Benim Verim Herkesin Verisi:
Mahremiyet ve Güvenilirlik Üzerine
Dr. Tuğkan TUĞLULAR SOFTIN Teknoloji
Gündem
Kaynak: http://www.flickriver.com/groups/865293@N20/pool/interesting/
Bilgi Güvenliği Problemi
Kişilerin
Hatalı / Sorumlu Olduğu Olaylar
% 70-80
Dış Saldırılar
% 20-30
Bilgisayar Kötü Kullanımı
Kullanım hataları
Atıl kullanımlar
Kötüye kullanımlar
Bilgisayar suçları
Aksayan İşleyiş
Yanlış Sonuçlar
Maddi / Manevi Kayıplar
Bilgi Güvenliği Çözümü
İstek Yetenek
Bilgi Birikimi
Alışkanlık
Risk Analizi Politikalar
Önlemler
Bilgi Güvenliği
Bilginin 4 özelliğinin korunmasını hedefleyen güvenlik anlayışına «Bilgi Güvenliği» denir.
1. Gizliliği
2. Doğruluğu ve Bütünlüğü
3. Özgünlüğü ve Reddedilememesi
4. Erişilebilirliği
Paylaştığınız kişi ve kitle
Kaynağında olduğu gibi ve verilmek istendiği gibi
Kaynak: E-Ticaret ve Bilgi Güvenliği.ppt
Bilgi Güvenliği Senaryoları
INTERNET
Man-in-the-Middle Sniffer
Bilgi Güvenliği Senaryoları
INTERNET
Man-in-the-Middle
Bilgi Güvenliği Senaryoları
INTERNET
Man-in-the-Middle
Bilgi Güvenliği Senaryoları
INTERNET
IP Spoofing
Bilgi Güvenliği Senaryoları
INTERNET
NO, NO, NO...
Bilgi Güvenliği Senaryoları - Özet
Değer Varlık, Zayıflık, Tehdit, Risk,
Saldırı, Zarar
kırılgan
Bilgi Güvenliğine Saldırılar
Sahtekarlık ve taklit,
Erişim araçlarının çalınması,
Kimlik çalma,
Ticari bilgi çalma,
İstihbarat amaçlı faaliyetler,
Takip ve gözetleme,
“Hack”leme,
Virüsler, Kurtçuklar (worms), Truva atları,
Ajan yazılım (spyware),
Spam
Hizmeti durduran saldırılar
Kaynak: Türksel KAYA BENSGHIR-TODAİE güvenlik.ppt
Bilgi Güvenliği için Önlemler
kırılgan
Bilgi Güvenliği için Önlemler
Şifreleme
Bilgi Güvenliği için Önlemler
Şifreleme
Simetrik Algoritmalar
Asimetrik Algoritmalar
Özetleme Fonksiyonları
Kaynak: Türksel KAYA BENSGHIR-TODAİE güvenlik.ppt
Bilgi Güvenliği için Önlemler
Sayısal İmza
Sayısal Sertifikalar
Sertifikasyon Otoriteleri
Kaynak: Türksel KAYA BENSGHIR-TODAİE güvenlik.ppt
Bilgi Güvenliği için Önlemler
Erişim Denetimi
Bilgi Güvenliği için Önlemler
Erişim Denetimi
Yetki
Denetimi Bilgi Kimlik
Denetimi Özne
özneler roller işlemler bilgi tipleri
bilgiler
Savunma Derinliği
CAYDIRMA ÖNLEME FARK ETME DÜZELTME
En Kolay Giriş Prensibi
Herhangi bir saldırgan, bir bilgisayar sistemine girmek için kullanılabilecek en kolay yolu
deneyecektir.
En kolay yol demek, en belirgin, en çok
beklenen, veya saldırılara karşı en çok önlemi alınmış olan yol demek değildir.
Saldırının getireceği fayda saldırı maliyetinin çok üstünde olmalıdır.
Kaynak: Türksel KAYA BENSGHIR-TODAİE güvenlik.ppt
Gerektiği Kadar Koruma Prensibi
Değerli şeyler (yazılım, donanım, veri) sadece değerleri geçerli olduğu sürece korunmalı.
Korumak için harcanan süre, çaba ve para, korunan şeyin değeriyle orantılı olmalı.
Kaynak: Türksel KAYA BENSGHIR-TODAİE güvenlik.ppt
Kaynak:
sosyalmedyayonetimi.ppt
Yeni
Sanal
Dünya
Düzeni
Karşılaştırmak Gerekir ise
Kaynak: Semantic Web 2.0, Creating Social Semantic Information Spaces
Web 1.0 Web 2.0
Platforms Netscape, Internet Explorer Google Services, AJAX, Flock
Web Pages Personal Websites Blogs
Portals Content Management Systems Wikis
Encyclopediæ Britannica Online Wikipedia
Talk Netmeeting Skype, Asterisk
Knowledge Directories, Taxonomies Tagging, Folksonomies
Referencing Stickiness Syndication
Content Akamai BitTorrent, P2P
Events Evite Upcoming.org
Web 2.0 Ekosistemi
E-Ticaret
E-Ticareti yapan taraflar arasında gizli kalması,
erişilebilir veya tutarlı olması hedeflenen bilgilerin
korunması amaçlanır.
Bu bilgiler:
Kredi Kartı Bilgisi
Özlük Bilgisi
Fatura Bilgileri
Ve benzeri bilgiler…
Kaynak: E-Ticaret ve Bilgi Güvenliği.ppt
MAIL ORDER
Bu ödeme türü güvenli bir ödeme türü değildir.
