Benim Verim Herkesin Verisi:

Benim Verim Herkesin Verisi:

Mahremiyet ve Güvenilirlik Üzerine

Dr. Tuğkan TUĞLULAR SOFTIN Teknoloji

Gündem

Kaynak: http://www.flickriver.com/groups/865293@N20/pool/interesting/

Bilgi Güvenliği Problemi

Kişilerin

Hatalı / Sorumlu Olduğu Olaylar

% 70-80

Dış Saldırılar

% 20-30

Bilgisayar Kötü Kullanımı

 Kullanım hataları

 Atıl kullanımlar

 Kötüye kullanımlar

 Bilgisayar suçları

 Aksayan İşleyiş

 Yanlış Sonuçlar

Maddi / Manevi Kayıplar

Bilgi Güvenliği Çözümü

İstek Yetenek

Bilgi Birikimi

Alışkanlık

Risk Analizi Politikalar

Önlemler

Bilgi Güvenliği

Bilginin 4 özelliğinin korunmasını hedefleyen güvenlik anlayışına «Bilgi Güvenliği» denir.

1. Gizliliği

2. Doğruluğu ve Bütünlüğü

3. Özgünlüğü ve Reddedilememesi

4. Erişilebilirliği

Paylaştığınız kişi ve kitle

Kaynağında olduğu gibi ve verilmek istendiği gibi

Kaynak: E-Ticaret ve Bilgi Güvenliği.ppt

Bilgi Güvenliği Senaryoları

INTERNET

Man-in-the-Middle Sniffer

Bilgi Güvenliği Senaryoları

INTERNET

Man-in-the-Middle

Bilgi Güvenliği Senaryoları

INTERNET

Man-in-the-Middle

Bilgi Güvenliği Senaryoları

INTERNET

IP Spoofing

Bilgi Güvenliği Senaryoları

INTERNET

NO, NO, NO...

Bilgi Güvenliği Senaryoları - Özet

Değer Varlık, Zayıflık, Tehdit, Risk,

Saldırı, Zarar

kırılgan

Bilgi Güvenliğine Saldırılar

Sahtekarlık ve taklit,

Erişim araçlarının çalınması,

Kimlik çalma,

Ticari bilgi çalma,

İstihbarat amaçlı faaliyetler,

Takip ve gözetleme,

“Hack”leme,

Virüsler, Kurtçuklar (worms), Truva atları,

Ajan yazılım (spyware),

Spam

Hizmeti durduran saldırılar

Kaynak: Türksel KAYA BENSGHIR-TODAİE güvenlik.ppt

Bilgi Güvenliği için Önlemler

kırılgan

Bilgi Güvenliği için Önlemler

Şifreleme

Bilgi Güvenliği için Önlemler

Şifreleme

Simetrik Algoritmalar

Asimetrik Algoritmalar

Özetleme Fonksiyonları

Kaynak: Türksel KAYA BENSGHIR-TODAİE güvenlik.ppt

Bilgi Güvenliği için Önlemler

Sayısal İmza

Sayısal Sertifikalar

Sertifikasyon Otoriteleri

Kaynak: Türksel KAYA BENSGHIR-TODAİE güvenlik.ppt

Bilgi Güvenliği için Önlemler

Erişim Denetimi

Bilgi Güvenliği için Önlemler

Erişim Denetimi

Yetki

Denetimi Bilgi Kimlik

Denetimi Özne

özneler roller işlemler bilgi tipleri

bilgiler

Savunma Derinliği

CAYDIRMA ÖNLEME FARK ETME DÜZELTME

En Kolay Giriş Prensibi

Herhangi bir saldırgan, bir bilgisayar sistemine girmek için kullanılabilecek en kolay yolu

deneyecektir.

En kolay yol demek, en belirgin, en çok

beklenen, veya saldırılara karşı en çok önlemi alınmış olan yol demek değildir.

