AĞ YÖNETİMİ VE BİLGİ GÜVENLİĞİ

Gizlilik: Bilginin yetkisiz kişilere ifşasının önlenmesi.
Bütünlük: Bilginin yetkisiz kişiler tarafından değiştirilmesinin önlenmesi.
Hazır Bulunma (Erişilebilirlik): Bilgi veya kaynakların yetkisiz bir şekilde alıkonulmasının önlenmesi.
Sistem güvenliğinde gizlilik, bütünlük ve erişilebilirlik olarak sıralanan bu üç unsur büyük önem arz etmektedir.

Saldırı: Sistem ve bilgi güvenliği önlemlerini aşmak için bir güvenlik açığından yararlanıp sisteme akıllı bir şekilde izinsiz girmeye denir. Sistemdeki güvenlik servislerini aşan ve güvenlik politikalarını ihlal eden kasıtlı bir girişimdir

Shirey (1994) tehditleri dört ana sınıfta incelemiştir. Bunlar şöyle sıralanabilir:

1. Ele geçirme: Gözetleme, ifşa etme veya yetkisiz bilgiye erişim,
2. Uydurma/Üretme: Aldatma veya sahte verilerin kabul edilmesi,
3. Kesinti: Bozulma, kesinti veya doğru çalışmayı engelleme,
4. Değişiklik: Zorla el koyma veya bir sistemin bir bölümünün yetkisiz kontrolü; sadece yetkisiz erişim elde etmekle kalmaz, aynı zamanda bilgiyi değiştirir.

Araya girme (Snooping), bilginin izinsiz bir şekilde ele geçirilmesidir

Kaba kuvvet saldırısı: Bilgi güvenliği konusundaki en basit saldırı yöntemidir. Bir işin çok zeki olmayan çözümüdür ve her zaman en uzun çözüm yoludur. Olası bütün parola ihtimallerinin denenmesi ile doğru parolanın bulunmasına dayanır

Virüsler, solucanlar, casus yazılım veya Truva atı kategorisine girmeyen daha başka kötü amaçlı yazılımlar da bulunmaktadır.  e-posta tek başına bunların arasında sayılamaz. Ancak e-postanın içine saklanmış bir kötü yazılım olabilir.

Solucanlar, kendilerini bir bilgisayardan diğerine otomatik olarak kopyalamak için tasarlanan, yerel sürücüde ya da ağda bant genişliğini tüketerek bilgisayar hızını etkileyip bilgisayarın
çökmesine kadar etkilere yol açabilen zararlı yazılımlardır.

Ücretsiz yazılımlar kullanmamak sistem güvenliği için alınması gereken tedbirlerden birisi değildir. Ücretsiz yazılımlar da güvenli olabilirler ancak , güvenlik açıkları barındırabilecekleri için dikkatli olunmalıdır.

ISO 27000 Bilgi Güvenliği Yönetim Sistemi'nin 2013 yılında güncellenerek revize edilen sürümünün getirdiği önemli yeniliklerden birisi güncellemeye ihtiyaç duymaması değil aksine uygun aralıklarla revize edilerek güncellenmesidir.

Entegre devre tasarımı sırasında entegre devre yongasının içine yerleştirilen ve amacı devrenin yerine getirmesi gereken işlevselliğinin dışında zararlı işlemler yapmak olan donanım değişikliklerine “donanımsal Truva atı” denir. Donanım Truva atı, yazılımsal Truva
atı gibi programcısına sisteme erişebilme imkânı sunar.

Sistem güvenliği, bilgi sistemi kaynaklarının bütünlüğünü, erişilebilirliğini ve gizliliğini korumak amacıyla uygulanacak tedbirler bütünüdür

Sistem Güvenliği ile ilgili Birimlerin İlişkileri.

Aşağıdakiler artışa Neden olur:

Dolayısıyla cevap "E" dir.

