Kurumsal Bilgi Güvenliği Teknolojisi

Dr. Mehmet KARA

 

 

  farkımız, kitaplarımızda...

 

 

 

 

 

ISBN: 978-605-9594- , Eylül 2018

280 sayfa, (16,5x24 cm2), 80 gr 1. hamur kağıt.


   farkımız kitaplarımızda...             tüm üniversiteler bu kitapları okutuyor...  

Bu kitap bir kurumda güvenli bir bilgi sistem alt yapısı kurulması için gerekli olan yönetimsel ve teknik konuların tamamını bütüncül bir bakış açısı ile ele almaktadır. Kurumlardaki bilgiler ve iş süreçleri hızlı bir şekilde kağıt ortamından sayısal ortam aktarılmaktadır. Sayısal ortama aktarılan bilgilerin gizlilik seviyelerine uygun olarak sınıflandırılması,  korunması ve verilere yönelik tehditlerin çıkarılması için kullanılan risk analizi yöntemleri ele alınmıştır. Kurum içerisinde güvenliğin zayıf halkalarından biri olan kullanıcıların bilgi güvenliği konularında bilinçlendirilmesi ve farkındalıklarının artırılması için yapılması gerekenler anlatılmıştır.

Toplam bilgi güvenliği altyapısının oluşturulması ve değerlendirilebilmesi için bilgi sistem yöneticisi ve uzmanlarının bilmesi gereken kimlik doğrulama, erişim kontrolü, haberleşme güvenliği, kriptoloji gibi temel konular ayrıntılı olarak ele alınmıştır.  Diğer sistemlerde olduğu gibi fiziksel güvenlik bilgi istemleri için de büyük önem taşımaktadır. Sunucuların sürekli bir şekilde çalışabilmesi için fiziksel erişim, yangın söndürme, ısıtma, soğutma, havalandırma sistemlerinin nasıl yapılandırılması gerektiği ayrıntılı olarak açıklamıştır. İş sürekliliği ve felaketten kurtarma ile bilgi sistemleri durdurmaya ve kesintiye uğratmaya yönelik tehditlerin neler olabileceği ve bunlara karşı alınabilecek önlemler incelenmiştir.

Yönetimsel konular yanında, internet ve kurumsal bilgisayar ağlarının temelini oluşturan OSI referans modeli ve bu modelde yer alan, ağ ve sınır güvenliği teknoloji ve cihazları da derinlemesine ele alınmıştır.  Hali hazırdaki cihaz ve teknolojilerin güvenli kullanımı yanında kurumda geliştirilecek ürünlerin güvenlik bakış açısı ile oluşturulabilmesi için ayrıntılı bilgi verilmiştir.

Bilgi sistemleri üzerinden işlenen suçlar da her geçen gün artmaktadır. Bu konuda çıkarılan yasalar, yaşanan önemli olaylar, adli bilişim delil toplama ve etik konuları ele alınmıştır.

Bilgi güvenliği kurumsal düzeyde hem teknik hem de yönetimsel yönleriyle ele alınarak kurumda tam güvenliğin sağlanması hedeflenmektedir. Bu hali ile bilgi sistem uzmanları ve yöneticileri için temel başvuru kaynağı niteliğinde olup, üniversitelerde Ağ Güvenliği, Siber Güvenliğe Giriş, Bilgi Güvenliği ve Kriptoloji,  Bilgi Güvenliği Yönetimi dersleri için kaynak kitap niteliğindendir.


      


 

İÇİNDEKİLER

 

Önsöz

1. BİLGİ SİSTEMLERİ GÜVENLİK YÖNETİMİ
1.1 Güvenlik Yönetimi Kavramları
1.2 Güvenlik Kontrolünün Amaçları
1.3 Bilgi Sınıflandırma
1.3.1 Bilgi Sınıflandırmanın Amaçları ve Faydaları
1.3.2 Bilgi Gizlilik Seviyeleri
1.3.3 Bilgi Sınıflandırma Kriterleri
1.3.4 Gizlilik Seviyeli Bilgilerin Dağıtımı
1.3.5 Bilgi Sınıflandırma Rolleri
1.4 Güvenlik Politikası
1.5 Roller ve Sorumluluklar
1.6 Bilgi Güvenliği Risk Yönetimi
1.7 Güvenlik Bilinçlendirmesi


