zorunlu Erişim Denetimi

Kişi Yetki Seviyesi Tanımlanmış Yetki Seviyeleri Açıklama

Ahmet Tasnif Dışı Tasnif Dışı Halka açık belgelere erişim

yetkisi. Memur

kıdemindeki personel

Bora Gizli Gizli Şef, Müdür

Ayşe Gizli Çok Gizli Daire Bşk ve üstü personel

Yetkilendirme işleminin yapıldığı

yazılımlar ve bu yazılımların

veritabanları (Örneğin,Güvenlik Duvarı)

en az diğer kritik veri kadar iyi

korunmalıdır. Bu noktaların sistemin en

zayıf halkası durumuna gelmesi

engellenmelidir.

Sistemde gerçeklesen bir faaliyetin kaydıdır. İzleme kaydı

oluşturulması için, sistemin belirli faaliyetleri kaydetmek üzere

ayarlanması gerekir.

Sistem, Ağ Erişimi, Uygulama ve Kullanıcı Davranışlarının

İzlenmesi, Sistem Güvenliği için bir gereksinimdir. İzleme

kayıtları, periyodik olarak ya da ihtiyaç duyulduğunda gözden

geçirilerek, ard arda gelen faaliyetler incelenip bilgi güvenliği

ihlalleri tespit edilebilir.

Farklı detay seviyelerinde izleme yapılabilir. Az detay kullanmak,

izlenen sistemde olan faaliyetler için daha az bilgi verecek ancak

izleme kaydı verisi daha az yer kaplayacaktır.

Çok detaylı kayıt yapmak ise, sistemde gerçeklesen faaliyetler ile

ilgili daha net bilgi verecek, ancak izleme kaydı verisi çok daha

fazla yer kaplayacaktır.

İzlemenin verimli yapılabilmesi ve doğru sonuç vermesi için, tüm sistemlerin saatlerinin senkronizasyonu gerçekleştirilmelidir.

Web tabanlı bir uygulamanın izleme kaydında, en az, aşağıdaki bilgi bulunmalıdır: Tarih/Saat

Kullanıcı adı

IP adresi

Uygulama modülü

Gerçekleştirilen işlem(okuma,yazma,değiştirme,silme…vb.)

Durum (başarılı/başarısız)

Etkilenen satır sayısı

İzleme kayıtları saf veri (raw data) olarak incelenebileceği gibi,

incelenecek verinin yüksek miktarda olması durumunda, bir

raporlama aracı kullanılabilir.İzlemenin periyodik yapıldığı

durumlarda bu faaliyeti daha hızlı gerçekleştirebilmek amacıyla

standart rapor türleri belirlenerek işlem otomatize edilebilir.

Bunun yanında, bilgi güvenliği ihlallerinin daha hızlı takip

edilmesi ve cevap verilmesi gereken durumlarda izleme

kayıtları olusurken, gerçek zamanlı olarak analize tâbi

tutulabilir ve alarm durumlarında yetkili kişilere acil uyarı

iletilebilir.

Bir alarm durumuna örnek olarak, bir kullanıcı adıyla üst üste

25 kere yanlış parola denenerek sisteme girilmek istenmesi

verilebilir.

Yetkisiz veri Erişiminde son savunma noktası, erişilmek istenen verinin şifrelenmesidir. şifreleme protokolü belirlenirken su noktalara dikkat edilmelidir Şifreleme Şemasının Belirlenmesi Şifreleme Algoritmaları,Anahtar

Boyları,Şifreleme Parametreleri…vb

Hangi Verinin Hangi Şifreleme Şeması İle Şifreleneceği Bu aşamada eldeki veri, risk analizi sonucunda tasnif edilerek farklı gizlilik derecelerine farklı şifreleme semaları atanabilir.

Şifreleme BaşarımıŞifrelemenin yapılması, sistemde yavaşlamaya yol açabilir. Bu yavaşlama kabul edilebilir seviyenin altında olmalıdır.

Şifrelemenin YeriŞifreleme disk seviyesinde, dosya sistemi seviyesinde ya da veritabanı seviyesinde yapılabilir.

Anahtar değişimiŞifrelemede kullanılan anahtarlar periyodik olarak değiştirilmelidir.

Bunun yanında, sistemlere erişirken kullanılan kullanıcı adı ve parola gibi bilgilerin doğrulanmak üzere, ağ üzerinden giderken şifrelenmesi de bir gereksinimdir. Bir bilgisayar ağını dinlemek de geçen trafiğin analiz edilerek bir takım Erişim Bilgilerinin elde edilmesi de çok kolaydır.

Uygulama veya veriye uzaktan Erişimin denetimi kadar, bu uygulama ve verinin bulunduğu bilgi işlem ortamlarına fiziksel Erişimlerinde sıkı önlemlerle sınırlandırılması büyük önem taşır. Bilgi işlem sistemlerinin bulunduğu mekanlara, isi olmayan kişilerin girmesi kesinlikle yasaklanmalıdır.

Yetki seviyesi değişimlerinde,kurum içi atamalarda, ayrılan ve yeni başlayan personel durumlarında, Erişim denetim listeleri tekrar gözden geçirilmelidir. Eğer mümkünse, fiziksel Erişim kontrollerinden birden fazlası aynı anda kullanılarak, kimlik taklidinin önüne geçilmelidir.

Örneğin, Erişim yetkisi olan bir personel , Erişim yetkisi olmayan bir personele kimlik kartını vererek bilgi işlem merkezine girmesini sağlayabilir.

Sistemlerin Konsol Erişimleri en üst düzeyde sınırlandırılmalıdır. Sistemlerin bulunduğu dolaplara, aktif ağ cihazlarına ve elektrik panolarına Erişim sıkı kurallara bağlanmalıdır.

Erişim kontrolünde, diğer bilgi güvenliği ile ilgili alanlarda da olduğu gibi, tek bir önlem alarak bir sonuç elde etmek ne yazık ki mümkün değildir.

Sistemlerimiz web tabanlı hale geldikçe, karşı karşıya olduğumuz tehditler ve bunlara bağlı olarak da riskler, acımasız bir sekilde artmaktadır. Bu nedenle, derinlemesine güvenlik Erişim denetiminde temel strateji olarak seçilmelidir.

Kurum içinden ya da dışından gelen saldırganlar, bilgi güvenliği sınırlarını ihlal ettiklerinde, yetkisiz olarak erişmek istedikleri sisteme ulasana kadar, birçok engelle karşılaşmalıdırlar. Değerli bilgilerimizi kötü niyetli kişilerden korumanın tek yolu budur.

070702006MUSTAFA GÖÇMEN