SİSTEM GÜVENLİĞİ İLE İLGİLİ TEMEL TERİMLER
Bu ünite kapsamında sistem güvenliği ile ilgili bilinmesi gereken temel terimler aşağıda
kısaca tanımlanmıştır.
Güvenlik Açığı: Sistemin güvenlik politikasını ihlal etmek için kullanılabilecek, sistemin tasarımında veya gerçeklemesinde ortaya çıkan, tasarımcı tarafından düşünülmemiş
zayıflıklar olarak tanımlanır.
Tehdit: Bir güvenlik açığından yararlanabilecek olası bir tehlike, tehdit kavramını ifade eder. Güvenliği ihlal etme potansiyeli olarak da ifade edilir.
Risk: Bilgi veya kaynak kaybı olasılığı, sistem güvenliğinde risk olarak tanımlanır.
Belirli bir tehdidin sistemde bulunan bir güvenlik açığından yararlanarak sistemi zarara
uğratma olasılığını ifade eder.
Saldırgan: Sisteme saldıran kişi ya da kuruluş olarak tanımlanır.
Saldırı: Sistem ve bilgi güvenliği önlemlerini aşmak için bir güvenlik açığından yararlanıp sisteme akıllı bir şekilde izinsiz girmeye denir. Sistemdeki güvenlik servislerini aşan
ve güvenlik politikalarını ihlal eden kasıtlı bir girişimdir.
Karşı Önlem: Sistem üzerindeki tehdidi, saldırıya açıklığı veya saldırının neden olabileceği zararları öngörüp bunları azaltarak ortadan kaldırmaya ya da engellemeye yönelik
bir eylemdir. Bu amaca yönelik uygulanan araç, yöntem veya teknikler karşı önlem olarak
adlandırılır.
Sistem Kaynakları: Sistemin kendisi, sistem yetenekleri, sistem hizmetleri, donanım
bileşenleri, iletişim hatları vb. varlıklar sistem kaynağı olarak kabul edilir.
Güvenlik Politikası: Gizli kalması gereken verileri ve kritik sistem kaynaklarını korumak için sistemin güvenlik hizmetlerini nasıl sağladığını belirten birtakım kural ve uygulamalardan oluşan prensipler bütünüdür.

Shirey (1994) tehditleri dört ana sınıfta incelemiştir. Bunlar şöyle sıralanabilir:
1. Ele geçirme: Gözetleme, ifşa etme veya yetkisiz bilgiye erişim,
2. Uydurma/Üretme: Aldatma veya sahte verilerin kabul edilmesi,
3. Kesinti: Bozulma, kesinti veya doğru çalışmayı engelleme,
4. Değişiklik: Zorla el koyma veya bir sistemin bir bölümünün yetkisiz kontrolü; sadece yetkisiz erişim elde etmekle kalmaz, aynı zamanda bilgiyi değiştirir.

Araya girme (snooping) tehdidi
sistem üzerindeki gizlilik hizmeti
ile engellenir.

Kaba kuvvet saldırısı, bilgi
güvenliği konusundaki en basit
saldırı yöntemidir. Bir işin çok
zeki olmayan ama güce dayalı
çözümüdür ve her zaman en
uzun çözüm yoludur. Olası bütün
parola ihtimallerinin denenmesi
ile doğru parolanın bulunmasına
dayanır. Burada kaba kuvvetten
kasıt, saldırı yapan varlığın
elinde bulundurduğu kaynakları
tanımlar. Eğer saldırı yapan varlık
sahip olduğu bütün imkân ve
kaynaklar ile makul bir zamanda
bütün ihtimalleri deneyerek
parolayı bulabiliyorsa, kaba
kuvvet saldırısı başarılı olmuştur
denir.

Sistemlerde ortaya çıkan birçok
güvenlik açığı, yanlış bir şekilde
değerlendirilen varsayımların
sonucunda meydana gelir.

Sistem saldırı altındayken sistemin çalışmasına devam etmesi, hataya dayanıklılık ve güvenlik tekniklerinin birleşmesi neticesinde mümkün olur.

Solucanlar, kendilerini bir bilgisayardan diğerine otomatik olarak kopyalamak için tasarlanan, yerel sürücüde ya da ağda bant genişliğini tüketerek bilgisayar hızını etkileyip bilgisayarın çökmesine kadar etkilere yol açabilen zararlı yazılımlardır.

Truva atının hedefi sistem
üzerinde belli kanallar açarak
programcısına, bulaştığı
kullanıcının sistemini izlemesini
veya kontrol etmesini sağlayan bir
ortam yaratmaktır.