Benim Verim Herkesin Verisi:
Mahremiyet ve Güvenilirlik Üzerine
Dr. Tuğkan TUĞLULAR
SOFTIN Teknoloji
Gündem
Kaynak: http://www.flickriver.com/groups/865293@N20/pool/interesting/
Bilgi Güvenliği Problemi
Kişilerin
Hatalı / Sorumlu
Olduğu Olaylar
% 70-80
Dış Saldırılar
% 20-30
Bilgisayar Kötü Kullanımı
Kullanım hataları
Atıl kullanımlar
Kötüye kullanımlar
Bilgisayar suçları
Aksayan İşleyiş
Yanlış Sonuçlar
Maddi / Manevi Kayıplar
Bilgi Güvenliği Çözümü
İstek Yetenek
Bilgi
Birikimi
Alışkanlık
Risk Analizi
Politikalar
Önlemler
Bilgi Güvenliği
Bilginin 4 özelliğinin korunmasını hedefleyen güvenlik anlayışına «Bilgi Güvenliği» denir.
1. Gizliliği
2. Doğruluğu ve Bütünlüğü
3. Özgünlüğü ve Reddedilememesi
4. Erişilebilirliği
Paylaştığınız kişi ve kitle
Kaynağında olduğu gibi ve verilmek istendiği gibi
Kaynak: E-Ticaret ve Bilgi Güvenliği.ppt
Bilgi Güvenliği Senaryoları
INTERNET
Man-in-the-Middle
Sniffer
Bilgi Güvenliği Senaryoları
INTERNET
Man-in-the-Middle
Bilgi Güvenliği Senaryoları
INTERNET
Man-in-the-Middle
Bilgi Güvenliği Senaryoları
INTERNET
IP Spoofing
Bilgi Güvenliği Senaryoları
INTERNET
NO, NO, NO...
Bilgi Güvenliği Senaryoları - Özet
Değer Varlık, Zayıflık,
Tehdit, Risk,
Saldırı, Zarar kırılgan
Bilgi Güvenliğine Saldırılar
Sahtekarlık ve taklit,
Erişim araçlarının çalınması,
Kimlik çalma,
Ticari bilgi çalma,
İstihbarat amaçlı faaliyetler,
Takip ve gözetleme,
“Hack”leme,
Virüsler, Kurtçuklar (worms), Truva atları,
Ajan yazılım (spyware),
Spam
Hizmeti durduran saldırılar Kaynak: Türksel KAYA BENSGHIR-TODAİE güvenlik.ppt
Bilgi Güvenliği için Önlemler
kırılgan
Bilgi Güvenliği için Önlemler
Şifreleme
Bilgi Güvenliği için Önlemler
Şifreleme
Simetrik Algoritmalar
Asimetrik Algoritmalar
Özetleme Fonksiyonları
Kaynak: Türksel KAYA BENSGHIR-TODAİE güvenlik.ppt
Bilgi Güvenliği için Önlemler
Sayısal İmza
Sayısal Sertifikalar
Sertifikasyon Otoriteleri
Kaynak: Türksel KAYA BENSGHIR-TODAİE güvenlik.ppt
Bilgi Güvenliği için Önlemler
Erişim Denetimi
Bilgi Güvenliği için Önlemler
Erişim Denetimi
Yetki
Denetimi Bilgi
Kimlik
Denetimi Özne
özneler
roller
işlemler
bilgi tipleri
bilgiler
Savunma Derinliği
CAYDIRMA
ÖNLEME
FARK ETME
DÜZELTME
En Kolay Giriş Prensibi
Herhangi bir saldırgan, bir bilgisayar sistemine girmek için kullanılabilecek en kolay yolu deneyecektir.
En kolay yol demek, en belirgin, en çok beklenen, veya saldırılara karşı en çok önlemi alınmış olan yol demek değildir.
Saldırının getireceği fayda saldırı maliyetinin çok üstünde olmalıdır.
