Kurumsal Ağ ve Sistem Güvenliği Politikalarının Önemi ve Bir Durum Çalışması

Yıl:2014 ,Cilt: 7, Sayı: 2, Sayfa: 16-31 TÜBAV BİLİM DERGİSİ KURUMSAL AĞ VE SİSTEM GÜVENLİĞİ POLİTİKALARININ ÖNEMİ VE BİR DURUM ÇALIŞMASI Özgü Can1 , M. Fatih Akbaş2 1 Ege Üniversitesi Bilgisayar Mühendisliği Bölümü, Bornova-İzmir, Türkiye İzmir Kâtip Çelebi Üniversitesi, Bilgi İşlem Daire Başkanlığı, Çiğli-İzmir, Türkiye 2 Özet Ağ ve sistem güvenliği politikaları, kurum ağında ve sistemlerde oluşabilecek durumları yetkili/güvenli ve yetkisiz/ güvensiz olmak üzere ikiye ayıran yazılı kurallar bütünüdür. Güvenlik politikaları gizlilik, bütünlük ve erişilebilirlik prensiplerini bir bütün halinde ele almaktadır. Kurumsal güvenlik politikaları, kurum bünyesindeki bilişim kaynaklarının güvenli bir şekilde nasıl kullanılması gerektiğine dair bir plan sunmakta ve kurumun bilgi güvenliğini tehdit eden durumların önüne geçebilmek için izlenmesi gereken kuralları belirlemektedir. Ağ güvenliği politikaları, sadece kurum dışından gelebilecek güvenlik tehditlerini değil, kurum içinden gelebilecek güvenlik tehditlerini de ele almalı ve güvenliği bir bütün halinde değerlendirmelidir. Bilişim kaynaklarına yönelik güvenlik tehditleri, kurum dışından olduğu kadar kurum içinden de kaynaklanabilmektedir. Bu nedenle, kurumsal güvenlik politikaları oluşturulması gerekmektedir. Güvenlik politikaları, kurum bünyesindeki bilişim kaynaklarının daha verimli kullanılmasını sağlamaktadır.Bu çalışma kapsamında; saldırı aşamaları açıklanmakta, saldırı yöntemlerine ve türlerine örnekler verilmekte, saldırılardan korunma mekanizmaları ayrıntılı olarak anlatılmaktadır.Saldırı türleri ile alt güvenlik politikaları ilişkilendirilerek, saldırı türlerine karşı uygulanacak güvenlik politikaları açıklanmaktadır. Ayrıca, kurumlar için ağ güvenliğinin önemine ve amacına değinilmekte, ağ güvenliği politikaları hazırlanırken dikkat edilmesi gereken durumlar açıklanmaktadır. Bu amaçla, İzmir Kâtip Çelebi Üniversitesi bünyesinde uygulanması düşünülen ağ ve sistem güvenliği politikası durum çalışması verilmektedir. Anahtar Kelimeler: Güvenlik politikaları, ağ güvenliği, sistem güvenliği, güvenlik tehditleri. IMPORTANCE OF INSTITUTIONAL NETWORK AND SYSTEM SECURITY POLICIES AND A CASE STUDY Abstract Network and system security policies are written rule sets which divide the states that may occur in institutional networks and systems as authorized/secure and unauthorized/insecure. Security policies handle confidentiality, integrity and availability in an integrated fashion. Institutional security policies present a plan of how must institutional information resources be used in a secure way and specify rules in order to prevent information security threats. Network security policies must not only evaluate the non-institutional security threats, but also threats that could come inside the institution and handle security in an integrated manner. Security threats to information resources may have its source inside the institutional as well as the noninstitutional. Thus, institutional security policies should be created. Security policies provide an efficient usage of information resources inside the institution. In this work; threat phases are explained, threat methods and types are exemplified, threat protection mechanisms are explained in a detailed manner.Security policies that will be applied against the threat types are explained by correlating threat types and sub security policies. Besides, the importance and the objective of network security for institutions are mentioned, the noteworthy states during the creation of network security policies are explained. For this purpose, a case study of a network and system security policy, which is going to be used within theUniversity of Izmir Kâtip Çelebi, is being given. Keywords:Security policies, network security, system security, security threats.  