2. ERİŞİM KONTROLÜ VE KİMLİK DOĞRULAMA
2.1 Prensipler
2.1.1 Bilmesi Gereken Prensibi
2.1.2 Geçmiş Değerlendirmesi
2.1.3 Erişim Matrisi
2.2 Erişim Kontrolü Tekniklerinin Özellikleri ve Uygulanabilirliği
2.3 Mevcut Erişim Kontrolü Teknikleri
2.3.1 Erişim Kontrolü Listeleri
2.3.2 Yetenek Listeleri
2.3.3 Yetki İlişkileri
2.4 Geliştirilen Emniyet (Erişim) Kontrol Teknikleri
2.4.1 Şifreleme Tekniği
2.5 Erişim Kontrolü Tekniklerinin Özellikleri ve Uygulanabilirliği
2.5.1 İsteğe Bağlı Erişim Kontrolü
2.5.2 Zorunlu Erişim Kontrolü
2.5.3 Rol Temelli Erişim Kontrolü
2.6 Erişim Kontrol Türleri
2.6.1 Önleyici/yönetimsel
2.6.2 Önleyici/Teknik
2.6.3 Önleyici/Fiziksel
2.6.4 Algılayıcı Yönetimsel
2.6.5 Algılayıcı/Teknik
2.6.6 Algılayıcı/Fiziksel
2.7 Kimlik ve Kimlik Doğrulama
2.7.1 Parola (Password)
2.7.2 Biometrikler
2.7.3 Tek Noktadan Giriş (Single Sign On-SSO)
2.7.4 Kerberos
2.7.5 SESAME
2.7.6 KriptoKnight
2.8 Erişim Kontrol Metodolojileri
2.8.1 Merkezi Erişim Kontrolü
2.8.2 Dağıtık Erişim Kontrol
2.9 Özet
2.10 Çalışma Soruları


3. OSI REFERANS MODELİ ve AĞ GÜVENLİĞİ
3.1 Teknik Kavramlar
3.1.1 Protokoller
3.1.2 OSI Referans Modeli
3.1.3 OSI’nin Katmanları
3.1.4 TCP/IP Model
3.1.5 Güvenliği Genişleten ve Güvenlik Odaklı Protokoller
3.2 Güvenlik Duvarları
3.2.1 Paket Filtreleme Güvenlik Duvarları (Packet Filtering Firewall)
3.2.2 Uygulama Katmanı Güvenlik Duvarları
3.2.3 Durumsal (Stateful Inspection) Güvenlik Duvarı
3.2.4 Dinamik Paket Filtreleme Güvenlik Duvarları
3.2.5 Çekirdek Vekil Sunucu (Kernel Proxy)
3.2.6 Yeni Nesil Güvenlik Duvarları
3.2.7 Bulut Altyapısı Güvenlik Duvarı
3.2.8 Mobil Sistemler Güvenlik Duvarları
3.2.9 Güvenlik Duvarı Mimarileri
3.2.10 Ağ Adres Dönüşümü
3.3 Sanal Özel Ağlar (Virtual Private Networks VPN)
3.3.1 VPN Türleri
3.3.2 VPN Bağlantı Türleri
3.3.3 IPSec Protokolleri
3.3.4 IKE (Internet Key Exchange) Protokolü
3.3.5 Güvenlik Politikası Veritabanı
3.3.6 Anahtar Yönetimi
3.3.7 IPSEC Protokollerinde Kullanılan Algoritmalar
3.3.8 VPN Avantaj ve Dezavantajları
3.4 Saldırı Tespit/Önleme Sistemleri
3.4.1 Ağ Tabanlı SÖS’ler
3.4.2 Sunucu Tabanlı Saldırı Önleme Sistemleri
3.4.3 SÖS Algılama Metotları
3.5 Veri Ağları Temelleri
3.5.1 Yerel Alan Ağı Teknolojileri
3.5.2 Geniş Alan Ağı Teknolojileri
3.5.3 Paket Anahtarlamalı ve Devre Anahtarlamalı Ağlar
3.5.4 Uzak Erişim Teknolojileri
3.5.5 Kablosuz İletişim Teknolojileri
3.5.6 Bulut Bilişim Teknolojileri
3.5.7 Mobil Bilişim Teknolojileri
3.6 Yönetim Konseptleri
3.6.1 Gizlilik, Bütünlük ve Süreklilik Üçlüsü
3.6.2 Uzak Erişim Güvenlik Yönetimi
3.6.3 Tek Nokta Hatasının Yönetilmesi
3.6.4 DDoS Engelleme Sistemi
3.6.5 Botnetler