Saldırının getireceği fayda saldırı maliyetinin çok üstünde olmalıdır.

Kaynak: Türksel KAYA BENSGHIR-TODAİE güvenlik.ppt

Gerektiği Kadar Koruma Prensibi

Değerli şeyler (yazılım, donanım, veri) sadece değerleri geçerli olduğu sürece korunmalı.

Korumak için harcanan süre, çaba ve para, korunan şeyin değeriyle orantılı olmalı.

Kaynak: Türksel KAYA BENSGHIR-TODAİE güvenlik.ppt

Kaynak:

sosyalmedyayonetimi.ppt

Yeni

Sanal

Dünya

Düzeni

Karşılaştırmak Gerekir ise

Kaynak: Semantic Web 2.0, Creating Social Semantic Information Spaces

Web 1.0 Web 2.0

Platforms Netscape, Internet Explorer Google Services, AJAX, Flock

Web Pages Personal Websites Blogs

Portals Content Management Systems Wikis

Encyclopediæ Britannica Online Wikipedia

Talk Netmeeting Skype, Asterisk

Knowledge Directories, Taxonomies Tagging, Folksonomies

Referencing Stickiness Syndication

Content ^Akamai BitTorrent, P2P

Events ^Evite Upcoming.org

Web 2.0 Ekosistemi

E-Ticaret

E-Ticareti yapan taraflar arasında gizli kalması,

erişilebilir veya tutarlı olması hedeflenen bilgilerin

korunması amaçlanır.

Bu bilgiler:

Kredi Kartı Bilgisi

Özlük Bilgisi

Fatura Bilgileri

Ve benzeri bilgiler…

Kaynak: E-Ticaret ve Bilgi Güvenliği.ppt

MAIL ORDER

Bu ödeme türü güvenli bir ödeme türü değildir.

Sosyal Medya

Bir uygulama veya web sitesinin sosyal medya

olarak tanımlanabilmesi için, 1. Yayıncıdan bağımsız

üyeleri olması,

2. Kullanıcı kaynaklı içeriğe imkan vermesi,

3. Kullanıcılar arasında etkileşim sağlamayı gerektirir.

Kaynak: sosyalmedyayonetimi.ppt

Güvenlikte Hiyerarşik Yaklaşım

Güvenlik Bir Kalite Bileşeni

Bilgi Teknolojileri Kullanma

Bilinci

Eğitimi

Alışkanlığı

Kültürü

GÜVENLİK bir

gereksinim

Zihin Açıcı Sorular

Güvenlik olmadan Mahremiyet olur mu?

Görmediğimiz duymadığımız gerçekte var olduğundan emin olmadığımız kişilere,

şirketlere nasıl güveniyoruz?

Başkalarına yorum yazmak güzel de, bize yorum yazarlarsa ne olacak?

Bizi koruyan birileri var mı?

Kaynak:

Mahrem mi? – Kendisini Paylaşanlar

Kaynak:sosyalmedyayonetimisunumu.ppt

Mahrem mi? – Sizi Paylaşanlar

Kaynak: sosyal medya yönetimi sunumu.ppt

Mahrem mi? Güvenilir mi?

Kaynak: sosyal medya yönetimi sunumu.ppt

Güvenilir mi?

Kaynak: sosyal medya yönetimi sunumu.ppt

Gerçek / Doğru Olan Hangisi?

Kaynak: http://www.marketingsavant.com/2011/08/marketing-in-the-zero-moment-of-truth/

Güven Ağı (Web of Trust)

Kaynak:

Bilgi Sızıntısı

Kurumun bilişim teknolojileri ile kullandığı, işlediği ya da ürettiği verilerin ya da kişisel verilerin

bilinçli ya da bilinçsiz bir şekilde kurum dışına taşınarak, belirlenmiş “bilgi güvenliği” yasa ve kurumsal politikalarının ihlalidir.