Sosyal Medya
Bir uygulama veya web sitesinin sosyal medya
olarak tanımlanabilmesi için, 1. Yayıncıdan bağımsız
üyeleri olması,
2. Kullanıcı kaynaklı içeriğe imkan vermesi,
3. Kullanıcılar arasında etkileşim sağlamayı gerektirir.
Kaynak: sosyalmedyayonetimi.ppt
Güvenlikte Hiyerarşik Yaklaşım
Güvenlik Bir Kalite Bileşeni
Bilgi Teknolojileri Kullanma
Bilinci
Eğitimi
Alışkanlığı
Kültürü
GÜVENLİK bir
gereksinim
Zihin Açıcı Sorular
Güvenlik olmadan Mahremiyet olur mu?
Görmediğimiz duymadığımız gerçekte var olduğundan emin olmadığımız kişilere,
şirketlere nasıl güveniyoruz?
Başkalarına yorum yazmak güzel de, bize yorum yazarlarsa ne olacak?
Bizi koruyan birileri var mı?
Kaynak:
Mahrem mi? – Kendisini Paylaşanlar
Kaynak:sosyalmedyayonetimisunumu.ppt
Mahrem mi? – Sizi Paylaşanlar
Kaynak: sosyal medya yönetimi sunumu.ppt
Mahrem mi? Güvenilir mi?
Kaynak: sosyal medya yönetimi sunumu.ppt
Güvenilir mi?
Kaynak: sosyal medya yönetimi sunumu.ppt
Gerçek / Doğru Olan Hangisi?
Kaynak: http://www.marketingsavant.com/2011/08/marketing-in-the-zero-moment-of-truth/
Güven Ağı (Web of Trust)
Kaynak:
Bilgi Sızıntısı
Kurumun bilişim teknolojileri ile kullandığı, işlediği ya da ürettiği verilerin ya da kişisel verilerin
bilinçli ya da bilinçsiz bir şekilde kurum dışına taşınarak, belirlenmiş “bilgi güvenliği” yasa ve kurumsal politikalarının ihlalidir.
Dışarıya veri akışının mümkün olduğu her ağda, veri sızıntısı riski bulunmaktadır.
Kaynak: myDLP.ppt
Veri Kaybının Gerçekleştiği Ortamlar
0% 10% 20% 30% 40% 50% 60% 70%
Diğer Mobil Cihazlar (PDA, Cep Telefonu, vb) Dosya Sunucusu Masaüstü Bilgisayarlar Basılı Materyal Taşınabilir Ortamlar (CDROM, USB, vb) Dizüstü Bilgisayarlar
Ortamlar
Oran
Seri 1 24% 29% 29% 29% 34% 60%
Diğer M obil Cihazlar (PDA,
Cep Telefonu,
Dosya Sunucusu M asaüstü
Bilgisayarlar Basılı M ateryal
Taşınabilir Ortamlar (CDROM , USB,
Dizüstü Bilgisayarlar
Bilgi Sızıntısı Ortam ve Araçları
Kaynak: myDLP.ppt
Kaynak: myDLP.ppt
Wikileaks
Üzerinde ‘Lady Gaga’gibi bişey yazan bir yeniden yazılabilir CD ile geleceğim... müziği sil... sonra ayrı bir
sıkıştırılmış dosya yap.
Kimse hiçbir şeyden şüphelenmedi...
Muhtemelen ABD
tarihinin en geniş bilgi döküntüsünü sızdırırken Lady Gaga’nın
“Telephone” şarkısını dinleyip dudaklarımı oynatıyordum.
Wikileaks belgelerini sızdıran Bradley
Manning hikayesini şöyle anlatıyor:
Araştırmacılar ve Meraklıları için
Anlamsal Ağ Yığıtı
Buradayız!
Seçim
Çağrı
Oluşturma Ontoloji Yönetimi
Yayınlama Yayılma
Keşif
Fonksiyonlar
Kayıtçı
Anlamlandırıcı
Ayrıştırıcı Çağırıcı
Çöpçatan
Mimari
Önkoşul
Girdi
Maliyet Çıktı
Atomik Hizmet
Ardkoşul Bileşik
Hizmet
Kategori
Hizmet Ontolojisi
SWS
SWS Güvenlik Gereksinimleri
Güvenlik, Mahremiyet ve Güvenilirlik
Fonksiyonel:
Anlamsal olarak tanımlanan güvenlik politikaları.
Anlamsal olarak tanımlanan mahremiyet politikaları.
Bireysel istemci gereksinimlerine saygı gösterme.
Mimari:
Hizmet güvenlik politikaları ve yetkilendirme gereksinimlerini yayınlamak ve tanımlamak için protokoller.
Anlamsal politika değerlendirme mekanizmaları.
Anlamsal olarak kontrol edilen politika uygulaması.
Güven-tabanlı doğrulama ve yetkilendirme.
Güvenlik değerlendirme sonuçlarının iletilmesi ve kaydı.
Kaynak: Security in Semantic Web Services, Role of Security , Authorization , Privacy and Trust in Semantic Web.ppt
Anlamsal Gereksinimler
İstemcinin Yetkilendirme Bilgisi
Hizmet İstemcisi
Dağıtık Kayıt (UDDI / ebXML RR)
Hizmet Keşfi
Dağıtık Ontoloji Arşivi
Politika Ontolojisi
Alan
Ontolojisi Güven
Müzakerecisi
Güven Ambarı Dağıtık Güven
(Güven Ağı)
Anlamsal Ağ Hizmeti
Hizmet istemcinin yetkilendirme bilgisini istemciye gönderir
Güven
Müzakeresi
Hizmet Çağrısı
Yetkilendirme Yöneticisi
Anlamsal Yürütme Ortamı
Sonuç olarak
Web 1.0 da Güvenlik Yaklaşımı
GÜVENME
Web 2.0 da Güvenlik Yaklaşımı