3.7 Özet
3.8 Çalışma Soruları


4. BİLGİ SİSTEMLERE YÖNELİK ATAKLAR
4.1 Keşif Saldırıları
4.2 Tarama Saldırıları
4.3 Açıklık Taraması
4.4 Giriş Yetkisi Kazanma
4.5 Fidyecilik Saldırıları
4.6 Servis Dışı Bırakma Saldırıları
4.7 Erişimi Devam Ettirme Saldırıları
4.8 Sosyal Mühendislik Saldırıları
4.9 İçeriden Gelen Tehditler
4.10 Doğal Kaynaklı Tehditler
4.11 Kaza Sonucu Meydana Gelebilecek Tehditler

4.12 Özet
4.13 Çalışma Soruları


5. KRİPTOGRAFİ
5.1 Tanımlar
5.2 Tarihçe
5.3 Kriptografik Teknolojiler
5.3.1 Simetrik Anahtarlı Kriptoloji
5.3.2 Asimetrik Anahtarlı Kriptolama
5.3.3 Açık Anahtar Kripto Sistem Algoritma Kategorileri
5.3.4 Sayısal İmzalar
5.3.5 Kriptografik Ataklar

5.4 Özet
5.5 Çalışma Soruları


6. HABERLEŞME GÜVENLİĞİ
7. GÜVENLİK MİMARİSİ VE MODELLERİ
7.1 Bilgisayar Mimarisi
7.1.1 Bellek
7.1.2 Komut İşletme Çevrimleri
7.1.3 Giriş/Çıkış Yapıları
7.1.4 Yazılım
7.1.5 Dağıtık Mimari
7.2 Koruma Mekanizmaları
7.2.1 Halkalar
7.2.2 Güvenlik Etiketleri
7.2.3 Güvenlik Modelleri
7.3 Güvenlik Güvence Sistemleri (Security Assurence Systems)
7.3.1 Ortak Kriterlerin Kökeni 189
7.4 Sistem Güvenlik Mühendisliği Yetenek ve Olgunluk Modeli
7.5 Microsoft Güvenli Geliştirme Yaşam Döngüsü (SDLC)
7.6 OPEN SAMM Güvenlik Modeli

7.7 Özet
7.8 Çalışma Soruları


8. İŞ SÜREKLİLİĞİ VE FELAKET KURTARIMI PLANLAMASI
8.1 Tanımlar
8.2 İş Sürekliliği Planı
8.2.1 Sürekliliği Bozucu Olaylar
8.2.2 İş Sürekliliği Planlamasının Elemanları
8.3 Felaket Kurtarma Planı (Disaster Recovery Plan DRP)
8.3.1 DRP’nın Amaç ve Hedefleri
8.3.2 Felaket Kurtarma Planı Süreçleri
9. YASALAR, DELİL TOPLAMA VE ETİK
9.1 Siber Hukukun Değişik Yönleri
9.2 Etik
9.3 Genel Olarak Kabul Edilmiş Bilgi Güvenliği Prensipleri (GAISP)
9.4 Motivasyon, Fırsat ve Suç İşleme
9.4.1 Hackerler ve Crackerlar
9.4.2 İşlem Güvenliği

9.5 Özet
9.6 Çalışma Soruları


10. FİZİKSEL GÜVENLİK
10.1 Fiziksel Güvenliğe Tehditler
10.2 Fiziksel Güvenlik İçin Kontroller
10.2.1 Yönetimsel Kontroller
10.2.2 Çevresel ve Yaşam Güvenliği Kontrolleri
10.2.3 Yangın Tespiti ve Söndürme
10.2.4 Isıtma Havalandırma ve Klima
10.2.5 Fiziksel ve Teknik Kontroller
10.2.6 Saklama Ortamı Gereksinimleri

10.3  Özet
10.4 Çalışma Soruları

 

Kaynakça


Akademik bilimsel ve üniversite ders kitaplarında Papatya Bilim Yayınevi