Kaynak: Türksel KAYA BENSGHIR-TODAİE güvenlik.ppt
Gerektiği Kadar Koruma Prensibi
Değerli şeyler (yazılım, donanım, veri) sadece
değerleri geçerli olduğu sürece korunmalı.
Korumak için harcanan süre, çaba ve para,
korunan şeyin değeriyle orantılı olmalı.
Kaynak: Türksel KAYA BENSGHIR-TODAİE güvenlik.ppt
Kaynak:
sosyalmedyayonetimi.ppt
Yeni
Sanal
Dünya
Düzeni
Karşılaştırmak Gerekir ise
Kaynak: Semantic Web 2.0, Creating Social Semantic Information Spaces
Web 1.0 Web 2.0
Platforms Netscape, Internet Explorer Google Services, AJAX, Flock
Web Pages Personal Websites Blogs
Portals Content Management Systems Wikis
Encyclopediæ Britannica Online Wikipedia
Talk Netmeeting Skype, Asterisk
Knowledge Directories, Taxonomies Tagging, Folksonomies
Referencing Stickiness Syndication
Content Akamai BitTorrent, P2P
Events Evite Upcoming.org
Web 2.0 Ekosistemi
E-Ticaret
E-Ticareti yapan taraflar arasında gizli kalması, erişilebilir veya tutarlı olması hedeflenen bilgilerin korunması amaçlanır.
Bu bilgiler:
Kredi Kartı Bilgisi
Özlük Bilgisi
Fatura Bilgileri
Ve benzeri bilgiler…
Kaynak: E-Ticaret ve Bilgi Güvenliği.ppt
MAIL ORDER
Bu ödeme türü güvenli
bir ödeme türü değildir.
Sosyal Medya
Bir uygulama veya web sitesinin sosyal medya olarak tanımlanabilmesi için,
1. Yayıncıdan bağımsız üyeleri olması,
2. Kullanıcı kaynaklı içeriğe imkan vermesi,
3. Kullanıcılar arasında etkileşim sağlamayı gerektirir.
Kaynak: sosyalmedyayonetimi.ppt
Güvenlikte Hiyerarşik Yaklaşım
Güvenlik Bir Kalite Bileşeni
Bilgi Teknolojileri Kullanma
Bilinci
Eğitimi
Alışkanlığı
Kültürü
GÜVENLİK
bir
gereksinim
Zihin Açıcı Sorular
Güvenlik olmadan Mahremiyet olur mu?
Görmediğimiz duymadığımız gerçekte var
olduğundan emin olmadığımız kişilere,
şirketlere nasıl güveniyoruz?
Başkalarına yorum yazmak güzel de, bize
yorum yazarlarsa ne olacak?
Bizi koruyan birileri var mı?
Kaynak:
Mahrem mi? – Kendisini Paylaşanlar
Kaynak:sosyalmedyayonetimisunumu.ppt
Mahrem mi? – Sizi Paylaşanlar
Kaynak: sosyal medya yönetimi sunumu.ppt
Mahrem mi? Güvenilir mi?
Kaynak: sosyal medya yönetimi sunumu.ppt
Güvenilir mi?
Kaynak: sosyal medya yönetimi sunumu.ppt
Gerçek / Doğru Olan Hangisi?
Kaynak: http://www.marketingsavant.com/2011/08/marketing-in-the-zero-moment-of-truth/
Güven Ağı (Web of Trust)
Kaynak:
Bilgi Sızıntısı
Kurumun bilişim teknolojileri ile kullandığı,
işlediği ya da ürettiği verilerin ya da kişisel
verilerin
bilinçli ya da bilinçsiz bir şekilde kurum dışına
taşınarak, belirlenmiş “bilgi güvenliği” yasa ve
kurumsal politikalarının ihlalidir.
Dışarıya veri akışının mümkün olduğu her
ağda, veri sızıntısı riski bulunmaktadır.