Dışarıya veri akışının mümkün olduğu her ağda, veri sızıntısı riski bulunmaktadır.

Kaynak: myDLP.ppt

Veri Kaybının Gerçekleştiği Ortamlar

0% 10% 20% 30% 40% 50% 60% 70%

Diğer Mobil Cihazlar (PDA, Cep Telefonu, vb) Dosya Sunucusu Masaüstü Bilgisayarlar Basılı Materyal Taşınabilir Ortamlar (CDROM, USB, vb) Dizüstü Bilgisayarlar

Ortamlar

Oran

Seri 1 24% 29% 29% 29% 34% 60%

Diğer M obil Cihazlar (PDA,

Cep Telefonu,

Dosya Sunucusu M asaüstü

Bilgisayarlar Basılı M ateryal

Taşınabilir Ortamlar (CDROM , USB,

Dizüstü Bilgisayarlar

Bilgi Sızıntısı Ortam ve Araçları

Kaynak: myDLP.ppt

Kaynak: myDLP.ppt

Wikileaks

gibi bişey yazan bir yeniden yazılabilir CD ile geleceğim... müziği sil... sonra ayrı bir

sıkıştırılmış dosya yap.

Kimse hiçbir şeyden şüphelenmedi...

Muhtemelen ABD

tarihinin en geniş bilgi döküntüsünü sızdırırken Lady Gaga’nın

“Telephone” şarkısını dinleyip dudaklarımı oynatıyordum.

Wikileaks belgelerini sızdıran Bradley

Manning hikayesini şöyle anlatıyor:

Araştırmacılar ve Meraklıları için

Anlamsal Ağ Yığıtı

Buradayız!

Seçim

Çağrı

Oluşturma Ontoloji Yönetimi

Yayınlama Yayılma

Keşif

Fonksiyonlar

Kayıtçı

Anlamlandırıcı

Ayrıştırıcı Çağırıcı

Çöpçatan

Mimari

Önkoşul

Girdi

Maliyet Çıktı

Atomik Hizmet

Ardkoşul Bileşik

Hizmet

Kategori

Hizmet Ontolojisi

SWS

SWS Güvenlik Gereksinimleri

Güvenlik, Mahremiyet ve Güvenilirlik

Fonksiyonel:

 Anlamsal olarak tanımlanan güvenlik politikaları.

 Anlamsal olarak tanımlanan mahremiyet politikaları.

 Bireysel istemci gereksinimlerine saygı gösterme.

Mimari:

 Hizmet güvenlik politikaları ve yetkilendirme gereksinimlerini yayınlamak ve tanımlamak için protokoller.

 Anlamsal politika değerlendirme mekanizmaları.

 Anlamsal olarak kontrol edilen politika uygulaması.

 Güven-tabanlı doğrulama ve yetkilendirme.

 Güvenlik değerlendirme sonuçlarının iletilmesi ve kaydı.

Kaynak: Security in Semantic Web Services, Role of Security , Authorization , Privacy and Trust in Semantic Web.ppt

Anlamsal Gereksinimler

İstemcinin Yetkilendirme Bilgisi

Hizmet İstemcisi

Dağıtık Kayıt (UDDI / ebXML RR)

Hizmet Keşfi

Dağıtık Ontoloji Arşivi

Politika Ontolojisi

Alan

Ontolojisi Güven

Müzakerecisi

Güven Ambarı Dağıtık Güven

(Güven Ağı)

Anlamsal Ağ Hizmeti

Hizmet istemcinin yetkilendirme bilgisini istemciye gönderir

Güven

Müzakeresi

Hizmet Çağrısı

Yetkilendirme Yöneticisi

Anlamsal Yürütme Ortamı

Sonuç olarak

Web 1.0 da Güvenlik Yaklaşımı

GÜVENME

Web 2.0 da Güvenlik Yaklaşımı

GÜVEN(ME) ama DOĞRULA

İlginize

teşekkür ederim.