E-posta: 16 TÜBAV Bilim 7(2) 2014 16-31 1. Ö. Can, M. F. Akbaş Giriş Bilgi teknolojilerindeki hızlı gelişmeler ve internetin yaygın kullanımı sonucunda, kurumlar için bilgisayar ağlarının ve sunucuların güvenliğinin sağlanması önemli bir konu haline gelmiştir. Özellikle, bilgi-yoğun (knowledgeintensive) bir ortam sunan üniversite kampüs ağları; öğretim, araştırma ve yönetim alanlarında çok önemli bir rol oynamaktadır. Üniversiteler, kampüs ağlarını daha güvenli ve kararlı bir duruma getirmek için yüksek bütçeler ayırmakta ve ciddi yatırımlar yapmaktadırlar. Bu doğrultuda alınan güvenlik cihazları, daha çok kurum dışından gelen saldırıları engellemek amacıyla kullanılmakta ve kurum içi ağ güvenliği koruması ve kontrolü göz ardı edilmektedir. Bu nedenle, ağ güvenliğini tümüyle ele alan bütünleşik bir koruma sistemi oluşturulmalıdır [1]. Ağ güvenliğinin sağlanması, güvenlik politikalarının oluşturulması, hazırlanan politikaların uygulamaya konulması ve güvenlik duvarı politika yönetimi sistemlerinin kullanımı gibi konularda yapılan araştırmalarda, ağ güvenliğinin sağlanmasında güvenlik politikalarının merkezi ve önemli bir rol oynadığı belirtilmektedir [2]. Bu çalışmalarda, saldırı tespitinin yapılması, ağ trafiğinin analiz edilmesi ve ağın gözlemlenmesi gibi güvenlikle ilgili önemli kavramlara değinilmekte ve ağ güvenliği, bilgisayar sistemleri güvenliğinin bir alt kümesi olarak değerlendirilmektedir [3]. Bilgisayar ağlarına ve sunuculara içeriden veya dışarıdan yapılan saldırılar ya da kullanıcıların farkında olmadan yaptıkları hatalar, kurum için kritik olan bilgilerin yetkisiz kişiler tarafından okunmasına ya da değiştirilmesine neden olmaktadır. Bu nedenle, kurum ağı, bilgi güvenliğinin üç temel prensibi olan gizlilik (confidentiality), bütünlük (integrity) ve erişilebilirlik (availability) kapsamında, içeriden veya dışarıdan gelebilecek tehditlerden korunmalıdır. Bu amaçla, ağ güvenliği politikalarının oluşturulması ve uygulanması kurumların bilgi güvenliğinin sağlanabilmesi için önemlidir. Ağ ve sistem güvenliği politikalarının, kurumun bilişim kaynakları üzerinde herhangi bir güvenlik sorunu yaşanmadan önce oluşturulması önemlidir. Bir güvenlik politikası oluşturmanın en önemli adımı planlamadır. Planlama, kurumun güvenlik gereksinimleri göz önüne alınarak dikkatli bir şekilde yapılmalıdır [4]. Ağ güvenliği politikası, güvenli bir bilgisayar ağının nasıl olması gerektiğini tanımlayan ve ağ üzerindeki kaynakların kullanımını belirleyen yazılı kurallar bütünüdür. Politika, kurumun sahip olduğu bilişim kaynaklarını ve bilgiyi nasıl kullanacaklarını net bir şekilde belirtmektedir. Tüm politikaların tek bir dokümanda bulunması yerine, en üst seviyede genel kuralları barındıran bir bilgi güvenliği politikasının oluşturulması ve bu dokümanla diğer alt politikaların ilişkilendirilmesi önerilmektedir [5]. Bu çalışmada, bilgi kaynaklarına yönelik güvenlik tehditleri açıklanmakta ve bu tehditler doğrultusunda kurumsal güvenlik politikalarının önemine değinilmektedir. Bu amaçla, kurumsal güvenlik politikaları hazırlanırken dikkat edilmesi gereken unsurlar incelenerek, bilgi-yoğun üniversite kampüs ortamı için bi (...truncated)