Kaynak: myDLP.ppt
Veri Kaybının Gerçekleştiği Ortamlar
0% 10% 20% 30% 40% 50% 60% 70%
Diğer Mobil Cihazlar (PDA, Cep Telefonu, vb)
Dosya Sunucusu
Masaüstü Bilgisayarlar
Basılı Materyal
Taşınabilir Ortamlar (CDROM, USB, vb)
Dizüstü Bilgisayarlar
Ort
am
lar
Oran
Seri 1 24% 29% 29% 29% 34% 60%
Diğer M obil
Cihazlar (PDA,
Cep Telefonu,
Dosya SunucusuM asaüstü
BilgisayarlarBası lı M ateryal
Taşınabilir
Ortamlar
(CDROM , USB,
Dizüstü
Bilgisayarlar
Bilgi Sızıntısı Ortam ve Araçları
Kaynak: myDLP.ppt
Kaynak: myDLP.ppt
Wikileaks Üzerinde ‘Lady Gaga’ gibi bişey yazan bir yeniden yazılabilir CD ile geleceğim... müziği sil... sonra ayrı bir sıkıştırılmış dosya yap. Kimse hiçbir şeyden şüphelenmedi...
Muhtemelen ABD tarihinin en geniş bilgi döküntüsünü sızdırırken Lady Gaga’nın “Telephone” şarkısını dinleyip dudaklarımı oynatıyordum.
Wikileaks belgelerini sızdıran Bradley Manning hikayesini şöyle anlatıyor:
Araştırmacılar ve Meraklıları için
Anlamsal Ağ Yığıtı
Buradayız!
Seçim
Çağrı
Oluşturma
Ontoloji
Yönetimi
Yayınlama
Yayılma
Keşif
Fonksiyonlar
Kayıtçı
Anlamlandırıcı Ayrıştırıcı Çağırıcı
Çöpçatan
Mimari
Önkoşul
Girdi
Maliyet
Çıktı
Atomik Hizmet
Ardkoşul
Bileşik
Hizmet
Kategori
Hizmet Ontolojisi
SWS
SWS Güvenlik Gereksinimleri
Güvenlik, Mahremiyet ve Güvenilirlik
Fonksiyonel: Anlamsal olarak tanımlanan güvenlik politikaları.
Anlamsal olarak tanımlanan mahremiyet politikaları.
Bireysel istemci gereksinimlerine saygı gösterme.
Mimari: Hizmet güvenlik politikaları ve yetkilendirme gereksinimlerini
yayınlamak ve tanımlamak için protokoller.
Anlamsal politika değerlendirme mekanizmaları.
Anlamsal olarak kontrol edilen politika uygulaması.
Güven-tabanlı doğrulama ve yetkilendirme.
Güvenlik değerlendirme sonuçlarının iletilmesi ve kaydı.
Kaynak: Security in Semantic Web Services, Role of Security , Authorization , Privacy and Trust in Semantic Web.ppt
Anlamsal
Gereksinimler
İstemcinin
Yetkilendirme
Bilgisi
Hizmet
İstemcisi
Dağıtık Kayıt
(UDDI /
ebXML RR)
Hizmet
Keşfi
Dağıtık
Ontoloji
Arşivi
Politika Ontolojisi
Alan
Ontolojisi Güven
Müzakerecisi
Güven
Ambarı
Dağıtık Güven
(Güven Ağı)
Anlamsal
Ağ Hizmeti
Hizmet istemcinin
yetkilendirme bilgisini
istemciye gönderir
Güven
Müzakeresi
Hizmet Çağrısı
Yetkilendirme
Yöneticisi
Anlamsal
Yürütme
Ortamı
Sonuç olarak
Web 1.0 da Güvenlik Yaklaşımı
GÜVENME
Web 2.0 da Güvenlik Yaklaşımı
GÜVEN(ME) ama DOĞRULA
İlginize
teşekkür ederim.